[Debienna] firehol -> nftables

[reox]

Ich hab bei A1 mehrfach wegen dem Präfix nachgefragt - ne ganz 
interessante Geschichte, daher schreib ich mal OT:

Zuerst hab ich beim normalen first level Support angerufen und gefragt 
ob sie nicht auch ein /56 hergeben wollen. Ich habe VLANs im LAN und 
möchte gerne jedem ein eigenes Präfix delegieren. Der Mitarbeiter meinte 
sofort "Klar ist das Möglich, ich schalte ihnen das sofort frei". Ich 
hab zwei Tage gewartet und den dhcpv6c und das ppp mehrfach neu 
gestartet - aber bekam immer nur das bekannte /64. Hab alle Optionen 
bzgl Prefix ausprobiert, es gibt ja zB eine um den DHCP nach einer 
gewissen Länge zu fragen...
Dann nochmal angerufen. Es hieß dann "ja komisch, sehen wir hier auch 
nicht, aber ich frag mal". Nach ein paar Minuten dann "na das sollte 
freigeschalten sein, ich hab es jetzt aber nochmal gemacht". Allerdings 
passierte wieder nix... Also nochmal angerufen. Der hat dann länger 
nachgefragt und meinte, ich muss da ein Ticket aufmachen. Hab ich 
gemeint "ja bitte" - "Die melden sich dann spätestens am Montag". Am 
Montag sowie der Montag drauf war nichts... Also nochmal angerufen und 
gesagt ich warte auf den Rückruf wegen dem Ticket... Sagt die mir 
ernsthaft: "Ich sehe da kein Ticket bei ihnen offen, nicht mal eines 
geschlossen".... Hab ich gemeint sie sollen jetzt aber wirklich eines 
aufmachen. Naja gut, diesmal bekam ich sogar eine Nummer.
Erstmal passierte dann nichts. Nach ca einer Woche ruft wer an und meint 
das dauere noch, ich solle mich noch gedulden. Dann wieder ein paar 
Wochen später ruft mich jemand an.
Er war keiner vom Support sondern Techniker oder so (weiß nimmer genau) 
und er hat das jetzt vom Chef aufs Aug gedrückt bekommen, weiß aber 
eigentlich gar nicht was er machen soll, daher wollte er mich mal 
anrufen. Ich erkläre ihm das nochmal mit /56, VLAN, ...
Kommt als Antwort "das hab ich noch nie gehört, dass man mehr als /64 
braucht (!) weil als Kunde haben sie ja gar nicht so viele Hosts (!! m( 
!!). Naja noch mehr Erklärerei bzgl wie v6 funktioniert...
Jedenfalls hat er sich intern mehrfach erkundigt und die Antwort 
bekommen, dass Endkunden immer nur ein /64 bekommen.
Tjo und das wars dann... Immerhin hat sich jemand um mein Anliegen 
gekümmert - ist in dem Verein ja auch nicht mehr immer drin...

Und ja, ich wollte eh schon zu einem lokalen Wiener Provider wechseln - 
allerdings hab ich noch eine Bindungsfrist. Aber irgendwann ist auch die 
aus ;)

LG Sebastian


Am 13.01.2025 um 09:01 schrieb Sascha Reißner:
> Ist bei uns so ähnlich.
> Nur, dass es bei uns ein anderer Provider ist und wir das VLAN 31
> benutzen.
> Darüber starten wir dann auch eine PPP und beziehen eine IP.
> Über diese Verbindung werden dann unsere statischen IPs durch
> geroutet/gereicht.
> Im übrigen haben wir eine 56-Maske bei IPv6.
> Genauso ist es auch vorgesehen. Provider bekommen 48er-Masken und die
> Kunden sollten 56er-Masken bekommen.
> 
> Am Mittwoch, dem 08.01.2025 um 08:43 +0100 schrieb reox via Debienna:
>> Hi!
>>
>> Also zum Hintergrund: ich hab A1 und dort muss man zunächst im VLAN 2
>> sein und kann dann dort PPPoE starten. Ich erhalte eine public v4
>> Adresse und ein /64 v6 Prefix (Anm.: Ich hab schon bei A1 gefragt ob sie
>> nicht /56 hergeben, aber das geht laut ihnen nicht...).
>> Auf dem Router rennt nach außen hin offen nur ein Wireguard und SSH ist
>> bestimmten src-IPs erlaubt. Intern gibt es mehrere VLANs und als Dienste
>> DHCP & DNS (sowie SSH). Einzige "Spezialkonfiguration" ist ein VLAN, aus
>> dem nur ein Host routen darf und in das es aus einem anderen VLAN routen
>> gibt.
>>
>> Die firehol funktioniert seit eh und je gut und ich hab damit eigentlich
>> keine Probleme. Jedoch wird mittlerweile nftables empfohlen und ist in
>> neuen systemen als default aktiv und ich wollte mich damit einfach
>> beschäftigen. Der Start erscheint mir noch etwas steiler zu sein als mit
>> iptables - vielleicht ist das aber auch nur mein Eindruck.
>> Ich hatte mir ein Ruleset zusammengezimmert, wo ich glaubte das
>> zumindest v4 Routing gehen sollte - aber da tat sich gar nichts. Also
>> hab ich wieder die Firehol aktiviert ;)
>> (Das Blöde ist, wenn man das am Produktivsystem testen muss, so kann ich
>> das nur machen wenn sonst keiner das Internet braucht...)
>>
>> LG Sebastian