546 serait le port local et non le port de l’expéditeur.
Aucune adresse n’a-t-elle été configurée comme passerelle sur le LAN ?
Ensuite, il vous suffit de faire quelques essais et erreurs.
Vous pouvez également essayer avec une configuration comme celle-ci. Simplement avec le préfixe 56 et non 52 !
Vous n’avez pas besoin de configurer le RA pour que les clients locaux puissent utiliser IPv6. Est-ce déjà clair ?
> Vous n’avez pas besoin de configurer le RA pour que les clients locaux puissent utiliser IPv6. Est-ce déjà clair ?
Non, ce n’est pas clair pour moi, juste pour me présenter comme un noob IPv6. 🙈😄
Et j’imaginais que ce serait d’une manière ou d’une autre plus facile avec l’IPv6.
En fait, je voudrais de toute façon utiliser IPv6 uniquement par intérêt, mais je n’ai aucun problème à le désactiver si (d’après ce que j’ai lu ici) de nombreux fournisseurs (y compris Swisscom) rendent les choses encore plus compliquées que nécessaire.
Parce que je suis encore un peu ambitieux, j’aimerais faire quelques tentatives supplémentaires.
Et pour se rapprocher du diagnostic : Non, aucune adresse IPv6 n’a été configurée sur l’interface interne (LAN).
Le serveur DHCP ne fonctionne pas non plus sur le pare-feu, il est externalisé vers des serveurs internes derrière lui et n’est pas configuré pour IPv6 (si cela était nécessaire), ou je vois ici que les RA semblent faire partie du serveur DHCP6.
Cependant, avant d’aborder la configuration I Pv6 des clients locaux, j’aimerais que la partie du routeur fonctionne correctement.
Tux0ne Même avec toutes les options supplémentaires, l’interface WAN n’a qu’une adresse fe80::, qui correspond probablement au lien-local et indique qu’une “vraie” adresse IPv6 n’est même pas obtenue. 😞
Je n’ai donc jamais fait cette configuration sur laquelle vous travaillez sur un PF, mais je soupçonne que le deuxième hack est faux @guybrush82, vous ne voulez pas obtenir la v6 sur la v4,.. ..
Swisscom Network Engineer IP+ AS3303,
@ChristianEb C’était juste pour tester sur la base des conseils de @Tux0ne.
Je l’ai maintenant retiré, mais cela n’a rien changé.
Merci pour vos réponses de différents côtés. Je dois encore faire un peu de mes devoirs. Mais cela devient plus que compliqué avec IPv6, autant de choses que vous devez / devriez / pouvez prendre en compte. Un véritable fouillis de possibilités. Cela signifie également que 90 % des superviseurs de réseaux domestiques actuels perdront la vue d’ensemble complète avec IPv6 😄 à moins que vous n’ayez beaucoup de temps.
Mais je dois encore me renseigner sur certains services. Je connais le recueil d’électronique mais je ne l’ai pas encore terminé.
“Quiconque attribue manuellement une adresse IPv6 globale à chaque participant du réseau domestique ou du réseau d’entreprise commet quelque chose de mal :”
Je vais certainement examiner cette déclaration plus en détail, la tester et la lire. C’est exactement le point crucial de tout cela.
Le reste lié La performance et la sécurité sont des sujets différents et sont négligeables dans un premier temps car le principe de base doit d’abord être clair. Vient ensuite la sécurité et enfin la performance.
Je vais découvrir ce que signifient SLAAC et la configuration automatique. Merci pour l’information.
Bien sûr, je suis toujours intéressé par les paramètres du Pfsense. Mais je n’ai pas encore décidé quel Internet m’accompagnera à l’avenir. Mais cela prendra encore 2 mois jusqu’à ce que tous les câbles soient connectés et que tout soit connecté. J’ai donc encore du temps et je dois encore commander le matériel et l’évaluer. Mais vous voyez que je ne suis pas le seul et j’en suis content 🙂.
XGS-PON 10/10 Giga est disponible depuis hier. Maintenant, j’ai pensé à ce qui suit :
En commandant Hybrid7 P2MP, le Zyxel AX7501-B0 est également inclus, que j’ai réglé en mode pont. Après vient mon Pfsense et là j’ai mon WAN IPv4 dynamique ? Cela ne signifie pas une adresse interne du modem Zyxel.
Question simple, donc j’aimerais une réponse simple : fonctionne ou ne fonctionne pas !
