Draytek router configureren

Hi,

Ik heb mijn nieuwe router en Freedom aansluiting binnen. Super blij mee!
Maar ik twijfel nog een beetje of eea nou goed geconfigureerd is. Het gaat om een Draytek 2927F. De router is met een patchcover en SPF module rechtstreeks aangesloten op de aansluiting.

Ik heb de standaard Quick wizard doorlopen, met de algemene instellingen er naast.

Dashboard

General WAN

WAN1

Alles lijkt momenteel te werken. Maar de eerste speed testen gaven een firewall error tijdens upload. Deze lijkt inmiddels (zonder aanpassing) verholpen.

Volgende stap wordt om mijn Proton of Mullvad VPN erop te installeren. Andere tips zijn ook welkom. De router heeft mij eerlijk gezegd eigenlijk net te veel opties (waar ik niks van snap).

Thanks!

IPv6 heb je denk ik niet goed staan. Dat moet geen PPPoE zijn, maar DHCPv6 binnen de IPv4 PPPoE-tunnel. (Of werkt IPv6 wel voor je?)

In je eerste screenshot is trouwens je publieke IPv4-adres zichtbaar. Ik weet niet of je dat erg vindt?

1 like

Nee, je hebt gelijk inderdaad.

Moet dat hier ingesteld worden?

Dank voor je reactie op mijn IP ook - toch maar weg gehaald.

Ik gok van wel ja. Ik heb niet heel veel ervaring met DrayTek-routers, maar het lijkt erop dat je op deze manier een DHCPv6-client binnen je PPPoE-tunnel zou hebben.

Verder kan je nog proberen om de MTU van de WAN-interface op 1508 te zetten in plaats van 1500. Met een beetje mazzel heb je dan een PPPoE-MTU van 1500 in plaats van 1492. Daarvoor moet je waarschijnlijk eerst jumbo frames aanzetten via SSH.

Dank voor de snelle reactie’s!

DHCPv6-client lijkt ook niet te werken. Nog andere tips?

MTU kan ik niet hoger zetten dan 1500 (max.). Heeft dat iets te maken met IPv6? of wat zijn daar evt. de voordelen van?

Kan je de IPv6-optie weer eens op PPP zetten? Want zo te lezen, is dat toch goed. (Het is een beetje een vage benaming wel.) En heb je dan een screenshot van Online Status > IPv6?

Wat de MTU betreft: normaal gesproken zitten er 1500 bytes in een ethernetpakket (inclusief headers). PPPoE geeft een overhead van 8 bytes, waardoor dat gereduceerd wordt tot 1492. Dat is suboptimaal, en betekent dat verkeer vanaf de server naar jou toe gefragmenteerd moet worden. Dat wordt dan vaak aan die client-kant “opgelost” door MSS clamping: je firewall voegt dan aan al je uitgaande pakketten toe dat het return path een MTU van 1492 in plaats van 1500 heeft.

Maar de access routers van Freedom ondersteunen RFC 4638, waardoor je een grotere MTU op je PPPoE-tunnel kunt zetten, en die fragmentatie dus niet nodig is. Je router moet dat echter wel onder steunen.

Waarschijnlijk moet je ook eerst naar je Vigor SSH’en en dan iets als:

port jumbo on
port jumbo 9022

doen.

Maar laten we eerst proberen om IPv6 aan de praat te krijgen.

P.S. Ik kijk ernaar via deze demo interface en ik bekijk dit document.

IPv6 optie staat nu weer op PPP. Zie screenshot

De verbinding is inmiddels ook weer weg.
WAN1 geeft nu Ethernet / PPPoE aan. Ik heb hier volgens mij niks meer van aangepast. Alleen wat met OpenVPN zitten spelen, maar ook weer verwijderd.

Het lijkt mij dat de Fiber input niet goed is? Het type/mode wordt volgens mij automatisch bepaald - dus dat deze nu op Ethernet staat, lijkt mij een teken dat er niks binnenkomt?

UPDATE: Inmiddels ook gereset en van factory instellingen even opnieuw begonnen.
Als ik dan de wizard doorloop, zoals ik dat de vorige keer ook deed geeft hij bij WAN1 als physical mode: Ethernet aan.


*Dat is geen instelling of iets wat ik kan veranderen.

Persoonlijk zou ik die wizard overslaan, en direct na een factory reset handmatig de WAN1 instellen op PPPoE, met fake@freedom.nl / 1234 als PAP-credentials, en dan IPv6 connection type op PPP zetten. (Dat is althans wat ik heb gelezen in die ene PDF, want ik vind persoonlijk DHCPv6 Client logischer, maar dat moet dan wel in het PPPoE-device, en niet op de interface zelf.)

Ik probeer documentatie over dit model router te vinden, maar ik moet bekennen dat het niet meevalt…

1 like

DHCPv6 lijkt me ook correct, mogelijk kun je aangeven de PD (Prefix Delegation) de gewenste DHCP mode is.
IPv6 wan help draytek

DHCPv6 Client

DHCPv6 client mode would use DHCPv6 protocol to obtain IPv6 address from server.
Identify Association : Choose Prefix Delegation or Non-temporary Address as the identify association method.

