OPNsense Forum

OPNsense 23.7.7_3-amd64
FreeBSD 13.2-RELEASE-p3
OpenSSL 1.1.1w 11 Sep 2023


Hallo,

ich verwenden eine DEC3850 und möchten IPv6 einrichten.

Unser Anbieter gibt uns zwei statische IPv6 Netze. Ein /124 für das WAN Interface (Kommunikation zwischen uns und dem ISP) und ein /62 Subnet zur freien Verwendung. Soweit ich weiß wird SLAAC nicht untersützt.

Bei dem WAN Interface ist mit static IPv6 die Verbindung zum Anbieter konfiguriert und das klappt soweit auch.
(https://cloud.taktischerspeck.me/s/QjXWFaqjeAnjN2Z/preview)

Jetzt wollte ich das /62 Netzwerk mehrere /66 Netze unterteilen. Dafür habe ich mein erstes Netz so konfiguriert / gedacht:


Ausgang: XXXX:XXX:X:28c:: /62

Subnet-1:
XXXX:XXXX:X:28c0::/66
Gateway: XXX:XXX:X:28c0::1
DHCP Anfang: XXXX:XXX:0:28c0::4
DHCP Ende: XXXX:XXXX:0000:28c0:3fff:ffff:ffff:ffff


Wie oben beschrieben habe ich dem Adapter von dem Subnetz die IP XXX:XXX:X:28c0::1 gegeben und die DHCP range gesetzt.
Ich erhalte eine IPv6, jedoch funktioniert z.B. ipv6-test.com nicht.

Ich bin etwas ratlos was genau ich nicht verstehe / falsch mache.
Ein Gedanke war das Gateway vom Anbieter als Gateway für die static IPv6 des Subnetz Adapters einzutragen.
Dabei erhalte ich aber die Meldung das mein Gateway nicht im Subnetz liegt, was an sich auch richtig ist.

Hat jemand Ideen was ich falsch mache / was ich nicht verstehe?

LG Vincent

//Edit
Bzgl. Firewall Rules, ich habe alle Rules vom Interface und WAN auf IPv6 und IPv4 geändert, sehe in der Live View beim Ping / Traceroute auch kein Block

Kannst du mir erklären warum du /66 Netze machen willst? Ich würde immer versuchen /64 Netze zu machen um SLAAC zu unterstützen.

Wenn ich es richtig verstehe, könnte man aus dem /62 Netz, 4x /64 Netze machen, oder nicht?

Gegebenes Netzwerk: XXXX:XXXX:X:28c0::/62

/64 Subnetz: XXXX:XXXX:X:28c0::/64
/64 Subnetz: XXXX:XXXX:X:28c1::/64
/64 Subnetz: XXXX:XXXX:X:28c2::/64
/64 Subnetz: XXXX:XXXX:X:28c3::/64

Ich bin mir hier aber unsicher.

Genau, /64er und Gateway ist natürlich immer das jeweilige Sense Interface, nicht das am WAN.

Hi,

nebenbei bemerkt: ein /62 Präfix ist aber schon ziemlich jämmerlich. Eigentlich sind /64-er Subnetze normal und es gibt sogar RFC 7421 dazu, welches die Probleme mit nicht-/64-er Subnetzen diskutiert.

https://www.rfc-editor.org/rfc/rfc7421#section-4.2

Dazu noch ein paar Fragen:
Hast du eine öffentliche IPv6 am Client erhalten und passt diese auf das Subnetz?
Gibt es die entsprechenden Pass Regeln auf dem Interface?


Ansonsten könntest du per Packet Capture anschauen, ob der IPv6 Traffic überhaupt über das WAN raus geht bzw. Antworten kommen.

Er kann froh sein, ein /62 Netz und nicht nur ein /64 Netz bekommen zu haben. Und durch das Transportnetz kann er sogar alle 4 Netze nutzen.

Eigendlich sollten ISPs jedem Endkunden ein /56 Netz geben.

@TaktischerSpeck hat aber /66 konfiguriert (was zu klein ist), nicht den /62er Präfix des Providers.

Man sollte tatsächlich vier Dinge tun:

1. /64er Subnetze definieren, wie @Monviech schrieb, damit SLAAC geht
2. Das Gateway in den Subnetzen auf die jeweiligen Interface-IPv6s der OpnSense legen
3. SLAAC / RA auf den lokalen Interfaces aktivieren ("Track Interface")
4. Die Firewall-Regeln checken/einstellen

Ja, es kann immer noch schlimmer kommen. Man könnte Kunde bei EWE sein (egal ob Privat oder Geschäftlich).

https://twitter.com/Moin_EWE/status/1250416373055901696?lang=de

Erstmal vielen Dank für die ganzen Antworten und Hilfe!

Ich würde bei meinen ISP mal nach einem größeren Prefix fragen weil ich bräuchte bzw. möchte stand jetzt 7 Subnets für 7 VLANs.

