Unitymedia 6591 hat doch Bridge-Mode?

[tq1199]

Ja schön, dass es bezüglich Bridge-Mode auf jedenfall Unterschiede gibt, der eie hats, der andere nicht. Da in fast allen Postings die Angabe des Tarifs und/oder Bundeslandes fehlt, sind die Aussagen recht nutzlos.

BTW: Der TE hat einen Business-Tarif:

Von ehemals Unitymedia 120/6 Hessen auf auf Red Business Internet & Phone 300 Cable.

und damit hat man immer auch natives IPv4 und wenn man will auch eine zusätzliche statische öffentliche IPv4-Adresse (für den RIP-Modus), die man mit dem Bridge-Anschluss der FritzBox-cable benutzen kann.

 

[Paradise]

Kabel von Lan2-4 auf Lan1 umstecken, wenn man kein neues Kabel ziehen will und auf der anderen Seite, bei deinem Router, natürlich auch umstecken vom WAN auf einen LAN-Port.

Macht nicht wirklich Sinn. Lan1 ist ja keine Bridge und damit hätte man wieder doppel NAT und meine pfSense Kiste hat nur einen LAN-Port.
Bei der Connect Box konnte man trotz Bridge ganz normal auf diese mit ihrer IP zugreifen (egal was mein LAN für einen Adressbreich hat).

Und übers Internet drauf zugreifen heißt immer zum Nachbarn gehen?
Zumal ich keinerlei dieser Funktionen (myfritz oder wie das heißt) möchte.
Das Teil soll als Modem fungieren und sonst nix.

 

[Joerg123]

ich glaub du hast das nicht verstanden
die Verbindung zu Lan1 wird ja nur benötigt und physikalisch hergestellt, damit du auf das FB-Menü zugreifen kannst - du ernnierst dich ? du hast in Post #23 gejammert, dass du über den Lan2port im Bridgemodus nicht auf die FB kommst ??

 

[tq1199]

Und übers Internet drauf zugreifen heißt immer zum Nachbarn gehen?
Zumal ich keinerlei dieser Funktionen (myfritz oder wie das heißt) möchte.

Du brauchst nicht MyFritz und den Nachbarn brauchst Du auch nicht. Du kannst über die externe/öffentliche IPv4-Adresse auf deine FritzBox-cable, via pfSense/Internet zugreifen.

Das Teil soll als Modem fungieren und sonst nix.

Die FritzBox-cable fungiert ja in deinem Fall, als Modem. D. h. aber nicht, dass man immer mit der IP-Adresse 192.168.100.1 (oder gleichwertig) auf dieses Modem zugreifen kann. Hier z. B. die Mitteilung von Vodafone an mich, bzgl. Zugriff:

ich glaub du hast das nicht verstanden
die Verbindung zu Lan1 wird ja nur benötigt und physikalisch hergestellt, damit du auf das FB-Menü zugreifen kannst - du ernnierst dich ? du hast in Post #23 gejammert, dass du über den Lan2port im Bridgemodus nicht auf die FB kommst ??

2) Aus dem statischen Subnetz ist ein Zugriff auf die FRITZ!Box über die Gateway Adresse nicht möglich.
Sie können über folgende Wege auf die Benutzeroberfläche zugreifen:
- LAN Port 1
- Über W-LAN
- LAN Port 2-4 ohne statische Konfiguration (Haken bei Portkonfiguration nicht gesetzt)
- Von Extern ist der Zugriff über die Gateway Adresse möglich. „Zugriff über Internet“ muss in der Benutzeroberfläche aktiviert sein.

