OPNsense Forum

Hallo zusammen,

ich habe von meinem hoster ein /64 IPv6 Subnetz bekommen. Ich habe dem WAN und dem LAN interface jeweils eine IPv6 statisch zugewiesen. Somit kann ich beide IPs von extern anpingen.

Jetzt möchte ich den Clients via dem integrierten DHCP Server IPv6 Adressen zuweisen lassen. Dazu habe ich auf dem LAN interface den DHCPv6 Server aktiviert und die entsprechende range aus meinem /64 Netz eingetragen. Die Clients bekommen zwar eine IPv6 Adresse zugewiesen, jedoch wird kein default Gateway gesetzt. Somit kommen die Clients nicht via IPv6 ins Internet. Irgendwo habe ich dann gelesen dass man wohl noch den Router Advertisement einschalten und auf "Managed" setzen soll. "Advertise Default Gateway" ist auch standardmäßig aktiviert. Danach habe ich das lease auf dem Client erneuert. Trotzdem wurde kein Gateway gesetzt. Wenn ich die default route via "ip route" manuell setze dann klappt es auch mit der Verbindung nach außen. Von außen kann ich den Client dann auch problemlos anpingen.

Was mir noch Probleme bereitet ist die statische Adresszuweisung via DHCPv6 Mapping. Trotz korrekt hinterleger DUID bekommen die Clients immer eine andere IP zugewiesen.

Das nächste Problem was ich habe ist dass der DHCP Server Dienst immer wieder mal einfach so abstürzt bzw. gestoppt wird. In den Logfiles unter "Services -> DHCPv4" stehen auch keine Fehler oder ähnliches.
Dadurch hängen dann meine Linux Clients minutenlang beim booten weil der DHCP Server nicht erreichbar ist (wieso systemd beim booten standardmäßig bis zu 6 Minuten auf den DHCP Server wartet und wie man das abschaltet muss ich auch noch herausfinden)

Offensichtlich mache ich etwas grundlegend falsch. Ich hätte nicht gedacht dass das einrichten von IPv6 so ein komplizierter Akt wird. Sitze hier schon seit Stunden dran und komme einfach nicht weiter. Kann mir bitte jemand erklären wie man das ganze korrekt konfiguriert?

Ich habe ein ähnliches Setup, mit ähnlichen Symptomen:
- Gateway fehlt: Soweit ich das verstanden habe, sendet DHCPv6 nie ein Gateway, dieses muss immer über die router advertisements kommen. Wenn ich RADVD auf "Assistiert" setze, funktioniert dies wenigstens mit meinem Ubuntu Laptop (Network Manager). Debian weigert sich bisher.
- Das DUID Problem habe ich ebenfalls, die statischen Zuweisungen scheinen nicht zu funktionieren
- Bei mir stürzt komplett Opnsense ab (nach einigen Stunden Laufzeit), wenn ich eine Prefix Delegation konfiguriert habe, ansonsten läuft es.

Ich habe des Netz schon tot durchsucht, aber irgendwie gibt es keine wirklich zusammenhängende Beschreibung zu IPv6 die funktioniert.
Ich mache das Ganze eigentlich nur, damit ich zum einen Hostnamen über IPv6 in unbound bekomme und um ein lokales Netz zu haben, dass auch bei Ausfall der Internetverbindung funktioniert.
Ideal wäre es, wenn ich regulär stateless globale IPv6s mit Prefix verteilen könnte und parallel per dhcpv6 lokale Adressen. Wie ich das aber in Opnsense konfiguriert bekomme verstehe ich nicht.

Habe meinen IPv6 Test erst mal abgebrochen.

Mein ISP liefert mir ein dynamisches Prefix und mein LAN ist ein "tracking" Interface.

DHCPv6 hatte ich konfiguriert und auch die Router Advertisement aktviert und auf "Managed" gesetzt.

Danach hat sich meine Fritzbox (VOIP Endpunkt) auch die passende IPv6 Adresse gezogen.
Auch ein Windows 10 PC hat sich daran gehalten.

Zumindest die Fritzbox hat mit "assisted" Router Advertisement übrigens lieber selbst ihre IPv6 Adresse generiert.

Letztlich ist es bei mir aber noch einen Schritt danach gescheitert, denn obwohl die FritzBox die passende IPv6 Adresse hat, wurde ihr über den DHCPv6 vergebener DNS Name nicht richtig aufgelöst.

fritzbox.test löste sich zu ::1004 auf  - also ohne prefix.
So sah ich keine Chance mehr VOIP Telefonie zum laufen zu bekommen - konnte ja keine Firewall Regel mit destination fritzbox.test erstellen und die IPv6 Adresse ändert sich mit dem Prefix vom ISP.

Kann auf Wunsch Screenshots der Konfig posten? Vielleicht findet doch einer einen Weg :)

Das mit der Auflösung der Hostnamen habe ich bei mir auch schon gesehen. Er scheint das Prefix nicht voran zu stellen. Bin mir aber nicht sicher, ob es ein Bug oder ein Konfigurationsfehler ist.

Ich habe jetzt auch erst mal abgebrochen irgend etwas anderes als surfen über IPv6 zu betreiben, Opnsense benötigt hier wohl noch etwas Zeit bevor es nutzbar ist. Momentan ist es einfach zu schwierig raus zu bekommen wie eine Konfiguration aussehen müsste, ob diese funktioniert und was Fehler bzw. fehlende Features sind.

@tryhard: Du könntest noch ein komplett statisches Setup mit NAT ausprobieren. Ist zwar finsteres Mittelalter ;-), könnte aber funktionieren.

