OPNsense hinter einer DS-lite Kabel Fritzbox

Started by W0nderW0lf, January 31, 2026, 10:16:07 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 31, 2026, 10:16:07 PM
Hallo an alle,

mich plagt jetzt seit ein paar Jahren die ds-lite Krankheit. Nach jedem Stromausfall oder Neustart wegen update aktiviert meine Fritzbox standardmäßig IPv6 und schottet meine Dienste wieder von der außenwelt ab..
Dies ist besonders vorteilhaft wenn ich außer Landes bin.
Ich habe vor längerer Zeit mal gelesen, dass es theoretisch möglich ist trotz ds-lite seine Dienste erreichbar zu halten.

Da ich mit Kabel hier die beste Anbindung habe, kann ich meine Fritzbox nicht loswerden. Jedenfalls erweist es sich als nützlich ein "lockeres" Backup WLAN Netz zu haben, falls die Frau sich mit meiner übertriebenen Sicherheit abplagt.. Einen Pi-hole habe ich trotzdem installiert. :D

Bei meiner online recherche zu dem Thema bin ich leider auf keine ähnlichen Fälle gestoßen, bzw. jemanden der vielleicht schon einen Guide aufgesetzt hat. (Ich lasse mich gerne eines besseren belehren falls es doch einen Guide gibt und ich den übersehen habe) Darum wollte ich hier mal Fragen wie so die Erfahrungen hier sind und ob sich diese Umstellung bei mir umsetzen lässt. Ich finde es auch etwas schwierig zu verstehen wenn man vorher noch keine Berührungspunkte damit hatte.
Was ich mich aktuell Frage:
- Brauche ich ein GIF (ds-lite) interface auf der opnsense wenn das sowieso die Fritzbox mit dem ISP handled?
- Muss ich alles von IPv4 auf IPv6/IPv4+v6 umstellen?
- Muss meine FW die AFTR irgendwie abfragen?
- Brauche ich dhcp6c für ATFR (scheint das jetzt experimentell supportet zu sein? -> Aufruf im Forum)
- Muss ich Port Freigaben auf der Fritzbox für die OPNsense bei v6 extra pflegen oder einfach umstellen?
etc.

Bei mir sieht das aktuell so aus:

Code Select
                                    WAN / Internet
                                          :
                                          : Cable
                                          :
                                    .-----+-----.
  Mesh and WLAN stuff       --------+  Gateway  |  (Fritte)
                                    '-----+-----'
                                          |
                 WAN (DHCP mit static IP )| 192.168.178.X
                                          |
        .-----+------. private LAN  .-----+------.   private DMZ   .------------.
        |    LAN     +--------------+  OPNsense  +-----------------+ DMZ-Server |
        '-----+------' 192.168.1.1  '-----+------'   192.168.100.1 '------------'                             

#Domain bei Strato mit Cloudflare verbunden und manage dort mein DNS.
#Ich nutze dort keinen proxy sondern leite direkt weiter.

                             
Hättet Ihr da ein paar Ratschläge wie man da am besten vor geht?
January 31, 2026, 10:38:47 PM #1
Wenn du ein bisschen Budget für so Kram hast - 5-10€ im Monat reichen - dann schieß dir doch irgendwo einen Cloud-Server. Bei Hetzner, Vultr, Digitalocean, ...

OPNsense baut ausgehend Tunnel zum VPC auf, WireGuard ist für Site to Site sehr handlich. Und dann baust du auf dem VPC eingehend Port-Forwarding für deine Dienste.

Voila - feste öffentliche IP-Adresse. Ob nur IPv4 oder beides bleibt dir überlassen. Ebenso die Wahl des Betriebssystems für den VPC (Linux, FreeBSD, ...)

HTH,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 12:56:23 PM #2
Hi,

wäre zwar auch ein Ansatz und mein Last resort, aber ich wollte eine "kostenfreie" variante. ^^

Ne Ahnung ob das generell möglich wäre ohne die extra server, oder wäre es ein schwieriges unterfangen?

Wenn ja, wonach müsste ich gucken?
Today at 02:14:10 PM #3
Du müsstest auf jeden Fall durchgehend IPv6 implementieren, da du ja grundsätzlich per IPv4 nicht erreichbar bist. Hast du denn ein statisches IPv6-Prefix?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 02:43:14 PM #4
Ich hatte vor Ewigkeiten mal ipv6 auch über die OPNsense eingerichet, aber aus irgendeinem Grund wieder verbannt.
Also einrichten könnte ich das bestimmt wieder, aber was bräuchte ich sonst noch?
Müsste ich im Grunde nur mein DynDNS auf v6 umstellen, oder bräuchte ich noch diese AFTR bzw das ds-lite interface?
Today at 03:24:46 PM #5
Du würdest m.E. deine Dienste einfach nur über IPv6 verfügbar machen. Weiter weiß ich auch nicht, ich habe einen vernünftigen Provider 😉
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions