Ich versuche momentan IPv6 zum laufen zu bekommen und obwohl die grundsätzliche Konfiguration in Ordnung sein sollte funktioniert etwas mit dem routing nicht.
WAN Konfiguration:
IPv4 DHCP
IPv6 DHCP6
- Request only an IPv6 prefix
- Prefix delegation size 64
- Send IPv6 prefix hint
- Prevent release
- Enable debug
LAN Konfiguration:
IPv4 Static
IPv6 Track Interface
- IPv6 Interface WAN
- IPv6 Prefix ID 0
Adress-Übersicht:
WAN:
IPv6 Link Local fe80::20d:x:x:x / 64
IPv6 address fdaa:bbcc:x:0:x:x:x:x1 / 64
+ 2001:171b:x:x:x:x:x:x / 64
manchmal auch + 2001:171b:x:x:x:x:x:x / 128
LAN:
IPv6 Link Local fe80::20d:x:x:x / 64
IPv6 address 2001:171b:x:x:x:x:x:x / 64
Geräte im LAN erhalten eine Adresse mit 2001:171b:...... wie erwartet
Pingen mit IPv6
- opnsense zu google.com --> OK
- opnsense zu hosts in LAN --> NOK
- hosts in LAN zu hosts in LAN --> OK
- hosts in LAN zu opnsense --> NOK
- hosts in LAN zu google --> NOK
Ich sehe keine Geblockten ICMP Packete im Firewall Log
Ich habe auch schon während dem Pingen auf dem LAN gesnifft und folgendes gesehen:
LAN
igb0 11:59:24.850584 IP6 2001:1715:dddd:dddd:dddd:dddd:dddd:a83 > 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20: ICMP6, echo request, seq 5, length 64
LAN
igb0 11:59:25.809997 IP6 fe80::dddd:dddd:dddd:2d15 > 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20: ICMP6, neighbor solicitation, who has 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20, length 32
LAN
igb0 11:59:25.810137 IP6 fe80::ddd:dddd:dddd:ea20 > fe80::dddd:dddd:dddd:2d15: ICMP6, neighbor advertisement, tgt is 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20, length 24
LAN
igb0 11:59:25.878063 IP6 2001:dddd:dddd:dddd:dddd:dddd:dddd:a83 > 2001:dddd:dddd:dddd:ddd:dddd:dddd:ea20: ICMP6, echo request, seq 6, length 64
Ist das ein routing Problem?
Glaskugel sagt, dass Du evtl. das gleiche Präfix auf WAN und LAN hast, erkennbar ist das aber mit den ganzen xxxxx und dddd nicht.
Danke für den Input Maurice.
Die Zuordnung sieht folgendermassen aus:
LAN
inet6 fe80::20d:b9ff:fe42:ea20%igb0 prefixlen 64 scopeid 0x1
inet6 2001:171b:226e:d7e0:20d:b9ff:fe42:ea20 prefixlen 64
WAN
inet6 fe80::20d:b9ff:fe42:ea21%igb1 prefixlen 64 scopeid 0x2
inet6 fdaa:bbcc:ddee:0:20d:b9ff:fe42:ea21 prefixlen 64 autoconf
inet6 2001:171b:226e:d7e0:20d:b9ff:fe42:ea21 prefixlen 64 autoconf
Meine Workstation erhält dann diese Adressen
inet6 2001:171b:226e:d7e0:6087:ecec:fb70:433a prefixlen 64 scopeid 0x0<global>
inet6 fe80::9489:c6c0:ff31:2d15 prefixlen 64 scopeid 0x20<link>
inet6 2001:171b:226e:d7e0::1f50 prefixlen 128 scopeid 0x0<global>
inet6 2001:171b:226e:d7e0:5114:7456:4793:97fa prefixlen 64 scopeid 0x0<global>
Nach meinem Verständnis sieht es vernünftig aus.
Quote from: ipv6roadstar on May 16, 2020, 08:49:21 PM
Nach meinem Verständnis sieht es vernünftig aus.
Der Einschätzung muss ich leider widersprechen. ;)
Wie vermutet hast Du auf WAN und LAN das gleiche Präfix (2001:171b:226e:d7e0::/64). Das kann nicht funktionieren.
Da geht irgend etwas bei der Prefix Delegation schief. Evtl. ist der übergeordnete Router falsch konfiguriert oder buggy.
Jetzt bin ich etwas verwirrt.
Was ist mit dem Prefix fdaa:bbcc:ddee:0::/64 auf dem WAN? Wieso wird dieser nicht für das WAN verwendet?
Ich hab leider ein DSL Router vom Provider (Sunrise CH) den ich nicht "eliminieren" kann.
