Samstag, 30. Juni 2012

WLAN Heatmapper

Intro

Bei dieser Hitze ist es dieser Tage nicht gerade motivierend einen Blog Post zu schreiben. Auch meine Workstation tut mir da keinen Dienst. Die CPU bleibt zwar auch bei dieser Hitze relativ kühl, die Wasserkühlung verrichtet da ihre Dienste einwandfrei. Die Abwärme im Büro ist aber durchaus zu spüren (was für eine Untertreibung :) )
So hab ich mich meinen Laptop geschnappt und mal eine Heatmap (Hitzekarte) der Wohnung zu machen.
Ich messe hier aber nicht die Temperaturen sondern die Feldstärke meines WLAN.

Wozu eine Heatmap?

Von WLAN Problemen, darunter hauptsächlich vom Empfang, liest man in den Internet-Foren immer wieder. Bei der heutigen Verschmutzung im 2,4GHz Bereich kein Wunder. Oft genügt das simple Wechseln auf einen Kanal, welcher nicht so beansprucht ist oder das Ausweichen auf das 5Ghz Band. Dazu muss die Hardware aber zuerst mal im Stande sein. Auch heute noch lange nicht immer der Fall.
Nun das sind andere Geschichten. Auf diese möchte ich in diesem Blog Post gar nicht eingehen. Hier geht es darum wie man eine Heatmap des WLAN einfach erstellen kann und so die Auswirkungen auf den Empfang von unterschiedlicher Hardware, Position und Kanälen optisch darzustellen.
Für jemanden der sich ein wenig für WLAN's interessiert und eine coole Karte der Wohnung haben will oder diese sogar gewerblich nutzen möchte sicher eine kurzweilige Sache. Bilder sagen da mehr als tausend Worte!

Eine Heatmap dient der optischen Darstellungen verschiedener Bereiche (Temperaturen, (Feld)Stärken) auf einer Karte. Sicher hat schon jeder mal eine Temperaturkarte oder ein Bild einer Wärmebildkamera gesehen. Diese Darstellung bietet sich natürlich auch an um die WLAN Feldstärke anzuzeigen. Zwar ist die WLAN Feldstärke nicht gleich Übertragungsgeschwindigkeit. Sie ist aber sicher mal der erste Faktor um überhaupt auf eine anständige Geschwindigkeit zu erreichen. Schlechtes Signal, kein Speed!

Welche Tools?


Im Internet finden sich diverse Tools die man zu diesem Zweck verwenden kann. Mitunter am bekanntesten ist HeatMapper von ekahau. Ekahau bietet nach einer Registrierung einen gratis Download der Basissoftware welche unter Windows ab Version XP läuft. Mit dem Tool ist es möglich auf einer Karte (oder blankem Rasterfeld) mittels Maus oder sogar GPS umherzuwandern. Negativ finde ich aber die optische Darstellung wenn viele WLAN's in der Umgebung sind. Hier knallt dieses Tool die Access Points einfach unmotiviert auf die Karte.
Für Mac bietet sich zB. NetSpot an. Zu diesem Tool kann ich mangels apple Geräten nichts sagen. Muss ich auch nicht, ich verweise hier gerne auf diesen Blog.
In diesem Blog Post behandle ich aber mein Lieblingstool, den WLAN-Heatmapper von T. Stähli

IFS WLAN-Heatmapper


Der WLAN-Heatmapper von Tobias Stähli entstand als Abschlussarbeit seiner Informatik Lehre und steht bei der IFS zum freien Download bereit.
Dieses Tool zeichnet sich vor allem durch die einfache Art der Anwendung aus. Voraussetzung ist Java Laufzeitumgebung eine Windows Maschine und ein Plan der Umgebung im jpg oder png Format.  Auf der Seite des IFS findet sich bereits eine Dokumentation dieses Swiss Made Tools.




Also Laptop ausgepackt und ran an die Sache. Sofern man die Voraussetzungen erfüllt, startet das Programm mit einem Doppelklick. Im Gegensatz zum HeatMapper von ekahau ist bei diesem Programm zwingend ein Plan nötig. Mancher wird irgendwo einen Grundrissplan seiner Wohnung oder des Hauses rumliegen haben. Im schlimmsten Fall ist halt zeichnerisches Geschick angesagt. Zur Probe reichen da auch ein paar Striche in Paint. Ich habe zum Glück bereits einen Plan :)
Wie gesagt, ohne Plan geht nichts. Das Programm verlangt als erstes nach einer Gebäudekarte:


Da nun die Karte geladen ist, muss man im nächsten Schritt den Access Point auf der Karte positionieren.
Dazu klickt man zuerst im Plan auf den physischen Standort des Access Points und wählt aus dem Popup Fenster den zu messenden Zugangspunkt aus.


Nun ist man für die erste Messung ready. Dazu genügt ein Klick auf Messung starten. Nach einer Gedenksekunde ist die Messung gemacht und das Programm verlang die Positionierung des Messpunktes auf der Karte.



Damit die Heatmap möglichst exakt wird, werden ca. 5 unterschiedliche Messpunkte pro Raum und ein Raster von 3mal3 Metern empfohlen. Dazu spaziert man zum nächsten Messpunkt und klickt einfach auf weitere Messung. 




Hat man genügend Messpunkte erfasst, ist es an der Zeit die Heatmap zu erstellen. Also ein Klick auf Heatmap anzeigen. Das Tool erlaubt das Speichern der Heatmap sowohl im jpg (default) wie auch dem png Format (weniger Verluste, grösserer Speicherbedarf). Möchte man die Datei im png Format speichern, muss man im Speichern Dialog dem Dateinamen diese Endung mitgeben : Beispiel.png




In diesem Fall zeigt die Heatmap links die Feldstärke eines optimierten Access Points an und rechts das Beispiel eines weniger optimierten Access Points. Über mehrere Stockwerke und grösseren Arealen lassen sich sicher interessantere Ergebnisse erzielen. Ich hoffe es reicht euch als Motivation oder Idee auch mal so eine Karte zu erstellen.

