Unitymedia DS-Lite via Linux / BSD (bspw. OpenWRT oder pfSense)

[rv112]

Dass ich dort ja auch den Prefix eintragen muss. Damit geht dann zwar Dual WAN, aber beim Prefixwechsel dann gar nix mehr.

 

[addicted]

Ah. Gut, das klingt als würde die pfSense keine dynamischen Präfixe mit NPT unterstützen. Was sehr albern ist, weil man NPT ja grade bei dynamischen Präfixen verwenden möchte.

 

[der-tim]

Also, ich kann bestätigen dass ich nach wie vor über den AFTR eine v4 Verbindung aufbauen kann. Ist ja lustig.

Ich hab das Ticket somit eben auch noch mal beantwortet. :winken:

 

[rv112]

Nein pfSense kann keine dynamischen Prefixe

 

[Nurum]

Man braucht doch gar kein NPT um IPv6 Portfreigaben zu machen.
Reicht es nicht nur die Firewall zu für eine Adresse zu öffnen?
Bei meinem Edgerouter habe ich das so gelößt. Regeln 10,20 und 30 sind die Standard Firewall und Regel 100 erlaubt Port 80.
Mit dem Zusatz /::ffff:ffff:ffff:ffff lässt sich der Präfix ignorieren.
Oder übersehe ich das Offensichtliche.
Wenn das ein Edgerouter mit rudimentärer IPv6 Unterstützung geht, sollte sich das ja auch mit OpenWRT oder pfSense realisieren lassen.

<i>
</i>firewall{ ipv6-name IPV6WAN_IN { default-action drop description "IPV6WAN to internal" rule 10 { action accept description "Allow established/related" log disable state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow ICMPv6" log disable protocol icmpv6 } rule 100 { action accept description "Raspberrypi IPv6 Portfreigabe" destination { address ::12fd:7464:c2cd:9ade/::ffff:ffff:ffff:ffff port 80 } log disable protocol tcp } }

 

[rv112]

Geht bei der pfSense leider nicht so einfach. Um Portfreigaben ging es mir auch weniger. Eher um die einzelnen Interfaces.

 

[Wechseler]

Ah. Gut, das klingt als würde die pfSense keine dynamischen Präfixe mit NPT unterstützen. Was sehr albern ist, weil man NPT ja grade bei dynamischen Präfixen verwenden möchte.

IPv6-Support ist in den ganzen Router-Distributionen noch im Frühstadium. Man kann schon froh sein, wenn überhaupt irgendwas funktioniert.

 

[xauser]

Hab ein Problem mit DSLITE

Gestern abend ist das hier in den Logs meiner pfSense aufgetaucht....

Gateway alarm: IPv4GW (Addr:192.0.0.1 Alarm:1 RTT:49399ms RTTsd:61526ms Loss:21%)
IPv4GW 192.0.0.1: Alarm latency 0us stddev 0us loss 100%
IPv4GW 192.0.0.1: sendto error: 65

Seit dem ist die 192.0.0.1 nicht mehr von der pfSense pingbar den AFTR kann ich noch per ipv6 pingen. Somit ist mein
IPv4 Zugang gerade down.

Liegt das an mir? Kann ich was machen? Neustart der pfSense, des Tunnels und des Modems hab ich schon durch. Was
genau ist eigentlich passiert?

 

[rv112]

Das 192.0.0.1 ist das AFTR Gateway welches Du von UM zugeteilt bekommen hast? Oder hast Du das selbst so gesetzt?

 

[xauser]

Ich habe selbst den gif tunnel erstellt zum AFTR. Die Adresse des AFTR hatte ich damals aus meiner Connect Box ausgelesen.

gif tunnel 192.0.0.2 -> 192.0.0.1 mit AFTR als remote point.

Das ging so super die letzten 14 Tage. Die 192.0.0.2 ist auch pingbar.

 

[xauser]

Update: Geht wieder alles.

Hier mal die Info aus den Logs...

May 6 11:48:29 rc.gateway_alarm 14795 >>> Gateway alarm: IPv4GW (Addr:192.0.0.1 Alarm:0 RTT:8442ms RTTsd:1295ms Loss:5%)
May 6 11:48:29 dpinger IPv4GW 192.0.0.1: Clear latency 8442us stddev 1295us loss 5%
May 6 11:01:07 dpinger IPv4GW 192.0.0.1: Alarm latency 0us stddev 0us loss 100%

 

[noctarius]

Vermutlich hat sich die AFTR Adresse geändert. 192.0.0.2 ist die lokale Adresse (lokaler Endpoint), 192.0.0.1 die Adresse (laut Spec) des AFTR innerhalb des Tunnels. Wie ist deine MTU? Ich kenne das Problem, wenn sich (aus welchen Gründen auch immer) die Uplink MTU irgendwie verschoben hat. Alternativ kann es natürlich sein, dass der AFTR einen Fehler hat. Der Host könnte zwar noch erreichbar sein, aber nicht mehr verteilt werden. Welchen AFTR nutzt du denn zur Zeit? Schon mal einen Anderen (https://www.cable-wiki.xyz/index.php/Unitymedia#AFTR_Addresses) probiert?

