expertenaustausch > comp.os.* > comp.os.unix.networking.misc

Kay Martinen (15.12.2018, 20:01)
Hallo

Ich suche eine Alternative Distri für eine Firewall/Router/Gateway
Einrichtung mit WebUI und möglichst kompletten IPv6 Support die es aber
zum Download für eine PC-Plattform gibt. Also nix komerzielles oder für
spezialhardware.

Den Versuch OPNsense; eine eigentlich interessante Wahl; als
Firewall/router und Gateway zwischen Einem Speedport Hybrid und meinem
Privaten LAN (erwünscht: 1-2 Segmente mit IPv6, rest ohne) zum laufen zu
bringen ist erst mal gescheitert. Grundlegend scheint es ein Problem auf
der WAN-Seite zu geben das dafür sorgt das OPN in kleineren Abständen
(Stunde bis zu mehreren Stunden) schlichtweg die Verbindung zum
Speedport verliert. Ein ping vom WAN port zum Speedport liefert dann ein
"no route to host" obwohl die defaultroute eindeutig drauf zeigt.

Im moment kann ich nur festhalten das es dort weder mit dhcpd, slaac
oder statischer Adress-einstellung eine dauerhaft stabile verbindung
gibt. Und ich hab ein wenig den Speedport in Verdacht das er durch
irgendwas dies aktiv sabotiert. Mit einem anderen Verbindungskabel trat
auch keine Besserung ein = offenbar nicht ursächlich.

Jetzt suche ich eine Alternative. Ipfire kenne ich bereits aber das kann
offenbar weder mit IPv6 in der UI um noch wirklich direkt mehr.
Abschreckend finde ich die Schilderung im Wiki man müsse dafür scripts
anlegen die eine bridge nur für den IPv6 Traffic erstellen.

Monowall u.a. werden m.E. nicht mehr weiter entwickelt, pfsense scheint
selbst vom Dokuwiki so nah an OPN zu sein das ich gleiches verhalten
erwarten würde und bis auf eine allerwelts-distri komplett händisch zum
Router um zu stricken wüsste ich jetzt keine.

Kennt jemand eine die zu diesem Suchmuster passen würde?

Kay
Andreas Hartmann (16.12.2018, 10:20)
On 15.12.18 at 19:01 Kay Martinen wrote:
[..]
> (Stunde bis zu mehreren Stunden) schlichtweg die Verbindung zum
> Speedport verliert. Ein ping vom WAN port zum Speedport liefert dann ein
> "no route to host" obwohl die defaultroute eindeutig drauf zeigt.


Versteh ich nicht. Die Konstellation sollte doch so sein, dass der Router die WAN-Verbindung mittels
PPPoE aufbaut und der Speedport dann als Modem läuft. Dann zeigt die default route aber nicht auf
den Speedport!

Ganz abgesehen davon ist der Speedport Smart 2 in dieser Einstellung aber gar nicht mehr an diesem
Port per IP erreichbar!
Ich weiß jetzt allerdings nicht, ob sich sämtliche Speedports so verhalten.

Falls das Teil aber tatsächlich per IP erreichbar sein sollte, könnte es sein, dass Deine HW einen
r8168-basierten Ethernetchip haben könnte, welcher bei mir mit dem Standardinkerneltreiber (r816*9*)
auch immer wieder solche Ausfälle zeigte. Hier musst Du den Herstellertreiber verwenden: r816*8* -
der läuft absolut problemlos hier.

Falls Du den Speedport tatsächlich als Router einsetzen solltest (warum sollte man das wollen, wenn
man einen eigenen Router hat?) und es sich um Speedport Smart 3 handelt, könnte ich es mir durchaus
vorstellen, dass es hier noch Probleme gibt - der ist noch zu neu und scheint noch beim Kunden zu
reifen (was man so ließt). V.a. der Betrieb als Modem scheint praktisch nicht zu funktionieren - und
ich habe noch nicht gelesen, dass das mittlerweile gefixt sei.

