[VF West] Falsches IPv6 Subnetz?

[Flole]

@Flole Ich habe mir Deine Erläuterungen zum Bridgemodus noch einmal durchgelesen und komme zu dem Schluss, dass Du im Prinzip genau das beschreibst, wie ich es intuitiv verstanden habe - nur präziser. Die Fritzbox nimmt Pakete für eine öffentliche IP entgegen und leitet sie weiter an ein Interface mit einer anderen MAC Adresse.

Nein, das was du dort beschreibst ist NAT, und NICHT der Bridge Mode. Genau deshalb hatte ich dir das Schichtenmodell nahe gelegt....

Genau das passiert auch, der Router hinter dem Bridgeport wird so behandelt, als hätte sein WAN Interface genau die IP, die jedoch die Fritzbox an ihrem WAN Port hat.

Nein, überhaupt gar nicht. Bridge ist Layer 2.

[paulinuska]

@Flole: Welcher Layer Bridge ist, weißt Du vielleicht besser. Aber Du kannst mir glauben, am Bridge-Port hast Du IMMER die Public IP. Sorry, aber das mache ich schon seit Jahren. Genau das ist der Grund, warum man Bridge Ports hat und braucht. Über NAT würde ich nie einen Wireguard auf der OpnSense von außen erreichen. Ich greife seit langer Zeit von außen auf Dienste zu, die hinter einer Opnsense laufen und das in mehreren LANS. Auch hier hat meine OpnSense eine öffentliche IP an ihrem WAN Port. Zeitweise habe ich dort einen reverse-Proxy betrieben und einen ausgefallenen Contabo Server vorübergehend ersetzt mit etlichen über das Internet erreichbaren Diensten. An der Stelle weiß ich, wovon ich spreche.

[paulinuska]

@Flole: vielleicht sprechen wir ja vom selben, wenn Du meintest, technisch ist es 1:1 NAT. Das ist für den Administrator dann aber unerheblich, denn er muss davon ausgehen können, dass sein Router hinter der Fritzbox am WAN Port die öffentliche IP bekommt. Und dass aller Datenverkehr der an diese IP gerichtet ist unverändert an die WAN Schnittstelle des internen Routers weiter geleitet wird. Die Fritzbox verhält sich an der Stelle wie ein Modem. Wenn sie für eigene Zwecke etwas von dem Datenstrom abzweigen will, weil sie ihre Oberfläche nach außen freigeben möchte, dann ist das der (entbehrliche) Sonderfall. Wie dem auch sei, das ist die Funktionsweise eines Bridge Ports.

Was ich weiter herausfinden konnte ist, dass die Fritzboxen tatsächlich parallel mehrere Verbindungen zum Provider aufbauen können. Wie viele wird bestimmt durch den Eintrag MAX CPE. Bei meiner Fritzbox steht da der Wert 3 drin. Sie kann also eine Verbindung für sich selbst, eine für die Telefonie und eine dritte für die Bridge Ports aufbauen. Das ist schon mal super.

[Flole]

@Flole: Welcher Layer Bridge ist, weißt Du vielleicht besser.

Deswegen sollst du dich da ja belesen....

Aber Du kannst mir glauben, am Bridge-Port hast Du IMMER die Public IP.

Eben nicht. Du hast am Bridge-Port das was auch immer der DHCP-Server des Providers einem CPE zur Verfügung stellt. Das kann eine Public IP sein, das kann eine private IP sein oder auch gar keine IP wenn nix verfügbar ist.

Sorry, aber das mache ich schon seit Jahren. Genau das ist der Grund, warum man Bridge Ports hat und braucht.

Nur weil du es seit Jahren machst heißt das ja nicht, dass du es auch richtig machst oder gar verstehst was du da eigentlich tust, das sieht man hier ja gerade.

Über NAT würde ich nie einen Wireguard auf der OpnSense von außen erreichen.

Klar, dafür gibt es Portweiterleitungen. NAT geht in beide Richtungen.

@Flole: vielleicht sprechen wir ja vom selben, wenn Du meintest, technisch ist es 1:1 NAT.

Himmel Herr Gott nochmal, nein, immer noch nicht. Schichtenmodell!!!!!!

Das ist für den Administrator dann aber unerheblich, denn er muss davon ausgehen können, dass sein Router hinter der Fritzbox am WAN Port die öffentliche IP bekommt.

