Fragen zur pf.conf und jail.conf

scriptorius

Well-Known Member
Hallo,

ich habe gerade (coronabedingt) etwas Zeit. Die möchte ich gerne nutzen, um mich in FreeBSD einzuarbeiten. Dazu habe ich mir folgendes Buch gekauft:
>klick<
Das ist zwar schon was älter, aber ich denke, grundlegende Funktionen sind immer noch aktuell. Beim Durcharbeiten des Buches bin ich allerindgs an einen Punkt angelangt, an dem ich nicht weiter komme. Deshalb meine Frage(n) hier im Forum:

Ziel:
pf.conf und jail.conf anlegen mit IPv6 Adressen.

Problem:
Ich habe einen Anschluss bei der Deutschen Glasfaser (also ds-lite und CGnat), deshalb habe ich nach außen hin nur eine feste IPv6-Adresse (vereinfacht gesagt).
Die Beispiele im Buch gehen natürlich (weil schon einige Jahre alt) von einer statischen IPv4 Adresse aus.
In der pf.conf Beispielkonfiguration soll als ip-Variable eine externe IP (v4) angeben werden, die ich nicht habe.
Ebenso sollen im Kapitel später in der jail.conf IPv4 Adressen angelegt werden, die dann über die externe IPv4 „genattet“ werden (wenn ich das richtig verstanden habe).

Fragen:
Muss ich in der pf.conf meine externe IPv6 Adresse eintragen? Die ändert sich ja auch von Zeit zu Zeit.
Welche IPv6 Adressen kann ich für die einzelnen jails wählen, die ich dann in die jail.conf eintrage?
Hier wäre ein Beispiel hilfreich.

Also ich bin da wirklich noch am Anfang und mir fehlt so einiges an Hintergrundwissen.
Erfahrungen habe ich bisher mit debian gesammelt.

Für Tipps bzw. Links, die weiterführen bin ich dankbar ...
 
... also im Prinzip frage ich mich, was man bei der Konfiguration von pf(.conf) im Zusammenhang mit der Erstellung von jails grundsätzlich beachten muss, wenn man "nur" einen ds-lite Anschluss hat? :)

Das ist mir nicht ganz klar. Und weil ich da nicht im Thema bin bzw. mich gerade einarbeite, kann ich die Suchergebnisse im Netz nicht bewerten.
 
also im Prinzip frage ich mich, was man bei der Konfiguration von pf(.conf) im Zusammenhang mit der Erstellung von jails grundsätzlich beachten muss, wenn man "nur" einen ds-lite Anschluss hat?
Man muss beachten, dass man weder CGNAT noch DS-Lite (beides) aka 'halber Internetanschluss' hat. ;)

 
Vielen Dank für Deine Antwort.
Mein Eindruck ist der, dass diejenigen, die einen eigenen Server betreiben, im Regelfall eine statische IPv4-Adresse haben (oder eben Dual Stack).
Das hat wohl zur Folge, dass sich wenige "Anleitungen" im Netz finden lassen, die sich dann mit IPv6 Problemen auseinandersetzen.

Ich denke, dann werde ich mein FreeBSD Projekt erstmal auf Eis legen und noch paar Jahre warten bis sich an der "IPv6-Front" was geändert hat.
 
... vielleicht noch als Nachtrag:
Dass das technisch alles wohl grundsätzlich funktioniert, sehe ich bei meiner OPNsense Firewall, die auch gleichzeitig Router ist.
Das läuft wunderbar, auch ein wireguard VPN, das ist kein Problem :-) ebenfalls einzelne Freigaben.
(klar, dann muss ich mich selber in einem IPv6-Netz bewegen, was aber in meinem Alltag nicht das Problem ist)

Deshalb auch die Motivation, es mal mit FreeBSD zu probieren (ja stimmt, OPNsense hat HardenedBSD als Grundlage ;-) )
 
Mein Eindruck ist der, dass diejenigen, die einen eigenen Server betreiben, im Regelfall eine statische IPv4-Adresse haben
Dass das technisch alles wohl grundsätzlich funktioniert, sehe ich bei meiner OPNsense Firewall, die auch gleichzeitig Router ist.
Nicht unbedingt eine statische, geht auch mit dynamischer ipv4, welche aber dann aus dem öffentlichen Netz sein muss. Wenn dich aber bereits der Provider natted, was CGNAT ist, bist du von außen nicht erreichbar. Das kann also nicht funktionieren
Dass du via OPNsense selber rauskommst und surfen kannst, ist klar. ;)

bis sich an der "IPv6-Front" was geändert hat.
IPv6 funktioniert, WENN der Provider das vernünftig murksfrei liefert. Es müsste sich an der Provider-Front was ändern und da kannst du lange drauf warten. Die lernen das nur mit Kündigung und Wechsel.

Wenn du dir einen vserver irgendwo mietest, bekommst du über diesen eine feste, öffentliche IP. Von deinem Anschluss aus kannst du via VPN-Tunnel oä. eine Verbindung HINbauen und darüber als sozusagen verlängerten Arm deine Dienste/Jails whatever erreichbar machen.
Das will durchdacht sein und nicht trivial für die ersten Gehversuche. Muss man abwägen, meist ist ein Providerwechsel mit vollwertigem Anschluss der bessere Weg (den ich auch ganz klar empfehle). :)

Edit:

 
Providerwechsel ist "auf dem Land" nur nicht ganz so trivial.
(Klar, alles eine Frage des Geldes)
Wenn ich das richtig sehe, geht die Entwicklung dahin, dass diese ds-lite Anschlüsse zunehmen und damit auch der Bedarf ...