Nous laissons de côté IPv6 pour l’instant. Je pourrai configurer cela plus tard. Je veux juste avoir mon IP WAN directement sur le PFsense, si ce n’est pas possible alors j’aurai des problèmes.
Je suis un peu confus à cause de déclarations comme celle-ci que j’ai déjà reçues :
La 10G via PPPOE est extrêmement gourmande en CPU. Là où nous avons réellement de la fibre noire/FTTH directe, le 10G est juste acheminé, PPPOE nécessite beaucoup plus de CPU, et je ne reçois que des plaintes car il culmine à 2,3,4 GBIT/s selon la situation. Nous n’offrons actuellement pas de garantie 10G sur BBCS.
Ma prochaine question :
Hybrid7 P2MP fonctionne via PPPOE, le modem Zyxel effectue l’enregistrement et transmet ensuite simplement tout au Pfsense ? Existe-t-il vraiment encore ce genre de performance ? Des problèmes de calcul ?
Oui, si le routeur Zyxel est en mode pont, l’appareil en aval reçoit l’adresse IP publique.
Si le Zyxel est en mode pont, le routeur en aval effectue l’enregistrement. Si le Zyxel est en mode routeur, il se connecte et avec IPv4, vous ne pouvez effectuer du NAT que sur le routeur en aval.
Oui, PPPoE est un peu plus gourmand en calcul.
Même 10GE nécessite un matériel solide pour pfsense. Que DHCP ou PPPoE n’ait plus d’importance désormais. Selon que vous faites uniquement du NAT et du FW. IDS est encore une autre histoire.
Vous pouvez rechercher des approches sur ce qui est nécessaire et ce qui est possible à partir des appliances Netgate. Il y en a qui atteignent presque 10GE.
Init7 propose-t-il désormais également le « 10GE » via XGS PON ? C’était encore limité à 1GE. Avez-vous ajusté les connexions et les contrats ?
@Tux0ne a écrit :
Déjà 10GE nécessite un matériel solide pour pfsense. Que DHCP ou PPPoE n’ait plus d’importance désormais. Selon que vous faites uniquement du NAT et du FW. IDS est encore une autre histoire.
Vous pouvez rechercher des approches sur ce qui est nécessaire et ce qui est possible chez Netgate Appliances. Il y en a qui atteignent presque 10GE.
Si vous souhaitez utiliser votre propre matériel sélectionné pour le pare-feu avec des connexions Internet de 10 Gbit/s ou plus rapides, vous devriez consulter le site Web :
[https://michael.Stapelberg.ch/posts/2021-07-10-linux-25gbit-internet-router-pc-build/](https://michael.Stapelberg.ch/posts/2021-07-10 -linux-25gbit-internet-router-pc-build/)
être inspiré. Ce matériel auto-sélectionné fonctionne idéalement avec un Linux ou FreeBSD vanille auto-installé sans cloches et sifflets d’interface Web comme pfSense, OPNsense, IPFire. Si vous êtes intéressé par Linux ou Vanilla FreeBSD comme système d’exploitation pour votre propre pare-feu matériel, vous devriez continuer à lire ici :
[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335] (https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-mit-16-kleinen-ausenstellen-t18781.html#p106335)
[https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750] (https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750)
Soyez prudent lorsque vous utilisez IPerf3 pour des mesures de débit de données dans la plage > 1 Go/s. Le CPU devient très vite un goulot d’étranglement à des taux de transfert de données > 1 Go/s :
https://github.com/esnet/iperf/issues/289
[https://fasterdata.es.net/performance-testing/network-troubleshooting-tools/iperf/multi-stream-iperf3/](https://fasterdata.es.net/performance-testing/network-troubleshooting-tools /iperf/multi-stream-iperf3/)
Dans la plage > 1 Gbit/s, les informations et conseils de réglage se trouvent généralement sous :
être pris en compte.
Et gardez toujours à l’esprit la déclaration de TuxOne :
Tu sais quoi. 10 GPS est actuellement pour la tonne. Mon 95e centile est de 18 Mbit/s à 1 Gbit/s Anschluss et c’est probablement très élevé ! Peering, faible latence, disponibilité et fiabilité, ce sont des choses importantes et non un speed post qui ne fait rien.