 

[Joerg123]

dat kann doch nicht so schwer zu verstehen sein:
Fritzbox DHCP aus, damit diese keine IP an den eigenen Router (der sein Internet von Lan2 bekommt) vergibt.
Feste Fritzbox-IP ändern auf eine IP aus der Range, welche der eigene Router vergibt (sollte aber nicht in der DHCP-Range des Routers liegen, sonst mag es Adresskonflikte geben.
Jetzt muss man kein zusätzliches Kabel von der Fritzbox zum eigenen Router ziehen, jetzt steckt man das Kabel von Lan2 in den Lan1-Port + am eigenen Router das Kabel vom WAN-Port in einen Lan-Port = hat kein Internet mehr, aber kann auf die Fritzbox zugreifen.
Damit man nur noch am eigenen Router den Stecker umstecken muss, kann man Lan1 und Lan2 der Fritzbox per Switch verbinden. Die Fritzbox sitzt parallel zur Internetverbindung zwischen WAN-Port des eigenen Routers und dem Bridgeport, das stört aber gar nicht, weil die Fritzbox ja nix macht.
Bei einem sehr fitten Router mag man im Routing noch einstellen können, dass die fest in der Fritzbox vergeben Lan-IP über den WAN-Port geroutet wird (standardmäßig macht das kein Router), dann müsste man gar kein Kabel umstecken. Dem Netzwerkkabel ist recht egal, wie viele Subnetze parallel darüber verbunden sind

 

[Paradise]

Du brauchst nicht MyFritz und den Nachbarn brauchst Du auch nicht. Du kannst über die externe/öffentliche IPv4-Adresse auf deine FritzBox-cable, via pfSense/Internet zugreifen.

Grade getestet und was merkwürdiges festgestellte.
Natürlich hab ich die IPv4 genommen die ich in pfSense angezeigt bekomme (die selbe die auch Testseiten anzeigen). Nur das ist nicht die IPv4 der FritzBox.
In der FritzBox bekomme ich im Onlinemonitor ne ganz andere IP angezeigt?

 

[tq1199]

Natürlich hab ich die IPv4 genommen die ich in pfSense angezeigt bekomme (die selbe die auch Testseiten anzeigen). Nur das ist nicht die IPv4 der FritzBox.

Es hat ja auch niemand gesagt, dass Du die externe IPv4-Adresse der pfSense nehmen sollst. Du hast ja meinen 1. Beitrag hier in deinem Thread ignoriert.

In der FritzBox bekomme ich im Onlinemonitor ne ganz andere IP angezeigt?

Es ist ja richtig, dass die FritzBox-cable eine andere externe IPv4-Adresse hat, als die pfSense am Bridge-Anschluss. Mach mal von der pfSense einen Ping auf die externe IPv4-Adresse der FritzBox bzw. schau dir mal in der pfSense die Ausgaben von:

arp -a
netstat -4nr | grep -i default

an.

 

[Paradise]

Du hast ja meinen 1. Beitrag hier in deinem Thread ignoriert.

Nicht ignoriert nur null verstanden. Seit wann hat man zwei IPv4 Adressen?
Und woher weiß ich diese Adresse um auf diese extern auf die FritzBox zu zugreifen ohne vorher in die FritzBox zu gucken?

 

[Joerg123]

ja wie soll das sonst gehen ?
du willst eine IPv4, welche "ungefiltert" an deinen Router geht = die Fritzbox verhält sich wie ein reines Kabel- oder DSL-Modem, das ist der Bridgemode im Vergleich zu Exposed Host, oder DMZ-Funktion einer Router-Firewall (Fritzbox). Wenn dein pfSenf die IP völlig selbstständig "verwaltet", kann die Fritzbox selber nicht parallel die gleiche Internet-IP haben.
Nur weil es technisch geht, würde ich den Konfigurationszugriff auf die Fritzbox niemals fürs Internet (und oder MyFritz-Gedöns, den ich eh nicht nutze) freigeben und nur weil es anklickbar ist, sollte es dir auch keiner raten (schlechter Rat !). Wenn du das mit der Nutzung Lan1 nicht verstehst, dann würde ich VPN noch für eine Alternative halten, welche sich auch auf der Fritzbox einrichten lässt. Oder nimm die WLan-Verbindung, dann must du nix an den Netzwerkeinstellungen der Fritzbox ändern, der Wlan Client bekommt von der Fritzbox eine IP und alles verhält sich über die Funkverbindung wie bisher.
Na ich hoffe mal du wirst glücklich mit deinem pf-Dings. Soll ja toll sein und kaum Wünsche offen lassen, wenn man sich damit auskennt. Ich glaub du wirst noch viel über Netzwerk lernen in der nächsten Zeit (oder nutzt das Senf-Ding so, wie es auch mit der Fritzbox alleine genauso gut täte )

 

[Paradise]

Ich bin seit Jahren glücklich mit pfSense. Ich war glücklich als ich damals von 60 Mbit auf 120 umgestellt habe und die damalige FritzBox los war und ne Connect Box mit Bridge bekam.
Endlich war ich das gebastel und doppel NAT los.

