[PFSense] KPN fiber PPPoE + /29 subnet

Ik heb hier een KPN fiber to the home PPPoE (500/500) verbinding draaien op PFSense. Die connectie krijgt dus automatisch een IP adres toegewezen.

Die zet je op met behulp van vlan 6. Dat is allemaal niet zo spannend en werkt dus ook prima verder.

Ik heb hier echter ook een IPv4 /29 blok bij. Dat is wel wat minder standaard volgens mij.

Normaal op een verbinding met static IP dan vul je de rest van de static IPs in als "Alias IP". Helaas werkt dit nu niet, de adressen zijn dan niet benaderbaar en als ik ze ping dan krijg ik "TTL expired in transit". Het adres wat ik via de PPPoE connectie heb gekregen kan ik wel pingen. Ik heb daar een rule voor ICMP aangemaakt.

Iemand een idee waar ik deze adressen moet opgeven? Voor de duidelijkheid het gaat dus om de vijf bruikbare static IPs uit het /29 subnet.

[ Voor 19% gewijzigd door Operations op 08-12-2020 00:00 ]

kouk schreef op zondag 22 november 2020 @ 01:02:
[...]


Onder Firewall - Virtual IP

En dan een 1:1 inbound NAT maken in de firewall.

Beetje zelf proberen kan bij nader inzien geen kwaad

[ Voor 63% gewijzigd door Operations op 30-11-2020 20:24 ]

@kouk / @webfreakz.nl ,

Dit lijkt toch niet helemaal te lukken. Ik heb de vijf ipv4 adressen als /32 per stuk en als /29 als geheel aangemaakt als proxy ARP. Dat lijkt geen verschil te maken.

NAT 1:1

Interface WAN
External IP: een vanuit het blok
Internal IP: wat vul ik hier in? Router adres en ANY lijken beiden niet te werken. Interne IP van de machine waarheen het externe ip adres uiteindelijk heen moet hier invullen werkt ook niet.
Destination IP: Staat nu op Any


Outbound zit ik overigens wel op het juiste IP adres uit het blok. Dus de (Hybrid outbound) NAT lijkt wel te werken maar inkomende werkt (nog) niet.

Any ideas?

[ Voor 13% gewijzigd door Operations op 30-11-2020 20:24 ]

webfreakz.nl schreef op dinsdag 1 december 2020 @ 09:47:
Misschien wordt dat /29 blok gerouteerd naar je. Dan is die proxy-ARP niet nodig. Kan je eens proberen om intern een host een IP uit dat /29 blok geven, en de nodige routing + firewalling rules aanmaken op de pfSense?

@webfreakz.nl, even voor de zekerheid je wilt dat ik een virtuele machine uit mijn netwerk DMZ laag een ip adres uit het /29 blok geef ipv een intern ip? Normaal gesproken gebruik ik dnat/snat om het verkeer vanuit een vm uit die laag via juiste externe IP naar binnen en buiten te laten lopen. (Maar heeft die machine dus wel een interne IP)

En wat bedoel je met "de nodige routing + firewalling"? Die DMZ laag vlan firewall staat voor nu gewoon op IPv4+6 ANY en ALLOW ALL.

Wat moet ik dan nog aan verdere routing doen?

[ Voor 12% gewijzigd door Operations op 01-12-2020 20:40 ]

DJSmiley schreef op dinsdag 1 december 2020 @ 21:12:
Wat ik zo zie lijkt t of KPN gewoon een routed /29 aanbied, waarbij de PPP sessie de connect link is.
Maar goed, KPN zal je kunnen aangeven of je met aliassen moet werken of dat het gerouteerd is.

Ik ken alleen PFSense niet, dus hoe het exact daar gaat weet ik niet.

Bij een Mikrotik is het vrij simpel
- PPP client
- LAN zijde: a.b.c.d/29, eventueel alle andere IP's ook
- Static route: 0.0.0.0/0 -> remote gateway (die je in je PPP sessie krijgt)
- NAT uit tussen LAN en WAN (Je routeert het)
- Firewall naar eigen wens

Ik gok dat, als het tenminste gerouteerd is, zoiets ook op je PFsense geconfigureerd moet (/kan) worden

Dat het vaak PPP is lees ik inderdaad veel, maar op de brief van de KPN partner staat toch echt PPPoE. Maar goed ik zou er is een PPP verbinding van kunnen maken, maar als de brief duidelijk PPPoE aangeeft dan lijkt mij dat toch juist.. niet?