> Im moment kann ich nur festhalten das es dort weder mit dhcpd, slaac
> oder statischer Adress-einstellung eine dauerhaft stabile verbindung
> gibt. Und ich hab ein wenig den Speedport in Verdacht das er durch
> irgendwas dies aktiv sabotiert.


Wenn Du das Teil, wie es sich in dem von mir vermuteten geplanten Setup gehört, als Modem einsetzt,
ist das, weil es Modem ist, komplett passiv. Da macht das garnichts außer (VV)DSL/Ethernetgateway.

> Mit einem anderen Verbindungskabel trat
> auch keine Besserung ein = offenbar nicht ursächlich.


Jetzt könnte es nur noch sein, dass auf der DSL-Seite was nicht stimmt. Das müsstest Du dann aber
auf dem Speedport nachschauen.

> Jetzt suche ich eine Alternative.


Nimm CentOS 7 und beschäftige Dich mit der CLI. Da bist Du mit Sicherheit schneller durch und hast
am Ende sogar genau das, was Du möchtest und musst nicht irgendwelche Workarounds basteln, die
Dinge, die eigentlich total einfach sind, endlos kompliziert machen, weil sie in der GUI so nicht
vorgesehen sind, weil die GUI von einem gestrickt wurde, der Deine Anforderungen nicht kennt, weil
er bei einem anderen Provider ist, der andere Schnittstellendefinitionen im Vergleich zur Telekom hat.

Ich verfolge das Ganze, was Du treibst, hier ja schon ein wenig. Aber irgendwie konnte ich bisher
noch kein schlüssiges Netzkonzept erkennen. Kann aber an mir liegen, weil ich nicht alles gelesen
habe. Meine Vorgehensweise wäre: erstmal ein vollständiges funktionierendes Netzkonzept erstellen
(welches Device soll welche Funktion übernehmen), das Deine Anforderungen erfüllt - und im nächsten
Schritt überlegen, wie man das umsetzt bzw. die nötigen Tools dazu auswählen. Ich habe hier auch die
Telekom als Provider und mein Konzept könnte Deines sein - kann aber (abgesehen vom oben genannten
Treiber) keine Deiner geschilderten Probleme nachvollziehen.

Gruß,
Andreas
Ralph Aichinger (16.12.2018, 10:45)
Kay Martinen <kay> wrote:
> Ich suche eine Alternative Distri für eine Firewall/Router/Gateway
> Einrichtung mit WebUI und möglichst kompletten IPv6 Support die es aber
> zum Download für eine PC-Plattform gibt. Also nix komerzielles oder für
> spezialhardware.


IMHO gibt es sowas nicht. Nicht mit Web-UI und fix und fertig.

/ralph
Kay Martinen (16.12.2018, 15:58)
Am 16.12.2018 um 09:20 schrieb Andreas Hartmann:
> On 15.12.18 at 19:01 Kay Martinen wrote:
> Versteh ich nicht. Die Konstellation sollte doch so sein, dass der Router die WAN-Verbindung mittels
> PPPoE aufbaut und der Speedport dann als Modem läuft. Dann zeigt die default route aber nicht auf
> den Speedport!


Nein nein. Umgekehrt wird ein Schuh draus. Ich schrieb ja vom "Speedport
Hybrid" durchaus mit bedacht. Das ist ein DSL-LTE Hybrid-Tunnel den;
soweit ich weiß; nur DIESER eine Router terminieren kann. Aber der
liefert LAN-Seitig bei weitem nicht das was ich haben will aber Features
wie netzwerkspeicher die ich dort nicht brauche.

Heißt: Der SPH terminiert und managed den Tunnel ins Internet. OPN
dahinter soll von dem nur ein IPv6 Präfix erhalten und an das LAN
dahinter weiter delegieren. Kein pppoe, kein login nix davon!

> Ganz abgesehen davon ist der Speedport Smart 2 in dieser Einstellung aber gar nicht mehr an diesem
> Port per IP erreichbar!
> Ich weiß jetzt allerdings nicht, ob sich sämtliche Speedports so verhalten.