Kein Ahnung was du gegen pfSense hast. Für mich ist die FritzBox Spielzeug die zwar alles können soll aber nix richtig.
Aber das ist ein anderes Thema und gehört hier nicht hin.

 

[tq1199]

Und woher weiß ich diese Adresse um auf diese extern auf die FritzBox zu zugreifen ohne vorher in die FritzBox zu gucken?

Naja, Du musst nicht zwingend in die FritzBox guchen, um deren externe/öffentliche IPv4-Adresse festzustellen (... obwohl Du ja auch zum Konfigurieren des Bridge-Anschlusses der FritzBox, auf deren Benutzeroberfläche warst, oder?).
Du kannst z. B. ein geeignetes Gerät am LAN1-Port der FritzBox anschließen und danach auf diesem Gerät, z. B.:

dig +short myip.opendns.com @208.67.222.222
host myip.opendns.com 208.67.222.222
nslookup myip.opendns.com 208.67.222.222

(oder gleichwertig) ausführen.
Aber was hat dir:

arp -a
netstat -4nr | grep -i default

auf deiner pfSense angezeigt? Welches default gateway hat dein pfSense?

 

[Paradise]

Du kannst z. B. ein geeignetes Gerät am LAN1-Port der FritzBox anschließen und danach...

Na das ist ja was ich mache. Hab ein Laptop an LAN1 hängen.
Da muss ich ja dann keine Befehle ausführen um die IP zu ermitteln und kann gleich vom Laptop aus in die FritzBox Benutzeroberfläche
Finde ich halt umständlich und war bei der Connect Box nicht nötig.

Und wer hat sich das mit dem Taste drücken an der FritzBox ausgedacht um eine Änderung zu bestätigen. Da darf man dann auch los laufen...

Aber was hat dir:

arp -a
netstat -4nr | grep -i default

ip-88-1xx-x6-1.hsi03.unitymediagroup.de (88.1xx.x6.1) at 00:01:5c:7e:10:46 on igb0 expires in 532 seconds [ethernet]
ip-88-1xx-x7-xx5.hsi03.unitymediagroup.de (88.1xx.x7.xx5) at a0:36:9f:b9:bd:a3 on igb0 permanent [ethernet]
default 88.1xx.x6.1 UGS igb0

 

[tq1199]

Na das ist ja was ich mache. Hab ein Laptop an LAN1 hängen.
Da muss ich ja dann keine Befehle ausführen um die IP zu ermitteln und kann gleich vom Laptop aus in die FritzBox Benutzeroberfläche

Das war aber nicht dein Anliegen. Du wolltest doch wissen, ob es auch geht, ohne in die FritzBox zu gucken. Für die Benutzeroberfläche der FritzBox musst Du das Passwort eingeben (statt einen Befehl auf dem Laptop).
Und btw.: Jeder der Zugang zum LAN1-Port (oder gleichwertig) deiner FritzBox hat, kann (ohne Passwort) die externe/öffentliche IPv4-Adresse deiner FritzBox feststellen/ermitteln.

Und wer hat sich das mit dem Taste drücken an der FritzBox ausgedacht um eine Änderung zu bestätigen. Da darf man dann auch los laufen...

So weit ich weiß, kannst Du das (diese default-Einstellung) mit der Taste, in der Konfiguration der FritzBox ändern.

ip-88-1xx-x6-1.hsi03.unitymediagroup.de (88.1xx.x6.1) at 00:01:5c:7e:10:46 on igb0 expires in 532 seconds [ethernet]
ip-88-1xx-x7-xx5.hsi03.unitymediagroup.de (88.1xx.x7.xx5) at a0:36:9f:b9:bd:a3 on igb0 permanent [ethernet]
default 88.1xx.x6.1 UGS igb0