Nun ist es aber wirklich Zeit für den Pool!!!
Tschüss :)

Sonntag, 17. Juni 2012

Swisscom TV online

Neuer Name, neues Kleid

Swisscom TV Air präsentiert sich in einem neuen Kleid und wartet mit einigen zusätzlichen Funtionen auf.
Die Kombination nennt sich ab sofort Swisscom TV Online.
Im Grunde handelt es sich um eine Kombination von TV Guide und TV Air.
Swisscom hat am 6. Juni 2012 das neue Swisscom TV Online Portal aufgeschaltet und dies in einer Medienmitteilung präsentiert:

Swisscom TV: Aufnahmen von der TV-Box neu auch unterwegs abrufbar

Ab sofort können Swisscom TV plus Kunden ihre Aufnahmen nicht nur zuhause auf dem heimischen Fernseher schauen, sondern via Internet auch auf PC und Laptop sowie ab Anfang Juli auf iPhone und iPad. Zudem präsentiert sich das Swisscom TV Angebot im Internet in einem komplett überarbeiteten Design und bietet unter dem neuen Namen Swisscom TV online zahlreiche zusätzliche Funktionen.
Die TV-Box zuhause füllt sich mit Aufnahmen, doch die Zeit genügt häufig nicht, alle anzuschauen. Neu haben Swisscom TV plus Kunden mehr Freiheit, um sich ihre aufgenommenen Sendungen dort und dann anzuschauen, wann es ihnen passt. Dank Swisscom TV online können sie an jedem beliebigen Ort der Schweiz über den Internetbrowser ihres PCs oder Laptops auf ihre Aufnahmen der letzten 30 Tage zugreifen.

Ab dem 2. Juli wird dieses Angebot auch für iPhone und iPad zur Verfügung stehen. Über die Swisscom TV Guide App kann dann von unterwegs auf die Aufnahmen der Swisscom TV Box zugegriffen werden.

Swisscom TV online bietet individuelles Fernsehvergnügen via Web
Neu werden die Internetangebote Swisscom TV air, Swisscom TV-Guide sowie der Katalog für Filme auf Abruf auf einer einzigen Internetseite zusammengeführt. Diese trägt den Namen Swisscom TV online und bietet zahlreiche neue Funktionen. Dazu gehört unter anderem die Live Pause, welche bisher nur via Swisscom TV plus auf dem heimischen Fernseher zur Verfügung stand. Hinzu kommen TV- und VoD-Tipps, tagesaktuelle VoD-Charts sowie Ähnlichkeitsempfehlungen bei der Suche nach dem passenden Film auf Abruf.
http://www.swisscom.ch/de/ghq/media/mediareleases/2012/06/20120606_MM_Swisscom_TV_Aufnahmen.html

TV Guide


 Die Seite erreicht man wie gewohnt über http://tvair.swisscom.ch. Wer die TV Guide App für iOS kennt, wird sich gleich heimisch fühlen. Im Zentrum steht der TV Guide. Hier kann via Zeitleiste, sowohl in die Zukunft wie auch in die Vergangenheit gescrollt werden. Als Alternative kann man auf das Kalendersymbol neben dem Datum klicken.
Im oberen Bereich werden zudem Tagestipps in einem Flow angezeigt. In Zukunft könnte ich mir personalisierte Tipps vorstellen. Im Moment handelt es sich einfach um eine Reihe von einer Redaktion ausgewählter Sendungen oder Spielfilme. Im Guide lassen sich die Web TV Sender sowie die Sender aus Swisscom TV darstellen.
Falls man sich als Swisscom TV Kunde einloggt stehen so die Sender der eigenen TV Box zur Verfügung. Damit ist es Swisscom TV Plus Kunden möglich Aufnahmen zu programmieren.
Der TV Guide ersetzt den alten TV Guide welchen man vom Bluewin Portal kennt. Leider bietet diese neue Version zB. (noch) keine Genre Suche usw. an. Wer sich daran stört, dem steht immer noch die alte Version des TV Guides zur Verfügung. Hierzu hat es auf Swisscom TV Online zuunterst einen Link, welcher auf die alte Site verweist. http://www.sso.bluewin.ch/de/index.php/1859/?L=de



TV schauen

Unter TV schauen versteckt sich das eigentliche Swisscom TV Air. Hier ist es wie bisher möglich live Sendungen anzuschauen. Es stehen Rund 60 Sender zur Verfügung. Neu ist der REC Button welche eingeloggten Swisscom TV Plus Kunden haben. Hiermit programmieren sie Aufnahmen im Live Betrieb welche die STB speichert.
Die Ansicht hier eignet sich zum zappen durch die Sender. Sucht man gezielt nach Sendungen führt der Weg über den TV Guide. Ein Klick auf eine Sendung und man kann den Live Stream verfolgen.

Replay

Eine der grössten Neuerungen ist Replay. Mit dieser Funktion lassen sich Sendungen bis zu 30h in die Vergangenheit anschauen. Dazu werden sie bei Swisscom gespeichert. Diese Funktion steht nur Swiscom TV air Kunden zur Verfügung und muss aus rechtlichen Gründen zuerst einmalig aktiviert werden. Zur Aktivierung hat es auf Swisscom TV Online zuunterst einen Button.
Damit ist auch klar warum der TV Guide auch in die Vergangenheit verfügbar ist :)
Replay ist auf 45 Sendern möglich. Die Liste findet man hier. Hier fehlen die Pay TV Sender der Swisscom TV Plattform ebenso wie die HD Sender welche momentan noch nicht unter TV Air abrufbar sind.

Aufnahmen

Aufnahmen von der TV-Box neu auch unterwegs abrufbar
so der Slogan der Pressemitteilung und somit auch als Main Feature anzusehen.
Leider setzt hier die Pressemitteilung mehr auf Effekt als auf Tatsachen, was ich persönlich, äusserst enttäuschend finde. 
Swisscom speichert Sendungen am laufenden Band. Einerseits als Streams für Swisscom TV andererseits als Streams für TV Air. Bei den TV Air Streams gehe ich davon aus, dass hiervon sogar noch mehrere Versionen gespeichert werden, je nach Art des Streams bzw Clients die diese abrufen. Das ist aber nur eine Vermutung von mir, wissen tue ich dies nicht ;)
Momentan ist es so, dass diese gespeicherten Streams in einer ersten Phase für die Replay Funktion gedacht bzw. genutzt werden. Hier muss man also den Schnitt machen. Programmiert momentan ein Kunde eine Aufnahme für Swisscom TV wird diese lokal auf der STB gespeichert. Neu ist, dass parallel dazu die Online Version des TV Air Streams (nicht der Swisscom TV Stream welcher für Replay ist) markiert wird und somit bis zu 30 Tage ab Aufnahmedatum in der Cloud zur Verfügung steht.
Somit kann man eigentlich nicht von Aufnahmen der TV-Box sprechen. Die Aufnahmen sind ja nicht ab der Swisscom TV Box gestreamt (nicht mal im eigenem LAN). Die Aufnahmen kommen ab der Cloud in eingeschränkter Qualität! Kommt noch hinzu, dass die Koppelung der Swisscom TV und Swisscom TV Air Aufnahmen auf die 45 Sender des Replays beschränken. Klar in Zukunft wird dies noch ausgebaut. Im Zeitalter von HD und Pay TV sieht dies in meinem Fall aber dürftig aus. Inoffiziell spricht man hier von Randgruppe :)


