546 wäre der lokale Port nicht der Senderport.
Hat sich auf dem LAN keine Adresse als Gateway konfiguriert?
Dann musst du allenfalls ein bisschen try and error machen.
Du kannst es auch mal mit einer konfig wie hier versuchen. Einfach mit Prefix 56 und nicht 52!
Damit lokale Clients IPv6 nutzen können muss man dann nich den RA konfigurieren. Das ist schon klar?
> Damit lokale Clients IPv6 nutzen können muss man dann nich den RA konfigurieren. Das ist schon klar?
Nein, das ist mir nicht klar, um mich gleich mal als IPv6 noob zu outen. 
Und ich habe mir das mit dem IPv6 Ding wohl irgendwie einfacher vorgestellt.
Eigentlich würde ich IPv6 ohnehin nur so aus Interesse am Rande nutzen wollen, habe aber auch kein Problem es abzuschalten wenn es (so wie ich hier lese) von vielen Providern (u.a. auch Swisscom) wohl immer noch komplizierter als nötig gemacht wird.
Weil ich trotzdem noch ein kleines bisschen ehrgeizig bin, möchte ich doch noch ein paar Versuche machen.
Und um damit zur Diagnose näher zu kommen: Nein, auf dem internen (LAN) interface hat sich keine IPv6 Adresse konfiguriert.
DHCP Server läuft auf der Firewall auch nicht, der ist ausgelagert auf interne Server dahinter und für IPv6 auch nix konfiguriert (falls das notwendig werden würde), bzw. ich sehe hier, dass RAs wohl ein Teil vom DHCP6 Server zu sein scheinen.
Bevor ich mich jedoch an dieI Pv6 Konfiguration lokaler Clients herantaste würde ich gerne den Teil auf dem Router korrekt funktionierend haben.
Tux0ne Auch mit all den Zusatz Optionen hat das WAN interfsace lediglich eine fe80:: Adresse, was wohl dem link-local entspricht und darauf hinweist, das noch nichteinmal eine “richtige” IPv6 Adresse bezogen wird. 
Also ich habe dieses setup an welchem Du bastelst noch nie auf einer PF gemacht, aber ich vermute mal das der zweite hacken falsch ist @guybrush82 du willst den v6 nicht über den v4 beziehen,….
Swisscom Network Engineer IP+ AS3303,
@ChristianEb Das war nur zum testen auf Ratschlag von @Tux0ne.
Habs mittlerweile auch wieder raus gemacht, was aber auch nix verändert hat.
Vielen Dank für eure Antworten von verschiedenen Seiten. Da muss ich noch ein wenig meine Hausaufgaben machen. Aber das wird mehr als nur kompliziert mit IPv6, so viele Dinge wie man beachten muss / soll / kann. Ein richtiges Wirrwarr an Möglichkeiten. Damit steht auch fest dass 90% der jetzigen Heimnetz Betreuer bei IPv6 die komplette Übersicht verlieren werden ausser man hat so richtig viel Zeit.
Ich muss mich aber in die gewissen Services noch einlesen. Das Elektronik Kompendium ist mir bekannt aber ich bin noch nicht durch.
“Wer jedem Netzwerkteilnehmer im Heimnetzwerk oder Firmennetzwerk händisch eine globale IPv6-Adresse zuweist, macht etwas falsch:”
Mit dieser Aussage werde ich sicher noch genauer beschäftigen und es austesten sowie reinlesen. Das ist genau Kernpunkt von der ganzen Sache.
Der Rest bezg. Performance und Sicherheit sind anderen Thematiken und sind im ersten Schritt vernachlässigbar da zuerst das Grundprinzip klar muss sein. Danach folgt Sicherheit und am Ende dann Performance.
Ich mache mich einmal schlau was SLAAC und Autokonfiguration bedeutet. Vielen Dank für die Hinweise.
Natürlich bin ich trotzdem an den Einstellungen für die Pfsense interessiert. Ich habe mich aber noch nicht entschieden welches Internet mich in Zukunft begleiten wird. Aber das dauert ja noch 2 Monate bis alle Kabel drin sind und alles aufgeschaltet wird. Daher habe ich noch Zeit und die Hardware muss ich auch noch bestellen sowie fertig evaluieren. Man sieht aber, dass ich nicht der einzige bin und da bin ich froh
.
Hallo
O.T.
