Hinweis: 1&1 Glasfaser ist meines Wissen nach NICHT CGNAT sondern DS-Lite. Für DS-Lite benötigst du (anders als bei CGNAT) ein als AFTR-Gateway genutztes GIF-Interface. Ich bin bei 1&1 habe dieses als AFTR-Gateway genutztes GIF-Interface allerdings auf einer pfsense.
Das war jetzt die gute Nachricht. Nun zur schlechten.
Soweit mir bekannt soll die OPNsense dieses als AFTR-Gateway genutztes GIF-Interface nicht stabil halten können und nach jeder Zwangstrennung (alle 24h bei 1&1) wieder verlieren. Jedenfalls war das der Stand von Frühjahr 2024 und daher einer der Gründe, warum ich eine pfsense und keine OPNsense nutze. Informiere dich also im OPNsense-Forum genauer nach dem aktuellen Stand.
Also was denn nun? Dual Stack ODER CGNAT. Beides zugleich geht nicht.
Bei CGNAT hast du eine WAN-IPv4-Adresse aus dem 100.64.0.0/10-Subnet, dem Adressbereich für Carrier Grade NAT (CGN, RFC 6264). Aus diesem Block teilen Internet-Provider ihren Kunden Adressen (RFC 6598) zu, wenn ihnen die öffentlichen IPv4-Adressen ausgegangen sind. Für mehr Infos nutzt du die Search-Engine deiner Wahl.
Bei Dual Stack hat man ganz sicher keine IPv4-Adresse aus dem 100.64.0.0/10-Subnet.
Das ist ja das Verrückte. Es ist wirklich ein Dual Stack mit öffentlicher IPv4 (94.134.19*.***) und natürlich einer IPv6 ABER der ganze Anschluss hängt hinter dem CGNAT. Laut 2nd Level Support managed die Telekom das CGNAT und 1&1 hat darauf keinen Einfluss.
Nun gut. Nehmen wir das mal so hin. Wenn du diese öffentliche IPv4 (94.134.19*.***) exklusiv für dich hast, dann müsstest du doch dennoch Portfreigaben (z.B. für Wireguard) auf diese IPv4 konfigurieren können oder deine sense per ping und traceroute erreichen können. Selbstreden braucht es auch für ping und traceroute passende Rules in der sense und du könntest in den Logs der sense auch sehen ob die ankommen oder irgendwo anders landen, wie bei echtem CGNAT zu erwrten wäre.
Ein ping auf die öffentliche IP aus dem Dual Stack 94.134.19*.*** ist von außerhalb möglich. Ein tracert findet nach 13 Zeitüberschreitungen die IP und löst auch die 1&1 (versatel) korrekte temporäre Domain der IP auf.
Hier zur besseren Übersicht hier ein paar Screenshots.
Das identische Setup lief bis vor vier Wochen mit einem Vodafone Kabelanschluss mit echtem Dual Stack OHNE CGNAT. Der HAproxy auf der OPNsense hat alles perfekt gemanaged, die Portweiterleitungen haben gemacht, was sie sollten und alles war gut. Die Webseiten wurden per DYNDNS (auf der OPNsense) auf die aktuelle IPv4 registriert.
Heute bringt es nicht mal etwas die IP einer Webseite per A-Eintrag auf die WAN-fiber IPv4 zu setzen und dann zu versuchen die Seite aufzurufen. “Webseite ist nicht erreichbar”.
Daher war mein Versuch mit einem VPS hinter dem CGNAT die Weiterleitung einzurichten. Bisher aber ohne Erfolg.
Naja, wie sage ich es schonend. Du hast auf jeden Fall Konfigurationsprobleme. Deine IPv6-Konfiguration ist nicht korrekt. Du hast ja nur eine fe80-Adresse, also eine nur Local-Link Adresse. Deswegen steht bei dir bei WHat is My IP auch IPv6: UNKNOWN.
Was hast du denn am WAN-interface vor deiner sense? Direkt einen ONT oder einen Router wie z.B. 'ne Fritte?
… nix da schonend. Sind ja nicht in einer Selbsthilfegruppe. Oder doch ?
Ja, IPv6 läuft noch nicht, ist aber mein kleineres Problem und hat nichts mit dem IPv4 / Webseiten Thema zu tun, denke ich. Aber gerne nehme ich hier auch Hilfe an. Das Problem ist, dass ich keine Infos finden konnte, wie die IPv6 bei einem 1&1 Anschluss konfiguriert werden möchte.
