Ist eine Multi-WAN-Konfiguration mit 1x IPv4 und 1x Dual-Stack realisierbar?

Started by Tronde, December 23, 2024, 03:20:30 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 23, 2024, 03:20:30 PM
Hallo OPNsense-Gemeinschaft,

ich habe kürzlich meine erste OPNsense-Firewall in Betrieb genommen und möchte Multi-WAN nach Dokumentation einrichten. Dazu habe ich eine Frage, ob sich mein Wunschszenario überhaupt realisieren lässt.

Die folgende ASCII-Art vermittelt hoffentlich einen Eindruck über mein generelles Setup:

Code Select
      WAN / Internet
            :
            : PPPoE-Provider (Sewikom)
            :
      .-----+-------------.
      |  Media converter  |  (Nokia ONT XS-010X-Q)
      '-----+-------------'
            |
        WAN | IPv4 only via PPPoE
            |
      .-----+------.   WAN2          .------------------------------------.
      |  OPNsense  +-----------------+ Unitymedia Connect Box/Bridge Mode |----- WAN / Internet (Vodafone)
      '-----+------'   DualStack     '------------------------------------'
            |
        LAN | 10.0.0.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Die Unitymedia Connect Box an WAN2 ist im Bridge Mode konfiguriert und Vodafone NRW liefert mir an diesem DualStack-Anschluss IPv4 und IPv6 via DHCP(v6). Bei WAN handelt es sich um einen Glasfaseranschluss von Sewikom, an welchem via PPPoE eine IPv4-Adresse bereitgestellt wird. In der OPNsense-WebUI sehe ich unter System -> Gateways -> Configuration insgesamt drei Gateways (siehe angehängter Screenshot From 2024-12-23 15-11-17.png).You cannot view this attachment.

Meine Zielvorstellung

Falls möglich, möchte ich den WAN2-Zugang als primäres Gateway nutzen und mittels Prefix-Delegation IPv6-Adressen an meine Klienten im LAN verteilen. Ziel ist, dass die Teilnehmer im LAN sowohl auf IPv4- als auch IPv6-Adressen im Internet zugreifen können. Sollte der WAN2-Anschluss gestört sein, soll ein Failover auf WAN erfolgen. Da es sich hierbei um einen IPv4-only-Zugang handelt, ist mir bewusst, dass ich ich hier auf IPv6 verzichten muss.

Offene Fragen

Bei der Suche in der Dokumentation, hier im Forum und im Internet habe ich bisher leider nichts gefunden, was meine Zielvorstellung beschreibt oder mir eine Idee vermittelt, ob das so überhaupt funktionieren kann. Daher wende ich mich an euch.

  • Hat jemand soetwas schonmal umgestezt?
  • Besteht die Chance, mein Ziel zu erreichen? Falls ja, wie ist dies zu konfigurieren?
  • Gilt es als gesichert, dass das so nicht geht?

Falls noch angaben fehlen, um meine Frage zu beantworten, lasst mich bitte wissen, welche Angaben ihr noch benötigt.

Viele Grüße
Jörg
December 30, 2024, 12:40:35 PM #1
Quote from: Tronde on December 23, 2024, 03:20:30 PMFalls möglich, möchte ich den WAN2-Zugang als primäres Gateway nutzen und mittels Prefix-Delegation IPv6-Adressen an meine Klienten im LAN verteilen. Ziel ist, dass die Teilnehmer im LAN sowohl auf IPv4- als auch IPv6-Adressen im Internet zugreifen können. Sollte der WAN2-Anschluss gestört sein, soll ein Failover auf WAN erfolgen. Da es sich hierbei um einen IPv4-only-Zugang handelt, ist mir bewusst, dass ich ich hier auf IPv6 verzichten muss.

