546 sarebbe la porta locale e non la porta del mittente.
Nessun indirizzo è stato configurato come gateway sulla LAN?
Quindi devi solo fare un po’ di tentativi ed errori.
Puoi anche provare con una configurazione come questa. Semplicemente con il prefisso 56 e non 52!
Non è necessario configurare la RA in modo che i client locali possano utilizzare IPv6. È già chiaro?
> Non è necessario configurare la RA in modo che i client locali possano utilizzare IPv6. È già chiaro?
No, non mi è chiaro, voglio solo dichiararmi un noob di IPv6. 🙈😄
E ho immaginato che sarebbe stato in qualche modo più semplice con l’IPv6.
In realtà vorrei comunque utilizzare IPv6 solo per interesse, ma non ho problemi a disattivarlo se (da quello che ho letto qui) molti provider (inclusa Swisscom) lo rendono ancora più complicato del necessario.
Dato che sono ancora un po’ ambizioso, mi piacerebbe fare qualche altro tentativo.
E per avvicinarci alla diagnosi: no, sull’interfaccia interna (LAN) non è configurato alcun indirizzo IPv6.
Nemmeno il server DHCP viene eseguito sul firewall, è affidato in outsourcing a server interni dietro di esso e non è configurato per IPv6 (se necessario), oppure vedo qui che le RA sembrano far parte del server DHCP6.
Tuttavia, prima di affrontare la configurazione I Pv6 dei client locali, vorrei che la parte sul router funzionasse correttamente.
Tux0ne Anche con tutte le opzioni aggiuntive, l’interfaccia WAN ha solo un indirizzo fe80::, che probabilmente corrisponde al link-local e indica che non è nemmeno stato ottenuto un indirizzo IPv6 “reale”. 😞
Quindi non ho mai fatto questa configurazione su cui stai lavorando su un PF, ma sospetto che il secondo hack sia sbagliato @guybrush82 non vuoi avere la v6 sopra la v4,.. ..
Swisscom Network Engineer IP+ AS3303,
@ChristianEb Questo era solo per testare in base ai consigli di @Tux0ne.
Ora l’ho tolto di nuovo, ma non è cambiato nulla.
Grazie per le vostre risposte da più parti. Devo ancora fare un po’ dei compiti. Ma questo diventa più che complicato con IPv6, tutte le cose che devi/dovresti/puoi prendere in considerazione. Un vero e proprio miscuglio di possibilità. Ciò significa anche che il 90% degli attuali supervisori della rete domestica perderà la panoramica completa con IPv6 😄 a meno che non si abbia molto tempo.
Ma devo ancora documentarmi su alcuni servizi. Conosco il compendio di elettronica ma non l’ho ancora finito.
“Chi assegna manualmente un indirizzo IPv6 globale a ogni partecipante alla rete domestica o aziendale fa qualcosa di sbagliato:”
Sicuramente esaminerò questa affermazione in modo più dettagliato, la testerò e la leggerò. Questo è esattamente il nocciolo della questione.
Il resto riguardava Prestazioni e sicurezza sono argomenti diversi e sono trascurabili nella prima fase perché prima deve essere chiaro il principio di base. Segue la sicurezza e infine le prestazioni.
Scoprirò cosa significano SLAAC e autoconfigurazione. Grazie per l’informazione
Ovviamente sono ancora interessato alle impostazioni del Pfsense. Ma non ho ancora deciso quale Internet mi accompagnerà in futuro. Ma ci vorranno ancora 2 mesi prima che tutti i cavi siano collegati e tutto sia collegato. Quindi ho ancora tempo e devo ancora ordinare l’hardware e valutarlo. Ma puoi vedere che non sono l’unico e mi fa piacere 🙂.
Da ieri è disponibile XGS-PON 10/10 Giga. Ora ho pensato quanto segue:
Ordinando Hybrid7 P2MP è incluso anche lo Zyxel AX7501-B0, che ho impostato in modalità bridge. Dopo arriva il mio Pfsense e lì ho la mia WAN IPv4 dinamica? Ciò non significa un indirizzo interno del modem Zyxel.
Domanda semplice, quindi vorrei una risposta semplice: funziona o non funziona!
