Und Prefix /56 denke ich.
@Tux0ne Jup, /56…
@Anonymhmm jedem seine meinug… ich bin aber nicht sicher ob ich Deine überlegung nachvollziehen kann….
ich verstehe aktuell das Du dein eigenes ipv6 Subnet zu einem Provider mitnehmen möchtest, dies mit möglichst viel Bandbreite, richig?
Swisscom Network Engineer IP+ AS3303,
Hat leider auch mit Präfix /56 nicht geklapppt, ich bekomme vom DHCP6 Server keine IP. 
Sollten die restlichen Einstellungen so stimmen?
Also ich würde den Versuch einfacher beginnen.
Da der Prefix hier nicht statisch ist. Musst du dann in den lokalen Interfaces das WAN Interface Tracken. Mit einem 56 Prefix hast du also 8Bit (2 Ziffern nach dem Prefix) übrig um 64 Netze zu machen. Du kannst also von 00 bis ff gehen.
Habe gesehen das die Internet Büx ein 00 macht.
Also WAN und lokal konfigurieren. Das Interface neu starten. Dann kannst du auch im Firewall log schauen ob irgendwas auf dem WAN mit UDP 546 geblockt wurde. Das müsstest du dann freischalten.
Fall das nicht geht. Habe sonst einen Empfehlungscode bereit 
Danke Tux0ne
Mit der Option “Request only an IPv6 prefix” bekomme ich nun immerhin eine IPv6 auf dem WAN Interface: xxxx::xxx:xxxx:xxxx:xxxx%igb2 (ob das “%igb2” Suffix sein soll, weiss ich nicht 
)
Und anscheinend hab ich auch gleich ne neue IP auf dem IPv4 Interface bekommen… 
Auf dem LAN Interface ist Track Interface an:
In den Firewall logs erscheinen keine Blocks auf UDP 546:
Trotzdem bekomme ich bei IPv6 Test Seiten angezeigt, dass IPv6 nicht supported ist:
Genau möglichst viel Durchsatz mit eigenen IPv6 Adressen welche ich bei einem Providerwechsel mitnehmen kann. Das macht ja mehr als nur sinn.
Es bringt mir nicht viel wenn meine Pfsense eine IPv6 Adresse hat mit einem Swisscom Präfix respk. hat das nichts mit IPv6 zu tun aus meiner Sicht. Wem es nur um diesen Grundsatz geht, hat aus meiner Sicht das Konzept und die Idee hinter IPv6 nicht verstanden.
Da IPv6 nicht mit IPv4 kommunizieren kann muss ich ja auf jedem Gerät IPv6 aktivieren und konfigurieren und bei IPv6 gibt es kein NAT, genau jetzt kommt der Haken an der Geschichte. Jetzt muss ich ja jedem Gerät, eine IPv6 Adresse zuweisen also zum Beispiel meinem Drucker.
Wenn ich nun meinem Drucker eine IPv6 gebe welche ein Präfix von der Swisscom hat, muss ich den Drucker bei einem Provider Wechsel um konfigurieren.
Bitte korrigiert mich wenn das falsch sein sollte, dann hätte ich meine Hausaufgaben nicht gemacht?
Mein Problem (Und jeder der ein NAS oder eine Kamera hat) ist davon betroffen und wird bei einem Providerwechsel aber so richtig in die Röhre schauen. Das bedeutet jedes mal das ganze Netzwerk neu konfigurieren bei Firmen undenkbar und wenn man noch eine Doku hat dann kannst du es sowieso vergessen.
Daher müsste es einen Bundesgerichtsentscheid geben welcher das klar regelt und zwar, dass jeder Provider auch Provider unabhängige IP Adressen zulassen muss und aufschalten muss. Ich sehe nur als Alternative, dass der Provider dann jeweils die Neukonfiguration inkl. das Nachführen der Dokumentation übernimmt, somit habe ich damit auch kein Problem. Der Zugang zu meiner Wohnung würde natürlich gewähren aber es gibt natürlich nur ein bestimmtes vordefinierteres Wartungsfenster und das wird nicht eine Woche sein. Übrigens in diesem Fall müssten dann mit grösster wahrscheinlich noch die Firewall Regeln angepasst werden da ich ja auch fixe IP-Adressen vergeben muss. Ich nehme an der Rest dürfte klar sein dass allfällige Reverseproxy sowie DNS Geschichten auch angepasst werden müssen.
