Copper7 Access mit pfSense

Worum geht es?

In diesem Beitrag wird die Konfiguration eines Copper7 Anschlusses von init7 auf der pfSense besprochen. Und zwar eine mögliche WAN wie auch LAN Konfiguration im Dualstack, also mit IPv6 wie auch IPv4. Copper7 ist das Produkt von init7 für alle Anschlüsse die von Swisscom noch mit Kupferleitungen erschlossen ist. Erhältlich somit in der ganzen Schweiz. Für alle die trotz oder eben wegen Swisscom das beste IP Routing wollen.

Kupfer Symbolbild. Kein original Klingeldraht!

Bei Copper7 erfolgt der WAN Anmeldung von IPv4 über PPPoE. IPv6 wird über DHCP6 PD bezogen. Die Konfiguration eines nativen Fiber7 Anschlusses findest du hingegen hier.

Der Beitrag erfolgt mit Inhalten, Text und Bildern von MaBu. Vielen Dank an dieser Stelle für deine Arbeit!

Als Hardware wird in diesem Beitrag eine FRITZ!Box 7530 mit FRITZ!OS: 07.28 als Modem und eine Netgate 6100 mit 21.05.1-RELEASE (amd64) verwendet.

Der Anschluss läuft auf einem BBCS Copper7 70/20mbit VDSL2 (ohne Vectoring).

Fiber7 Access mit pfSense

Worum geht es?

In diesem Beitrag wird die Konfiguration eines Fiber7 Anschlusses von init7 auf der pfSense besprochen. Und zwar eine mögliche WAN wie auch LAN Konfiguration speziell in Bezug auf IPv6. Die IPv4 Konfiguration wird daher nicht näher erwähnt.

Die Konfiguration geht von einem Fiber7 Anschluss aus. Also DHCP für IPv4 und DHCP6 PD bei IPv6 und ist nicht auf Hybrid7 oder Crossover7 Anschlüsse anzuwenden.

In diesem Beispiel hat der Access eine dynamische /32 IPv4 und einen statischen /48 Präfix. Die Konfiguration kann aber angepasst sowohl auch für statische IPv4 Subnetze als auch dynamische /48 Präfixe genutzt werden, da auf jeden Fall DHCP oder DHCP6 PD verwendet wird.

Der genutzte Software Stand bei pfSense ist zum Zeitpunkt des Beitrages 2.5.0-DEV.

(Die TV7 mcst Konfiguration ist noch nicht Bestandteil dieses Beitrages, funktioniert aber natürlich auch nicht pfSense)

deprecated WireGuard für pfSense, iOS Remote Access

Wireguard für pfSense (iOS)

Kernel Integration für FreeBSD entfernt

Die Wireguard Integration in pfsense wird wieder entfernt. Wie in diesem Blopost von Netgate zu lesen ist, geschieht dies vorsorglich aus Sicherheitsgründen.

Bei der Prüfung des Codes durch FreeBSD Kernel Devs, stellte sich heraus das im Code Schwachstellen bestehen durch die unsaubere Integration in FreeBSD. Gemäss Netgate gibt es bei der bisherigen Überprüfung keine Anzeichen das diese Sicherheitslücken von extern ausgenutzt werden können.

Da die Integration nun aber so oder so neu geschrieben werden soll, wird Wireguard mittels eines Updates wieder aus pfSense entfernt. Damit ist dieser Artikel nicht mehr aktuell und zeigt nur noch auf wie es gewesen wäre :)

Für weiteres Drama kann man die Story hier nachlesen:

https://lists.zx2c4.com/pipermail/wireguard/2021-March/006494.html

https://www.netgate.com/blog/painful-lessons-learned-in-security-and-community.html

https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsense-plus-software.html

https://lists.zx2c4.com/pipermail/wireguard/2021-March/006499.html

Alles in allem für Netgate keine gute Story die zusätzlichen Druck ausübt. Druck der schon besteht weil die Zukunft von pfSense CE relativ ungewiss ist und mit pfSense+ in Zukunft vermehrt ein closed source Produkt gepusht werden wird.

Aber auch beim Rest der FreeBSD Community sind bezüglich Integration wie auch der nachträglichen Prüfung als auch der Reaktion darauf Schwächen zu erkennen. Nehmen wir daraus das Schritte manchmal halt drastisch sein müssen und hoffen auf eine gute kommende Integration von Wireguard in den Kernel.