OK, das ist dann kein RIP-Modus, wie man hier mit Hilfe der FritzBox eine 2. externe/öffentliche IPv4-Adresse via Bridge-Anschluss bekommt.
Die externe/öffentliche IPv4-Adresse wird deiner pfSense, per DHCP zugewiesen. Vergleiche mal ein traceroute (an eine IPv4-Adresse im Internet) auf deiner pfSense mit einem traceroute, das Du auf einem Gerät an deiner FritzBox, ausführst. Beim RIP-Modus würde die FritzBox, mit ihrer externen/öffentlichen IPv4-Adresse, als default gateway für die pfSense (d. h. für das Gerät am Bridge-Anschluss) fungieren. Lt. der Ausgabe von "arp -a" auf deiner psSense, scheint das bei dir nicht der Fall zu sein. Evtl. musst Du dynamic-DNS für die pfSense benutzen.

 

[Paradise]

Eingericht hab ich das ganze genauso wie hier: https://tcpip.wtf/en/unitymedia-vodafone-cable-with-real-dual-stack.htm
Nur eben keine VLANs...
Scheint ja auch zu funktionieren.

Von RIP-Modus lese ich das erste mal.

Wie es bei der Connect Box war weiß ich nicht mehr.
Zumindest konnte ich aus meinem 10.110.220.0/23 LAN auf diese mit 192.168.100.1 zugreifen.

 

[Joerg123]

das mit der Sicherheistbestätiigungen über eine Taste an der Fritzbox, oder ein (DECT) Telefon kann man abschalten unter System Fritzbox Benutzer, eine standardmässig aktive Checkbox für " Extra confirmation to configure certain settings and functions " (in der englischen Oberfläche).
Die IP der Fritzbox lässt sich ganz simpel rausbekommen, indem man DynDNS konfiguriert (gibt ja genug kostenlose Anbieter)

 

[Paradise]

Die IP der Fritzbox lässt sich ganz simpel rausbekommen, indem man DynDNS konfiguriert (gibt ja genug kostenlose Anbieter)

Hab Webspace bei All-Inkl und dort mein DDNS und das macht auch pfSense (für OpenVPN).

 

[Joerg123]

oh man, nicht böse gemeint, aber du hast soviel Ahnung von Netzwerk, wie ne Kuh vom Fliegen
und genau deshalb hab ich bereits vorher gefragt, ob pfSense wirklich das richtige für dich ist, oder ob hier ein tolles Produkt, wie ebenfalls von mir geschrieben, hier bei jemandem versauert, der eigentlich schon mit den Möglichkeiten der Fritzbox deutlich überfordert ist, wie jedes einzelne Posting von dir hier zeigt

 

[Paradise]

So so. Keine Ahnung woraus du das jetzt schließt.
Was hat DDNS damit zu tun?
Warum sollte ich mich bei nem kostenlosen DDNS Anbieter registrieren wenn ich jeden Monat für Webspace bezahle wo ich das mit drin hab?
Und dann auch noch nur um auf die FritzBox extern zuzugreifen was ich eigentlich nicht will.

Komisch das ich mit pfSense seit Jahren wunderbar klar komm. Egal ob bare-metal oder in Hyper-V Core oder Proxmox.
Auch tvheadend, FreeSWITCH und MQTT und sonstiges läuft hier im LAN wunderbar und versorgen das Haus.

Mit ner FritzBox ist man überfordert weil es ein Consumer Gerät ist das sonst was macht.

 

[meeven]

Die Zukunft war aber schon vor Jahren. Da hieß es schon die IPv4 Adressen gehen dem Ende zu
Den Vorteil den ich sehe ist das es kein NAT braucht und die Geräte direkt kommunizieren können.

Das ist meiner Meinung nach kein Vorteil sondern ein riesen Nachteil.
Bei IPv6 sind sozusagen im deine "privaten" IP Adressen öffentlich.

Es muss keiner wissen (außerhalb) des privaten Netzes, welche Geräte es in meinem Netz gibt.

Ich hab bei mir trotz Dual Stack nur IPv4 in Verwendung. IPv6 ist deaktiviert und durch zusätzliche Firewall Regeln sogar gesperrt.