Ausblick

Wie in der Pressemitteilung angekündigt wird ab dem 2. Juli die App Version für iphone und iOS freigegeben. Somit ist es auch von unterwegs möglich Replay und "Aufnahmen" zu nutzen. Insider Informationen zur Folge ist ebenfalls eine Android Version im Testing welche sogar zuerst beendet worden sein soll. Leider bedeutet dies aber nicht zwingend das diese Version gleichzeitig oder früher veröffentlicht wird. Hier wird man auch wieder auf den Juhu Effekt der apple Zielgruppe setzen. Tage an denen ich besser nichts sagen werde :) Trotzdem, auch eine Android Version wird es geben, selbst wenn es wohl 2 Monate länger dauern wird. Ich rechne auch mit einer Windows Version. Dessen Streaming sich bereits aktuell auf hohem Niveau befindet.

Aus persönlicher Sicht ist es auch naheliegend das man in Richtung NPVR hin arbeitet. Es wird Ziel sein, dass Aufnahmen in Zukunft gänzlich in der Cloud liegen. Dies erfordert auch, dass das gespeicherte Senderangebot voll ausgebaut werden muss, was auch Randgruppen irgendwann befriedigen soll.
Bis dahin ist man aber noch in Geduld geübt.

An dieser Stelle weise ich noch gerne auf Zattoo hin. Bei Zattoo sind jetzt schon HD Sender im Angebot. Ebenfalls kann man mit Zattoo HiQ für 8.- Fr. im Monat Sendungen bis zu 3 Monate!!! in die Vergangenheit anschauen (HD Sender als SD Version). Zudem steht dort das ganze TV Angebot auf Abruf bereit. Nicht nur Sendungen welche man quasi aufgenommen hat. Es gibt also durchaus auch Alternativen und Pioniere der anderen Art. Auch wenn ich nicht Fan der neuen Mobile Infinity Angebote bin, ist die dort inkl. Datenflat auch ein Argument für die unterwegs Nutzung von Zattoo...

Mittwoch, 13. Juni 2012

pfSense 2.1 mit Swisscom Access

pfSense 2.1

Was ist pfSense?

pfSense ist eine freie, open source Firewall, basierend auf freeBSD. Als Paketfilter verwendet man pf. Daher auch der Name pfSense. Diese Distribution kann und wird, als Router und Firewall für kleine Heimnetzwerke, wie auch für grosse Unternehmen gebraucht.
pfSense startete als Fork von M0n0wall. Während M0n0wall vor allem auf embedded Systeme ausgerichtet ist, wurde pfSense auch für grössere PC Architekturen konzipiert um zusätzliche Leistungen zu erbringen. Trotzdem ist pfSense auch noch als Image für embedded Systeme zu haben. Mein Blog Post bezieht sich auf ein solches System. Für den Test verwende ich ein ALIX Board 2D13 und beschränke mich auf Routing und Firewalling Funktionen. Proxy, IDS/IDP usw. wäre für die pfSense auch kein Problem. Hierzu habe ich leistungsfähigere Systeme zur Hand.
Als Heimrouter ist ALIX aber auch heute noch eine gute Wahl.

pfSense 2.1

pfSense 2.1 ist momentan noch in der Entwicklung. Die Entwickler von pfsense hofften bis zum IPv6 Launch Day den offiziellen Release bereit zu haben. Leider hat dies nicht geklappt.
Die Snapshots sind hier erhätlich. Auf Produktivsystemen ist der Einsatz dieser Snapshots nicht empfohlen. Grundsätzlich gibt es hier mehrere Releases pro Tag! Darunter gibt es auch Tage bei denen man ein schlechtes Ei erwischen kann :)
Für den Heimgebrauch gibt es beim Einsatz dieser Snapshots nichts einzuwenden. Hier ist jeder sein eigener König.
Gerade der volle IPv6 Support in dieser Version hat schon seinen Reiz. Und genau darum geht es in diesem Blog Post.


 IPv6 mit Swisscom

Die grundlegende Konfiguration einer pfSense um IPv6 Konnektivität mit Swisscom zu erlangen ist relativ simpel. Der Spielplatz dahinter aber umso grösser :)
Ich führe hier die nötigen Schritte auf.
Wie schon erwähnt muss das System mit der Version 2.1 laufen. Der aktuelle Release 2.0.1 ist dazu noch nicht fähig. 


WAN


Zuerst wird das WAN Interface konfiguriert. Wie bereits bekannt, verwendet Swisscom momentan das Tunnelprotokoll 6RD. Dementsprechend setzt man den IPv6 Configuration Type auf 6rd.



Dadurch öffnet sich innerhalb der WAN Interface Konfiguration ein neuer Abschnitt: "6RD Rapid Deployment". Diesen füllt man mit den Swisscom relevanten Daten aus.
6RD Prefix: 2a02:1200::/28
6RD Border Relay: 193.5.122.254 193.5.29.1 (Wechselt per 09.04.2013)
6RD IPv4 Prefix lenght: 0


 Save und Apply, WAN ist erledigt.

LAN

Damit IPv6 auch im LAN bekannt wird, muss nun das LAN Interface konfiguriert werden.
Auch bei diesem hat es in Version 2.1 einen Punkt mit IPv6 Configuration Type. Diesen setzt man im Falle eines Tunnels wie 6to4 oder eben 6RD auf Track Interface.



Dadurch wird der Abschnitt Track IPv6 Interface verfügbar. In unserem Fall tracken wir das WAN Interface und geben als IPv6 Prefix ID 0 an.


Save und Apply!
Im Dashboard sollte nun bereits die IPv6 Verbindung ersichtlich sein. Falls nicht, hilft ein release / renew des WAN Interfaces oder ein simpler Reboot.

Firewall Regeln

pf blockt per Default sämtlichen nicht aus dem LAN initiierten Verkehr. Damit surfen via IPv6 möglich ist, muss wie bei IPv4, im Minimum eine Regel erstellt werden, welche den ausgehenden Verkehr erlaubt.



