1
German - Deutsch / OPNSense hat keine Route zu delegiertem dynamischen IPv6-Prefix.
« on: June 12, 2023, 09:48:43 am »
Hi,
ich baue gerade ein Netz auf, hierzu habe ich ein kleines Diagramm mit den entsprechenden Komponenten skizziert und angehangen.
Der Draytek "Router" hängt an einer VDSL-Leitung und läuft im Bridge-Mode - dient somit also nur als Modem. Den VLAN-Tag musste ich über den Draytek konfigurieren, da der Full-Bridge-Mode bei diesem Modell in der Router-Konfiguration nicht angeboten wird - macht aber nichts, die IP-Adresse(n) kann ich trotzdem über den OPNSense beziehen.
Die dahinterliegende OPNSense bezieht über das WAN-Interface eine IPv4 Adresse (dynamische Adressvergabe, keine statische Adresse) und einen entsprechenden /56er-Prefix aus dem Telekom-Adressraum mittels PPPoE (IPv4) bzw. DHCPv6 (IPv6). Die IPv4 erwähne ich nur, weil die Option "Use IPv4 connectivity" bei dem Interface ausgewählt wurde.
Das LAN-Interface der OPNSense ist als Track-Interface mit der Prefix-ID 0x0 konfiguriert.
Für das LAN-Interface wurde die virtuelle IP fd00:1::1/64 vergeben.
Für das LAN-Interface wurde ein radvd im "assisted" Mode konfiguriert, so dass Client1 und Client2 per SLAAC eine ULA aus dem Bereich fd00:1::/64 und eine GUA aus dem von der Telekom zugewiesenen Adressraum konfigurieren können.
Das klappt soweit auch gut. Google ist pingbar von Client1 und Client2 aus.
Als Firewall-Regel habe ich für das LAN Interface jetzt erstmal alles zugelassen, um besser debuggen zu können.
Auf der OPNSense wurde ein Gateway zum Router2 konfiguriert (Router2 hat auf dem entsprechenden Interface die statische Adresse fd00:1::2/64). Das klappt auch soweit, das Gateway wird als Online angezeigt und ist von der OPNSense heraus auch pingbar auf der fd00:1::2.
Die OPNSense delegiert über DHCPv6 auf dem LAN-Interface den Prefix mit der Prefix-Range ::1:0:0:0:0 - ::1:0:0:0:0 /64.
Das klappt auch soweit - unter Services -> DHCPv6 -> leases wird hier unter "Delegated Prefixes" ein entsprechender lease angezeigt.
Der Router2 bekommt den Prefix delegiert, auch hier werden entsprechend RAs an den Client3 und Client4 verteilt.
Client3 und Client4 erhalten sowohl eine fd00:2::/64er Adresse als auch eine GUA aus dem delegierten Prefix.
Cient3 kann Client4 pingen. Client3 kann Client1 und Client2 auf der fd00:1::er Adresse problemlos pingen. Client3 kann die OPNSense auf der fd00:1::1 pingen.
Client3 kann die GUA auf Router2 auf dem Interface1 pingen.
Was nicht mehr geht:
- Client3 kann Client1 nicht auf der GUA pingen
- Client3 kann Google nicht pingen.
- OPNSense kann Client3 auf der GUA nicht pingen.
Ich habe jetzt mal auf Client 1 Wireshark laufen lassen, während Client3 versucht hat, Client1 zu pingen:
Der Ping-Request von Client3 kommt bei Client1 an, Client1 versucht auch zu antworten, schickt aber seine Antwort an sein Gateway - und das ist das LAN-Interface der OPNSense. Die OPNSense hat aber scheinbar keine Route zu dem Prefix, den sie delegiert hat. Da der Prefix aber seitens der Telekom dynamisch vergeben wird, kann ich keine statische Route festlegen.
Mein Ziel ist es, dass ich mit Client3 nachher mit dem delegierten Prefix auch wirklich nach draußen kommunizieren kann. Das geht leider derzeit nicht.
Habe ich ggf. irgendwo was falsch konfiguriert oder ist es normal das OPNSense bei delegiertem Prefix keine Route vergibt?
Da der ursprüngliche /56er Prefix blöderweise dynamisch von der Telekom vergeben wird, kann ich leider auch keine statische Route festlegen.![Sad :(](https://forum.opnsense.org/Smileys/default/sad.gif)
Ich hoffe, ich habe es detailliert genug beschrieben...falls etwas fehlt, gebt mir Bescheid, dann reiche ich es gerne nach.
