OPNsense Forum
International Forums => German - Deutsch => Topic started by: GrillSgt on August 12, 2019, 12:21:52 pm
-
Hallo,
seit geraumer Zeit versuche ich IPv6 erfolglos einzurichten. ich weiß nicht ob ich das nur nicht begreife oder es mit meinem Anschluss einfach nicht klappt. Laut verschiedenen Seiten habe ich echtes Dual Stack (nicht DS-Lite). Habe mir verschiedene pfSense Anleitungen angesehen aber kein Erfolg gehabt.
Die Adressen an der Fritzbox:
Internet, IPv4 IPv4-Adresse: 130.180.94.XX
Internet, IPv6 IPv6-Adresse: 2002:b0c6:f707:8000:464e:6dff:fe7d:XXXX, Gültigkeit: 6727/3127s,
IPv6-Präfix: 2002:b0c6:f707::/56, Gültigkeit: 6727/3127s
Ich habe DHCP auf der Fritzbox für V6 eingeschaltet mit folgenden Optionen:
- kein ULA zulassen
- DNS-Server und IPv6-Präfix (IA_PD) zuweisen
In OPNSense
WAN-Interface:
- DHCPv6
- Request only an IPv6 prefix -> angehakt
- Sende einen IPv6-Präfixhinweis -> angehakt
LAN-Interface:
- Schnittstelle aufzeichnen (hatte auch schon statisches und DCHPv6 probiert)
- IPv6 Schnittstelle -> WAN
Services: DCHPv6
- Relay "an" und "aus" probiert
- Zielserver: Die v6 Adresse von OPNSense oder der Fritzbox?!
Was mir auffällt, mein WAN Interface hat immer eine fe80 Adresse (fe80::c0eb:30ff:fe19:de6). Wenn ich das richtig verstehe ist das nur eine Link-Lokale Adresse. Hätte erwartet es bekäme eine Adresse die mit 2002 beginnt (oben aus dem Subnetz). Habe schon diverse Anleitungen probiert. Entweder funktioniert es tatsächlich nicht, oder ich verstehe IPv6 einfach nicht.
Danke für jede Aufklärung und Hilfe.
Michael
-
Hallo Michael,
ich hab gerade gestern dazu einen sehr guten Beitrag auf der Foscon gesehen. In dem Beitrag wird genau so ein Setup mit *sense und einer Fritzbox erklärt. Auch genau die Einstellungen und Möglichkeiten der Fritzbox wie du das IPv6 Netz deligierst werden, meiner Meinung nach, sehr gut erklärt.
Evtl. hilft dir das weiter?
https://media.ccc.de/v/froscon2019-2423-just_another_ipv6_talk
Du hast recht die fe80 ist eine lokale Adresse. Ich vermute deine Deligation ist noch nicht korrekt eingerichtet.
Was sagt die Fritzbox zu ihrem IPv6 Status? Hat sie das /56 Netz bekommen?
VG,
Dominik
-
Evtl. hilft dir das weiter?
https://media.ccc.de/v/froscon2019-2423-just_another_ipv6_talk
Du hast recht die fe80 ist eine lokale Adresse. Ich vermute deine Deligation ist noch nicht korrekt eingerichtet.
Was sagt die Fritzbox zu ihrem IPv6 Status? Hat sie das /56 Netz bekommen?
Das Video hat auf jeden Fall etwas Erleuchtung gebracht. Hänge nur bei der Sache mit den Router Advertisments. Das gibt es offenbar nicht in OPNSense?!
Die Fritte zeigt auf der Übersichtsseite das hier an:
verbunden seit 10.08.2019, 08:07 Uhr,
IPv6-Adresse: 2002:b0c6:f707:8000:464e:6dff:fe7d:XXXX, Gültigkeit: 7093/3493s,
IPv6-Präfix: 2002:b0c6:f707::/56, Gültigkeit: 7093/3493s
Im Gegensatz zum Video kann ich unter Zugangsart der Fritzbox aber nur einstellen IPv6 über Tunnelprotokoll herstellen und dann 6to4.
Edit: Router Advertisment habe ich gefunden...
