[Deutsche Glasfaser-Neukunde] Von Glasfaseranschluss (AON) direkt an pfSense ohne Medienwandler/Doppel NAT IPv4 und IPv6 Fragen

    Guten Tag allerseits,

    nun ist es demnächst auch bei uns soweit.

    Es steht ein Wechsel zur deutschen Glasfaser an und ich möchte mit meinen Fragen hier sicherstellen, dass ich wirklich alles richtig verstanden habe, damit ich mein Heimnetzwerk entsprechend vorbereiten kann.

    Folgendes zum Glasfaseranschluss:

    • Provider: Deutsche Glasfaser
    • Anschlussart: AON (also Peer to Peer) (KEIN GPON)
    • Tarifart: Privat
    • Modem/Router Option: Kundeneigener Router


    Was wurde bereits von der deutschen Glasfaser installiert:

    • HüP
    • GF-TA
    • NT (Also Medienwandler von LWL auf RJ45..)


    Wie mein Heimnetz aufgebaut wird/werden soll:

    Den NT (Medienwandler möchte ich abmontieren und vom Glasfaser-Teilnehmeranschluss direkt (ohne Medienwandler) direkt mit der Faser an meinen Router per SFP.

    Also folgendermaßen:


    • Glasfaserstrecke vom GF-TA per LWL an meinen Router per SFP Port. Mein Router ist die pfSense. Die pfSense soll das Routing mit Regelwerk, den DHCP-Server und NAT übernehmen (zum NAT später meine Frage)
    • Der belegte SFP Port vom GF-TA an die pfSense an SFP1 ist der WAN Port.
    • Von der pfSense wird dann ein neues physikalisches Interface an SFP2 oder eben LAN1 erstellt "Heimnetz"
    • Von SFP2 oder eben LAN1 (Heimnetz) geht es dann an einen Switch (Unmanaged). Dieses "Heimnetz-Interface" soll wie der Name sagt, für alles im Haus erstmal zuständig sein.


    Nun meine Fragen:


    Habe ich nun richtig verstanden, dass:

    1. ich bei einer AON Glasfaser Leitung (Peer to Peer) direkt ohne Konfig-Daten per LWL Strecke bzw. über den Medienwandler am GF-TA direkt "Ethernet" habe und quasi direkt an die pfSense stecken kann und hätte sofort Internet?
    2. Ich kein doppeltes NAT habe, wenn ich mein Heimnetz auf IPv6 umstelle? (Denn die Deutsche Glasfaser nutz ja CG-NAT bei IPv4, richtig?) Denn wenn ich IPv4 (über CG-NAT) verwenden würde und meine pfSense ja ebenfalls NAT nutzt, falle ich in ein doppeltes NAT (und das möchte ich nicht). Könnte ich theoretisch die NAT-Funktion der pfSense ausschalten und nutze nur 1x NAT per (CG-NAT vom Provider)?! (Das wird so vermutlich nicht funktionieren, da der Provider uns soweit verstanden nur eine IP pro Haushalt rausgibt hinter der LWL Strecke..)..
    3. Ich wäre aber nicht vom doppelten NAT betroffen, wenn ich mein Heimnetz auf IPv6 umstelle, richtig? Dann könnte die pfSense NAT übernehmen und ich wäre fein raus, oder?
    4. Bezüglich VPN via OpenVPN (auch über pfSense) wäre mein Heimnetz nur noch erreichbar, wenn ich von außerhalb von einer IPv6 Adresse via VPN-Profil auf mein IPv6 zugreife? (Ich weiß es gibt auch andere Möglichkeiten via VServer usw.)


    Ich bedanke mich über Antworten.


    VG:)

    Einmal editiert, zuletzt von 21Fox (4. Februar 2024 um 11:49)

    Zitat von 21Fox

    Den NT (Medienwandler möchte ich abmontieren und vom Glasfaser-Teilnehmeranschluss direkt (ohne Medienwandler) direkt mit der Faser an meinen Router per SFP.

    Bei AON kannst du das machen, aber erst nach der Inbetriebnahme des Anschlusses. Lass ihn dran, bis alles stabil läuft, denn dann hat die DG im Falle von Problemen eine Ausrede weniger.

    Zitat von 21Fox

    Mein Router ist die pfSense.