DNS Lifehacks

Was dein DNS Server alles könnte, speziell pfSense

Intro

In diesem Artikel, geht es um die Möglichkeiten die ein aktueller DNS Server heute so bieten würde. Er soll ein kleiner Einblick in dieses breite Thema bieten und Anreize für ein eigenes Setup schaffen. Speziell geht es hier um Optionen welche man im Zusammenhang mit einer pfSense Firewall hat. Viele Dinge haben aber Allgemeingültigkeit oder können auch mit einem Linux System in ähnlicher Form aufgesetzt werden, womit ich hoffe, dass sich das Lesen auch für nicht pfSensler lohnt.


Vielen ist kommt der DNS Dienst selber höchstens wieder mal in den Sinn, wenn etwas harzt. Können gewisse Internet Seiten nicht aufgerufen werden, so ist das 1.lv Haushaltsmittel vieler, mal in den Einstellungen des Betriebssystems den DNS Server von automatisch auf manuell zu ändern. Üblicherweise tauscht man dabei die DNS Anfragen von 192.168.1.1, was der heimische Router wäre welcher normalerweise die Cache Server des Providers nutzt, auf den Dienst eines öffentlichen Resolvers wie den von Google (8.8.8.8) oder auf etwas mehr anti Google, wie die quad9 Betreiber (9.9.9.9). Jetzt kann es sein, dass diese Massnahme etwas bringt, weil der Provider entweder eine Netzsperre auf diese Seite eingerichtet hat oder man umgeht damit ein eigentliches Routing Problem, weil für das Ziel eine andere IP geliefert wurde.

Dies beschreibt jetzt nur den einfachsten Fall. Themen wie Netzsperren, Authentizität, Kinder- und Datenschutz und viele weitere, sollten Anlass genug sein, sich mit einem der wichtigsten Dienste im Internet, dem DNS genauer auseinanderzusetzen. Und dies beginnt im heimischen Netz.

Let's encrypt Sicherheitszertifikat für das pf Webinterface

Verschlüsselung aber gültig

Transportverschlüsselung wird immer wichtiger. So wird der Webzugriff auf Appliances wie PFsense schon seit vielen Jahren per Default auf https umgeleitet. Ganz im Gegenteil zu den vielen CPE's welche den Laien von ihren Providern sträflich ohne solch eine Funktion oder gar Möglichkeit aufs Auge gedrückt werden.

Hinter dieser Funktion steckt jeweils ein selbst signiertes Zertifikat, welches man zB. selber beglaubigen und auf die Maschinen welche den Zugriff machen sollten, importieren könnte. Den Meisten dürfte solche ein Verhalten bestenfalls noch von einem allfälligen NAS bekannt sein. Üblicherweise quittiert der Browser dies mit einem roten https in der Adresszeile. Janu, damit ist die Verbindung zumindest verschlüsselt, aber wenig vertrauenerweckend.
Da jetzt sogar AVM für ihre Fritzboxen beginnt gültige Zertifikate zu erstellen, möchte ich in diesem Beitrag das Pendant dazu in PFsense beschreiben.

Ich erkläre wie man mit dem ACME Paket für pfsense eine Zertifikat mittels DNS Challenge anfordern kann und wie man dieses Zertifikat dann verwendet.
Die DNS Challenge mag ich besonders, da man keinen Websocket dafür öffnen muss, auch nicht temporär und man in diesem Zusammenhang ja so oder so mit Domain Namen arbeitet. In diesem Beispiel mache ich die Challenge über Cloudflare.

pfSense Einstellung Swisscom Smart Business Connect Trunk (SIP-Direct)

UDP Timeout erhöhen

Problembeschreib

Der Betrieb einer Mivoice Office 400 Anlage mit SIP Trunk zur Swisscom Smart Business Plattform, genannt SIP Direct, ist auch hinter einer Firewall möglich.

Dazu müssen keine Ports von WAN zu LAN geöffnet werden.

Ist der SIP Trunk hinter einer pfsense, kommt es vor, dass eingehende Anrufe nicht durchkommen (und dementsprechend auf eine programmierte Notlenkung landen), sowie ausgehende Calls nicht beim ersten Rufaufbau funktionieren (Überlast).