Unglaublich aber wahr, es funktioniert das ganze Internet problemlos

 

[tq1199]

Das ist meiner Meinung nach kein Vorteil sondern ein riesen Nachteil.
Bei IPv6 sind sozusagen im deine "privaten" IP Adressen öffentlich.

OK, aber "öffentlich" heißt noch lange nicht, dass sie auch zugänglich sind bzw. aus dem Internet erreicht werden können. Fast alle Router (border device) haben eine v6-Firewall. Ich sehe auch keinen großen Unterschied darin, dass statt der externen/öffentlichen IPv4-Adresse (bei nativem IPv4-Internetanschluss), jetzt das IPv6-Präfix aus dem Internet sichtbar (öffentlich) ist. Gut, wer das nicht will, der kann sich ja einen ISP suchen, der DS-lite oder CGN anbietet.

 

[MartinP_Do]

Ansonsten nutzen die meisten Devices in aller Regel Privacy-Extensions

https://tools.ietf.org/html/rfc4941

https://de.wikipedia.org/wiki/IPv6#Adressaufbau_von_IPv6

Da hat der Tracker aus der Internet-Welt auch nicht mehr Informationen, als über die öffentliche IPv4 Adresse des Routers ...

 

[tq1199]

Ansonsten nutzen die meisten Devices in aller Regel Privacy-Extensions

Ja, deshalb habe ich ja auch nur das IPv6-Präfix (und nicht die externe/öffentliche IPv6-Adresse) mit der externen/öffentlichen IPv4-Adresse verglichen bzw. gleichgesetzt (d. h. auf eine Stufe gestellt).

 

[boba]

Und dann auch noch nur um auf die FritzBox extern zuzugreifen was ich eigentlich nicht will.

Beim Benutzen des Bridge Modus musst du bedenken, dass du damit 2 öffentliche IP Adressen bekommst. Eine bekommt wie bisher die Fritzbox, die exakt so weiterfunktioniert wie bisher, nur dass der Bridge-Port anders funktioniert. Die andere öffentliche IP bekommt das Gerät, das du an den LANx Port hängst, den du in der Fritzbox als Bridge-Port definiert hast.

In aller Regel benutzt man dort einen Router, der dann auf dem WAN-Port diese Adresse erhält. Er hat eine Reihe von Switchports auf der anderen Seite und verteilt via DHCP Adressen an dort angeschlossene Geräte. Er weiß nichts von der Fritzbox. Er hat nur die öffentliche IP Adresse erhalten und macht sie bzw. den daran hängenden Internetzugang seinem lokalen Netz via NAT verfügbar.

Die Fritzbox selbst weiß von dieser zweiten IP Adresse und dem Netz hinter dem dort angeschlossenen Router nichts. Sie weiß nicht, dass diese Adresse hinter einem ihrer Ports hängt. Für sie ist diese Adresse irgendeine IP Adresse im Internet.

Hast du nun ein Gerät hinter dem angeschlossenen Router, und willst du mit dem auf die Fritzbox zugreifen, müssen die Datenpakete erst "raus" ins Internet, und dann wieder "rein" zur öffentlichen IP Adresse der Fritzbox. Lokale Zieladressen wie 192.168.178.x (Standardnetz der Fritzbox) werden nicht über den WAN Port des Routers rausgeschickt, deshalb würden solche Pakete nicht zur Fritzbox gelangen.

Du kannst als workaround einen der lokalen Ports des Routers mit einem der lokalen Ports der Fritzbox verbinden. Sozusagen eine Abkürzung für die Datenpakete.

Angenommen, die Fritzbox hat ihr standardmäßiges 192.168.178.x/24 Netz. Du vergibst jetzt dem Router, den du an den Bridge-Port angeschlossen hast, das Netz 192,168.200.x/24.
Jetzt stöpselst du ein LAN Kabel in einen nicht-Bridge-Port der Fritzbox auf der einen Seite in einen lokalen Port auf dem Router.
Damit Daten fließen können, muss die Fritzbox wissen, wie das Netz 192.168.200.0/24 erreicht werden kann, und der Router muss wissen, wie das Netz 192.168.178.0/24 erreicht werden kann.
Das tut man, indem man auf der Fritzbox eine statische ipv4 Route einträgt für Netzwerk 192.168.200.0, netmask 255.255.255.0, Gateway 192.168.178.1 (das ist die feste lokale Adresse der Fritzbox selbst).
Und auf dem Router trägt man ebenfalls eine statische ipv4 Route ein für Netzwerk 192.168.178.0, netmask 255.255.255.0, Gateway 192.168.200.1 (das wäre die fest lokale Adresse des Routers selbst, die man fest vergeben haben sollte)
Das Problem hiermit ist, dass du 2 dhcp Server auf demselben Broadcastbereich hast (alles direkt via Switchports verbunden). Mache die Konfiguration mit den statischen Routen also nicht.

