Zelfbouw project: Firewall / Router / AP

Tom Paris schreef op zondag 26 september 2021 @ 17:06:
[...]


Vanuit cpu cycles gezien, zou je dan niet beter af zijn met een blocklist op basis van known malicious IP/subnet/AS via pfBlockerNG?

[ Voor 10% gewijzigd door Theone098 op 26-09-2021 17:31 ]

lolgast schreef op zondag 26 september 2021 @ 17:48:
Ik blokkeer (op mijn Mikrotik) alle IP’s die een poort benaderen die niet ge-dstnat is voor 24 uur. En die IP’s mogen gedurende die periode ook niet bij wel openstaande poorten komen. Aangezien ik alleen 80/443 open heb staan, is de kans klein dat ze daar mee beginnen mochten ze me scannen. En anders heb ik pech.

Ik heb een tijd geleden lang nagedacht of de extra kosten die IPS ondersteuning voor mij de meerprijs waard was. Met bovenstaande constructie is het antwoord voor mij: Nee

[ Voor 4% gewijzigd door Theone098 op 26-09-2021 17:59 ]

Theone098 schreef op zondag 26 september 2021 @ 17:27:
Een ssh bruteforce blocklist

Theone098 schreef op zondag 26 september 2021 @ 18:47:
True. En natuurlijk geen ssh poort open op WAN maar even VPN’en.

Maar ik weet dat je mijn vergelijking wel begrijpt ;-)

[ Voor 42% gewijzigd door nero355 op 26-09-2021 18:52 ]

nero355 schreef op zondag 26 september 2021 @ 18:39:
[...]

Daar hebben we natuurlijk een hele simpele oplossing voor : Alleen SSH Keys gebruiken en eventueel nog dingen zoals Fail2Ban en zo


EDIT :

[...]

SSH is opzich al een VPN maar Tunnel door een Tunnel heen kan ook natuurlijk


[...]

[ Voor 28% gewijzigd door Theone098 op 26-09-2021 19:01 ]

Theone098 schreef op zondag 26 september 2021 @ 16:40:
De IPS blokkeert rapid imap scans naar mijn mailserver (wachtwoord guessing),

voorkomt allerlei web attacks op mijn web server en de onderliggende database. Enzovoort.

Thralas schreef op zondag 26 september 2021 @ 19:11:
Daarnaast: ik zou iedereen met klem aanraden om dat soort services die je thuis draait allemaal achter een VPN te stoppen - al was het enkel principieel indien er geen 2FA op zit.

nero355 schreef op zondag 26 september 2021 @ 22:31:
[...]

Ik zou dan eerder iets in elkaar vogelen met een Reverse Proxy en TLS/SSL Keys die in je browser geïnstalleerd moeten staan om daar überhaupt op te kunnen komen als Webmail

Maar we kunnen dan vervolgens ook nog eens een discussie gaan voeren over hoe dom/slim het is om tegenwoordig nog zelf een E-Mail Server thuis te draaien, vanwege alles wat erbij komt kijken qua SPAM Blocklists en zo...

De mogelijkheden zijn eindeloos!

[ Voor 19% gewijzigd door Theone098 op 27-09-2021 12:23 ]

Theone098 schreef op maandag 27 september 2021 @ 12:02:
En dat is wat ik zo ongeveer allemaal heb gedaan, m.u.v. VPN (heb ik wel maar niet voor e-mail). Anders moet ik op alle devices VPN installeren en aanzetten. Als je dat een beetje veilig doet (goede encryptie), kost dat veel batterij op een mobiel apparaat. Verder is de rest van het gezin niet tech savy, dat helpt ook niet.

[ Voor 15% gewijzigd door Harmen op 30-09-2021 08:52 ]

Harmen schreef op donderdag 30 september 2021 @ 13:18:
Thanks, zal er ff op letten. Merkte dat Unbound gisteravond op een gegeven moment veel cpu resources verbruikte. Het is nu rustig gelukkig..... nog geen klachten gehoord van mn vriendin.

oltk schreef op vrijdag 1 oktober 2021 @ 12:22:
net0 is toegewezen aan het LAN en net1 is toegewezen aan het WAN. Ik prik de kabel van de net0 naar de switch. Ik zet m nog niet op het WAN op net1. Hij wordt dus gewoon nog als client benaderd.

In OPNsense volg ik de wizard, zet voorlopig het standaard DNS adres neer (cloudflare, dat wordt later mijn pihole), ik configureer dhcp op het LAN en op het WAN zet ik standaard DHCP op ip4 en ip6 aan,
Ik draai een update (en ik heb internet, de update wordt gedaan).

Nu de test: ik haal de Asus router van het modem af en zet net1 op het modem. Ik schakel ook de ASUs router van de switch af (had ik eerst vergeten).

oltk schreef op vrijdag 1 oktober 2021 @ 12:22:
Nu is OPNsense on his own.
Ik herstart OPNsense VM voor de zekerheid. Hij komt op.
Maar op het WAN wordt een ip van 0.0.0.0/8 toegewezen. En er is (uiteraard) geen internet. Wel krijgen alle devices in huis een intern IP volgens de ARP.
Ik heb wat troubleshoots gevonden die zeggen dat ik Bogon netwerken en private netwerken moet toestaan op het WAN. nou vooruit. Ook herstarten. Maar geen ip lease.

silentkiller schreef op vrijdag 1 oktober 2021 @ 13:01:
[...]

Dit snap ik niet zo goed, je hebt hier een moment waarop OPNsense alsook je asus router beide met de LAN kant op de switch hangen. Volgens mij kan OPNsense geen DHCP client spelen op zijn LAN kant, vreemd.

In deze situatie zit je idd enkel met OPNsense op je LAN, dat is iig goed. (vergeet niet je client(s) een nieuwe DHCP request te laten doen zodat ze als default gateway het IP van de OPNsense krijgen).

Waarom krijg je dan geen IP toegewezen in OPNsense op je WAN kant?
-Verwacht je modem een specifiek MAC adres van de router? (Je zou het MAC adres van de asus router eens kunnen spoofen in OPNsense)

-Verwacht je ISP dat je verbinding maakt via een bepaalde VLAN?

-Verwacht je ISP bv PPPoE ipv DHCP?

Buiten het eerste punt, denk ik dat je best eens de WAN settings nakijkt in de asus router en deze zo goed mogelijk overneemt in OPNsense

Harmen schreef op vrijdag 1 oktober 2021 @ 14:29:
@oltk Als de Ziggo modem in bridge staat zou deze het extern ip adres door moeten geven. Heb wel gemerkt dat je eerst de modem moet uitzetten voordat je een nieuwe router aansluit. Heb hier al meerdere routers gebruikt de laatste jaren. (Tplink wifi met Openwrt, Sophos XG (esx), Edgerouter X en nu een Sophos SG115 met opnsense) Allen stonden gewoon op dhcp.

[ Voor 30% gewijzigd door oltk op 02-10-2021 16:14 ]

[ Voor 25% gewijzigd door Theone098 op 02-10-2021 16:41 ]

Uberprutser schreef op vrijdag 24 september 2021 @ 21:55:
[...]

