• Geschlossen

pfSense funktioniert seit 8. März auf einmal nicht mehr

shorn21
Level 1
1 von 19

Hello miteinander

 

Hatte gemäss folgender Blog Beiträge (https://blog.dogan.ch/2013/10/20/pfsense-mit-swisscom-ftth/) und (http://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom-access.html) meine pfSense bis am Dienstag 8. März 2016 Problemlos in Betrieb. Dies hat seit über einem Jahr wunderbar funktioniert.

Hab gemäss der Anleitung auf deinem Blog die pfsense konfiguriert und alles funktionierte etwa 1 Jahr lang wunderbar.
Nun erscheint auf einmal immer die Meldung "Dieser Anschluss ist noch nicht aktiviert."
Wenn ich den Anschluss neu "Registriere" funktioniert der Internet Zugriff für ein paar Minuten wieder und dann erscheint wieder die selbe Meldung. Dann kann man den Anschluss wieder registrien und der Internet Zugriff funktioniert wieder für ein paar Minuten und dann erscheint wieder die Meldung "Dieser Anschluss ist noch nicht aktiviert." and so on and so on.

Hat jemand eine Idee woran das liegen könnte?
Hat die Swisscom etwas angepasst, dass das ganze auf einmal nicht mehr funktioniert?

 

@AnonymHast du villeicht Infos? 🙂

18 Kommentare 18
shorn21
Level 1
2 von 19

@Tux0ne Hast du mehr Infos?


(Sorry für zweiten Post, hatte den falschen "Tuxone" erwischt)

Tux0ne
Level 9
3 von 19

wie in ihsans Blog besprochen, musst du die DHCP Option 60 konfigurieren. VLAN braucht es bei DSL nicht, bei Fiber würde dies noch hinzukommen.

 

send dhcp-class-identifier "100008,0001,,pfSense dhclient 2.1";

 

 DHCP option 60 “vendor class identifier” (CFU specific: RES only) The CPE must support DHCP option 60 (vendor class identifier) according to RFC 2131. The following CPE identifiers must be sent at the beginning of the DHCP option 60 field in this order in the correct format (see below) separated by commas:  Service provider ID (6 Bytes): Default setting must be 100008  Service ID (4 Bytes): Default setting must be 0001  Provisioning code (36 Bytes): Written by Auto Configuration Server (ACS) via TR-069 according to RFC 4122 For all applications, further CPE identifiers may be sent in the DHCP option 60 field separated by commas, e.g.:  Vendor name  MAC address  CPE model  SW release  CPE serial number The format of the option 60 string as part of the DHCP request must then be: ,,,,, ,,, These parameters are separated by a single comma (ASCII 44), without a space.

 

https://www.swisscom.ch/dam/swisscom/en/ws/documents/E_BBCS-Documents/CPE-Requirements-Library-WAN-x...

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
shorn21
Level 1
4 von 19

@Tux0ne Ja, ist auch so eingerichtet. Hat ja bis jetzt tag täglich super funktioniert. Am 8. März aufgestanden und dann im Browser immer nur diese Registrierungsmeldung. An der Konfig der pfsense hat sich absolut nichts geändert. 

Actinium
Level 2
5 von 19

Hallo Shorn21, 

Ich kämpfe auch seit einiger Zeit mit meiner pfsense. jedoch hat das bei mir schon etwas früher angefangen und nicht im minuten Takt. Bei mir ist das nur immer aufgetaucht wenn es ne störung beim Anschluss gab, oder ich mal wieder was verbockt habe. anschliessend musste ich das Pairing wieder mit der Swisscom schrottbox machen, und dann liefs wieder eine Zeit lang. 

 Bei mir hats meistens geholfen, wenn ich die Internetbox ein paar Stunden wieder in Betrieb hatte und dann wieder ein erneutes Pairing machte. evtl hilft das bei dir auch.

