OPNsense Forum

Hallo zusammen,

ich verwende ein Technicolor TC4400 Modem mit einem Unitymedia/Vodafone Gigabit Kabelanschluss (NRW). Ich hatte erreicht, dass ich ein IPv6 Subnetz zusätzlich bekomme, die Delegation hat in der Vergangenheit auch funktioniert.

* Das WAN Interface nutzt DHCP6 um ein /59 Prefix zu erfragen
* Das LAN Interface ist bzgl IPv6 auf "Track Interface" gestellt

Damit funktionierte dann auch alles weitere: Zwei Gateways (eines IPv4, eines IPv6) DNS für beide Protokolle, radvd & Co.

Seit einiger Zeit scheint das nicht mehr zu klappen. Ich sehe kein Prefix mehr in der UI, dabei finden sich im dhcp6 Logfile Zeilen wie diese:

QuoteIA_PD prefix: 2a02:908:696:2b20::/59 pltime=43200 vltime=86400

Das ist das Prefix, das ich auch früher verwenden konnte, aber OpnSense 22.1.5 scheint damit nicht mehr zu arbeiten. Hat jemand einen Tipp, wie ich das wieder zum Laufen bringe? Gruß

Christian

Bei mir genau dasselbe.

Moin,

ich weiss nicht was Vodafone da gemacht hat, aber ich musste vor kurzen bei mir ( in NRW ) "Router Advertisements". aktivieren, was ich vorher nicht hatte.
Seitdem geht es wieder.
Den Rest erledigt DHCPv6

Allerdings verliert die OPNSense hin und wieder mal die WAN-Seitige IPv6 Adresse, da hilft nur ein renew

Bei mir ändert das leider nichts.

Das was ich noch im Log sehe ist:
proto: reconfig, alg: HMAC-MD5, RDM: mono counter, RD: 0000 0000 0000 0000

Bin mir aber nicht sicher ob das was zu dem Problem beiträgt.

Was hast du für einen Router/Modem vor der OPNSense ?

Dann können wir ja mal die Einstellungen vergleichen.
Ich hab eine FritzBox 6591 von Vodafone im BridgeModus

QuoteWas hast du für einen Router/Modem vor der OPNSense?

Ein Technicolor TC4400, also ein reines Modem. Im Logfile sehe ich in den debug-Zeilen des DHCP6 Dienstes ja sogar das fragliche IPv6 Prefix, aber in OpnSense taucht es nicht mehr auf: Weder finde ich es in der UI, noch führt es zu einer passenden Adresszuweisung am LAN Port, der auf "track Interface WAN" gestellt ist.

Dabei hat das früher genau so funktioniert.

Das hier eventuell? https://github.com/opnsense/dhcp6c/pull/32

Das Timing und ISP stimmt jedenfalls...


Grüsse
Franco

Passt an sich genau, aber müsste ich im Log nicht irgendwo den Text "unsupported authentication protocol:" finden?

Ich würde das ja testen, aber wie? Code runterladen, "configure, make, make install"?

# opnsense-code dhcp6c
# cd /usr/dhcp6c
# curl https://patch-diff.githubusercontent.com/raw/opnsense/dhcp6c/pull/32.patch | patch -p1
# ./configure
# make all install

Sicher bin ich mir beim Patch nicht ob das selbst wenn es hilft nicht gleich ne Sicherheitslücke ist ohne echte Implementation des Befehls.

Message im Log kommt vllt. auch auf die Debug-Stufe an.


Grüsse
Franco

PS: Danach am besten Reboot da dhcp6c meist nicht neu gestartet wird.

Quote from: datenimperator on April 12, 2022, 03:26:47 PM
Ein Technicolor TC4400, also ein reines Modem. Im Logfile sehe ich in den debug-Zeilen des DHCP6 Dienstes ja sogar das fragliche IPv6 Prefix, aber in OpnSense taucht es nicht mehr auf: Weder finde ich es in der UI, noch führt es zu einer passenden Adresszuweisung am LAN Port, der auf "track Interface WAN" gestellt ist.

Vodafone hat irgentwas an den IPv6 Konfigs im Netz geändert, ist hatte ja auch Probleme mit der FritzBox davor.

Vielleicht muss du am Modem Einstellungen ändern, wenn das möglich ist.