Ik hoop dat ie het doet icm je hardware; Dell heeft een aangepaste firmware op die kaarten en niet elke combinatie komt door de POST heen daarmee.

Theone098 schreef op zaterdag 2 oktober 2021 @ 16:36:
Ik heb de hele thread niet gevolgd maar is de gateway niet 192.168.0.1?

[ Voor 20% gewijzigd door oltk op 02-10-2021 16:43 ]

oltk schreef op zaterdag 2 oktober 2021 @ 16:41:
[...]


Zou dat uitmaken?? Ik heb het ipadres van de gateway hard op 192.168.0.2 gezet, en verwijs hier ook naar in de DHCP toewijzing.

Ik kan het wel proberen op .1 (maar ja, vrouwlief is weer thuis , dat wordt weer een ander moment. En ik moet het modem 2x herstarten: een keer voor OPNsense en 1x om weer terug te kunnen naar de Asus. En het opstarten van het Ziggo modem duurt bijna 5 minuten )

oltk schreef op zaterdag 2 oktober 2021 @ 16:41:
Zou dat uitmaken?? Ik heb het ipadres van de gateway hard op 192.168.0.2 gezet, en verwijs hier ook naar in de DHCP toewijzing.

Theone098 schreef op zaterdag 2 oktober 2021 @ 16:46:
Eeh, dat weet ik niet. Je zou verwachten dat, als je het ip adres van de gateway zelf op .2 hebt gezet, dat zou moeten werken?
Maar waarom niet op .1? Tenzij je aan netmasking doet, is de default gateway meestal .1 of .254.

oltk schreef op vrijdag 1 oktober 2021 @ 12:22:
Na wikken en wegen kies ik voor OPNsense. Ik heb een Zotac Zbox met 4100 celeron en 2 realtec NIC's.

Om te experimenteren (en het huishouden niet te belasten, dit is ook geheel nieuw voor mij) heb ik OPNsense op een VM in proxmox gezet. NICS toegewezen als network device net0 en net1 als intel E1000. Ik had aanvankelijk de devices virtueel ingesteld, maar dat maakt voor het onderstaande verhaal geen verschil.

net0 is toegewezen aan het LAN en net1 is toegewezen aan het WAN. Ik prik de kabel van de net0 naar de switch. Ik zet m nog niet op het WAN op net1. Hij wordt dus gewoon nog als client benaderd.

In OPNsense volg ik de wizard, zet voorlopig het standaard DNS adres neer (cloudflare, dat wordt later mijn pihole), ik configureer dhcp op het LAN en op het WAN zet ik standaard DHCP op ip4 en ip6 aan,
Ik draai een update (en ik heb internet, de update wordt gedaan).

oltk schreef op zaterdag 2 oktober 2021 @ 15:59:
Even de modem gereset
En ik kreeg een IP adres toegewezen van het WAN!! Yeaahh.

Ik heb de firewall van de proxmox niet aanstaan. Ik vergeet iets. Maar wat?

[Afbeelding]

in system/settings/general kan ik ook een DNS instellen. Daar vul ik maar hetzelfde in (ook 8.8.8.8). Maar ik begrijp deze optie niet

nero355 schreef op zaterdag 2 oktober 2021 @ 18:39:
[...]


[...]

Ik heb hier een Gateway op 10.0.0.138 omdat ik dat zo ooit heb gekregen van KPN en zodoende dus door de tijd heen meegegroeid is met mijn netwerk!

Kortom : Welk IP je gebruikt boeit niet

Wat wel boeit : Of je de hele meuk goed hebt opgezet!

Zijn net0 en net1 ook Bridged met RealTek NIC #1 en NIC #2

Dus het heeft gewerkt

Check eens welke Settings je via DHCP krijgt ?

Dat lijkt me de DNS Resolving voor het systeem zelf : Heeft bijvoorbeeld een EdgeRouter ook als Setting

Dacuuu schreef op zaterdag 2 oktober 2021 @ 16:39:
[...]


Ik heb net eindelijk tijd gehad het kaartje even snel in een windows 10 bak te duwen. Pc boot meteen normaal op naar windows. Staat bij apparaten beheer direct goed bij. Ik neem aan dat het straks voor opnsense geen probleem moet zijn om te booten met deze kaart.

Theone098 schreef op zaterdag 2 oktober 2021 @ 18:55:
Tjonge, in al die tijd nooit aangepast?

oltk schreef op zaterdag 2 oktober 2021 @ 19:41:
Sterker nog: vanaf de OPNsense interface zelf heb ik internet. Maar niet op de clients.

Misschien moet ik een client even uitzetten en dan aan om een nieuwe lease te krijgen?

Staat je NAT wel aan voor dat subnet

[ Voor 5% gewijzigd door oltk op 03-10-2021 18:37 ]

[ Voor 5% gewijzigd door oltk op 04-10-2021 12:21 ]

oltk schreef op maandag 4 oktober 2021 @ 12:12:
Ok. gelukt.

Uberprutser schreef op dinsdag 5 oktober 2021 @ 11:24:
[...]

En dan noemen ze mij een prutser ...

Mijn beide OPNsense dozen waren ermee gestopt, geen idee waarom, kan niks terug vinden in de log.
Slechts "homelab II" dus niet heel dramatisch maar sinds 21.7 wel allemaal rare dingetjes die opvallen.

Unbound, DHCPd en ix drivers/NICs had ik al op mijn lijstje en nu ook nog een halt van beide fysieke OPNsense dozen. Ik hoop dat er snel verbetering komt in (mijn ervaring met) OPNsense.

Dacuuu schreef op dinsdag 5 oktober 2021 @ 21:41:
Vraagje, ik ben mijn Opnsense bak in elkaar aan het bouwen, maar nu zit mijn cpu fan in de weg voor het pci 16x slot, nu heb ik de Intel Ethernet Server Adapter I350-T4 in slot3, de 4x pci gestopt. Is dit echt een no-go, of ga ik hier totaal niks van merken?
[Afbeelding]

Ankh schreef op dinsdag 5 oktober 2021 @ 22:03:
[...]

Ligt eraan of de kaart PCI-e 4x is of hoger ;-)

Dacuuu schreef op dinsdag 5 oktober 2021 @ 22:29:
[...]


Stupid me. specs zeggen 4x. Geluk dus!

Dacuuu schreef op dinsdag 5 oktober 2021 @ 21:41:
Vraagje, ik ben mijn Opnsense bak in elkaar aan het bouwen, maar nu zit mijn cpu fan in de weg voor het pci 16x slot, nu heb ik de Intel Ethernet Server Adapter I350-T4 in slot3, de 4x pci gestopt. Is dit echt een no-go, of ga ik hier totaal niks van merken?
[Afbeelding]

[ Voor 13% gewijzigd door Uberprutser op 06-10-2021 10:17 ]

oltk schreef op maandag 4 oktober 2021 @ 12:12:
Ok. gelukt.

Ik heb heel veel gekl**t in OPNsense. Maar het bleek dat ik in Proxmox ook de gateway ooit had ingevoerd. De oude (ASUS) gateway is 192.168.0.1 en OPNsense is 192.168.0.2 (om ze naast elkaar te kunnen gebruiken voor experimenten).

