OPNsense Forum

International Forums => German - Deutsch => Topic started by: Kawachiller on March 13, 2023, 11:16:45 pm

Title: IPv6-Verständnisfrage
Post by: Kawachiller on March 13, 2023, 11:16:45 pm

Huhu,

ich hab eine Frage.

Ich bin Vodafon Kabel-Kunde, habe das Power-Upload-Paket und bekomme deshalb nativ IPv6 sowie IPv4.

(Das ganze Problem ist mir erst mit WireGuard aufgefallen)

Über myip.is bekomme ich eine gültige IPv4 sowie IPv6, vergleiche ich dies mit dem Dashboard sehe ich unter der WAN-Schnittstelle:
IPv4 korrekt.
IPv6 nicht korrekt.

Schaue ich unter Schnittstellen -> Überblick -> WAN
Sehe ich, die IPv6 Adresse ist falsch, aber die IPv6 übertragene Präfix stimmt bist zum ende bzw. der "::" überein.

Also gehe ich davon aus, OPNsense hat die IPv6, möchte sie aber nicht für das Interface aktualisieren, oder wie muss ich das ganze jetzt verstehen?

Ein Force-Reload über die Schnitstelle bringt nichts. Selbe IPv6. Rufe ich die IPv6 auf, komme ich allerdings auf die OPNsense. WireGuard kann aber nicht, aber mit IPv4 schon, warum? :D

Wenn ich spaßeshalber bei WireGuard die IPv4 eintrage funktioniert alles Problemlos. Nutze ich die IPv6, lacht der mich aus und mach nicht mal ein HandShake.

Was stimmt hier nicht mit der IPv6? Was kann ich noch testen?


Danke für eure Hilfe
Liebe Grüße

PS.: Das ganze hat damals funktioniert ohne Problem erst als der "neue" drecks Vorafone-Router kam, seitdem geht nichts mehr richtig! Also stimmen die Firewall-Regeln. Sonst würde das ganze ja normalerweise auch nicht unter IPv4 funktionieren.

Title: Re: IPv6-Verständnisfrage
Post by: tiermutter on March 14, 2023, 06:14:20 am

Moin,

ich blicke noch nicht so recht, was Du mit falscher und richtiger v6 meinst.
OPNsense hängt also hinter einem ISP-Router?
Dann sollte eine IP-Testseite die IP vom ISP-Router anzeigen, nicht die vom WAN der Sense.
Und von wo prüfst Du das überhaupt? Wirklich über einen WG Tunnel mit NAT oder aus dem LAN? Aus dem LAN sollte er nämlich die IPv6 des Geräts anzeigen, nicht die der Sense. Wenn der WG Tunnel das WAN-Präfix verwendet, dann sollte die v6 angezeigt werden, die der WG Client erhalten hat.

Dass eine WG Verbindung per v4 (Portweiterleitung zur Sense?) funktioniert und v6 nicht kann daran liegen, dass Du entweder die falsche IPv6 verwendest oder dass der Zugriff über v6 gar nicht (korrekt) freigegeben ist.

Was helfen würde wäre also erstmal:
1.) Aufbau deiner Infrastruktur
2.) Zeige wann und wo welche IPv6 angezeigt wird, die IPs so kaschieren, dass man sie noch relativ zuordnen kann.

Title: Re: IPv6-Verständnisfrage
Post by: Kawachiller on March 14, 2023, 03:21:04 pm

Quote from: tiermutter on March 14, 2023, 06:14:20 am

Moin,

ich blicke noch nicht so recht, was Du mit falscher und richtiger v6 meinst.
OPNsense hängt also hinter einem ISP-Router?
Dann sollte eine IP-Testseite die IP vom ISP-Router anzeigen, nicht die vom WAN der Sense.
Und von wo prüfst Du das überhaupt? Wirklich über einen WG Tunnel mit NAT oder aus dem LAN? Aus dem LAN sollte er nämlich die IPv6 des Geräts anzeigen, nicht die der Sense. Wenn der WG Tunnel das WAN-Präfix verwendet, dann sollte die v6 angezeigt werden, die der WG Client erhalten hat.

Dass eine WG Verbindung per v4 (Portweiterleitung zur Sense?) funktioniert und v6 nicht kann daran liegen, dass Du entweder die falsche IPv6 verwendest oder dass der Zugriff über v6 gar nicht (korrekt) freigegeben ist.

Was helfen würde wäre also erstmal:
1.) Aufbau deiner Infrastruktur
2.) Zeige wann und wo welche IPv6 angezeigt wird, die IPs so kaschieren, dass man sie noch relativ zuordnen kann.

Danke für den Tipp, ich werde das alles anfertigen und nochmals besser erklären und den Beitrag hier nochmal editieren.

//Update 2 - 16:00Uhr
Nun habe ich eine Topologie erstellt (zum. das wichtigste), ich hoffe hier wird ersichtlich worum es genau geht.
https://cloud.united-comp.nl/index.php/s/5NQGRd275n2xipP

Danke für die Hilfe!

Title: Re: IPv6-Verständnisfrage
Post by: Kawachiller on April 06, 2023, 01:57:54 am

Up

Title: Re: IPv6-Verständnisfrage
Post by: meyergru on April 06, 2023, 11:14:35 am

Eigentlich verstehe ich nicht, was Du nicht verstehst:

1. Was Du unter WAN-Schnittstelle der OpnSense siehst, ist tatsächlich die IPv6, die die OpnSense zugewiesen bekommen hat.
2. Das, was Du unter https://myip.is siehst, ist die IPv6 Deines Client-PCs.

Beide haben eventuell einen gemeinsamen Präfix (nicht einmal das muss so sein). Die IPv6 des Client-PCs ist genau genommen sogar nur eine von mehreren, nämlich höchstwahrscheinlich sogar eine temporäre "Privacy-Extension"-Adresse, keine EUI-64.

Der entscheidende Unterschied ist, dass für IPv4 nur eine einzige routebare Adresse zugewiesen wird, die per NAT von allen Geräten dahinter gemeinsam genutzt wird, während bei IPv6 jedes Gerät mehrere routebare Adressen haben kann, die nach außen natürlich auch so sichtbar sind. Im Fall von temporären "Privacy-Extension"-Adressen werden die typischerweise sogar nur outbound genutzt, während man inbound die EUI-64 kennen sollte, was z.B. DynDNS mit IPv6 erschwert, weil man nicht einfach die Absende-IPv6 eintragen kann / sollte.

Oder kurz gefasst: IPv6 nixe NAT!

Title: Re: IPv6-Verständnisfrage
Post by: Patrick M. Hausen on April 06, 2023, 11:31:12 am

Quote from: meyergru on April 06, 2023, 11:14:35 am

Oder kurz gefasst: IPv6 nixe NAT!

Isch 'abe gare keine NATe  :)