Moin.
Ich versuche auch gerade meine IPv6 Konfiguration zum Laufen zu bekommen.
Mein ISP macht seit kurzem DualStack, aber so richtig geht es noch nicht.
Meine OPNsense ist bei Version: 23.7.8_1
Hab einmal beim Einrichten, den Haken bei 'send ipv6 prefix hint gesetzt'
Daher wußte ich dann, prefix ist: /60 (leider aber kein /56)
Dann aufm LAN 'track interface' gesetzt und die Clients bekommen eine IPv6 mit /64 zugewiesen.
Folglich auch auf den internen Interfaces überall 'track interface' aktiviert und die 'ipv6 prefix id' hochgezählt (16 Subnetze, also 0-15 sollte ja möglich sein).
Nun haben auch fast alle Geräte auf den anderen Interfaces eine IPv6 Adresse.
Router Advertisements (unmanaged), DNS und Firewall Regeln dann auch noch angepaßt.
Bis dahin läuft alles einwandfrei.
(https://i.postimg.cc/W1Q1DFLR/ipv6-working.png)
Jetzt kommt das Kuriose....
Nach etwa 4 Stunden haben die Clients zwar noch ne IPv6 Adresse, aber es geht darüber nichts mehr.
Dann sieht es so aus:
(https://i.postimg.cc/YC4SqNPf/ipv6-failure.png)
Also in OPNsense rein und geschaut ob irgendwas klemmt. > aber sämtliche Dienste laufen wie gewohnt.
Erst wenn ich über die Konsole verbunden bin und im Menüpunkt 11 alle Dienste neu starte läuft es wieder rund.
Woran könnte das liegen, daß das nicht stabil ist, vielleicht an dem /60 Prefix?
Hi,
kannst du mal prüfen ob ein Neustart im radvd ausreicht?
Früher (tm) hatte ich öfter das Problem, dass radvd offiziell noch lief, aber nichts mehr tat und die Hosts keinen Router mehr kannten. Das war aber mindestens vor 23.1.
Leider reicht das nicht aus.
Das hatte ich auch schon versucht.
Also besser gesagt, hab nach und nach alle Dienste in der GUI manuell neugestartet.
Erst wenn in der Konsole alle Dienste auf einmal nen 'restart' bekommen, geht es wieder.
Mir ist vorhin auch noch was aufgefallen.
Wenn ich meine Switche und Accesspoints von Mikrotik mit IPv6 versorgen will, ziehen die Mikrotiks keine IPv6 Adressen, auch wenn ansich alle anderen Geräte laufen. Die erkennen den SLAAC Pool irgendwie gar nicht.
Das hat mich noch mehr stutzig gemacht.
Also hab eben mal mit einem Kumpel das gleiche bei ihm Zuhause versucht.
Ähnlicher Aufbau nur halt mit Telekom als ISP.
Dort bekommt er nen /56er Prefix und alle Geräte laufen, selbst seine Mikrotik Accesspoints.
Jetzt ist zwischen uns meines Erachtens nur noch ein Unterschied.
Er hat seine OPNsense bare-metal auf nem Mini Rechner.
Bei mir ist die als VM auf nem Proxmox drauf.
Welche Schnittstellenkonfiguration hast du denn für WAN?
Außerdem kannst du mal ein Packet Capture auf LAN machen, wenn du die Mikrotiks oder andere Geräte neu ins Netz bringst. Bei SLAAC würde eine Anfrage an ff02::2 gesendet (Multicast), die dann von OPNsense beantwortet würde (alles ICMPv6).
Kommt die nicht, ist es ein OPNSense Problem. Kommt die, dann müsste man mal schauen, was da so drin steht.
Außerdem würde mich interessieren, was nach ein paar Stunden nicht mehr geht. Du hattest die Screenshots, dass kein IPv6 Traffic im Internet ankommt gezeigt, aber sind die Adressen noch zugewiesen und werden von der Firewall blockiert?
Auch das könnte man mit einem Packet Capture untersuchen.
Letzte Frage: Betrifft das nur Motik oder auch Geräte von anderen Herstellern/Betriebssystemen?
Moin.
Danke für die Hinweise.
In der WAN Konfiguration steht folgendes drin:
IPv4 config type: dhcp
IPv6 config type: dhcpv6
prefix delegation size: 60
sent prefix hint: [haken gesetzt]
Wenn ich auch den Haken für 'request only a prefix' setze, macht das keinen Unterschied.
Hab jetzt auch mal ein wenig geprüft.
Im Packet capture kommt keine Multicast Anfrage an. (Hab das ganze Teil mehrfach geprüft)
Nach ein paar Stunden...den Zeitraum würde ich jetzt mal zwischen 2 und 4 Stunden legen.
Das Internet wird gefühlt langsam, also bis eine Anfrage beantwortet wird.
Wenn ich einen Client nehme, hat der zwar noch ne IPv6 Adresse aber kein Ping oder ähnliches geht dann noch.
Ich vermute die Trägheit kommt dann dadurch, weil er erst IPv6 prüft und dann auf IPv4 umstellt.
Hab die Dienste eben erst neu gestartet und somit müßte ich nachher nochmal prüfen ob die Firewall was blockt.
Die Einrichtung, daß SLAAC nicht funktioniert betrifft nur die Mikrotik's (sowie die Geräte, die kein IPv6 können).
Ich war heut bei uns im Dorf unterwegs und hab noch bei einem weiteren Kumpel geprüft.
Der hat den gleichen ISP wie ich. Da tritt auch der gleiche Fehler auf.
Der hat seine OPNsense bare-metal und keine Mikrotiks im Einsatz.
Meine OPNsense ist ja auf Proxmox virtualisiert.
So.
War heute den ganzen Tag unterwegs.