Meine FritzBox läuft im Bridgemodus und da ist derzeit bei IPv6 eingestellt, vielleicht hilft es:
- DHCPv6 Server aus,
- Das M- und das O-Flag in den Router Advertisement-Nachrichten der FRITZ!Box aktivieren (SLAAC nicht möglich).
- Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben
- Unique Local Addresses (ULA) immer zuweisen

auf der OPNSense dann:
Interface -> WAN
- WAN:  Send IPv6 prefix hint aktiviert
- Prefix /59

Service ->. Router Advertisements für jedes VLAN:
- Router Advertisements Unmanaged
- Prio Normal
- Source Adresse. Automatic
- Advertise Default Gateway aktiv
- Use the DNS settings of the DHCPv6 server

Service -> DHCPv6 für jedes VLAN:
- enabled
- Range festgelegt
- Prefix Delegation Size: 64
- Change DHCPv6 display lease time from UTC to local time. aktiviert
- Enable registration of DHCP client names in DNS. aktiviert


damit läuft es bei mir seit der Vodafone-Änderung, vorher hatte ich kein Router Advertisements  aktiviert und die Settings in der Fritzbox waren auch anders.
( GBit Anschluss, Vodafone NRW )

Quote from: franco on April 12, 2022, 04:51:32 PM
# opnsense-code dhcp6c
# cd /usr/dhcp6c
# curl https://patch-diff.githubusercontent.com/raw/opnsense/dhcp6c/pull/32.patch | patch -p1
# ./configure
# make all install

Eingespielt, neu gestartet, Config wiederhergestellt - funktioniert. Danke.

Quote from: franco on April 12, 2022, 04:51:32 PM
Sicher bin ich mir beim Patch nicht ob das selbst wenn es hilft nicht gleich ne Sicherheitslücke ist ohne echte Implementation des Befehls.

Ich verstehe das so, dass durch den zuvor fehlenden case-Zweig der default angesprungen wurde, und in dem steht fail. Deshalb ging überhaupt nichts mehr.

Schon richtig, aber wenn wir ein Protokoll zur Authentifizierung einfach aushebeln ohne Implementation also ohne Verifikation dann ist das per Definition eine Sicherheitslücke.


Grüsse
Franco

Hallo,

bei mir in NRW gab es gestern auch Unitymedia/Vodafone Wartungsarbeiten und seitdem funktioniert IPv6 nicht mehr. Ich nutze ein TC4400 Modem. Unter Interfaces->LAN wird statt einer IPv6 nur noch "track6" angezeigt. Den von franco genannten Patch habe ich angewandt und neu gestartet, macht aber leider keinen Unterschied.
Das WAN Interface bekommt eine (drei in der Übersicht) IPv6 zugewiesen.
Die Log-Ausgabe vom Patch "ignoring not implemented authentication protocol: reconfig" bzw. vor Patch "unsupported authentication protocol" sehe ich auch nicht unter "System->Log Files->General" (alle Stufen ausgewählt). Bedeutet dies, dass es sich hier wohl um ein anderes Problem handelt?
Laut Log bekomme ich einen Prefix:
IA_NA address: 2a02:908:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx pltime=604800 vltime=1209600
IA_PD prefix: 2a02:908:xxxx:xxxx::/59 pltime=604800 vltime=1209600

...aber track6 scheint dies nicht zu erkennen/akzeptieren?
Wäre für jede Hilfe dankbar, dies zu debuggen.

Edit:
ich bekomme auch ein (link local) WAN_DHCP6 Gateway angezeigt, welches ich anpingen kann (fe80::f27c:c701:2cb0:7fb4). Allerdings funktionieren andere ipv6 pings zu externen Hosts über diagnostics nicht (timeout). Evtl. ein Vodafone Problem?

Edit2:
https://forum.vodafone.de/t5/St%C3%B6rungsmeldungen-Internet-TV/Kann-seit-11-04-2022-ipv6-Standardgateway-nicht-anpingen/td-p/2904082
Ist wohl ein Vodafone Problem.

