{"id":95,"date":"2022-12-25T20:52:09","date_gmt":"2022-12-25T19:52:09","guid":{"rendered":"https:\/\/3fu.de\/?p=95"},"modified":"2022-12-25T20:55:04","modified_gmt":"2022-12-25T19:55:04","slug":"wenn-dich-fehlende-segmentierung-einen-bricht","status":"publish","type":"post","link":"https:\/\/3fu.de\/?p=95","title":{"rendered":"Wenn die fehlende Segmentierung einen bricht &#8230;"},"content":{"rendered":"\n<p>Letztes Wochenende (das ist jetzt inzwischen einige Monate her) hatte ich was gro\u00dfes vor. Da meine Frau nicht da war und ich meinen ISP von Vodafone zur Telekom wechselte (also Docsis zu VDSL) standen einige Punkte an die ich \u00e4ndern musste. Im Nachhinein betrachtet hatte ich mir vielleicht etwas zu viel vorgenommen, aber wer wei\u00df denn schon sowas vorher &#8230; Meine Punkte waren die folgenden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Meine VM mit pfSense zu OPNSense wechseln (da ich vermutete das meine VPN Tunnel Probleme ein komischer pfSense Bug sind)<\/li>\n\n\n\n<li>Neues Modem, Switch und FritzBox sch\u00f6n an ein Regal montieren damit es versteckt ist<\/li>\n\n\n\n<li>Wohnwand neu verkabeln, um Cable FritzBox zu entfernen und neue Konsolen zu verkabeln<\/li>\n\n\n\n<li>VPN Tunnel wieder neu aufbauen<\/li>\n\n\n\n<li>Telefonie auf Telekom umziehen<\/li>\n\n\n\n<li>Und in der restlichen Zeit Deus Ex Mankind Divided durchspielen<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Nachts hat man nicht immer die besten Ideen&#8230;<\/h4>\n\n\n\n<p>Am Freitag Abend wollte ich nicht so viel machen, nach dem Arbeitstag wollte ich eigentlich nur etwas daddeln und am Samstag dann voller Elan ans Werk gehen. Dabei ist mir eine Sache eingefallen, bei meinem Modem (Zyxel VMG3006 D70A) kann man einstellen mit welchem VLAN Tag sich ins VDSL einw\u00e4hlen kann. Ich freute mich dar\u00fcber, denn dann muss ich nicht einen VLAN f\u00e4higen Switch verbauen! Also machte ich mich am Samstag morgen direkt ans Werk, ich schaltete die pfSense ab, ich hab die Ger\u00e4te angeschlossen und wollte mit OPNSense anfangen. Nach der Installation und ein bisschen herumprobieren habe ich dann ohne gro\u00dfe Probleme eine PPPoE Verbindung aufgebaut, IPv4 und IPv6 eingerichtet und fertig war die Geschichte, dachte ich mir zumindest &#8230;<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">DTAG, IPv6, MTU und geblockte ICMP Pakete<\/h4>\n\n\n\n<p>Bis heute habe ich noch nicht genau herausgefunden was los ist, aber IPv6 macht bei der Deutschen Telekom Probleme. Mir fiel es auf, dass ich bei meinem ersten bin an google.de \u00fcber IPv6 erst beim dritten Ping versuch eine Antwort bekam. heise.de war direkt \u00fcber Ping erreichbar und 3fu.de ganz und gar nicht. Ein bisschen googlen brachte mich auf <a rel=\"noreferrer noopener\" href=\"https:\/\/webcodr.io\/2018\/02\/telekom-vdsl-mtu-und-mss-clamping-f%C3%BCr-ipv4-und-ipv6\/\" target=\"_blank\">diesen<\/a> Artikel, bei dem allen was an der MTU ge\u00e4ndert werden sollte und auch die Firewall regeln angepasst werden m\u00fcssen. Nach zwei Stunden debuggen wollte immer noch nicht jede Seite zuverl\u00e4ssig funktionieren. Da ich bereits merkte das es eine Sackgasse wird habe ich was anderes gemacht damit der Kopf frei wird: Hardware ans Regal befestigen. Dieses klappe auch ohne Probleme <img src=\"http:\/\/3fu.de\/wp-includes\/images\/smilies\/icon_smile.gif\" alt=\":)\" class=\"wp-smiley\" style=\"height: 1em; max-height: 1em;\" \/> Jedoch habe ich das jetzt ohne den Switch gemacht, weil ich dachte mir, die Fritz Box kann ja auch switchen. Hier aber mal eine Veranschaulichung wie meine Verkablung am Ende