Hallo zusammen.
Da ich mit meinem Problem nicht weiter komme, hoffe ich sehr dass mir hier jemand helfen kann.
Ich habe mir vor ein paar Tagen ein Mini PC mit Opnsense aufgesetzt. Soweit habe ich alles zum laufen gebracht.
Nun habe ich aber bemerkt dass ich keine Internetverbindung über IPv6 bekomme.
Ich bin bei Vodafone (ehemals Unitiymedia BW). Besitze einen vollen Dual Stack Anschluss und habe mein eigenes Modem (TC4400). Dahinter kommt gleich die Opnsense.
Desweiteren habe ich festgestellt, dass bei aktiviertem IPv6 ich die Paketquellen nicht aktualisieren kann. Auch wird kein System Update gemacht.
Schalte ich Ipv6 ab, läuft alles normal.
Soweit ich sehe, habe ich alles richtig konfiguriert. Meine Ipv6 ist von außen nicht anpingbar. Genauso kann die Opnsense über die Ping Funktion keine Ipv6 Adressen erreichen.
Soweit ich sehe bekomme ich ja eine Ipv6 Adresse vom ISP zugewiesen. WAN ist auf dhcpv6 konfiguriert.
Kann mir jemand helfen ?
(https://i.postimg.cc/9Xgwh3Fr/Screenshot-20220318-123147-Firefox.jpg) (https://postimg.cc/RqfZ7DtB)
(https://i.postimg.cc/YjcpCzsy/Screenshot-20220318-133049-Firefox.jpg) (https://postimg.cc/rRJ6hxcS)
(https://i.postimg.cc/gkRhqSmj/Screenshot-20220318-133055-Firefox.jpg) (https://postimg.cc/KRG4m5Kh)
Unter Firewall->Settings-Advanced ist "Allow IPv6" aktiviert?
Eingehende Ping-Pakete sind normalerweise geblockt, also geht es zunächst mal darum, ob Pakete rausgehen.
Im Firewall Live Log kannst Du ja sehen, ob es an der Firewall liegt.
Bekommen deine Clients eine IPv6 über seit ein paar Update hat OPNsense Probleme mit IPv6. Ich bekomme auch keine Route mehr zu meinen IPv6 Clients über. Schau mal im Hauptforum alles voll mit IPv6 Problemen und leider scheinen sie nicht behoben mit dem letzten Update.
Quote from: Icelove on March 18, 2022, 01:32:29 PM
Desweiteren habe ich festgestellt, dass bei aktiviertem IPv6 ich die Paketquellen nicht aktualisieren kann. Auch wird kein System Update gemacht.
Schalte ich Ipv6 ab, läuft alles normal.
Hast du evtl. noch ein weiteres Repository von routerperformance.net eingebunden ?
Wenn ja, der Server kann kein IPv6 und damit ist das komplette Update der Paketlisten, also auch denen von OPNSense tierisch langsam geworden oder brachen ganz ab und war am Ende auch unvollständig.
Nehm ich das Repo raus, ist alles in Ordnung
Temp. Lösung bei mir derzeit:
Prefer to use IPv4 even if IPv6 is available
aktiviert in den System-Setting-General
Aber damit ist IPv6 auch obsolet und das stört mich da derzeit dran.
Hallo zusammen,
Also. In der Firewall habe ich ipv6 erlauben aktiviert.
Die Geräte hinter der opnsense sind nicht für ipv6 konfiguriert. Ich habe das noch gar nicht freigegeben.
Opnsense müsste ja schon von sich aus pingen können, sprich mit ipv6 am Netz hängen. Eine IP bekommt das Gerät ja vom ISP wenn ich das richtig sehe. Sry ich bin in ipv6 nicht so fit.
Das System ist frisch aufgesetzt. Bis auf das wireguard plugin habe ich nichts hinzugefügt. Auch keine Paket Quellen.
Sobald ich ipv6 ausschalte, aktualisiert sich auch alles.
Ist ipv6 an, aktualisiert sich nichts.
Die Firewall logs muss ich mir noch anschauen sobald ich dazu komme. Allerdings weiß ich nicht ob da was drin steht wenn nicht mal ein ping raus geht.