Source : [https://www.tuxone.ch/2021/01/4-nullen-und-die-reisschussel.html](https://www.tuxone.ch/2021/01/4-nullen-und- die-reiskugel.html)
Par conséquent, le choix de la technologie de connexion pour la connexion Internet doit être basé sur :
[https://community.swisscom.ch/t5/Mobile/Wifi-Calling-scheint-nicht-zu-funktionieren/m-p/662138#M8881](https://community.swisscom.ch/t5/Mobile/Wifi- L’appel ne semble pas fonctionner/m-p/662138#M8881)
la commande répertoriée => AON avant PON !
Je recommande d’utiliser des produits open source standardisés et très courants tels que pfSense ou OPNsense qui ont été spécifiquement développés pour être utilisés comme pare-feu, routeur, pare-feu nouvelle génération, IDS/IPS, passerelle VPN, etc. Faites simplement attention aux instructions et aux manuels de Netgate (https://docs.netgate.com/pfsense/en/latest/) respectivement. pfSense (https://docs.opnsense.org/). Les communautés OPNsense et pfSense ne sont en aucun cas inférieures aux solutions bricolées avec iptables. Si chaque utilisateur configure un routeur sur son Linux préféré, cela ne fonctionnera pas bien. Trop d’erreurs de configuration peuvent entraîner des problèmes de sécurité. Le FreeBSD ou La base HardenedBSD d’OPNsense et pfSense a également été spécialement renforcée pour être utilisée comme appliance de pare-feu. Ce sont des produits standardisés, commercialement supportés et très courants que je peux recommander à tout « utilisateur avancé ». L’interface web notamment rend la configuration intuitive et réduit les éventuels pièges et erreurs.
OPNsense et pfSense peuvent également être virtualisés. J’utilise les deux solutions dans un cluster Proxmox VE depuis des années. Les mesures d’optimisation suggérées dans la documentation ([https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html](https://docs.netgate.com/pfsense/en/ last /recipes/virtualize-proxmox-ve.html)) doit être noté. J’obtiens également une performance de routage virtualisé de 10 Gbit/s entre les différents VLAN. Le débit de données de 1 Gbit/s de ma liaison montante WAN UPC Business Internet 1000 DOCSIS 3.1 est atteint.
Pour les amateurs de CLI : si vous recherchez un routeur logiciel hautes performances sur du matériel « prêt à l’emploi », Netgate propose également TNSR ([https://www.tnsr.com/](https://www.tnsr. com /)) je l’ai trouvé. TNSR n’a pas de WebUI, mais ne peut être configuré que via la CLI. Les barrières à l’entrée sont plus grandes, mais les performances avec le même matériel sont meilleures qu’avec pfSense. TNSR est également gratuit pour les utilisateurs à domicile.
Si vous recherchez du matériel dédié, vous le trouverez chez Netgate (https://www.netgate.com/appliances). Les appareils peuvent être commandés via Contria GmbH (https://www.contria.ch/) à Langenthal. L’entreprise dispose également d’un support très compétent et de bons conseils de vente.
Merci beaucoup pour les réponses. Bien sûr, je me rends compte que je n’ai pratiquement pas besoin de toute la ligne. Oui, j’ai déjà virtualisé Pfsense fonctionnant sur un Esxi mais c’est un peu risqué car si l’Esxi ne fonctionne plus etc. je suis hors ligne.
Je prendrai donc du matériel officiel de chez Netgate (https://shop.netgate.com/products/7100-max-pfsense). Comme déjà décrit, je n’utiliserai pas de pare-feu, qui peut être finalement bon ou le contraire, et je ne l’exécuterai pas sur une box faite maison sans interface graphique pour la simple raison : je veux toujours vivre 😉.
@Tux0ne-> Oui, Init 7 propose XGS-PON avec 10 Giga.
@Anonyme a écrit :
Merci beaucoup pour les réponses. Bien sûr, je me rends compte que je n’ai pratiquement pas besoin de toute la ligne. Oui, j’ai déjà virtualisé Pfsense fonctionnant sur un Esxi mais c’est un peu risqué car si l’Esxi ne fonctionne plus etc. je suis hors ligne.
Je prendrai donc du matériel officiel de Netgate (https://shop.netgate.com/products/7100-max-pfsense) . Comme déjà décrit, je n’utiliserai pas de pare-feu, qui peut être finalement bon ou le contraire, et je ne l’exécuterai pas sur une box faite maison sans interface graphique pour la simple raison : je veux toujours vivre 😉.
