Telekom: Dual Stack IPv4/IPv6 Anschluss PPPoe - richtige Settings?

Started by dumbo, November 18, 2023, 12:22:13 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 18, 2023, 12:22:13 PM
Hi Zusammen,

bei dem kommenden Anschluss wird es für uns dann Dual Stack der Telekom geben und ich überlege, was hier dann die richtigen Settings (außer natürlich PPPoe Daten und VLAN7) sein werden, damit die OPNsense auch richtig IPv4 und IPv6 macht.

Könnt Ihr mir helfen oder evtl. auf etwas verlinken, wo es richtig beschrieben ist/steht?

Danke und Grüße
November 18, 2023, 05:34:08 PM #1
https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

Präfix-Länge ist /56.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
November 19, 2023, 07:27:01 AM #2
Danke Dir. Da steht es gut beschrieben.

Klappt es denn ohne Probleme, oder gibt es hier irgendwie Schwierigkeiten? Die einzelnen Networks muss ich dann ja auch noch als IPv6 freischalten, oder?
November 19, 2023, 02:04:14 PM #3
Neben der Grundkonfiguration (siehe Mail von Maurice) wäre dann im zweiten Schritt noch die Frage
- welche Form der Anbindung es sein soll (Modem (welches?) oder ein weiterer Router davor (Fritz!Box, dann mit double NAT (wäre eher weniger zu empfehlen)
- Welche Services sollen darüber laufen (IP Telefonie und/oder Magenta TV)
- (...)

Br br
November 19, 2023, 08:29:45 PM #4
Quote from: dumbo on November 19, 2023, 07:27:01 AM
Danke Dir. Da steht es gut beschrieben.

Klappt es denn ohne Probleme, oder gibt es hier irgendwie Schwierigkeiten? Die einzelnen Networks muss ich dann ja auch noch als IPv6 freischalten, oder?
Per Default sind sowohl IPv4 als auch IPv6 für LAN ausgehend freigegeben. Was meinst du mit "einzelne Netzwerke"?

Also du nimmst eine frisch installierte OPNsense an einem DSL-Modem, richtest also so ein wie con Maurice verlinkt, dann wird "alles" funktionieren. Was für Probleme soll es da geben?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 20, 2023, 06:02:04 AM #5
Danke für das ganze Feedback.

In meinem Fall wird es Glasfaser sein, aber da ist es ja auch PPPoe von der Telekom und sollte keinen Unterschied machen, da es dort dann auch Dual Stack gibt.

Was ich meinte ist, ob ich an den einzelnen Interfaces (VLANs) dann noch IPv6 jeweils freischalten soll/muss?
November 20, 2023, 06:13:30 AM #6
Die (V)LANs konfigurierst Du wie in der verlinkten Doku beschrieben, wobei jedes Interface eine eigene IPv6 Prefix ID benötigt. Die ist grundsätzlich beliebig (0..ff), aus Gründen der Übersichtlichkeit kann es sich aber anbieten, hier z. B. die VLAN-IDs zu verwenden.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
November 20, 2023, 07:44:27 AM #7
Quote from: dumbo on November 20, 2023, 06:02:04 AM
Was ich meinte ist, ob ich an den einzelnen Interfaces (VLANs) dann noch IPv6 jeweils freischalten soll/muss?
Ah - du hast mehr als ein internes Interface. Und VLANs. Das hattest du nicht geschrieben  ;)

Du musst sowohl IPv4 als auch IPv6 für jedes neue Interface einrichten und freigeben. Die default "allow" Regel existiert erst einmal nur für das Interface "LAN".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 20, 2023, 12:50:30 PM #8
Quote from: Patrick M. Hausen on November 20, 2023, 07:44:27 AM
Ah - du hast mehr als ein internes Interface. Und VLANs. Das hattest du nicht geschrieben  ;)

Ja - sorry, das habe ich vergessen.

Ich check das mal. Macht man das denn auch so? Sprich für jedes Interface dann überhaupt IPv4 und IPv6 freigeben? Im Grunde brauche ich/will ich IPv6 ja nur ins Internet haben, damit ich Dienste auch via IPv6 erreiche neben IPv4.