Mal "kurz" meine Erfahrung zusammengefasst. Evtl. hilft dies jemandem weiter oder er sieht noch Ansatzpunkte:
Ich habe einen Telekom Anschluss mit dynamischem Prefix

WICHTIG: Das folgende sammelt nur meine Erfahrung. Ich weiß nicht ob die Dinge die nicht funktionieren durch Bugs oder falsche Konfigurationen hervorgerufen werden. Da ich keine funktionierende Referenz habe ist dies schwer herauszufinden.

Stateless Setup:
LAN Interface ist auf "Schnittstelle aufzeichnen" gestellt.
Was funktioniert:

• Clients setzen IPv6 per SLAAC in meinem Prefix Bereich (Getestet mit Debian, Ubuntu und Android)
• Gateways, Routen und DNS Server werden per RA verteilt

Was nicht funktioniert:

• Auflösung per Hostname funktioniert in meinem Netz nicht auf IPv6, da ich unbound als forwarder nutze und dieser natürlich keine Ahnung von stateless konfigurierten IPv6s hat. Bind könnte man wohl per dyndns updaten
• Firewall Regeln für einzelne Hosts sind nicht möglich, da das dynamische Prefix nicht beachtet wird. Kenne die unterliegenden Firewall features nicht, aber bei ip6tables kann man das Prefix einfach wegmaskieren (per ::4:0:0:1/::ffff:ffff:ffff:ffff)

Mixed Setup:
LAN Interface ist auf "Schnittstelle aufzeichnen" gestellt. "Allow manual adjustment of DHCPv6 and Router Advertisements" eingeschaltet und einen DHCPv6 konfiguriert.
Was funktioniert:

• Clients setzen IPv6 per SLAAC in meinem Prefix Bereich (Getestet mit Debian, Ubuntu und Android)
• Clients setzen IPv6 per DHCPv6 in meinem Prefix Bereich (Getestet mit Debian, Ubuntu und Android <- extra dhcpv6 client nötig)
• Clients setzen IPv6 per DHCPv6 und SLAAC gleichzeitig in meinem Prefix Bereich (Getestet mit Ubuntu, Fail auf Debian)
  
• Gateways, Routen und DNS Server werden per RA verteilt

Was nicht funktioniert:

• Statisch vergebene IPv6s werden nicht korrekt verteilt. Es werden immer nur IPv6s aus dem Pool genommen, obwohl die DUID stimmt
• Einige Clients die per DHCPv6 konfiguriert wurden ignorieren die router advertisements, entsprechend fehlen teilweise die Gateways, Routen, DNS (Wohl ein Endgeräte Problem, bei mir mit Debian. Ubuntu schafft dies Problemlos)
• Die Hostnamen werden nicht mit den DHCPv6 vergebenen IPv6s in unbound eingetragen. Die dhcpleases.conf enthält zwar einige Einträge zu den link-local IPv6 Adressen, diese funktionieren jedoch nicht in der Auflösung
• Firewall Regeln für einzelne Hosts sind nicht möglich, s.o.

Reines DHCPv6 oder statisches Setup mit NAT
LAN Interface auf "Statisches IPv6" eingestellt und dann DHCPv6 aktiviert oder statische Konfiguration der Clients. Router advertisements abgeschaltet
noch nicht getestet

Zusatz: Wenn ich eine Prefix Delegation einstelle (z.B. um ein Prefix für Docker bereit zu stellen) ist nach einigen Stunden Opnsense nicht mehr erreichbar. Bei mir hat dann nur noch ein Reset geholfen.

Eure Probleme mit IPv6 hören sich ja gar nicht gut an. Ich hatte gehofft es liegt an mir und dass man mir hier im Forum mal eben "kurz" helfen kann. Das witzige ist ja IPv6 wird von opnSense und auch pfSense seit Jahren unterstützt. Auf meiner Suche nach Lösungen bin ich auf Beiträge aus dem Jahr 2011 gestoßen... kann doch nicht sein dass die IPv6 Unterstützung bis heute so Fehlerhaft ist? Ich vermute mal das liegt hauptsächlich daran dass kaum jemand IPv6 aktiv nutzt, und somit viele Probleme/Fehler in den unterschiedlichsten Konfigurationen nicht auffallen.

Ich habe jetzt erst mal den Clients eine feste IPv6 zugewiesen und via ifupdown den default Gateway gesetzt. Eine automatische Adresszuweisung und registrierung im Ubound wäre aber natürlich viel besser...

Ich bin auch immer wieder schockiert was seit der Spezifikation von IPv6 vor 20 Jahren noch alles nicht funktioniert.
Bei Opnsense ist es hauptsächlich das dynamische Prefix und die Namensauflösung die Probleme macht. Ich kann verstehen, dass dies kein industrieller Fall ist, hätte mir da aber trotzdem etwas früher Aufmerksamkeit gewünscht. Soweit ich weiß ist zumindest das Prefix mittelfristig auf der Roadmap.

Teilweise wird es aber komplett lächerlich: Bei AWS z.B. bekommst ein fixes Prefix, kannst das aber nicht weiter delegieren und nur ein paar IPv6s auf die Interfaces legen (so zwischen 2-50, je nach VPC Größe). Wenn da ein Docker Setup hast, musst direkt ins NAT. Docker sagt dann mal: Ach NAT braucht man doch bei IPv6 nicht... Schon bastelt man wieder...

So, genug gemeckert... :-D Wenn jemand ein lauffähiges/nutzbares Setup hat, würde mich das sehr interessieren.

