Messages

War gerade eben bei meinen Großeltern ein Haus unter uns. Gleicher Anschluss von DG + DG Router. Genau die gleiche Problematik. Handy bekommt ipv4 + ipv6, jedoch nur ping über ipv4. ipv6 läuft ins Time-out...

ein Vorschlag, was ich genau DG mitteilen soll, dass die das korrigieren?

Vielen Dank

Erledigt.

Kein Erfolg. Aber im WAN gibt es ja die auto. generierten Regeln. Meine waren nur da um etwas zuzulassen. Eine Default im WAN alles erlauben regeln gab es nicht.

So eine Regeln war nur im LAN. Ich hab jetzt aber auch kurzfristig die ganze Firewall deaktiviert und vorher auch eine Regeln erstellt, welche alles zulässt im WAN.

Beides ohne Erfolg. Der Ping geht aus Opnsense raus aber es kommt nichts zurück.

Ich hab hier einen Thread gefunden, dass genau dieses Problem mehrere Leute haben:

https://www.glasfaserforum.de/forum/thread/2530-kein-traffic-ueber-ipv6-moeglich-deutsche-glasfaser/?postID=42715#post42715

Ärgerlich... :(

Die IPs sehen soweit richtig aus. Dass der Zugriff von außen nicht möglich ist, ist klar, wenn Du keine Firewall-Regeln eingerichtet hast, die das erlauben.

Da die Clients eine korrekte IPv6 erhalten, sollte es also gehen.

Ich würde (das geht erst seit einiger Zeit) noch "Optional Prefix ID" setzen. Es muss ein anderer Wert als die Prefix-ID für jedes LAN sein.
Damit kann man die 8 Bit-Präfix-ID für das WAN bestimmen, dann bekommt das WAN auch eine IPv6 aus dem Präfix-Bereich zugewiesen.

Dann würde ich in dieser Reihenfolge testen:

1. Kann die OpnSense selbst IPv6 ins Internet? ("ping 2600::"). Falls nein: Firewall-Regeln und Routen prüfen, im FW-Log nachsehen.
2. Können die Clients ins Internet? ("ping 2600::"). Falls nein: IPv6-Zuweisung prüfen, Traceroute checken, FW-Log prüfen.

Erst im letzten Schritt gucken, ob Zugriff von außen möglich ist (aber wozu?). Etwaige FW-Regeln sollten sehr restriktiv sein - ich würde normalerweise für so etwas aber einen Reverse Proxy verwenden, wenn Du es wirklich benötigst. Siehe auch: https://forum.opnsense.org/index.php?topic=45822.0

Danke für Ihre Hilfe :)

Das mit Optional Prefix ID hab ich nun so gemacht. Nun bekommt das WAN auch eine 2a00:6020:xxxx/64 Adresse.
(unterschiedlicher Prefix für LAN und WAN wurde genutzt)

OpnSense kann aber immer noch nicht nach außen Pingen (2600::).

FW-Log kein nennenswerter Eintrag gefunden (Plain View alle Log Level) ,General Log ist leer (alle Log Level), im Anhang die Routen, Firewall Live zeigt auch nicht, dass was geblockt wird.

Firewall Regeln: LAN Alles Erlaubt (ipv4+6), WAN nur die Ports die ich brauche. Aber sollte bei Ping nach außen ja keine Rolle spielen oder?

https://imgur.com/a/bfQUmwt


Ping geht raus (Packet Capture, aber es komm nichts zurück)

Code Select Expand

WAN (ixl0) – 2025-07-25 12:56:10.833750
ICMPv6 Echo Request (Ping), ID 51716, Seq 2
MAC: ac:1f:6b:••:••:•• → 20:00:00:••:••:••
IPv6: 2a00:... → 2600:...
Länge: 70 Byte, Hop Limit: 64
Wie gesagt, das seltsame ist, dass wenn ich nur eine direkt IP von DG für WAN anfordere, der Pingv6 und Zugriff von außen funktioniert

Nochmals vielen Dank.

