Wenn die fehlende Segmentierung einen bricht …

Letztes Wochenende (das ist jetzt inzwischen einige Monate her) hatte ich was großes vor. Da meine Frau nicht da war und ich meinen ISP von Vodafone zur Telekom wechselte (also Docsis zu VDSL) standen einige Punkte an die ich ändern musste. Im Nachhinein betrachtet hatte ich mir vielleicht etwas zu viel vorgenommen, aber wer weiß denn schon sowas vorher … Meine Punkte waren die folgenden:

  • Meine VM mit pfSense zu OPNSense wechseln (da ich vermutete das meine VPN Tunnel Probleme ein komischer pfSense Bug sind)
  • Neues Modem, Switch und FritzBox schön an ein Regal montieren damit es versteckt ist
  • Wohnwand neu verkabeln, um Cable FritzBox zu entfernen und neue Konsolen zu verkabeln
  • VPN Tunnel wieder neu aufbauen
  • Telefonie auf Telekom umziehen
  • Und in der restlichen Zeit Deus Ex Mankind Divided durchspielen

Nachts hat man nicht immer die besten Ideen…

Am Freitag Abend wollte ich nicht so viel machen, nach dem Arbeitstag wollte ich eigentlich nur etwas daddeln und am Samstag dann voller Elan ans Werk gehen. Dabei ist mir eine Sache eingefallen, bei meinem Modem (Zyxel VMG3006 D70A) kann man einstellen mit welchem VLAN Tag sich ins VDSL einwählen kann. Ich freute mich darüber, denn dann muss ich nicht einen VLAN fähigen Switch verbauen! Also machte ich mich am Samstag morgen direkt ans Werk, ich schaltete die pfSense ab, ich hab die Geräte angeschlossen und wollte mit OPNSense anfangen. Nach der Installation und ein bisschen herumprobieren habe ich dann ohne große Probleme eine PPPoE Verbindung aufgebaut, IPv4 und IPv6 eingerichtet und fertig war die Geschichte, dachte ich mir zumindest …

DTAG, IPv6, MTU und geblockte ICMP Pakete

Bis heute habe ich noch nicht genau herausgefunden was los ist, aber IPv6 macht bei der Deutschen Telekom Probleme. Mir fiel es auf, dass ich bei meinem ersten bin an google.de über IPv6 erst beim dritten Ping versuch eine Antwort bekam. heise.de war direkt über Ping erreichbar und 3fu.de ganz und gar nicht. Ein bisschen googlen brachte mich auf diesen Artikel, bei dem allen was an der MTU geändert werden sollte und auch die Firewall regeln angepasst werden müssen. Nach zwei Stunden debuggen wollte immer noch nicht jede Seite zuverlässig funktionieren. Da ich bereits merkte das es eine Sackgasse wird habe ich was anderes gemacht damit der Kopf frei wird: Hardware ans Regal befestigen. Dieses klappe auch ohne Probleme :) Jedoch habe ich das jetzt ohne den Switch gemacht, weil ich dachte mir, die Fritz Box kann ja auch switchen. Hier aber mal eine Veranschaulichung wie meine Verkablung am Ende aussieht:

Wenn man die Anforderung hat, dass der Server weiterhin im Arbeitszimmer steht, die OPNSense virtualisiert ist und nur ein Netzwerkkabel ins Wohnzimmer hat, wird das schon schwierig. Als ich mir so den Aufbau ansah dachte ich mir, vielleicht brauch ich den Switch nicht, die Fritzbox ist ja auch ein Switch und am Modem direkt kann ich das nötige VLAN zur VDSL Einwahl einrichten. So tat ich es dann auch. Nachdem ich das dann alles so eingerichtet hatte war ich happy und nahm mich der IPv6 Thematik nochmal kurz an. Leider ohne Besserung, weder die Firewall regeln als auch andere MTUs brachten eine Besserung. Ich hatte erstmal genug, also hatte ich ein bisschen an der Konsole gezockt. Kurz darauf viel mir aber was auf, von meinen gebuchten 250 Mbit/s dowstream kamen nur noch 15 Mbit/s an, im Upload ging gar nichts mehr. Das war schon sehr komisch. Ich rebootete die OPNSense und siehe da, ich hatte wieder 250 Mbit/s. Für 10 Minuten.