Also ich habe so ein popeligen Telekom VDSL mit /56 prefix und läuft und funktioniert.
Kann da jetzt nicht klagen.
Habe auch mehrere Dual-Stack OPNsensen am laufen mit statischen Netzen, auch kein Problem.
Sogar OPNsenes mit BGP IPv4 und IPv6 läuft super.
Meiner Erfahrung nach, ist es eher nicht so ganz einfach rauszubekommen welcher Provider IPv6 wie handhabt.

@banyam
Hast Du ein DHCPv6 und/oder Server in Deinem Netz mit dynamischem Prefix laufen?

> mit BGP  ;D ! 

Für ein HA Multi WAN Setup ? Mit welchem Provider denn, wenn ich fragen darf?


Habe zu Hause eine pfSense mit der klappt es mit dem dynamischen Prefix. Wobei Firewall Regeln hier auch nur über den Umweg der DNS Auflösung funktionieren.
Will man also einen Dienst auf einer IPv6 Adresse mit dynamischen Prefix betreiben, muss der DNS Name für die pfSense auflösbar sein. Dann kann man über einen Alias eine Firewall Regel erstellen.

Bei opnSense ginge dies auch wenn die DNS Auflösung der statischen DHCPv6 mappings funktionieren würde.

Eine echte Lösung ist mit Issues 2544 ja geplant. Darauf werde ich warten und dann versuche ich es erneut.
https://github.com/opnsense/core/issues/2544 (https://github.com/opnsense/core/issues/2544)

Quote from: chris42 on September 30, 2019, 11:16:36 PM
@banyam
Hast Du ein DHCPv6 und/oder Server in Deinem Netz mit dynamischem Prefix laufen?

In dem Netz mit dynamischen Prefix hab ich keinen Server. Nutze nur IPv6 von intern nach extern auch kein NAT.

In den Netzen mit eigenen Netzbereichen, stehen Server allerdings auch mit statischen Adressen.

Quote from: tryhard on October 01, 2019, 11:01:28 AM
Für ein HA Multi WAN Setup ? Mit welchem Provider denn, wenn ich fragen darf?

@tryhard klar kannst gern fragen. MNET, Vodafone und Telekom. Kann über keinen was negatives sagen.

Gibt es für diese Probleme mittlerweile eine Lösung?

@Simaryp
steht für das nächste Release im Juli auf der Roadmap:
https://opnsense.org/about/road-map/

Im Github wird dazu auch schon fleißig gewerkelt.

Hallo zusammen,
sehe ich es richtig, dass es nun mit der Version 21.7 funktionieren sollte?
Hat es schon einer ausprobiert? :)

Hallo zusammen,

das würde mich auch interessieren.

Ich habe bei mir IPv6 aktiviert und bekomme auch das Standard-Prefix der Telekom. Das wird im Interface weitergegeben (01.png). Ich bekomme auch IPv6-Adressen im Netzwerk verteilt (02.png). Selbst wenn ich mich neu einwähle und einen neuen Provider-Teil bekomme, wird der ordentlich an die Server im Netzwerk vergeben.

In den DHCPv6-Leases steht allerdings nur ein Lease drin  :o (03.png).

Meine DHCPV6-Config sieht so aus: siehe 04.png

Oder läuft das bei mir fehlerhafterweise per SLAAC, weil keine Leases eingetragen sind?

Danke
Ulf

Quote from: tryhard on July 16, 2021, 03:23:14 PM
Hallo zusammen,
sehe ich es richtig, dass es nun mit der Version 21.7 funktionieren sollte?
Hat es schon einer ausprobiert? :)

Issue #2544 ist bis jetzt nicht integriert und die Diskussion darüber ist so ein bißchen eingeschlafen, scheint mir.

https://github.com/opnsense/core/issues/2544
https://github.com/opnsense/docs/pull/330

Selbst habe ich ähnliche Probleme dann auf die oben genannte Steinzeit Art gelöst: Intern statisch, NAT nach außen. Funktioniert ausgezeichnet.
Scheint auch die einzige funktionierende Lösung im Cluster Betrieb zu sein. Hätte ich kein Cluster, dann wäre es denke ich mit "Track Interface" und "Unmanaged" auch gelaufen.
Natürlich funktioniert bei "Unmanaged" der DNS nicht, aber das wird bei IPv6 nur schwer zu verhindern sein.

Bei der Cluster Problematik sagte übrigens auch ein echter Experte (https://www.hznet.de/pub.html), das ginge mit dynamischen Präfixen einfach nicht, da wäre der Standard noch nicht so weit.

In den Diskussionen auf Github kommt es teilweise so rüber als wären IPv6-Präfix-Aliase nur eine Anforderung für sehr spezielle Konstellationen.

Wenn es eine Upvote-Funktion für Features gäbe wäre das aber wahrscheinlich einer der gefragtesten Neuerungen.

Allein dieser Thread hier wurde bereits mehr als 7000x aufgerufen. Und es gibt ja noch weitere Threads mit ähnlichen Anfragen.

Die Möglichkeiten die sich mit IPv6-Präfixen ergäben wäre vielfältig und würden viele Probleme lösen, bzw. vieles ermöglichen was bisher nicht oder nur mit Umwegen geht.


Ich hoffe sehr, dass eine Implementierung sehr zeitnah erfolgt.
Zumal hier ja bereits eine funktionsfähige Lösung programmiert wurde, wenn ich den Diskussionsverlauf auf Github richtig verfolgt habe.

Vielleicht ist die Sache mit den dynamischen Präfixen hauptsächlich ein Problem von deutschen Privatkunden.

Das glaube ich leider auch...  :(
Deshalb scheint wohl auch nur AVM sowas ähnliches in seine Fritten einzubauen.