 

Oder hast du zufällig erst gerade ein Update von der pfsense gemacht? Ich hatte früher auch ein ähnliches Problem nach meinem ersten Update. Das Problem war, dass ich die DHCP option 60 Fix wie fast überall beschrieben im file /etc/inc/interfaces.inc eingetragen habe. Leider wird das bei einem Update überschrieben. Ohne diese Option wird der Anschluss nach kurzer Zeit gesperrt.

 

Ich hab mir anschliessend ein kleines Startscript geschrieben das prüft ob die Option im dhclient.conf ist und wenn nicht diese ersetzt. Ist nicht gerade das schönste Script aber es tut was es soll und ich muss mich nicht mehr um diese dumme Option kümmern: 

--------------------------------------

#!/bin/sh

check=`grep "pfSense dhclient" /var/etc/dhclient_wan.conf`
count=0
if [ "$check" == "" ]; then
cp -p /var/etc/dhclient_wan.conf /var/etc/dhclient_wan.conf_old
>/var/etc/dhclient_wan.conf
while read p
do
echo "$p" >> /var/etc/dhclient_wan.conf
if [ $count -eq 0 ]; then
echo 'send dhcp-class-identifier "100008,0001,,pfSense dhclient";' >> /var/etc/dhclient_wan.conf
fi
count=1
done </var/etc/dhclient_wan.conf_old
fi

--------------------------------------

 

übrigens neu kann man diese Option auch unter "WAN-Config -> DHCP client configuration -> advanced -> Send Options" eintragen. Aber irgendwie hat das bei mir wegen dem delimiter "," nie  richtig funktioniert.

 

Ich hoffe diese Informationen helfen dir etwas weiter.

 

Grüsse Actinium

shorn21
Level 1
6 von 19

Update habe ich nicht durchgeführt ist wirklich einfach nur gelaufen und jetzt auf einmal dieses Problem.

Ich checke mal die Files und Settings nochmal. Melde mich sobald ich die Infos habe 🙂

Tux0ne
Level 9
7 von 19

Ja geh mal über die Konfig. Ist das Wahrscheinlichste. Von einer Änderung im Netz weiss ich nichts.

Da wäre auch wesentlich mehr los.

Das sind nicht nur 1-200 fremde terminierende Router im Netz wie man sich so oft wünscht und schönredet 😉

 

Selber kann ich das aktuell nicht testen. Habe ein KMU Produkt wo man das nicht benötigt. Aber da warte ich selber noch auf Antworten der Swisscom.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Actinium
Level 2
8 von 19
@Anonym darf ich fragen was du für ein Produkt zur Zeit nutzt? Und geh ich richtig in der Annahme, dass ich das als privater nicht bekomme? (online geht's auf jeden Fall nicht)
Ich hab langsam genug von diesem ewigen Gebastel und die Geräte die ich im RES Segment erhalte sind einfach unbrauchbar für mich.
Von dem her seh ich über kurz oder lang nur ein Wechsel für mich.
Tux0ne
Level 9
9 von 19

Aktuell habe ich my KMU Office M mit TV + 1 fixe IPv4 und statisches /48 IPv6 Netz.

 

2016-03-11 17_40_32-pfSense.tuxone - Status_ Dashboard.png

 

Welche Swisscom Produkte verwendest du und hälst du für nötig?

Anhand dem kann ich dir Vorschläge machen.

 

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Actinium
Level 2
10 von 19

Ich habe zur Zeit das VIVO M ohne Telefonie auf fibre. Die Telefonie hab ich gekündigt weil sip ohne credentials einfach nur nutzlos ist, hab da auf ne alternative gewechselt. Hab mal was gelesen, dass ein Asterisk auf sme zu betreiben nicht erlaubt sei. Aber auch den könnt ich notfalls auch verzichten.

 

Eigentlich sind meine Erwartungen sehr gering. ich möchte einfach ein Router/Firewall einrichten können ohne ständiges schrauben daran damit es funktioniert. Die pfsense ist Ja toll aber aus irgendeinem Grund heisst es alle paar monate dass mein Anschluss nicht aktiviert sei. Dann heisst es wieder Internetbox rausnehmen anschliessen pairen... Ich wär ja auch schon mit einem supporteten Swisscom Router zufrieden der ein paar einfache grundlegende Dinge unterstützen würde:

- eine statische route setzen

- vlans selber konfigurieren

- port forwards einrichten zu können ohne das ständig die Verbindung abbricht.