Lokal brauche ich an den Clients eigentlich kein IPv6 - da müsste ich ja dann auch noch Firewall-Regeln etc. umsetzen.
November 20, 2023, 01:19:03 PM #9
Quote from: dumbo on November 20, 2023, 12:50:30 PM
Ich check das mal. Macht man das denn auch so? Sprich für jedes Interface dann überhaupt IPv4 und IPv6 freigeben? Im Grunde brauche ich/will ich IPv6 ja nur ins Internet haben, damit ich Dienste auch via IPv6 erreiche neben IPv4.

Lokal brauche ich an den Clients eigentlich kein IPv6 - da müsste ich ja dann auch noch Firewall-Regeln etc. umsetzen.
"Man" macht, was "man" erreichen möchte. Was ist das denn in deinem Fall?

Ich hab hier ein VLAN für "Familie", also praktisch alle Endgeräte. Dann eines für meine extern erreichbaren Services. Die haben natürlich beide IPv6. Und die Regeln sind so, dass die Systeme frei ins Internet kommen - ich will ja, dass alle Server sich regelmäßig Updates ziehen etc.

Du musst dir schon überlegen, was du genau möchtest, wobei meiner persönliche Meinung ist, dass speziell viele Privatanwender viel zu kompliziert denken. Die meisten wären mit einem LAN und "allow" all prima bedient. Dann noch DNS-Filter via AdGuard Home und gut ist.

Aber ich hab das dieses "böse Gerät", dem ich nicht traue ... dann kauf dir halt so'n Scheiß nicht  ;) Bevor ich versuche, nicht vertrauenswürdige Geräte firewallseitig zu kontrollieren, verzichte ich auf den Quatsch. IoT - gibt's nicht.

Dem Apple-TV traue ich. Wie auch nicht? Da laufen Netflix, Prime, Disney und eben Apple drauf. Natürlich telefoniert das nachhause - aber das tut es doch sowieso, wenn es Inhalte abruft, die mit meinem Login und meiner Kreditkarte verknüpft sind. Was soll ich da auf einer Firewall regeln?

Also überleg mal, was für Szenarien du hast - ein Gästenetz ist ja z.B. sowas, was ich in der Firma natürlich habe, hier privat aber auch nicht.

U.s.w. ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 21, 2023, 06:43:02 AM #10
Quote from: Patrick M. Hausen on November 20, 2023, 01:19:03 PM
Du musst dir schon überlegen, was du genau möchtest, wobei meiner persönliche Meinung ist, dass speziell viele Privatanwender viel zu kompliziert denken. Die meisten wären mit einem LAN und "allow" all prima bedient. Dann noch DNS-Filter via AdGuard Home und gut ist.

U.s.w. ...

Danke Dir für das gute Statement und die Worte. Ja in der Tat ist es so, dass man auf einmal auch viel mehr Möglichkeiten hat und dann auch versucht alles bis ins Ultimo zu optimieren bzw. auszureizen an Stelle von mal etwas kleiner fahren.

Bei mir ging es in dem Fall wirklich um die Dual Stack Variante bzw. das hinzukommen von IPv6 was ich so noch nicht hatte/kannte bzw. kenne.
Daher die Frage in dem Bereich.

Bzgl. VLANs und Nutzung etc. muss ich mir natürlich auch noch Gedanken machen. Genauso ob ich den internen Unbound DNS AdBlock nutzen soll/werde oder auf AdGuard gehe (evtl. dann extern oder direkt in der OPNSense).

Szenarien sind ganz einfach:
- Familie
- Gästenetz (wir haben eine ausländische Gastfamilie, welche ich mit einem extra Freifunk-Netz versorge und die sollen auch wirklich separiert sein)
- IoT (Philips Hue und Heizungssteuerung und vor allem mein TV wollte ich schon gern separieren - und den Kram brauche ich schon)
- ext. erreichbare Services (die natürlich auch nochmal separat)

Leider doch ein wenig mehr. Bzw. überlege ich noch ob ich IoT wirklich separiere. Aber ich denke mal schon.

Wenn ich alles über ein Netz laufen lasse, dann kann ich das auch an ne fritz.box hängen ;-)
Print
Go Up Pages1
User actions