Bis dahin würde ich das ganze einfach mal anhand einem /64 ausprobieren.


1. /64er Subnetze definieren, wie @Monviech schrieb, damit SLAAC geht
2. Das Gateway in den Subnetzen auf die jeweiligen Interface-IPv6s der OpnSense legen
3. SLAAC / RA auf den lokalen Interfaces aktivieren ("Track Interface")
4. Die Firewall-Regeln checken/einstellen


Ich bin etwas mit dem "Plan" überfordert. Ich definiere jetzt für mich (also ich mache nirgendwo eine Einstellung dafür?) das mein Subnetz für mein VLAN 20 die XXXX:XXXX:XXXX:28c0::/64 ist.
Jetzt muss ich meine Adapter anpassen und was genau einstellen?

Erste Gedanke war Subnetz interface -> IPv6 auf Trackinterface. Jetzt ist der dropdown für IPv6 Interface komplett leer und ich weiß nicht weiter.

Danke nochmal :)

Quote from: meyergru on November 02, 2023, 10:29:44 AM
3. SLAAC / RA auf den lokalen Interfaces aktivieren ("Track Interface")

Track Interface macht meiner Meinung nach nur Sinn, solange das WAN auf DHCPv6 steht und der Prefix auch mittels DHCP verteilt wird. OP hat aber hier eine statische Konfiguration gemacht. Das kann, muss aber nicht richtig sein.  :D

Hi,

"Track Interface" wie schon erwähnt nur, wenn WAN per DHCPv6 versorgt wird. Steht WAN auf statisch, richtest du entsprechend statische Adressen für jedes Subnetz ein - und musst natürlich darauf achten, dass sie sich nicht überschneiden.

Also z.B.:  (Beispiel /56-er Netz)

xxxx:xxxx:xxxx:xx00::1/64
xxxx:xxxx:xxxx:xx01::1/64
xxxx:xxxx:xxxx:xx02::1/64

Ich übernehme z.B. wenn möglich die VLAN ID in den Präfix.

xxxx:xxxx:xxxx:xx<VLAN_ID>::1/64

Okay also ich konfiguriere gleich mein Interface vom vlan mit einer static IPv6. Upstream Gateway lass ich einfach auf Auto?

Dann stell ich RA ein und alles sollte funktioniert?

Bei nicht-/64 garantiert dir niemand für irgendwas. Bei /64 müsstest du noch zusehen, wie du DNS an den Client bringst. SLAAC reicht da nicht, d.h. du brauchst RA auf "Stateless" oder gleich "Assisted" oder "Managed".

Und natürlich entsprechende Pass Regeln in der Firewall.

Gateway bleibt auf Auto.

DNS mit SLAAC geht entweder, wenn auch DHCPv4 genutzt wird oder indem man in den radvd-Einstellungen auch DNS-Einstellungen konfiguriert. Das sollte dann in RDNSS- und DNSSL-Einträgen in /var/etc/radvd.conf resultieren.

Ich kann mich nur wiederholen, vielen Dank für die Hilfe!

Also mein aktueller Stand:

Ein /64 Netz auf einem Adapter mit static IPv6 konfiguriert, Gateway auf Auto. (XXXX:XXX:X:28c0::)
DHCPv6 konfiguriert, von ::2 bis ffff.
RA konfiguriert, Managed mit DNS auf ::1 (Also Unbound DNS von der FW)) und als fallback Cloudflare, (ansonsten habe ich bei RA nichts gemacht, denke das ist richtig so?)

Default Route besteht und ist korrekt.
(https://cloud.taktischerspeck.me/s/aXas9KQGEq8ztPz/preview)

Firewall an sich kann IPv6 und die traceroute nutzt auch das GW vom ISP etc.
(https://cloud.taktischerspeck.me/s/m47HeoQJ4sapr9i/preview)
(https://cloud.taktischerspeck.me/s/QCLeNjCGY92JbBk/preview)

Mein PC bekommt eine IPv6 und auch den DNS Server über RA

Ethernet-Adapter Ethernet:
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : XXXX:XXX:X:28c0:cX6X:XcX1:bXX0:X6X4(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::60b6:10c8:17a5:ee35%15(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 172.XX.XX.XXX(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.XXX.0
   Standardgateway . . . . . . . . . : fe80::f690:eaff:fe00:69f4%15
                                       172.XX.XX.1
   DHCP-Server . . . . . . . . . . . : 172.XX.XX.1
   DNS-Server  . . . . . . . . . . . : XXXX:XXX:X:28c0::1
                                       172.XX.XX.1


Traceroute von meinen PC
(https://cloud.taktischerspeck.me/s/KsKZGH8m9jCSyQ8/preview)

NSLookup funktioniert auch, zumindest antwortet mir die FW über IPv6
(https://cloud.taktischerspeck.me/s/r8oP5MFB4sjEN5g/preview)

Mir kommt das Standardgateway fe80::f690:eaff:fe00:69f4%15, komisch vor.
Weiß aber auch nicht wie ich jetzt ab den Punkt weiter vorgehe.