Na veranderen van het IP adres op OPNsense naar .1 had ik meteen internet.
Dank voor het meedenken, en uiteindelijk was de opmerking of de gateway wel op het juiste IP adres stond de juiste

Theone098 schreef op woensdag 6 oktober 2021 @ 17:16:
@nero355

Ook al lijkt het onlogisch, soms is het toch logisch (vrij naar J. Cruijff )

nero355 schreef op zaterdag 2 oktober 2021 @ 18:39:
Kortom : Welk IP je gebruikt boeit niet

Wat wel boeit : Of je de hele meuk goed hebt opgezet!

[ Voor 10% gewijzigd door Harmen op 08-10-2021 16:02 ]

wian schreef op donderdag 14 oktober 2021 @ 08:43:
Had gehoopt op officiële WireGuard ondersteuning. Het community package werkt goed, maar wireguard zou eigenlijk geïntegreerd moeten zijn zoals OpenVPN en AWS.

[ Voor 7% gewijzigd door Tom Paris op 14-10-2021 12:27 ]

wian schreef op donderdag 14 oktober 2021 @ 19:36:
In de initiële release van pfSense Plus zat wireguard ingebakken, niet als package. Wireguard heeft Netgate uit plus verwijderd met de boodschap dat er kwaliteitsproblemen waren en toen is dit package er gekomen, ik dacht vanuit de community omdat het eerst in pfSense CE beschikbaar was, maar blijkbaar werkt de maintainer nu bij Netgate.

Package is natuurlijk flexibeler maar wireguard zelf is een kernel module. Dus erg belangrijk dat dit direct door Netgate ondersteund wordt.

Ankh schreef op zaterdag 16 oktober 2021 @ 07:52:
Aangezien de odroid h2+ niet meer leverbaar is, ben ik opzoek naar alternatief moederboardje om pfsense/opnsense te testen met mijn glasvezel verbinding… ik heb een zakelijk dualstack verbinding en ik krijg het niet voor elkaar om het werkend te krijgen met een edgerouter (met openwrt). Heb weinig zin om 300 euro uitgeven en daarna dat het blijkt dat het helemaal niet werkt..
Hier nog iemand die een goedkope oplossing weet?

stormfly schreef op zaterdag 16 oktober 2021 @ 08:33:
[...]


Waarom geen start met edgerouter native?

stormfly schreef op zaterdag 16 oktober 2021 @ 08:33:
[...]


Waarom geen start met edgerouter native?

Miki schreef op zaterdag 16 oktober 2021 @ 08:39:
[...]

Waarbij het nog makkelijker kan met deze kant en klare scripts voor KPN aansluitingen die geschikt zijn voor dual stack. Mocht je een andere provider hebben dan kun je de basis als nog prima gebruiken.

https://forum.kpn.com/thu...p-v-de-experia-box-458609

Ankh schreef op zaterdag 16 oktober 2021 @ 09:50:
[...]

Daar ben ik mee begonnen, maar wilde niet werken. M'n ipv4 verbinding is wel netjes online, maar mijn ipv6 verbinding komt niet online.

[...]

Ik heb alle scripts geprobeerd, zelf geconfigureerd maar de ipv6 komt niet online. Als ik een zakelijke oplossing (Draytek / FortiGate) gebruik, dan werkt het out-of-the box. Aangezien EdgeOS en OpenWRT weinig mogelijkheid hebben tot debug functionaliteiten, had ik het idee om een pfsense / opnsense oplossing te gebruiken en daarna na te gaan wat er aan de hand is.

Miki schreef op zaterdag 16 oktober 2021 @ 11:42:
[...]

Heb je toevallig de media converter bij een modem/OS wissel al eens van het stroom gehaald? Bij mij werkt het script prima en eventueel zou je ook handmatig de instellingen kunnen invoeren.

Ankh schreef op zaterdag 16 oktober 2021 @ 09:50:
[...]

Daar ben ik mee begonnen, maar wilde niet werken. M'n ipv4 verbinding is wel netjes online, maar mijn ipv6 verbinding komt niet online.

[...]

Ik heb alle scripts geprobeerd, zelf geconfigureerd maar de ipv6 komt niet online. Als ik een zakelijke oplossing (Draytek / FortiGate) gebruik, dan werkt het out-of-the box. Aangezien EdgeOS en OpenWRT weinig mogelijkheid hebben tot debug functionaliteiten, had ik het idee om een pfsense / opnsense oplossing te gebruiken en daarna na te gaan wat er aan de hand is.

stormfly schreef op zaterdag 16 oktober 2021 @ 13:41:
[...]


Ik heb toevallig gisteren via KPN IPv6 aangezet op mijn pfSense router. Dat viel niet mee omdat er voor PPP weinig tot geen goede logs of foutemeldingen zijn.

Welke ISP heb je? Met een normale ER moet dat gewoon technisch kunnen functioneren.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

[DHCPv6s] Send reply to FE80::8F71:171:AEB9:E4CE on LAN1
[DHCPv6] Requested option: opt_83
[DHCPv6] Requested option: opt_82
[DHCPv6] Requested option: client FQDN
[DHCPv6] Requested option: information refresh time
[DHCPv6] Requested option: domain search list
[DHCPv6] Requested option: DNS
[DHCPv6] Elapsed time: 0
[DHCPv6] Client DUID: 00:01:00:01:26:d1:11:53:b8:27:eb:cf:42:9f
[DHCPv6s] Received information request from FE80::8F71:171:AEB9:E4CE on LAN1
[IPv6] IPv6 WAN1 UP!!!
[IPv6] IPv6 WAN1 up (RA)!
[IPv6] WAN1, Type(PPP), Rx EVENT = EVT_RA_ACTIVE
WAN1 PPPoE ==> Protocol:LCP(c021) EchoRep Identifier:0x02 Magic Number: 0x0 00 00 00 00 00 00 ##
WAN1 PPPoE <== Protocol:LCP(c021) EchoReq Identifier:0x02 Magic Number: 0x7382 36 05 00 00 00 00 ##
[IPv6] Get prefix <ipv6>::/56 from WAN1
[IPv6](RA)Generate WAN0 IP=<ipv6> (from PPP IPv6CP)
[IPv6] IPv6 event timeout (DHCPv6, 15 sec)!
[IPv6] WAN1, Type(PPP), Rx EVENT = EVT_TIME_OUT
[DHCPv6c] Send solicit to FF02::1:2 on WAN1
WAN1 PPPoE ==> Protocol:LCP(c021) EchoRep Identifier:0x01 Magic Number: 0x0 00 00 00 00 00 00 ##
WAN1 PPPoE <== Protocol:LCP(c021) EchoReq Identifier:0x01 Magic Number: 0x7382 36 05 00 00 00 00 ##
[DHCPv6c] Send solicit to FF02::1:2 on WAN1
[DHCPv6c] Send solicit to FF02::1:2 on WAN1
[DHCPv6c] Send solicit to FF02::1:2 on WAN1
WAN 1 is up.
IPCP Opening (PPPoE); Own IP Address : <ipv4>  Peer IP Address : <ipv4>; Primary DNS : 1.1.1.1  Secondary DNS : 8.8.8.8
[IPv6] WAN1, Type(PPP), Rx EVENT = EVT_PFX_DELEGATE_ACTIVE
[IPv6] WAN1 IPv6 PPP Open