Ich spreche hier nicht von einem akuten Problem (Ausser man hat IPv6 bereits am laufen und hat das nicht beachtet). Aber ich kann das nicht verstehen dass aus Marketing Gründen es einem so schwer gemacht wird. Übrigens möchte ich ja die Provider sehen, wenn RIPE sagt, Ihr bekommt alle neue Präfixe weil wir da etwas umdisponieren müssen.
Ja das siehst du nicht ganz realistisch @Anonym
Du musst auch bei einem ISP Wechsel und damit verbundenem Prefix change nicht alles neu konfigurieren.
Grundsätzlich hast du ja slaac, damit adressiert sich alles neu. Und für Serverdienste kannst du statische leases mittels DHCP6 machen.
DHCP6 in pfsense übernimmt bei einem dynamischen Prefix diesen wieder. Definiert ist nur der Range und der statische client identifier. Der prefix wird anhand des tracking vom WAN wieder übernommenen. Das sollte man so konfigurieren.
Auch bei der lokalen DNS Auflösung gibt es die Möglichkeit die Namen anhand des DHCP6 leases zu übernehmen.
Also nur weil man IPv6 hat bindet das einem nicht plötzlich an den ISP weil die Adressierung der Clients unüberwindbare Hürden darstellen sollte.
Mein ISP Change hat glaube ich keine halbe Stunde gedauert und ich hatte einige statische Konfigurationen drin.
@Anonym schrieb:
bei IPv6 gibt es kein NAT,
Auch IPv6 unterstützt NAT. Nur ist der Einsatz von NAT bei IPv6 nicht zu empfehlen:
https://security.stackexchange.com/questions/44065/with-ipv6-do-we-need-to-use-nat-any-more
@Anonym schrieb:
Bitte korrigiert mich wenn das falsch sein sollte, dann hätte ich meine Hausaufgaben nicht gemacht?
Mein Problem (Und jeder der ein NAS oder eine Kamera hat) ist davon betroffen und wird bei einem Providerwechsel aber so richtig in die Röhre schauen. Das bedeutet jedes mal das ganze Netzwerk neu konfigurieren bei Firmen undenkbar
Auch für IPv6 gibt es Mechanismen zum vollautomatischen Verteilen von globalen IPv6-Adressen. Zum Beispiel: DHCPv6 und SLAAC. Wer jedem Netzwerkteilnehmer im Heimnetzwerk oder Firmennetzwerk händisch eine globale IPv6-Adresse zuweist, macht etwas falsch:
https://www.elektronik-kompendium.de/sites/net/2004011.htm
https://www.elektronik-kompendium.de/sites/net/1902141.htm
https://www.elektronik-kompendium.de/sites/net/1902131.htm
@Anonym schrieb:
Mein Problem (Und jeder der ein NAS oder eine Kamera hat) ist davon betroffen und wird bei einem Providerwechsel aber so richtig in die Röhre schauen.
Der Zugriff aus dem Internet auf solche Geräte sollte aus Sicherheitsgründen nur mit einem VPN-Tunnel möglich sein. Siehe “Gute Performance-Regel Nr. 5” unter:
\=> Für VPN-Tunnels kann man auch in ferner Zukunft weiterhin IPv4 einsetzen.
Generell sollte auf den Einsatz von IPv6 verzichtet werden, bis der ISP (hier Swisscom) Dual Stack unterstützt:
https://www.elektronik-kompendium.de/sites/net/1904041.htm
Der Einsatz jeglicher IPv6-Tunnellösungen ist nicht zu empfehlen. Siehe "Gute Performance-Regel Nr. 26 und:
https://community.swisscom.ch/t5/Internet-Allgemein/IPv6-6rd-MTU/td-p/641943
546 wäre der lokale Port nicht der Senderport.