 

[TGA7]

Hallo noctarius.

Erst mal sorry für meine laienhafte Fragen.
Ich nutze zwar pfSense, aber verstehe ich richtig, dass Du DS-Lite über OPNsense konfiguriert hast? Deine vereinzelte screenshots über die OPNsense Konfiguration sind über das ganze Internet verteilt
Kannst Du die ganze Konfiguration für DS-Lite mit den pics hier zusammenfassen? Kann man danach die OPNsense Konfiguration auch pfSense übertragen?

Ich und die anderen würden deine Hilfe sehr schätzen.

Grüße John

 

[sch4kal]

Hallo noctarius.

Erst mal sorry für meine laienhafte Fragen.
Ich nutze zwar pfSense, aber verstehe ich richtig, dass Du DS-Lite über OPNsense konfiguriert hast? Deine vereinzelte screenshots über die OPNsense Konfiguration sind über das ganze Internet verteilt
Kannst Du die ganze Konfiguration für DS-Lite mit den pics hier zusammenfassen? Kann man danach die OPNsense Konfiguration auch pfSense übertragen?

Ich und die anderen würden deine Hilfe sehr schätzen.

Grüße John

Steht alles hier: https://www.cable-wiki.xyz/index.php/OPNsense

 

[noctarius]

Genau, es gibt tatsächlich keine Möglichkeit das über die UI zu konfigurieren. Weder bei Opnsense noch bei pfsense. Für Opnsense arbeite ich derzeit an einer Integration, da das UI und die Interna bei pfsense aber durchaus stark abweichen (das war eine der Gründe für den Fork von Opnsense), lässt sich das nicht so ohne weiteres zurückspielen.

Mit den Commands aus dem Link davor kannst du es, auch unter pfsense, allerdings manuell konfigurieren. Dann musst du es aber nach jedem Neustart manuell machen oder dir irgendwie ein Script basteln, welches es automatisch nach Zuweisung der IPv6 macht. PS: Du brauchst dafür auf dem WAN Interface eine public IPv6, ergo "Only request prefix" ausmachen.

 

[Ragnos]

Hallo zusammen!

hat es schon jemand geschafft einen Ubiquiti ERLite-3 (bzw. EdgeOS) mit DSLite zu betreiben? Nutze jenen derzeit um ein DualWAN-Setup zu realisieren, derzeit noch an der ConnectBox, bald am TC4400. IPv6 für sich funktioniert absolut zufriedenstellend mit PrefixDelegation, und IPv4 wird derzeit noch mittels NAT an die ConnectBox weitergereicht. Wenn ich jetzt einfach auf TC4400 umbaue zerschieße ich mir das natürlich.

OPNsense als Alternative wäre natürlich eine Option, allerdings zieht die PC-Hardware natürlich deutlich mehr Strom als das 12W-Netzteil des ERLite.

Beste Grüße,
Ragnos

 

[Nurum]

Es gibt Anleitungen aus Japan, die das anscheinend mit einem manuellen ipip Tunnel hinbekommen haben. Habe das selber noch nicht ausprobiert, habe es aber noch vor.
https://qiita.com/haccht/items/17ed2bed628d2fd17bea

Ubiquiti scheint leider momentan kein Interesse daran zu haben DS-lite sauber zu implementieren. Vielleicht wenn der Vorschlag noch einiges mehr Upvotes bekommt.
https://community.ubnt.com/t5/UniFi...e-IPv4-in-IPv6-Obtain-a-DS-Lite/idi-p/2157436

Ich habe einen Edgerouter X, bei dem ist es möglich OpenWRT zu flashen. Das wird wahrscheinlich mein Lösungsansatz sein, wenn ich wieder auf DS-lite zurückgreifen muss.
Momentan genieße ich echtes Dualstack. Wenn man die Telefon Komfort oder Powerupload Option gebucht hat, schaltet Unitymedia momentan auf Rückfrage echtes Dualstack.

 

[sch4kal]

Hallo zusammen!

hat es schon jemand geschafft einen Ubiquiti ERLite-3 (bzw. EdgeOS) mit DSLite zu betreiben? Nutze jenen derzeit um ein DualWAN-Setup zu realisieren, derzeit noch an der ConnectBox, bald am TC4400. IPv6 für sich funktioniert absolut zufriedenstellend mit PrefixDelegation, und IPv4 wird derzeit noch mittels NAT an die ConnectBox weitergereicht. Wenn ich jetzt einfach auf TC4400 umbaue zerschieße ich mir das natürlich.

