Messages

Moin.

Ich hab da mal was sehr Kurioses.

Seit ein paar Wochen treibt mich das Problem, daß hier auf meiner Sense im lokalen Netz kein Threema mehr läuft.
Ab und an lief aber wieder. Hab mir somit nüscht dabei gedacht.
Seit dem letzten Update auf 2.7.11_2 geht es aber gar nicht mehr.

Also Fehlersuche...
- Fehler gefunden > DNS lookup sagt mir: 0.0.0.0
- alle Listen mit Alias durchsucht > keine Besserung: nirgends steht die IP vom Threema Server drin
- dann nach und nach meine Blocklisten im Unbound abgeschaltet (abuse.ch; easylist; steven black list; nocoin list; windowsspyblocker) > auch keine Besserung
- auch ein manuelles Setzen der Domain in der Whitelist > keine Besserung

Erst als ich die komplette Blocklist Funktion im Unbound deaktivert habe, geht es wieder.
Wie kann das denn sein? Wird da noch irgendwo im Hintergrund was geladen, was man nicht sieht?

Hat irgendjemand dafür vielleicht Lösung von euch?

Nachdem der Fehler ja weiterhin besteht bin ich immer noch auf der Suche nach einer Lösung.
Soweit ich das jetzt verstanden habe, scheint dies nur aufzutreten, wenn vom ISP kein /56er Prefix kommt.
Im System-Log steht das als Fehlermeldung dabei:

Code Select Expand

Warning radvd prefix length should be 64 for vtnet0
Ich bekomm ja ein /62 Prefix vom ISP. Dies würde sich ja in 4x /64 aufteilen lassen.
Aktuell nutze ich ja nur einmal /64 auf dem LAN. Somit würden ja noch drei über bleiben.
Aber selbst das geht nicht richtig.

Hab bei nem Kumpel seiner OPNsense das Ganze mal mit nem Telekom Anschluß versucht und da läuft das fehlerfrei (der bekommt ein /56er).

Es gibt ja grad noch einen aktuell weiteren Thread mit IPv6 Problemen, der scheint mir gleich zu sein.
Immer wenn das Lease erneuert wird bekommt das LAN (oder entprechende Interface) nichts von dem Wechsel mit.

Hab da noch ein wenig gegoogelt und bin hier fündig geworden:
https://www.kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamischer-prefix-delegation-teil-2/
Dieser Mann hat den Fehler bei OPNsense und pfsense festgestellt.
Leider sind die Scripte, die dem entgegen wirken nur für ne pfsense.

Das zeug prüft nach nem neuen Prefix für den WAN Anschluß und falls sich da was ändert macht er nen Interface reset auf dem entsprechenden Interface.

Kann man das irgendwie integrieren?

Das hab ich ja.
Dann geht das für ne Weile und wenn dann die Leasetime abläuft, ist IPv6 leider bis zum Neustart aller Dienste nicht mehr verfügbar.

Im Log steht dann für jeden Client eine Zeile:

Code Select Expand

No pool found for IA_NA address 2a01:75c2:xxxx:xxxx::2000

Aktuell gibt es keine offizielle Information für IPv6 vom Anbieter.
Deswegen hatte ich das bei einem Kumpel aus seiner Fritte ausgelesen.

Das Prefix vom ISP is ein /62.
Im Netz bei mir, hab ich erstmal nur das LAN Interface mit IPv6 bestückt.
Die anderen VLANs wollte ich später machen, wenn es funktioniert.

Die Prefix ID vom LAN ist: 0x0
Die anderen Netze bekommen ja dann: 0x1, 0x2 usw.

Moin.

So den Fehler mit den komischen Adressen hab ich selbst gelöst bekommen.
Einer meiner Switche hatte ein Häkchen zu viel gesetzt.
Hatte dann gestern Abend IPv6 DHCP mit SLAAC ans Laufen bekommen.

Jetzt besteht der eigentliche Hauptfehler aber immer noch.
Sobald das Lease vom Provider abläuft und erneuert wird, bekommen das meine Client nicht mitgeteilt.

Erst wenn ich alle Dienste auf der Konsole neustarte, läuft es wieder.
DHCPv6 und RAD Neustart allein hilft nicht.

