Messages

Thanks for making this connection, @overbored!

I performed a packet capture again. My phone makes no attempt to establish the VoWiFi tunnel over IPv6.
It only performs a DNS query for the ePDG's A record, not AAAA. Then there's absolutely nothing after the DNS reply.
It doesn't matter whether I filter A records in Unbound or not (AAAA-only mode).
It really seems that my phone's VoWiFi stack is strictly IPv4-only and doesn't attempt to use Android's CLAT either.

This might be different with other / newer phones like your iPhone.

@bestboy, would you mind testing this Tayga setting with your phone?

Cheers
Maurice

I understand that when you say that I could chose any unused /48, you are talking about ULAs. Are you?

No, I'm talking about GUAs. ULAs are not recommended for the NAT use case.
You can use any unassigned prefix. It's a little ugly, but less ugly than using /80.

Why do you feel the need to internally use /80s based on your public /64? You could choose any unused /48 and subnet it into /64s for your VLANs. Since you use NAT anyway, your internal addresses don't really matter.

The ND proxy solution (without NAT) is preferrable though.

While it's technically possible to use prefixes longer than /64, it's not recommended and issues are to be expected.

ndp-proxy-go was developed from scratch by OPNsense OG @Monviech. It's way ahead of ndproxy. And yes, you can use it for multiple LANs. They will all share the same /64, the proxy can handle this.

... or use an actual VM image in the first place.

The ISP assigns a single /64 IPv6, no PD, no nothing.

Is this /64 on-link on the ISP router's LAN interface? Then I'd recommend trying the new os-ndp-proxy-go plugin. It allows you to use the same /64 for the OPNsense LANs and you won't need NAT.

Cheers
Maurice

Klar, kannst Du machen. Sofern Du das richtig isolierst (dediziertes VLAN fürs WAN) ist da auch nichts exponiert.

Habe ich privat ähnlich gelöst: OPNsense hängt nur mit einem einzigen Kupfer-Port am Switch (VLAN-Trunk für alle WANs und LANs). Und im Switch steckt u. A. ein GPON-SFP, von dem es direkt zur Glasfaser-Dose geht.

Grüße
Maurice

This indicates Zoraxy sends HTTP GET requests with a body, which is very much discouraged. No browser sends GET requests with a payload. So that's an issue you might want to raise with the Zoraxy devs.

Cheers
Maurice

Off topic. This thread was about an incorrect configuration which never worked.

OPNsense is not vanilla FreeBSD. The dhcp6c config is in /var/etc and services are (re)started via the GUI or configctl.

Kein /56 oder gar keine Prefix Delegation? Was sagt denn das DHCPv6-Log?

Nur SLAAC am Glasfaser-Anschluss wäre sehr ungewöhnlich.

Bei NPT muss das interne Präfix statisch sein. Das wäre nur möglich, falls der Telekom-Anschluss ein Business-Anschluss ist.
Und NPT löst nicht das Problem, dass sich einzelne Hosts im LAN nur über MAC-Aliase oder durch die Verwendung von DHCPv6-Reservierungen identifizieren lassen. Beides hat Nachteile.

Die Lösung mit getrennten LANs ist dagegen zuverlässig, einfach einzurichten und funktioniert ohne IPv6-NAT oder sonstige Tricks.

Möchtest Du mit OPNsense einen Switch emulieren, dann musst Du die Interfaces bridgen und der Bridge das Subnetz zuweisen:

https://docs.opnsense.org/manual/how-tos/lan_bridge.html

Okay, PPPoE-Session läuft, IPv6 Default Gateway wird zugewiesen, /64 wird per Router Advertisement zugewiesen, WAN-Interface-Adresse wird per SLAAC konfiguriert. Soweit alles normal.

Du musst aber wieder auf DHCPv6 stellen, falls Du eine Prefix Delegation möchtest, über SLAAC geht das nicht.

Am ONT gibt es diesbezüglich nichts zu konfigurieren, das ist eine Layer 2-Bridge.

Das ONT ist ein NOKIA G-010G-R - Ping auf der 192.168.100.1 geht, sonst aber nichts.

"Sonst aber nichts" heißt was? PPPoE-Session kann nicht aufgebaut werden? Es wird keine IPv4-Adresse zugewiesen? Es wird keine IPv6-Adresse zugewiesen? DHCPv6 Prefix Delegation funktioniert nicht? ...

Ein /56 per DHCPv6 Prefix Delegation zu bekommen ist hierzulande eigentlich Standard, dazu solltest Du nicht extra etwas beantragen müssen. Zusätzlich ein /64 per Router Advertisement ist bei PPPoE auch gängig.

Ein delegiertes Präfix siehst Du in Interfaces / Overview / Details von WAN / Dynamic IPv6 prefix received.
Ggfs. auch mal das Log-Level des DHCPv6-Clients hochdrehen (Interfaces / Settings) und ins Log schauen.
Und mit deinem ISP klären, welche Spezifikationen der Anschluss eigentlich hat.

Grüße
Maurice

das verhalten habe ich gefixt.

Ja, nun werden die Screenshots angezeigt.

An meiner Empfehlung - getrennte (V)LANs einrichten - ändert sich jedoch nichts. Mit nur einem LAN hast Du eine ganze Reihe von Problemen:

• Du müsstest tendenziell SLAAC deaktivieren, denn...
• ... mit SLAAC ist es nicht möglich, einzelnen Hosts gezielt ein bestimmtes Präfix zuzuweisen. Du müsstest daher IPv6 Outbound NAT für eines der WANs verwenden.
• ... Privacy Extensions verhindern die einfache Identifizierung einzelner Hosts in Firewall-Regeln. Du müsstest MAC-Address-Aliase verwenden, was wiederum andere Nachteile mit sich bringt.
• Ohne SLAAC bist Du darauf angewiesen, dass alle Hosts DHCPv6 unterstützen, was in der Praxis nicht der Fall ist. Manche Hosts hätten daher absehbar gar keine IPv6-Konnektivität.
• Sind die Präfixe dynamisch wird es zudem schwierig bis unmöglich, in OPNsense einen DHCPv6-Server entsprechend zu konfigurieren.

Mit getrennten (V)LANs ist es dagegen einfach: LAN1 trackt WAN1, LAN2 trackt WAN2. Bei der Adresszuweisung gibt es keine Besonderheiten zu beachten. Du benötigst lediglich auf einem der LANs Firewall-Regeln für das Policy Routing.
Mit einem geeigneten Switch und AP kannst Du die Zuordnung von Geräten zu VLANs auch dynamisch anhand der MAC-Adresse lösen, benötigst also nicht unbedingt dedizierte Switch-Ports oder SSIDs.