Hat sich auf dem LAN keine Adresse als Gateway konfiguriert?
Dann musst du allenfalls ein bisschen try and error machen.
Du kannst es auch mal mit einer konfig wie hier versuchen. Einfach mit Prefix 56 und nicht 52!
Damit lokale Clients IPv6 nutzen können muss man dann nich den RA konfigurieren. Das ist schon klar?
> Damit lokale Clients IPv6 nutzen können muss man dann nich den RA konfigurieren. Das ist schon klar?
Nein, das ist mir nicht klar, um mich gleich mal als IPv6 noob zu outen. 
Und ich habe mir das mit dem IPv6 Ding wohl irgendwie einfacher vorgestellt.
Eigentlich würde ich IPv6 ohnehin nur so aus Interesse am Rande nutzen wollen, habe aber auch kein Problem es abzuschalten wenn es (so wie ich hier lese) von vielen Providern (u.a. auch Swisscom) wohl immer noch komplizierter als nötig gemacht wird.
Weil ich trotzdem noch ein kleines bisschen ehrgeizig bin, möchte ich doch noch ein paar Versuche machen.
Und um damit zur Diagnose näher zu kommen: Nein, auf dem internen (LAN) interface hat sich keine IPv6 Adresse konfiguriert.
DHCP Server läuft auf der Firewall auch nicht, der ist ausgelagert auf interne Server dahinter und für IPv6 auch nix konfiguriert (falls das notwendig werden würde), bzw. ich sehe hier, dass RAs wohl ein Teil vom DHCP6 Server zu sein scheinen.
Bevor ich mich jedoch an dieI Pv6 Konfiguration lokaler Clients herantaste würde ich gerne den Teil auf dem Router korrekt funktionierend haben.
Tux0ne Auch mit all den Zusatz Optionen hat das WAN interfsace lediglich eine fe80:: Adresse, was wohl dem link-local entspricht und darauf hinweist, das noch nichteinmal eine “richtige” IPv6 Adresse bezogen wird. 
Also ich habe dieses setup an welchem Du bastelst noch nie auf einer PF gemacht, aber ich vermute mal das der zweite hacken falsch ist @guybrush82 du willst den v6 nicht über den v4 beziehen,….
Swisscom Network Engineer IP+ AS3303,
@ChristianEb Das war nur zum testen auf Ratschlag von @Tux0ne.
Habs mittlerweile auch wieder raus gemacht, was aber auch nix verändert hat.
Vielen Dank für eure Antworten von verschiedenen Seiten. Da muss ich noch ein wenig meine Hausaufgaben machen. Aber das wird mehr als nur kompliziert mit IPv6, so viele Dinge wie man beachten muss / soll / kann. Ein richtiges Wirrwarr an Möglichkeiten. Damit steht auch fest dass 90% der jetzigen Heimnetz Betreuer bei IPv6 die komplette Übersicht verlieren werden ausser man hat so richtig viel Zeit.
Ich muss mich aber in die gewissen Services noch einlesen. Das Elektronik Kompendium ist mir bekannt aber ich bin noch nicht durch.
“Wer jedem Netzwerkteilnehmer im Heimnetzwerk oder Firmennetzwerk händisch eine globale IPv6-Adresse zuweist, macht etwas falsch:”
Mit dieser Aussage werde ich sicher noch genauer beschäftigen und es austesten sowie reinlesen. Das ist genau Kernpunkt von der ganzen Sache.
Der Rest bezg. Performance und Sicherheit sind anderen Thematiken und sind im ersten Schritt vernachlässigbar da zuerst das Grundprinzip klar muss sein. Danach folgt Sicherheit und am Ende dann Performance.
Ich mache mich einmal schlau was SLAAC und Autokonfiguration bedeutet. Vielen Dank für die Hinweise.