IMHO kann man den SPH nicht in einen Bridge-modus versetzen. Vermutlich
weil er dann den Hybrid-tunnel nicht mehr zusammenbringt. Und, hier geht
es nicht um einen Speedport Smart irgendwas. NUR um einen Speedport
Hybrid! Und OPN dahinter.

> Falls das Teil aber tatsächlich per IP erreichbar sein sollte, könnte es sein, dass Deine HW einen
> r8168-basierten Ethernetchip haben könnte, welcher bei mir mit dem Standardinkerneltreiber (r816*9*)
> auch immer wieder solche Ausfälle zeigte. Hier musst Du den Herstellertreiber verwenden: r816*8* -
> der läuft absolut problemlos hier.


Ob dieser Chip involviert ist muß ich erst raus finden. Es scheint aber
als ob das Installierte OPNsense 18.7.8 i386 nach 2-3 Abstürzen und
dateisystemreparaturen nun eher ein Problem mit dem hochfahren an sich
hat. Oder mit der Platte, das konnte ich noch nicht konkret raus finden.
Es startet jetzt jedenfalls nicht mehr stabil und wenn dann in einem
TRAP 00 (KBD Kernel panic) endend.

Ist es möglich das die Crashs an dem Ethernetchip liegen und der Rest
sich daraus ergab?

Hardware ist übrigens ein gebrauchter FSC Esprimo mit Dualcore ca. 2 GHz
2 GB RAM und einer SATA Platte. Darin steckt IMHO ein Nvidia Chipsatz.
Onboard GbE Nic heißt nfe0. Dazu eine HP/Compaq Dualport NIC (fxp0,
fxp1) und eine PCI NIC (fxp2) die möglicherweise Realtek ist und bisher
WAN war.

> Falls Du den Speedport tatsächlich als Router einsetzen solltest (warum sollte man das wollen, wenn
> man einen eigenen Router hat?) und es sich um Speedport Smart 3 handelt, könnte ich es mir durchaus


Ich habe keine andere Wahl als den Speedport Hybrid. Die alternative bei
einem Regionalen Provider wäre Doppelt so teuer geworden und ich hätte
auch nicht alle meine Telefonnummern mit nehmen können. Dann wäre es
noch teurer!

>> Im moment kann ich nur festhalten das es dort weder mit dhcpd, slaac
>> oder statischer Adress-einstellung eine dauerhaft stabile verbindung
>> gibt. Und ich hab ein wenig den Speedport in Verdacht das er durch
>> irgendwas dies aktiv sabotiert.

> Jetzt könnte es nur noch sein, dass auf der DSL-Seite was nicht stimmt. Das müsstest Du dann aber
> auf dem Speedport nachschauen.


Die DSL-Seite ist nach wie vor ein RAM-Port der Telekom. Dazu ist nun
der LTE-Teil gekommen und der SPH bündelt das auf 16Mbit/s plus
Telefonie. Ein Speedport ISDN Adapter hängt auch noch direkt am SPH. DER
ist außerdem mit ein Grund für OPN. Denn der ISDN-Adapter braucht eine
IP und die bekommt er vom SPH. Heißt: dessen dhcpd muß aktiv sein denn
manuell kann ich dem keine IP zuweisen. Allein daher schon will ich
Einen Router dahinter um dieses WAN-Seitige Netzwerk zu isolieren.

> Nimm CentOS 7 und beschäftige Dich mit der CLI. Da bist Du mit Sicherheit schneller durch und hast
> am Ende sogar genau das, was Du möchtest und musst nicht irgendwelche Workarounds basteln, die
> Dinge, die eigentlich total einfach sind, endlos kompliziert machen, weil sie in der GUI so nicht
> vorgesehen sind, weil die GUI von einem gestrickt wurde, der Deine Anforderungen nicht kennt, weil
> er bei einem anderen Provider ist, der andere Schnittstellendefinitionen im Vergleich zur Telekom hat.


Ich ging eigentlich davon aus das auch ein Telekom Router LAN-Seitig
schlichtweg Ethernet spricht und sich damit an gewisse Netzstandards
hält. Ein dhcpd4 ist in jedem Fall drin, er sendet auch Router
Advertisements ein Radvd müsste also auch drin stecken. Um Hosts intern
mittels SLAAC zu konfigurieren würde das reichen denke ich.