1

Sat Oct 16 14:13:46 2021 user.notice dhcpv6.script: pppoe-wan ra-updated RA_ADDRESSES= RA_REACHABLE=0 CER= PASSTHRU= SERVER= SHLVL=1 HOME=/ RA_MTU=1500 RA_ROUTES=::/0,fe80::86b8:2ff:fe1e:c000,1800,512 NTP_FQDN= RA_DOMAINS= DOMAINS= AFTR= TERM=linux SIP_IP= PATH=/usr/sbin:/usr/bin:/sbin:/bin NTP_IP= RA_HOPLIMIT=64 FAKE_ROUTES=1 RA_DNS= RDNSS= SNTP_IP= RA_RETRANSMIT=0 INTERFACE=wan6 SIP_DOMAIN= PWD=/lib/netifd/proto

Ankh schreef op zaterdag 16 oktober 2021 @ 14:37:
[...]

Nou dat merk ik ook, het rare is dat de draytek out of the box werkt. Via syslog naar een NAS heb ik het volgende kunnen achterhalen:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

[DHCPv6s] Send reply to FE80::8F71:171:AEB9:E4CE on LAN1 [DHCPv6] Requested option: opt_83 [DHCPv6] Requested option: opt_82 [DHCPv6] Requested option: client FQDN [DHCPv6] Requested option: information refresh time [DHCPv6] Requested option: domain search list [DHCPv6] Requested option: DNS [DHCPv6] Elapsed time: 0 [DHCPv6] Client DUID: 00:01:00:01:26:d1:11:53:b8:27:eb:cf:42:9f [DHCPv6s] Received information request from FE80::8F71:171:AEB9:E4CE on LAN1 [IPv6] IPv6 WAN1 UP!!! [IPv6] IPv6 WAN1 up (RA)! [IPv6] WAN1, Type(PPP), Rx EVENT = EVT_RA_ACTIVE WAN1 PPPoE ==> Protocol:LCP(c021) EchoRep Identifier:0x02 Magic Number: 0x0 00 00 00 00 00 00 ## WAN1 PPPoE <== Protocol:LCP(c021) EchoReq Identifier:0x02 Magic Number: 0x7382 36 05 00 00 00 00 ## [IPv6] Get prefix <ipv6>::/56 from WAN1 [IPv6](RA)Generate WAN0 IP=<ipv6> (from PPP IPv6CP) [IPv6] IPv6 event timeout (DHCPv6, 15 sec)! [IPv6] WAN1, Type(PPP), Rx EVENT = EVT_TIME_OUT [DHCPv6c] Send solicit to FF02::1:2 on WAN1 WAN1 PPPoE ==> Protocol:LCP(c021) EchoRep Identifier:0x01 Magic Number: 0x0 00 00 00 00 00 00 ## WAN1 PPPoE <== Protocol:LCP(c021) EchoReq Identifier:0x01 Magic Number: 0x7382 36 05 00 00 00 00 ## [DHCPv6c] Send solicit to FF02::1:2 on WAN1 [DHCPv6c] Send solicit to FF02::1:2 on WAN1 [DHCPv6c] Send solicit to FF02::1:2 on WAN1 WAN 1 is up. IPCP Opening (PPPoE); Own IP Address : <ipv4> Peer IP Address : <ipv4>; Primary DNS : 1.1.1.1 Secondary DNS : 8.8.8.8 [IPv6] WAN1, Type(PPP), Rx EVENT = EVT_PFX_DELEGATE_ACTIVE [IPv6] WAN1 IPv6 PPP Open

Maar zowel op EdgeOS als OpenWRT weinig informatie, uit eindelijk wel een soort van logging aan kunnen zetten voor het dhcpv6 script (bij OpenWRT):

code:

1

Sat Oct 16 14:13:46 2021 user.notice dhcpv6.script: pppoe-wan ra-updated RA_ADDRESSES= RA_REACHABLE=0 CER= PASSTHRU= SERVER= SHLVL=1 HOME=/ RA_MTU=1500 RA_ROUTES=::/0,fe80::86b8:2ff:fe1e:c000,1800,512 NTP_FQDN= RA_DOMAINS= DOMAINS= AFTR= TERM=linux SIP_IP= PATH=/usr/sbin:/usr/bin:/sbin:/bin NTP_IP= RA_HOPLIMIT=64 FAKE_ROUTES=1 RA_DNS= RDNSS= SNTP_IP= RA_RETRANSMIT=0 INTERFACE=wan6 SIP_DOMAIN= PWD=/lib/netifd/proto

Het betreft NG Networks, maar zij kopen het ook weer via een partij (weet niet welke partij). Heb bij hun ook al een ticket aangemaakt, maar zij kunnen niets raars vinden. (En aangezien het met een Draytek en FortiGate wel werkt, waarom zou het dan iet met een ander type werken)..

stormfly schreef op zaterdag 16 oktober 2021 @ 15:29:
[...]


Je vergeet te delen welk type verbinding je hebt? PPPoE en moet de DHCPv6 aanvraag dan ook in de PPPoE tunnel plaatsvinden?

Bij mij liep het stuk op het onderste vinkje. Hij startte niet met PPPoE voor V6. Wat logisch is: in vlan6 bij KPN stuurt niemand RA’s, dat is encapsulated in PPPoE.

Stap 1 is een IP op je router. Je moet niet de illusie hebben dat je het vanaf een device direct werkend hebt. Als je IPv6 op het WAN wekend hebt (ssh ping6 IPv6.Google.com) daarna naar het LAN kijken.

Kijk vanavond ff naar je logs. Zit nu op mobiel.

[Afbeelding]

Ankh schreef op zaterdag 16 oktober 2021 @ 16:12:
[...]

Ja, dat klopt! Maar die optie heb ik zover ik weet niet met openwrt gezien. Kan de edgerouter wel met edgeos installeren, maar dat wordt morgen ergens.

Ankh schreef op zaterdag 16 oktober 2021 @ 09:50:
Aangezien EdgeOS en OpenWRT weinig mogelijkheid hebben tot debug functionaliteiten

nero355 schreef op zaterdag 16 oktober 2021 @ 23:27:
[...]

Volgens mij kan je in beiden TCPdump draaien : Heb je dat al geprobeerd

Ankh schreef op dinsdag 19 oktober 2021 @ 13:04:
Even een update.
Gister aan het einde van de dag heb ik EdgeOS weer op mijn EdgeRouter X geïnstalleerd en vandaag in mijn lunchpauze even wat testen gedaan met TCPDUMP en doormiddel van de volgende commandos:
Sessie 1:

code:

1	sudo tcpdump -n -i pppoe0 -w /tmp/pppoe0_dhcp-pd.pcap

Sessie 2:

code:

1 2 3

release dhcpv6-pd interface pppoe0 delete dhcpv6-pd duid renew dhcpv6-pd interface pppoe0

Daar kwam de volgende wireshark ip6 overzicht vanuit tcpdump (PCAP) uit:
[Afbeelding]

Even ingezoomd op de RA:
[Afbeelding]
In de RA staat dus gewoon mijn volledige /56 subnet! Waarom werkt het dan niet
Verder doorgezocht in de opvolgende Solicit:
[Afbeelding]
Enkel krijgt ie geen response lijkt wel (als ik het goed begrijp)...

