Messages

https://forum.opnsense.org/index.php?topic=33332.msg161232#msg161232

Wahrscheinlich gleich.

Das hatte ich schon gelesen, und bestätigt ja meine Vermutung dass Inexio das "nur" mit einem Transfernetz falsch konfiguriert hat.

Mit diesen Informationen kann man keine /64 Prefixe betreiben, da die Rückroute fehlt. Hier MUSS die Telekom angerufen werden, damit diese Route gesetzt wird. Das erste IPv6 /64 Netz wird dann als Transportnetz (Transfernetz) eingerichtet.

Genau das hab ich Inexio dann auch gesagt. Haben Sie aber abgelehnt, das ginge nur mit Enterprise Tarif.

[Ihr Transfernetz: 2a01:5c0:1:aa0::2 - 2a01:5c0:1:aaf:ffff:ffff:ffff:ffffGröße: 60Gateway: 2a01:5c0:1:aa0::1Übergabe: Cisco 1111p Ethernet Port 0/1/3]

Hallo zusammen,

unsere Firma hat kürzlich einen Business Vertrag mit Inexio für einen Glasfaser-Internetzugang abgeschlossen. Obwohl ich beim Vertrieb schriftlich ein statisches /58 oder größer angefordert hatte, wurde dies im Angebot nicht aufgenommen und tel. nur darauf verwiesen, dass ein statisches Netz schon mit dabei wäre.

Bei der Schaltung habe ich dann das Thema v6 nochmal angesprochen zwecks Einrichtung, die Technikerin teilte mir aber mit, bei den Business Tarifen ist immer nur eine statische v4 Adresse dabei, kein v6 Zugang. Vom Vertrieb habe ich dann ein Angebot für ein /60 erhalten, größer ginge angeblich nicht. Nachdem das dann beauftragt war, habe ich die IP-Konfiguration (durch fiktive, aber passende Werte ersetzt) erhalten:

Ihr Transfernetz: 2a01:5c0:1:aa0::2 - 2a01:5c0:1:aaf:ffff:ffff:ffff:ffff
Größe: 60
Gateway: 2a01:5c0:1:aa0::1
Übergabe: Cisco 1111p Ethernet Port 0/1/3

Da war ich dann ratlos, denn ein Transfernetz sollte eigentlich nur zwei Hosts drin haben (Kundenrouter und ISP Router, also /64 reicht völlig) über das dann ein (z.B.) /58 geroutet wird. Schließlich muss Inexio ja wissen, auf welche v6 Adresse (aus dem Transfernetz) das /58 geroutet werden soll.

Solche Setups mache ich schon seit vielen Jahren, i.d.R. erhält man eine v6 Adresse (aus einem /64 Transfernetz) per DHCPv6 oder SLAAC und holt sich dann per DHCPv6-PD einen Prefix, der über das Transfernetz geroutet wird. Das ist so das 08/15 Verfahren bei der Telekom oder Vodafone.

Ich habe in OPNSense etwas herum experimentiert, ob ich das oben genannte Netz trotzdem irgendwie benutzen kann. Hierzu folgendes Setup:

WAN: 2a01:5c0:1:aa0::2/60, Upstream GW: 2a01:5c0:1:aa0::1

VLAN01: 2a01:5c0:1:aa6::1/64 und RA/SLAAC aktiviert.

Einem Host im VLAN01 habe ich zusätzlich zu der autom. SLAAC Adresse noch eine weitere (einfachere) Adresse zugewiesen:
eth0: 2a01:5c0:1:aa6::ff/64

Wenn ich nun von diesem Host heise.de pingen möchte, sehe ich per tcpdump, dass das Paket zu Inexio geroutet wird. Aber statt ein ICMPv6 Echo Reply sehe ich nur eine Neighbor Solicitation vom Inexio Router (fe80::5e64:f1ff:fef8:1cf4).

08:40:08.006670 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::5e64:f1ff:fef8:1cf4 > ff02::1:ff00:ff: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a01:5c0:1:aa6::ff
     source link-address option (1), length 8 (1): 5c:64:f1:f8:1c:f4
       0x0000:  5c64 f1f8 1cf4


Für mich ist das völlig logisch, denn das v6 Netz wird ja nicht geroutet sondern direkt am Ethernet Port der Inexio Hardware bereitgestellt. Folglich schickt dieser für alle IPs aus dem /60 immer Neighbor Solicitations an OPNSense, die diese aber nicht beantworten kann.

Oder übersehe ich hier etwas grundsätzliches? Hat jemand eine Idee, wie man dieses Netz in OPNSense richtig einrichtet oder kann bestätigen, dass das gar nicht nutzbar ist?

Auf die Frage an die Technik, warum man nicht einfach ein /64 als Transfernetz erhält und darüber dann ein /60 routet, so wie das der große Rest der ISPs in Deutschland ebenfalls machen, bekam ich nur die Aussage, dass das erst ab Enterprise Tarifen gehen würde, und da lägen wir preislich bei über 800 EUR/Monat...

Edit: Das Setup sieht folgendermaßen aus: APL -(LWL)-> Genexis ONT -(Kupfer)-> Cisco 1111p -(Kupfer)-> OPSense Router. Was der 1111p da macht konnte mir niemand konrekt sagen, nur dass der da unbedingt gebraucht wird. Am Port 0/1/3 wird sowohl die statische v4 Adresse als auch das v6 Transfernetz bereitgestellt - da läuft kein DHCP o.ä., insgesamt ist das Ding eine Blackbox für mich. Eventuell packt das Teil nur ein Upstream-seitiges VLAN aus und stellt es auf 0/1/3 bereit - irgendwo hab ich gelesen, dass im Inexio/DG Netz der Kundentraffic das VLAN Tag 7 hat - ist aber pure Spekulation.

Du kannst einfach ein weiteres VLAN anlegen, aber auch mit der ID 20, nur diesmal igc1 als Interface auswählen.

Allerdings bin ich mir mit der bridge nicht so sicher. Intuitiv hätte ich gesagt du musst das VLAN 20 nur einmal anlegen, aber mit der bridge als parent interface. Das würde mich auch interessieren was hier der richtige Weg ist.

EDIT: Hab das mal ausprobiert, du kannst eine Bridge nicht als VLAN device auswählen, da war mein Bauchgefühl falsch, letztendlich ergibt das sogar Sinn.
Ich vermute, du hast deinen DHCP Server an die bridge0 gebunden, dann sollte alles, was du noch tun musst, ein weiteres VLAN für igc2 und igc3 anlegen, jeweils mit ID 20.