Was ich allerdings festgestellt habe. Pinge ich, mit ipv6 only, ipv6.google.com an, bekomme ich als Ausgabe die ipv6 Adresse von Google. Sprich er löst die Domain also auf. Ein DNS ist also erreichbar. Allerdings 100% Paket loss.
Ist DHCPv6 denn das richtige? Was sagt denn die Doku von Vodafone dazu? Bekommt dein WAN eine IPv6-Adresse?
Quote from: pmhausen on March 18, 2022, 10:04:55 PM
Ist DHCPv6 denn das richtige? Was sagt denn die Doku von Vodafone dazu? Bekommt dein WAN eine IPv6-Adresse?
Ja ist richtig, nutze ich auch am Vodafone-Kabelanschluss.
Ich will ja nichts sagen, bei mir funktioniert IPv6 auch nicht mehr. Meine Apple-Geräte bekommen keine v6 Adressen, DHCPv6 ist aktiv, Pool ist pro VLan zugewiesen, Prefix-Delegation ist aktiv, das WAN-Interface hat eine v6-Adresse und Prefix zugewiesen.
Bei den Linux-Server im anderen VLan das selbe, kein IPv6 mehr.
Und ich hab längere Zeit nichts mehr an der Konfig verändert.
Ist da eventuell bei Vodafone was im Argen? Wenn es ohne Änderungen deiner/eurerseits einfach nicht mehr geht kann es ja bakd nur daran liegen, bei mir (DG) läuft v6 absolut problemlos (22.1.2) und auch mit der anderen Repo gibt es bei mir keinerlei Probleme, wie im anderen Thread beschrieben.
Quote from: tiermutter on March 19, 2022, 01:30:27 PM
Ist da eventuell bei Vodafone was im Argen?
Glaube ich nicht
Korrektur, ich habe gestern morgen was geändert - Update auf 22.1.3 durchgeführt
WAN-Anschluss hat IPv6 Adresse, /59 Prefix ist zugewiesen, die internen Netze haben IPv6 Adressen bekommen. Aber scheinbar weisst der DHCPv6 keine IP-Adressen zu.
I don't know what it is. Mal nächste Woche in Ruhe nach schauen.
Es könnte auch eine Frage der Einstellungen der Router Advertisements sein:
Ich hatte bis vor kurzem gar kein DHCPv6 laufen, sondern nur SLAAC (Router Advertisements = Unmanaged).
Nachdem ich jetzt testweise auf "Assisted" gegangen bin, stelle ich fest, dass Ubuntu sich die IPv6 per DHCPv6 holt, Windows 10 aber weiter per SLAAC. Ich vermute, man müsste zwangsweise auf "Managed" gehen.
Ein weiteres Problem war, dass beim DHCPv6 nicht die MAC, sondern die DUID verwendet wird. Eine Linux-VM bekam keine IPv6, obwohl die Konfiguration 1:1 wie die von einer anderen VM war. Wie sich herausstellte, war sie wirklich genau 1:1, weil ich die VM kopiert hatte, d.h. die beiden DUIDs waren gleich. Nach Anpassung war alles O.K.
Per SLAAC lief das immer problemlos, aber ich möchte DHVPv6 nutzen, um DNS-Registrierungen durchzuführen. Gleichzeitig kann man dann auch IPs wählen, die nicht per EUI-64 die verwendete Hardware offenlegen.
Hi,
läuft es denn mit "Unmanaged" und ohne DHCPv6 zuverlässig? Wenn nicht, würde ich zunächst auf Unmanaged wechseln. Das ist die einfachste, und meist sinnvollste, Konfiguration. Erst wenn es dort läuft, würde ich mit DHCPv6 weiter experimentieren.
Gruß
Robert
Warum will man DHCPv6 benutzen mit statischen Leases benutzen? Das verstehe ich nicht.
Quote from: tron80 on March 19, 2022, 09:43:13 PM
Warum will man DHCPv6 benutzen mit statischen Leases benutzen? Das verstehe ich nicht.