Davon kann er gerne ausgehen, wird dann aber schnell auf den Boden der Tatsachen zurückgeholt wenn es nur eine öffentliche IP gibt.

Und dass aller Datenverkehr der an diese IP gerichtet ist unverändert an die WAN Schnittstelle des internen Routers weiter geleitet wird.

Wenn du mit dem "internen Router" den eRouter (also den Router in der FritzBox) meinst: Nein, wieder: Schichtenmodell.

Die Fritzbox verhält sich an der Stelle wie ein Modem.

Im Bezug auf den Bridgeport: JA! Aber genau das beißt sich mit deinen Aussagen die sich auf höhere Layer beziehen.

Wenn sie für eigene Zwecke etwas von dem Datenstrom abzweigen will, weil sie ihre Oberfläche nach außen freigeben möchte, dann ist das der (entbehrliche) Sonderfall.

Das macht sie nicht, sie will eine IP für sich selbst solange der eRouter aktiv ist. Du hast aber nur eine. Habe ich dir auch schon mehrfach erklärt.

Wie dem auch sei, das ist die Funktionsweise eines Bridge Ports.

Wenn du damit die Aussage mit dem Modem meinst: Ja, der Rest eher nicht so.

Was ich weiter herausfinden konnte ist, dass die Fritzboxen tatsächlich parallel mehrere Verbindungen zum Provider aufbauen können. Wie viele wird bestimmt durch den Eintrag MAX CPE. Bei meiner Fritzbox steht da der Wert 3 drin. Sie kann also eine Verbindung für sich selbst, eine für die Telefonie und eine dritte für die Bridge Ports aufbauen. Das ist schon mal super.

Korrekt, MaxCPE legt genau das fest, aber diese 3 Geräte müssten sich eine IP Adresse teilen, denn du hast exakt eine statische IP. Und damit sind wir wieder am Anfang: NAT oder geht nicht. Da könnte man MaxCPE 64 (was glaube ich das Maximum ist, müsste ich nochmal im Quellcode oder in der Doku nachschauen, ist aber prinzipiell auch egal) setzen und es würde die Situation nicht verbessern, eher im Gegenteil. Idealerweise sollte man in so einem Fall MaxCPE = 1 setzen und ich werde das wohl auch mal bei Vodafone anregen, dann hätte man solche unmöglichen Konstellationen überhaupt gar nicht mehr wo 3 Geräte erlaubt sind die sich eine IP Adresse teilen sollen, und Leute die sich dann wundern warum das nicht geht.

Einen Sonderfall gäbe es allerdings noch: Wenn du IPv4 in der FritzBox abschaltest und kein IPv6 Netz dort beziehst, dann bleibt eine IPv4 Adresse und ein IPv6 Netz frei, und weil MaxCPE > 1 ist....

Du beschreibst die meiste Zeit einen Exposed Host, dann nutz doch die Funktion mit Doppel-NAT, du weißt ja nicht mal was der Bridge Modus eigentlich machst und weigerst dich das Schichtenmodell anzuschauen, man könnte dir also den Exposed Host als Bridge Modus verkaufen und du würdest nicht mal merken, dass es überhaupt nicht das ist was du suchst....

[paulinuska]

Ich beschreibe keinen Exposed Host, tut mir leid. Ich beschreibe einen guten Router, der ein Modem braucht. Aus irgendwelchen monetären oder sonstigen Gründen muss ich aber so ein Plastikspielzeug aus Berlin als Modem einsetzen, das mir seinen völlig überflüssigen zusätzlichen Müll aufdrängt. Die Fritzbox ist für mich wie eine Ente: die kann auch alles, fliegen, laufen, schwimmen. Aber nichts davon richtig.

Tut mir leid, wenn ich das so deutlich schreiben muss. Und wenn jemand meint, dass man zum Betrieb eines "richtigen" Routers (Opnsense) ein Informatikstudium braucht, nur weil dieser Plastikschrott aus Berlin zwangsweise davor gehängt werden soll (um Support vom Provider zu bekommen), dann fehlt mir leider das Verständnis.

Nichts für ungut, und trotzdem vielen Dank für Deine Bemühungen. Aber ich will nur mit einem richtigen Router und einem funktionierenden Modem ans Internet. Nicht mehr und nicht weniger.

[Flole]

Ich beschreibe keinen Exposed Host, tut mir leid.