aussieht:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"876\" height=\"1024\" src=\"http:\/\/3fu.de\/wp-content\/uploads\/2022\/10\/Heimnetz-876x1024.png\" alt=\"\" class=\"wp-image-94\" srcset=\"https:\/\/3fu.de\/wp-content\/uploads\/2022\/10\/Heimnetz-876x1024.png 876w, https:\/\/3fu.de\/wp-content\/uploads\/2022\/10\/Heimnetz-257x300.png 257w, https:\/\/3fu.de\/wp-content\/uploads\/2022\/10\/Heimnetz-768x898.png 768w, https:\/\/3fu.de\/wp-content\/uploads\/2022\/10\/Heimnetz.png 959w\" sizes=\"auto, (max-width: 876px) 100vw, 876px\" \/><\/figure>\n\n\n\n<p>Wenn man die Anforderung hat, dass der Server weiterhin im Arbeitszimmer steht, die OPNSense virtualisiert ist und nur ein Netzwerkkabel ins Wohnzimmer hat, wird das schon schwierig. Als ich mir so den Aufbau ansah dachte ich mir, vielleicht brauch ich den Switch nicht, die Fritzbox ist ja auch ein Switch und am Modem direkt kann ich das n\u00f6tige VLAN zur VDSL Einwahl einrichten. So tat ich es dann auch. Nachdem ich das dann alles so eingerichtet hatte war ich happy und nahm mich der IPv6 Thematik nochmal kurz an. Leider ohne Besserung, weder die Firewall regeln als auch andere MTUs brachten eine Besserung. Ich hatte erstmal genug, also hatte ich ein bisschen an der Konsole gezockt. Kurz darauf viel mir aber was auf, von meinen gebuchten 250 Mbit\/s dowstream kamen nur noch 15 Mbit\/s an, im Upload ging gar nichts mehr. Das war schon sehr komisch. Ich rebootete die OPNSense und siehe da, ich hatte wieder 250 Mbit\/s. F\u00fcr 10 Minuten. <br><br>Ich traute dem Braten nicht mehr, also entschied ich mich erstmal eine pfSense aufzusetzen um ein Software Problem auszuschlie\u00dfen. Was soll ich sagen? die pfSense hat die 250 Mbit\/s f\u00fcr eine Stunde behalten. Das kam mir alles sehr sehr komisch vor, denn das VDSL Modem meldete noch 250 Mbit\/s Sync. Es war ein Hexenwerk. Da ich da aber auch an eine Sackgasse landete wollte ich mich nun um meinen VPN Tunnel k\u00fcmmern. Ich habe noch einen VPN Tunnel zu einem Dedicated Server, damit jegliche Kommunikation nicht unverschl\u00fcsselt \u00fcbers Netz l\u00e4uft. Meine Vermutung war, dass meine alte pfSense ein FuckUp hatte und deshalb nicht mehr richtig geroutet wird. Nun, nachdem ich wieder eine OPNSense aufgesetzt hatte wollte der VPN Tunnel immer noch nicht richtig. Ich verstand nicht wieso.<br><br>Das n\u00e4chste Thema Netzwerkbr\u00fccke war genauso ein Spa\u00df&#8230; Sowohl der Switch, als auch das Modem haben ein Managementinterface. W\u00e4hrend ich beim Switch ein Gateway angeben kann, kann ich das beim Modem nicht und ich verstehe nicht genau wer sich das ausgedacht hat. Das Model hat vier RJ-45 Ports. Port 1 ist als Managementport reserviert, die restlichen drei k\u00f6nnen dann ins normale Netz genutzt werden. Jetzt wollte ich nat\u00fcrlich auch diese Ger\u00e4te in meinem CheckMK haben, konnte es aber ja nicht in meinem LAN Netz einbauen, weil es ja physisch \u00fcber diesen einen Link geht. Also war ja dann meine erste idee, ein eigenes &#8220;Wohnzimmer&#8221; Netz zu haben, in einem komplett anderem IP Bereich und dieses \u00fcber die Sense zu routen. Das klappte auch gut mit dem Switch, denn dieses hat ja ein Gateway angegeben, das Modem jedoch nicht. Sprich das Modem weis nicht, an wen es Pakete schicken soll das nicht in dem Netz ist. Ich dachte meine erste L\u00f6sung ist als Upstream Gateway das Modem einzutragen. Das klappte auch, ich konnte dann im LAN dann auch auf das Modem zugreifen, was ich aber nicht wusste: Es kann kein Ger\u00e4t in diesem Netz aufs Internet zugreifen was am Ende auch logisch ist. Die Sense denkt dann, dass das Modem das Gateway ist, aber ist es leider nicht. Ein Internetzugriff ist aber n\u00f6tig, dass