Met "NAT uit...." bedoel je gewoon een SNAT rule toch? Van intern IP uit via specifiek extern IP zeg maar.

Met "LAN zijde" bedoel je daar Proxy ARP dan wel Alias IP mee? Met een normale static IP verbinding krijg je normaal gesproken 1 IP uit je blok en de rest voeg je als Alias IP toe.

Zo werkt het bij een Ziggo zakelijk met 5 static IPs. Dit even ter verduidelijking waar binnen PFSense alias IPs voor gebruikt worden.

(Ja dat specifieke ziggo abonnement gaat verdwijnen en bestaat straks niet meer, maar dat is hier niet van toepassing)

Ook zonder Proxy ARP krijg ik het eerste adres uit mijn /29 blok terwijl ik toch echt een ander IP adres van de PPPoE verbinding heb gekregen. Dit adres staat overigens ook op het formulier als PPPOE IP.

[ Voor 22% gewijzigd door Operations op 01-12-2020 22:12 ]

Jan-man schreef op dinsdag 1 december 2020 @ 22:59:
Is het geen routed subnet ? Bij KPN 1 zakelijk standaard wel namelijk.

Dan zou het puur een interface aanmaken moeten zijn met je gewenste ip adres en je gateway het hoofd ip van je verbinding.

@Jan-man, dat is al eerder geopereerd en dat zou goed kunnen. Ik weet het niet zeker, ik heb geen ervaring met dit soort verbindingen.

Dus jij zegt extra Interface met static IP uit het blok en als gateway nu ik het adres van de PPPoE verbinding? Er staat namelijk ook nog een gateway IP op het papier van de leverancier.

Dus dan heb ik straks 1 PPPoE en 5 interfaces met vast IP adres. Zo?

Jan-man schreef op dinsdag 1 december 2020 @ 23:15:
En dat gateway IP wijkt af van je PPPoE verbinding ? Want dan kan het haast geen routed subnet zijn.

Mijn ervaring met kpn1 en hun ExpriaBox is dat je gewoon in het lan de devices hun eigen externe op kan geven. Lijkt me dus dat je gewoon een interface dan kunt aanmaken op je pfsense.

Als dan bijvoorbeeld je externe ip op je router 0.0.0.1 is dan geeft je op de server het ip 0.0.0.2 met gateway 0.0.0.1 (en subnet 255.255.255.*** + dns op).

Ja dat gateway adres en PPPoE adres (wat ik krijg van die connectie) staan zoals gezegd beiden op papier, maar zijn niet gelijk.

Kunnen het beter even wat makkelijker maken:
PPPoE IP: .144/32
Gateway IP (op papier, NIET die van de pppoe): .153.

Static IPs: 154 t/m .158

(Dus een .152 /29)

Ik heb een machine al .156 gegeven met gateway .153. Dat werkte niet. Ik heb overigens geen Experia box. Is geleverd met Draytek.

En zoals ik zei het uitgaande ip is dus niet .144 (wat ik zou verwachten) maar .154.

[ Voor 7% gewijzigd door Operations op 01-12-2020 23:29 ]

Kleine update: Als ik een extra interface aanmaak en daar dan .154 als IP adres opgeef dan kan ik dat adres vervolgens van buiten wel pingen. Dus ik denk dat dit de manier is.
Als ik dan .157 als ALIAS IP op die (nieuwe) OPT6 interface aanmaak dan kan ik dit .157 adres vervolgens ook pingen van buitenaf.

Ik krijg vervolgens alleen nog geen verkeer overheen, en krijg ook geen SNAT rule van binnenuit aan de praat om een VM over .154 of .157 naar buiten te laten gaan.

[ Voor 17% gewijzigd door Operations op 02-12-2020 03:00 ]

Jan-man schreef op woensdag 2 december 2020 @ 10:58:
Je kan wel pingen dus we zijn al halvewege. Je hebt wel allow rules aangemaakt in je firewall ?