- Passworte zu setzen ohne dass diese gleich im Kundecenter veröffentlicht werden ...

Und wenn er dann nicht noch so heiss würde dass man darauf Eier braten kann wäre es auch toll.

 

eine Fixe IPv4 brauch ich nicht, aber seit wann hat Swisscom ipv6 native im Einsatz? das wäre schon cool.

Ach ja und TV2.0  muss natürlich bleiben wegen meiner besseren Hälfte und weil Netflix bei swisscom kaum nutzbar ist.

 

 

Actinium
Level 2
11 von 19

@shorn21 sorry fürs abschweifen.. ich habe heute etwas am pfsense herum geschaubt um dein Problem zu reproduzieren. Und siehe da, nach ein paar restarts und IP releases war plötzlich Ende Feuer. ich erhielt nur noch eine 100.x.x.x Adresse mit der Meldung dass der Anschluss nicht aktiviert sei und das über Stunden Hinweg und auch nach einem pairing mit der Internet Box konnte ich diese nicht wieder aktivieren.

 

Kurz vor dem verzweifeln hab dann mal mit der Hotline telefoniert. Nach einigem weiterverbinden hat dann jemand mein Anschluss zum Austausch markiert. Und siehe da nach dem restart der pfsense erhielt ich wieder eine IP.

 

Keine Ahnung wieso er das plötzlich machen musste, früher hat das immer auch sonst funktioniert, aber es hat geholfen. jetzt gehts wieder. tönt etwas nach voodoo aber vielleicht hast du was ähnliches.

 

Grüsse Actinium

Tux0ne
Level 9
12 von 19

Die einzige Anforderung welche du hast, ist eigentlich Swisscom TV.

 

In diesem Fall würde ich auch mal mit der DMZ Funktion der Swisscom Router arbeiten.

Mit einer Firewall wie pfsense lässt sich auch damit werkeln. VPN Geschichten erledigt man so genated einfach und problemlos mit openvpn.

 Native IPv6 bekommt man aktuell nur mit fixen IPv4 über Business Internet Services (aktuell nur über my KMU Office erhältlich, bald auch über BIL/BIS All IP Ablösung.)

 

Wir können eigentlich alle nur auf eine wirklich konsumentenfreundliche Umsetzung des FMG's hoffen:

Da steht unter anderem:

Art. 12 Abs. 1 1 Die Anbieterinnen von Fernmeldediensten dürfen ihre Dienste bündeln, sofern sie diese Dienste auch einzeln anbieten.

 

http://www.bakom.admin.ch/dokumentation/gesetzgebung/00909/05004/index.html?lang=de

 

Damit ist klar, das man mit der komfortablen FTTH 4 Faser Erschliessung von Swisscom bestenfalls noch TV bezieht. Sofern das Produkt nicht so oder so als OTT angeboten wird. Leider hat Swisscom hier durch andere Konstellationen immer noch Content Vorteile. Das Produkt selber wäre austauschbar. Und die anderen Services von Swisscom kan man meiner bescheidenen Meinung nach so oder so langsam aber sicher in die Tonne tretten 😄

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
user109
Super User
13 von 19

@Tux0ne warum nutzt Du eigendlich nicht Fiber 7 ??? Feste IP oder IPV6 Range, no problem with Netflix.

Und ein Plus Abo für's  TV bei SC ???

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Tux0ne
Level 9
14 von 19
Aktuell ist es halt sehr günstig so wie es ist. Aber es wird zu Anpassungen kommen.
Das Ziel ist aber nur das zu bezahlen was ich "brauche".
Habe andere Hobbies als den Ex Monopolisten finanziell mit Internet Services zu unterstützen welche ich somit gar nicht verwende.
Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
iptables
Level 1
15 von 19

Ich habe bei mir das Senden der DHCP Option wie folgt gelöst:

 

Bei der WAN Konfiguration die DHCP Option wie von Tux0ne beschrieben eingegeben (send dhcp-class-identifier "100008,0001,,pfSense dhclient 2.1).

