Copper7 Access mit pfSense
Worum geht es?
 |
| Kupfer Symbolbild. Kein original Klingeldraht! |
Bei Copper7 erfolgt der WAN Anmeldung von IPv4 über PPPoE. IPv6 wird über DHCP6 PD bezogen. Die Konfiguration eines nativen Fiber7 Anschlusses findest du hingegen hier.
Der Beitrag erfolgt mit Inhalten, Text und Bildern von MaBu. Vielen Dank an dieser Stelle für deine Arbeit!
Als Hardware wird in diesem Beitrag eine FRITZ!Box 7530 mit FRITZ!OS: 07.28 als Modem und eine Netgate 6100 mit 21.05.1-RELEASE (amd64) verwendet.
Der Anschluss läuft auf einem BBCS Copper7 70/20mbit VDSL2 (ohne Vectoring).
FritzBox "PPPoE Passthrough" aktivieren
Damit die nachgeschaltete Firewall die öffentliche IP direkt auf dem WAN Interface erhält, muss die Fritz!Box zuerst in den PPPoE Passthrough Mode geschaltet werden:
Internet > Zugangsdaten ==> Neuer Internetanbieter erstellen z.B. C7 ==> Anschluss, Anschluss ist ein DSL-Anschluss ==> Zugangsdaten, Nein ==> Verbindungseinstellungen, DSL ATM Einstellungen, VPI = 8, VCI = 35 und Bridged (Routed Bridge Encapsulation) ==> PPPoE-Passthrough, Angeschlossene.... check
Nach einer Stunde meldet die FRITZ!Box "keine Internet Verbindung" und die LED auf "Verbindung" der Box leuchtet rot. Im Webinterface kann die Meldung quittiert werden.
 |
| Fritz!Box Internetanbieter konfigurieren |
 |
| Fritz!Box Verbindungseinstellungen |
WAN
Die Einstellungen des pfSense WAN Interfaces wird folgend gemacht:
General Configuration
IPv4 Configuration Type: PPPoEIPv6 Configuration Type: DHCP6
MTU: blank (1492 gemäss Status/Interfaces)
pfSense Interfaces/WAN ==> DHCP6 Client Configuration
Use IPv4 connectivity as parent interface: check
Request only an IPv6 prefix: check
DHCPv6 Prefix Delegation size: /48
(https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.html
DHCPv6 Prefix Delegation Size
If the ISP supplies a routed IPv6 network via prefix delegation, they will publish the delegation size, which can be selected here. It is typically a value somewhere between 48 and 64. For more information on how DHCPv6 prefix delegation works, see DHCP6 Prefix Delegation.
Note
To use this delegation, another internal interface must be set to an IPv6 Configuration Type of Track Interface (Track Interface) so that it can use the addresses delegated by the upstream DHCPv6 server.)
Send IPv6 prefix hint: check
 |
| DHCP6 Client Konfiguration |
pfSense Interfaces/WAN ==> PPPoE Configuration
Username: siehe INIT7 Datasheet
Password: siehe INIT7 Datasheet
Service name: z.B. Copper7
 |
| PPPoE Konfiguration |
pfSense Interfaces/WAN ==> Reserved Networks
Siehe Tux: Bei den Reserved Networks kann man Block Private Networks wie auch Block Bogon networks aktiv lassen.
WAN done!
Siehe Tux: Bei den Reserved Networks kann man Block Private Networks wie auch Block Bogon networks aktiv lassen.
WAN done!
LAN
 |
| Interface & Gateway Status |
IPv4 Configuration Type: static IPv4
IPv6 Configuration Type: Track Interface
pfSense Interfaces/LAN ==> Track IPv6 Interface
IPv6 Interface: WAN
IPv6 Prefix ID: z.B. 1 (0000-ffff)
pfSense Status/Dashboard/ Interface & Gateway
Bei Interface WAN & LAN sollten die v4 & v6 Adressen sichtbar sein. Ebenso wird bei Gateway v6 Link-Local angegeben, dass ist normal. Im Falle von Änderungen im LAN Prefix, muss das WAN Interface neu initiiert werden. Dazu einfach Interfaces/WAN öffnen, keine Änderungen vornehmen und wieder Speichern. Anschliessend sollten die Adressen der Gateways mit den korrekten Prefix angezeigt werden.