Das hängt sehr vom Anwendungsfall ab - wenn man z.B. einen Rechner per Portfreigabe hinter der OpnSense erreichbar machen will, bei der der ISP einerseits CGNAT macht (was IPv4 ausschließt) und gleichzeitig die IPv6-Präfixe dynamisch vergibt, muss man entweder a) per DynDNS eine Registrierung durchführen oder b) per nsupdate den Namen mit der IPv6 verknüpfen. Zwei ISPs, bei denen das so ist, sind M-Net und Deutsche Glasfaser.
a) ist gar nicht so einfach, weil die ausgehende Verbindung eventuell Privacy Extensions nutzt, wenn es der Rechner selbst tut oder wenn es die OpnSense macht, ist der WAN-Präfix normalerweise nicht der selbe wie der im LAN (IA.NA vs. IA-PD). Ich musste mir einen DynDNS-Dienst selbst stricken, der das dann trotzdem kann.
b) kann man nicht per SLAAC, sondern nur per DHCPv6 machen, weil die OpnSense nur bei DHCPv6 beteiligt ist.
Die Leases sind dann wegen des wechselnden Präfixes nicht statisch, sondern dynamisch. Und man kann per DHCPv6 einen beliebigen Host-Anteil vergeben, anstatt wie bei SLAAC durch EUI-64 die Hardware zu verraten (notwendigerweise wird ja der DNS-Name nicht auf die Privacy-Extension-Adresse verweisen).
Wie man aber sehen kann, hat DHCPv6 auch so seine Tücken, weil es einen engen Zusammenhang zu RAs gibt und manche OSe ganz eigene Vorstellungen davon haben, wie sie mit IPv6 umgehen sollten (Android z.B. macht nur SLAAC, Google hat das Fehlen von DHCPv6 Ende 2021 als "Wontfix" markiert). IPv6-Technologie ist zwar über 20 Jahre alt, kommt aber erst jetzt so richtig im Endkundenmarkt an (wegen IPv4-Knappheit). Viele amerikanische Hersteller berücksichtigen das noch weniger, weil dort noch genug Adressen vorhanden sind.
Als würdest Du mir aus der Seele sprechen...
IPv6 und dynamische Präfixe... verstehe das wer will, ich tu´s nicht.
SLAAC, RA, DHCP6 und jedes Gerät/System/OS kocht sein eigenes Süppchen... verstehe das wer will...
Mein Android (S20+) wechselt nach FW Update sogar seine DUID, dadurch ist mit v6 gar nichts Regelbares zu beschicken... zum heulen!
Aber heulen bringt den TE auch nicht weiter... der kann, wenn ich mich nicht täusche, ja nichtmal von der Sense via v6 rauspingen, da ist sämtliche weitere Verteilung mittels RA und DHCP6 doch irrelevant?!
Quote from: tron80 on March 19, 2022, 09:43:13 PM
Warum will man DHCPv6 benutzen mit statischen Leases benutzen? Das verstehe ich nicht.
Das ist ja das Problem, die sind nicht statisch - Vodafone ändert die alle 24h zumindest hier bei uns und das hat mir kürzlich erst der technische Support bestätigt, weil ich statische Adressen haben wollte - für IPv4 kein Problem mit BusinessVertrag, IPv6 ist nicht.
Hallo zusammen.
Also ich bin wohl nicht der einzige mit Problemen mit ipv6.
Ja ich kann von der opnsense nicht mal raus pingen. Von daher hab ich mich für die Konfiguration hinter der opnsense noch gar nicht bemüht.
Ich habe es jetzt komplett abgeschaltet. Da mit aktiviertem ipv6 nicht mal die paketquellen laden.
Dann läuft es eben erst mal auf ipv4. Vielleicht finde ich ja die Tage eine Lösung.
Danke zusammen schonmal
Siehe auch https://forum.opnsense.org/index.php?topic=27579
Bei geht zumindest der IPv6 traffic für die clients im LAN. Auf dem FW host geht kein traffic raus - solange ich die IPs auf dem WAN interface verwende. Ein ping6 zu z.B. google.com mit der IPv6 des LAN interface geht durch.
Quote from: Icelove on March 20, 2022, 04:28:15 PM
Ich habe es jetzt komplett abgeschaltet. Da mit aktiviertem ipv6 nicht mal die paketquellen laden.
Dann läuft es eben erst mal auf ipv4. Vielleicht finde ich ja die Tage eine Lösung.
Ich hab auch noch keine Idee, was das bei mir ist.
