Messages

Hallo,

leider komme ich erst dazu jetzt zu antworten.
Ich in auch noch nicht wirklich schlauer als vorher, nur das ich eine PFsense parallel aufgesetzt habe und die das Selbe Problem "plötzlich" hat.
bis heute morgen ging noch alles, dann habe ich ein bischen zuviel konfiguriert und nun geht IPv6 nicht mehr...

Aber danke für deinen Tip. leider wird nichts geblockt.
Bis auf das übliche natürlich... Also über die "Default deny / state violation rule".

Es werden normale ipv6 Anfragen durchgelassen... (let out anything from firewall host itself (force gw))
-----------------------------------------------------------------------------------------------------------------------------------------------------
Ich muss mich aber ansonsten berichtigen, die Tests funktionieren im Zwischennetz auch nicht...(womöglich geblockt) Aber Ping nach außen auf heise.de geht.

Das Testergebnis lautet (im zwischennetz https://test-ipv6.com/index.html.en_US):
        No IPv6 address detected [more info]
   Your DNS server (possibly run by your ISP) appears to have IPv6 Internet access.


Das Testergebnis (Clientnetz https://test-ipv6.com/index.html.en_US):
   No IPv6 address detected [more info]
   Your DNS server (possibly run by your ISP) appears to have no access to the IPv6 Internet, or is not configured to use it. This may in the

Ping im Clientnetz über IPv6 ist administrativ verboten... Könnte auch geblockt werden durch die OPNSense.
---------------------------------------------------------------------------------------------------------------------------------------------------

Also ich bin gerade noch am verfizieren, was ich anders eingestellt habe.
Viele Grüße

Hallo mal wieder,

leider muss ich mich mal wieder an dieses Forum wenden, da ich nicht mehr weiter weiß.

Erstmal zu meiner Konfiguration.

-------    ------------                      ------------                    -------------------
| DLS | -- | FritzBox | -- (Zwischennetz) -- | OPNsense | -- (Clientnetz) -- | FritzBox (WiFi) |
-------    ------------                      ------------                    -------------------
IPv4/IPv6    IPv4/IPv6       IPv4/IPv6           IPv4         IPv4/IPv6          IPv4/IPv6         


Mein DSL Provider ist 1&1 und leider haben sie mich "plötzlich" anfang des Jahres auf DSlite umgestellt. Bedeutet per IPv4 kann ich Port 80/443 nicht mehr ansteuern.
Dadurch habe ich den Entschluss gefasst auf IPv6 umzustellen, da ich etwa 20 Dienste über eine DynDNS Adresse Hoste, jeweils auf Subdomains. Der HAProxy auf der OPNsense übernimmt den Rest.
Das hat auch nach einiger einarbeitung ins Thema gut funktioniert. Die Fritzbox hat den Präfix weitergegeben, die OPNsense hat eine ULA Adresse weitergegeben und der HAProxy hat die Pakete zugeordnet (entweder auf IPv4 oder ULA).

Nun habe ich mich Ende Oktober daran gemacht den ISC DHCP abzulösen, da ich das mit dem damaligen Update musste...
Zuerst wollte ich Kea einsetzen, mittlerweile läuft DNSmask neben Unbound. Aber Seitdem haben die Probleme angefangen.

1. Von der OPNSense kann ich kein IPv6 Ping mehr absetzen, bzw. hier z.b. https://test-ipv6.com/ wird mir gesagt keine IPv6 Adresse erkannt.
2. Dadurch ist der HAProxy nicht erreichbar
3. Im Clientnetz arbeite ich untereinander auch mit IPv6 bzw. die Opnsense ruft die Clients über die ULA auf. Nur eine Verbindung zum Internet bekomme ich per IPv6 nicht, folglich funktioniert der oben genannte Test auch nicht.

4. Im Zwischennetz funktioniert der Test und IPv6 funktioniert Problemlos.
5. Die Opnsense bekommt nach wie vor den IPv6 Prefix der Fritzbox und verteilt ihre Ulas. Auch die LL und die Global Adresse bekomme ich jeweils bei den Clients.
6. In der Fritzbox ist die OPNsense sowohl IPv4 als auch IPv6 exposed.

versucht wurde:

verschiedene Configs zurückgespielt
FritzBox konfig überprüft (umgestellt von exposed Host auf Freigabe)
Ping auf Global IPAdresse um DNS Probleme auszuschließen
OPNsense neu aufgesetzt keine Veränderung

Leider weiß ich nun nicht mehr weiter und wollte mich nochmal an euch wenden, ob so etwas schonmal vorgekommen ist, bzw, ob jemand weiß woran das liegen könnte.

Configs und Logs kann ich natürlich gerne nachliefern, geht aber erst später.

Vielen Dank für alle die helfen möchten.
Grüße Gameshacker

Hi super, genau das wars. habe manuell die IP aktualisiert und schon gings.....
Meine Config habe ich so kompliziert, damit ich mich komplett mit ipv6 beschäftige.

Danke aber für den Hinweis.

Viele Grüße Gameshacker

Hallo zusammen,

Vor kurzen hat mir mein Provider die Ports 80 und 443 auf IPv4 weggenommen, deswegen habeich entschlossen auf IPv6 umzustellen.

FritzBox -> Übergangsnetz -> OpnSense -> LAN

Im Lan habe ich einige Server die auch im WAN aufgerufen werden sollen. Bislang habe ich das klassisch mit HAProxy mit Portweiterleitung gemacht.

Nachdem ich die Suchmaschine meiner Wahl angeworfen habe bin ich auch soweit gekommen, dass die Fritzbox das Präfix (DSLite) an die OPNSense gibt, die OPNSense baut daraus eine ULA und gibt diese weiter an alle Clients und Server im LAN über RA und SLAAC. DHCPv6 habe ich aus.

Im LAN funktioniert auch alles, Alle Geräte bekommen Alle drei Adressen IPv6 (LL, ULA und Global) + IPv4.
Aus dem LAN sollen alle Clients den Unbound DNS der OPNSense bekommen. Im Übergangsnetz (hier tummeln sich ein paar Tablet und Shellys etc...) den DNS aus der Fritzbox.

Da ich nur einen DynDNS anbieter haben möchte, soll der HAProxy wie bei IPv4 bisher auch auf IPv6 ULA weiterleiten, was er im LAN auch macht.
Wie bei IPv4 habe ich Port 443 und Port 80 auf der OPNSense unter Regeln WAN freigegeben (alles auf diese Firewall) in der Fritzbox bin ich exposed.

Leider kann ich aber nun die Server aus dem WAN oder aus dem Übergangsnetz nicht aufrufen.
Per Ping Traceroute komme ich wohl auf die WAN Global IPv6 Adresse der Opnsense und dann ist schluss.
In den Logs wird nichts geseperrt. Es kommen solche eintgräge (ipv6-icmp IPv6 RFC4890 requirements (ICMP))
Aber weder UDP noch TCP einträge.

Kann man den Port 443 auf die ULA mit HAProxy weiterleiten?
Wo liegt mein Fehler?

Gerne kann ich natürlich auch noch die Configs zur Verfügung stellen.

Vielen Dank schonmal an alle die Helfen wollen
LG Gameshacker