Quote from: ipv6roadstar on May 16, 2020, 09:25:31 PM
Was ist mit dem Prefix fdaa:bbcc:ddee:0::/64 auf dem WAN? Wieso wird dieser nicht für das WAN verwendet?
Das ist eine ULA, quasi eine private IPv6-Adresse. Die ist nicht im Internet routbar und hier nicht relevant.
Ist die Prefix Delegation im Provider-Router irgendwie konfigurierbar? Es sieht danach aus, dass der ein Präfix delegiert, dass er selbst in seinem LAN verwendet. Das darf nicht sein. Wäre aber auch nicht die erste Provider-Kiste, in der die PD verpfuscht ist.
Danke für die Erläterung Maurice, IPv6 ist neu für mich. Beim Router kann ich fast nichts einstellen. IpV6 ein/aus und einen Host ins IpV6 DMZ stellen. Ich habe das Letztere für Opnsense auch aktiv.
Deine Feststellung ist korrekt das mein Opensense am LAN vom Router hängt.
Ich hab hier im Forum und in der Doku gelesen das für IPv6 es genügt das ich nur ein Prefix requeste und das WAN Interface keine Globale IPv6 Adresse braucht. Oft auch in kombination mit einem 64er Prefix, dieser müsste doch für das Opnsense LAN genügen, oder verstehe ich hier wieder etwas falsch?
Es ist korrekt, dass das WAN-Interface nicht unbedingt eine globale Adresse benötigt. In diesem Fall hat es aber eine (autokonfiguriert) und die liegt im gleichen Subnetz wie die LAN-Adresse. Daher ist das LAN so dysfunktional.
Selbst wenn man diese WAN-Adresse irgendwie manuell entfernen würde wäre das Problem wahrscheinlich nicht gelöst. Der Provider-Router kann nicht dasselbe Präfix in seinem LAN verwenden und gleichzeitig an einen anderen Router weiterleiten.
Hast Du mal recherchiert, ob es mit diesem Provider-Router grundsätzlich Erfahrungen mit Prefix Delegation gibt (unabhängig von OPNsense)? Es kann leider wirklich gut sein, dass das schlicht nicht funktioniert. Von den Plastikkisten mehrerer Provider ist das hinlänglich bekannt.
Wäre Super, wenn es jemandem gelingt IPV6 einzustellen, derjenige dann das hier als Anleitung oder so postet. Habe es auch nicht hinbekommen IPV6 Delegation FritzBox -> OPNSense -> LAN einzurichten. Nach Anleitungen im Netz funzt es irgendwie nicht. :'(
Hast Du wirklich das gleiche Problem (identisches Präfix auf WAN und LAN)? Sonst bitte eigenes Thema aufmachen.
Ja, würde ich auch gerne so einrichten mitm identischen Präfix. Meine FritzBox 6591 würde nen */62 Präfix hergeben. Habe aber auch wie du nie so hinbekommen, dass ich von OPNsense dieses Präfix mit DHCPv6 im LAN verteile. Das einzige was geht, wie bei dir auch, dass die OPNSense-Box selbst im IPv6-Netz drin ist. Mehr nicht. :'(
Hab selbst bis jetzt mit IPv6 noch nix zu tun gehabt. Deshalb freue ich mich, wenn jemand hier ne Lösung aufzeigt. Nix für Ungut. :)
Früher verwendete der Provider eine Fritzbox und bei dieser konnte man die Firmware "zurücktauschen" und die Einstellungen wieder einlesen. Aktuell verwenden sie eine Box von "Sagemcom Broadband SAS". Ich habe bei dieser Box schon all die einfachen Sachen wie Port Scan etc versucht, um vielleicht doch ein Hintertürchen zu finden, leider ohne erfolg. Zugangsdaten für PPPoE geben sie auch keine heraus.
Als letzter Hinweis, der Provider Router selber erhält diese IPv6 zuweisung:
Delegated Prefix 2001:171b:226e:d7e0::/60
CPE LAN IPv6 Address 2001:171b:226e:d7e0:2e79:d7ff:fe6d:fb43
Ich will eher keine "hacky Solution" auf meinem Opnsense damit es irgendwie mit IPv6 läuft. Ich war mir bis jetzt nicht sicher wo das Problem lag, aber jetzt werde ich mal mit dem Provider doch noch reden müssen.
Vielen Dank Maurice für deine Hilfe!
Ich werde diesen Thread weiter verfolgen und allfällige Neuigkeiten posten.
Quote from: ipv6roadstar on May 17, 2020, 10:43:48 PM
Als letzter Hinweis, der Provider Router selber erhält diese IPv6 zuweisung:
Delegated Prefix 2001:171b:226e:d7e0::/60
CPE LAN IPv6 Address 2001:171b:226e:d7e0:2e79:d7ff:fe6d:fb43
Du könntest noch die anderen möglichen Prefix Delegation Sizes durchprobieren (/63, /62, /61). Wer weiß. Ansonsten kann nur der Provider Abhilfe schaffen. Wenn die PD in deren Router nicht funktioniert helfen leider auch keine "Hacks" in der OPNsense.