Natürlich lassen sich auch Regeln zum Erlauben von Services auf Host's oder Netzwerke einrichten. Hier bietet pfSense 2.1 volle IPv6 Unterstützung.

Damit steht dem sicheren surfen via IPv6 über die pfSense nichts mehr im Wege.


Swisscom TV

Spricht man vom Swisscom Access, so ist auch Swisscom TV immer wieder mal ein wichtiges Thema.
Auch hier. pfSense lässt sich so konfigurieren, dass Swisscom TV dahinter betrieben werden kann!
Auch wenn es in den pfSense Foren offensichtlich nicht ganz klar ist, hier die funktionierende Konfiguration.
Damit Swisscom TV betrieben werden kann, ist ein IGMP Proxy von Nöten. Während dieser unter Linux schon lange hervorragend läuft, hatte man unter BSD ein wenig Mühe. Trotz allem. Seit der Version 2.0.1 hat auch pfSense einen IGMP Proxy und diesen sogar per Default mit an Bord.

IGMP proxy

Der IGMP Proxy ist unter Services > IGMP Proxy schnell konfiguriert.
Benötigt wird ein Upstream und ein Downstream Interface.
Dem Downstream weist man das LAN Interface zu und gibt das lokale Netzwerk oder falls man möchte, die entsprechende IP der Swisscom TV Box(en) an. Threshold ist 1.



Dem Upstream weist man das WAN Interface zu. Hier werden das Multicast Netz 224.0.0.0/4 und die Swisscom TV Infrastruktur 195.186.0.0/16 benötigt. Ergänzung: Für die neue TV 2.0 Plattform wird das Netz 213.3.72.0/24 benötigt!
Verwendet man anderer Service Strukturen oder andere Provider ist hier eine andere IP nötig.
Dies lässt sich aber problemlos ausfindig machen, indem man via ssh igmpproxy -d -c /tmp/igmpproxy.conf nach Source Adressen sucht, welche geblockt werden.
Threshold ist auch hier 1.


Damit ist der IGMP Proxy bereits konfiguriert.

Firewall Regel LAN

Damit Swisscom TV funktioniert muss man ausgehend Multicast erlauben. Am einfachsten geht dies, wenn man bei der Regel welche ausgehenden IPv4 Verkehr erlaubt, unter Advanced Options:"This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.", markiert.



Die LAN Regel Übersicht sollte nun so aussehen:


Firewall Regeln WAN

Zudem benötigt man 2 Regeln für WAN.
Gebraucht wird eine Regel welche UDP Traffic durchlässt. In diesem Fall am bestem noch auf die Beschränkung der Swisscom Infrastruktur.




Ebenfalls muss man noch IGMP erlauben. Auch hier aktiviert man unter Advanced Options:"This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic."


Die WAN Regel Übersicht sollte sich nun so darstellen:


Wichtig! Bei sämtlichen Änderungen am Ruleset bezüglich Swisscom TV / Multicast ist es wichtig, danach einen sauberen Reboot der Firewall zu machen!

Somit steht ab sofort auch dem Swisscom TV Vergnügen nichts mehr im Wege.
Damit das Netzwerk nicht mit Multicast bzw eben Broadcast Traffic geflutet wird, empfiehlt sich so oder so ein Switch, welcher igmp snooping beherrscht.
Günstig und gut kann dies der GS105E von Netgear. Auch bei Swisscom erhältlich.

Ich hoffe ich konnte mit diesem Post ein wenig teuflisches Gedankengut verbreitet :D
Wenn nicht, who cares!



Special thanks to people like Seth Mos!









Sonntag, 3. Juni 2012

Swisscom IPv6. Mit 6RD in die nächste Runde!

Was ist IPv6?

Zu sagen IPv6 ist das Internetprotokoll der Zukunft, wäre falsch. Denn bereits jetzt, in der Gegenwart, wird es aktiv genutzt. Sicherlich wird IPv6 das altbekannte IPv4 in Zukunft ablösen. Bis dahin wird aber noch einige Zeit vergehen. In dieser Phase werden (oder sollten) beide Protokolle parallel zur Verfügung stehen, im sogenannten Dual Stack. Somit sind Hosts, welche sowohl als auch, sowie beide Protokolle gleichzeitig Unterstützen, erreichbar.

Wieso IPv6?


Am 3. Februar 2011 hat IANA den letzten freien Adressraum vergeben. Der Pool an IPv4 Adressen ist somit ausgeschöpft. Zwar haben die Provider und Organisationen mehr oder weniger Adressen quasi auf Reserve. Die Lage ist zumindest hier in Europa also nicht prekär. Verschlafen sollte man die Angelegenheit allerdings nicht.
Die Adressknappheit durch IPv4 ist sicher das Hauptargument für IPv6. Mit einem Pool von 340 Sextillionen (340'000'000'000'000'000'000'000'000'000'000'000'000) Adressen, stehen genügend IP's zur Verfügung um dem Wachstum des Internets, sowie der stetig wachsenden Zahl an Devices gerecht zu werden. Laut einer Rechnung des IPv6 Forums stehen somit 655 570 793 348 866 943 898 599 Adressen pro Quadratmeter Erde zur Verfügung, oder für jedes Insekt der Erde eine IP.
Ich denke das sollte mal fürs Erste reichen, zumindest so lange man sich auf die Erde beschränkt und die Nanotechnologie noch nicht so richtig in Fahrt kommt. So gesehen: "Nach mir die Sinnflut"! :D