Abgesehen davon ist dein Vorschlag genau das was ich vermeiden wollte.
Ob nun CentOS, Debian oder sonst was ist da IMHO egal. Mit CLI meinst du
vermutlich die Shell die jede dieser Distris eh mitbringt.

> Ich verfolge das Ganze, was Du treibst, hier ja schon ein wenig. Aber irgendwie konnte ich bisher
> noch kein schlüssiges Netzkonzept erkennen. Kann aber an mir liegen, weil ich nicht alles gelesen
> habe. Meine Vorgehensweise wäre: erstmal ein vollständiges funktionierendes Netzkonzept erstellen
> (welches Device soll welche Funktion übernehmen), das Deine Anforderungen erfüllt - und im nächsten
> Schritt überlegen, wie man das umsetzt bzw. die nötigen Tools dazu auswählen. Ich habe hier auch die
> Telekom als Provider und mein Konzept könnte Deines sein - kann aber (abgesehen vom oben genannten
> Treiber) keine Deiner geschilderten Probleme nachvollziehen.


Okay, dann extra für dich eine Erkläre.

Ich hatte vorher Echtes ISDN mit einem DLINK DSL-321 im Bridge-Mode an
einem FLI4L Software router auf einem Futro S200. Da mir der Anschluß
wegen der Umstellung des Providers hier gekündigt wurde mußte ich mich
für eine von zwei Möglichkeiten entscheiden. Entweder alles beim
Regionalen Anbieter per VDSL inkl. VoIP über separaten Anbieter, oder
zum halben Preis dessen bei Tkom bleiben und alles behalten, aber auf
den Hybrid Router angewiesen zu sein.

Das konzept ist eigentlich ganz simpel. Ersatz für die alte Lösung.
Providerseitig ist mit dem SPH und dem ISDN-Adapter
schnittstellen-technisch alles gleich (LAN zum Internet, ISDN-Buchse für
Telefonie).
Nur hat der SPH nur minimale Basic-Features verglichen mit dem FLI4L.

- Kein Steuerungsprogramm wie imonc für den Desktop.
- Kein Gkrellmd um den Leitungstraffic zu beobachten.
- plus diverse andere optionale Features
- Firewall nicht weiter steuerbar.
- offenbar kein dhcpd6
- Das alles direkt an dieser "Blackbox" hängt gefällt mir nicht.

Zusätzlich habe ich auf dem Altvertrag vorher nur einen IPv4 Zugang. Ich
kann also erst JETZT wirklich IPv6 nutzen (und mich praktisch damit
befassen). Da ist es naheliegend das auch nutzen zu wollen. Und wg.
obiger Präferenzen führt das wohl zur Präfix-delegation.

Und OPNsense schien mir die einzige Distri zu sein die genau das alles
machen kann und noch ein wenig mehr (z.b. LAN-Seitig VLANs zu einem
Switch mit Management) wie 2 zusätzliche LAN Ports für DMZ und WLAN
(beispielsweise).

So. Direkt am SPH funktioniert IPv6. OPN funktionier(e) auch -
teilweise. Und IPv4 Seitig hat das; bis kürzlich; auch funktioniert aber
die IPv6 Seite klappt bestenfalls gelegentlich.

Konzept (erweitert) wäre also:
- OPN (das erwählte Tool) zu Stabilem Betrieb bringen
- darin WAN-Seitig IPv4 und IPv6 zu beziehen und zu routen.
- LAN Seitig IPv4 und IPv6 (ein Segment, Präfix-Delegiert)
- DNS und DNS6 forwarder unter Einbeziehung eines internen Bind.
- ggf. dhcpd4 und evtl. dhcpd6 für Interne Netzsegmente.
- raus finden wie man einen gkrellmd auf OPN installiert.
- alternativ: einen Windows SNMP Client finden der den Traffic zeigt.