Ich meine das jetzt wirklich wertfrei und ich will keine Grundsatzdiskussion lostreten.
Wahrscheinlich liegt das Problem auch an der mangelnden Verbreitung von FreeBSD (das denke ich jetzt mal als Laie).
Einen kleinen Nextcloud-Server oder von mir aus einen "Familien-jitsi-Server" aufzusetzen z. B. mit Debian (oder von mir aus auch Ubuntu), funktioniert unter den erwähnten Bedingungen sehr gut.
Mich reizen halt jails und natürlich pf, das finde ich sehr interessant ...
 
Bevor Du jetzt das volle Programm wie jails mit pf und / oder vnet faehrst, probiere doch einfach im ersten Schritt nur jails aus. Diese kannst Du auch ohne pf ans Netz bekommen.

Beipiel einer jail, in der Du einen Mailserver betreibst:

Code:
# mkdir -p /jails/mail
# bsdinstall jail /jails/mail
# touch /jails/mail/etc/fstab

# cat /etc/jail.conf
$jail_path="/jails";
path="$jail_path/$name";
mount.devfs;
exec.clean;
ip4=inherit;
ip6=inherit;
allow.raw_sockets;
exec.start="sh /etc/rc";
exec.stop="sh /etc/rc.shutdown";

mail {
    host.hostname = "mail.example.com";
}

# service jail enable
# service jail start

Wenn das dann soweit fuer dich funktioniert, kannst du die Zeilen ip4=inherit; und ip6=inherit; aus der /etc/jail.conf loeschen und dann als naechsten Schritt das ganze durch pf filtern, wenn Du willst. Ich habe das o.g. Buch auch gelesen und finde das recht kompliziert beschrieben und bin damit am Anfang auch nicht zurecht gekommen.
 
Für solche Anregungen bin ich dankbar.
Momentan weiß ich nicht in welche Richtung ich weiter denken soll, stecke da momentan fest ... :-)
 
Sicher das du nur eine IPv6 Adresse von deinem ISP bekommst? Kann ich mir eigentlich nicht vorstellen.
Wenn du ein Subnet bekommst, musst du an deinem Router "nur" den Port für die entsprechende Adresse des Gerätes freigeben und fertig. Dafür brauchst du kein pf und/oder nat.

Dann hast du aber immer noch das Problem mit dem wechselnden IPv6-Prefix (sofern dein ISP dir kein statisches gibt), das ist halt etwas schwieriger aber sollte sich sicherlich irgendwie automatisieren lassen.
 
geht die Entwicklung dahin, dass diese ds-lite Anschlüsse zunehmen
Ja. Weil die ipv4-Adressen grob gesagt weltweit alle verbraucht bzw. in Benutzung sind. Im Fall ipv4 kann man nix machen, ist halt so. Die Provider greifen dann halt zu diesem billigen Trick CGNAT und die Masse an Internetbenutzern stört das nicht, man kann ja darüber 'raus'surfen.

und damit auch der Bedarf
Kein Kunde hat Bedarf an einem kastrierten Anschluss. ;) Nur der Bedarf an IP-Adressen ist gewachsen, was vor 20 Jahren schon absehbar war. Deswegen wurde ipv6 entwickelt, der Pool an Adressen ist ausreichend groß.

Ich meine das jetzt wirklich wertfrei und ich will keine Grundsatzdiskussion lostreten.
Wenn mir der Provider jetzt aber ohne Verknappung und ohne Not murksiges ipv6 ausliefert wie es nicht gedacht war, ist das nur dämlich und kontraproduktiv. :D

Wahrscheinlich liegt das Problem auch an der mangelnden Verbreitung von FreeBSD (das denke ich jetzt mal als Laie).
Das Problem ist betriebssystemunabhängig.
 
@gadean
das Problem löse ich unter Debian mit ddclient und einer ddns von desec.io. Das klappt auch sehr gut mit IPv6.

@mr44er
Ich habe auf diesem Gebiet hier keine Ausbildung oder gar ein Studium etc. Von daher kann ich die "Qualität" des IPv6 nicht hinreichend beurteilen bzw. da stoße ich an meine Grenzen.
 
Ein charmanter vorteil von ipv6 in dem Zusammenhang ist, das man (dyn)dns auch lokal sauber verwenden kann, da ja sowohl intern als auch extern die gleiche Addresse gesprochen wird.
 
@mr44er
Ich meinte, den Bedarf steigt, für eine solche Gegebenheit (ds-lite) eine Lösung zu finden, da immer mehr mit einem solchen Anschluss "gesegnet" sein werden in Zukunft.

Wie gesagt, also so schlimm ist das an sich auch nicht, wenn man bei Problemen Hilfen im Netz findet. Die scheinen an sich und erst recht bei *BSD eher rar zu sein ...
 
Die Lösung zu dem IPv4 Problem lautet ... Trommelwirbel: IPv6
Deswegen wird da auch nichts weiter passieren, ist auch gar nicht möglich (Technisch schon, aber auch nur bedingt - solange der Vorrat reicht - siehe Post #6).

Den letzten Teil in Post #10 kann man vergessen, da war ich in meinen Gedanken ganz wo anders.
 
Ich habe irgendwie den Eindruck, wir reden aneinander vorbei :-)
Ist aber nicht weiter tragisch.
#8 ist für mich interessant, den Gedanken werde ich weiter verfolgen.
Vielen Dank für die Antworten.
 
Zurück
Oben