Problem existiert definitiv nicht NUR in DE, aber hier ist man eben sehr aufgeschmissen, weil man klassisch IPs nur an Geschäftskunden rausgerückt hatte. Gibt die Problemstellung aber auch bei US Providern und auch in Canada habe ich schon ein paar Provider gesehen, die das machen. Beschwerden auch bei RIPE, ARIN etc. in den Foren o.ä. gibt es reichlich, geraten wird meist "über den Geldbeutel" abzustimmen und solche Provider einfach zu meiden und ihnen auch zu schreiben bei Kündigung etc. warum.

Bringt uns in DE aber leider nichts, denn hier muss man schon mit der Lupe suchen um einen Provider zu finden, der einem statische Adressen liefert. Frei nach dem Motto "haben wir doch schon immer so gemacht, das funktioniert". Wird auch immer wieder vorgeblich der Datenschutz vorgeschoben, das wäre wegen Privacy und Co. Kompletter BS, denn gleichzeitig wird sieht u.a. der EuGH bei Telkos die IP Adresse trotz Dynamik als eindeutig zuordnbares Merkmal im Sinne des Datenschutzes oder DSGVO, da sie bspw. nach entsprechenden Beschlüssen wieder "eindeutig zugewiesen werden kann" und somit klar ist, wann welcher Kunde mit welcher IP mit dem Anschluß online war. Dass Telkos heute immer noch mit Privacy und Datenschutz argumentieren zeigt nur, wie stupid man an falschen Aussagen festhält.

Es bleibt leider dabei, dass man sinnvoll mit v6 nur arbeiten kann, wenn das Prefix statisch ist. Entweder nutzt man intern ULA und NATtet dann dreckig nach außen auf die Router IP6 (kompletter Nonsense und jeglicher Vorteil von v6 verbrannt) oder man bastelt sich auf dem WAN eine Erkennung, ob sich das zugewiesene Prefix geändert hat und lässt via Automatismus dann ggf. die NPt Tabelle ändern und macht eine Prefix Translation der internen ULA Netze auf externe GUAs. Aber an der Stelle fehlt der "Automatismus" um NPt mit dynamischen Prefixen zu verheiraten. Und solangs noch Hardcore DSL Anbieter gibt, die selbst noch "Zwangstrennung" bzw. neue IP alle 24h hart durchsetzen ist alles außer automatisch nicht sinnvoll funktionabel. Leider :(

Alternativen:

* GIF Tunnel zu HE.net und fixes IP6 getunnelt
* OVPN Tunnel zu kleiner Miet-VM mit echter IP4/IP6 Netz(en) die das weiterleitet.

Dann hat man allerdings eben immer den Tunneloverhead noch mit dabei und verliert den eigentlichen Vorteil von IPv6: weniger Overhead, ggf. schneller und direkter.

Fatal.

Quote from: JeGr on October 15, 2021, 05:23:18 PM
Es bleibt leider dabei, dass man sinnvoll mit v6 nur arbeiten kann, wenn das Prefix statisch ist. Entweder nutzt man intern ULA und NATtet dann dreckig nach außen auf die Router IP6 (kompletter Nonsense und jeglicher Vorteil von v6 verbrannt) [...]

Bei meinen WireGuard-Experimenten mit Ziel Droplet in den USA oder in GB hatte ich festgestellt, dass die Happy Eyeballs auf Apple-Geräten wenn nur ULA vorhanden ist, gar kein IPv6 benutzen.

Ob das aktuell immer noch so ist, kann ich grad nicht sagen.

Ich hab daher für diese Tunnel auch /64 aus meinem fixen /56 von der DTAG benutzt - wird bei Digital Ocean "raus-zus" (wie der Badner sagt) ja dann wieder geNATet.

Gruß
Patrick

Wahrscheinlich werde ich gleich gesteinigt, aber ich muss noch einmal nachfragen, weil ich noch nicht so weit bin mit IPv6 wie ihr.

Laut dem Threadthema geht es um die Konfiguration von DHCPv6 auf der OPNsense. Nach meinem Verständnis bedeutet das,

• Annahme des Präfixes vom Provider
• Verteilung von IPv6-Adressen in den lokalen Netzen mit Subnetzen aus dem Provider-Präfix
• Eintragen der lokal vergebenen IPv6-Adressen im DNS-Server OPNsense

Das was jetzt in den letzten Posts beschrieben wurde, dreht sich aber um (in meinen Augen) IPv6 Natting von internen IPv6-Adressen auf externe IPv6-Adressen, oder?

Laut der Release-Beschreibung auf https://opnsense.org/about/road-map/ sollte OPNsense die IPv6-Adressen jetzt in Unbound eintragen.

Ich kann mit den dynamischen IPv6-Adressen leben. Wenn ich sie extern bräuchte, würde ich diese über DynDNS veröffentlichen. Leider trägt der DHCPv6-Server aber die vergebenen Leases nicht in Unbound ein (bei mir), wie es in der Roadmap beschrieben wurde. Mein Setup ist einem der vorangegangenen Post beschrieben (https://forum.opnsense.org/index.php?topic=14358.msg120534#msg120534). Dadurch habe ich keine Möglichkeit interne DNS-Namen auf IPv6-Adressen aufzulösen. Als Übergangslösung nutze ich aktuell MAC-Adressen in den Firewall-Aliassen, um die Freigaben nicht nach jedem DSL-Neustart ändern zu müssen.

Habt ihr noch einen Tipp für mich, was ich in der OPNsense untersuchen/debuggen kann, warum die DHCPv6-Releases nicht in Unbound eingetragen werden? Oder habe ich die Ankündigung falsch verstanden?