Apropos “einlesen” kann ich folgende Bücher empfehlen:
Beste Grüsse
Die Bücher von Silvia Hagen sind zwar sehr gut, aber leider nicht mehr ganz auf dem aktuellen Stand. Klar, die Grundlagen von IPv6 sind nach wie vor gültig, aber in Sachen praktischer Umsetzung/Implementation/Konzepte hat sich in den letzten Jahren doch einiges getan.
Seit gestern ist XGS-PON 10/10 Giga verfügbar. Nun habe ich mir folgendes gedacht:
Bestellung von Hybrid7 P2MP dazu kommt der Zyxel AX7501-B0, diesen setze ich in den Bridge Modus. Danach kommt meine Pfsense und dort habe ich meine dynamische WAN IPv4? Das bedeutet nicht eine interne Adresse vom Zyxel Modem.
Einfache Frage, daher wünsche ich mir eine einfache Antwort: funktioniert oder funktioniert nicht!
IPv6 lassen wir einmal weg im Moment. Das kann ich ja noch später konfigurieren. Ich will nur meine WAN IP direkt an der PFsense haben, wenn das nicht geht, dann habe ich Probleme.
Ich bin etwas verwirrt wegen solchen Aussagen welche ich bereits erhalten habe:
10G via PPPOE ist extrem CPU intensive. Wo wir effektiv direkt darkfiber/FTTH haben ist 10G eben nur geroutet, PPPOE braucht extrem viel mehr CPU, und dann kriege ich nur beschwerden weil’s je nachdem halt bei 2,3,4GBIT/s peaked. Wir geben keine 10G Garantie zzt auf BBCS.
Meine nächste Frage:
Hybrid7 P2MP läuft ja via PPPOE macht die Anmeldung nun das Zyxel Modem und leitet mir dann eifach alles weiter auf die Pfsense? Gibt es da wirklich noch so Performance respk. Rechenprobleme?
Ja wenn der Zyxel Router in Bridge Mode ist erhält das nachgeschaltete Gerät die öffentliche IP.
Wenn der Zyxel im Bridge Mode ist macht die Anmeldung der nachgelagerte Router. Ist der Zyxel im Router Modus macht dieser die Anmeldung und man kann bei IPv4 nur noch NAT auf den nachgelagerten Router machen.
Ja PPPoE ist etwas rechenintensiver.
Bereits 10GE braucht bei pfsense eine starke Hardware. Ob DHCP oder PPPoE ist jetzt mal egal. Je nachdem ob man nur NAT und FW macht. IDS ist nochmals eine andere Geschichte.
Ansätze was es so braucht und was möglich ist kannst du bei den Netgate Appliances nachschlagen. Da hat es solche die knapp 10GE erreichen.
Bietet init7 nun die “10GE” über XGS PON auch an? Das war mal noch auf 1GE begrenzt. Haben sie die Anbindungen und Verträge angepasst?
@Tux0ne schrieb:
Bereits 10GE braucht bei pfsense eine starke Hardware. Ob DHCP oder PPPoE ist jetzt mal egal. Je nachdem ob man nur NAT und FW macht. IDS ist nochmals eine andere Geschichte.
Ansätze was es so braucht und was möglich ist kannst du bei den Netgate Appliances nachschlagen. Da hat es solche die knapp 10GE erreichen.
Wer eigene, selbst erlesene Hardware für die Firewall von 10GBit/s oder schnelleren Internetanschlüssen verwenden will, sollte sich von der Webseite:
https://michael.stapelberg.ch/posts/2021-07-10-linux-25gbit-internet-router-pc-build/
inspirieren lassen. Diese selbst erlesene Hardware betreibt man idealerweise mit einem selbst installierten Linux oder Vanilla-FreeBSD ohne Webinterface-Schnickschnack à la pfSense, OPNsense, IPFire. Wer sich für Linux oder Vanilla-FreeBSD als Betriebssystem der eigenen Hardware-Firewall interessiert, sollte hier weiterlesen:
Aufgepasst beim Einsatz von IPerf3 für Datendurchsatzmessungen im Bereich > 1 GBit/s. Die CPU wird bei Datenübertragungsraten > 1 GBit/s sehr schnell zum Flaschenhals:
https://github.com/esnet/iperf/issues/289
Im Bereich > 1 GBit/s sollten generell die Hinweise und Tuning-Tipps unter:
beachtet werden.