    Einige Router sind zickig in Bezug auf DHCP bei DG, vor allem bei IPv6. Bei pfSense weiß ich es nicht genau, aber stelle dich drauf ein, dass du ggf. die Konfigurationen auf der Konsole anpassen musst, um alles zum Laufen zu bekommen.

    Zitat von 21Fox

    ich bei einer AON Glasfaser Leitung (Peer to Peer) direkt ohne Konfig-Daten per LWL Strecke bzw. über den Medienwandler am GF-TA direkt "Ethernet" habe und quasi direkt an die pfSense stecken kann und hätte sofort Internet?

    Ohne Konfig Daten natürlich nicht. VLANs etc. musst du schon einrichten, auch beim kundeneigenen Router.

    Zitat von 21Fox

    Ich kein doppeltes NAT habe, wenn ich mein Heimnetz auf IPv6 umstelle?

    Bei IPv6 hast du gar kein NAT. Bei IPv4 hast du CGNAT beim Provider und noch mal NAT bei dir am Router.

    Zitat von 21Fox

    (Denn die Deutsche Glasfaser nutz ja Dual Stack Lite mit CG-NAT bei IPv4, richtig?)

    Nein, die Deutsche Glasfaser nutzt kein DS-Lite, sondern nur CGNAT.

    Zitat von 21Fox

    Denn wenn ich IPv4 (über CG-NAT) verwenden würde und meine pfSense ja ebenfalls NAT nutzt, falle ich in ein doppeltes NAT (und das möchte ich nicht).

    Wirst du aber müssen, denn ohne IPv4 kannst du viele Internetseiten nicht erreichen.

    Zitat von 21Fox

    Könnte ich theoretisch die NAT-Funktion der pfSense ausschalten und nutze nur 1x NAT per (CG-NAT vom Provider)?!

    Nein. Du bekommst nur eine IP vom Provider. Und es nutzt dir ja nichts, Portweiterleitungen kannst du ja eh nicht einrichten. NAT oder Doppel-NAT macht für dich in der Praxis nicht den geringsten Unterschied.

    Zitat von 21Fox

    Ich wäre aber nicht vom doppelten NAT betroffen, wenn ich mein Heimnetz auf IPv6 umstelle, richtig?

    Doch, bei IPv4 schon. Bei IPv6 gibt es - wie gesagt - gar kein NAT, auch nicht bei dir zu Hause.

    Zitat von 21Fox

    Bezüglich VPN via OpenVPN (auch über pfSense) wäre mein Heimnetz nur noch erreichbar, wenn ich von außerhalb von einer IPv6 Adresse via VPN-Profil auf mein IPv6 zugreife?

    Ja.

    Darf ich ehrlich sein: Du wirst mit der Einrichtung der pfSense überfordert sein. Dir fehlt einfach alles an Grundlagenwissen, was dafür erforderlich ist. Wenn du das ernsthaft vorhast, dann baue dir ein Set an virtuellen Maschinen auf, mit denen du üben kannst. Gerade in Bezug auf die Routing Grundlagen musst du noch einiges an Recherche-Arbeit investieren, sowohl für IPv4 als auch besonders für IPv6.

    Übrigens: Mit dem ONT der DG würde das alles genauso funktionieren, nur die VLAN Konfiguration wird einfacher für dich. Auf NAT, das Routing oder die Adressen hat der ONT keinen Einfluss.

    Einmal editiert, zuletzt von frank_m (4. Februar 2024 um 10:50)

    frank_m Erstmal vielen Dank für deine Antworten! Diese haben ja somit meine "Befürchtungen" bestätigt.

    Zitat von frank_m

    Bei AON kannst du das machen, aber erst nach der Inbetriebnahme des Anschlusses. Lass ihn dran, bis alles stabil läuft, denn dann hat die DG im Falle von Problemen eine Ausrede weniger.

    Ja, dies sollte klar sein und wird auch genau so gehandhabt.

    Zitat von frank_m

    Einige Router sind zickig in Bezug auf DHCP bei DG, vor allem bei IPv6. Bei pfSense weiß ich es nicht genau, aber stelle dich drauf ein, dass du ggf. die Konfigurationen auf der Konsole anpassen musst, um alles zum Laufen zu bekommen.

    Notwendige Anpassungen an der pfsense per Terminal sollten kein Problem sein. Ich habe schon etliche Netzwerke (immer mit pfSense) eingerichtet.

    Zitat von frank_m

    Bei IPv6 hast du gar kein NAT. Bei IPv4 hast du CGNAT beim Provider und noch mal NAT bei dir am Router.

