OPNsense hinter einer Fritz!Box 6490

IPv4 wird heutzutage (leider) oftmals bei modernen Internetanschlüssen >150Mbit nur noch via DS-Lite angeboten und ist damit weitgehend unbrauchbar, will man mehr als nur 0-8-15 Internetsurfen (also z.B. ein VPN oder andere Serverdienste betreiben).

So oder so führt kein Weg an IPv6 vorbei, leider ist dieser Weg zur Zeit (noch) ziemlich steinig.

Meine Konfiguration sieht vor eine OPNsense Firewall (auf einem PC Engines APU) hinter einer Fritz!Box 6490 an einem Unitymedia IPv6 Anschluss zu betreiben.

Dabei funktioniert alles ziemlich „out-of-the-box“ bzw ist mit etwas Grundkenntnissen einfach einzurichten – bis auf eben IPv6.

Um IPv6 in obiger Konfiguration erfolgreich einzusetzen sind folgende Schritte notwendig:

1) In der Fritzbox unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv6 Adressen ist unter „DHCPv6-Server im Heimnetz“ auszuwählen:

Damit wird sichergestellt, dass das WAN Interface von OPNsense sowohl eine IPv6 bekommt als auch alle weiteren Informationen mitgeteilt werden, die notwendig sind für eine korrekte Konfiguration (DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA)).

2) Unter Schnittstellen -> [WAN] muss als IPv6 Konfigurationstyp = DHCPv6 ausgewählt sein. Für die Schnittstelle -> [LAN] muss als IPv6 Konfigurationstyp = Schnittstelle aufzeichnen verwendet werden. Das bewirkt, dass das zugewiesene IPv6 Subnetz von WAN im LAN verwendet wird.

Ferner funktioniert folgende DHCPv6 Clientkonfiguration:

Wichtig hierbei ist insb. „Request only an IPv6 prefix“, „Sende einen IPv6-Präfixhinweis“ sowie „Sende SOLICIT direkt“. Andernfalls wird die das IPv6 Präfix nicht korrekt übermittelt und der DHCPv6 weiß nicht, was er intern weiterverteilen soll. Evtl. hilft auch die Option „IPv4-Verbindung verwenden“ um dem DHCPv6 die Informationen zur Verfügung zu stellen.

Quellen:

Siehe auch:

LineageOS auf Wileyfox Swift installieren

Wileyfox ist insolvent, die Android Version auf meinem Wileyfox Swift der ersten Generation noch 5.1.1.

Zeit selbst Hand anzulegen und ein aktuelles Android zu installieren: LineageOS als Nachfolger von CyanogenMOD, auf dem zudem das werksseitig installierte Cyanogen OS basierte, erscheint mir hier die beste Möglichkeit. Leider ist die Installation kein Selbstläufer und erfordert einiges an Wissen und Erfahrung…

Zuerst die entsprechenden Links:

Zunächst installiert man adb, die Android Debug Bridge, ein Entwicklertool zur Kommunikation zwischen PC und Android, aktiviert das USB Debugging auf dem Gerät und folgt der Anleitung bis zum Punkt 2 unter „Installing a custom recovery using fastboot“. Bevor man mittels adb zum Booatloader fastboot neustartet, sollte man aber zunächst Punkt 1 und 2 von „Installing LineageOS from recovery“ befolgen um sowohl das LineageOS Image als auch ggf. weitere Pakete auf das Gerät zu bekommen. Erst danach startet man mittels

adb reboot bootloader

neu um das TWRP Recovery wie beschrieben zu installieren, muss dann aber sofort in das TWRP Recovery wechseln ohne nochmaligen Reboot! Andernfalls landet man wieder im Cyanogen Recovery…

Der Hintergrund ist folgender: Mein Wileyfox Swift wollte partout nicht in den TWRP Recovery Modus sondern startete immer im Cyanogen Recovery. Ein Lösungsansatz findet sich z.B. in diesem Forum. Cyanogen OS scheint bei überschriebenem Recovery Image (durch TWRP) selbsttätig bei einem Reboot wieder das Cyanogen Recovery zu installieren (möglicherweise als Ausbruchsschutz im Rahmen der Google Apps Linzenzierung), noch bevor man in den TWRP Modus kommen konnte.

Ich habe mich hier eines kleinen Tricks beholfen:

Nach erfolgter Installation des TWRP Images (s.o., und es ist sehr wichtig, dass die Installation „finished“ ist!)