Hi,

das wird ein ziemlich unspannendes Unterfangen. Ich hoffe du bist nicht wie viele anderen von der "großartigen" Performance von Vodafail gesegnet und hast hie und da mal Aussetzer, dann wäre das Ding sowieso komplett zu verwerfen. Dynamische Prefixe via v6 sind ein komplettes Desaster und allen sonstigen "aber das ist nur für Privacy..."-Rufen zum Trotz macht das die IPv6 Nutzung ziemlich unsäglich und ist einfach kaputt. Gerade bei kurzen Holprern von VF über den Tag (gibts hier in BW ständig) kann man sich darauf einstellen, dass sich das IPv6 Prefix ändert. Was wiederum zur Folge hat, dass die RA und PD an die Sense weitergegeben werden muss, die das wiederum intern an Geräte weitergeben muss, die dann hoffentlich mehr oder weniger schnell ihre IPv6 ändern oder eben nicht.

Das ganze ständige Ändern des Prefixes ist ein einziger Clusterfuck und macht effektiv die Nutzung annähernd sinnlos und kaputt. Wird zwar immer wieder wie bei dynamischer IP mit argumentiert, dass es Privacy ist, was aber bei Untersuchung der Prefixe/IPs ziemlicher Mumpitz ist. Von den alt Providern abgesehen hat kaum ein neuer Provider am Markt so viele Adressbestände, dass es nicht extrem einfach ist, einen Client recht sicher in eine gewisse Gegend zu verorten, egal ob sich seine IP/Prefixe ändern. (Und wer um seine IP Privacy Angst hat, hat von einem VPN/TOR um in der Masse unterzugehen mehr als von dümmlichen IP/Prefix Changes). Was es allerdings kaputt macht seit Jahren ist die sinnvolle beidseitige Nutzung, dass man von extern auf seinen Kram kommt.

In deinem Fall wird es noch wilder, denn wenn VF tatsächlich einen Down hätte, müssten in dem Moment alle Geräte ihre v6 verlieren. Das müsste man tatsächlich mal durchspielen, wie schnell das der Fall ist, Bauchgefühl sagt aber, dass das eher schlecht als recht funktioniert und einige Geräte dann noch auf ihrer IPv6 hängen die nicht mehr funktioniert. Und da oftmals in den OSen IPv6 > IPv4 genutzt wird, kanns sein, dass die dann erstmal Verbindungsprobleme haben da ja kein anderer Weg via v6 besteht.

Was man überlegen könnte, wäre ein HE.net Tunnel über den Glasfaser Anschluß anzulegen und dort fest zu konfigurieren. Dann gäbe es einen Fallback Weg via v6, allerdings hast du bei MultiWAN dann den Punkt, dass dein internes Netz keine PD mehr nutzen sollte von einem einzigen WAN, da sonst obiges Problem. Du müsstest dann intern Prefix wie fdXX:: benutzen und nach extern via NPt umschreiben lassen als kompletter Prefix. Da bin ich allerdings gerade überfragt, ob da OPNsense inzwischen bei NPt auch dynamische Prefixe auf dem WAN nutzen kann, das wäre dann eine Lösung, da der he.net Part ja statisch ist und fest eingetragen werden kann. Problem dabei wiederum: fdXY Netze werden von einigen Systemen als lokaler Adressraum wieder runterpriorisiert (weil ist ja kein public v6 Prefix) und dann gilt da IPv4>IPv6local. Also auch wieder ein Zusatzproblemchen was sich auftut, weil man einfach nicht statisch konfigurieren kann. SEUFZ.

Patrick hatte dazu mal die Idee eingeworfen, intern einfach das HE.net Prefix zu nutzen, da ja statisch und fix dir zugeordnet und nach extern dann trotzdem NPt auf die Prefixe der WANs zu machen. Was bei dir nur WAN2 wäre, WAN1 würde dann selbst ja HE nutzen. Das könnte tatsächlich gehen denn dann laufen intern alle Geräte mit dem Hurrican Electric Prefix, aber ausgehend werden sie entweder über WAN2 via VF rausgeschickt und umgeschrieben (NPt) oder via WAN1 einfach nativ.

Das könnte machbar sein, aber wie du siehst, etwas komplexer wird's schon. :)

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions