Beiträge von kerneltask

Hier eine coole Lösung für Nutzer von OPNsense mittels GRE Tunnel, so kann man ebenfalls DS Lite oder auch CGNAT umgehen. Anstelle von IPv4 Endpunkten wird dann natürlich IPv6 verwendet. Ich z.B. habe dadurch ein bestimmtes VLAN welches allen Clients dahinter mittels DHCP direkt öffentliche IPv4 Adressen verteilt. Das ganze ohne NAT, als Anbieter für den GRE Tunnel verwende ich NOEZ.

Falls es Fragen oder Probleme gibt, einfach raus damit.

Schritt 1: GRE-Tunnel einrichten

• Navigiere zu „Interfaces: Other Types: GRE“ und füge einen neuen GRE-Tunnel hinzu:
  • Lokale Adresse: WAN-IP
  • Entfernte Adresse: Externe IP der Gegenstelle
  • Tunnel-Lokale Adresse: z. B. 10.0.6.2
  • Tunnel-Entfernte Adresse: z. B. 10.0.6.1
  • Tunnel-Netzmaske/Präfix: 30
  • Beschreibung: z. B. NOEZ
• Speichern

Schritt 2: Client-Interface erstellen

• Lege ein neues Interface für die Clients an (z. B. VLAN), hier unter dem Namen „DMZ_EXT_IP“.

Schritt 3: Interfaces zuweisen

• Navigiere zu „Interfaces: Assignments“ und weise ein neues Interface zu:
  • gre0 (NOEZ)
  • Das zuvor erstellte Interface „DMZ_EXT_IP“
• Speichern

Schritt 4: DMZ-Interface konfigurieren

• Gehe zu „Interfaces: DMZ_EXT_IP“ und aktiviere das Interface:
  • IPv4-Konfigurationstyp: Statische IPv4
  • IPv4-Adresse: Die erste IP des gewünschten Subnetzes (z. B. 5.230.167.168) mit Netzmaske
  • Hinweis: Bei einem /29-Subnetz wird z. B. /28 gesetzt, bei /27 entsprechend /26.
• Speichern

Schritt 5: NOEZ-Interface konfigurieren

• Gehe zu „Interfaces: NOEZ“ und aktiviere das Interface:
  • MTU: 1468 bei PPPoE WAN oder 1476 bei Ethernet WAN
• Speichern

Schritt 6: Firewall-Regeln hinzufügen

• Gehe zu „Firewall: Rules: NOEZ“ und füge eine neue Regel hinzu:
  • Alle Standard-Einstellungen beibehalten
  • Speichern
• Gehe zu „Firewall: Rules: DMZ_EXT_IP“ und füge eine neue Regel hinzu:
  • Quelle: DMZ_EXT_IP-Netz
  • Ziel (invertiert): Alle LAN-Netze (z. B. per Alias)
  • Gateway: NOEZ_TUNNELV4
  • Speichern

Schritt 7: DHCP für DMZ-Interface aktivieren

• Gehe zu „Services: ISC DHCPv4: [DMZ_EXT_IP]“ und aktiviere den DHCP-Server:
  • Bereich definieren
  • DNS-Server nach Wunsch eintragen
  • Gateway: IP des „DMZ_EXT_IP“-Interfaces (z. B. 5.230.167.168)
• Speichern

Schritt 8: NAT-Regeln konfigurieren

• Gehe zu „Firewall: NAT: Outbound“ und wähle „Manuelle NAT-Regelgenerierung“:
  • Füge eine neue Regel hinzu:
    • Interface: WAN
    • Quelladresse: Alle LAN-Netze (z. B. per Alias)
    • Ziel (invertiert): Alle LAN-Netze
    • Translation/Target: WAN-Adresse
  • Speichern

Schritt 9: Konfiguration übernehmen

• Wende die Änderungen an.

Jetzt sollten Clients hinter dem „DMZ_EXT_IP“-Interface eine externe IPv4-Adresse aus dem Pool erhalten und sowohl aus dem Internet erreichbar sein als auch ins Internet gelangen können.

Speedtest "normal" (direkt per WAN):

Speedtest hinter GRE (Client mit externer IP):

Zitat von rode

Lösung wäre neben einem wie schon beschriebenen Tunnel nur noch, das Zertifikat über DNS verifizieren zu lassen, aber dazu braucht man automatisierten Zugriff auf seinen DNS und eine eigene Domain.

DNS Challenge wäre jetzt auch mein Vorschlag gewesen.