Moin.

Ich hatte vor einiger Zeit mal IPv6 bei mir eingerichtet.
Das Ganze hat aber nicht so richtig funkioniert, da die Leasetime immer abgelaufen war und nicht so recht erneuert wurde.

Nach diesen Fehlschlägen hab ich das Ganze erstmal deaktiviert und nur mit IPv4 weiter gemacht.
Jetzt mit OPNsense 24.7.x wollte ich noch mal nen Versuch starten, aber jetzt geht irgendwie gar nichts mehr.

Selbst wenn alles was mit IPv6 zu tun hat, deaktiviert ist, haben meine Rechner hier ne ganz komische IPv6 Adresse: "::9cdb:xxxx:xxxx:f8c4", sowie ein Gateway mit: "fe80::2ec8:xxxx:xxxx:fc0c"
In der OPnsense hat das LAN Interface auch eine solche Adresse: "::cda:42ff:xxxx:xxa7/64".
Das Gateway kann ich auch anpingen, weiß aber nicht welches Gerät das ist.

Wo kommt das denn her? Steckt da noch irgendwas in einer alten Konfiguration drin? Kann ich das irgendwie löschen/entfernen?

Moin.

Bei mir soll auch Anfang nächstes Jahr der Glasanschluß stehen (Wenn die Förderung durch geht....)
Mein Anbieter macht dann AON. Also hab ich es recht einfach gemacht und mir in der Bucht ein AON Modul von einer Fritte besorgt.

In meinem Proxmox hab ich eine Intel X520DA2 drin Ein 10G DAC Modul in Richtung LAN und das AON Modul zum Glas-APL und die OPNsense is halt als VM.
Mein Anbieter braucht dann nur noch die MAC Adresse vom Modul.

Ich muß halt leider noch warten....

Grüße.
Also es hat heute wieder gesponnen.
Das Prefix war aber noch das Gleiche.

Ich hab aber mal beim ISP angerufen.
Dort wurde mir gesagt, daß der DHCPv6 an der WAN Schnittstelle eine Lease-Time von 6 Stunden hat.
Da der Fehler zwischen 2 und 4 Stunden auftritt (gemittelt wären das ja 3 Stunden).
Es scheint so als wenn die OPNsense ein Problem hat, wenn ungefähr die Hälfte der Lease rum ist.

Der ISP sagt aber, daß die nur eine FritzBox bisher getestet hätten, da die meisten Kunden (99,8%) eine FritzBox haben.

Hab jetzt mal ein festes Prefix beantragt.
Das wollen sie morgen im Meeting besprechen.

Jupp.
Habe ich vorhin gemacht und jetzt beobachte ich das mal bis morgen.

Wie sieht es ohne OPNsense aus, die selben Probleme?

Kann ich leider bei mir nicht testen.
Hab nur die OPNsense mit nem Vigor Modem.

Alle anderen Leute hier im Dorf haben eine FritzBox, damit läuft es (gemessen mit unserem ISP).
Bei einem anderen Kumpel im Nachbardorf funzt es auch mit der OPNsense, aber der hat Telekom.

Kann man da irgendwie aus der Fritte was auslesen, damit ich vielleicht an die korrekten WAN Einstellungen komme?

Reicht dir SLAAC nicht anstelle von DHCPv6?

SLAAC würde reichen, geht aber leider nicht.
Deswegen hatte ich ja mal testweise den DHCPv6 eingerichtet.

Bin fast am überlegen, ob ich mal nen festen IPv6 Block beantrage.

Sehen tu ich da nichts.
Also ich habe im LAN jetzt mal die 'allow all' IPv6 Regel aktiviert und die Anderen deaktiviert.

Wenn nichts mehr geht sehe ich Folgendes im Firewall-LiveView:

Code Select Expand

001_lan 2023-11-22T20:13:05 [2a01:75c2:9314:xxxx:xxxx:xxxx:xxxx:xxxx]:9639 [2607:f8b0:4008:814::200e]:443 tcp
Mit der Anfrage wollte ich ipv6.google.com erreichen.