Primary DNS Server

Input primary IPv6 DNS Server address here.

Secondary DNS Server

Input secondary IPv6 DNS Server address here.

Heb zelf een 2862B modem/router met een bonded-VDSL verbinding.
Net nog even getest middels een non-fragmented ping, een MTU instellen op de DrayTek van 1500 is de juiste/beste instelling (voor mij althans). Bij lagere MTU waarden (bv. 1492) geeft de ping fragmentatie meldingen terug.
(Ik gebruik zelf geen jumbo frames.)

Ik heb zoiets in het verleden ook geprobeerd/gedaan (verbinden naar/met ExpressVPN/NordVPN/ProtonVPN) op mijn 2862B. Was daar niet heel erg tevreden over, omdat de DrayTek alleen naar een fixed ip adres kan verbinden (dus je loopt kans dat de server die je hebt uitgekozen uit de lucht is of juist heel druk bezet is).
Bovendien scherm je zo alleen je ip adres af, dus de meerwaarde is erg beperkt, mijns inziens.
(Mijn ip adres afschermen doe ik “liever” met een vanilla TorBrowser.)

IPv6 gebruik ik zelf (nog) niet. Kan nog prima uit de voeten zonder merk ik. Dus vanuit het oogpunt een zo klein mogelijk security target te zijn, heb ik het vooralsnog uitgeschakeld staan.

Dat lijkt me sterk als je een MTU van 1500 in je PPPoE-tunnel gebruikt. Dat moet dan namelijk wel. Zonder jumbo frames op je WAN-interface, is je MTU wel degelijk 1492. (1500 van de WAN minus 8 bytes PPPoE-overhead.)

Dit vind ik niet echt een verstandig argument heel eerlijk gezegd. IPv4 is echt op zijn laatste adem en moet gewoon verdwijnen. Mensen afraden om IPv6 te gebruiken is mijns inziens tamelijk roekeloos. Er is niets onveiligs aan IPv6, en die hardnekkige, onterechte meme zorgt er juist voor dat de adoptie gehinderd wordt en we nooit van IPv4 afkomen.

4 likes

De DrayTek ondersteund RFC4638, dat is voldoende (althans in mijn netwerk). Ik heb daar bovenop geen (grotere) jumbo frames nodig. Aldus heb ik geen jumbo frames enabled via het SSH interface van de Draytek, die (grotere) frames mogelijk maken met afmetingen van 1537 t/m 9022.

Dat zou je inderdaad zeggen, maar een belangrijk detail blijft wel dat de DHCPv6-requests gedaan moeten worden binnen de PPPoE-tunnel en niet op de WAN-interface.

Op OpenWrt is het bijvoorbeeld zo dat er een eth0.6-device is. Dat is simpelweg de eth0-interface tagged op VLAN 6. Op die interface zal pppd PADI-requests gaan versturen om zodoende de PPPoE-tunnel op te zetten. Zodra dat is gebeurd, ontstaat er een pppoe-wan-device, en daarop moet odhcpd zijn DHCPv6-requests doen, waarna er een /48-prefix gedelegeerd wordt. Wanneer dit op eth0.6 gedaan zou worden, dus op de interface zelf, en niet op de tunnel, gebeurt er niets.

Ik weet alleen niet hoe dit zich vertaalt daar de DrayTek-firmware. Ik sluit niet uit dat “DHCPv6 Client” die requests direct op VLAN 6 op de WAN-interface doet bijvoorbeeld.

1 like

Ik snap je argument, ben het er ook mee eens. Maar moet een afweging maken, en vanuit mijn optiek is het (quote:) ‘tamelijk roekeloos’ om meer “open” te zetten dan strict noodzakelijk is. Reden is dat het mijn attack surface vergroot.

Met een stateful firewall op je router zet je helemaal niets “open” wanneer je een IPv6-prefix gedelegeerd krijgt. Ik kan van buitenaf echt niet zomaar bij mijn IPv6-clients. Iedere fatsoenlijke router blokkeert dat inbound traffic gewoon, zoals het hoort.

1 like

RFC 2364 is gewoon PPPoA toch? Ik denk dat je RFC 4638 bedoelt: mini / baby jumbo frames. En ook kleine jumbo frames zijn wel degelijk jumbo frames. Het kan zijn dat je op jouw Vigor dat niet specifiek via SSH aan hoeft te zetten hoor. Ik weet dat het op Vigor 165-modems bijvoorbeeld wel zo is. Met een eigen router erachter dan. Dat ding zelf als router gebruiken heb ik nooit gedaan.

1 like

Inderdaad een typo van me, sorry. Het moet RFC4638 zijn (en niet RFC2364).
Zal dit in het originele bericht nog aanpassen/verbeteren.