Doch, tust du, nur weil du nicht weißt was es ist kannst du es trotzdem beschreiben

Aus irgendwelchen monetären oder sonstigen Gründen muss ich aber so ein Plastikspielzeug aus Berlin als Modem einsetzen, das mir seinen völlig überflüssigen zusätzlichen Müll aufdrängt.

Weil du einen Business Internet und Phone Vertrag hast bei dem du Telefonie Funktionen vertraglich vereinbart hast die nur mit der FritzBox gehen, bei Business Internet, Privatkunden oder Enterprise hättest du die Chance eine Vodafone Station zu bekommen, und dort wird beim Bridge Modus der eRouter abgeschaltet. Bei Privatkundentarifen gibt's aber keine festen IP Adressen.... Die VF Stations sind deutlich günstiger für VF, also wenn's ums sparen gehen würde hättest du schon lange eine VF Station mit der das was du vor hast sogar funktionieren würde. Du hast also scheinbar einfach den falschen Tarif abgeschlossen wenn du überhaupt keine FritzBox haben willst....

Früher wurde übrigens mal die Fritzbox gegen eine VF Station getauscht wenn man den Fall hatte den du gerade beschreibst/erlebst, allerdings nur wenn man im Gegenzug auf die Dinge bei der Telefonie verzichtet hat die es bei der VF Station nicht gibt. Keine Ahnung ob das immer noch gemacht wird.

Man sollte ein grundlegendes Verständnis für Netze haben wenn man versucht solche aufzubauen, zu verwalten und sicher zu betreiben. Dazu gehört das Schichtenmodell, das ist auch wirklich nicht schwer zu verstehen.... Sonst hat man am Ende Probleme und weiß nicht wo die herkommen und wie man die weg bekommt (sieht man ja hier).

[paulinuska]

Wenn mir jemand erzählt, dass ein Router der ein Modem braucht dasselbe ist wie ein Exposed Host, dann fühle ich mich irgendwie verarscht. Kannst Du das nachempfinden?

Was Deine Hymnen auf das Schichtenmodell betrifft, kann ich Dir sagen: Ohne das Schichtenmodell jemals im Detail gebraucht zu haben, administriere ich seit dreißig Jahren Computernetze. Das erste war noch unter Novell Netware und IPX/SPX. Ich habe Netzwerke mit vierzig bis fünfzig PCs und mehreren Servern betreut. Dafür ist das, was ich heute mache eher klein. Aber für all das hatte ich jederzeit die volle Verantwortung und bin dieser Verantwortung immer und zu jeder Zeit gerecht geworden. Detaillierte Kenntnisse vom ISO/OSI Schichtenmodell sind für einen sicheren Netzwerkbetrieb ab dem Router nicht erforderlich. Sonst hätte ich mir diese Kenntnisse aufgrund des Alltagsgeschäfts schon längst angeeignet. Daher, ohne Dir zu nahe treten zu wollen, klingt das darauf herumreiten für mich als LAN Administrator eher wie akademisch abgehobenes Geblubber.

Jedenfalls fühle ich mich ab dem Router für zuständig und kompetent. Für die fehlerfreie Anbindung ans Netz ist bitteschön der Provider zuständig. Das ist meine Einstellung.

Und nun zur Vertragsfrage: Ich habe heute an drei Standorten Businness-Verträge und an zwei Standorten "normale" Verträge. Die Business-Verträge habe ich nicht deshalb, weil ich zu viel Geld habe, sondern weil an den drei Standorten Ausfälle teuer sind und bei Business-Verträgen in dem Fall eine kurze Reaktionszeit garantiert wird. Die Hardware hat bei den Entscheidungen keine Rolle gespielt.

An zwei der drei Standorte läuft übrigens ein Technicolor TC4400 Modem, dahinter auch eine Opnsense. Die Umstellung auf Dualstack / IPv6 ist für mich inzwischen zwingend und ich habe mich entschlossen, das an dem Standort mit der Providerkiste zuerst zu machen. Aus einem ganz einfachen Grund: Gäbe es an den anderen Standorten Startschwierigkeiten, dann könnte ich einer Behauptung wie "das liegt an dem Kundengerät" nichts entgegen setzen. Bei der Providerkiste kann ich notfalls den Support so lange antanzen lassen, bis es funktioniert. Wenn die dafür so eine unnötig aufgeblasene und daher zickige Hardware (Fritzbox) liefern, dann ist das zumindest nicht meine Schuld.