Ik had onder "floating" al een allow rule aangemaakt voor ICMP, anders zou ik uiteraard niet kunnen pingen ook. Maar op de nieuwe interface OPT6, heb ik inderdaad een IPv4 ANY PROTOCOL ALLOW ALL rule aangemaakt.

Opgelost! Met behulp van @Vorkie.

Oplossing was om de extra interface ipv .154, het .153 adres te geven. Hoe simpel kan het zien he uiteindelijk

@Jan-man , @webfreakz.nl , @DJSmiley ,

Er is nog wel een ding wat ik een beetje vreemd vind. Ik kom qua snelheid niet boven de 190/370 (ongeveer). Pfsense draait op Hyper V 2016 op een DELL R710, dus met een Intel NIC. VM heeft 2 cpus (die uit hun neus aan het eten zijn) en 8GB geheugen.

Hebben jullie enige idee waarom ik niet in de buurt van de 500/500 kom en waar download/upload zover uit elkaar liggen? Maakt geen verschil of ik speedtest vanaf een fysieke machine of direct via PFSense draai.

Als ik een 5GB bestand download kom ik ook niet verder dan 18/20 MB/s.

Ik heb de vinkjes van TSO / LRO en hardware checksum offloading al aan/uit gedaan. Op dit moment staan TSO en LRO aangevinkt (dus 2de en 3de vinkje)

Verder draait PFSense prima, snat/dnat etc. Werkt allemaal goed.

[ Voor 21% gewijzigd door Operations op 08-12-2020 00:06 ]

Jan-man schreef op dinsdag 8 december 2020 @ 07:58:
Heeft een dedicated nic of shared met de rest ?. Wat doet de verbinding als je de meegeleverd router gebruikt ?

Pfsense moet met gemak 500/500 kunnen doen

Staat je mtu ook goed ? KPN en dochters is dat 1500.

@Jan-man , dedicated nic. Mtu staat niet ingevuld en connect op 1492. Daar 1500 van maken levert geen winst op.

De meegeleverde draytek haalt wel 500/500.
En daarbij moet ik eerlijk zeggen dat mijn eigen Tweak verbinding ( ook pfsense, dedicated nic)ook niet de volledige snelheid haalt (1000/1000). Ik denk dat er toch iets van een instelling binnen pfsense anders moet.

[ Voor 18% gewijzigd door Operations op 13-12-2020 00:17 ]

Luxicon schreef op dinsdag 19 januari 2021 @ 19:38:
[...]


Wat is je snelheid momenteel via PfSense?

750/400 ongeveer. Is nogal verschillend over de dag.

Luxicon schreef op dinsdag 19 januari 2021 @ 19:44:
[...]


Oke, en is daarmee de snelheid van KPN in orde?

O sorry dat is de snelheid van mijn eigen Tweak. De KPN verbinding zit nu op 400/250. En dat is eigenlijk te "laag" kijkend naar het feit dat het een 500/500 verbinding is.

Luxicon schreef op dinsdag 19 januari 2021 @ 19:51:
[...]


Juist, het lijkt zo te zijn dat PPPoE en PfSense niet goed samengaan. Zie hier. Om wel 500 / 500 te ontvangen, kun je het volgende aanpassen via PfSense: System > Advanced > System Tunables


[...]


Als dat gedaan is, zou je 500 / 500 kunnen ontvangen.
Extra mogelijke tweaks algemeen door /boot/loader.conf aan te passen (regels toe te voegen aan het tekstbestand):

[...]

Dank voor je suggestie dan wel oplossing, alleen thuis (tweak - DHCP) heb ik geen pppoe. Heb je daar misschien ook een oplossing voor?

Hoe pas ik loader.conf aan? Via SSH ?

Luxicon schreef op dinsdag 19 januari 2021 @ 19:51:
[...]


Juist, het lijkt zo te zijn dat PPPoE en PfSense niet goed samengaan. Zie hier. Om wel 500 / 500 te ontvangen, kun je het volgende aanpassen via PfSense: System > Advanced > System Tunables


[...]


