Okay, ich bin von der Vodafone Station jetzt ausreichend angenervt, dass ich Bridge-Mode und eigenen WLAN-Router anpeile. Was empfehlt ihr mir? Kriterien:
• halbwegs modernes Wifi
• VLANs, „Internetverbot“ (will ein paar IoT-Dingsis (WLAN & Ethernet) isolieren)
• Wireguard?
🔽

• DHCP mit reservierten IPs außerhalb des allg. Pools
• DNS mit Override-Möglichkeiten (bestimmte Hosts lösen intern anders auf als global)
• Gäste-WLAN
• ≥ 1Gbps Ethernet
• PoE-powered
• Anzahl Eth-Ports nicht wichtig
• kein UBNT
• kein ☁-Kram

MikroTik evtl.? Welcher?

Hm. Ich hab jetzt ne Weile auf demo.mt.lv rumgespielt und bin vielleicht doch eher abgetörnt von MikroTiks Software. Ein paar von euch haben OpenWRT empfohlen, vielleicht reicht mir ja ein Pi (mit VLAN-basiertem Routing) und ein OpenWRT-AP völlig aus … 🤔

Ach schön, ich werde gerade drauf hingewiesen (danke fiona), dass im Bridge-Mode kein IPv6 geht (wtf @vodafone_de@twitter.com). Im Businesstarif (der ca. das doppelte kostet) wohl schon.

Eigene Fritz!Box scheint eine der wenigen Alternativen zu sein. Orrrr.

Die deckt dann natürlich immer noch meine Requirements nicht vollständig ab, ich müsste also weiter frickeln.

Bisschen off-topic, aber gerade mal ausprobiert: Im Gäste-WLAN kriegt man von ner Vodafone Station keine IPv6-Adresse.

Für Gäste nur Legacy IP!

Noch ein bisschen rumüberlegt, auch dank Tipps von euch. Womöglich reicht es, den DHCP der Vodafone Station abzuschalten und nen Router an einen der LAN-Ports zu hängen, der per DHCP Adressen aus dem Vodafone-Station-Subnetz verteilt. Also nix Bridgemode oder so.

Inwieweit sich das dann auch mit dem internen WLAN der VS vereinen lässt, insbesondere mit dem Gäste-WLAN, wird sich zeigen. Und IPv6 könnte auch noch interessant werden. Außerdem werd ich wohl trotzdem 1:1-NAT („full cone“) auf dem Router machen, weil ich ein 10.*-Netz will.

Und eigentlich will ich ein etwas komplexeres Setup mit VLANs und Kram. Da wird die NAT-Frage auch nochmal interessanter. Und nen WLAN-AP mit VLAN-Unterstützung (für ein extra IoT-Netz) muss ich mir mittelfristig auch noch besorgen. Aber ich hab ein gutes Gefühl so langsam.

Da ich gern nen AP mit PoE-Passthrough hätte, liebäugle ich aktuell mit dem TP-Link EAP615-Wall, der kann eigentlich alles, was ich möchte, kommt mit WiFi 6, ist aber noch nicht erhältlich. Und ich werd ihn wohl mit ner Aufputzdose montieren müssen, aber naja.

Falls ihr ne Empfehlung für nen anderen AP habt, der nicht dreistellig kostet, SSIDs auf VLANs mappen kann, mit WiFi 6 (ax) kommt, ordentlich (lies: nicht passiv) PoE-powered ist _und_ zumindest noch eine Ethernet-Dose mit af-PoE hat: Ich bin ganz Ohr.

@scy kann man Pis mittlerweile sinnvoll ohne SD betreiben?

@morre Pi3 bootet (noch etwas wackelig) von USB, Pi4 problemlos. Bei beiden hab ich das aber nur mit nem Raspberry-Pi-OS-Image probiert, andere OSe brauchen tendenziell irgendwelche Frickeleien.

@scy die nicht-wifi-6 APs habe ich und sie tun 👌

@fink Benutzt du zufällig deren VLAN-Feature? Ich frage mich aktuell, wie sich das in Kombination mit Clients an den Ethernet-Ports verhält.

Meine Interpretation der Anleitung wäre: Das VLAN-Feature beeinflusst nur WLAN-Clients, Ethernet wird komplett in Ruhe gelassen. Wenn ich also mit einem nicht VLAN-fähigen Device an Ethernet sprechen will, muss ich ungetaggte Pakete senden und kriege auch ungetaggte zurück. Per WLAN ankommende Pakete werden mit Tags versehen.

@scy soweit ich das aus dem gui sehen kann kommt nur $WLAN in $vlan. Das Ethernet lässt sich nicht wirklich einstellen...

@fink Ja, in der Anleitung steht auch nur „ Note that the traffic from the wired clients will not be added with VLAN tags“ und sonst nix, von daher geh ich schwer davon aus, dass die Ethernet-Ports komplett VLAN-agnostisch arbeiten. Allerdings wär’s dann interessant, ob sie Pakete bekommen, die von Upstream getaggt wurden für eins der WLAN-VLANs. Das fänd ich einigermaßen unelegant, kann mir aber gut vorstellen, dass es gar nicht so ist.

@fink Der EAP615-Wall. Nettes Teil, macht Spaß.