Noch eine Ergänzung, da man sich anmelden muss, um die Beiträge im VF Forum zu lesen (?):

Quote

Das Ticket ist geschlossen worden und ich kann wieder einen Präfix über dhcpv6 beziehen und über ipv6 auf das Internet zugreifen. Allerdings werden 3 Präfixe immer noch über Router Advertisements im Vodafone-Netz verteilt (SLAAC, siehe den 1. Beitrag oben). Diese Präfixe sind aber gar nicht nutzbar, ich kann über sie auf das Internet nicht zugreifen, nur über den Präfix, den ich über dhcpv6 beziehe. Da aber die ipv6 auf der WAN-Netzwerkkarte in mathematischer Reihenfolge verteilt werden, besteht die Möglichkeit, dass der von mir über dhcpv6 bezogene Präfix in der Liste der zugewiesenen Adressen auf der WAN-Netzwerkkarte unterhalb der Präfixe landet, die durch RAs des Vodafone RA-Servers verteilt werden:

ipconfig /all

IPv6-Adresse. . . . . . . . . . . : 2a02:908:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< SLAAC
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< SLAAC
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< SLAAC
IPv6-Adresse. . . . . . . . . . . : 2a02:8071:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< dhcpv6

Standardgateway . . . . . . . . . : fe80::f27c:c701:2cab:fb4%4
Standardgateway . . . . . . . . . : fe80::f27c:c701:30ab:fb4%4
Standardgateway . . . . . . . . . : fe80::f27c:c701:31ab:fb4%4

Außerdem, wenn ich mal meinen Präfix ändern will, bringt das nichts, es sei denn der dhcpv6-Präfix landet in der Liste auf dem 1. Platz, weil beim Zugriff auf das Internet immer die erste Adresse verwendet wird (im Beispiel oben: 2a02:908, weil 908 < 8071)

Ich habe die Routersuche (Router Discovery) auf der WAN-Netzwerkkarte abgeschaltet:

Windows:

netsh interface ipv6 set interface "XXX" routerdiscovery=disabled

Debian:

autoconf in /etc/sysctl.conf

damit keine SLAAC-Präfixe über den Vodafone RA-Server zugewiesen werden. Aber wenn ich die Routersuche abschalte, wird naturgemäß das Standardgateway (oben: fe80::f27c:c701:2cab:fb4) nicht zugewiesen. Das nervt, ich muß jetzt das Gateway manuell zuweisen, und weil das Gateway sich ab und zu ändert, musste ich mein dhcpv6-Script erweitern, um die dhcpv6-Server-Adresse auszulesen und ggf. das Standardgateway auf der WAN-Netzwerkkarte updaten, wenn das Gateway sich ändert.

Im Vodafone-Netz laufen 3 RA-Server:

fe80::f27c:c701:2cab:fb4
fe80::f27c:c701:30ab:fb4
fe80::f27c:c701:31ab:fb4

Allerdings funktioniert nur der erste (fe80::f27c:c701:2cab:fb4), das ist auch derjenige, der auf dhcpv6-Anfragen antwortet. Wenn ich das 2. Gateway z.B. zuweise (fe80::f27c:c701:30ab:fb4) statt des ersten, lässt mich das Gateway nicht durch.

Ich begreife nicht, warum es 3 RA-Server gibt (früher gab es nur einen), und warum nicht funktionierende Präfixe über SLAAC verteilt werden, ist mir ebenfalls unklar. Früher wurde über RAs nur das Gateway verteilt, der Präfix wurde über dhcpv6 bezogen, damit wurde nur das Gateway über SLAAC automatisch zugewiesen und ich konnte die Routersuche anlassen.

Das Standardgateway lässt sich ebenfalls nicht anpingen (obwohl es funktioniert, wenn ich auf globale ipv6-Adressen zugreife), also:

ping -6 fe80::f27c:c701:2cab:fb4

Zeitüberschreitung der Anforderung.

Früher ging das, und das war hilfreich, wenn man schnell testen musste, ob man Zugriff auf das Gateway hat.

Könntet Ihr Euer Netz fixen, damit die Router Advertisements wie früher funktionieren? Also nur 1 RA-Server für Standardgateway-Zuweisung, und keine Präfix-Verteilung über SLAAC. Oder erklärt uns zumindest, wozu 3 RA-Server und die Präfix-Verteilung über SLAAC gut sind, denn, wie gesagt, 2 der 3 Gateways funzen nicht und keiner der 3 SLAAC-Präfixe

Noch nicht sicher, wie ich das in opnsense "fixen" soll...