Per ora tralasciamo IPv6. Posso configurarlo più tardi. Voglio solo avere il mio IP WAN direttamente su PFsense, se ciò non è possibile avrò dei problemi.
Sono un po’ confuso a causa di affermazioni come questa che ho già ricevuto:
Il 10G tramite PPPOE richiede un utilizzo estremamente intensivo della CPU. Laddove in realtà abbiamo darkfiber/FTTH diretto, il 10G viene semplicemente instradato, PPPOE richiede molta più CPU e quindi ricevo solo lamentele perché raggiunge il picco a 2,3,4GBIT/s a seconda della situazione. Al momento non forniamo una garanzia 10G su BBCS.
La mia prossima domanda:
Hybrid7 P2MP funziona tramite PPPOE, il modem Zyxel effettua la registrazione e poi inoltra semplicemente tutto al Pfsense? Esiste davvero ancora quel tipo di spettacolo? Problemi di calcolo?
Sì, se il router Zyxel è in modalità bridge, il dispositivo downstream riceve l’IP pubblico.
Se Zyxel è in modalità bridge, il router downstream esegue la registrazione. Se Zyxel è in modalità router, accede e con IPv4 puoi eseguire NAT solo sul router downstream.
Sì, PPPoE è un po’ più impegnativo dal punto di vista computazionale.
Anche 10GE richiede hardware potente per pfsense. Se DHCP o PPPoE non ha importanza ora. A seconda che tu faccia solo NAT e FW. IDS è ancora un’altra storia.
Puoi cercare approcci a ciò che è necessario e ciò che è possibile fare con gli Appliance Netgate. Ce ne sono alcuni che raggiungono quasi i 10GE.
init7 ora offre anche il “10GE” tramite XGS PON? Era ancora limitato a 1GE. Avete adeguato i collegamenti e i contratti?
@Tux0ne ha scritto:
Già 10GE richiede hardware potente per pfsense. Se DHCP o PPPoE non ha importanza ora. A seconda che tu faccia solo NAT e FW. IDS è ancora un’altra storia.
Puoi cercare approcci a ciò che è necessario e ciò che è possibile su Netgate Appliances. Ce ne sono alcuni che raggiungono quasi i 10GE.
Se desideri utilizzare il tuo hardware scelto personalmente per il firewall con connessioni Internet da 10 Gbit/s o più veloci, dovresti dare un’occhiata al sito web:
[https://michael. Stapelberg.ch/posts/2021-07-10-linux-25gbit-internet-router-pc-build/](https://michael. Stapelberg.ch/posts/2021-07-10 -linux-25gbit-internet-router-pc-build/)
lasciati ispirare. Questo hardware autoselezionato funziona idealmente con un Linux autoinstallato o un FreeBSD vanilla senza fronzoli dell’interfaccia web come pfSense, OPNsense, IPFire. Se sei interessato a Linux o Vanilla FreeBSD come sistema operativo per il tuo firewall hardware, dovresti continuare a leggere qui:
[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335] (https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335)
[https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750] (https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750)
Fare attenzione quando si utilizza IPerf3 per misurazioni del throughput dei dati nell’intervallo > 1 GBit/s. Con velocità di trasferimento dati > 1 GBit/s la CPU diventa molto presto un collo di bottiglia:
https://github.com/esnet/iperf/issues/289
[https://fasterdata.es.net/performance-testing/network-troubleshooting-tools/iperf/multi-stream-iperf3/](https://fasterdata.es.net/performance-testing/network-troubleshooting-tools /iperf/multi-stream-iperf3/)
Nell’intervallo > 1 Gbit/s le informazioni e i suggerimenti per l’ottimizzazione si trovano generalmente sotto:
essere preso in considerazione.
E tieni sempre a mente la dichiarazione di TuxOne:
Sai cosa. 10gps sono attualmente per una tonnellata. Il mio 95° percentile è 18Mbps a 1Gbps Anschluss e probabilmente è molto alto! Peering, bassa latenza, disponibilità e affidabilità, questi sono importanti e non un post veloce che non fa nulla.