Ich hab jetzt aber nochmal alles überflogen. Hatte dann auch noch zwischenzeitlich den 'dhcpv6-server' auf dem LAN Interface aktiviert (um damit auch mal gegen zu prüfen). Dabei ist mir gerade aufgefallen, daß da was nicht hinhauen kann.
Im DHCPv6 steht vom LAN Interface bei möglichem Bereich:
von:

Code Select Expand

2a01:75c2:9314:xxxx:: bis

Code Select Expand

2a01:75c2:9314:xxxx:ffff:ffff:ffff:ffff
Wenn ich aber im Overview des WAN Interface schaue, hab ich aber gerade folgendes Prefix:

Code Select Expand

2a01:75c2:9318:xxxx::/60
Mein Client hier, hat aber auch noch die Adresse gehabt:

Code Select Expand

2a01:75c2:9314:xxxx:xxxx:xxxx:xxxx:xxxx

Das Prefix: ::9314:: hatte ich die Tage mal. Das zählt irgendwie hoch oder runter.
Denn jetzt gerade habe ich mal wieder alle Dienste in der Konsole neu gestartet und nun habe ich dieses Prefix:

Code Select Expand

2a01:75c2:9315:xxxx::/60
Jetzt paßt der Bereich im DHCPv6 aber auch wieder (zumindest sehe ich es da):

Code Select Expand

2a01:75c2:9315:xxxx:: bis ...

Kann es sein, daß sich da was nicht aktualisiert?
Wenn das dann ein anderes Prefix ist, ist auch klar, warum die die Firewall blockt, ohne einen Hinweis auf eine bestimmte Regel zu geben.
Hab nun den DHCPv6 auf dem LAN erstmal wieder aus geschaltet und beobachte mal wie es sich dann mit dem Prefix verhält.

Ähm. Da hat sich ein Schreibfehler eingeschlichen.
Ich meinte die "Regeln" und die kann ich ja über

Code Select Expand

configctl filter reload neu laden/starten/anwenden.

Was meinst du soll ich meinem ISP sagen, wenn ich da morgen mal anrufe?

So.
War heute den ganzen Tag unterwegs.

Jetzt gerade geht es nicht mehr...
Aber die hab mal in das Firewall LiveView geschaut.

Da wird doch der 'icmp-v6 ping' geblockt.
Mein Telefon hat sich eben eingewählt und auch ne IPv6 Adresse bekommen.
Nun hab ich grad mal weiter geforscht. Alle ping-v6 Versuche die ich lokal mache laufen.

Mir erklärt sich aber gerade nicht, warum die OPNsense den IPv6 Traffic erst nach ner Weile blockiert.
Regeln sind doch da...
und auch ein reload der Firewall Regel per configctl bringt keine Besserung.

Moin.
Danke für die Hinweise.

In der WAN Konfiguration steht folgendes drin:
IPv4 config type: dhcp
IPv6 config type: dhcpv6
prefix delegation size: 60
sent prefix hint: [haken gesetzt]

Wenn ich auch den Haken für 'request only a prefix' setze, macht das keinen Unterschied.

Hab jetzt auch mal ein wenig geprüft.
Im Packet capture kommt keine Multicast Anfrage an. (Hab das ganze Teil mehrfach geprüft)

Nach ein paar Stunden...den Zeitraum würde ich jetzt mal zwischen 2 und 4 Stunden legen.
Das Internet wird gefühlt langsam, also bis eine Anfrage beantwortet wird.
Wenn ich einen Client nehme, hat der zwar noch ne IPv6 Adresse aber kein Ping oder ähnliches geht dann noch.
Ich vermute die Trägheit kommt dann dadurch, weil er erst IPv6 prüft und dann auf IPv4 umstellt.

Hab die Dienste eben erst neu gestartet und somit müßte ich nachher nochmal prüfen ob die Firewall was blockt.

Die Einrichtung, daß SLAAC nicht funktioniert betrifft nur die Mikrotik's (sowie die Geräte, die kein IPv6 können).

Ich war heut bei uns im Dorf unterwegs und hab noch bei einem weiteren Kumpel geprüft.
Der hat den gleichen ISP wie ich. Da tritt auch der gleiche Fehler auf.
Der hat seine OPNsense bare-metal und keine Mikrotiks im Einsatz.
Meine OPNsense ist ja auf Proxmox virtualisiert.