Viel Erfolg noch!
nicht das ich der ipv6 guru bin aber da du vom provider ja schon ein /60 delegation bekommst, solltest du das auch am WAN so einstellen. Der Sense müsste dann automatisch ein der /64 Blöcke auf der LAN Seite zuweisen.
Dein /60 Prefix erlaubt dir Adressen zwischen
Erste IP: 2001:171b:226e:d7e0:0000:0000:0000:0000
Letzte IP: 2001:171b:226e:d7ef:ffff:ffff:ffff:ffff
Der Sense wird hieraus dann für dein LAN entweder 2001:171b:226e:d7e1:: , 2001:171b:226e:d7e2:: , 2001:171b:226e:d7e3:: usw. bis 2001:171b:226e:d7ef:: delegieren.
Das Routing sollte dann auch funktionieren.
Der Provider-Router bekommt ein /60. Die OPNsense kann daher maximal ein /61 bekommen.
> Der Provider-Router bekommt ein /60. Die OPNsense kann daher maximal ein /61 bekommen.
Nicht zwangsläufig! Die Provider vergeben oftmals für die FritzBox bei der Einwahl ein eigenes /64er Prefix UND routen zusätzlich ein /60 oder /56er dann in den Downstream - gern auch auf der fe80:: Adresse. Jetzt kenne ich Sunrise in der Schweiz nicht, aber die müssten ja zumindest irgendwo dazu eine Doku haben. Im Normalfall würde es keinen Sinn machen, der FB ein /60 zu geben in dem deren WAN selbst mit drin ist, da sonst das routen unhnötig erschwert wird (und das Segmentieren bzw. weitergeben an nachgestellte Router etc.). Daher kann ich mir kaum vorstellen, dass Sunrise das da wirklich anders anstellt als alle anderen die ich bislang gesehen habe.
Im Normalfall klappt das mit der Sense hinter der FritzBox indem man bei der FB zum Einen die (hoffentlich statisch) konfigurierte Sense als exposed Host für v4 UND v6 definiert und dann bei den Heimnetz Einstellungen bei V6 auch noch die RA und PD für IPv6 aktiviert (also Delegation von Prefixen an weitere Router).
Dann sollte auf dem WAN mit DHCP ein /64er auftauchen und je nach Setting (/60 /61 etc.) hat man per Track Interface auf dem LAN dann 0-X Prefixe zur weiteren Vergabe die dann automatisch angepasst werden.
Grüße
Schon richtig, dass die meisten ISPs für das CPE-WAN ein Subnetz verwenden, dass außerhalb des delegierten Präfixes liegt.
Das CPE-LAN-Subnetz ist aber immer ein /64 aus dem delegierten Präfix. Daher kann das CPE nicht das komplette Präfix (hier: /60) an einen anderen Router (hier: OPNsense) weiterdelegieren, sondern maximal die Hälfte (hier: ein /61 des /60).
Jetzt sind wir aber ziemlich off Topic. ;) Der OP hat ja schlicht das Problem, dass das Zwangs-CPE bei der Prefix Delegation Mist baut. Und um eine Fritzbox handelt es sich dabei nicht.
Stimmt, zu viel Thread mit FritzBoxen gelesen gerade *augenroll* :)
Hab durch Zufall gesehen, selbst aber noch nicht getestet (siehe Anhang)
Gefunden unter: Internet -> Filter -> Listen
Da gibt's irgendeinen Teredo-Filter, ob die Deaktivierung diesen was bewirkt?
Werde selbst später testen, aktuell keine Zeit :)
So, Sachen, die ich nicht hinbekomme, lassen mich nicht ruhig schlafen und ich versuche es immer und immer wieder.
Und heute ist es mir gelungen ne globale IPv6 von der FritzBox 6591 durch die OPNSense-Box durchzudeligieren ;D
Warum das mir früher nicht gelungen ist, kann ich mir nicht erklären, bis auf eine Sache: Schnittstelle -> WAN -> Request only an IPv6 prefix -> leer gelassen. Glaube früher hab das nicht versucht, weiß ich aber nicht genau.
Hier (https://cloud.32mb.de/s/EtJFMXxgFkLAs7G) sind mehrere Screenshots (werden nicht lange da liegen). Mit diesen Einstellungen bekommen die Geräte im LAN ne globale IPv6. Man kann das als Beispiel nehmen und weiter basteln.
Viel Spaß damit 8) bzw. hoffe hilft euch weiter ;)