Viele Grüße
ph0llux
ich baue gerade ein Netz auf, hierzu habe ich ein kleines Diagramm mit den entsprechenden Komponenten skizziert und angehangen.
Der Draytek "Router" hängt an einer VDSL-Leitung und läuft im Bridge-Mode - dient somit also nur als Modem. Den VLAN-Tag musste ich über den Draytek konfigurieren, da der Full-Bridge-Mode bei diesem Modell in der Router-Konfiguration nicht angeboten wird - macht aber nichts, die IP-Adresse(n) kann ich trotzdem über den OPNSense beziehen.
Die dahinterliegende OPNSense bezieht über das WAN-Interface eine IPv4 Adresse (dynamische Adressvergabe, keine statische Adresse) und einen entsprechenden /56er-Prefix aus dem Telekom-Adressraum mittels PPPoE (IPv4) bzw. DHCPv6 (IPv6). Die IPv4 erwähne ich nur, weil die Option "Use IPv4 connectivity" bei dem Interface ausgewählt wurde.
Das LAN-Interface der OPNSense ist als Track-Interface mit der Prefix-ID 0x0 konfiguriert.
Für das LAN-Interface wurde die virtuelle IP fd00:1::1/64 vergeben.
Für das LAN-Interface wurde ein radvd im "assisted" Mode konfiguriert, so dass Client1 und Client2 per SLAAC eine ULA aus dem Bereich fd00:1::/64 und eine GUA aus dem von der Telekom zugewiesenen Adressraum konfigurieren können.
Das klappt soweit auch gut. Google ist pingbar von Client1 und Client2 aus.
Als Firewall-Regel habe ich für das LAN Interface jetzt erstmal alles zugelassen, um besser debuggen zu können.
Auf der OPNSense wurde ein Gateway zum Router2 konfiguriert (Router2 hat auf dem entsprechenden Interface die statische Adresse fd00:1::2/64). Das klappt auch soweit, das Gateway wird als Online angezeigt und ist von der OPNSense heraus auch pingbar auf der fd00:1::2.
Die OPNSense delegiert über DHCPv6 auf dem LAN-Interface den Prefix mit der Prefix-Range ::1:0:0:0:0 - ::1:0:0:0:0 /64.
Das klappt auch soweit - unter Services -> DHCPv6 -> leases wird hier unter "Delegated Prefixes" ein entsprechender lease angezeigt.
Der Router2 bekommt den Prefix delegiert, auch hier werden entsprechend RAs an den Client3 und Client4 verteilt.
Client3 und Client4 erhalten sowohl eine fd00:2::/64er Adresse als auch eine GUA aus dem delegierten Prefix.
Cient3 kann Client4 pingen. Client3 kann Client1 und Client2 auf der fd00:1::er Adresse problemlos pingen. Client3 kann die OPNSense auf der fd00:1::1 pingen.
Client3 kann die GUA auf Router2 auf dem Interface1 pingen.
Was nicht mehr geht:
- Client3 kann Client1 nicht auf der GUA pingen
- Client3 kann Google nicht pingen.
- OPNSense kann Client3 auf der GUA nicht pingen.
Ich habe jetzt mal auf Client 1 Wireshark laufen lassen, während Client3 versucht hat, Client1 zu pingen:
Der Ping-Request von Client3 kommt bei Client1 an, Client1 versucht auch zu antworten, schickt aber seine Antwort an sein Gateway - und das ist das LAN-Interface der OPNSense. Die OPNSense hat aber scheinbar keine Route zu dem Prefix, den sie delegiert hat. Da der Prefix aber seitens der Telekom dynamisch vergeben wird, kann ich keine statische Route festlegen.
Mein Ziel ist es, dass ich mit Client3 nachher mit dem delegierten Prefix auch wirklich nach draußen kommunizieren kann. Das geht leider derzeit nicht.
Habe ich ggf. irgendwo was falsch konfiguriert oder ist es normal das OPNSense bei delegiertem Prefix keine Route vergibt?
Da der ursprüngliche /56er Prefix blöderweise dynamisch von der Telekom vergeben wird, kann ich leider auch keine statische Route festlegen.
![Sad :(](https://forum.opnsense.org/Smileys/default/sad.gif)
Ich hoffe, ich habe es detailliert genug beschrieben...falls etwas fehlt, gebt mir Bescheid, dann reiche ich es gerne nach.
Viele Grüße
ph0llux