Mijn config...

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47

[edit interfaces ethernet eth4] ubnt@ubnt# show duplex auto mtu 1512 speed auto vif 32 { description "Internet (PPPoE)" mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface switch0 { host-address ::1 prefix-id :0 service slaac } prefix-length /56 } rapid-commit enable } firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } idle-timeout 180 ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1500 name-server auto password <pass> user-id <user> } }

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79

ipv6-name WANv6_LOCAL { default-action drop description "WAN IPv6 naar Router" rule 10 { action accept description "Allow established/related" state { established enable related enable } } rule 20 { action drop description "Drop invalid state" state { invalid enable } } rule 30 { action accept description "Allow IPv6 icmp" protocol ipv6-icmp } rule 40 { action accept description "Allow dhcpv6" destination { port 546 } protocol udp source { port 547 } } } vif 6 { description "KPN Internet" mtu 1508 pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface switch0 { host-address ::1 prefix-id :1 service slaac } prefix-length /48 } rapid-commit enable } firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } idle-timeout 180 ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1500 name-server auto password ppp user-id XX-XX-XX-XX-XX-XX@internet } } }

[ Voor 28% gewijzigd door stormfly op 19-10-2021 14:10 ]

stormfly schreef op dinsdag 19 oktober 2021 @ 14:03:
[...]


Leuk dat je bent begonnen met debuggen een aantal zaken vallen mij op:

-DHCPv6 PD dient doorgelaten te worden op je firewall! Advies tijdens troubleshooten de firewall allow-any te geven op IPv6 je wilt zaken versimpelen.

-De RA gaat buiten PPPoE om meen ik? Heb je bij de provider opgevraagd of IPv4 en IPv6 in PPPoE zitten verpakt? Het geeft mij de indruk dat je misschien wel IPv6 native krijgt aangeboden zonder PPPoE...

-De uitleg welk device/ v6 adress wie is ontbreekt. De RA's worden verstuurd door je provider, of heb je dit gesniffed op de LAN zijde?

Wat doet een ping vanaf de router zelf naar ipv6.google.com?

1
2
3
4
5

ubnt@ubnt:~$ ping6 ipv6.google.com
PING ipv6.google.com(ams16s21-in-x0e.1e100.net (2a00:1450:400e:802::200e)) 56 data bytes
^C
--- ipv6.google.com ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4086ms

1
2

local  LL address fe80::e069:7abc:92e5:db0f
remote LL address fe80::86b8:02ff:fe1e:c000

1
2
3
4
5
6
7
8
9
10

ubnt@ubnt:~$ ping6 fe80::86b8:02ff:fe1e:c000%pppoe0
PING fe80::86b8:02ff:fe1e:c000%pppoe0(fe80::86b8:2ff:fe1e:c000%pppoe0) 56 data bytes
64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=1 ttl=64 time=2.08 ms
64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=2 ttl=64 time=1.98 ms
64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=3 ttl=64 time=1.95 ms
64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=4 ttl=64 time=1.91 ms
^C
--- fe80::86b8:02ff:fe1e:c000%pppoe0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3012ms
rtt min/avg/max/mdev = 1.912/1.982/2.084/0.070 ms

[ Voor 26% gewijzigd door Ankh op 19-10-2021 14:20 ]

Ankh schreef op dinsdag 19 oktober 2021 @ 14:13:
[...]
Zal ik doen.
[...]
Bij de draytek moest expliciet ppp over ipv4 aangeven, anders werkte het niet... Als toevoeging hierop, bij Draytek kon ik ook kiezen voor DHCPv6.

[...]
Dit heb ik vanaf de router gedaan en niet vanaf een PC.
[...]

code:

1 2 3 4 5

ubnt@ubnt:~$ ping6 ipv6.google.com PING ipv6.google.com(ams16s21-in-x0e.1e100.net (2a00:1450:400e:802::200e)) 56 data bytes ^C --- ipv6.google.com ping statistics --- 5 packets transmitted, 0 received, 100% packet loss, time 4086ms

Dit zijn mijn LL addressen:

code:

1 2	local LL address fe80::e069:7abc:92e5:db0f remote LL address fe80::86b8:02ff:fe1e:c000

Ping6 naar de remote LL werkt:

code:

1 2 3 4 5 6 7 8 9 10

ubnt@ubnt:~$ ping6 fe80::86b8:02ff:fe1e:c000%pppoe0 PING fe80::86b8:02ff:fe1e:c000%pppoe0(fe80::86b8:2ff:fe1e:c000%pppoe0) 56 data bytes 64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=1 ttl=64 time=2.08 ms 64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=2 ttl=64 time=1.98 ms 64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=3 ttl=64 time=1.95 ms 64 bytes from fe80::86b8:2ff:fe1e:c000%pppoe0: icmp_seq=4 ttl=64 time=1.91 ms ^C --- fe80::86b8:02ff:fe1e:c000%pppoe0 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3012ms rtt min/avg/max/mdev = 1.912/1.982/2.084/0.070 ms

1
2
3
4
5
6

            pppoe 0 {
                default-route auto
                dhcpv6-pd {
                    no-dns
                    pd 0 {
                        interface switch0 {

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

static { interface-route6 ::/0 { next-hop-interface pppoe0 { } } } } switch switch0 { address 192.168.2.254/24 description "Thuis netwerk" ipv6 { dup-addr-detect-transmits 1 router-advert { cur-hop-limit 64 link-mtu 0 managed-flag false max-interval 600 name-server 2a02:a47f:e000::53 name-server 2a02:a47f:e000::54 other-config-flag false prefix ::/64 { autonomous-flag true on-link-flag true valid-lifetime 2592000 } radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};" reachable-time 0 retrans-timer 0 send-advert true } }

stormfly schreef op dinsdag 19 oktober 2021 @ 14:33:
[...]


Wil je eens een show interfaces (voor IPv6) en een show route (voor IPv6) delen?

Hieronder uit de configuratie van KPN heb je ook een default route gezet?