IPv6 bietet aber noch mehr.
  • Routing Vorteile: IPv6 bringt eine strenge Hierarchie der Adressbereiche. Das bringt den Vorteil das in den Router Tabellen nur die eigene Ebene hinterlegt werden muss, was die Anzahl an Einträgen stark verkleinert.
  • Header: Während die IPv6 Adresse im Vergleich zu einer IPv4 um ein vielfaches komplizierter erscheint (thank god there's DNS), ist der Header an sich einfacher strukturiert. Einige Felder des IPv4 Headers wurden in Erweiterungsfelder ausgelagert, was Netzwerkhardware das Lesen der Pakete vereinfacht und somit den Datenverkehr beschleunigt.
  • Beliebige Anzahl IP Adressen: Jedem Interface kann eine beliebige Zahl an IP's zugewiesen werden. Wie gewohnt statisch oder mittels DHCPv6. Neu ist das sogenannte NDP. Dabei handelt zb. eine Ethernetkarte mit benachbarten Geräten und Routern eine eindeutige IP aus. Man spricht hier von Stateless bzw Statefull Address (Auto-)Configuration.
  • kein NAT: Durch die schier unbegrenzte Zahl an Adressen wird NAT überflüssig. Fricklerleien mit NAT, NAPT usw sind nicht mehr nötig. Die Ursprüngliche Idee, dass End to End Internet ist mit IPv6 wieder möglich. NAT wird im Zusammenhang mit IPv4 auch als Sicherheitsfeature angesehen. Man sollte dem aber nicht nachtrauern. Schutz erlangt man durch eine Firewall. Auch im Bezug auf den Datenschutz ist man mit wechselnden IP Adressen und evtl Proxys gewappnet.
  • Portscans schwieriger: Umfassende Netzwerkscans werden zurückgehen, da selbst bei nur einem Subnet in einem 64 Bit Adressbereich, bei einer Scangeschwindigkeit von 1 IP pro Sekunde, 500 Milliarden Jahre vergehen würden sämtliche IP's dieses Netzwerkes zu scannen. Klar in der Praxis werden die variablen Teile der IP sich auf 48 Bit beschränken und die MAC's der Hersteller sind bekannt. Aber auch hier läuft unter 2 Jahren nichts :)
  • IPsec: Wurde ursprünglich für IPv6 entwickelt, aber auch auf IPv4 zurückportiert. 
Es gibt noch einige Punkte mehr, dies sind aber so die relevantesten.

IPv6 bei Swisscom


Wie in diesem Blog Post schon beschrieben bringt auch Swisscom mit ihren Centro CPE's IPv6 zum Kunden. An dieser Stelle möchte ich etwas genauer auf die Technik eingehen.

6RD

Swisscom verwendet mit 6RD eine Tunneltechnik. Sämtliche ins Internet gerichtete IPv6 Pakete werden vom CPE in ein IPv4 Paket gepackt und an ein sogenannten Border Relay gesendet. Dieses Border Relay ist mit dem IPv6 Internet verbunden. In die Gegenrichtung, also ankommend, nimmt wieder das Border Relay die Pakete an und sendet diese mittels IPv4 Paket an das richtige CPE welches aus dem IPv4 Paket wieder ein IPv6 erstellt.


Die IPv6 Adresse besteht bei Swisscom aus folgenden Teilen.

  • 6RD prefix. Jeder Provider hat einen eindeutigen Prefix. Bei Swisscom 6RD ist dieser 2A02:1200
  • Der public IP des IPv4 Anschlusses umgewandelt in Hex
  • Der Subnet ID und der Interface ID

Diese IPv6 wird zusammen mit den Nutzdaten in ein IPv4 Paket gepackt.
Hier noch ein Video welches dies  besser veranschaulicht. Es lohnt sich dieses Video ganz anzuschauen. Der für diese Part wichtigen Teil habe ich mittels Zeitmarker verlinkt.
http://www.youtube.com/watch?v=PrnFWgqlhj0#t=9m17s

Ebenfalls Interessant ist der Vergleich verschiedener 6RD Provider.
http://meetings.apnic.net/__data/assets/file/0005/38651/apnic32-apops-shtsuchi-6rd-final.pdf

Kompliziert, was brauch ich dazu?


Swisscom bietet ihren Kunden mittels den Centro CPE's die Möglichkeit an IPv6 im Kundencenter zu aktivieren. In Zukunft wird IPv6 auf diesen Gateways per default aktiviert sein. Mehr dazu in diesem Blog Post.

Ich habe kein Centro CPE, was jetzt?

Es gibt Router die sind 6RD fähig. An dieser Stelle seien vor allem die Linux basierten Geräte erwähnt.
Bei den Swisscom Labs gibt es Ideen dies zB auf einem dd-wrt Gerät zu aktivieren.
Grundsätzlich werden folgende Angaben benötigt.

  • The IPv4 address of the 6rd Border Relay: 6rd.swisscom.com (193.5.122.254) 193.5.29.1 per 09.04.2013
  • The 6rd IPv6 prefix: 2a02:1200::/28
  • The IPv4 mask length: 0 (default)
Da 6RD Verwandt mit 6to4 ist, wäre es im Notfall auch möglich diese Technik zu verwenden. Auch dies wird in den Labs beschrieben.

Ebenfalls bieten die Labs eine Virtuelle Maschine an und ein Script welches ein kompatibles Linux zu einem 6RD Router konfiguriert, an. Ein Besuch lohnt sich also auf jeden Fall. http://labs.swisscom.ch/de/trial/ipv6-sneak-preview
Wer also keine Kenntnisse in Konfiguration solcher Devices hat kann im Notfall erste Versuche mittels der VM machen.

6RD auf der Fritz

Ebenfalls eine Option ist es 6RD auf einer Fritzbox 7390 zu konfigurieren. Dieses Gerät ist dank der einfachen Konfiguration, dem VDSL2 fähigem Chipsatz und dem Umstand der relativen Swisscom TV Kompatibilität, bei Swisscom Kunden sehr beliebt. Das die Swisscom mit ihren CPE's noch für Firmwarefiaskos gesorgt hat, tut noch ihr übriges zur Sache.
Auch wenn die Fritzbox in anderen Tümpeln ebenfalls ins Rudern gerät, sei diese Konfiguration hier ebenfalls noch erwähnt.
Mit den Angaben von oben ist es möglich unter Internet > Zugangsdaten > IPv6 die Einstellungen vorzunehmen.

Durch einen Fehler in der WUI Konfiguration kann es aber sein, dass die geforderte Einstellung nicht möglich ist. Bis dies gefixt ist gibt es natürlich einen Workaround :)
So klappt der Zugang auch mit dem gewohnt etwas "lustigem" Verhalten der Fritzbox aka Witzbox aka Sauladen.
An andere Stelle zeige ich schon auf, dass eine Firewall essentieller Bestandteil von IPv6 Sicherheit ist. Hier ist die Fritzbox im Privatkundenbereich sogar auf einer Vorreiter Position.
Auf selbsterklärende einfache Art ist es bei diesem Gerät möglich, die Statefull Firewall für einen Host ganz oder nur für gewisse Ports zu deaktivieren.
Diese Konfiguration tätigt man unter Internet > Freigaben >IPv6



Was nun?