-
Bin jetzt auf alle Fälle einen Ticken weiter. IPv6 scheint nun auf der OPNsense zu funktionieren:
root@OPNsense:~ # ping6 ipv6.google.com
PING6(56=40+8+8 bytes) 2002:b0c6:f707:0:9080:34ff:fe9c:9c9e --> 2a00:1450:4001:81a::200e
16 bytes from 2a00:1450:4001:81a::200e, icmp_seq=0 hlim=56 time=32.670 ms
16 bytes from 2a00:1450:4001:81a::200e, icmp_seq=1 hlim=56 time=25.894 ms
16 bytes from 2a00:1450:4001:81a::200e, icmp_seq=2 hlim=56 time=24.952 ms
Komischerweise reagiert aber z. Bsp. der Cloudflare DNS nicht:
root@OPNsense:~ # ping6 2606:4700:4700::1001
PING6(56=40+8+8 bytes) 2002:b0c6:f707:0:9080:34ff:fe9c:9c9e --> 2606:4700:4700::1001
Und Adressen an die Clients vergibt die OPNsense leider nicht. Eingestellt ist es wie im Screenshot.
-
Bin jetzt auf alle Fälle einen Ticken weiter. IPv6 scheint nun auf der OPNsense zu funktionieren:
root@OPNsense:~ # ping6 ipv6.google.com
PING6(56=40+8+8 bytes) 2002:b0c6:f707:0:9080:34ff:fe9c:9c9e --> 2a00:1450:4001:81a::200e
16 bytes from 2a00:1450:4001:81a::200e, icmp_seq=0 hlim=56 time=32.670 ms
16 bytes from 2a00:1450:4001:81a::200e, icmp_seq=1 hlim=56 time=25.894 ms
16 bytes from 2a00:1450:4001:81a::200e, icmp_seq=2 hlim=56 time=24.952 ms
Komischerweise reagiert aber z. Bsp. der Cloudflare DNS nicht:
root@OPNsense:~ # ping6 2606:4700:4700::1001
PING6(56=40+8+8 bytes) 2002:b0c6:f707:0:9080:34ff:fe9c:9c9e --> 2606:4700:4700::1001
Und Adressen an die Clients vergibt die OPNsense leider nicht. Eingestellt ist es wie im Screenshot.
Edit: Es läuft nun auf den Clients.
Aber das Problem, dass ich Timeouts habe wenn ich die IPv6 DNS Server pinge ist geblieben. Das Problem existiert bei Google, Quad9 und Cloudflare DNS. Ich glaube so richtig volles IPv6 habe ich wohl nicht.
-
Schön, dass zumindest die Zuweisung funktioniert.
Finde es schon komisch, dass nur auf IPv6 Timeouts passieren. Kann ich mir so jetzt auch nicht wirklich erklären.
Regeln sind alle für IPv4 und IPv6 gesetzt?
Ist IPv4 weiterhin stabil auch wenn IPv6 timeouts bekommt?
-
Ja, IPv4 läuft problemlos (sogar zu gut dafür dass das Unitymedia und noch schlimmer jetzt Vodafone ist). Laut ipv6-test.com komme ich bei ICMP immer "filtered". Ob das damit zusammenhängt weiß ich aber nicht, könnte es mir aber vorstellen.
Habe die OPNsense auch schon als exposed host eingetragen in der Fritte und PING6 aktiviert. Auf der Sense eine Regel angelegt für IPV6-ICMP von any nach "diese Firewal", "WAN Adresse" und auch ins LAN. Brachte alles nichts. Firewall auf den Client hatte ich auch komplett weggeklemmt.
Letztlich ist wohl ein 6to4 Tunnel aber nicht frei von Problemen wie mehrere Testseiten sagen. Ich Frage heute daher Mal echtes Dual Stack Unterstützung bei Unitymedia an.
Das Video, dass du verlinkt hast, hat mir mehr geholfen als alles zusammen zuvor. Zwar verstehe ich noch immer nicht alles, aber ich hatte endlich das Aha-Erlebnis. Ist mir schon peinlich, dass ich als Fachinformatiker das bisher nicht geblickt habe. IPv4 beherrsche ich im Halbschlaf. Aber das 6er Zeug machte mich wahnsinnig.
Jetzt, im Nachhinein, war mein eigentliches Problem, Verständnis Probleme mit V6 und dass ich den Punkt für das Router Advertisement in OPNSense nicht gefunden hatte.