Jetzt gerade geht es nicht mehr...
Aber die hab mal in das Firewall LiveView geschaut.
Da wird doch der 'icmp-v6 ping' geblockt.
Mein Telefon hat sich eben eingewählt und auch ne IPv6 Adresse bekommen.
Nun hab ich grad mal weiter geforscht. Alle ping-v6 Versuche die ich lokal mache laufen.
Mir erklärt sich aber gerade nicht, warum die OPNsense den IPv6 Traffic erst nach ner Weile blockiert.
Regeln sind doch da...
und auch ein reload der Firewall Regel per configctl bringt keine Besserung.
Weißt du welche Regel das war? Scheinbar macht dein ISP komische Sachen.
Ähm. Da hat sich ein Schreibfehler eingeschlichen.
Ich meinte die "Regeln" und die kann ich ja über configctl filter reload neu laden/starten/anwenden.
Was meinst du soll ich meinem ISP sagen, wenn ich da morgen mal anrufe?
Ich meinte die Regel, die das ICMP-v6 blockt. Es muss einen Grund geben, warum die zuschlägt.
Grundsätzlich müsste der Provider erklären, wie die Adressvergabe in seinem Netz technisch umgesetzt wird. Evtl. gibt es da ein Datenblatt?
Sehen tu ich da nichts.
Also ich habe im LAN jetzt mal die 'allow all' IPv6 Regel aktiviert und die Anderen deaktiviert.
Wenn nichts mehr geht sehe ich Folgendes im Firewall-LiveView:
001_lan 2023-11-22T20:13:05 [2a01:75c2:9314:xxxx:xxxx:xxxx:xxxx:xxxx]:9639 [2607:f8b0:4008:814::200e]:443 tcp
Mit der Anfrage wollte ich ipv6.google.com erreichen.
Ich hab jetzt aber nochmal alles überflogen. Hatte dann auch noch zwischenzeitlich den 'dhcpv6-server' auf dem LAN Interface aktiviert (um damit auch mal gegen zu prüfen). Dabei ist mir gerade aufgefallen, daß da was nicht hinhauen kann.
Im DHCPv6 steht vom LAN Interface bei möglichem Bereich:
von: 2a01:75c2:9314:xxxx:: bis 2a01:75c2:9314:xxxx:ffff:ffff:ffff:ffff
Wenn ich aber im Overview des WAN Interface schaue, hab ich aber gerade folgendes Prefix: 2a01:75c2:9318:xxxx::/60
Mein Client hier, hat aber auch noch die Adresse gehabt: 2a01:75c2:9314:xxxx:xxxx:xxxx:xxxx:xxxx
Das Prefix: ::9314:: hatte ich die Tage mal. Das zählt irgendwie hoch oder runter.
Denn jetzt gerade habe ich mal wieder alle Dienste in der Konsole neu gestartet und nun habe ich dieses Prefix: 2a01:75c2:9315:xxxx::/60
Jetzt paßt der Bereich im DHCPv6 aber auch wieder (zumindest sehe ich es da): 2a01:75c2:9315:xxxx:: bis ...
Kann es sein, daß sich da was nicht aktualisiert?
Wenn das dann ein anderes Prefix ist, ist auch klar, warum die die Firewall blockt, ohne einen Hinweis auf eine bestimmte Regel zu geben.
Hab nun den DHCPv6 auf dem LAN erstmal wieder aus geschaltet und beobachte mal wie es sich dann mit dem Prefix verhält.
Reicht dir SLAAC nicht anstelle von DHCPv6?
Wie sieht es ohne OPNsense aus, die selben Probleme?
Quote from: Patrick M. Hausen on November 22, 2023, 08:33:21 PM
Reicht dir SLAAC nicht anstelle von DHCPv6?
SLAAC würde reichen, geht aber leider nicht.
Deswegen hatte ich ja mal testweise den DHCPv6 eingerichtet.
Bin fast am überlegen, ob ich mal nen festen IPv6 Block beantrage.
Quote from: Bob.Dig on November 22, 2023, 08:42:52 PM
Wie sieht es ohne OPNsense aus, die selben Probleme?
Kann ich leider bei mir nicht testen.
Hab nur die OPNsense mit nem Vigor Modem.
Alle anderen Leute hier im Dorf haben eine FritzBox, damit läuft es (gemessen mit unserem ISP).
Bei einem anderen Kumpel im Nachbardorf funzt es auch mit der OPNsense, aber der hat Telekom.
Kann man da irgendwie aus der Fritte was auslesen, damit ich vielleicht an die korrekten WAN Einstellungen komme?
Ich meine ja, die Fritzbox zeigt schon sehr viel an. Und die Vigors kann man auch als Router nutzen.
Ok, gerade nochmal von vorn gelesen. Also ursprünglich hattest du nur SLAAC unmanaged an? Dann mach das doch nochmal und guck, ob auch hier kein neues Prefix announced wird ...
Jupp.
Habe ich vorhin gemacht und jetzt beobachte ich das mal bis morgen.
Grüße.
Also es hat heute wieder gesponnen.
Das Prefix war aber noch das Gleiche.
Ich hab aber mal beim ISP angerufen.
Dort wurde mir gesagt, daß der DHCPv6 an der WAN Schnittstelle eine Lease-Time von 6 Stunden hat.
Da der Fehler zwischen 2 und 4 Stunden auftritt (gemittelt wären das ja 3 Stunden).
Es scheint so als wenn die OPNsense ein Problem hat, wenn ungefähr die Hälfte der Lease rum ist.
Der ISP sagt aber, daß die nur eine FritzBox bisher getestet hätten, da die meisten Kunden (99,8%) eine FritzBox haben.
Hab jetzt mal ein festes Prefix beantragt.
Das wollen sie morgen im Meeting besprechen.