@Tux0ne-> Oui Init 7 propose XGS-PON avec 10 Giga.
Eh bien, lors de la dernière mise à niveau (infructueuse) de l’hyperviseur de Proxmox 6.4 vers 7.0, le WAF est resté brièvement au “sous-sol” pendant 3 heures. J’ai maintenant commandé un Netgate 6100 auprès de Contria GmbH. Cela signifie que je peux aborder la prochaine mise à niveau avec « un peu » plus de tranquillité d’esprit. Oh non.. le serveur DNS et DHCP d’Univention fonctionne toujours sur le cluster Proxmox 😆, heureusement redondant avec mon Synology DS.
Je trouve toujours le 6600 attrayant jusqu’à 10GE. Je pense toujours à les commander. Mais init7 est en retard dans l’expansion de ses POP. Alors ne vous précipitez pas. Il est peu probable que je construise du 25GE pour l’instant. Je pense toujours que c’est trop peu rentable et trop utile. Ou avec tnsr, vous pouvez également le faire avec x86. Cependant, de nombreuses fonctionnalités manquent encore pour remplacer pfSense.
L’avantage de pfSense est que vous pouvez tout exécuter sur une seule machine.
VPN dans toutes les saveurs à nouveau avec Wireguard (expérimental).
Adblock comprenant un bloc DoH relativement bon avec pfblocking
Résolveur DNS, routage, fw, etc. tout est là d’une manière ou d’une autre.
Je vois déjà le but de VM. Vous pouvez également virtualiser pfSense.
Mais laisser toutes les instances telles que VPN, résolveur, blocage, etc. tout exécuter séparément. Eh bien, beaucoup de POF. Vous pouvez le faire. Mais c’est plutôt un métier.
Les choses avancent doucement et la décision se rapproche. Il devrait y avoir une autre offre de Swisscom mais via le département PME. Apparemment, vous voulez vraiment me garder comme client alors je peux baisser le prix à la fin “haha”.
Maintenant pour le technique :
Centro Business 2.0
À ma connaissance, cela fonctionnerait et ce serait la seule solution chez Swisscom. Bien entendu, la condition préalable est que vous deveniez client PME. Une décision sera prise dans les prochaines semaines quant à savoir si c’est la voie à suivre, sinon il y aura la Fibre 7 avec P2MP via XGS-PON.
Ai-je mal compris quelque chose concernant l’éventuelle solution Swisscom?
Je pense que votre option @Anonymous est géniale, quoi de plus agréable que d’avoir PPPoe, alors veuillez construire PPPoe avec MTU 1500byte, ou définir l’int du PF (où traverse le PPP) sur 1508Byte pour que l’en-tête PPP passe sans problème.
si cette solution est la vôtre alors avec le statique /48 v6…..
Mon choix serait donc… @Tux0ne serait certainement d’accord avec moi, n’est-ce pas 🙂
Swisscom Network Engineer IP+ AS3303,
et personnellement, je trouve également le matériel sur [https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/](https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount /) super, par exemple [https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ANR-DNV3N3-8C](https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ANR- DNV3N3-8C) mon préféré qui se trouve également dans le rack à la maison….
Swisscom Network Engineer IP+ AS3303,
Donc je « connais » Chris tous les deux. Donc Hybrid7 pas directement. Mais c’est aussi PPPoE.
Les deux fonctionnent aussi. Et j’utilise les deux. L’un en affaires, l’autre privé.
Les gens aiment passer un bon moment à la maison. Je ne dirai rien de plus 😉
Mais PPPoE avec inOne KMU ou SBCON peut être fait comme ça. [https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html](https://www.tuxone.ch/2016/10/pppoe-passthrough-mit- swisscom-my-kmu.html)
Je connaissais encore le matériel de https://www.acrosser.com/en/Products/Networking-Appliance/Rackmount/ . pas. Mais je pense que j’opterai pour le matériel officiel Netgate. Je ne suis tout simplement pas sûr de la quantité d’énergie dont j’ai besoin pour me rapprocher le plus possible de 10 giga. Netgate m’a dit qu’il n’y aurait pas de nouveau matériel au cours des 2 prochains mois, mais je le soupçonne, alors je vais juste attendre et voir.
J’aurais la possibilité d’une sauvegarde Internet via le réseau câblé, donc je me demande aussi si cela est nécessaire ou combien il y a de pannes chez Swisscom😃.