Zitat von frank_m

Da ist die NOEZ Lösung günstiger. Die hab ich mal für einen Monat getestet, die funktioniert auch sehr gut. Man braucht natürlich ein passendes Endgerät, das dauerhaft läuft, auf dem der GRE Tunnel terminiert, ein Raspi zum Beispiel.

Hehe, NOEZ benutze ich auch. Bin zwar Telekom Kunde, aber so ein eigenes /29 zuhause für manche Dienste ist schon cool Läuft auch extrem stabil und hab nahezu den selben Speed wie ohne den Tunnel. Latenz ist ebenfalls super.

Hab ein VLAN angelegt hinter dem die Clients direkt mittels DHCP ne externe IP zugeteilt bekommen. Eingerichtet ist das ganze auf OPNsense, hier ein Latenztest direkt von der OPNsense:

Speedtest "normal" (direkt per WAN):

Speedtest hinter GRE (Client mit externer IP):

Aus Oberhausen nach Frankfurt zum NOEZ Endpunkt.

Moin, ich hab dir mal gerade privat geschrieben.

Zitat von DLMttH

Gut, das geht. Aber der Glasfasertarif kostet für sich unter Umständen schon knapp das Doppelte des DSL-Pendants. Ob man die 2€ zusätzlich dann noch unbedingt zahlen müssen will?

2€ sind doch nix.

Zitat von DLMttH

Du solltest übrigens die Vollzitate meiden. Einzelne Sätze kann man zitieren, nachdem man diese markiert hat.

ok bin noch neu hier.

Zitat von DLMttH

Interessant, nicht einmal zusätzlichen laufen Kosten? Für mein Geld muss ich mich schon was anstrengen.

Ich habe gar nicht die Möglichkeit, Glasfaser zu bekommen, zufrieden mit meinem Anbieter bin ich trotz 0 Service dennoch. Ich komme sogar über IPv4 in mein Heimnetz, obwohl der Internetanschluss DS Lite hat! Ohne zusätzliche Anstrengungen

Naja, ab 2€ im Monat. Also überschaubar..

Zitat von rode

Bei GRE brauchst Du aber erstmal eine Gegenstelle, mit der Du Dich verbindest. Dann das Routing manuell einstellen, dass nur die VPN-Verbindung zur Arbeit über den Tunnel geht, der Rest ins Internet nicht. Das willst Du jemand zumuten, der nicheinmal weiß, ober er eine IPv4 braucht?

Das zweite ist keine Lösung, sitz' mal im Hotel und versuche Dich mit Zuhause zu verbinden, wenn Du Zuhause nur IPv6 hast und das Hotel nur IPv4.

Ja die Gegenstelle gibts genügend. NOEZ zum Beispiel.

Und ner Anleitung folgen sollte jeder können...

Der

Zitat von DLMttH

Wofür ich weitere Anstrengungen unternehmen muss.

Selbst wenn ich das auf mich nehme, brauche ich dann nicht stabiles IPv6? Dies war ja bei DG in Vergangenheit auch nicht immer an jedem Anschluss gegeben.

Naja wirklich Anstrengung is das nicht.. Und ja, das solltest du haben. Die DG ist aber eh ein mieser Anbieter. Der Support ist noch unterirdischer als VF. Und das soll was heißen.

Am besten du wechselst einfach

Zitat von HubeBube

Auch da wäre es ein Glücksspiel. Das GPON Modul von FS.com und Luleey funktioniert zwar in einem SFP+ (mit Plus) Slot einer UDM SE, das lässt freilich keinen Rückschluss auf eine Mellanox/Nvidia NIC zu.

Mhh okay. Dann bleibt mir wohl nur das testen..

Zitat von rode

Wenn Du noch keine Probleme damit hattest, keine zu haben, dann brauchst Du keine.

Bei mir: Erreichbarkeit des eigenen Netzes von außen per VPN

Bei Kollegen die zu oft wechselnde ausgehende IPv4-CGNAT-Adresse bei VPN-Verbindungen ins Büro mit resultierenden Verbindungsabbrüchen (UDP vom VPN ist stateless, daher kann das CGNAT die IP nach einer Zeit wechseln (wurde uns von unseren Netzwerk-Kollegen so gesagt)

Dann besorg dir am besten eine richtige v4 via GRE Tunnel, oder verwende IPv6 für das VPN..

Zitat von HubeBube

Willkommen im Forum!