Danke
Ulf

Quote from: BusinessTux on October 15, 2021, 06:39:28 PM
Wahrscheinlich werde ich gleich gesteinigt, aber ich muss noch einmal nachfragen, weil ich noch nicht so weit bin mit IPv6 wie ihr.

Laut dem Threadthema geht es um die Konfiguration von DHCPv6 auf der OPNsense. Nach meinem Verständnis bedeutet das,

• Annahme des Präfixes vom Provider
• Verteilung von IPv6-Adressen in den lokalen Netzen mit Subnetzen aus dem Provider-Präfix
• Eintragen der lokal vergebenen IPv6-Adressen im DNS-Server OPNsense

Das was jetzt in den letzten Posts beschrieben wurde, dreht sich aber um (in meinen Augen) IPv6 Natting von internen IPv6-Adressen auf externe IPv6-Adressen, oder?

Laut der Release-Beschreibung auf https://opnsense.org/about/road-map/ sollte OPNsense die IPv6-Adressen jetzt in Unbound eintragen.

Ich kann mit den dynamischen IPv6-Adressen leben. Wenn ich sie extern bräuchte, würde ich diese über DynDNS veröffentlichen. Leider trägt der DHCPv6-Server aber die vergebenen Leases nicht in Unbound ein (bei mir), wie es in der Roadmap beschrieben wurde. Mein Setup ist einem der vorangegangenen Post beschrieben (https://forum.opnsense.org/index.php?topic=14358.msg120534#msg120534). Dadurch habe ich keine Möglichkeit interne DNS-Namen auf IPv6-Adressen aufzulösen. Als Übergangslösung nutze ich aktuell MAC-Adressen in den Firewall-Aliassen, um die Freigaben nicht nach jedem DSL-Neustart ändern zu müssen.

Habt ihr noch einen Tipp für mich, was ich in der OPNsense untersuchen/debuggen kann, warum die DHCPv6-Releases nicht in Unbound eingetragen werden? Oder habe ich die Ankündigung falsch verstanden?

Danke
Ulf

Ja, nur, wie baust du deine Firewallregeln, wenn dein Präfix dynamisch ist?
Und wie sieht das aus, wenn du ein HA Cluster benutzt, als gateway aber immer nur die lokalen Adressen der jeweiligen Firewalls und nicht die Clusteradresse rausgegeben wird?

Zu deiner Frage habe ich keine sinnvolle Antwort, außer daß es vielleicht Sinn macht, intern IPv4 zu benutzen, oder ansonsten statische IPv6 ULA Adressen.

> Ja, nur, wie baust du deine Firewallregeln, wenn dein Präfix dynamisch ist?

Das ist eine hypothetische Frage aber wofür brauche ich Regeln von genau einem Client? Durch Privacy Extensions haben die eh immer andere Adressen. Man kanns abschalten und den Client fix per DHCP6 zuweisen aber selbst dann ist die Frage, warum ich genau einen Client einfangen möchte? Ansonsten kann ich ja problemlos mit dem <Interface>_network Alias arbeiten was sich dann auch an dynamic prefixes anpasst

> Und wie sieht das aus, wenn du ein HA Cluster benutzt, als gateway aber immer nur die lokalen Adressen der jeweiligen Firewalls und nicht die Clusteradresse rausgegeben wird?

HA ist mit dynamischem Kram nicht sinnvoll machbar, ja. Einzige Möglichkeit wäre da nach draußen zu NATten und intern ein fixes Netz aus ULA fdXY:: Segment zu nutzen. Aber das ist schon ziemlich hacky.

>  Habt ihr noch einen Tipp für mich, was ich in der OPNsense untersuchen/debuggen kann, warum die DHCPv6-Releases nicht in Unbound eingetragen werden? Oder habe ich die Ankündigung falsch verstanden?

Sind in Unbound denn die Haken für DHCP Reservation drin? Sind in DHCPv6 die DNS Registrationen auch eingeschaltet? Mal das DynDNS ausklappen und Testweise Registration in DNS anhaken aber keines der anderen Felder (DynDNS) ausfüllen.

Cheers

Mag gerade bei Jens nochmal einhaken.

Wenn Du bei internen Netzen auf "festen IP Adressen" bestehst und Regeln per Adresse baust, machst Du oft was falsch. Alle Geräte mit gleicher Policy in dieselbe Brodcast Domain und Regeln per Interface, scheißegal mit welcher Adresse der Client ankommt. Ja, ein Netz für die Familie, eines für Internet of Sh^H^HThings, eines für die öffentlich erreichbaren Server ... VLANs existieren.

Ausnahmen, die ich natürlich bereitwillig akzeptiere: z.B. eine ausgehende NAT-Regel mit "same ports" nur für die Telefonanlage.

Aber in der DMZ @work geht zu allen Servern genau HTTP, HTTPS, SMTP, ICMP ... fertig. Alle gleich. Brauche ich für ein Projekt was grundlegend Anderes, gibts eine weitere DMZ.

Gruß
Patrick

Quote from: bimbar on October 15, 2021, 07:49:11 PM
Ja, nur, wie baust du deine Firewallregeln, wenn dein Präfix dynamisch ist?

Die Firewallregel(n) habe ich mit MAC-Aliasen gebaut. In den pfTables kann ich dann sehen, dass er damit die IPv4- und die IPv6-Adresse für die Freischaltung nutzt.

Quote from: JeGr on October 15, 2021, 09:52:11 PM
Das ist eine hypothetische Frage aber wofür brauche ich Regeln von genau einem Client? Durch Privacy Extensions haben die eh immer andere Adressen. Man kanns abschalten und den Client fix per DHCP6 zuweisen aber selbst dann ist die Frage, warum ich genau einen Client einfangen möchte? Ansonsten kann ich ja problemlos mit dem <Interface>_network Alias arbeiten was sich dann auch an dynamic prefixes anpasst

Ich möchte bestimmen, welcher Host welche ausgehende Verbindung aufbauen darf.