OPNsense als Alternative wäre natürlich eine Option, allerdings zieht die PC-Hardware natürlich deutlich mehr Strom als das 12W-Netzteil des ERLite.

Beste Grüße,
Ragnos

Ein APU2C4 mit OPNSense verbraucht auch nicht mehr als 7-8 Watt.

 

[noctarius]

Hallo zusammen!

hat es schon jemand geschafft einen Ubiquiti ERLite-3 (bzw. EdgeOS) mit DSLite zu betreiben? Nutze jenen derzeit um ein DualWAN-Setup zu realisieren, derzeit noch an der ConnectBox, bald am TC4400. IPv6 für sich funktioniert absolut zufriedenstellend mit PrefixDelegation, und IPv4 wird derzeit noch mittels NAT an die ConnectBox weitergereicht. Wenn ich jetzt einfach auf TC4400 umbaue zerschieße ich mir das natürlich.

OPNsense als Alternative wäre natürlich eine Option, allerdings zieht die PC-Hardware natürlich deutlich mehr Strom als das 12W-Netzteil des ERLite.

Beste Grüße,
Ragnos

Warum lässt du deinen Anschluss jetzt nicht einfach auf echtes Dual-Stack umstellen? Problem gelöst (zumind vorerst ;-))!

 

[Ragnos]

Hat einen verdammt simplen Hintergrund, ich wusste von dieser Möglichkeit nichts. :wand:
Habe zwar mitbekommen, dass es die PowerUpload-Option neu gibt, aber das man jetzt DS ordern kann war mir echt noch nicht bekannt.

Danke für den Aufwecker. :kafffee:

 

[der-tim]

Hallo zusammen,

heute gabs eine neue Antwort auf mein Ticket beim openwrt Bugtracker, es sieht wohl wie folgt aus:
Der Linux Kernel sendet mittlerweile eine "destination option" im IPv6 Paket, mit der der AFTR aber nichts anfangen kann (wenn ich das richtig verstehe). Deswegen wird das ganze Paket abgelehnt und die Verbindung fällt flach. Das Problem soll wohl nur UM Server-seitig lösen können..

Ich werde UM damit bald eine Mail schreiben und dann mal schauen was passiert. Bin mir nicht wirklich sicher ob UM daran interessiert ist solang man mit Fritz- und Connectboxen das Problem nicht hat.

An dieser Stelle freue ich mich noch mal, dass man so leicht auf Dual Stack wechseln konnte.. :hammer: :winken:

 

[JPDribbler]

Hallo zusammen,

heute gabs eine neue Antwort auf mein Ticket beim openwrt Bugtracker, es sieht wohl wie folgt aus:
Der Linux Kernel sendet mittlerweile eine "destination option" im IPv6 Paket, mit der der AFTR aber nichts anfangen kann (wenn ich das richtig verstehe). Deswegen wird das ganze Paket abgelehnt und die Verbindung fällt flach. Das Problem soll wohl nur UM Server-seitig lösen können..

Ich werde UM damit bald eine Mail schreiben und dann mal schauen was passiert. Bin mir nicht wirklich sicher ob UM daran interessiert ist solang man mit Fritz- und Connectboxen das Problem nicht hat.

An dieser Stelle freue ich mich noch mal, dass man so leicht auf Dual Stack wechseln konnte.. :hammer: :winken:

Sehr interessant, danke für deine Arbeit!
Ich denke das wird Unitymedia nicht die Bohne interessieren, sehr ärgerlich...

Hier noch der Quote vom bugtracker:

https://bugs.openwrt.org/index.php?do=details&task_id=1501&pagenum=2

The 17.01.4-ping.output traces confirm the problem is triggered by the extra IPv6 Destination Option header which is present in IPv6 packet containing the IPv4 ping packet.
This is a change in behavior due to the kernel upstep to 4.14; as the remote end rejects IPv6 packets containing the IPv6 Destination Option header is there a way you can raise this issue with your ISP ?

 

[Wechseler]

Warum sendet der Linux-Kernel überhaupt einen Destination Options header zum AFTR?

 

[der-tim]

Da kann ich auch nur mutmaßen.. wegen der Adressauflösung von IPv6? Fakt ist aber dass openwrt sich richtig dazu verhält und der UM Server das Ding fallen lässt.

 

[sch4kal]

Ich erkenne da Parallelen zum Tab-Zeichen Bug bei VF und glaube nicht, das UM das kümmern wird ^^