Als dat gedaan is, zou je 500 / 500 kunnen ontvangen.
Extra mogelijke tweaks algemeen door /boot/loader.conf aan te passen (regels toe te voegen aan het tekstbestand):

[...]

Door alleen die 2 aanpassingen te doen ging ik van 256 / 336 naar 252 / 393. Dan toch die loader.conf aanpassingen ook doorvoeren?

Luxicon schreef op dinsdag 19 januari 2021 @ 23:47:
[...]


Die 2 aanpassingen zijn normaal gesproken enkel voor PPPoE bedoeld, je kunt de andere proberen:


[...]


Wat ook nog een optie is:
System > Advanced > Miscellaneous > Enable PowerD > AC Power > Maximum

Snelheid testen:
System > Package Manager > Available Packages > iperf
Diagnostics > iperf Server > ip adres van de router zelf en een poort (bijvoorbeeld 5001) naar wens
- via windows (cmd / shell)
iperf staat in een map > kopieer het adres > cd locatie > iperf3 -c iprouter -p 5001 -t 30 -b 0

De snelheid tussen router en computer is het probleem niet, wil je uiteraard best iperf resultaat tonen

Met deze aanpassing blijft download rond de 250 hangen, de upload zit nu rond de 430 (die is wel weer stukje hoger)

Heb je nog meer tweaks?

johnkeates schreef op woensdag 20 januari 2021 @ 00:20:
[...]


PPPoE is single-threaded dus je bent sterk afhankelijk van de CPU IPC en kloksnelheid. Je kan de MPD debug interface aanzetten en tegelijk met top kijken wat dat ding aan performance doet. Als je dan ziet dat de throughput niet hoger gaat en het proces rond de 100% hangt kan je alleen nog maar met hardware upgrades verder komen.

Je R710 en een behoorlijk oude hypervisor helpen ook niet perse, je zou het eigenlijk even moeten testen met bare metal om bijv. checksumming issues uit te sluiten.

Nu heb ik dat thuis wel gedaan (Lees: geen PPPoE) en daar maakte bare metal geen verschil tov esx vm.

Op de KPN locatie zou ik dat inderdaad nog even kunnen testen.

MPD debug en kijken met top moet ik even kijken hoe ik dat precies doe maar zal het even proberen

[ Voor 10% gewijzigd door Operations op 20-01-2021 00:33 ]

Luxicon schreef op woensdag 20 januari 2021 @ 00:42:
[...]


Zijn er trouwens geen meldingen meer bij Status > System Logs > Gateway (en PPP indien PPPoE)?
Je zou tijdens een speedtest kunnen kijken op je dashboard, of de CPU usage 100% is. Eventueel thuis ook gebruik maken van PPPoE. Ik snap nog steeds niet hoe je DHCP kan gebruiken. Al is dat misschien juist de oplossing van een eerder probleem

Thuis is Tweak glas. Dat is een glas verbinding van het bedrijf Tweak. Dat is een simpele DHCP verbinding. Net als dat Ziggo (consument) dat bijvoorbeeld is. Ik kan dus THUIS geen gebruik van pppoe maken, al zou ik willen

Ik had misschien beter niet twee situaties kunnen benoemen

Meldingen zal ik checken en laten weten

[ Voor 7% gewijzigd door Operations op 20-01-2021 00:56 ]

Luxicon schreef op woensdag 20 januari 2021 @ 01:02:
[...]


Ah, juist. Dat maakt het duidelijk. Werkt de KPN verbinding al naar behoren of kun je de tweaks daar nog uittesten? Het is niet dat ik PPPoE aan wil raden, maar dat dit voor KPN de standaard is. Ik had de veronderstelling dat je KPN glasvezel gebruikt en 500 / 500 zou willen halen.

Alle tweaks op loader.conf na heb ik daar uitgevoerd en die resultaten die ik gaf (250/430) zijn van de KPN 500/500. En daar zou ik het liefst wat dichter bij die 500/500 willen komen inderdaad.

En de Tweak glas verbinding thuis is een 1000/1000. Dus daar zou ik het liefst wat dichter die 1000/1000 willen komen