Kann auch gerne Anydesk oder Teamviewer teilen, und würde auch Trinkgeld geben. Gerne dann eine PM.

Danke  :)

Nur der IPv6-Teil. Der IPv4 Alias ist für die Funktion unnötig und lässt ggf. den Zugriff auf den ONT zu (mit NAT!) - funktioniert aber nur, wenn kein Sync anliegt. Die Präfix ID kann man frei wählen (muss nur pro Interface unterschiedlich sein und in 8 Bit passen. Und wie gesagt, DHVPv6-Server ist aus, würde aber auch gehen.

Mit diesen Einstellungen bekommt WAN keine routebare IPv6 - ist aber auch nicht notwendig. LAN bekommt eine und die Clients per SLAAC auch.

Guten Tag zusammen, ich muss das Thema hier leider nochmal hochholen.

Ich hab alle Einstellungen wie im Beitrag oben gesetzt.

Anbieter: Deutsche Glasfaser - Opnsense direkt hinter dem ONT (kundeneigener Router - Anschlussmodell FibreTwist (NT) )
Der Anschluss ist ca 1 Monat alt. Glasfaser 1000Mbit Down 500Mbit up
Alle Einstellungen wie oben gesetzt. (Hab ich 10 mal gemacht und jedes mal auch wieder geprüft)
Den ONT hab ich auch neu gestartet nach den Einstellungen.

Opnsense sagt dann folgendes:

WAN (wan)    ixl0        dhcp   
Ipv4: 100.102.xxx.xx/20
Ipv6: fe80::ae1f:xxxx:xxxx:xxxx/64
Ipv4 Gateway: 100.102.xx.1
Ipv6 Gateway: fe80::xx
Routes: 100.102.xx.0/20

LAN (lan)    vtnet0        static   
Ipv4: 192.168.3.1/24
Ipv6: 2a00:6020:8fc0:xxxx:xxxx:xxxx:xxxx:xxxx/64
Ipv6: fe80::xxxx:xxxx:xxxx:xxxx/64

Routes:192.168.3.0/24
Routes: 2a00:6020:8fc0:xxxx::/64

Die Clients im Lan erhalten auch eine Ipv6 im richtigen 2a00: Bereich.

Nun zu den Problemen: Kein Client kann Ipv6 pingen, DNS Auflösung klappt aber kein Ping.
Auch kein ping ipv6 auf google.com oder ipv6.google.com über opnsense.

2a00:6020:xxxx --> 2a00:1450:4001:80b::200e
--- ipv6.l.google.com ping statistics ---
78 packets transmitted, 0 packets received, 100.0% packet loss


Wenn ich die public ipv6 welche das opnsense Lan interface erhalten hat, versuche zu erreichen  (Portfreigabe richtig gemacht - Firewall - Rule - WAN -> Port -> LAN Ip + Port)
klappt auch nicht. Also ist keine der IP Adressen aus dem Bereich den ich von DG erhalten habe von außen erreichbar. Ich hab wirklich alles schon versucht.

Hab Firewall Logs geprüft und auch Packet Capture -> Es kommt die Anfragen von außen nicht an.

Aktuell hab ich bei WAN Interface - Request prefix only - deaktieviert.

Somit erhält das WAN eine 2a00:xxxx/128 Adresse. Diese ist dann auch von außen Erreichbar und mein Portforwarding funktioniert entsprechend.
Ein ping ipv6 auf google.com aus opnsense ist dann auch möglich.

So kann ich aber von keinem meiner Clients per Ipv6 nach außen...

Hoffe ihr könnt mir weiterhelfen. (Muss ich bei DG Anfragen oder von denen was im Vertrag ändern lassen?)

Wenn ihr noch irgendwas bestimmtes braucht, lasst es mich wissen.

Vielen lieben Dank