Die GPON Module sind SFP (ohne Plus) Module und daher ist die Kompatibilität mit SFP+ und auch SFP28 ein wenig wie ein Glücksspiel. Bei XGS-PON ist es anders, darum geht es hier jedoch nicht.

FreeBSD scheint häufig in der Treiberentwicklung hinten anzusehen. Der AMD xgbe = axgbe Treiber beherrscht, zumindest unter Linux, schon lange die 2,5 und 5 Gbps und sollte diese Features auch mittlerweile in dem aktuellen FreeBSD implementiert haben. Zumindest von NICs mit diesem Treiber ist mir bekannt, das dieses Zyxel Modul unterstützt wird.

Hast Du mal eine Mellanox ConnectX-2 versucht? Diese Karten sind sehr günstig und werden von dem mlx4en Treiber unterstützt. Ob diese das Modul erkennt, kann ich allerdings nicht sagen. Im Zweifelsfall sind jedoch nur 20€ verloren. Z.B. https://www.ebay.de/itm/142768131382

Danke danke!

Eine so alte Mellanox wollte ich ungerne, tatsächlich wäre mir wenn ich von meiner 25G Mellanox weg gehe am liebsten eine Intel Karte wegen den Treibern, alternativ eben Broadcom. Falls das relevant ist: Ich habe einen i5-10400 als CPU. OPNsense natürlich in der neusten Version (OPNsense 24.7.5_3-amd64)

Könnte ich ggf. besseres Glück mit einem anderen SFP haben? Dann würde ich mich auch danach umsehen.

Alternative wäre wirklich die Broadcom BCM57810S, aber meine Sorge ist eben die, dass es ein custom Treiber / Modul ist, und ich natürlich nicht weiss wie lange dieser kompatibel mit neuen Versionen bleibt. Das flashen der Karte scheint ja recht einfach.

LG

Mark

Zitat von DLMttH

Deutsche Glasfaser hat immer Dual Stack mit CG-NAT, es ist also nicht möglich, eine öffentliche IPv4-Adresse zu Hause zu haben.

1&1 verwendet standardmäßig DS Lite, auch hiermit erhältst du keine öffentliche IPv4-Adresse an deinem Anschluss, aber DS Lite muss vom Router zusätzlich auch noch unterstützt werden. Bei 1&1 besteht aber zumindest die Chance, den Anschluss auf vollwertiges Dual Stack umstellen zu lassen.

Bei o2 bekommst du ohne Nachfrage vollwertiges Dual Stack.

Wie gesagt, das ist eine Mobilfunk-Thematik. Das spielt bei Glasfaser keine Rolle.

Die Hotline-Schwierigkeiten würde ich als notwendiges Übel bei den meisten Providern betrachten und nicht im Vergleich berücksichtigen...

Zitat "Deutsche Glasfaser hat immer Dual Stack mit CG-NAT, es ist also nicht möglich, eine öffentliche IPv4-Adresse zu Hause zu haben."

Doch, ist es. Lies dich mal in GRE ein.

Du kannst dir beliebig viele öffentliche IPv4 Adressen über einen Tunnel nach hause routen und dann nutzen. Wenn du willst, sogar für jedes deiner Geräte eine eigene

Hi,

ich habe aktuell eine DIY OPNsense Maschine mit 1x 1G, 1x 2.5G Realtek (Onboard) sowie 2x 25G via SFP28 (ist eine Mellanox Connect-X4 Lx). Als Anbieter dient hier Telekom FTTH mit 1000/500.

Ich habe ausserdem das bekannte Zyxel GPON SFP (PMG3000-D20B) was die Telekom selbst vermarktet.

Mein Problem ist, dass die Mellanox Karte das Modul nicht erkennen möchte. Aktuell läuft dieses daher über einen entsprechenden Medienkonverter, aber den möchte ich loswerden damit das GPON SFP direkt in der OPNsense hängt, um das maximale an Latenz rauszuholen.

Meine Frage nun: Welche SFP+ Karte (idealerweise sogar SFP28) für HSGMII / 2.5G GPON könnt ihr (am besten in Kombination mit dem aktuellen SFP) empfehlen.

Ich habe gehört das die BCM57810S funktionieren, allerdings per Tool angepasst werden müssen und man dann wohl auch einen modifizierten Treiber für OPNsense braucht.

Ich suche hier möglichst eine Lösung die Plug and Play ist, falls nötig auch ein neues Modul.
Wichtig ist, dass ich zuverlässig den 2.5G Link habe damit ich die ca. 1100Mbit netto bekomme und es problemlos mit OPNsense funktioniert.