    Das wollte ich hören. Dann lag meine Annahme richtig.

    Zitat von frank_m

    Ohne Konfig Daten natürlich nicht. VLANs etc. musst du schon einrichten, auch beim kundeneigenen Router.

    Mir wurde mitgeteilt, dass ich dies nicht machen muss. Daher habe ich extra hier nochmal gefragt. Mir wurde mitgeteilt, dass ich quasi nach dem Medienconverter theoretisch direkt einen Host (Test-PC oder Laptop) anschließen kann und somit ist dann die eine IP vergeben, die mir die Deutsche Glasfaser bereitstellt. Sollte ich einen anderen Host dran machen, muss ich warten bis das Lease erneuert wird damit per MAC-Kennung die neue IP am neuen Host vergeben werden kann. Durch diese Aussage bin ich auch davon ausgegangen, dass keine VLAN Anpassung notwendig ist.

    Zitat von frank_m

    Nein, die Deutsche Glasfaser nutzt kein DS-Lite, sondern nur CGNAT.

    Mein Fehler, ich meine natürlich Carrier-Grande NAT..

    Zitat von frank_m

    Wirst du aber müssen, denn ohne IPv4 kannst du viele Internetseiten nicht erreichen.

    Das habe ich mir ebenfalls gedacht und somit liegt meine Annahme auch da richtig.

    Zitat

    Nein. Du bekommst nur eine IP vom Provider. Und es nutzt dir ja nichts, Portweiterleitungen kannst du ja eh nicht einrichten. NAT oder Doppel-NAT macht für dich in der Praxis nicht den geringsten Unterschied.

    Auch da lag ich dann richtig. Für mich macht NAT oder Doppel-NAT schon einen Unterschied.. Als Informatiker sollte man vorbereitet sein und gewisse Hürden im Vorfeld durchschauen, erkennen und umgehen.

    Zitat von frank_m

    Doch, bei IPv4 schon. Bei IPv6 gibt es - wie gesagt - gar kein NAT, auch nicht bei dir zu Hause.

    Das sage ich ja. Bei IPv6 bin ich nicht vom doppelten NAT betroffen. Bei IPv4 hingegen schon.


    Zitat von frank_m

    Ja.

    Darf ich ehrlich sein: Du wirst mit der Einrichtung der pfSense überfordert sein. Dir fehlt einfach alles an Grundlagenwissen, was dafür erforderlich ist. Wenn du das ernsthaft vorhast, dann baue dir ein Set an virtuellen Maschinen auf, mit denen du üben kannst. Gerade in Bezug auf die Routing Grundlagen musst du noch einiges an Recherche-Arbeit investieren, sowohl für IPv4 als auch besonders für IPv6.

    Übrigens: Mit dem ONT der DG würde das alles genauso funktionieren, nur die VLAN Konfiguration wird einfacher für dich. Auf NAT, das Routing oder die Adressen hat der ONT keinen Einfluss.

    Also ich bin da auch ganz ehrlich...

    Ich bin gerne mit vielem überfordert, aber nicht mit einer Einrichtung der pfSense. Nur weil ich nun frisch im Glasfaser-Provider-Segment einsteige, heißt es nicht, dass mir Grundwissen fehlt. Ich habe wie beschrieben schon etliche Netzwerke (immer mit pfSense) im Betrieb (Ebenfalls auch im Hochverfügbarkeitsbetrieb)...


    Du hast mir ja quasi fast alles so bestätigt, wie ich es angenommen habe.

    Außer bezüglich dem Medienwandler/VLAN-ID.. Aber es ist für mich keine Schwierigkeit eine V-LAN ID in der pfSense einzutragen (wenn ich den Medienwandler NT weg haben möchte).

    Mir wurde wie bereits gesagt, dass quasi die LWL-Strecke direkt als "Ethernet" ohne VLAN-ID Anpassungen genutzt werden kann.

    Einmal editiert, zuletzt von 21Fox (4. Februar 2024 um 11:58)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Sofern die Aussagen vom Support des Netzbeteibers getrofen wurde, muss man ganz vorsichtig sein.

    Dort betreut man nur bis zum betreibereigenen ONT, bestenfalls zum Mietrouter. Bei allem anderen lässt man dich bewusst im Regen stehen.