[Flole]

Wenn mir jemand erzählt, dass ein Router der ein Modem braucht dasselbe ist wie ein Exposed Host, dann fühle ich mich irgendwie verarscht. Kannst Du das nachempfinden?

Aber wenn man dir erzählt, dass die Einstellung exposed Host gleich dem Bridge Modus ist würde dir das nicht auffallen weil du die Layer 2 und 3 sowieso munter mischt und meistens die Funktion des exposed Host beschreibst. Gut, jetzt wo ich dich vorgewarnt habe merkst du das natürlich schon...

Was Deine Hymnen auf das Schichtenmodell betrifft, kann ich Dir sagen: Ohne das Schichtenmodell jemals im Detail gebraucht zu haben, administriere ich seit dreißig Jahren Computernetze.

Und weißt weder wie ARP, DHCP und DNS funktioniert und weißt nicht mal was ein Port ist? Also wer auch immer dich da zum Administrator gemacht hat muss echt mutig sein...

Jedenfalls fühle ich mich ab dem Router für zuständig und kompetent. Für die fehlerfreie Anbindung ans Netz ist bitteschön der Provider zuständig. Das ist meine Einstellung.

Der Router ist aber in diesem Fall die Fritzbox, die musst du auch konfigurieren. Wenn du da munter Adresskonflikte produzierst kann dir der Provider da auch nicht helfen (bzw. die Lösung wird dann sein MaxCPE auf 1 zu setzen).

Die Business-Verträge habe ich nicht deshalb, weil ich zu viel Geld habe, sondern weil an den drei Standorten Ausfälle teuer sind und bei Business-Verträgen in dem Fall eine kurze Reaktionszeit garantiert wird.

Ja wenn deine Fritzbox kaputt geht kommt schnell ein Techniker und liefert Ersatz, würde übrigens noch schneller gehen wenn man einfach eine zweite kauft und die daneben legt, und günstiger wird's auch noch. Wenn das Kabel durchgebaggert wird oder es eine Rückkanalstörung gibt sind es Wochen bis Monate, kriegst dafür einen Teil der Kosten zurückerstattet. Ein SLA hast du nämlich nicht.

Die Hardware hat bei den Entscheidungen keine Rolle gespielt.

Hätte sie aber besser tun sollen, dann hättest du das Problem jetzt nicht.

Bei der Providerkiste kann ich notfalls den Support so lange antanzen lassen, bis es funktioniert. Wenn die dafür so eine unnötig aufgeblasene und daher zickige Hardware (Fritzbox) liefern, dann ist das zumindest nicht meine Schuld.

Es funktioniert ja, wenn du einen Adresskonflikt verursachst ist das deine Schuld und man könnte dir die 99€ für einen Technikerbesuch für selbstverursachte Störungen in Rechnung stellen. Glück gehabt, dass die Techniker offenbar ähnlich wenig davon verstehen wie du....

[fadovone]

Was ich weiter herausfinden konnte ist, dass die Fritzboxen tatsächlich parallel mehrere Verbindungen zum Provider aufbauen können. Wie viele wird bestimmt durch den Eintrag MAX CPE. Bei meiner Fritzbox steht da der Wert 3 drin. Sie kann also eine Verbindung für sich selbst, eine für die Telefonie und eine dritte für die Bridge Ports aufbauen. Das ist schon mal super.

Das ist für dein Vorhaben nicht super, du musst die Fritzbox dazu bewegen, ausschließlich den Bridgeport zu verbinden, nur Modem zu sein. Das wird schwer bis unmöglich.

[Flole]

Das hatte ich ja schon erwähnt, dass man den eRouter abschalten müsste, man ist sogar flexibel, mir fallen gleich mehrere Möglichkeiten ein die alle funktionieren, vom simplen shell script bis hin zur veränderten binary. Aber das wird komplizierter als ein Schichtenmodell zu verstehen und zu erklären was der Bridge Mode eigentlich macht, und da gibt's ja schon große Schwierigkeiten... Aber all das möchte der TE nicht hören.

MaxCPE ist hier relativ egal, selbst wenn es 1 wäre würde das ja nicht helfen, dann würde man am Bridge Port gar keine IP bekommen (was technisch gesehen ja sinnvoll wäre).