Stattdessen musst du auf einem der Geräte den dhcp Server abschalten, wenn du beide Geräte direkt mit einem LAN-Kabel verbindest. Beispielsweise den auf der Fritzbox. Der Fritzbox gibst du eine IP Adresse aus dem 192.168.200.0 Netz, z.B. 192.168.200.2, denn sie selbst kann sich nicht von einem anderen dhcp Server eine Adresse holen. Diese 192.168.200.2 reservierst du im dhcp Server auf dem Router als belegt, damit die nicht an Clients dynamisch vergeben wird.
Jetzt sollte schon alles korrekt laufen, ohne statische Routen irgendwo.
Die Fritzbox hat zwar weiterhin die öffentliche IP Adresse und stellt darüber das Internet bereit, aber kein Client außer ihr selbst weiß das, weil ihr dhcp Server aus ist und damit diese Info nicht verteilt wird. Stattdessen verwenden alle Clients den Router als Gateway und damit läuft der Internetverkehr über den Bridgeport und nicht über den internen Fritzbox-Router.

So wissen beide Netze voneinander und Daten sollten direkt ausgetauscht werden können, wenn man IP Adressen verwendet. Die Namensauflösung für Rechner in den lokalen Netzen dürfte dann die nächste Aufgabe sein, die zu lösen wäre, bzw. lokales Routing für ipv6, wenn man auch ipv6 direkt verbunden verwenden möchte. Was ipv6 angeht, weiß ich nicht auswendig wie man das genau macht. Das geht unter Umständen anders als für ipv4, also möglicherweise mit den Automatismen, die ipv6 bereitstellt und die die Router möglicherweise unterstützen.

 

[Paradise]

@boba , danke für deine Ausführungen.
Mein Router hat nur zwei Netzwerkkarten (WAN und LAN).
Ist auch alles viel zu viel gebastel. Da leg ich lieber noch ein Netzwerkkabel zum Schreibstich und hänge da ein Laptop dran wenn ich auf die FritzBox muss.

Namensauflösung mit Windows funktioniert. Nur was Linux betrifft bin ich noch nicht dahinter gekommen was die richtige Einstellung für Vodafone ist.
Hab in Debian 9 diese 3 Einstellungen getestet natürlich nacheinander):

iface enp1s0 inet6 dhcp request_prefix 1
iface enp1s0 inet6 auto dhcp 1 request_prefix 1
iface enp1s0 inet6 dhcp request_prefix 1 accept_ra 2

Sieht so aus als würde die Prefix Länge nicht stimmen und ich bekomme immer /64

Wie sieht das eigentlich überhaupt mit dem Prefix aus. Ändert der sich ständig wie bei IPv4 oder wurde das richtig implementiert?
Hab in pfSense ja:

Do not allow PD/Address release:
dhcp6c will send a release to the ISP on exit, some ISPs then release the allocated address or prefix. This option prevents that signal ever being sent

Funktioniert die Einstellung bei Vodafone?

So was wie ne technische Dokumentation zum Anschluss hab ich bis jetzt noch nicht gefunden.
Ist das ganze stateful oder stateless DHCPv6?
Oder geht die route über SLAAC und die Adresse über DHCPv6?

 

[daniel.bhall]

Hallo in die Runde,

habe in Hessen einen ex-UM Business 1000 Anschlusss mit fester IP und einer 6591 FB - leider ohne Bridge Modus. Laut Hotline gibt es diese nicht mehr seit 18. Dezember 2020.
Welche Möglichkeiten bleiben mir noch?

Danke und schöne Grüße