    Im Falle von Deutsche Glasfaser gibt es folgende Möglichkeiten bei VLAN-IDs:

    • DG Router (AON + GPON): VLANs 360 (Internet) und 330 (Telefonie), sowohl vor als auch hinter dem ONT.
    • kundeneigener Router (AON + GPON): VLAN 362 für Internet und Telefonie, aber nur vor dem ONT. Hinter dem ONT gibt es keine VLAN ID.
    • AVM FRITZ!Box 5530/5590 direkt an der Glasfaser im AON: VLAN 362 für Internet und Telefonie. Also wie kundeneigener Router, jedoch ohne ONT.
    • Sonderfall aktivierte AVM FRITZ!Box 55x0 direkt an der Glasfaser im GPON: gar keine VLAN ID.

    Trotzdem sollte tcpdump und Wireshark zu deinem Handwerkskasten gehören. Das Werkzeug ist allerdings nur so gut, wie derjenige es versteht damit umzugehen. Da ist es völlig irrelevant, ob man einen akademischen Grad in Informatik besitzt oder nicht.

    Zitat von 21Fox

    Mir wurde mitgeteilt, dass ich quasi nach dem Medienconverter theoretisch direkt einen Host (Test-PC oder Laptop) anschließen kann und somit ist dann die eine IP vergeben, die mir die Deutsche Glasfaser bereitstellt.

    Das ist ja auch völlig richtig. Aber das hast du ja nicht vor.

    Zitat von 21Fox

    Für mich macht NAT oder Doppel-NAT schon einen Unterschied.

    Wo denn konkret für diese Situation?

    Zitat von 21Fox

    Als Informatiker sollte man vorbereitet sein

    Du bist Informatiker? Hui.

    Zitat von 21Fox

    Bei IPv6 bin ich nicht vom doppelten NAT betroffen.

    Oha.

    Zitat von 21Fox

    Nur weil ich nun frisch im Glasfaser-Segment einsteige, heißt es nicht, dass mir Grundwissen fehlt.

    Es fehlt dir an Grundwissen. Deine Aussagen zu IPv6 zeigen, dass du nicht im Entferntesten auch nur den Hauch einer Ahnung hast, wie IP-Routing funktioniert. Die Fragen nach dem Deaktivieren von Doppel-NAT zeigen, dass du keinen blassen Schimmer davon hast, wie der Internetzugang deines Providers realisiert wird. Beides ist noch nicht mal Grundlagenwissen, das ist absolutes Basiswissen für das, was du vorhast. Du gehst im Moment sowohl für IPv4 als auch für IPv6 von vollkommen abstrusen Vorstellungen aus, die nichts mit dem zu tun haben, auf das du bei der Schaltung deines Anschlusses stoßen wirst.

    Zitat von 21Fox

    Du hast mir ja quasi fast alles so bestätigt, wie ich es angenommen habe.

    Ähhh ... Nein. Eigentlich gar nicht. Ich weiß nicht, was du gelesen hast, aber deine Vorstellung von deinem Internetzugang ist etwas weiter von der Realität entfernt, als eine Kuh vom Mond.

    Zitat von 21Fox

    Mir wurde wie bereits gesagt, dass quasi die LWL-Strecke direkt als "Ethernet" ohne VLAN-ID Anpassungen genutzt werden kann.

    Schon wieder nein.

    Einmal editiert, zuletzt von frank_m (4. Februar 2024 um 12:48)

    HubeBube Auch dir danke ich für deine Nachricht.

    Zu dem Support der DG sage ich mal schweigend nichts..(sollte ja bekannt sein).

    tcpdump und Wireshark (Mitschnitt) sind gängige Tools, die ich im täglichen Gebrauch auf der Arbeit verwende.

    Bezüglich akademischen Grad in "Informatik" und einem "I N F O R M A T I K E R" liegen auch bekanntlich Welten :)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich wette es kommt gleich von frank_m eine Antwort mit: "Schon wieder nein" :D Alles andere von frank_m lasse ich einfach so stehen und grinse darüber :)

    Nunja, danke dir für die Info flamy. Es stellt sich nun nur die Frage, ob du den NT (Medienwandler) nutzt, oder mit Glas direkt auf deinen Router gehst?