Das sei zu Hause jedem selber überlassen. Wichtig ist das die Provider ihren Kunden eine IPv6 Konnektivität bieten. Der Tag an dem gewisse Host's nur noch via IPv6 erreichbar sind wird kommen.
Falls du also ein Centro CPE zu Hause hast, die Welt liegt nur wenige Klicks entfernt :)




Freitag, 1. Juni 2012

Next Generation CPE Firmware Swisscom

IPv6, der nächste Schritt


6 Juni 2012, IPv6 World Launch Day. An diesem Datum wird das Internet der zweiten Generation "eingeschaltet". Bereits am 3 . Februar 2011 wurde von der IANA der letzte freie IPv4 Adressraum vergeben, dennoch funktioniert das Internet noch immer :) also, kein Grund zur Panik
Gerade weil es für den normalen Gebrauch noch keinen Effekt hat, kümmert es den normalen User nicht ob er nun IPv6 ready ist oder nicht. Trotzdem, Swisscom ist seit einiger Zeit bereit ihren Kunden eine IPv6 Verbindung zu ermöglichen.

IPv6 bei Swisscom



Am 21.04.2011 startete der offizielle Trial für Privatkunden um IPv6 zu erproben bzw zu nutzen.
Als Technik setzt Swisscom momentan auf 6RD. Wie es der Name schon sagt ist 6 rapid deployment eine Technik, um Kunden durch einen Provider durch relative einfache Art und Weise, schnell kostengünstig eine IPv6 Konnektivität zu geben. Entwickler Rémis Després (6RD kann auch für seine Initialen stehen) hat bereits 2007 bei Free, einem Französischen Provider bewiesen das er dies innert 5 Wochen einführen konnte!

Auch Swisscom verwendet diese Tunneltechnik erfolgreich um den Privatkunden IPv6 anzubieten.
Bei den Centro Routern haben die Kunden seit einiger Zeit die Möglichkeit IPv6 zu aktivieren. Dies muss bewusst via Kundencenter geschehen (auch wenn es natürlich andere Möglichkeiten dazu gibt). Durch die Aktivierung wird dies dem Router provisioniert. CWPM sei Dank :)
In einer späteren Phase wird IPv6 per Default aktiviert sein!

Es spielt dabei keine Rolle ob man einen Centro Grande oder einen Centro piccolo besitzt. Anfänglich war nur der Centro Grande von Pirelli/ADB in der Lage eine 6RD Verbindung herzustellen. Mittlerweile sind die Motorola Router dazu aber auch fähig.
Auf die Technik selber möchte ich hier an dieser Stelle nicht weiter eingehen.
Wer sich dafür interessiert dem empfehle ich mal die Swisscom labs und deren Trial zu besuchen. http://labs.swisscom.ch/de/trial/ipv6-sneak-preview

IPv6 ist das sicher?

Genau diese Frage stellt sich relativ bald, sofern man sich etwas mit IPv6 beschäftigt. Schauermärchen des übelsten tun noch ihr übriges um ein mulmiges Gefühl zu hinterlassen.
Bisher war man sich gewohnt das man durch das NAT eines Routers zumindest einigermassen sicher im Internet unterwegs ist. Im Zusammenhang mit IPv6 wird auch immer wieder die Privatsphäre genannt.
Heikle Themen, für die es Lösungen gibt, unerfahrene Anwender aber mal zunächst sicher abhalten IPv6 anzuwenden bzw zu aktivieren.
Daher auch der primäre Wunsch der Anwender, dass das CPE des Provider, zumindest mal für den grundsätzlichen Schutz sorgen soll. Hier war bisher wenig bis gar nichts vorhanden. So verteilt der Centro Grande von Pirelli/ADB zwar fleissig Adressen, lässt aber sämtlichen IPv6 Traffic ungehindert durch. Beim Centro von Motorola sah es bisher etwas "besser" aus. Dieser Verteilt auch seine Adressen, blockiert aber sämtlichen nicht aus dem LAN initiierten Verkehr. Ausnahmen sind auf einfache Art keine zu realisieren.
Kein Zustand der wirklich Freude macht.
Schritt 1, die Adressverteilung und ein funktionierendes 6RD wurden also schnell mal erreicht.
Zeit nun für Schritt 2. Gewinne die normalen User durch Sicherheit.

Sicherheit durch Router

Um Sicherheit bei IPv6 zu gewährleisten gehören sauber konfigurierte Client Firewalls zum wichtigsten.
Mit einer  aktivierten Windows Firewall ist man also schon mal gut unterwegs.
Um einen ähnlichen Schutz zu haben wie bei NAT, braucht es aber eine Hardware Firewall, zB im Router.

Die Zeit ist gekommen, auch Swisscom wird sie haben :)

In einer Vorversion der Centro Motorola Firmware, habe ich dieses neue Feature unter die Lupe genommen. Die Roadmap sieht momentan vor, dass ab Juli 2012 die Motorola Geräte mit dieser neuen Firmware ausgestattet werden. Bei Pirelli/ADB wird es länger dauern, man geht von November aus.
Interessierte müssen keine Beziehung zu Swisscom haben um diese Firmware von Motorola zu testen.
Das Wissen wie Swisscom die Firmwares speichert und ein wenig offene Augen an den richtigen Stellen reichen zum Download. Aus Integrität gebe ich den Link hier nicht an und bitte dies auch nicht in den Kommentaren zu tun. Mir hat keiner von Swisscom geholfen diese Firmware zu finden, es kann also nicht so schwer sein :D
Ansonsten abwarten und Tee trinken. Die Firmwares sollten ja bald mal ausrollen.

NAT IPv4

Wer den Centro Grande Motorola kennt, wird auch die gewohnte Portweiterleitung wieder finden. IPv6 bei Swisscom wird im Dual Stack angeboten. Sprich IPv4 steht immer noch zur Verfügung. Logisch, das Internet wäre teilweise noch relativ langweilig ;) Darum ist es auch wichtig und wird es auch noch lange bleiben, dass man seine IPv4 Server versorgen kann.
Unter Einstellungen > Port- Weiterleitung findet man das gewohnte Menü um vorkonfigurierte Dienste auf einen Host zu leiten.
Ist ein Dienst nicht vorhanden, kann man diesen im Menü Einstellungen > Dienste, eröffnen.
An dieser Stelle sei gesagt. Was man von jedem 08-15 Router gewohnt ist, dass sogenannte NAPT, steht im WUI immer noch nicht zur Verfügung. Einer der Hauptgründe warum die Centros als DAU Geräte angesehen werden. Es sind die DAU's die nicht verstehen das die Möglichkeit via Shell trotzdem besteht. Trotzdem unverständlich warum dies via WUI aber nicht möglich ist.
Swisscom, hier bitte endlich mal nachbessern! Früher war es ja auch möglich :) Die Router an sich, sind ja ansonsten i.O.