Aktuell ist die Konfig so… (OPNsense hängt direkt am ONT).
Naja, als hat damit nichts zu tun würde ich das nicht bezeichnen. Durch CGNAT bist du ja aktuell weder per ipv4 noch per ipv6 von außen erreichbar, Wir sind hier ja im ipv64-Forum. Werder der CDN-Portmapper noch der CDN Reverse-Proxy können funktionieren, wenn es kein funktionierendes IPv6 gibt und dir so auch zur Erreichbarkeit per IPv4 verhelfen.
Aha. Aber es gibt eine generelle Info dazu, wie man eine OPNsense korrekt für IPv6 konfiguriert. Diese Info gibt es sogar direkt in den OPNsense-Docs:
Das sich das auf DSL bezieht ist irrelevant, denn es ist egal ob sich vor der sense ein DSL-Modem oder ein Glasfaser ONT befindet. Genauso irrelevant ist es, dass der Autor es am Anschluss von Deutsche Telekom getestet hat. Funktioniert bei 1&1 auch, zumal du ja eh an einer Deutsche Telekom Leitung hängst.
Das klappte sogar für meine pfsense, wenngleich ich natürlich etwas mehr Gehirnschmalz reinstecken musste, denn das Frontend der pfsense ist ja ein anders als das der OPNsense. Prinzipiell ist das richtig für alle DSL- und Glasfaser-Anschlüsse mit PPPoE in Deutschland, nur bei Internet über TV-Kabel passt es evtl. nicht so ganz.
Statt aufs Dashboard guckst du besser in so etwas wie Status → Interfaces oder auch per ssh auf die OPNsense:
ssh admin@192.168.102.1
Netgate Device ID: 01234567890123456789
*** Welcome to pfSense 2.8.1-RELEASE (amd64) on pfSense ***
WAN (wan) -> pppoe0 -> v6/DHCP6: 2001:1111:aaaa:bbbb:cccc:dddd:eeee:673d/64
Nachtrag: bei mir wird unter Status → Interfaces sowohl eine IPv6 Link Local (fe80) wie auch eine IPv6 Address 2001:1111:aaaa:bbbb:cccc:dddd:eeee:673d gelistet. Und nicht wundern, die Gateway IPv6 ist auch immer eine Link Local (fe80). Das ist normal.
Und noch viel wichtiger … nix da mit lokaler IPv4. Die 94.134.###.## ist das Gateway. Lokal ist nur die 109.250.###.### vom CGNAT. Dual Stack ist aber trotzdem am Start. Zumindest laut schriftlicher Bestätigung von 1&1. Aber wie nur?!
Zurück also zum eigentlichen Problem. Das Erreichen meiner Webseiten und Dienste per IPv4 über das Internet.
Der Wireguard Tunnel zwischen der OPNsense und dem VPS steht. Ping vom VPS an 10.69.69.2 (Wireguard auf der OPNsense) und von der OPNsense ping an 10.69.69.1 (Wireguard auf dem VPS) geht. Habe die Anleitungen mehrfach geprüft und Abwandlungen versucht. Es fühlt sich wie ein Routing oder iptables Problem an. Habe aus den Anleitungen alles x-mal geprüft. Wald vor Bäumen und so… wahrscheinlich.
Auf der OPNsense gibt es die funktionierende Wireguard Instance und Peer, ein Interface auf dem Wireguard Tunnel und ein Gateway auf dem Interface. In der Firewall habe ich temporär dem Wireguard Interface allow all gegeben.
Das sollte eben genau keine lokale Adresse sein. Es sollte bei Dual Stack die öffentlich erreichbare WAN-Adresse deiner pfsense sein, über die du per Firewall-Regeln und NAT z.B. den TCP-Port 22 an einen Server im LAN weiterleiten kannst, um per ssh auf diesen zu gelangen. Oder auch den TCP-Port 443 für https auf einen Websever.
Geht das hast du Dual Stack. Geht das nicht wohl leider doch nur CGNAT: Eine WAN IPv4-Adresse hat man immer. Egal ob CGNAT, DS-Lite oder Dual Stack. Der unterschied zwischen CGNAT, DS-Lite auf der einen und Dual Stack auf der anderen Seite ist eben nur die Exklusivität dieser nach außen (also ins Internet) übermittelten IPv4-Adresse. Gehört diese exklusiv dir (Dual Stack) dann kannst du NAT machen und Ports weiterleiten. Teilst du sie dir mit anderen (CGNAT, DS-Lite) geht das nicht.