Und immer die Aussage von TuxOne im Hinterkopf behalten:
Wisst ihr was. 10gps sind aktuell für die Tonne. Meine 95th Percentile liegt bei 18mbps bei eine 1Gbps Anschluss und das ist vermutlich schon sehr hoch! Peering, tiefe Latenz, Verfügbarkeit und Zuverlässigkeit, das ist wichtig und nicht ein Speedpost der nichts bringt.
Quelle: https://www.tuxone.ch/2021/01/4-nullen-und-die-reisschussel.html
Deshalb sollte die Wahl der Anschlusstechnik für den Internetanschluss gemäss der unter:
https://community.swisscom.ch/t5/Mobile/Wifi-Calling-scheint-nicht-zu-funktionieren/m-p/662138#M8881
aufgeführten Reihenfolge erfolgen => AON vor PON!
Ich empfehle die Verwendung von standardisierten und speziell für die Verwendung als Firewall, Router, Next Gen Firewall, IDS/IPS, VPN-Gateway etc. entwickelten und sehr verbreiteten open source Produkten wie pfSense oder OPNsense. Man beachte nur die Anleitungen und Handbücher von Netgate (https://docs.netgate.com/pfsense/en/latest/) resp. pfSense (https://docs.opnsense.org/). Auch die Community von OPNsense und pfSense stehen irgendwelchen Bastellösungen mit iptables in Nichts nach. Wenn sich jeder Nutzer auf seinem favorisierten Linux irgendein Router zurechtkonfiguriert, kommt dies nicht gut. Zu viele Konfigurationsfehler können zu Sicherheitsproblemen führen. Die FreeBSD resp. HardenedBSD-Basis von OPNsense und pfSense wurde zudem speziell für den Einsatz als Firewall-Appliance gehärtet. Es sind standardisierte, kommerziell supported und sehr verbreitete Produkte, welche ich jedem “advanced user” empfehlen kann. Gerade das Webinterface macht die Konfiguration intuitiv und reduziert die möglichen Fallstricke und Fehler.
OPNsense und pfSense lassten sich auch virtualisieren. Ich betreibe beide Lösungen seit Jahren in einem Proxmox VE Cluster. Die vorgeschlagenen Optimierungsmassnahmen in der Doku (https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html) sollten beachtet werden. Ich erreiche auch virtualisiert eine Routing-Performance von 10 Gbit/s unter den verschiedenen VLAN’s. Die 1 Gbit/s- Datenrate von meinem UPC Business Internet 1000 DOCSIS 3.1 WAN Uplink wird spielen erreicht.
Für die CLI-Liebhaber: Wer einen hoch performanten Software-Router auf “off the shelf” Hardware sucht, wird auch bei Netgate mit TNSR (https://www.tnsr.com/) fündig. TNSR verfügt über keine WebUI, sondern lässt sich nur über’s CLI konfigurieren. Die Einstiegshürden sind grösser, aber die Performance bei gleicher Hardware ist besser als bei pfSense. Für Heimnutzer ist TNSR zudem kostenlos.
Wer dedizierte Hardware sucht, wird bei Netgate (https://www.netgate.com/appliances) fündig. Die Geräte können über die Contria GmbH (https://www.contria.ch/) in Langenthal bestellt werden. Die Firma hat zudem einen sehr kompetenten Support und gute Verkaufsberatung.
Danke vielmals für die Antworten. Mir ist natürlich klar dass ich wohl kaum die gesamte Leitung brauche. Ja Pfsense habe ich bereits virtualisiert am laufen auf einem Esxi aber das ist ein bisschen Risikohaft denn wenn der Esxi nicht mehr läuft usw. bin ich offline.
Ich werde daher eine offizielle Hardware von Netgate nehmen (https://shop.netgate.com/products/7100-max-pfsense). Wie bereits beschrieben ich werde nicht eine Firewall einsetzen welche möglicherweise zwar ultimativ gut sein kann oder auch das Gegenteil und diese auf einer selbst gebastelten Kiste am laufen lasse ohne GUI und zwar aus dem einfachen Grund: Ich will auch noch Leben
.
@Tux0ne-> Ja Init 7 bietet XGS-PON mit 10 Giga an.
@Anonym schrieb:
Danke vielmals für die Antworten. Mir ist natürlich klar dass ich wohl kaum die gesamte Leitung brauche. Ja Pfsense habe ich bereits virtualisiert am laufen auf einem Esxi aber das ist ein bisschen Risikohaft denn wenn der Esxi nicht mehr läuft usw. bin ich offline.