IPv6 Firewall

Soweit so gut. Nun aber zur Neuerung, der IPv6 Firewall. Sobald man im Kundencenter IPv6 aktiviert hat, steht im WUI ein neuer Menüpunkt zur Verfügung.
Dieser nennt sich Sicherheit.

Sicherheit in 3 Stufen




Mittel

Defaultmässig ist die IPv6 Firewall auf Mittel Hoch gestellt.

Falls die IPv6 Firewall Stufe ""Mittel"" aktiviert ist, wird der IPv6 Datenverkehr in beide Richtungen (ankommend und abgehend) zugelassen. Davon ausgenommen ist eine Gruppe von Standard Protokollen (Gruppiert in ""Fernwartungs-Protokolle"" und ""LAN-Protokolle) und alle benutzerdefinierten Regeln, welche Sie definieren. TCP Ports, welche zur Kategorie "Fernwartungs-Protokolle" gehören, werden nicht aus dem ankommenden Datenverkehr gefiltert. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Mittel" angewendet, welcher für die spezifizierten Ports den Datenverkehr in beiden Richtungen (ankommend und abgehend) erlaubt.

Hier ist das Standardverhalten auf "erlauben". Die Firewall lässt Traffic durch. Ausgenommen ist aber ein ganzes Set an wichtigen Protokollen, die eigentlich nur im LAN verwendet oder als Remote Zugang genutzt werden. Diese Protokolle und Ports sind gesperrt, lassen sich aber mittels einfachem Klick auf erlaubt setzen.
Wichtig: Erlaubter Traffic bezieht sich immer auf alle Hosts im LAN. Erlaubt man zB. FTP wird dies für alle Adressen nicht mehr geblockt. Darum ist Client Sicherheit immer nach das A und O.
Hier die gesperrten Dienste und Protokolle

Fernwartungs-Protokolle    

AktivierenDienstProtokollPortsBlockieren
Secure Shell (SS)TCP22Eingehend
TelnetTCP23Eingehend
Apple Airport PPP Status etc.TCP192Eingehend
Mac OS X Server AdminTCP311Eingehend
rloginTCP513Eingehend
TCP ShellTCP514Eingehend
Mac OS X Server AdministrationTCP660Eingehend
Mac OS X Server AdministrationTCP687Eingehend
Samba Web Administration ToolTCP901Eingehend
Telnet over TLS/SSLTCP992Eingehend
QT Server AdministrationTCP1220Eingehend
VNC ListenerTCP5500Eingehend
VNC over HTTPTCP5800Eingehend
VNC remote desktop protocolTCP5900Eingehend
TeamViewer remote desktop proto.TCP5938Eingehend
WBEM HTTP, Apple Remote DesktopTCP5988Eingehend


LAN Protokolle

AktivierenDienstProtokollPortsBlockieren
WINSBeide42Ankommend/Abgehend
TACACSBeide49Ankommend/Abgehend
Trivial File Transfer ProtocolBeide69Ankommend/Abgehend
Mac OS X Server Password ServerBeide106Ankommend/Abgehend
ONC RPC (SunRPC)Beide111Ankommend/Abgehend
SQL ServicesBeide118Ankommend/Abgehend
DCOM Service Control ManagerBeide135Ankommend/Abgehend
NetBIOS Name ServiceBeide137Ankommend/Abgehend
NetBIOS Datagram ServiceBeide138Ankommend/Abgehend
NetBIOS Session ServiceBeide139Ankommend/Abgehend
SQL ServiceBeide156Ankommend/Abgehend
SNMPBeide161Ankommend/Abgehend
SNMP TrapsBeide162Ankommend/Abgehend
Print-srv, Network PostScriptBeide170Ankommend/Abgehend
X Display Manager Ctrl (XDMCP)Beide177Ankommend/Abgehend
Service Location Protocol (SLP)Beide427Ankommend/Abgehend
Microsoft-DS SMB file sharingBeide445Ankommend/Abgehend
Kerberos Change/Set passwordBeide464Ankommend/Abgehend
Rexec, Remote Process ExecutionBeide512Ankommend/Abgehend
Line Printer DaemonBeide515Ankommend/Abgehend
RIPngBeide521Ankommend/Abgehend
RPCBeide530Ankommend/Abgehend
DHCPv6 clientBeide546Ankommend/Abgehend
DHCPv6 serverBeide547Ankommend/Abgehend
AFP over TCPBeide548Ankommend/Abgehend
Internet Printing ProtocolBeide631Ankommend/Abgehend
LDAP over TLS/SSLBeide636Ankommend/Abgehend
Kerberos administrationBeide749Ankommend/Abgehend
iSCSI (RFC 3720)Beide860Ankommend/Abgehend
MSSQL ServerBeide1433Ankommend/Abgehend
MSSQL MonitorBeide1434Ankommend/Abgehend
RADIUS authenticationBeide1812Ankommend/Abgehend
RADIUS accountingBeide1813Ankommend/Abgehend
SSDPBeide1900Ankommend/Abgehend
NFSBeide2049Ankommend/Abgehend
MySQL ServerBeide3306Ankommend/Abgehend
Web Services DiscoveryBeide3702Ankommend/Abgehend
UPnPBeide5000Ankommend/Abgehend
NAT Port Mapping ProtocolBeide5351Ankommend/Abgehend
NAT Port Mapping ProtocolBeide5353Ankommend/Abgehend
Link-Lcl Mcast Name ResolutionBeide5355Ankommend/Abgehend
WSDAPI over HTTPBeide5357Ankommend/Abgehend
WSDAPI over HTTPSBeide5358Ankommend/Abgehend
PostgreSQLBeide5432Ankommend/Abgehend

Hoch


Falls die IPv6 Firewall Stufe ""Hoch"" aktiviert ist, wird der IPv6 Datenverkehr nur in abgehender Richtungen zugelassen. Davon ausgenommen sind ""LAN-Protokolle"" und benutzerdefinierte Regeln, welche Sie definieren. UDP und TCP Ports, welche zur Kategorie "LAN-Protokolle" gehören werden im abgehenden und ankommenden Datenverkehr blockiert.
Andere grundlegende Datenverkehrs-Kontrollen sind aktiviert um vor ungültigem und schädlichem Verkehr zu schützen.
Falls Sie eine Regel, durch deaktivieren des Kontrollkästchens ausschalten, wird automatisch der Firewall-Status "Hoch" angewendet, welcher für die spezifizierten Ports den Datenverkehr nur in abgehender Richtung erlaubt.
Benutzerdefinierte Regeln mit der Richtlinie "Erlaube ankommenden Datenverkehr" erlauben gleichzeitig Verkehr in abgehender Richtung, entsprechend dem Verhalten der Firewall in der Einstellung "Hoch".