Kay
Kay Martinen (16.12.2018, 16:06)
Am 16.12.2018 um 09:45 schrieb Ralph Aichinger:
> Kay Martinen <kay> wrote:
>> Ich suche eine Alternative Distri für eine Firewall/Router/Gateway
>> Einrichtung mit WebUI und möglichst kompletten IPv6 Support die es aber
>> zum Download für eine PC-Plattform gibt. Also nix komerzielles oder für
>> spezialhardware.

> IMHO gibt es sowas nicht. Nicht mit Web-UI und fix und fertig.


Wie meinst du das? OPNsense kommt dem was ich meine schon recht nahe.
Mir fehlt allerdings Erfahrung damit, dem FreeBSD drunter und IPv6 - und
wie ich da einen gkrellmd port installieren könnte.

Aber dem Lesen nach soll es alles können was ich wollte. Jetzt müßte ich
wohl erst mal raus finden ob mir doch die Hardware (rtl-chip?) einen
Streich spielte, ich die Software/UI mißverstehe (falsch bediene) und an
dessen Dysfunktion selbst schuld bin und dann... Tja... Läuft es
hoffentlich.

Was benutzt du denn, Ralph?

Kay
Ralph Aichinger (16.12.2018, 16:14)
Kay Martinen <kay> wrote:
> Wie meinst du das? OPNsense kommt dem was ich meine schon recht nahe.


Genau. Ich hab schon ein paar andere Projekte gesehen, die dem
recht nahe kommen. Aber noch nie eins, das es wirklich 100% macht.

> Was benutzt du denn, Ralph?


Debian und ferm, und den üblichen Tools die bei Debian dabei sind.
Kein Webfrontend.

IPfire hab ich auch mal wo verwendet, da war das auch so eine "fast da"-
Sache.

/ralph
Andreas Hartmann (16.12.2018, 18:58)
Am 16.12.18 um 14:58 schrieb Kay Martinen:

[...]

> Die DSL-Seite ist nach wie vor ein RAM-Port der Telekom. Dazu ist nun
> der LTE-Teil gekommen und der SPH bündelt das auf 16Mbit/s plus
> Telefonie. Ein Speedport ISDN Adapter hängt auch noch direkt am SPH. DER
> ist außerdem mit ein Grund für OPN. Denn der ISDN-Adapter braucht eine
> IP und die bekommt er vom SPH. Heißt: dessen dhcpd muß aktiv sein denn
> manuell kann ich dem keine IP zuweisen. Allein daher schon will ich
> Einen Router dahinter um dieses WAN-Seitige Netzwerk zu isolieren.

Jetzt mal ein rudimentäres klares Netzkonzept:
Dein Router ist DMZ und stellt die einzige Verbindung zum SPH dar. Der
SPH stellt alle relevanten Services fürs Netz zur Verfügung:

DNS (bind)
DHCP (dhcpd)
Firewall (ip(6)tables)
Proxy (squid)
SMTP (postfix oder sendmail)
Netzwerktraffictools: z.B. bmon, vnstat

Alle anderen Devices werden ausschließlich über diesen Router bedient.
Im LAN gibt es kein IPv6 - Wird vom Router terminiert. Das genügt in
diesem Konzept, damit Du IPv6 nutzen kannst. Im Notfall kannst Du für
weitere Dienste dediziert Portforwarding einrichten.

Dafür brauchst Du nun alles andere als eine GUI. Da genügt ein Server,
der 6 Watt braucht in der Stunde (z.B. eine APU 2).

Gruß,
Andreas
Kay Martinen (16.12.2018, 19:46)
Am 16.12.2018 um 17:58 schrieb Andreas Hartmann:
> Am 16.12.18 um 14:58 schrieb Kay Martinen:
> [...]
> Jetzt mal ein rudimentäres klares Netzkonzept:
> Dein Router ist DMZ und stellt die einzige Verbindung zum SPH dar. Der
> SPH stellt alle relevanten Services fürs Netz zur Verfügung:


Der SPH:

> DNS (bind)


Nur als Forwarder an die Telekom-DNS. Da aber für 4 und 6.