+Hinweise:
a) Bisher hatte die FW einmal die v6 Interfaces verloren und diese mussten mit WAN & save wieder adressiert werden. Es gibt die Option in pfSense v4 vor v6 zu verwenden (System/Advanced/Networking => Prefer IPv4 over IPv6)
b) Sollte sich PPPoE einmal aufhängen, muss nicht die komplette FW neu gestartet werden. Dazu Interfaces/PPPs entsprechend pppoe1 editieren und unter Link Interface(s) das WAN Interface wieder auswählen.
+Hinweise:
a) Bisher hatte die FW einmal die v6 Interfaces verloren und diese mussten mit WAN & save wieder adressiert werden. Es gibt die Option in pfSense v4 vor v6 zu verwenden (System/Advanced/Networking => Prefer IPv4 over IPv6)
b) Sollte sich PPPoE einmal aufhängen, muss nicht die komplette FW neu gestartet werden. Dazu Interfaces/PPPs entsprechend pppoe1 editieren und unter Link Interface(s) das WAN Interface wieder auswählen.
Unter Services findet man die Konfiguration des DHCPv6 & RA.
Grundsätzlich reicht es wenn man da unter Router Advertisements den Router Modus auf Unmanaged setzt und das aktiviert. Hier beschreibe ich aber den Assisted Modus. Vorteil ist neben der Autokonfiguration die bei allen Client weiterhin funktioniert, die statische IP Zuweisung von allfälligen Servern.
Im Reiter Router Advertisements würde man also folgendes konfigurieren.
Router Mode: Assisted - RA flags
Router Priority: kann man auf normal belassen
Im Reiter DHCPv6 Server:
DHCPv6 Server: aktivieren
Danach ist das Subnet, Subnetmaske und der verfügbare Range bereits durch das Interface vorgegeben.
Range: Diesen muss man nun noch setzen. Da man nicht von vielen statischen IP's ausgeht, kann man hier einen kleinen Bereich von zB 1000 Adressen definieren ;)
Somit kann man in diesem Reiter unter DHCPv6 Static Mappings for this Interface eben statische Mappings zB für NAS, Server oder Drucker definieren.
 |
| LAN Router Advertisements |
Firewall Regeln
Kommen wir nun noch zum letzten Punkt was den Access angeht. Die Firewall Regeln, klar da wir hier ja pfSense verwenden.
Für das LAN braucht es Regeln die ausgehenden Traffic auch für IPv6 erlauben. Per default ist Outbound sowohl für IPv4 als auch IPv6 erlaubt. Trotzdem nochmals prüfen ob das so ist und allenfalls das Ruleset bei limitierendem Outbound entsprechend anpassen.
Mit dieser Regel ist alles erlaubt.
 |
| Default Outbound Rule |
Bei IPv6 Traffic macht es besonders Sinn nicht alle ICMP Meldungen zu verwerfen. Daher noch mein Tipp eine entsprechende WAN Regel zu erstellen.
Eine Regel die auf WAN Anfragen IPv6 ICMP mit den ICMP Subtypes zulässt: echoreg, echoreq, paramprob, timex, toobig und unreach.
So das wäre eigentlich schon mal alles für eine grundlegende Konfiguration. Sollten die Interfaces, besonders bei der Track Interface Konfiguration nicht funktionieren, so hilft ein Reboot sofern alles korrekt abläuft.
Solltest du Interesse an einem init7 Anschluss haben. So kannst du gerne MaBu's oder meinen Empfehlungscode verwenden. Du bekommst dafür die Hardware um 111 CHF günstiger, wir dafür einen Rabatt von 111 CHF auf die nächste Jahresrechnung.
(Der Beitrag wurde ohne technische oder finanzielle Unterstützung durch init7 erstellt)
Hast du Fragen oder Anregungen. Lass es uns wissen. Gerne werden wir diese versuchen zu beantworten.