Gebruik jij ook zelf switch 0 of werk je met routed porten? De aangevraagde prefix /56 moet hij koppelen aan een netwerk element en vanuit daar kan je zelf weer /64's uitdelen. Is het genoemde netwerk element in jouw configuratie de juiste voor jouw omgeving?

code:

1 2 3 4 5 6

pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface switch0 {

[...]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

 switch switch0 {
     address 192.168.30.1/24
     description "Thuis netwerk"
     ipv6 {
         router-advert {
             prefix ::/64 {
             }
         }
     }
     mtu 1500
     switch-port {
         interface eth0 {
         }
         interface eth1 {
         }
         interface eth2 {
         }
         interface eth3 {
         }
         vlan-aware disable
     }
 }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

ubnt@ubnt:~$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description
---------    ----------                        ---  -----------
eth0         -                                 u/u  Local
eth1         -                                 u/D  Local
eth2         -                                 u/D  Local
eth3         -                                 u/D  Local
eth4         -                                 u/u
eth4.32      -                                 u/u  Internet (PPPoE)
lo           127.0.0.1/8                       u/u
             ::1/128
pppoe0       <ipv4>                     u/u
switch0      192.168.30.1/24                   u/u  Thuis netwerk
ubnt@ubnt:~$ show ipv6 interfaces
Invalid command
ubnt@ubnt:~$ show ipv6 route
IPv6 Routing Table
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type 2, B - BGP
Timers: Uptime

IP Route Table for VRF "default"
S      ::/0 [1/0] via ::, pppoe0, 19:52:29
C      ::1/128 via ::, lo, 22:21:31
C      fe80::/10 via ::, pppoe0, 19:52:41
C      fe80::/64 via ::, eth4.32, 22:21:00

Ankh schreef op dinsdag 19 oktober 2021 @ 16:01:
[...]


De switch0 is inderdaad actief:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

switch switch0 { address 192.168.30.1/24 description "Thuis netwerk" ipv6 { router-advert { prefix ::/64 { } } } mtu 1500 switch-port { interface eth0 { } interface eth1 { } interface eth2 { } interface eth3 { } vlan-aware disable } }

Qua show interfaces en show ipv6 route:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

ubnt@ubnt:~$ show interfaces Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down Interface IP Address S/L Description --------- ---------- --- ----------- eth0 - u/u Local eth1 - u/D Local eth2 - u/D Local eth3 - u/D Local eth4 - u/u eth4.32 - u/u Internet (PPPoE) lo 127.0.0.1/8 u/u ::1/128 pppoe0 u/u switch0 192.168.30.1/24 u/u Thuis netwerk ubnt@ubnt:~$ show ipv6 interfaces Invalid command ubnt@ubnt:~$ show ipv6 route IPv6 Routing Table Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1, E2 - OSPF external type 2, N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2, B - BGP Timers: Uptime IP Route Table for VRF "default" S ::/0 [1/0] via ::, pppoe0, 19:52:29 C ::1/128 via ::, lo, 22:21:31 C fe80::/10 via ::, pppoe0, 19:52:41 C fe80::/64 via ::, eth4.32, 22:21:00

Zojuist even gebeld met support afdeling en de vraag gesteld of de IPv6 in de PPPOE zit. Helaas was de engineer niet beschikbaar en heb ik alle (bovenstaande) informatie gedeeld met hun.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

    switch switch0 {
        address 192.168.2.254/24
        description "Thuis netwerk"
        ipv6 {
            dup-addr-detect-transmits 1
             router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server 2a02:a47f:e000::53
                name-server 2a02:a47f:e000::54
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
       }

[ Voor 17% gewijzigd door Miki op 19-10-2021 16:13 ]

stormfly schreef op dinsdag 19 oktober 2021 @ 16:06:
[...]


Tnx ff je IP prive maken in de output.

Heb je ook een show interfaces voor IPv6, kan de ER dat?

Nu je weet dat je aan de WAN zijde kunt pingen kan je de LAN zijde ook inrichten. Hoe je hem nu hebt staan voorzie ik dat je te weinig parameters hebt om de RA's op het LAN te versturen, krijgen je clients een v6 adres? Name servers zijn vanzelfsprekend van KPN, en werken niet in jouw config.

Bij DHCPv6 PD vraagt hij een prefix op en zet een deel daarvan door naar switch0 mogelijk is dat jouw ontbrekende schakel.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

ubnt@ubnt# show
 address 192.168.30.1/24
 description "Thuis netwerk"
 ipv6 {
     dup-addr-detect-transmits 1
     router-advert {
         cur-hop-limit 64
         link-mtu 0
         managed-flag false
         max-interval 600
         name-server 2606:4700:4700::1111
         name-server 2606:4700:4700::1001
         other-config-flag false
         prefix ::/64 {
             autonomous-flag true
             on-link-flag true
             valid-lifetime 2592000
         }
         radvd-options "RDNSS 2606:4700:4700::1111 2606:4700:4700::1001 {};"
         reachable-time 0
         retrans-timer 0
         send-advert true
     }
 }
 mtu 1500
 switch-port {
     interface eth0 {
     }
     interface eth1 {
     }
     interface eth2 {
     }
     interface eth3 {
     }
     vlan-aware disable
 }

Miki schreef op dinsdag 19 oktober 2021 @ 16:10:
Ligt het aan mij of zit het hem in de opgegeven prefix lengte? 64 zou in dit specifieke geval 56 moeten zijn right

Ps. inderdaad even je IP adres afschermen

en done

1
2

set interfaces ethernet eth4 vif32 pppoe 0 ipv6 enable
set interfaces ethernet ether (LAN) ipv6 enable

1
2
3
4
5
6
7

eerste SSH sessie
tcpdump -n -i pppoe0 ip6 and udp port 546 or udp port 547 -w /tmp/ip6.pcap

tweede SSH sessie (syntax kan afwijken omdat je vlan32 gebruikt, even aanvullen met tab)
release dhcpv6-pd interface pppoe0
delete dhcpv6-pd duid
renew dhcpv6-pd interface pppoe0

1

set interfaces ethernet eth4 vif32 pppoe dhcpv6-pd rapid-commit enable

[ Voor 16% gewijzigd door stormfly op 19-10-2021 20:48 ]

Dacuuu schreef op dinsdag 19 oktober 2021 @ 20:44:
Het ijs is gebroken, ik heb zojuist baremetal Opnsense geïnstalleerd.

Tmobile glas, alleen internet. Geen Tv en of bellen.
Ik heb vlan 300 aan de wan interface gehangen, en zowaar ik heb internet..
Verder heb ik niets aangepast/ingesteld.
Nu alles default staat, idat is "veilig" toch? Niet dat alles wagenwijd openstaat voor de buiten wereld omdat ik een vinkje ben vergeten aan te zetten ofzo..

[Afbeelding]
[Afbeelding]

[ Voor 22% gewijzigd door oltk op 19-10-2021 20:58 ]

oltk schreef op dinsdag 19 oktober 2021 @ 20:50:
[...]


Ik zat met hetzelfde dilemma. Je weet niet hoe "gebruikersvriendelijk" of "tweakerlike" dat OPNsense is.
Maar als je kijkt bij

menu/firewall/rules/lan

en je ziet rules (er zijn ook nogal wat hidden als automatically generated rules) weet je dat er in ieder geval geen lege firewall staat.
[Afbeelding]

ps: mijn rule op 192.168.0.57 heb ik toegevoegd op wat verder standaard is. Deze rule blokkeert een specifiek IoT device dat anders zelfstandig verbinding maakt met een server in de VS. Dat hoeft van mij niet (ik moet nog gaan experimenteren met vlans ).