Fonte: [https://www.tuxone.ch/2021/01/4-nullen-und-die-reisschussel.html](https://www.tuxone.ch/2021/01/4-nullen-und- die-reiskugel.html)
Pertanto, la scelta della tecnologia di connessione per la connessione Internet dovrebbe basarsi su:
[https://community.swisscom.ch/t5/Mobile/Wifi-Calling-scheint-nicht-zu-funktionieren/m-p/662138#M8881](https://community.swisscom.ch/t5/Mobile/Wifi- La chiamata-non-sembra-funzionare/m-p/662138#M8881)
nell’ordine elencato => AON prima di PON!
Consiglio di utilizzare prodotti open source standardizzati e molto comuni come pfSense o OPNsense che sono stati sviluppati specificatamente per l’uso come firewall, router, firewall di nuova generazione, IDS/IPS, gateway VPN, ecc. Basta prestare attenzione rispettivamente alle istruzioni e ai manuali di Netgate (https://docs.netgate.com/pfsense/en/latest/). pfSense (https://docs.opnsense.org/). Le comunità OPNsense e pfSense non sono in alcun modo inferiori a qualsiasi soluzione di armeggiare con iptables. Se ogni utente configura un router sul proprio Linux preferito, questo non funzionerà bene. Troppi errori di configurazione possono portare a problemi di sicurezza. Il FreeBSD o Anche la base HardenedBSD di OPNsense e pfSense è stata appositamente rafforzata per l’uso come dispositivo firewall. Sono prodotti standardizzati, supportati commercialmente e molto comuni che posso consigliare ad ogni “utente avanzato”. L’interfaccia web in particolare rende la configurazione intuitiva e riduce possibili insidie ed errori.
OPNsense e pfSense possono anche essere virtualizzati. Da anni eseguo entrambe le soluzioni in un cluster Proxmox VE. Le misure di ottimizzazione suggerite nella documentazione ([https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html](https://docs.netgate.com/pfsense/en/ latest /recipes/virtualize-proxmox-ve.html)) dovrebbe essere annotato. Raggiungo anche prestazioni di routing virtualizzato di 10 Gbit/s tra le varie VLAN. La velocità dati del mio uplink WAN UPC Business Internet 1000 DOCSIS 3.1 è stata raggiunta di 1 Gbit/s.
Per gli amanti della CLI: se stai cercando un router software ad alte prestazioni su hardware “pronti all’uso”, Netgate offre anche TNSR ([https://www.tnsr.com/](https://www.tnsr.com /)) l’ho trovato. TNSR non dispone di una WebUI, ma può essere configurato solo tramite la CLI. Le barriere all’ingresso sono maggiori, ma le prestazioni con lo stesso hardware sono migliori rispetto a pfSense. TNSR è gratuito anche per gli utenti domestici.
Se stai cercando hardware dedicato, lo troverai su Netgate (https://www.netgate.com/appliances). Gli apparecchi possono essere ordinati tramite Contria GmbH (https://www.contria.ch/) a Langenthal. L’azienda dispone inoltre di un supporto molto competente e di una buona consulenza di vendita.
Grazie mille per le risposte Naturalmente mi rendo conto che difficilmente ho bisogno dell’intera linea. Sì, ho già virtualizzato Pfsense in esecuzione su un Esxi ma è un po’ rischioso perché se Esxi non funziona più ecc. Sono offline.
Prenderò quindi l’hardware ufficiale di Netgate (https://shop.netgate.com/products/7100-max-pfsense). Come già descritto, non utilizzerò un firewall, che alla fine potrebbe essere buono o il contrario e lo eseguirò su un box autocostruito senza GUI per il semplice motivo: voglio ancora vivere 😉.
@Tux0ne-> Sì Init 7 offre XGS-PON con 10 Giga.
@Anonimo ha scritto:
Grazie mille per le risposte. Naturalmente mi rendo conto che difficilmente ho bisogno dell’intera linea. Sì, ho già virtualizzato Pfsense in esecuzione su un Esxi ma è un po’ rischioso perché se Esxi non funziona più ecc. Sono offline.
Prenderò quindi hardware ufficiale da Netgate (https://shop.netgate.com/products/7100-max-pfsense). Come già descritto, non utilizzerò un firewall, che alla fine potrebbe essere buono o il contrario e lo eseguirò su un box autocostruito senza GUI per il semplice motivo: voglio ancora vivere 😉.