Im MiVoice 400 System ist der Trunk in dieser Zeit auf Status grün, Registriert.

PPPoE Passthrough mit Swisscom inOne KMU, Business Internet Services auf pfSense

IPv6 via DHCPv6-PD auf pfSense nutzen

Worum gehts?

In diesem Beitrag wird die Konfiguration von pfsense beschrieben, um IPv6 hinter einem Centro Business 2.0 im PPPoE Passthrough Mode zu nutzen.

Wie der PPPoE Passthrough aktiviert wird, ist diesem Swisscom Manual zu entnehmen: PPPoE-Passthrough

pfSense 2.1 mit Swisscom Access

pfSense 2.1

Was ist pfSense?

pfSense ist eine freie, open source Firewall, basierend auf freeBSD. Als Paketfilter verwendet man pf. Daher auch der Name pfSense. Diese Distribution kann und wird, als Router und Firewall für kleine Heimnetzwerke, wie auch für grosse Unternehmen gebraucht.

pfSense startete als Fork von M0n0wall. Während M0n0wall vor allem auf embedded Systeme ausgerichtet ist, wurde pfSense auch für grössere PC Architekturen konzipiert um zusätzliche Leistungen zu erbringen. Trotzdem ist pfSense auch noch als Image für embedded Systeme zu haben. Mein Blog Post bezieht sich auf ein solches System. Für den Test verwende ich ein ALIX Board 2D13 und beschränke mich auf Routing und Firewalling Funktionen. Proxy, IDS/IDP usw. wäre für die pfSense auch kein Problem. Hierzu habe ich leistungsfähigere Systeme zur Hand.

Als Heimrouter ist ALIX aber auch heute noch eine gute Wahl.

pfSense 2.1

pfSense 2.1 ist momentan noch in der Entwicklung. Die Entwickler von pfsense hofften bis zum IPv6 Launch Day den offiziellen Release bereit zu haben. Leider hat dies nicht geklappt.

Die Snapshots sind hier erhätlich. Auf Produktivsystemen ist der Einsatz dieser Snapshots nicht empfohlen. Grundsätzlich gibt es hier mehrere Releases pro Tag! Darunter gibt es auch Tage bei denen man ein schlechtes Ei erwischen kann :)

Für den Heimgebrauch gibt es beim Einsatz dieser Snapshots nichts einzuwenden. Hier ist jeder sein eigener König.

Gerade der volle IPv6 Support in dieser Version hat schon seinen Reiz. Und genau darum geht es in diesem Blog Post.

 IPv6 mit Swisscom

Die grundlegende Konfiguration einer pfSense um IPv6 Konnektivität mit Swisscom zu erlangen ist relativ simpel. Der Spielplatz dahinter aber umso grösser :)

Ich führe hier die nötigen Schritte auf.

Wie schon erwähnt muss das System mit der Version 2.1 laufen. Der aktuelle Release 2.0.1 ist dazu noch nicht fähig. 

WAN

Zuerst wird das WAN Interface konfiguriert. Wie bereits bekannt, verwendet Swisscom momentan das Tunnelprotokoll 6RD. Dementsprechend setzt man den IPv6 Configuration Type auf 6rd.

Dadurch öffnet sich innerhalb der WAN Interface Konfiguration ein neuer Abschnitt: "6RD Rapid Deployment". Diesen füllt man mit den Swisscom relevanten Daten aus.

6RD Prefix: 2a02:1200::/28

6RD Border Relay: 193.5.122.254 193.5.29.1 (Wechselt per 09.04.2013)

6RD IPv4 Prefix lenght: 0

 Save und Apply, WAN ist erledigt.

LAN

Damit IPv6 auch im LAN bekannt wird, muss nun das LAN Interface konfiguriert werden.

Auch bei diesem hat es in Version 2.1 einen Punkt mit IPv6 Configuration Type. Diesen setzt man im Falle eines Tunnels wie 6to4 oder eben 6RD auf Track Interface.

Dadurch wird der Abschnitt Track IPv6 Interface verfügbar. In unserem Fall tracken wir das WAN Interface und geben als IPv6 Prefix ID 0 an.

Save und Apply!