Ich erst mal nicht. Denn diese eigentliche Problem kann sinnvoll erst nach Klärung der Frage gelöst werden, welche Art IPv4-Adresse (siehe oben) du hast, denn davon ist abhängig, was sinnvollerweise nun zu tun ist.
Im übrigen hast du dein IPv6 noch immer nicht vollständig konfiguriert. Deine zahlreichen VLAN’s haben ja noch kein v6. In der Abbildung oben sieht da ja jetzt nur was fürs WAN in der Spalte IPv6. Da gibt es noch einiges zu tun, bis alle rund läuft. Aber darauf geht die oben verlinkte Anleitung „IPv6 for generic DSL dialup“ nicht weiter ein.
Zur LAN-Config findet man mehr in IPv6 behind an AVM Fritz!Box im Abschnitt „Step 3 - configure the internal DMZ / LAN / WLAN interfaces“. Da wird klar, dass jedes LAN-Segment eine andere Interface prefix ID braucht. In „Step 3.1 - configure the Router Advertisements“ geht es dann um die auch nicht unwichtigen Router Advertisements und die Frage SLAAC oder DHCPv6.
Hab eben nochmal im Support von 1und1 angerufen. Auf die schnörkellose Frage “was ist bei uns geschaltet? DS-lite oder Dual Stack” kam nach “Moment, ich gucke nach” die Antwort “eindeutig Dual Stack”. Kann es sein, dass dies nichts mehr bringt, wenn der Anschluss letztendlich hinter einem CGNAT hängt, was 1und1 evtl. gar nicht beeinflussen kann, weil das im Backbone der Telekom oder Versatel (1und1 Mutter) verankert ist?
Der Sachverhalt zu NAT und Portweiterleitungen ist mir klar. Aber danke für die saubere Erläuterung - auch für die Nachwelt.
Bei meiner Problemlösung bin ich auf dem Weg CGNAT links liegen zu lassen und mit der OPNsense per Wireguard einen Tunnel zu einem VPS mit echter, fester IPv4 hinter dem CGNAT zu bohren. Diese Aussenstelle ist dann meine IPv4 für die Webseiten und Dienste. Anleitungen dazu gibt es einige im Netz. Aber leider keine mit der Konstellation OPNsense im Heimnetz und VPS draußen mit fester IP, von wo der Verkehr ins lokale Netz geleitet wird.
@XV1100 hat das Thema hier in Kurzform beschrieben, da er das für sich hinbekommen hat. Stichwort “OPNsense mit Vorgeschaltetem VPS (bei mir IONOS) ohne SNAT: läuft.” Ich würde mich super freuen, wenn es dazu noch ein paar Details zur Konfiguration der OPNsense hinsichtlich Wireguard Interface, Gateway und Firewall gibt.
@E-J-D Ich helfe Dir gerne, sobald ich weiß wo es klemmt. Eigentlich ist der Aufbau der Wireguard-Verbindung nicht sonderlich schwer. Ich hatte Probleme, ohne SNAT auszukommen, weil ich die zugreifenden IP-Adressen brauche. Der Ionos oder Strato VPS muss gültige IPV4 und IPV6 Adressen haben. An meinem Glasfaser-Anschluß mit Original-Modem bekomme ich eine nutzlose IPV4 100.85.x.x und eine öffentliche IPV6. Den Tunnel zum VPS baue ich über IPV4 auf, weil das manchmal eher verfügbar ist als IPV6. Bevor ich nach einem reset eine IPV6 von der Deutschen Glasfaser bekomme, können schon mal 10min vergehen. IPV4 ist meistens eher da.
Ich will Dich jetzt nicht zulabern… Läuft Dein Wireguard-Tunnel und funktioniert das anpingen der jeweiligen Gegenseite über eine ssh-session?