LG Vincent

Der Standardgateway ist korrekt. Es sollte die Link Local IPv6 Adresse der Firewall des jeweiligen Interfaces sein in dem der Client ist der die Anfrage macht. fe80:: sind die Link Local Adressen.

Das %15 bedeutet, weil Link Local Adressen "LOCAL" sind und nur im Realm eines Interfaces existieren, die LAN Verbindung 15 bei Microsoft Windows.

Wenn es noch nicht funktioniert hat der ISP über das Transportnetz wohl keine Route auf die IPv6 WAN Adresse der Firewall gesetzt, um dein /62 Netz auch wirklich dort hin zu Routen.

Oder es besteht noch Nachholbedarf bei den Firewall Regeln, sodass IPv6 Zugelassen wird.

Ich würde ein Packet capture auf dem WAN interface machen:

tcpdump -i wan proto ICMP -n

Dann nochmal pingen und schauen ob die Pakete aus dem WAN Interface raus zum Provider gehen. Wenn ja, liegt das Problem beim ISP.

Quote from: TaktischerSpeck on November 03, 2023, 09:04:37 AM
Also mein aktueller Stand:

Ein /64 Netz auf einem Adapter mit static IPv6 konfiguriert, Gateway auf Auto. (XXXX:XXX:X:28c0::)

Wer ist denn dein "ISP"?

Quote from: Monviech on November 03, 2023, 09:15:56 AM
Der Standardgateway ist korrekt. Es sollte die Link Local IPv6 Adresse der Firewall des jeweiligen Interfaces sein in dem der Client ist der die Anfrage macht. fe80:: sind die Link Local Adressen.

Das %15 bedeutet, weil Link Local Adressen "LOCAL" sind und nur im Realm eines Interfaces existieren, die LAN Verbindung 15 bei Microsoft Windows.

Wenn es noch nicht funktioniert hat der ISP über das Transportnetz wohl keine Route auf die IPv6 WAN Adresse der Firewall gesetzt, um dein /62 Netz auch wirklich dort hin zu Routen.

Oder es besteht noch Nachholbedarf bei den Firewall Regeln, sodass IPv6 Zugelassen wird.

Ich würde ein Packet capture auf dem WAN interface machen:

tcpdump -i wan proto ICMP -n

Dann nochmal pingen und schauen ob die Pakete aus dem WAN Interface raus zum Provider gehen. Wenn ja, liegt das Problem beim ISP.

(https://cloud.taktischerspeck.me/s/GagjzwPfR69ApnK/preview)

Meine IPv6 (28c0:c262:7c61:b300:b614), Ziel ist IPv6 von heise.de
Sieht für mich so aus als würden die Pakete ohne Probleme rausgehen.

Quote from: Bob.Dig on November 03, 2023, 09:29:47 AM
Wer ist denn dein "ISP"?

Mein ISP ist sehr regional, solange es nicht nötig ist würde ich das gerne für mich behalten.

Danke euch :)

Ist der ISP die Fritzbox des Nachbarn? Neh ist nur Spaß.  :)
(Falls doch: https://docs.opnsense.org/manual/how-tos/ipv6_fb.html)


Sieht gut aus wenn die Pakete rausgehen. Da stimmt dann das Routing des ISP nicht da keine Antwort zurück kommt.

Am Rande: Managed DNS mit ::1 wird nicht wirklich funktionieren, außer, jeder Client kann seine DNS-Anfragen selbst beantworten... ;-)

Absolut lächerlich, ich weiß nicht welchen CIDR Calculator ich verwendet habe aber irgendwo bin ich oder die website mit den Nullern durcheinander gekommen.

28c::/62 ist mein Subnet.
Ich habe 28c0 als mein erstes /64 Subnet Konfiguriert.
Jedoch gehören mir 28c::,28d::,28e::,28f:: /64
Weiß nicht wie das nicht aufgefallen ist aber es geht, alles klappt.

Vielen Dank für eure Hilfe und Erklärungen :)

Quote from: meyergru on November 03, 2023, 10:29:27 AM
Am Rande: Managed DNS mit ::1 wird nicht wirklich funktionieren, außer, jeder Client kann seine DNS-Anfragen selbst beantworten... ;-)

-> Dumme frage aber mein Interface hat die ::1, UnboundDNS hört auf alle interfaces und laut NSLookup antwortet auch die IPv6 von Unbound, was genau ist falsch?

::1 ist das IPv6-Äquivalent von 127.0.0.1, das ist der Rechner selbst auf dem localhost-Interface. Wenn man (nur) diese Adresse an Clients verteilt, fragen sie sich ggf. selbst.

::1 ist die IPv6 Loopback-Adresse, die liegt auf lo0. Oder meinste du "irgendein Prefix" + ::1, also z.B. dead:beef:dead:beef::1? Dann schreib das doch auch.