Natürlich bin ich trotzdem an den Einstellungen für die Pfsense interessiert. Ich habe mich aber noch nicht entschieden welches Internet mich in Zukunft begleiten wird. Aber das dauert ja noch 2 Monate bis alle Kabel drin sind und alles aufgeschaltet wird. Daher habe ich noch Zeit und die Hardware muss ich auch noch bestellen sowie fertig evaluieren. Man sieht aber, dass ich nicht der einzige bin und da bin ich froh
.
ein Monat später
Hallo
O.T.
Apropos “einlesen” kann ich folgende Bücher empfehlen:
Beste Grüsse
Die Bücher von Silvia Hagen sind zwar sehr gut, aber leider nicht mehr ganz auf dem aktuellen Stand. Klar, die Grundlagen von IPv6 sind nach wie vor gültig, aber in Sachen praktischer Umsetzung/Implementation/Konzepte hat sich in den letzten Jahren doch einiges getan.
6 Tage später
Seit gestern ist XGS-PON 10/10 Giga verfügbar. Nun habe ich mir folgendes gedacht:
Bestellung von Hybrid7 P2MP dazu kommt der Zyxel AX7501-B0, diesen setze ich in den Bridge Modus. Danach kommt meine Pfsense und dort habe ich meine dynamische WAN IPv4? Das bedeutet nicht eine interne Adresse vom Zyxel Modem.
Einfache Frage, daher wünsche ich mir eine einfache Antwort: funktioniert oder funktioniert nicht!
IPv6 lassen wir einmal weg im Moment. Das kann ich ja noch später konfigurieren. Ich will nur meine WAN IP direkt an der PFsense haben, wenn das nicht geht, dann habe ich Probleme.
Ich bin etwas verwirrt wegen solchen Aussagen welche ich bereits erhalten habe:
10G via PPPOE ist extrem CPU intensive. Wo wir effektiv direkt darkfiber/FTTH haben ist 10G eben nur geroutet, PPPOE braucht extrem viel mehr CPU, und dann kriege ich nur beschwerden weil’s je nachdem halt bei 2,3,4GBIT/s peaked. Wir geben keine 10G Garantie zzt auf BBCS.
Meine nächste Frage:
Hybrid7 P2MP läuft ja via PPPOE macht die Anmeldung nun das Zyxel Modem und leitet mir dann eifach alles weiter auf die Pfsense? Gibt es da wirklich noch so Performance respk. Rechenprobleme?
Ja wenn der Zyxel Router in Bridge Mode ist erhält das nachgeschaltete Gerät die öffentliche IP.
Wenn der Zyxel im Bridge Mode ist macht die Anmeldung der nachgelagerte Router. Ist der Zyxel im Router Modus macht dieser die Anmeldung und man kann bei IPv4 nur noch NAT auf den nachgelagerten Router machen.
Ja PPPoE ist etwas rechenintensiver.
Bereits 10GE braucht bei pfsense eine starke Hardware. Ob DHCP oder PPPoE ist jetzt mal egal. Je nachdem ob man nur NAT und FW macht. IDS ist nochmals eine andere Geschichte.
Ansätze was es so braucht und was möglich ist kannst du bei den Netgate Appliances nachschlagen. Da hat es solche die knapp 10GE erreichen.
Bietet init7 nun die “10GE” über XGS PON auch an? Das war mal noch auf 1GE begrenzt. Haben sie die Anbindungen und Verträge angepasst?
@Tux0ne schrieb:
Bereits 10GE braucht bei pfsense eine starke Hardware. Ob DHCP oder PPPoE ist jetzt mal egal. Je nachdem ob man nur NAT und FW macht. IDS ist nochmals eine andere Geschichte.
Ansätze was es so braucht und was möglich ist kannst du bei den Netgate Appliances nachschlagen. Da hat es solche die knapp 10GE erreichen.