@Tux0ne-> Sì Init 7 offre XGS-PON con 10 Giga.
Ebbene, durante l’ultimo aggiornamento (non riuscito) dell’hypervisor da Proxmox 6.4 a 7.0, il WAF è rimasto brevemente nel “seminterrato” per 3 ore. Ora ho ordinato un Netgate 6100 da Contria GmbH. Ciò significa che posso affrontare il prossimo aggiornamento con “un po’” più tranquillità. Oh no… il server DNS e DHCP di Univention funziona ancora sul cluster Proxmox 😆, fortunatamente ridondante con il mio Synology DS.
Trovo ancora attraente il 6600 fino a 10GE. Sto ancora pensando di ordinarli. Ma init7 è in ritardo con l’espansione dei propri POP. Quindi non avere fretta. È improbabile che costruirò 25GE per ora. Penso ancora che sia troppo antieconomico rispetto a utile. Oppure con tnsr puoi farlo anche con x86. Tuttavia, mancano ancora molte funzionalità come sostituto di pfSense.
Il vantaggio di pfSense è che puoi eseguire tutto su un’unica macchina.
Ancora una volta VPN in tutti i sensi con Wireguard (sperimentale).
Adblock incluso un blocco DoH relativamente buono con pfblocking
Risolutore DNS, routing, fw, ecc. è tutto lì in un modo o nell’altro.
Vedo già lo scopo di VM. Puoi anche virtualizzare pfSense.
Ma per consentire a tutte le istanze come VPN, risolutore, blocco, ecc. di eseguire tutto separatamente. Bene, molti POF. Puoi farlo. Ma è più un mestiere.
Le cose stanno lentamente andando avanti e la decisione si avvicina. Dovrebbe esserci un’altra offerta da parte di Swisscom, ma tramite il dipartimento PMI. A quanto pare vuoi davvero mantenermi come cliente, quindi alla fine posso abbassare il prezzo “ahah”.
Ora passiamo al tecnico:
Centro Business 2.0
Per quanto ne so, questo funzionerebbe e sarebbe l’unico modo per Swisscom. Naturalmente il prerequisito è che diventiate clienti PMI. Nelle prossime settimane si deciderà se questa è la strada da seguire, altrimenti ci sarà Fibra 7 con P2MP tramite XGS-PON.
Ho frainteso qualcosa riguardo alla possibile soluzione Swisscom?
Penso che la tua opzione @Anonymous sia fantastica, cosa potrebbe esserci di più bello che avere PPPoe, quindi crea PPPoe con MTU 1500byte o imposta l’int del PF (dove attraversa il PPP) su 1508Byte in modo che l’intestazione PPP passi senza problemi.
se questa soluzione sarà la tua allora con lo statico /48 v6…..
Quindi la mia scelta sarebbe… @Tux0ne sarebbe sicuramente d’accordo con me, non è vero 🙂
Swisscom Network Engineer IP+ AS3303,
e personalmente trovo anche l’HW da [https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/](https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount /) fantastico, per esempio [https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ANR-DNV3N3-8C](https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ANR- DNV3N3-8C) il mio preferito che si trova anche nello scaffale di casa….
Swisscom Network Engineer IP+ AS3303,
Quindi “conosco” entrambi i Chris. Quindi Hybrid7 non direttamente. Ma anche questo è PPPoE.
Funzionano anche entrambi. E li uso entrambi. Uno nel settore commerciale, l’altro nel privato.
Alla gente piace divertirsi a casa. Non dico altro 😉
Ma PPPoE con inOne KMU o SBCON può essere fatto in questo modo. [https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html](https://www.tuxone.ch/2016/10/pppoe-passthrough-mit- swisscom-il-mio-kmu.html)
Conoscevo ancora l’hardware di https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ . non. Ma penso che sceglierò l’hardware Netgate ufficiale. Semplicemente non sono sicuro di quanta potenza ho bisogno per avvicinarmi il più possibile a 10 giga. Netgate mi ha detto che non ci sarà nuovo hardware per i prossimi 2 mesi, ma sospetto di sì, quindi aspetterò e vedrò.
Avrei la possibilità di un backup Internet tramite rete via cavo, quindi mi chiedo anche se è necessario o quante interruzioni ci sono in Swisscom😃.
