Messages

Off topic. This thread was about an incorrect configuration which never worked.

OPNsense is not vanilla FreeBSD. The dhcp6c config is in /var/etc and services are (re)started via the GUI or configctl.

Kein /56 oder gar keine Prefix Delegation? Was sagt denn das DHCPv6-Log?

Nur SLAAC am Glasfaser-Anschluss wäre sehr ungewöhnlich.

Bei NPT muss das interne Präfix statisch sein. Das wäre nur möglich, falls der Telekom-Anschluss ein Business-Anschluss ist.
Und NPT löst nicht das Problem, dass sich einzelne Hosts im LAN nur über MAC-Aliase oder durch die Verwendung von DHCPv6-Reservierungen identifizieren lassen. Beides hat Nachteile.

Die Lösung mit getrennten LANs ist dagegen zuverlässig, einfach einzurichten und funktioniert ohne IPv6-NAT oder sonstige Tricks.

Möchtest Du mit OPNsense einen Switch emulieren, dann musst Du die Interfaces bridgen und der Bridge das Subnetz zuweisen:

https://docs.opnsense.org/manual/how-tos/lan_bridge.html

Okay, PPPoE-Session läuft, IPv6 Default Gateway wird zugewiesen, /64 wird per Router Advertisement zugewiesen, WAN-Interface-Adresse wird per SLAAC konfiguriert. Soweit alles normal.

Du musst aber wieder auf DHCPv6 stellen, falls Du eine Prefix Delegation möchtest, über SLAAC geht das nicht.

Am ONT gibt es diesbezüglich nichts zu konfigurieren, das ist eine Layer 2-Bridge.

Das ONT ist ein NOKIA G-010G-R - Ping auf der 192.168.100.1 geht, sonst aber nichts.

"Sonst aber nichts" heißt was? PPPoE-Session kann nicht aufgebaut werden? Es wird keine IPv4-Adresse zugewiesen? Es wird keine IPv6-Adresse zugewiesen? DHCPv6 Prefix Delegation funktioniert nicht? ...

Ein /56 per DHCPv6 Prefix Delegation zu bekommen ist hierzulande eigentlich Standard, dazu solltest Du nicht extra etwas beantragen müssen. Zusätzlich ein /64 per Router Advertisement ist bei PPPoE auch gängig.

Ein delegiertes Präfix siehst Du in Interfaces / Overview / Details von WAN / Dynamic IPv6 prefix received.
Ggfs. auch mal das Log-Level des DHCPv6-Clients hochdrehen (Interfaces / Settings) und ins Log schauen.
Und mit deinem ISP klären, welche Spezifikationen der Anschluss eigentlich hat.

Grüße
Maurice

das verhalten habe ich gefixt.

Ja, nun werden die Screenshots angezeigt.

An meiner Empfehlung - getrennte (V)LANs einrichten - ändert sich jedoch nichts. Mit nur einem LAN hast Du eine ganze Reihe von Problemen:

• Du müsstest tendenziell SLAAC deaktivieren, denn...
• ... mit SLAAC ist es nicht möglich, einzelnen Hosts gezielt ein bestimmtes Präfix zuzuweisen. Du müsstest daher IPv6 Outbound NAT für eines der WANs verwenden.
• ... Privacy Extensions verhindern die einfache Identifizierung einzelner Hosts in Firewall-Regeln. Du müsstest MAC-Address-Aliase verwenden, was wiederum andere Nachteile mit sich bringt.
• Ohne SLAAC bist Du darauf angewiesen, dass alle Hosts DHCPv6 unterstützen, was in der Praxis nicht der Fall ist. Manche Hosts hätten daher absehbar gar keine IPv6-Konnektivität.
• Sind die Präfixe dynamisch wird es zudem schwierig bis unmöglich, in OPNsense einen DHCPv6-Server entsprechend zu konfigurieren.

Mit getrennten (V)LANs ist es dagegen einfach: LAN1 trackt WAN1, LAN2 trackt WAN2. Bei der Adresszuweisung gibt es keine Besonderheiten zu beachten. Du benötigst lediglich auf einem der LANs Firewall-Regeln für das Policy Routing.
Mit einem geeigneten Switch und AP kannst Du die Zuordnung von Geräten zu VLANs auch dynamisch anhand der MAC-Adresse lösen, benötigst also nicht unbedingt dedizierte Switch-Ports oder SSIDs.

Updating is a multi step process.

First, all updated packages get downloaded.
Then the packages get installed.
Then the base and kernel sets get downloaded (if an update is available, which isn't always the case).
Then base and kernel get installed and the system reboots.

So by the time base and kernel get downloaded, the package updates are already completed. This is how you can end up in a situation where all packages get updated but base and kernel don't (if downloading them fails). That's harmless though, just try again.

Code Select Expand

$ wget https://lea-media.de/opn/interfaces.png
--2025-12-19 23:29:55--  https://lea-media.de/opn/interfaces.png
Resolving lea-media.de (lea-media.de)... 2a01:4f9:2a:1783::2
Connecting to lea-media.de (lea-media.de)|2a01:4f9:2a:1783::2|:443... failed: Connection refused.

Try a different mirror. base is by far the largest "package", so the download might time out if the connection to the mirror is slow for some reason.

Cheers
Maurice

WAN ipv6 address is zzz/128
LAN ipv6 address is yyy/56

LAN should be a /64. If it's showing /56, the prefix delegation size probably isn't configured correctly (Interfaces / WAN / DHCPv6 client configuration). This needs to be set to the prefix length actually delegated by your ISP.

Cheers
Maurice

In deinem Beitrag sind hier keine Bilder zu sehen. Falls Du die selbst hostest, dann prüfe mal deine Server-Konfiguration und -Erreichbarkeit. Oder einfach direkt hier hochladen.

Ungern möchte ich die Clients in zwei Netze Teilen

Das wäre aber genau die richtige Lösung. Alles andere geht - falls überhaupt - nur mit viel Gebastel und Workarounds.

Grüße
Maurice

The "track interface" feature for NPT uses the prefix which is on-link on the selected interface. When using NPT for Internet access, this will typically be the WAN interface. This has several disadvantages; most importantly, you can only use NPT for a single LAN subnet.

What would make more sense is using a subnet of the delegated prefix (like it's done for "track interface" type LAN interfaces), but that's currently not supported.

OPNsense 25.7.10 aarch64 packages and sets released.

Does that mean that all internet connections would use IPv4 except when a site only supports IPv6?

Yes, and that's the main reason why it's not recommended.

NPT with a dynamic external prefix also isn't that easy to configure on OPNsense. You can track an interface, but not a delegated prefix which is what you typically want. There are workarounds though.

If you need a static prefix for e. g. internal DNS zones, use ULAs in addition to GUAs, not as a replacement.