Damit wollte ich zum Ausdruck bringen, dass ich nicht alles gratis haben möchte. Habe gerade geschätzte 30-40 Stunden mit Omada vertrödelt.
Ich wäre gerne bereit gewesen einen Teil dessen, was ich zwischenzeitlich erwirtschaftet hätte zu investieren, um mir damit Nerven zu sparen.
Ja, damit hatte ich bereits geliebäugelt. So ein Ding mit einem Intel N100 und ein paar 2,5G oder 10G Anschlüssen. Hab Hier noch ein paar Fujitsu Esprimo Q556 herumliegen, allerdings nur 1x1G LAN. Sonst hätte ich erste Gehversuche damit gestartet.
Was die pfsense angeht, so bin ich ganz bei @m-electronics. Nutze ja auch die pfsense. Ich nutze auch die CE-Version der pfsense. Wenn du aber nicht selbst installieren willst, kannst auch fertig konfigurierte Appliances mit vorinstalliertem pfSense Plus kaufen. Geht so ab unter € 200 los.
OK, Danke für die Rückmeldung!
Dann mache ich mich mal auf die Suche nach so einem China-pfSense-Router.
Nach dem gestrigen Tag, bin ich mit den TP-Link Router durch. Egal was ich mache, via Draytek bekomme ich keine IPv6. TP-Link Support schweigt, und über die Qualität der Vodafone Hotline/WhatsApp/E-Mail brauche ich Euch wohl erzählen
Zum Abschluss noch eine Frage:
pfSense vs OPNSense macht das einen Unterschied
Ubiquiti als Alternative zu pfSense, was ist da Eure Meinung?
Meiner Kenntnis nach nur bei DS-Lite. Google mal OPNsense und DS-Lite. Das klappt mit der OPNsense nicht. Mit der pfsense hingegen schon. Im Opnsense-Forum hat User coni77 irgendwann genervt aufgegeben DS-Lite dauerhaft mit einem Draytek Vigor 167 ans Laufen zu bringen und ist zur pfsense gewechselt. Seine gute Anleitung, wie er es mit der pfsense geschafft hat, kann man aber nur lesen, wenn man sich im Opnsense-Forum anmeldet.
Ubiquiti ist für mich nur komplizierter als die pfSense… Und da sowieso jeder Provider es wieder ein bisschen anders macht mit dem Internet (na gut, jeder vielleicht nicht), muss man sowieso jedes Mal neu schauen…
Ich hab versucht einen GIF Tunnel (RFC2473 v4inv6 Tunnel) auf der pfSense mit einer anderen pfSense einzurichten, hat dann auch geklappt… Wie das allerdings mit dynamischen IPs auf der einen Seite (Kunde) funktionieren soll, weiß ich nicht. Denn ich muss den Endpoint auf der ISP-pfSense fest setzen, das heißt → Wenn IP vom Kunden geändert → Tunnel tot!
Nein, aber die pfSense-IPv6 auf dem WAN ist evtl. nicht statisch. Und da ich (zumindest bei der pfSense) auf der anderen Seite die „GIF Remote Address“ auch statisch eintragen muss, knallt es dann.
Das ist richtig. Die GIF Remote Address bei Verbindung zweier pfsensen ist in der Regel nicht statisch. Aber wenn du zwei sensen an Anschlüssen mit DS-Lite oder CG-NAT per IPv4 verbinden willst und da einen Tunnel brauchst, kannst du das doch per Wireguard machen. Das wäre doch m.E so oder so der bessere Weg.
Das war auch nicht mein Ziel diese zu verbinden. Ich wollte den DS-Lite-Tunnel nachstellen und verstehen. Aber so wie das in der pfs implementiert ist, macht es aus ISP-Sicht keinen Sinn… Da wird es auch noch andere Implementierungen geben.
Was genau macht aus ISP-Sicht keinen Sinn? Dass die GIF Remote Address als IPv6-Adresse eingetragen werden muss und nicht als FQDN?
Ich hatte weiter oben ja schon mal den Link zu einem Bildschirmfoto einer 6490 Cable mit DS-Lite geteilt. Auch in der Fritte steht die GIF Remote Address als IPv6-Adresse unter Internet → Online Monitor → Internet, IPv4 und eben auch nicht der FQDN genau wie in der pfsense.
Der Unterschied dürfte nur der sein, dass in den werksseitigen Konfigurationsfiles der Fritten diese IPv6-Adresse der Internetprovider (zumindest aus dem deutschsprachigen Raum) bereits enthalten ist. AVM wird von den ISP damit ja gern versorgt, anders als Netgate & Co.
Es macht für mich keinen Sinn, dass man auf der ISP-Seite auch die Remote-Addresse des Clients auch statisch setzen muss. Denn wenn die sich mal ändert, ist der Tunnel tot. Also muss das bei ISPs die das einsetzen, etwas anders funktionieren.
Ich bin mir gerade nicht klar darüber welche Remote-Addresse du meinst.