Quote from: JeGr on October 15, 2021, 09:52:11 PM
Sind in Unbound denn die Haken für DHCP Reservation drin? Sind in DHCPv6 die DNS Registrationen auch eingeschaltet? Mal das DynDNS ausklappen und Testweise Registration in DNS anhaken aber keines der anderen Felder (DynDNS) ausfüllen.

Haken in Unbound ist drin (2021-10-16 04_50_51-Services_Unbound_DNS_General.png). Lt. Doku gilt der aber nur für IPv4  :(. Ich habe den DynDNS-Haken im DHCPv6-Server jetzt mal reingesetzt (2021-10-16 04_57_33-Servcices_DHCPv6.png). Aus der Beschreibung verstehe ich das so, dass die Einträge mit Authentifizierung an einen DNS-Server gemeldet werden. Aber mal schauen.

Was mich nur wundert, dass die Leases noch nicht einmal beim DHCP-Server angezeigt werden (2021-10-16 05_24_58-Leases_DHCPv6_Services.png). Oder liegt hier der Fehler.

Ich bekomme jedenfalls auf meinen Debian-Servern IPv6-Adressen mit dem Provider-Präfix vergeben.

Danke
Ulf

QuoteWenn Du bei internen Netzen auf "festen IP Adressen" bestehst und Regeln per Adresse baust, machst Du oft was falsch. Alle Geräte mit gleicher Policy in dieselbe Brodcast Domain und Regeln per Interface, scheißegal mit welcher Adresse der Client ankommt. Ja, ein Netz für die Familie, eines für Internet of Sh^H^HThings, eines für die öffentlich erreichbaren Server ... VLANs existieren.

Das :)

Und weil ich das Beispiel bekommen habe mit dem Rechner von KindX, das im Familiennetz mit den anderen Rechnern bleiben soll/muss (sonst kann man nicht mehr gut zusammen spielen) und trotzdem aber ab 23h nicht mehr ins Internet soll:

Es gibt viele andere/sinnvolle Lösungsansätze dafür. Primär Kommunikation mit dem Nachwuchs (Stichwort Medienerziehung), aber wenns nicht anders geht, kann man immer noch anders reingrätschen. Captive Portal (mit MAC Freigabe der anderen PCs damit diese immer gehen) wäre einer. Wenn man semi-intelligente Switche oder WiFi APs hat kann man Radius-Anmeldung am Netz machen (radius based VLANs) und im Radius dann Zeitlimits beim User hinterlegen, die dann auch für alle Geräte gilt statt nur dem Rechner (Handy von Kind X ist dann auch offline). Man kann nen Proxy eintragen. Möglichkeiten sind dan.

Aber hauptsächlich geht es darum, nicht IP4/IP6 mit der Identität bzw. Person zu verknüpfen und das dann als stehendes Filterkriterium einzusetzen. Ja, haben wir sicher alle schon aus Faulheit mal gemacht/versucht. Sinnvoll ist es aber wenn man drüber nachdenkt und gerade mit Blick auf IP6 eben durch mehrere (wechselnde) Adressen nicht. Und selbst unser Jüngster war schon schlau genug nach zwei Runden Google sich einfach ne andere Adresse oder DNSe im System einzutragen. Klar, jetzt kann man anfangen warum er überhaupt Rechte dafür am Rechner hat... Aber das Endresultat ist, dass eine (dynamische) Adresse als Merkmal eben keine saubere/eindeutige Identifikation ist und man das daher auch nicht so gut filtern kann wie mit anderen Methoden (wenns um persönlichen Zugriff ins Netz geht). Andere Fälle haben da natürlich andere Anforderungen. Aber das Kind-Beispiel bekomme ich eben oft als Argumentation warum es doch möglich sein muss, eine IP4/IP6 "einfach zu blocken" (oder ne scheduled rule damit zu machen).

Es kommt einfach auf die Anforderung an, und dann schaut man, wie diese am besten lösbar sind :)

> Ich möchte bestimmen, welcher Host welche ausgehende Verbindung aufbauen darf.

Und genau das ist die Frage. Warum? Macht das Sinn mit dieser Art und Weise? Kann/sollte man das ggf. anders lösen? Etc. :)
Aber da kommt auch Patricks Aussage ins Spiel: das ist Micromanagement auf IMHO zu tiefer Ebene. Gruppieren nach gleichem Bedarf und kapseln/in gleiche Subnetze packen ist da wesentlich effizienter und macht weniger Ärger als mehrere/dutzender einzelner Regeln die alle spezifisch auf einen Client aufbauen.

>> Ich möchte bestimmen, welcher Host welche ausgehende Verbindung aufbauen darf.

>Und genau das ist die Frage. Warum? Macht das Sinn mit dieser Art und Weise?

Klar kann das Sinn machen - Ich will ein Geräte im LAN haben aber es soll keine Verbindung ins Internet aufbauen (fehlerhafte Update, blöde Smart TV Funktionen, "Ich will es einfach nicht" )
Gehört auch mit IPv6 für mich zu den Basics einer Firewall.