Und letzter Nachtrag: Nach den Wartungsarbeiten am Montag und den IPv6 Problemen geht es nun wieder, ohne dass ich etwas ändern musste. Das LAN Interface hat nun ein (neues) Prefix.

Hallo,

Nachdem IPV6 bei mir einige Zeit garnicht mehr funktionierte, keine IPV6 Adresse, kein Prefix-Delegation, gibg es plötzlich nach Wartungsarbeiten von Vodafone wieder und seit dem ist es absolut stabil.

Sollte Vodafone IPv6 verstanden haben - wäre ja mal ein Lichtblick. Ich hoffe das bleibt jetzt auch mal lange Zeit so.

( Ex-Unitymedia/Vodafone Kabel NRW, gemietete FritzBox6591 im BridgeModus, OPNSense hinter der FritzBox )

IPv6 geht an und für sich. Einzige Problem, das ich noch habe, ist, dass IPv6 Pings über das WAN Interface nicht gehen (und somit auch das Gateway Monitoring).

Das WAN Interface bezieht über DHCPv6 die folgenden Einstellungen:
em0: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: WAN
        options=481059b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,LRO,VLAN_HWFILTER,NOMAP>
        ether aa:bb:cc:dd:ee:ff
        inet6 fe80::xxxx:xxxx:xxxx:xxxx%em0 prefixlen 64 scopeid 0x1
        inet6 2a02:3102:aaaa::aaaa prefixlen 64 autoconf
        inet6 2a02:908:bbbb::aaaa prefixlen 64 autoconf
        inet6 2a02:908:bbbb::bbbb prefixlen 128
        inet6 2a02:3102:aaaa::bbbb prefixlen 64 autoconf
        inet 176.xxx.xxx.xxx netmask 0xfffffe00 broadcast 255.255.255.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>

Das Dashboard zeigt mir für das WAN die 2a02:3102:aaaa::aaaa Adresse an (vermutlich einfach die erste nicht-lokale Adresse?). Diese wird auch für den Ping Befehl unter Interfaces Diagnostics genutzt. Wenn ich den Ping nun im Terminal ausführe mit allen WAN Adressen als Quelle, sieht es wie folgt aus:

/sbin/ping6 -S '2a02:3102:aaaa::aaaa' -c '3' 'heise.de' --> timeout
/sbin/ping6 -S '2a02:908:bbbb::aaaa' -c '3' 'heise.de' --> timeout
/sbin/ping6 -S '2a02:908:bbbb::bbbb' -c '3' 'heise.de' --> Funktioniert
/sbin/ping6 -S '2a02:3102:aaaa::bbbb' -c '3' 'heise.de' --> timeout

Das bedeutet nur bei der WAN Adresse, die nicht "autoconf" als Merkmal hat, funktioniert es. Wenn ich es richtig verstanden habe, ist dies die Adresse, die ich über DHCPv6 erhalte und die  anderen drei über SLAAC? Siehe auch dieser Thread im Unitymediaforum (https://www.unitymediaforum.de/threads/40671/post-494058) (nur das ich zusätzlich die nicht-autoconf IP erhalte).

Falls noch jemand das Problem hat:
Damit ich wieder IPv6 direkt in Opnsense (Updates prüfen/ausführen, ping, traceroute,gateway monitor) nutzen konnte, habe ich nun manuell die "prefer_source" Option auf die funktionierende IPv6 Adresse gesetzt:
ifconfig em0 inet6 2a02:908:xxxx::xxxx prefer_source

Quote from: pp on August 12, 2022, 12:57:34 PM
Falls noch jemand das Problem hat:

Danke für den Tip.

Ich hab das Thema IPv6 bei mir lange ignoriert, weil es derzeit auch läuft. Aber fertig bin ich damit noch nicht.
Ich möchte unbedingt meine PiHole's wieder komplett nutzen und denen statische IPv6-Adressen geben und die dann per DHCPv6 von der OPNSense auch verteilen.
Da hängt es derzeit noch.
Im Moment macht AdGuard bei mir noch die Filterung IPv6-seitig direkt auf der OPNSense, dessen Adresse ist ja = dem Gateway und somit kein PRoblem bei DHCP.