Wer eigene, selbst erlesene Hardware für die Firewall von 10GBit/s oder schnelleren Internetanschlüssen verwenden will, sollte sich von der Webseite:
https://michael.stapelberg.ch/posts/2021-07-10-linux-25gbit-internet-router-pc-build/
inspirieren lassen. Diese selbst erlesene Hardware betreibt man idealerweise mit einem selbst installierten Linux oder Vanilla-FreeBSD ohne Webinterface-Schnickschnack à la pfSense, OPNsense, IPFire. Wer sich für Linux oder Vanilla-FreeBSD als Betriebssystem der eigenen Hardware-Firewall interessiert, sollte hier weiterlesen:
Aufgepasst beim Einsatz von IPerf3 für Datendurchsatzmessungen im Bereich > 1 GBit/s. Die CPU wird bei Datenübertragungsraten > 1 GBit/s sehr schnell zum Flaschenhals:
https://github.com/esnet/iperf/issues/289
Im Bereich > 1 GBit/s sollten generell die Hinweise und Tuning-Tipps unter:
beachtet werden.
Und immer die Aussage von TuxOne im Hinterkopf behalten:
Wisst ihr was. 10gps sind aktuell für die Tonne. Meine 95th Percentile liegt bei 18mbps bei eine 1Gbps Anschluss und das ist vermutlich schon sehr hoch! Peering, tiefe Latenz, Verfügbarkeit und Zuverlässigkeit, das ist wichtig und nicht ein Speedpost der nichts bringt.
Quelle: https://www.tuxone.ch/2021/01/4-nullen-und-die-reisschussel.html
Deshalb sollte die Wahl der Anschlusstechnik für den Internetanschluss gemäss der unter:
https://community.swisscom.ch/t5/Mobile/Wifi-Calling-scheint-nicht-zu-funktionieren/m-p/662138#M8881
aufgeführten Reihenfolge erfolgen => AON vor PON!
Ich empfehle die Verwendung von standardisierten und speziell für die Verwendung als Firewall, Router, Next Gen Firewall, IDS/IPS, VPN-Gateway etc. entwickelten und sehr verbreiteten open source Produkten wie pfSense oder OPNsense. Man beachte nur die Anleitungen und Handbücher von Netgate (https://docs.netgate.com/pfsense/en/latest/) resp. pfSense (https://docs.opnsense.org/). Auch die Community von OPNsense und pfSense stehen irgendwelchen Bastellösungen mit iptables in Nichts nach. Wenn sich jeder Nutzer auf seinem favorisierten Linux irgendein Router zurechtkonfiguriert, kommt dies nicht gut. Zu viele Konfigurationsfehler können zu Sicherheitsproblemen führen. Die FreeBSD resp. HardenedBSD-Basis von OPNsense und pfSense wurde zudem speziell für den Einsatz als Firewall-Appliance gehärtet. Es sind standardisierte, kommerziell supported und sehr verbreitete Produkte, welche ich jedem “advanced user” empfehlen kann. Gerade das Webinterface macht die Konfiguration intuitiv und reduziert die möglichen Fallstricke und Fehler.
OPNsense und pfSense lassten sich auch virtualisieren. Ich betreibe beide Lösungen seit Jahren in einem Proxmox VE Cluster. Die vorgeschlagenen Optimierungsmassnahmen in der Doku (https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html) sollten beachtet werden. Ich erreiche auch virtualisiert eine Routing-Performance von 10 Gbit/s unter den verschiedenen VLAN’s. Die 1 Gbit/s- Datenrate von meinem UPC Business Internet 1000 DOCSIS 3.1 WAN Uplink wird spielen erreicht.
Für die CLI-Liebhaber: Wer einen hoch performanten Software-Router auf “off the shelf” Hardware sucht, wird auch bei Netgate mit TNSR (https://www.tnsr.com/) fündig. TNSR verfügt über keine WebUI, sondern lässt sich nur über’s CLI konfigurieren. Die Einstiegshürden sind grösser, aber die Performance bei gleicher Hardware ist besser als bei pfSense. Für Heimnutzer ist TNSR zudem kostenlos.
Wer dedizierte Hardware sucht, wird bei Netgate (https://www.netgate.com/appliances) fündig. Die Geräte können über die Contria GmbH (https://www.contria.ch/) in Langenthal bestellt werden. Die Firma hat zudem einen sehr kompetenten Support und gute Verkaufsberatung.