Falls das alles funktioniert… Und Du kein SNAT oder MASQUERADE im VPS stehen hast, könnte es sein dass Du das Gateway nicht bei reply-to eingetragen hast.
es ist ja nicht so, dass ich nicht helfen wollen würde
ich weiß aber eben auch nicht nicht wo es wirklich klemmt
Ich vermute aber noch Probleme in der Konfiguration von @E-J-D OPNsense. Denn ich bin auch bei 1&1, Leitung von der Deutschen Telekom und habe DS-Lite. Soweit mir bekannt gibt es auch bei Deutsche Telekom Glasfaseranschlüssen gar kein CGNAT und bei 1&1 schon erst recht nicht. Die von 1&1 machen entweder DS-Lite oder Dual Stack. Es wurde ja auch vom 1&1 Support mit “eindeutig Dual Stack” bestätigt, dass @E-J-DKEIN CGNAT hat.
Daher doktern wir hier wahrscheinlich gerade an einem CGNAT-Problem herum, das gar kein CGNAT-Problem ist, sondern ein vollkommen anderes.
@The_eagle@XV1100 erst einmal herzlichen Dank für eure Mühe mir zu helfen. Ich liebe den Community Gedanken .
In Sitchpunkten hier die Fakten.
Die OPNsense läuft seit ca. vier Jahren, bis 08/2025 an einem Vodafone Internet Kabelanschluss mit Dual Stack. IPv4 und IPv6 wurden wie erwartet von der OPNsense angezeigt und ich konnte diese nutzen. Mit Zugriff von außen, dem HAproxy, der die https Verbindungen gemanaged hat, ein paar Portweiterleitungen auf meine Synology, etc.
Seit 09/2025 dann der 1&1 Glasfaseranschluss. Ich habe einen freien LAN Port der OPNsense für die Verbindung zum ONT in Betrieb genommen. Der WAN Anschluss, an dem Vodafone hing, habe ich leer gelassen - wer weiß, was noch kommt .
Auf Nachfrage bei 1&1 wurde mir gesagt, dass der Dual Stack noch geschaltet werden muss bzw. DS-lite abgeschaltet wird. BTW, zweimal habe ich am Telefon im Support gehört, dass die irreversibel ist. DS-lite wieder anschalten würde nicht gehen. Irgendwann kam dann die Bestätigung… Dual Stack ist aktiv.
… und…
… ääähhh…
… dann mach ich euch diesen Screenshot und will aus Wikipedia den Bezug zum CGNAT herstellen…
… ööööhm…
WIE BESCHEUERT BIN ICH EIGENTLICH ?
Die IP ist 109.250.usw… nicht 100.usw., was nämlich aus dem CGNAT Adressbereich wäre.
Oh Gott ist mir das peinlich . 109.usw. ist eine valide, öffentliche IPv4 Adresse.
…ääääh
Wisst ihr was ? Der Anschluss ist mit Dual Stack geschaltet worden.
erst mal danke für deine Info. Ja, CGNAT ist 100.64.0.0/10 also in anderen Worten 100.64.0.0 bis 100.127.255.255. Das war ja mein Reden seit ich dich erstmals auf die 100.64.0.0/10 verwies.
Aber wie sagt man so schön:
Manchmal sieht man den Wald vor lauter Bäumen nicht.
Und da bist du ganz gewiss nicht der Erste,
Moin, ich wollte das gerade schreiben, dass 109.x.x.x keine CGNAT-Addresse ist…
Aber warum dann der HAProxy nicht läuft, weiß ich nicht. Firewall-Regeln falsch konfiguriert? / Noch auf dem alten WAN?
Also wenn das so brauchst ( service sieht public IP) : das geht nur wenn.die Rückroute stimm== server ist auch default router
Wenn du jedem serice per wireguard ne public v6 geben willst: nimm ein untersubnetz deiner zugewisenen CIDR vom VPS ( /96 oder kleiner reicht , /112 zB) und diesen bereich nimmst du als wireguard interface bereicht, sysctls und iptables.nicht vergessen, die narive loesung geht.auch ohne DNAT, beide brauchen keim SNAT
… nix da schonend. Sind ja nicht in einer Selbsthilfegruppe. Oder doch 
?
.
. IPv6 ist am Start.
… nix da mit lokaler IPv4. Die 94.134.###.## ist das Gateway. Lokal ist nur die 109.250.###.### vom CGNAT. Dual Stack ist aber trotzdem am Start. Zumindest laut schriftlicher Bestätigung von 1&1. Aber wie nur?!
.
? Der Anschluss ist mit Dual Stack geschaltet worden.