@fink In der Doku seh ich nix dazu, im Admininterface auch nicht. Ich lausch mal ein bisschen auf der Leitung, aber sieht nicht so aus.

@morre Muss ich dann schauen, wenn ich eine habe. Ich seh im Netz Hinweise darauf, dass es keinen Bridge-Mode mehr gibt in neueren Fritz!Box-Firmwares, aber teilweise werden da auch Sachen durcheinander geschmissen (z.B. ein Bridging aller Ethernet-Ports).

@scy falls du nicht alles in einem Gerät machen willst. Pi4 hat sehr guten Durchsatz mit Wireguard. Den Rest kann man mit openWRT glaube ich erledigen.
Ansonsten sind die hier auch ganz gut: turris.com/en/omnia/overview/

@morre @scy Ja, und es gibt absolut keinen technischen Grund dafür. Ist einfach nur Schikane.

@vidister @morre @scy Hab das gleuiche Problem, gibt aber ne Lösung: eigene Routing/Wifi Hardware dahinter betreiben ohne in den Bridge Mode zu wechseln. Tut relativ gut.

Alternativ: angeblich tuts mit eigenem Modem auch mit v6

@morre @vidister @scy Nö, das tut leider nicht. Aber das Subnetz hat sich jetzt seit ~15 Monaten nicht geändert, habs einfach hardgecoded.

@morre @vidister @scy Ansonsten hat insbesondere OpenWRT jede Menge Workarounds für nicht funktionierendes PD, inklusive "Sniffe DHCP mit und errate das Subnetz".

@nd @vidister @scy Joa, ich hab da gerade einen ER-X laufen, der kommt mit PD von der FritzBox gar nicht klar

@nd @vidister @scy allgemein hätte ich gerne die Option "Gib mir ein statisches v6-Präfix" verpflichtend ohne Aufpreis von der BNetzA geregelt.

Als opt-in für die mit Privacy-Sorgen. Aber ich hab keine Lust dafür 5€ hinzulegen.

@nd @morre @vidister Versteh ich dein Setup richtig: Du hast ne Vodafone Station ohne Bridge-Modus, an die genau 1 Gerät angeschlossen ist, nämlich dein eigener Router. Daran hängt dann ein WLAN-AP und Ethernet-Geräte. Doppel-NAT für v4 brauchst du ja egtl. nicht, wenn dein Router nen Pool im LAN-Subnetz der Vodafone Station benutzt, und auch für v6 kannst dein Router IPs mit dem richtigen Präfix vergeben, ohne dass die Station das mitbekommt. Soweit richtig?

@scy @morre @vidister Korrekt. Nur Portforwardings und Firewall bzw das deaktivieren davon ist nervig aber auch nicht unmöglich. Abhängig davon wie du das im Detail baust musst du auch bei ARP und NDP etwas aufpassen dass das nicht kaputt geht.

@nd @scy @vidister Intern das Netz vom ersten Router (bei mir 'ne Fritzbox) nutzen ist ne echt gute Idee...

Warum bin ich darauf noch nicht gekommen?

@morre @nd @vidister Ich frag mich auch warum ich mir heute quasi den halben Tag nen Wolf gesucht habe nach Geräten, die ich _statt_ meiner Vodafone Station benutzen kann, wenn ich doch einfach 1:1 NAT machen kann. Okay, extra WLAN-AP muss halt noch sein, aber sonst? 🤷‍♂️

@scy Das NAT kann man sich doch ganz sparen?

Dem ISP-Router statisch die .1 geben, dem eigenen die .2, .3 bis .254 per DHCP?

@morre Eigentlich schon. Die kack Vodafone Station kann aber nur 192.168.* und ich will 10.* xD

@scy :D

Ich nehme 172.21.0.0/19 für alles (+ ein paar ULA-Präfixe)

@nd @morre @vidister Ich hab jetzt mal versucht, das aufzusetzen, ohne Bridge-Modus, mit nem Pi und dnsmasq an der VF Station, aber ich weiß nicht, wie ich v6 aufsetzen soll. Bekomme von VF nur ein /64, habe aber mehrere VLANs intern. Hab jetzt dnsmasq mit DHCPv6 (ohne SLAAC) mit /48ern (ich weiß, igitt) aufgesetzt, aber NDP scheint in der Tat kaputt: Die VF Station macht Neighbor Soli für meine Client-IPs, bekommt aber nie ne Antwort vom Pi, weil der sich wohl nicht zuständig fühlt. Was tun?

@nd @morre @vidister Okay je mehr ich drüber nachdenke desto klarer wird, dass Routing hier eigentlich komplett der falsche Ansatz ist; was ich tun sollte ist Bridging und dann eben ein paar Filtereien auf der Bridge.

@vidister Uff. Danke für den Hinweis.

Forum gecheckt und verifiziert. Man kann nen eigenen Router anschließen, damit gibt’s dann auch (ohne Vodafones eigenen Bridge-Modus) IPv6, aber mit der Vodafone Station ist das nicht drin. Was ein Quark.

Businesstarif scheint noch ne Möglichkeit zu sein, wenn ich das richtig sehe…?

Sign in to participate in the conversation
scy.name

This is the personal Mastodon instance of Tim Weber (also known as scy). Because federation.