Ich traute dem Braten nicht mehr, also entschied ich mich erstmal eine pfSense aufzusetzen um ein Software Problem auszuschließen. Was soll ich sagen? die pfSense hat die 250 Mbit/s für eine Stunde behalten. Das kam mir alles sehr sehr komisch vor, denn das VDSL Modem meldete noch 250 Mbit/s Sync. Es war ein Hexenwerk. Da ich da aber auch an eine Sackgasse landete wollte ich mich nun um meinen VPN Tunnel kümmern. Ich habe noch einen VPN Tunnel zu einem Dedicated Server, damit jegliche Kommunikation nicht unverschlüsselt übers Netz läuft. Meine Vermutung war, dass meine alte pfSense ein FuckUp hatte und deshalb nicht mehr richtig geroutet wird. Nun, nachdem ich wieder eine OPNSense aufgesetzt hatte wollte der VPN Tunnel immer noch nicht richtig. Ich verstand nicht wieso.

Das nächste Thema Netzwerkbrücke war genauso ein Spaß… Sowohl der Switch, als auch das Modem haben ein Managementinterface. Während ich beim Switch ein Gateway angeben kann, kann ich das beim Modem nicht und ich verstehe nicht genau wer sich das ausgedacht hat. Das Model hat vier RJ-45 Ports. Port 1 ist als Managementport reserviert, die restlichen drei können dann ins normale Netz genutzt werden. Jetzt wollte ich natürlich auch diese Geräte in meinem CheckMK haben, konnte es aber ja nicht in meinem LAN Netz einbauen, weil es ja physisch über diesen einen Link geht. Also war ja dann meine erste idee, ein eigenes “Wohnzimmer” Netz zu haben, in einem komplett anderem IP Bereich und dieses über die Sense zu routen. Das klappte auch gut mit dem Switch, denn dieses hat ja ein Gateway angegeben, das Modem jedoch nicht. Sprich das Modem weis nicht, an wen es Pakete schicken soll das nicht in dem Netz ist. Ich dachte meine erste Lösung ist als Upstream Gateway das Modem einzutragen. Das klappte auch, ich konnte dann im LAN dann auch auf das Modem zugreifen, was ich aber nicht wusste: Es kann kein Gerät in diesem Netz aufs Internet zugreifen was am Ende auch logisch ist. Die Sense denkt dann, dass das Modem das Gateway ist, aber ist es leider nicht. Ein Internetzugriff ist aber nötig, dass die FritzBox als DECT Sender dient. Nach langem hin und her bekam ich dann die Idee: Eine Netzwerkbrücke. Es dauerte zwei Stunden aber dann konnte ich eine Netzwerkbrücke erstellen und Modem sowie FritzBox im LAN erreichen mit einer LAN Adresse

Die Lösung der Geschwindigkeit war fehlende Segmentierung

Der Samstag war bisher frustrierend, denn so gut wie nichts klappte. Was aber wichtig für mich war, dass die Geschwindigkeit stabil bleibt. Erst am Sonntag bekam ich dann den nötigen einfall, wieder den Switch einzubauen. Denn als ich mir den Switch angesehen habe fiel mir auf, dass es verdammt viel geblinke gab. So war es dann aber auch. Als ich alles so umbaute dass die pfSense über VLAN 7 die PPPoE Einwahl erledigte und der Switch die richtigen VLANs hinterlegt hatte war die Internetleitung komplett stabil. Da war die Fritz Box wohl überfordert mit den ganzen Paketen. Mit dem restlichen Elan habe ich dann ein bisschen noch was nachgebaut, aber den alten Stand der Firewall, zusammen mit einem funktionierendem VPN habe ich bis heute nicht hinbekommen leider :(

Einige Monate später – Wie läuft es jetzt

Ich gebe zu, ich wollte den Post direkt nach meinem Umbau fertig stellen. Aber dann kam so viel dazwischen das es mir fast peinlich ist jetzt noch den Post zu schreiben. Jedoch wollte ich unbedingt in die Welt tragen, dass man bei so einem abenteuerlichen Setup eben nicht auf die Leistung einer Fritz Box setzen kann :( Was ich aber sagen kann, bis jetzt lief alles stabil! Einige Male hatte das Modem den Sync verloren, aber das ist noch zu verschmerzen :)

Leave a Reply

Your email address will not be published. Required fields are marked *

Filed under: Allgemein - @ 25. December 2022 20:52