C:\>fastboot flash recovery C:\twrp-3.2.1-0-crackling-20180110.img
target reported max download size of 268435456 bytes
sending 'recovery' (26324 KB)...
OKAY [ 0.830s]
writing 'recovery'...
OKAY [ 0.440s]
finished. total time: 1.280

muss man sofort in den TWRP Recovery Modus für die weitere Installation. Um zu verhindern, dass sich das Cyanogen Recovery wieder installieren kann, habe ich zunächst – genau nach obiger Ausgabe – kurz den Akku entfernt und dann mit „Power Button + Volume Down“ neu gestartet, und siehe da: Man befindet sich im TWRP Recovery und kann sowohl das Image als auch ggf. die Google Apps installieren und der Anleitung bis zu Ende folgen. 🙂

DISCLAIMER: Die hier beschriebene Variante hat bei mir funktioniert, ich übernehme jedoch keine Verantwortung für defekte Geräte!!

Gleichzeitige Telefonleitungen mit der Fritz!Box

Als kleiner Nachtrag zum vorherigen Beitrag hier noch gesammelte Infos zur Leistungsfähigkeit der Telefonie in modernen Fritz!Boxen. Wie hier nachzulesen ist, unterstützt die Fritz!Box nach extern grundsätzlich fünf Gespräche über das Internet, am analogen Festnetzanschluss ein weiteres Gespräch und am ISDN-Anschluss zwei weitere Gespräche.

Die maximale Anzahl Gespräche intern beträgt über

  • DECT = 3
  • IP-Telefone (als Clients, z.B. die Fritz!Fon App oder via CSIPsimple) = 2
  • Analog = 1 pro Anschluss, also je nach Ausführung max. 2
  • ISDN = 2

Entsprechend können z. B. 3 DECT Telefone (der max. 6 DECT Telefone) gleichzeitig telefonieren plus 2 weitere aus der obigen Gruppe.

Hier ist übrigens sehr übersichtlich aufgeführt, wieviele Telefonie- und DECT-Geräte (rein technisch) gleichzeitig mit der FRITZ!Box verbunden werden können.

Review: Die Unitymedia „Telefon KOMFORT-Option“

Unitymedia bietet die sog. „Telefon KOMFORT-Option“ mit

  • 3 Rufnummern – 2 Telefonleitungen
  • DECT-Basisstation mit höherer Sprachqualität
  • Anschluss von ISDN-Geräten
  • Digitaler Anrufbeantworter
  • Faxfunktion mit E-Mail-Weiterleitung

für 4,99 Eur pro Monat. Darin enthalten ist eine gebrandete Fritz!Box 6490, die im Eigentum von Unitymedia verbleibt (die Connect Box muss bei Bestellung der genannten Option nach Aufforderung immerhin kostenlos zurück geschickt werden) und auf die (bis auf die 3 Rufnummern mit den 2 Telefonleitungen) alle obigen Features zurück gehen. Leider ist die DVB-C Streaming Option nicht freigeschaltet und darüber hinaus gibt es noch einige weitere Einschränkungen: andere SIP Accounts sind – wenn – nur eingeschränkt möglich und Firmware Updates kommen (deutlich) später als bei AVM direkt.

Die für mich ärgerlichste Einschränkung ist aber: Bei den beiden „Telefonleitungen“ handelt es sich nicht um Sprachkanäle, die auf einer Rufnummer gleichzeitig zwei eingehende Anrufe erlauben (getestet im Januar 2018). Man kann pro Rufnummer immer nur einmal angerufen werden, ein weiterer Anrufer hört das Besetztzeichen.

Leitet man den Anruf „bei Besetzt“ auf eine der anderen Rufnummern um, so klingeln wieder zwei Telefone (so wie man es früher bei einem ISDN Anschluss kannte und entsprechende Konfiguration in der Fritz!Box vorausgesetzt). Das disqualifiziert nur leider die „Telefon KOMFORT-Option“, bekommt man doch z. B. bei Sipgate kostenlos eine (die zweite benötigte) Ortsnetzrufnummer. Mit einer eigenen Fritz!Box (Routerfreiheit sei Dank!) funktioniert die „Rufumleitung bei Besetzt“ auf eine zweite Rufnummer (z. B. bei Sipgate) auch ohne die „Telefon KOMFORT-Option“ von Unitymedia.

Andere Anbieter (wie z. B. Sipgate) bieten übrigens das klassische ISDN Verhalten als selbstverständliche Inklusivleistung mit an. Hier kann man auf einer Rufnummer mehrfach angerufen werden.