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Also ich habe keine Ahnung, ob es bei direktem Anschluss, ohne Medienwandler anders ist, Aber warum sollte dies so sein? Mir wurde gesagt, dass bei Kundeneigener Router allgemein keine Vlan benötigt wird. Beim Einrichten der Telefone ja auch nicht mehr nötig.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von flamy

    Also ich habe keine Ahnung, ob es bei direktem Anschluss, ohne Medienwandler anders ist, Aber warum sollte dies so sein?

    Weil der DG ONT an AON Anschlüssen für den Modus "kundeneigener Router" die VLAN ID rausfiltert. Ist zigfach hier im Forum nachzulesen. Und ich betreibe es seit Jahren selber ohne ONT, also kannst du mir glauben, dass man an AON Anschlüssen ohne ONT eine VLAN ID braucht.

    Wenn man den Pfad der Tugend verlässt, dann sollte man halt wissen, was man tut. Man kann die Anschlüsse ja auch einfach so nutzen, wie die DG es vorsieht und dokumentiert, dann braucht man sich darum nicht zu kümmern.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von flamy

    Warum da die Deutsche Glasfaser dann so ein Durcheinander macht, ist mir allerdings ein Rätzel...Warum einfach, wenns auch verwirrend, für den Kunden geht...

    Damit sie den Kunden vom "kundeneigenen Router" möglichst abhalten können. Solche Informationen, mit/ohne VLAN etc. müssen sie nach §73 TKG genau bekanntgeben.

    Dort heißt es nämlich im Abs. 3 Satz 3:"Notwendige Zugangsdaten und Informationen für den Anschluss von Telekommunikationsendeinrichtungen und die Nutzung der Telekommunikationsdienste haben sie dem Endnutzer in Textform unaufgefordert und kostenfrei bei Vertragsschluss zur Verfügung zu stellen. "

    Also auch alles was notwendig ist, wenn z.B. der Kunde kein TR069/369 zulässt (abgeschaltet hat).

    Zitat von Schnurz

    Damit sie den Kunden vom "kundeneigenen Router" möglichst abhalten können.

    Davon wird niemand abgehalten. Im Bestellprozess kann man auswählen, ob man einen DG Router mitbestellt, oder eben nicht. Wenn man es nicht tut, ist man automatisch im Modus "kundeneigener Router". Aber das heißt noch lange nicht, dass man dann VLAN IDs benötigt.

    Zitat von frank_m

    Davon wird niemand abgehalten. Im Bestellprozess kann man auswählen, ob man einen DG Router mitbestellt, oder eben nicht. Wenn man es nicht tut, ist man automatisch im Modus "kundeneigener Router". Aber das heißt noch lange nicht, dass man dann VLAN IDs benötigt.

    Kundeneigener Router muss, es sollte in der Zwischenzeit bei den Netzbetreibern angekommen sein, auch den passiven Netzabschluß nach §73 TKG umfassen und daher müssen die Provider wirklich alle notwendigen Informationen dem Kunden bekanntgeben.

    Ein Provider-ONT kann, muss aber nicht verwendet werden. Siehe hierzu den Satz 2 des Abs.3.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Du sprichst vom kundeneigenen Endgerät, nicht vom kundeneigenen Router. Das hat mit dem Modus des DG Anschlusses nur mittelbar was zu tun - wenn überhaupt.

    Und wie so oft: Man kann sich entscheiden zwischen einem monatelangen Rechtsstreit oder einem funktionierenden Internetzugang. Wenn du so scharf darauf bist, ein Exempel zu statuieren, dann mach es doch einfach mal.

    Zitat von frank_m

    Wenn man den Pfad der Tugend verlässt, dann sollte man halt wissen, was man tut. Man kann die Anschlüsse ja auch einfach so nutzen, wie die DG es vorsieht und dokumentiert, dann braucht man sich darum nicht zu kümmern.

    Sorry, aber Deine Aussage ist schon sehr herablassend, klar muss man wissen, was man tut, aber dann muss man auch die richtigen Informationen Vom Anbieter bekommen!

    Habe hier im Moment in meiner Firma schon genug Probleme mit DG, Professional Tarif und unser Telefonanlagen Partner, bekommt es nicht zum laufen, weil DG nicht alle Konfigurationsdaten zur Verfügung stellt.... im Moment läuft es über die eigene Fritzbox und wird dann zur Telefonanlage weiter gereicht, so als Übergang, damit überhaupt was funktioniert... Die Hotline Mitarbeiter, wissen nicht mehr, als schalten sie Ihren Router an oder resetten sie das Modem etc...