Ich teste mal was gerade so geht - wird aber bissl dauern

Quote from: tryhard on May 16, 2022, 01:49:21 PM
Ich will ein Geräte im LAN haben aber es soll keine Verbindung ins Internet aufbauen (fehlerhafte Update, blöde Smart TV Funktionen, "Ich will es einfach nicht" )

So ein Gerät habe ich auch... genauer gesagt habe ich zwei solcher Geräte. Die bekommen einfach ein nicht vorhandenes Gateway und einen nicht vorhandenen DNS und schon ist Ruhe im Karton, ohne dass die Sense mit den ständigen Verbindungsversuchen belästigt wird.
Alle Jubeljahre bekommen die dann mal kurz eine korrekte Konfiguruation sodass sie sich Updates saugen können, ansonsten können die Geräte nur im LAN kommunizieren.

Ich hab das einfach so gelöst:

- Media-Geräte wie TV usw. sind bei mir eh in einem eigenen VLAN
- Pihole bzw. AdGuard Sperrliste eingebunden, welche den Zugriff für Smart-TV usw. blockt.
- Firewall-Regel in andere VLan nur wo notwendign, z.b. NAS für Streaming.

Da mein Samsung-TV eh keine neue Firmware mehr bekommt, braucht der auch keine Internetverbindung um nach Hause zu telefonieren.


Allerdings nervt es mich auch gewaltig, das deutsch ISP es einfach nicht gebacken bekommen, mal  statisch IPv6 Prefixe für Privatkunden anzubieten.
Dann könnte ich meinen Pihole entlich mal feste IPv6 Adressen geben und den Adguard rauswerfen.

Hi,
ich hätte ein paar Fragen zu IPv6 und DHCP und das Topic passt dazu sehr gut.

Mein Setup:
DrayTek Vigor 165 als VDSL2 Modem direkt verbunden mit der OpnSense 22.18 als Router. Clients dahinter. Keine VLANs etc.
Provider ist 1und1 mit dynamischem IPv6 Präfix.

Was ich möchte ist ganz einfach:
Die OpnSense dazu bringen, was vorher die FritzBox gemacht hat.

Jeder Client soll eine IPv6 Adresse aus dem dynamischen Präfix per SLAAC und/oder DHCPv6 bekommen und per RA. die Cloudflare DNS Server und die OpnSense IPv6 Adresse als Standard GW bekommen.

Funktioniert bis auf das Gateway auch alles.
Meine ersten Fragen beziehen sich deshalb darauf.

1. GUA (2001er Addresse) als Default-Gateway:
Jeder Client bekommt nur die Link Local FE80 Adresse der OpnSense über RA und nicht die GUA 2001.
Sollte das so sein?
Warum ist das so und wie kann ich das ändern?
FE80 wird doch nicht im Internet geroutet, oder? also bringt einem Client das GW nichts (es sei denn es würde genattet werden, was es nicht soll!), richtig?
Services / RA / LAN / Advertice Default Gateway: scheint ja nur die FE80 Adresse zu verteilen ...
Unter Services / RA / LAN kann ich ja kein fixes 2001er GW eintragen, da sich dieses täglich ändert, richtig?

2. Adress-Range im DHCPv6 angeben:
Wenn ich die Adress-Range im DHCPv6 angeben/einschränken will habe ich ja das selbe Problem -> dynamisches Präfix verhindert ja, das ich eine Range eintragen kann, da ich täglich bzw. nach jedem Neustart es ändern müsste, richtig?

3. DNS mit pihole und IPv6:
Kleine Gedanke von mir zu DNS per pihole und IPv6 um das dynamische Präfix problem zu umgehen:
Könnte man nicht ein eigenes statisches IPv6 Netz aufbauen mit ULA fc00:: Adressen und allen Clients die statische ULA vom pihole als DNS per RA verteilen. Der pihole selbst hat dann per SLAAC eine 2001er GUA Addresse, welche Auflösungen im Internet machen kann und eine ULA für die Verbindungen zu den Clients. Die Clients selbst hätten dann je eine/mehrere GUAs (2001) per SLAAC, welche sich Ändern dürfen mit GW ins Internet und eine ULA (fc00) für die Namensauflösung zum pihole (ohne GW). Sollte das so theoretisch funktionieren oder habe ich einen Gedankenfehler? Mehrere IPv6 Adressen sind ja kein Thema.

Danke für Tipps und Hilfe.

Zu 1 und 2:
Die GUA wird im LAN verteilt indem Du beim LAN Interface die v6 Konfig auf Track Interface stellst und das WAN wählst. Das berücksichtigt auch Prefixänderungen.
Zu 3:
Ich mache das ähnlich. Ich verteile per DHCP6 und RA die ULA meiner Sense (AdGuard) als DNS Server. Dafür musst Du eine virtuelle IP mit der ULA für die Sense anlegen und die manuelle Konfiguration erlauben.

danke für deine Antwort.
Das habe ich schon genau so eingestellt. Trotzdem ist das default gw immer FE80?
Auf was sollte denn Services / RA / LAN / Router Advertises stehen? Auf unmanaged oder Statless? was ist hier der unterschied?

Und verteilt die Opnsense dann trotzdem noch adressen per SLAAC bei dir? zusätzlich zu der ULA?

Als Gateway kann ja auch die LLA (fe80) angegeben sein, das ist alles gut so.
Deine Clients sollten dann allerdings eine GUA (2001) bekommen, dann kommen sie mit v6 auch ins Internet.

Bei mir sieht es so aus....
LAN Interface:
Track Interface, WAN, Allow manual...

DHCP6:
Range vergeben, also die zu verteilenden Adressen nach dem Prefix und bei DNS die ULA der Sense/ des DNS Servers.

RA:
Assisted und bei DNS ebenfalls die ULA.

Die ULA wird nur mittels SLAAC verteilt, DHCP6 verteilt nur die GUA. Durch "assisted" bekommen die Clients also beides. Mittels ULA fragen sie dann beim DNS Server um dann mittels GUA ins Internet zu sprechen.