Ich werde daher eine offizielle Hardware von Netgate nehmen (https://shop.netgate.com/products/7100-max-pfsense). Wie bereits beschrieben ich werde nicht eine Firewall einsetzen welche möglicherweise zwar ultimativ gut sein kann oder auch das Gegenteil und diese auf einer selbst gebastelten Kiste am laufen lasse ohne GUI und zwar aus dem einfachen Grund: Ich will auch noch Leben
@Tux0ne-> Ja Init 7 bietet XGS-PON mit 10 Giga an.
Tja beim letzten (misglückten) Hypervisor Upgrade von Proxmox 6.4 auf 7.0 war der WAF auch kurz für 3 h im “Keller”. Ich hab mir jetzt eine Netgate 6100 über die Contria GmbH bestellt. Damit kann ich das nächste Upgrade “etwas” beruhigter angehen. Ach nein.. der DNS- und DHCP-Server von Univention läuft immer noch auf dem Proxmox Cluster 
, zum Glück redundant mit meiner Synology DS.
Ich finde die 6600 noch attraktiv für bis zu 10GE. Überlege mir diese noch zu ordern. Aber init7 ist mit den Ausbau ihrer POP’s in Verzug. Daher keine Eile. 25GE werde ich vorerst kaum bauen. Das halte ich noch für zu unwirtschaftlich vs. Nutzen. Bzw mit tnsr bringt man das auch mit x86 hin. Da fehlen aber noch massig an Features in Bezug als pfSense Ersatz.
Der Vorteil von pfSense ist das du alles auf einer Maschine laufen lassen kannst.
VPN in allen flavours auch wieder mit Wireguard (Experimentel).
Adblock inkl relativ gutem DoH block mit pfblockerng
DNS Resolver, Routing, fw, usw ist da so oder so alles dabei.
Sehe den Zweck von VM schon. Man kann pfSense ja auch virtualisieren.
Aber alle Instanzen wie VPN, Resolver, Abblocken usw alles separat laufen zu lassen. Naja many POF halt. Kann man machen. Ist aber eher ein Bastel.
Es geht langsam vorwärts und die Entscheidung rückt näher. Es sollte mal noch eine Offerte eintrudeln von Swisscom aber via KMU Abteilung. Anscheinend wollen Sie mich wirklich behalten als Kunden dann kann ich dann zum Abschluss noch den Preis drücken “haha”.
Nun zum technischen:
Centro Business 2.0
Das würde nach meinem Wissen funktionieren und wäre der einzige Weg bei Swisscom. Voraussetzung ist natürlich dass man ein KMU Kunde wird. In den nächsten Wochen wird dieser Entscheid gefällt ob das der Weg ist, ansonsten wird es Fiber 7 geben mit P2MP via XGS-PON.
Habe ich etwas falsch verstanden an der möglichen Swisscom Lösung?
Deine Option @Anonym finde ich super, was gibts schöneres als PPPoe zu haben, PPPoe dann bitte zwingend mit MTU 1500byte bauen, bzw die int der PF (wo die PPP traversiert) auf 1508Byte setzen damit die PPP header da ohne probleme durchgehen.
falls diese Lösung dann deines sein wird mit dem statischen /48 v6…..
also meine auswahl wärs… @Tux0ne würde mir da doch sicher zustimmen, oder
Swisscom Network Engineer IP+ AS3303,
und ich finde persönlich auch die HW von https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ toll so zb https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ANR-DNV3N3-8C mein perönlicher Favorit welcher auch im Rack zuhause steht….
Swisscom Network Engineer IP+ AS3303,
Also ich “kenne” beides Chris. Also Hybrid7 nicht direkt. Aber das ist ja auch PPPoE.
Es funktionieren auch beide. Und ich nutze auch beide. Das eine im Geschäft, das andere Privat.
Daheim hat man es ja gerne schön. Mehr sage ich nicht
Aber PPPoE mit inOne KMU oder SBCON kann man so machen. https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html
Die Hardware von https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ kannte ich noch nicht. Ich denke aber dass ich auf offizielle Netgate Hardware gehe. Da bin ich mir nur noch nicht sicher wieviel Power dass ich haben muss um möglichst nahe an die 10 Giga heranzukommen. Netgate hat mir zwar gesagt dass die nächsten 2 Monate keine neue Hardware kommt aber ich vermute schon, daher warte ich damit noch ab.
Internet Backup hätte ich die Möglichkeit via Kabelnetz da stelle ich mir auch noch die Frage ob das nötig ist oder wieviele Ausfälle es gibt bei der Swisscom
.