> DHCP (dhcpd)


Offenbar nur v4 und ein Radvd für v6 der 1*Min. RAs sendet. (lt. meinem
Wireshark-Mitschnitt).

> Firewall (ip(6)tables)


Nicht abschaltbar und außer Portforwards u. wenig mehr ist da nix zu
konfigurieren.

> Proxy (squid)


Nicht vorhanden!

> SMTP (postfix oder sendmail)


Nicht vorhanden!

> Netzwerktraffictools: z.B. bmon, vnstat


Nicht vorhanden!

> Alle anderen Devices werden ausschließlich über diesen Router bedient.
> Im LAN gibt es kein IPv6 - Wird vom Router terminiert. Das genügt in
> diesem Konzept, damit Du IPv6 nutzen kannst. Im Notfall kannst Du für
> weitere Dienste dediziert Portforwarding einrichten.


Das liest sich als wolltest du mir vorschlagen meine PCs direkt an den
SPH zu hängen und nur alle anderen Hosts und Server in meinem Intranet
hinter einen Router. DAS ist eben genau das was ich NICHT will.

Sondern zwei "Zonen" hinter meiner eigenen Internen Firewall. Die eine
soll vollen Dualstack haben können, die andere braucht es nicht. Und
dazwischen liegen dann eben "Vollwertigere" Dienste wie DNS, DHCP &
Proxy. Mail und News macht eh ein Interner Host auf einem VM-Server.
Ebenso wie aktuell den dhcpd.

> Dafür brauchst Du nun alles andere als eine GUI. Da genügt ein Server,
> der 6 Watt braucht in der Stunde (z.B. eine APU 2).


Kosten: irgendwas um die paar Hundert Euro!?

Kosten für den vorhandenen und m.E. ausreichenden PC: Null!
Kosten für Opensource-Firewall Distri (Community-release): Null.

Kosten für den ohnehin nötigen Speedport Hybrid: 5 Euro/Monat Miete

Soweit die Kostenrechnung. Und die Nutzenrechnung dazu:

Die GUI will ich um es mir einfacher zu machen Änderungen zu machen ohne
dieses Zentrale Internet-Bindeglied rebooten zu müssen. Und Geld für
einen neuen tollen Mini PC habe ich nicht.

FYI: Beim FLI4L war jede Änderung an dessen Konfig mit einem neu
bespielen und anschließendem Reboot durch zu führen. Hat man sich bei
etwas vertan ist das nochmals fällig - bis es funktioniert.

Der SPH braucht allein 3 min. zum Neustart (mindestens) und in der Zeit
ist nicht nur Internet sondern auch Telefon tot. Der soll auch möglichst
nie neu starten, der Router dahinter KANN - aber es wäre mir lieber wenn
er nicht muß wenn es auch anders geht. Und es geht sicherlich, irgendwie.

Kay
Andreas Hartmann (16.12.2018, 20:09)
On 16.12.18 at 18:46 Kay Martinen wrote:
> Am 16.12.2018 um 17:58 schrieb Andreas Hartmann:


Tippfehler meinerseits (das macht ja sonst null Sinn):

"SPH stellt alle relevanten Services fürs Netz zur Verfügung" muss natürlich "Dein Router stellt
alle relevanten Services fürs Netz zur Verfügung".

Sorry,
Gruß,
Andreas
Thomas Dreher (08.01.2019, 15:18)
Kay Martinen <kay> schrieb:
[..]
> (Stunde bis zu mehreren Stunden) schlichtweg die Verbindung zum
> Speedport verliert. Ein ping vom WAN port zum Speedport liefert dann ein
> "no route to host" obwohl die defaultroute eindeutig drauf zeigt.


Ich würde da jetzt aufhören Alternativen zu suchen und den Fehler im
Setup finden. Auf FBSD hast du alle Werkzeuge die du brauchst. Schau dir
mal direkt die Routingtable an etc. Ich habe OPNsense mal eine Weile
verwendet und kann nichts negatives darüber sagen. Mach dir die Mühe.

Gruß

Thomas
Ähnliche Themen