 

Nun wird dies aber noch falsch geparsed, da pfsense die Kommas als Abtrennung einzelner Optionen interpretiert.

Folglich sendet die Firewall 4 einzelne Options:

- 100008

- 0001

-

- pfSense dhclient 2.1

 

Dies führt zur Abschaltung/Sperrung des Anschlusses.

 

Damit nun die Richtige DHCP Option gesendet wird, habe ich bei mir die /etc/inc/interfaces.inc wie folgt angepasst:

 

In der Funktion 'function DHCP_Config_File_Advanced' unterhalb von $send_options = ''" habe ich bei explode(',' , $wancfg[.....]) das ',' abgeändert in ';'. Somit wird die Option nun richtig geparsed und alles funktioniert. Nach einem Update von pfsense muss ich jeweils lediglich dieses Komma im interfaces.inc durch ein anderes Zeichen ersetzen und gut ist. Wenn man während dem Update (natürlich nach dem Download) die Verbindung des WAN trennt, nach dem Reboot der pfsense die interfaces.inc abändert und danach die FW rebooted, dann braucht es sogar kein neues Pairing.

Vergisst man die Verbindung zum WAN zu trennen, dann sendet pfsense während dem automatischen Reboot nach dem Update erst wieder die falsch geparsed Optionen, wodurch eine erneute aktivierung des Anschlusses notwendig wird.

 

Ich wollte euch meine Erfahrung zu diesem Thema nicht vorenthalten, vielleicht hilft es jemandem ja weiter 😉

 

Gruss

iptables

guybrush82
Level 2
16 von 19

Mit pfsense 2.3 ist übrigens kein rumfrickeln an den internen Dateien mehr nötig, da kann man unter WAN -> Advanced bei: "DHCP Client Configuration" die Option: "[X] Configuration Override" anklicken.
Dann macht man in pfsense eine neue Datei, z.B.: /etc/dhclient.conf mit folgendem Inhalt:

interface "{interface}" {
  send dhcp-class-identifier "100008,0001,,pfsense 2.3";
}

Somit wird die DHCP Option 60 korrekt gesetzt. 🙂

 

"Update-Resistent" sollte das sein, ob es auch bei Backup/Restore hält, weiss ich noch nicht... 😉

Tux0ne
Level 9
17 von 19

Mir wird im Disqus berichtet das seit 2.3 der igmp Proxy nicht mehr stabil funktioniert. Schau dir die Sache mal an. Ich habe die TV Boxen ausserhalb meines IP Netzwerkes in einem eigenen Service Netz und kann das selbst beim besten Willen nicht überprüfen.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
guybrush82
Level 2
18 von 19
@Anonym, ich versuche derzeit noch den igmp Proxy noch auf meinem bisherigen debian gateway zum laufen zu kriegen, doch bisher leider ohne Erfolg (obwohl das beschriebene Problem unter pfsense 2.3 unter Linux nicht bestehen sollte).

pfsense läuft derzeit bei mir noch auf einer VM als Test mit dem cablecom Internetanschluss den ich noch zwei Wochen habe. 😉
Bis dann werde ich mein gateway auf pfsense 2.3 upgraden.

pfsense 2.3 könnte ich dann in der VM testen, traue mich aber irgendwie noch nicht das swisscom Internet dort um zuhängen, weil ich Probleme befürchte mit häufigem Device Wechsel und Neuanmeldung... - Oder ist das egal, wenn man sich bei swisscom ständig immer wieder mit einem neuen Gerät anmeldet, so lange man die dhp-option 60 korrekt sendet...? 😉
Tux0ne
Level 9
19 von 19

Der IGMP Proxy auf Linux hat bei mir viele Jahre besser funktioniert als alle Swisscom Lösungen.

 

Du musst dir keine Sorgen wegen dem Device Wechsel machen. Swisscom kann hingegen froh sein wenn ihr Switch nicht hochgeht 😉

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Nach oben