WAN hat eine IPv4 + Prefix Delegation
die internen Interface habe alle IPv6 Adresse zugewiesen, das passt auch alles
DHCPv6 läuft, ist konfiguriert und schon einige Zeit nicht verändert worden
Aber die Clients bekommen keine v6 Adressen, weder Linux noch MacOS Systeme im LAN oder WLAN, auch im Log kommt keine Anfrage rein.
EDIT: sehr strange - ein Client in einem VLAN hat eine IPv6 Adresse, mein Firmennotebook welcher auch alleine in dem VLAN sitzt und auf Windows läuft.
könnte aber ein Weg zur weitere Diagnose sein.
EDIT2: ich denke das ich das Problem bei mir lösen konnte, vielleicht auch für den TE ein Ansatz:
Router-Advertisements war das Problem, ich habe die komplett deaktiviert und neu eingerichtet:
- Router Advertisements = Unmanaged
- Advertise Default Gateway: aktiviert
- DNS-Server: use the DNS settings of the DHCPv6 server
alles andere aus Default
das ganze für alle VLAN's und siehe da, IPv6 IP sind wieder da ( Bild ist bewusst abgeschnitten :-) )
Hallo,
nochmal ein Update:
- IPv6 läuft bei mir jetzt wieder in alle VLan, alle (tauglichen) Geräte haben IPv6 Adressen per DHCP bekommen.
- DNS liefert v4 und v6 Adressen zurück
- Ping auf v6 Adressen ins Internet gehen durch.
Einziges Problem was ich noch lösen muss:
- ich würde gerne meine PiHoles wieder aktivieren die auch ProxMox in einem VLan laufen
- über v4 kein Problem geht alles DHCP verteil ist IP's und gut ist
- aber mit IPv6 geht es nicht, aufgrund von sich ständig änderndem Prefix hab ich keine feste IPv6 Adresse für die beiden PiHoles
- nutze ich die Link-Localadresse, funktioniert das im selben VLan ganz gut, aber DHCP scheint die Link-Localadresse nicht zu verteilen.
Ich habe immer noch die v6 Adresse der OPNsense in den DNS-Einstellungen am MacBook, auf der OPNSense läuft noch aktuell der Adguard und der wird auch angesprochen.
Das muss ich mir noch in Ruhe zur Gemüte führen - evtl. noch ein Thema mit FW-Regeln.
Ich habe früher für interne IPv6-Verbindungen mal ULAs benutzt, habe das aber mit OpnSense noch nicht probiert.
Jo, ULA verwende ich auch um
1. diese als DNS zu verteilen
2. unterschiedliche DNS Filterregeln für die Clients (halbwegs brauchbar) einzurichten. "Halbwegs brauchbar" weil manche Geräte ihre DUID und somit auch die verteilte ULA ändern.
Dazu muss den entsprechenden Interfaces eine virtuelle IP als ULA zugewiesen werden, die Verteilung der ULA sowie DNS erfolgt dann durch RA.
Quote from: tiermutter on March 22, 2022, 11:00:26 AM
...."Halbwegs brauchbar" weil manche Geräte ihre DUID und somit auch die verteilte ULA ändern.
Das muss ich mir mal ansehen, ob und welche Geräte bei mir ihre DUID ändern. Sonst währe ULA auf jeden Fall eine Alternative.
Oder ich bleiben beim Adguard, da ist es ja egal, der läuft auf der OPNSense und demnach verteilt diese auch direkt die richte IP.
Ich verwende auch AdGuard auf der Sense.
Aber auch die v6 von der Sense selbst muss ja als DNS verteilt werden, also ebenfalls als ULA wenn die GA ein dyn. Präfix hat.
Bei mir ändert Android zB nach einem FW Update die DUID. :(
Quote from: tiermutter on March 22, 2022, 02:06:20 PM
Aber auch die v6 von der Sense selbst muss ja als DNS verteilt werden, also ebenfalls als ULA wenn die GA ein dyn. Präfix hat.
Wenn man die Link-Local des Interfaces einträgt, wird die öffentlich IP des Interfaces per DHCP verteilt, zumindest kommt die beim Client und somit wir der AdGuard genutzt.
Aber ich muss mich damit mal beschäftigen und testen, was da der optimale Weg ist und auch immer so funktioniert.