Hier ist das Standardverhalten "verbieten" Auf Stufe Hoch agiert hier die Stateful Firewall ähnlich wie ein NAT Router. Nicht aus dem LAN initiierter Verkehr wird verworfen. Auch hier die Möglichkeit Dienste von extern zu erlauben, indem man auf einen der vordefinierten Dienste klickt oder selber eine Regel erstellt.

Standardregeln  

LAN Protokolle

AktivierenDienstProtokollPortsBlockieren
WINSBeide42Blockiere gesamten Verkehr
TACACSBeide49Blockiere gesamten Verkehr
Trivial File Transfer ProtocolBeide69Blockiere gesamten Verkehr
Mac OS X Server Password ServerBeide106Blockiere gesamten Verkehr
ONC RPC (SunRPC)Beide111Blockiere gesamten Verkehr
SQL ServicesBeide118Blockiere gesamten Verkehr
DCOM Service Control ManagerBeide135Blockiere gesamten Verkehr
NetBIOS Name ServiceBeide137Blockiere gesamten Verkehr
NetBIOS Datagram ServiceBeide138Blockiere gesamten Verkehr
NetBIOS Session ServiceBeide139Blockiere gesamten Verkehr
SQL ServiceBeide156Blockiere gesamten Verkehr
SNMPBeide161Blockiere gesamten Verkehr
SNMP TrapsBeide162Blockiere gesamten Verkehr
Print-srv, Network PostScriptBeide170Blockiere gesamten Verkehr
X Display Manager Ctrl (XDMCP)Beide177Blockiere gesamten Verkehr
Service Location Protocol (SLP)Beide427Blockiere gesamten Verkehr
Microsoft-DS SMB file sharingBeide445Blockiere gesamten Verkehr
Kerberos Change/Set passwordBeide464Blockiere gesamten Verkehr
Rexec, Remote Process ExecutionBeide512Blockiere gesamten Verkehr
Line Printer DaemonBeide515Blockiere gesamten Verkehr
RIPngBeide521Blockiere gesamten Verkehr
RPCBeide530Blockiere gesamten Verkehr
DHCPv6 clientBeide546Blockiere gesamten Verkehr
DHCPv6 serverBeide547Blockiere gesamten Verkehr
AFP over TCPBeide548Blockiere gesamten Verkehr
Internet Printing ProtocolBeide631Blockiere gesamten Verkehr
LDAP over TLS/SSLBeide636Blockiere gesamten Verkehr
Kerberos administrationBeide749Blockiere gesamten Verkehr
iSCSI (RFC 3720)Beide860Blockiere gesamten Verkehr
MSSQL ServerBeide1433Blockiere gesamten Verkehr
MSSQL MonitorBeide1434Blockiere gesamten Verkehr
RADIUS authenticationBeide1812Blockiere gesamten Verkehr
RADIUS accountingBeide1813Blockiere gesamten Verkehr
SSDPBeide1900Blockiere gesamten Verkehr
NFSBeide2049Blockiere gesamten Verkehr
MySQL ServerBeide3306Blockiere gesamten Verkehr
Web Services DiscoveryBeide3702Blockiere gesamten Verkehr
UPnPBeide5000Blockiere gesamten Verkehr
NAT Port Mapping ProtocolBeide5351Blockiere gesamten Verkehr
NAT Port Mapping ProtocolBeide5353Blockiere gesamten Verkehr
Link-Lcl Mcast Name ResolutionBeide5355Blockiere gesamten Verkehr
WSDAPI over HTTPBeide5357Blockiere gesamten Verkehr
WSDAPI over HTTPSBeide5358Blockiere gesamten Verkehr
PostgreSQLBeide5432Blockiere gesamten Verkehr

Aus

Es ist nur eine grundlegende Datenverkehrs-Kontrolle aktiviert um vor ungültigem und schädlichem Verkehr zu schützen, da die IPv6 Firewall ausgeschalten ist. Schalten Sie die Firewall ein um sämtliche Funktionen des Experten Modus zu benützen.

Selbstverständlich kann man die Firewall auch deaktivieren und eine eigene Schutzlösung verwenden.

Regeln erstellen

Ähnlich wie bei der Portweiterleitung bei IPv4 kann man auch eigene Regeln für IPv6 erstellen um diese zu erlauben oder explizit zu blocken. Wie schon erwähnt leitet man hier nicht auf einen einzelnen Host, sondern schaltet diesen Traffic allgemein ein oder aus.


What else?

Hmm es gibt da schon noch was :)

Leider hat sich seit dem Update auf SOC OS 9.0.7 die IP-Weiterleitungs Funktion in eine Nichtfunktion verwandelt. Mann kennt die Workarounds und das ist auch gut so.
Allerdings ist der sogenannte Data pump ein wichtiger Teil eines DSL Routers. Es macht also durchaus Sinn auch einen Router der mal im Bridge Mode ist irgendwann wieder mal eine neue Version zu spendieren.
Nun gut, leider ist der Bridge Mode immer noch nicht vorhanden. Als Trostpflaster funktioniert nun aber die IP Weiterleitung wieder einwandfrei.
Dazu geht man unter Einstellungen auf das Menü IP-Weiterleitung und wählt, richtig, IP-Weiterleitung. Der gewünschte Host muss seine IP via DHCP beziehen und bereits an den Router angeschlossen sein. Ist dies der Fall, lässt sich der Host auswählen. Der Centro Router weisst noch darauf hin das der Centro Router selber einen neustart braucht, sowie der IP-Weiterleitungs Host einen neuen DHCP request machen muss.




Tux0ne machen die Centro Router selber wie auch die Witzboxen von AVM keine Freude. Klar, dass die ipfire für den Test hinhalten muss. Selbstverständlich funktioniert auch Swisscom TV in diesem Modus auch noch einwandfrei (hinter meiner ipfire).
Luft für Spielereien ist auch noch vorhanden. Da ipfire 2.11 noch nicht wirklich IPv6 ready ist (was aber in ipfire3 noch kommt), ist der Centro Router als IPv6 Gateway in meinem Netz durchaus vorstellbar.

Ansonsten sind auch Kommentare erlaubt.



Kommt Zeit, kommt Rat, kommt Attentat.