Je kan ook nog even kijken in

menu/firewall/log files/live view

Dan zie je real time allows en blocks voorbij komen. Als je blocks ziet (circa 1/3 van het aantal) weet je dat je firewall draait.

Ik kan echter niets zeggen of er geen betere / additionele rules denkbaar zijn Misschien dat een van de geeks hier nog wat info kan geven.

[ Voor 14% gewijzigd door Dacuuu op 19-10-2021 22:24 ]

Dacuuu schreef op dinsdag 19 oktober 2021 @ 21:03:
[...]


Een lotgenoot Ik vind het erg leuk om het te leren, en het is voor mij weer een stapje verder dan mijn Asus router, al wist ik daar ook nog niet alles van hoor, maar zoeken,kijken,lezen,vragen op internet helpt veel.

Mijn LAN/WAN rules ziin default:
[Afbeelding]
[Afbeelding]

Bij menu/firewall/log files/live view zie ik blocks op de Wan interface, ook met Ip adressen uit Rusland etc,die hebben me al gevonden dan.

Dacuuu schreef op dinsdag 19 oktober 2021 @ 21:03:
Edit:
Alles werkt weer bijna zoals met de oude asus 68u, ik heb nu ook poort 443 open staan voor mijn reverse proxy. Alleen een ding werkt nog niet, en ik denk dat ik het moet zoeken bij Opnsense..

Ik draai Home-assistant achter de reverse proxy, en gebruik thuis en buitenhuis altijd he externe adres:
homeassistant.domeinnaam.com

Maar nu werkt homeassistant.domeinnaam.com wel via de 4G verbinding, maar niet vanuit mijn thuis LAN. Op de lan werkt alleen 192.168.x.x:8123 om Home-assistant te bereiken. Ik denk dat ik ergens nog een regel gemist heb in Opnsense?

Kabouterplop01 schreef op dinsdag 19 oktober 2021 @ 23:26:
is helemaal niet ranzig, het is gemaakt voor dit soort situaties.
maar de oplossing is DNS. (Moet je wel een eigen DNS server hebben... oh wacht )

oltk schreef op dinsdag 19 oktober 2021 @ 23:45:
[...]

Het is een complexe wereld
https://www.reddit.com/r/...events_nat_loopback_so_i/

nero355 schreef op dinsdag 19 oktober 2021 @ 22:56:
[...]

Dat heet Reverse NAT of NAT Loopback maar dat is een redelijk ongewenste ranzige oplossing dus ga eens op zoek naar alternatieve oplossingen!

[ Voor 3% gewijzigd door Vorkie op 20-10-2021 09:06 ]

stormfly schreef op dinsdag 19 oktober 2021 @ 20:41:
@Ankh

code:

1 2	set interfaces ethernet eth4 vif32 pppoe 0 ipv6 enable set interfaces ethernet ether (LAN) ipv6 enable

Ik zie nog te weinig IPv6 output op je interfaces, in de webGUI zit ook nog een vinkje voor IPv6 global, staat deze aan?

code:

1 2 3 4 5 6 7

eerste SSH sessie tcpdump -n -i pppoe0 ip6 and udp port 546 or udp port 547 -w /tmp/ip6.pcap tweede SSH sessie (syntax kan afwijken omdat je vlan32 gebruikt, even aanvullen met tab) release dhcpv6-pd interface pppoe0 delete dhcpv6-pd duid renew dhcpv6-pd interface pppoe0

Je kan ook nog spelen met rapid commit:

code:

1	set interfaces ethernet eth4 vif32 pppoe dhcpv6-pd rapid-commit enable

Kabouterplop01 schreef op dinsdag 19 oktober 2021 @ 23:26:
is helemaal niet ranzig, het is gemaakt voor dit soort situaties.

maar de oplossing is DNS. (Moet je wel een eigen DNS server hebben... oh wacht )

Uberprutser schreef op zaterdag 21 augustus 2021 @ 11:43:
[...]
Ben in gesprek met de fabrikant om eind dit jaar een kleinere batch te laten maken met andere hardware, bijvoorbeeld 1/10Gbit SFP ipv 10Gbit SFP+ en uitbreidingsmogelijkheden van o.a. geheugen en toevoeging van M2 NVMe.

nero355 schreef op woensdag 20 oktober 2021 @ 22:32:
[...]

Het wordt wel over het algemeen als ongewenst gezien, omdat het voor het een en ander misbruikt kan worden dus als je daarmee kan leven dan is het inderdaad een optie voor zulke situaties!

rretep schreef op vrijdag 22 oktober 2021 @ 18:41:
Heb hier momenteel een zelfbouw (Dell Optiplex SF) router/firewall met PfSense draaien. Ben recent van XS4ALL naar KPN overgestapt i.v.m. het aanbieden van een gigabit verbinding. Nu heb ik bij de oplevering van KPN een Experia V12 box gekregen welke ook WiFi 6 ondersteuning heeft. Gezien ik de glasvezelaansluiting direct op mijn PfSense machine heb aangesloten en dit eigenlijk ook zo wil houden en ik geen netwerk expert ben, kan iemand me vertellen of het mogelijk is om de Experia V12 vanuit mijn PfSense machine toch van internet te voorzien en me in de juiste richting kan duwen?

Gebruik momenteel thuis een Ubiquiti FlexHD voor het WiFi en in principe werkt dat allemaal prima. Maar heb ook een aantal apparaten die WiFi 6 ondersteunen dus waarom niet de Experia V12 gebruiken mocht dat mogelijk zijn.

Bij voorbaat dank.

Dacuuu schreef op vrijdag 22 oktober 2021 @ 17:49:
Mijn volgende stap was het gebruiken van de dns servers van Adguard Volgens mij staan de instellingen zo goed, klopt dat?

Tom Paris schreef op vrijdag 22 oktober 2021 @ 20:51:
[...]


Ik zou nog een aantal regels toevoegen die al het DNS verkeer naar servers anders dan je router afvangen, en om DoT/DoH te blokkeren.

[ Voor 4% gewijzigd door Dacuuu op 23-10-2021 23:42 ]

Ankh schreef op zondag 24 oktober 2021 @ 10:54:
@stormfly
Weer even een update.
Heb de Draytek er tussen gezet met een port mirror voor Wireshark en een werkende ipv6 verbinding laten opbouwen. Uit de trace blijkt (en ben er nog niet verder ingedoken) dat de ipv6 verbinding gewoon over de pppoe verbinding gaat. Ik ga er nog even induiken m.b.t. RA / solicit melding, maar de verbinding is relatief snel opgebouwd.

Daarnaast heb ik de WANv6_LOCAL firewall rules op ACCEPT gezet, zodat al het verkeer richting de router wordt geaccepteerd. Maar:

code:

1 2 3 4 5 6 7 8 9 10 11

paul@ubnt:~$ sudo tcpdump -r /tmp/ip6-4.pcap reading from file /tmp/ip6-4.pcap, link-type LINUX_SLL (Linux cooked) 09:49:03.644647 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:49:20.160846 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:49:21.228669 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:49:23.288607 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:49:27.340614 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:49:35.764600 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:49:52.524614 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:50:24.440699 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 09:51:30.964643 IP6 fe80::3d0a:d9fa:afc3:62ea.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit

helaas...