Also ich habe alles so eingestellt wie du. Nur meine Clients bekommen dann nur eine GUA IP und kein GUA Gateway und kommen über IPv6 nicht ins internet!
Welches GW verteilst du dann über RA?

EDIT:
Wenn Advertise Default GW aktiviert ist ... sollte er dann alle seine IPv6 Adressen verteilen, gerade wenn man Virtuelle IPs auf der LAN Schnittstelle angelegt hat? oder welche nimmt er da? wie kontrolliert/steuert man das bzw stellt das ein?

Als gateway wird bei mir die LLA verteilt, das ist alles gut so, das Problem muss demnach woanders liegen...
Die FW lässt v6 aber raus? Funktioniert eventuell nur das DNS nicht? Kommt die Sense selbst über v6 raus (Interfaces/Diagnose)?

OK stimmt, als GW bekommt zb. ein debian server oder mein mac die LLA als gateway nur die playstation nicht und das hat mich die ganze zeit verwundert.
ich konnte es nun lösen in dem ich AdvDefaultLifetime (auf 300) gesetzt habe.
denn laut Dokumentation:
Advertise Default Gateway: uses AdvDefaultLifetime to disable advertising as default router when unset.
Das hätte ich mal vorher lesen sollen.

Ich denke jetzt klappt alles wie ich es wollte!
Danke für eure Hilfe.

PS, was ich gelernt habe:
1.:
Was ich nicht wusste und da musste ich mich erstmal umfassend einlesen, dass IPv6 nicht funktioniert wie IPv4 (obviously) ... aber speziell im bezug auf das GW. Ich bin davon ausgegangen, das ein Client, der die LLA als GW hat (FE80) nicht ins Internet kommt, da er sein GW ja nur mittels LLA erreicht und diese ja nicht geroutet wird (Trugschluss). Da IPv6 hier anders Tickt und ein Client als GW immer eine LLA Addresse hat, die nur dazu dient die MAC Addresse des GW zu ermitteln um dann trotzem mit einer GUA (2001) als Quell-IP ins Internet zu gehen muss einem ja erstmal jemand sagen :>

2.:
Wer bei Debian eine Static IP und gleichzeitig per SLAAC versorgt werden will stellt seine /etc/network/interfaces so ein:
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.x.x/24
gateway 192.168.x.x

iface eth0 inet6 static
address fc00::x/64
autoconf 1
privext 2
accept_ra 2

LG

Hallo,

ich bin ja froh, das Vodafone es endlich mahc geschafft hat, IPv6 bei mir so zum Laufen zu bekommen, das es stabil ist und nicht alle paar Tage die externe IPv6-Adresse wieder weg ist oder Prefix-Delegation nicht funktioniert.

Aber mal so nebenbei:
Ist es eigentlich möglich,  Link-Local-Adresse ( fe80:) über VLAN-Grenzen erreichbar zu machen ?

Ich würde gerne meine PiHole's wieder aktivieren, mit IPv4 ja kein Problem mit statischer Adresse im VLAN, aber mit IPv6 und Prefix-Delegation ein Thema.
Solange ich im selben VLan bin, kann ich die LL-Adresse erreichen und Pihole darüber auch nutzen, aber eben nicht aus anderen VLan nicht.
Muss ich dafür Routing bauen oder wie kann man das umsetzen ?

Ich nutze das so nicht, verwende für unterschiedliche Interfaces aber unterschiedliche ULA um meinen DNS (AdGuard auf der Sense) zu erreichen.
Wenn Pihole mehrere VLAN hat, müsste es ja möglich sein die ULA der jeweiligen VLAN als DNS zu verteilen. So mache ich das zumindest für das LAN und mehrere VPN.

AdGuard läuft derzeit bei mir auf der OPNSense, das ist ja kein Problem, weil der über die Gateway-Adresse des jeweiligen VLAN's erreichbar ist und das ja per DHCP verteilt wird.

PiHole soll aber wieder als Container auf einem Proxmox-Server laufen und da muss ich ja hinkommen und der läuft nun mal nur in einem VLAN, wo alle meine "Server" drin stecken.
Das Problem ist ja eigentlich, das ich nicht über die VLAN-Grenze auf die LL-Adresse komme, innerhalb des VLAN funktioniert das problemlos mit dem PiHole.
Ich weiß nicht, ob das per Routing oder FW-Regel machbar währe - finde das nichts brauchbares an Tips zu.

Ich krame mal den alten Thread hier wieder hervor, da mein Problem ähnlich ist:

OPNsense als FW/Router mit WAN0 und WAN1 als failover (funktioniert z.Z. noch nicht, da debian mit libvirt nicht aus dem Knick kommt). DNS(4+6)+DHCP(4+6) und weitere Dienste auf einer VM. Die Clients sollen ULA (fc00::/7) und EUI-64 nutzen und später einen Prefix vom ISP für die globale Anbinding.

Die Sache mit ULA funkioniert sofern es die Generierung der IPv6 betrifft, nicht aber die Registrierung beim DNS. Sofern ich IPv6 verstehe muss dies der Client selbst tun, DHCPv6 macht das wohl nicht.

Bei IPv4 nutzt DHCP einen Schlüssel um sich gegenüber dem DNS zu authentifizieren. Bei DHCPv6 kann man sich das wohl schenken, da jedem Client der Schlüssel zugeschickt werden müsste und dies die Konfiguration insgesamt verkompliziert ohne einen Sicherheitsgewinn.

Bei den vorherigen Posts hatte ich den Eindruck, dass dort DNS+DHCP der OPNsense verwendet wird - Funkioniert das auch mit den Diensten extern?