die FritzBox als DECT Sender dient. Nach langem hin und her bekam ich dann die Idee: Eine Netzwerkbr\u00fccke. Es dauerte zwei Stunden aber dann konnte ich eine Netzwerkbr\u00fccke erstellen und Modem sowie FritzBox im LAN erreichen mit einer LAN Adresse<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Die L\u00f6sung der Geschwindigkeit war fehlende Segmentierung<\/h4>\n\n\n\n<p>Der Samstag war bisher frustrierend, denn so gut wie nichts klappte. Was aber wichtig f\u00fcr mich war, dass die Geschwindigkeit stabil bleibt. Erst am Sonntag bekam ich dann den n\u00f6tigen einfall, wieder den Switch einzubauen. Denn als ich mir den Switch angesehen habe fiel mir auf, dass es verdammt viel geblinke gab. So war es dann aber auch. Als ich alles so umbaute dass die pfSense \u00fcber VLAN 7 die PPPoE Einwahl erledigte und der Switch die richtigen VLANs hinterlegt hatte war die Internetleitung komplett stabil. Da war die Fritz Box wohl \u00fcberfordert mit den ganzen Paketen. Mit dem restlichen Elan habe ich dann ein bisschen noch was nachgebaut, aber den alten Stand der Firewall, zusammen mit einem funktionierendem VPN habe ich bis heute nicht hinbekommen leider <img src=\"http:\/\/3fu.de\/wp-includes\/images\/smilies\/icon_sad.gif\" alt=\":(\" class=\"wp-smiley\" style=\"height: 1em; max-height: 1em;\" \/><\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Einige Monate sp\u00e4ter &#8211; Wie l\u00e4uft es jetzt<\/h4>\n\n\n\n<p>Ich gebe zu, ich wollte den Post direkt nach meinem Umbau fertig stellen. Aber dann kam so viel dazwischen das es mir fast peinlich ist jetzt noch den Post zu schreiben. Jedoch wollte ich unbedingt in die Welt tragen, dass man bei so einem abenteuerlichen Setup eben nicht auf die Leistung einer Fritz Box setzen kann <img src=\"http:\/\/3fu.de\/wp-includes\/images\/smilies\/icon_sad.gif\" alt=\":(\" class=\"wp-smiley\" style=\"height: 1em; max-height: 1em;\" \/> Was ich aber sagen kann, bis jetzt lief alles stabil! Einige Male hatte das Modem den Sync verloren, aber das ist noch zu verschmerzen <img src=\"http:\/\/3fu.de\/wp-includes\/images\/smilies\/icon_smile.gif\" alt=\":)\" class=\"wp-smiley\" style=\"height: 1em; max-height: 1em;\" \/><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Letztes Wochenende (das ist jetzt inzwischen einige Monate her) hatte ich was gro\u00dfes vor. Da meine Frau nicht da war und ich meinen ISP von Vodafone zur Telekom wechselte (also Docsis zu VDSL) standen einige Punkte an die ich \u00e4ndern musste. Im Nachhinein betrachtet hatte ich mir vielleicht etwas zu viel vorgenommen, aber wer wei\u00df [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-95","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/3fu.de\/index.php?rest_route=\/wp\/v2\/posts\/95","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/3fu.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/3fu.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/3fu.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/3fu.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=95"}],"version-history":[{"count":13,"href":"https:\/\/3fu.de\/index.php?rest_route=\/wp\/v2\/posts\/95\/revisions"}],"predecessor-version":[{"id":110,"href":"https:\/\/3fu.de\/index.php?rest_route=\/wp\/v2\/posts\/95\/revisions\/110"}],"wp:attachment":[{"href":"https:\/\/3fu.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=95"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/3fu.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=95"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/3fu.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=95"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}