Es gibt im GIF-Tunnel ja zwei davon.
GIF Remote Address (IPv6)
GIF tunnel remote address (IPv4)
Die erstere (die IPv6-GIF Remote Address) ist ja auch bei Fritten offenbar statisch. Evtl. wird diese lediglich einmalig bei der Automatischen Konfiguration eines Neuanschlusses vom ISP der Fritte übermittelt.
Die GIF tunnel remote address (IPv4) ist, genau wie die GIF tunnel local address, offenbar immer gleich. Egal welcher ISP. Habe verscheiden Anleitungen für DS-Lite bei verschiedenen Providern für die pfsense gefunden. Alle Anleitungen (egal ob Deutsche Glasfaser, M-Net, 1&1) ist gleich, dass diese immer 192.0.0.1 bzw. 192.0.0.2 sind. Das scheint so eine Art Quasi-Standard zu sein.
Ich meine die GIF Remote Address (IPv6), wenn die beim ISP statisch ist, ist ja noch nicht so schlimm, aber da sie ja (zumindest bei der pfSense) auf beiden Seiten statisch konfiguriert werden muss, funktioniert das mit wechselnden IPv6-Addressen auf Client-Seite nicht. Also muss das ja irgendwie noch anders gehen. Ich hab den Standard noch nicht gelesen…
ipshu Sagt zu 192.0.0.1 „ist eine reservierte IP-Adresse, die von der IP-Adressverwaltungsagentur reserviert und nicht als öffentliche oder private IP zugewiesen wurde. Die reservierte IP wird in der Regel für spezielle Zwecke verwendet, z. B. für Software, private Netzwerke, Hosts, Subnetze, Dokumente, Konvertierungen, Multicast, Broadcast, lokale Kommunikation, Loopback, Relay, Link, Mapping, Tests und zukünftige Verwendung. Nichtprofessionelle Benutzer sind selten involviert.“
Die v6-Adresse ist natürlich bei jedem ISP eine andere. Ein Reverse Lookup zu 2001:1438:fff:30::1 zeigt auf aftr.online.versatel.de. Versatel wiederum gehört zu 1&1. Macht also Sinn bei 1&1.
Du verstehst scheinbar immer noch nicht, was ich meine
Ich meine die IPv6-Addresse am WAN auf dem Kundenrouter. Diese wird ja nicht statisch sein. Und deswegen muss die ISP-Seite diesen Tunnel ja immer zu einer anderen Addresse aufbauen und das kann die pfSense nicht. Die braucht eine feste GIF Remote Address.
Hmm, so etwas ähnliches könnte ich auch schreiben, denn du hast die Problematik offenbar nicht vollumfänglich durchdrungen und siehst ein Problem wo keines ist.
das GIF-Interface hat ein Parent-Interface. Das ist das WAN-Interface
dieses WAN-Interface bekommt vom ISP eine IPv6-Adresse per DHCPv6. Diese kennt der ISP somit
GIF-Interface tunnelt IPv4 in IPv6 somit über das WAN-Interface und daher kennt der ISP woher die Daten kommen
das Wichtigste: nicht der ISP baut die Verbindung zum AFTR-Gateway (GIF-Interface) auf. das macht die pfsense. Somit muss nur die pfsense die IPv6-Adresse des AFTR-Gateways des ISP kennen (also die GIF Remote Address).
die pfsense bemerkt die Zwagstrennung jede Nacht.
sie bezieht sodann eine neue IPv6-Adresse
danach wird auch die Verbindung zum AFTR-Gateway des ISP erneuert. Das macht die pfsense. Das ist nicht anders als die Wiederherstellung eines VPN-Tunnels nach Zwangstrennung zwischen zwei Netzen (Net2Net-Tunnel). Auch der wird von der pfsense ja nach Zwangstrennung durch den ISP umgehend wieder hergestellt.
problematisch wird es nur sollte der ISP mal die IPv6-Adresse seines AFTR-Gateways ändern. Dann könnte die pfsense die Verbindung nicht wiederherstellen.
Das Ganze ist also dann ein Problem wenn man per GIF-Interface zwei sensen miteinander verbinden wollen würde. Was hier aber eigentlich nicht das Thema war, sondern es ging ursprünglich um DSL-Lite und da tut das GIF-Iterface genau das was es soll.
Insofern habe ich tatsächlich nicht verstanden um was es dir ging / geht, denn es ist eben für die eigentliche Problemstellung und die Ausgangsfragen (z.B. pfSense vs OPNSense macht das einen Unterschied) von @AnBa irrelevant.
Trotzdem habe ich durch deine Fragen auch gelernt, denn ich habe mich nun auch nochmal mit der Problematik DS-Lite intensiver befasst.
Deswegen sagte ich ja, der ISP muss diesen GIF-Tunnel auch ohne statische Remote Address aufbauen können und wird deswegen eine andere Implementierung nutzen als die die in der pfSense ist…