Moet de reactie van de support afdeling maar even afwachten.

stormfly schreef op zondag 24 oktober 2021 @ 10:58:
[...]


Dank voor de update, de WANv6 local is inderdaad om de DHCPv6PD aanvraag op het WAN te voltooien. Daarna moet je op de LANv6 local (als die bestaat) ook e.a. doorlaten.

Op basis van je UBNT host trace lijkt er erop dat je aan de LAN zijde IPv6 RA/DHCPv6 nog niet juist geconfigureerd hebt. Er vanuit gaande dat de UBNT host op het LAN zit.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

switch switch0 {
     address 192.168.30.1/24
     description "Thuis netwerk"
     ipv6 {
         dup-addr-detect-transmits 1
         router-advert {
             cur-hop-limit 64
             link-mtu 0
             managed-flag true
             max-interval 600
             other-config-flag false
             prefix ::/64 {
                 autonomous-flag true
                 on-link-flag true
                 valid-lifetime 7200
             }
             reachable-time 0
             retrans-timer 0
             send-advert true
         }
     }
     mtu 1500
     switch-port {
         interface eth0 {
         }
         interface eth1 {
         }
         interface eth2 {
         }
         interface eth3 {
         }
         vlan-aware disable
     }
 }

1
2

[WANv6_LOCAL-30-A]IN=pppoe0 OUT= MAC= SRC=fe80:0000:0000:0000:86b8:02ff:fe1e:c000 DST=fe80:0000:0000:0000:3d0a:d9fa:afc3:62ea LEN=64 TC=224 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=134 CODE=0
[WANv6_LOCAL-30-A]IN=pppoe0 OUT= MAC= SRC=fe80:0000:0000:0000:3d0a:d9fa:afc3:62ea DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=48 TC=0 HOPLIMIT=255 FLOWLBL=392669 PROTO=ICMPv6 TYPE=133 CODE=0

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

set firewall ipv6-name WANv6_LOCAL default-action drop
set firewall ipv6-name WANv6_LOCAL description 'WAN IPv6 naar Router'
set firewall ipv6-name WANv6_LOCAL enable-default-log
set firewall ipv6-name WANv6_LOCAL rule 1 action accept
set firewall ipv6-name WANv6_LOCAL rule 1 description 'Allow established/related sessions'
set firewall ipv6-name WANv6_LOCAL rule 1 protocol all
set firewall ipv6-name WANv6_LOCAL rule 1 state established enable
set firewall ipv6-name WANv6_LOCAL rule 1 state related enable
set firewall ipv6-name WANv6_LOCAL rule 2 action drop
set firewall ipv6-name WANv6_LOCAL rule 2 description 'Drop invalid state'
set firewall ipv6-name WANv6_LOCAL rule 2 protocol all
set firewall ipv6-name WANv6_LOCAL rule 2 state invalid enable
set firewall ipv6-name WANv6_LOCAL rule 30 action accept
set firewall ipv6-name WANv6_LOCAL rule 30 description 'Allow IPv6 icmp'
set firewall ipv6-name WANv6_LOCAL rule 30 log enable
set firewall ipv6-name WANv6_LOCAL rule 30 protocol ipv6-icmp
set firewall ipv6-name WANv6_LOCAL rule 40 action accept
set firewall ipv6-name WANv6_LOCAL rule 40 description 'allow dhcpv6'
set firewall ipv6-name WANv6_LOCAL rule 40 destination port 546
set firewall ipv6-name WANv6_LOCAL rule 40 log enable
set firewall ipv6-name WANv6_LOCAL rule 40 protocol udp

[ Voor 40% gewijzigd door Ankh op 24-10-2021 11:44 ]

rretep schreef op vrijdag 22 oktober 2021 @ 19:42:
Wat ik weggelaten is dat ik hier ook nog een Ring deurbel heb, waarbij ik op de een of andere manier onvoldoende signaal heb om beeld te krijgen. Het vreemde is dat dit helemaal in het begin (met toen nog het modem van XS4ALL volgens mij, een Fritzbox) wel kort heeft gewerkt. Maar om de een of andere reden blijft de Ring deurbel onvoldoende signaal krijgen om beeld te geven (zowel met de FlexHD als het oude modem van XS4ALL), terwijl als ik er direct naast sta met mijn telefoon ik gewoon perfecte ontvangst heb. Maar of de Ring deurbel wel met de Experia v12 werkt kan ik uiteraard ook zonder de PfSetup los testen. Maar mocht ik daarmee wel voldoende signaal hebben om beeld te krijgen, zou ik de Experia graag in het netwerk opnemen.

1
2

[510843.200879] [WANv6_IN-default-D]IN=pppoe0 OUT=pppoe0 MAC= SRC=240e:00f7:4f01:000c:0000:0000:0000:0003 DST=<mijn ipv6>:0000:0000:0000:dff3 LEN=64 TC=0 HOPLIMIT=238 FLOWLBL=0 PROTO=TCP SPT=60462 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0
[510844.442288] [WANv6_IN-default-D]IN=pppoe0 OUT=pppoe0 MAC= SRC=240e:00f7:4f01:000c:0000:0000:0000:0003 DST=<mijn ipv6>:0000:0000:0000:c32b LEN=64 TC=0 HOPLIMIT=238 FLOWLBL=0 PROTO=TCP SPT=36252 DPT=443 WINDOW=29200 RES=0x00 SYN URGP=0

[ Voor 23% gewijzigd door Ankh op 25-10-2021 20:21 ]

Ankh schreef op maandag 25 oktober 2021 @ 20:19:
@stormfly
Vandaag nog maar even verder op onderzoek gegaan in mijn wireshark captures.
Hetgeen mij is opgevallen is dat in alle draytek ICMPv6 en DHCPv6 captures, mijn PPPOE verbinding zichtbaar is:
[Afbeelding]
Bij de EdgeOS:
[Afbeelding]

Mijn vermoeden is toch echt dat EdgeOS (en OpenWRT) zijn IPv6 verkeer buiten de PPPOE sessie om aanvraagt.

[edit]
Om het nog wat raarder te maken (was even bezig met de firewall):

code:

1 2

[510843.200879] [WANv6_IN-default-D]IN=pppoe0 OUT=pppoe0 MAC= SRC=240e:00f7:4f01:000c:0000:0000:0000:0003 DST=<mijn ipv6>:0000:0000:0000:dff3 LEN=64 TC=0 HOPLIMIT=238 FLOWLBL=0 PROTO=TCP SPT=60462 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0 [510844.442288] [WANv6_IN-default-D]IN=pppoe0 OUT=pppoe0 MAC= SRC=240e:00f7:4f01:000c:0000:0000:0000:0003 DST=<mijn ipv6>:0000:0000:0000:c32b LEN=64 TC=0 HOPLIMIT=238 FLOWLBL=0 PROTO=TCP SPT=36252 DPT=443 WINDOW=29200 RES=0x00 SYN URGP=0

Ik ben blijkbaar wel bereikbaar