Im Dashboard sollte nun bereits die IPv6 Verbindung ersichtlich sein. Falls nicht, hilft ein release / renew des WAN Interfaces oder ein simpler Reboot.

Firewall Regeln

pf blockt per Default sämtlichen nicht aus dem LAN initiierten Verkehr. Damit surfen via IPv6 möglich ist, muss wie bei IPv4, im Minimum eine Regel erstellt werden, welche den ausgehenden Verkehr erlaubt.

Natürlich lassen sich auch Regeln zum Erlauben von Services auf Host's oder Netzwerke einrichten. Hier bietet pfSense 2.1 volle IPv6 Unterstützung.

Damit steht dem sicheren surfen via IPv6 über die pfSense nichts mehr im Wege.

Swisscom TV

Spricht man vom Swisscom Access, so ist auch Swisscom TV immer wieder mal ein wichtiges Thema.

Auch hier. pfSense lässt sich so konfigurieren, dass Swisscom TV dahinter betrieben werden kann!

Auch wenn es in den pfSense Foren offensichtlich nicht ganz klar ist, hier die funktionierende Konfiguration.

Damit Swisscom TV betrieben werden kann, ist ein IGMP Proxy von Nöten. Während dieser unter Linux schon lange hervorragend läuft, hatte man unter BSD ein wenig Mühe. Trotz allem. Seit der Version 2.0.1 hat auch pfSense einen IGMP Proxy und diesen sogar per Default mit an Bord.

IGMP proxy

Der IGMP Proxy ist unter Services > IGMP Proxy schnell konfiguriert.

Benötigt wird ein Upstream und ein Downstream Interface.

Dem Downstream weist man das LAN Interface zu und gibt das lokale Netzwerk oder falls man möchte, die entsprechende IP der Swisscom TV Box(en) an. Threshold ist 1.

Dem Upstream weist man das WAN Interface zu. Hier werden das Multicast Netz 224.0.0.0/4 und die Swisscom TV Infrastruktur 195.186.0.0/16 benötigt. Ergänzung: Für die neue TV 2.0 Plattform wird das Netz 213.3.72.0/24 benötigt!

Verwendet man anderer Service Strukturen oder andere Provider ist hier eine andere IP nötig.

Dies lässt sich aber problemlos ausfindig machen, indem man via ssh igmpproxy -d -c /tmp/igmpproxy.conf nach Source Adressen sucht, welche geblockt werden.

Threshold ist auch hier 1.

Damit ist der IGMP Proxy bereits konfiguriert.

Firewall Regel LAN

Damit Swisscom TV funktioniert muss man ausgehend Multicast erlauben. Am einfachsten geht dies, wenn man bei der Regel welche ausgehenden IPv4 Verkehr erlaubt, unter Advanced Options:"This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.", markiert.

Die LAN Regel Übersicht sollte nun so aussehen:

Firewall Regeln WAN

Zudem benötigt man 2 Regeln für WAN.

Gebraucht wird eine Regel welche UDP Traffic durchlässt. In diesem Fall am bestem noch auf die Beschränkung der Swisscom Infrastruktur.

Ebenfalls muss man noch IGMP erlauben. Auch hier aktiviert man unter Advanced Options:"This allows packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic."

Die WAN Regel Übersicht sollte sich nun so darstellen:

Wichtig! Bei sämtlichen Änderungen am Ruleset bezüglich Swisscom TV / Multicast ist es wichtig, danach einen sauberen Reboot der Firewall zu machen!

Somit steht ab sofort auch dem Swisscom TV Vergnügen nichts mehr im Wege.

Damit das Netzwerk nicht mit Multicast bzw eben Broadcast Traffic geflutet wird, empfiehlt sich so oder so ein Switch, welcher igmp snooping beherrscht.

Günstig und gut kann dies der GS105E von Netgear. Auch bei Swisscom erhältlich.

http://shop.swisscom.ch/Onlineshop/Pages/ProductDetail/ProductDetail.aspx?cat=OS_Internet&subcat=OS_Router_Zubehoer&drilldown=7&id=000000000010019540

Ich hoffe ich konnte mit diesem Post ein wenig teuflisches Gedankengut verbreitet :D

Wenn nicht, who cares!

Special thanks to people like Seth Mos!