Funktionieren würde das, AdGuard zeigt Clients mit GA aber recht merkwürdig an und wenn man einzelne Clients anders bedienen will was die Filter angeht, dann ist das mit dyn. Präfix auch Käse.
Hilft dem TE aber auch nicht :)
Ich habe mal testweise die Link-Local Adressen der beiden PiHoles per Router Advertisements verteilt, das sieht erst mal gut aus.
DNSv6 Abfragen funktionieren damit einwandfrei, allerdings nur im selben VLAN
Aus einem anderen VLAN gehts noch nicht, da muss ich die FW-Regeln noch erweitern.
Eine LLA dürfte nicht über das VLAN hinausgehen, das wird doch nicht mit FW Regeln geregelt sein?!
Quote from: tiermutter on March 22, 2022, 07:52:43 PM
Eine LLA dürfte nicht über das VLAN hinausgehen, das wird doch nicht mit FW Regeln geregelt sein?!
Ich denke, da hast du Recht, das LLA gehen nicht über VLAN-Grenzen hinaus.
Hallo,
IPv6 verwundert mich jeden Tag aufs neue:
MacBook im VLAN20:
nslookup google.de
Server: 2a02:908:........ ( IPv6 des VLAN-Interfaces der OPNSense )
Address: 2a02:908:....5#53
Non-authoritative answer:
Name: google.de
Address: 142.251.39.99
---
Linux-Container im VLAN10:
nslookup google.de
Server: 10.xx.xx.1 ( IPv4 des Interfaces der OPNSense )
Address: 10.xx.xx.1#53
Non-authoritative answer:
Name: google.de
Address: 142.251.39.99
Name: google.de
Address: 2a00:1450:400e:811::2003
Das Verhalten erkläre mich mal bitte einer ?
Beide Anfragen werden vom Adguard auf der OPNSense verarbeitet.
Ich werde mal spaßeshalber das MacBook heute in VLAN10 hängen, ob das dann genauso ist.
Kann mir nur erklären, das MacOS hier der Übertäter ist.
Hi,
Quote from: Tuxtom007 on March 25, 2022, 08:31:46 AM
IPv6 verwundert mich jeden Tag aufs neue:
MacBook im VLAN20:
nslookup google.de
Server: 2a02:908:........ ( IPv6 des VLAN-Interfaces der OPNSense )
Address: 2a02:908:....5#53
Non-authoritative answer:
Name: google.de
Address: 142.251.39.99
---
Linux-Container im VLAN10:
nslookup google.de
Server: 10.xx.xx.1 ( IPv4 des Interfaces der OPNSense )
Address: 10.xx.xx.1#53
Non-authoritative answer:
Name: google.de
Address: 142.251.39.99
Name: google.de
Address: 2a00:1450:400e:811::2003
Das Verhalten erkläre mich mal bitte einer ?
Beide Anfragen werden vom Adguard auf der OPNSense verarbeitet.
Ich werde mal spaßeshalber das MacBook heute in VLAN10 hängen, ob das dann genauso ist.
Kann mir nur erklären, das MacOS hier der Übertäter ist.
Ja.
Es ist die ältere Version von nslookup in macOS. In macOS 11.6 Big Sur hat die Man-Page von nslookup ein Copyright von 2016 und als Erstellungsdatum 2018-05-25.
Linux hat sicher was neueres und gibt standardmäßig A und AAAA Records zurück.
Oder Apple hat ein paar Einstellungen beim kompilieren des Programms anders.
Gruß
KH
Nimm dig und gib explizit an, dass du AAAA haben möchtest.
Quote from: KHE on March 25, 2022, 09:10:58 AM
Es ist die ältere Version von nslookup in macOS. In macOS 11.6 Big Sur hat die Man-Page von nslookup ein Copyright von 2016 und als Erstellungsdatum 2018-05-25.
Linux hat sicher was neueres und gibt standardmäßig A und AAAA Records zurück.
Oder Apple hat ein paar Einstellungen beim kompilieren des Programms anders.
Oh mein Gott, daran hab ich im entferntesten nicht dran gedacht, aber MacOs 12.3 ist nicht besser., auch man page von 2018
DIG liefert die IPv6 Adresse zurück - das passt.
Das liegt nicht am Mac OS. nslookup ist tot. Da arbeitet niemand mehr dran.