Btw, hat man eine eigene FritzBox bei Unitymedia registriert und bucht man das obige (IMHO vollkommen unsinnige) Paket, verweigert Unitymedia die Zusendung der eigentlich in der „Telefon KOMFORT-Option“ enthaltenen Fritz!Box. Das macht die Option zu einer teuren Nicht-Funktion, die man sich glatt sparen kann.

PS: Ausgehend kann man mit der „Telefon KOMFORT-Option“ pro Unitymedia Rufnummer mindestens auf 3 „Leitungen“ gleichzeitig telefonieren.  Ohne die Option kann man auf mindestens 2 „Leitungen“ gleichzeitig telefonieren.

AVM FritzBox 6490 mit Huawei E1750 UMTS Stick

Gerade erfolgreich getestet: Meine FritzBox erkennt einen Huawei E1750 nicht nur, sie stellt darüber hinaus bei Bedarf auch das Internet darüber her und (!) unterstützt auch die Telefonie über den Stick. Die Funktion, die hier genutzt wird ist das sog. Circuit Switched Voice (CSV). Klappt tadellos! 😀

Mittels Callthrough und der im manchem Mobilfunkvertrag enthaltenen netzinternen kostenfreien Telefonieflat (so z. B. bei der Telekom, Vodafone oder in alten Verträgen bei Congstar als günstige Option) lassen sich so wunderbare Spielchen im nationalen wie internationalen Telefonnetz realisieren und man kann bares Geld sparen.

Synology SSH mit keys

Wenn man bei DSM die /homes aktiviert, werden die Verzeichnisse zwar aktiviert, aber die Rechte nicht richtig gesetzt.

Das muss man korrigieren, sonst funktioniert eine SSH Authorisierung über keys nicht (siehe 8. des folgenden Links):

https://forum.synology.com/enu/viewtopic.php?t=126166

For each user that you want to grant SSH access to, generate SSH keys

  • You could do this while logged in as admin, but you would need to manually mess with changing ownership and permissions of files you create here. It is better / easier to log in as each individual user to perform the following.
  • Re-launch your SSH application (putty, or other) to open a new session with the Synology
  • Log in as the user you want to set up
  • Create folder for SSH keys for the user and set permissions
    • mkdir ~/.ssh
      • creates a hidden .ssh directory to hold the keys
    • chmod 0700 ~/.ssh
      • sets proper permissions for the folder (full rights to user, no rights to anyone else)
    • touch ~/.ssh/authorized_keys
      • Creates a new empty file named authorized_keys. This will hold the public keys of remote users that are allowed to log in here as this Synology user.

      chmod 0644 ~/.ssh/authorized_keys

      • Set permissions of the new authorized keys file. (read/write to current user, read-only to everyone else)
    • chmod 0644 ~/.ssh/authorized_keys
      • Set permissions of the new authorized keys file. (read/write to current user, read-only to everyone else)
  • ssh-keygen
    • Generate public and private keys
    • Press “enter” to accept default file location (should be user’s .ssh folder)
    • Press “enter” twice to indicate NOT to create passphrase. (The passphrase would prevent the login from working when used by rsync.)
    • Will add files id_rsa (private key) and id_rsa.pub (public key)
    • These should automatically be created with the correct permission (read/write by user only, i.e. chmod 600). You shouldn’t need to make any changes.

OpenVPN zwischen OpenWRT und OPNsense

Die Verbindung zwischen OpenWRT und OPNsense wird hergestellt wie zwischen jeden anderen OpenVPN-Servern auch. Es gibt allerdings ein paar Besonderheiten, die es einem erleichtern, OpenVPN zu konfigurieren und die man berücksichtigen muss, da andernfalls keine Verbindung hergestellt wird.

Am einfachsten wird OpenVPN bei OpenWRT konfiguriert über folgenden Trick: http://www.kammerath.net/openwrt-mit-openvpn-client.html

Da die OpenVPN Konfiguration via LuCi nur sehr kompliziert möglich ist, nutzt man besser die Konfiguration via Shell. In der Datei /etc/config/openvpn hinterlegt man

package openvpn
config openvpn cryptn_vpn
        # Set to 1 to enable this instance:
        option enable 1
        # Include OpenVPN configuration
        option config /etc/openvpn/meinvpnserver.ovpn

Die Schnittstellen müssen korrekt eingerichtet sein: https://wiki.openwrt.org/doc/howto/vpn.openvpn#tab__client

uci set network.vpn0=interface
uci set network.vpn0.ifname=tun0
uci set network.vpn0.proto=none
uci set network.vpn0.auto=1