Hallo,
ich habe ein eigenartiges Problem mit meiner OpnSense Konfiguration. Wir haben für IPV6 feste Adressbereiche und es gibt ein Transfer-Netzwerk für die Verbindung zum ISP. Das IPV6 Routing aus dem internen (festen) IPV6 Netz funktioniert einwandfrei, nur wenn ich lokal auf dem OpnSense eine externe Adresse erreichen möchte, dann läuft das ins Leere. Wir haben außer den Standard-Regeln nicht viele besondere (Port 80 / 443 auf HAProxy freigegeben), daher hab ich auch keine Idee, daß wir das versehentlich blocken.
Problem ist, daß damit der Update-Prozess fehlschlägt, weil vom OpnSense nix über IPV6 herausgeht.
Ping in den Diagnostics funktioniert auch, wenn ich als Source die IPV6 des LAN-Interface wähle. Bei der IPV6 vom WAN hab ich 100% Packet loss.
Besten Dank schon einmal im Voraus
Matthias Müller
Geht DNS auf der OPNsense selber, also wird z.B. im Shell z.B. 'host one.one.one.one' aufgelöst. Wie ist DNS umgesetzt (DNSmasq, Unbound)?
root@OPNsense:~ # host one.one.one.one
one.one.one.one has address 1.0.0.1
one.one.one.one has address 1.1.1.1
one.one.one.one has IPv6 address 2606:4700:4700::1111
one.one.one.one has IPv6 address 2606:4700:4700::1001
Ping von der Shell aus? Wenn es nicht klappt, was ist die Fehlermeldung?
root@OPNsense:~ # ping6 -c3 2606:4700:4700::1111
PING(56=40+8+8 bytes) fdaa:b2b4:d8b2:1000:fdaa::46 --> 2606:4700:4700::1111
16 bytes from 2606:4700:4700::1111, icmp_seq=0 hlim=56 time=5.648 ms
16 bytes from 2606:4700:4700::1111, icmp_seq=1 hlim=56 time=5.555 ms
16 bytes from 2606:4700:4700::1111, icmp_seq=2 hlim=56 time=5.594 ms
--- 2606:4700:4700::1111 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 5.555/5.599/5.648/0.038 ms
Hat die WAN Schnittstelle eine IP aus dem Transfernetz und ist eine Defaultroute gesetzt?
root@OPNsense:~ # netstat -rnf inet6
Routing tables
Internet6:
Destination Gateway Flags Netif Expire
default fdaa:b2b4:d8b2:1000:fdaa::1 UGS vtnet0
::1 link#4 UHS lo0
...
Wie weit kommt ein traceroute6?
root@OPNsense:~ # traceroute6 -n 2606:4700:4700::1111
traceroute6 to 2606:4700:4700::1111 (2606:4700:4700::1111) from fdaa:b2b4:d8b2:1000:fdaa::46, 64 hops max, 28 byte packets
1 fdaa:b2b4:d8b2:1000:fdaa::1 0.224 ms 0.090 ms 0.035 ms
2 ...:11:a 0.357 ms 0.245 ms 2.893 ms
3 2a01:4f8:0:3::1b5 0.354 ms 0.656 ms
2a01:4f8:0:3::695 4.053 ms
4 2a01:4f8:0:3::4da 4.938 ms 4.960 ms
2a01:4f8:0:3::4ce 4.925 ms
5 2a01:4f8:0:3::2fe 5.277 ms 5.284 ms
2a01:4f8:0:3::7e 5.333 ms
6 2400:cb00:71:2:2:4940:: 23.006 ms
2a01:4f8:0:e0f0::6a 6.145 ms
2400:cb00:71:2:2:4940:: 14.647 ms
7 2400:cb00:71:2::1 8.519 ms 24.217 ms 6.528 ms
8 2400:cb00:470:3:: 29.866 ms
2400:cb00:636:3:: 6.318 ms
2400:cb00:472:3:: 5.867 ms
9 2400:cb00:636:1024::a29e:5def 5.747 ms
2400:cb00:636:1024::a29e:5dea 5.810 ms
2400:cb00:696:1024::ac45:9560 5.616 ms
Ist das Transfernetz denn GUA? Hast du den ISP mal gefragt, ob man mit dem ins Internet raus kommen sollte?
nur mal ganz schnell....
das ist doch ULA!?
Internet6:
Destination Gateway Flags Netif Expire
default fdaa:b2b4:d8b2:1000:fdaa::1 UGS vtnet0
::1 link#4 UHS lo0
Solltew da nicht NAT ins Spiel kommen?
Quote from: Zapad on January 09, 2026, 02:54:28 PMnur mal ganz schnell....
das ist doch ULA!?
Hätte auch nochmal lesen können statt nachzufragen - natürlich ist das ULA: fc00::/7.
Damit als Source-Adresse kommt man nicht ins Internet. Ist wie ein Transfernetz mit RFC 1918 in IPv4.
@balkemueller probier mal eine einzelne Adresse aus dem /64 an LAN mit einer /128 Prefixlänge als Alias auf WAN zu legen. So machen wir das mit unseren Hosting-Servern bei Hetzner.
Quote from: Zapad on January 09, 2026, 02:54:28 PMnur mal ganz schnell....
das ist doch ULA!?
Ich bin nicht der OP, aber ja das ist eine ULA und ich NAT-e es weil es einfach ging mit dem Hetzner /64 Prefix und dem Proxmox Server der drauf läuft.
also wenn ich recht verstehe du hast WAN ULA und Clients GUA und möchtest von den Clients WAN Pingen!?
Loide, balkemueller ist der OP. Nochmal lesen...
Aber DNS ist die heisseste Spur, gefolgt von ULA :-D