"Recent posts
#21
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by n3 - January 11, 2026, 07:16:12 PM@meyergru
Ich habe dein HowTo damals verwendet und eben die Option im RA aktiviert. Der DNSv6 wird nicht mehr ausgeliefert und es scheint alles über den ADG zu gehen.
Somit sollte es jetzt passen.
Aber damit ich es richtig verstehe... Ich rufe z.B. eine Webseite auf und die Kommunikation läuft eigentlich über IPv6. Dennoch geht mein Client über IPv4 an den ADG da dieser als DNSv4 konfiguriert und bekannt ist und löst auch entsprechend auf. Ich dachte, dass wenn die Kommunikation über IPv6 läuft, der DNS auch über v6 bekannt sein muss.
Ich habe dein HowTo damals verwendet und eben die Option im RA aktiviert. Der DNSv6 wird nicht mehr ausgeliefert und es scheint alles über den ADG zu gehen.
Somit sollte es jetzt passen.
Aber damit ich es richtig verstehe... Ich rufe z.B. eine Webseite auf und die Kommunikation läuft eigentlich über IPv6. Dennoch geht mein Client über IPv4 an den ADG da dieser als DNSv4 konfiguriert und bekannt ist und löst auch entsprechend auf. Ich dachte, dass wenn die Kommunikation über IPv6 läuft, der DNS auch über v6 bekannt sein muss.
#22
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Bob.Dig - January 11, 2026, 06:52:36 PMQuote from: n3 on January 11, 2026, 06:36:37 PMund einmal die IPv6 vom LAN-Interface (also die IPv6 die ich im Dashboard der opnsense auch unter dem LAN-Interface sehe)Aber warum, das solltest Du ja verhindern, in dem Du die Sense entsprechend konfigurierst.
Du kannst natürlich dem AGH auch eine ULA geben, aber auch die müsstest Du dann verteilen und die Sense entsprechend konfigurieren, im Endeffekt nicht einfacher, eher das Gegenteil.
#23
25.7, 25.10 Series / Re: os-acme-client 4.11 on Bus...
Last post by greY - January 11, 2026, 06:45:49 PMI was able to fix it by deleting the certificate and re-creating in the ACME config.
Seems like only changing the provider from hetzner to hetznercloud does not apply for the existing configuration.
Seems like only changing the provider from hetzner to hetznercloud does not apply for the existing configuration.
#24
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 06:43:15 PM@n3: Im RADVD (falls Du den nutzt) kannst Du die Option "Do not send any DNS configuration to clients" setzen - wie gesagt, ich nehme nur SLAAC, keinen DHCPv6. Damit kommt dann kein DNSv6-Server mehr an. So auch das oben verlinkte HOWTO. Das funktioniert - alles, was wir hier diskutieren, ist offenbar komplexer als man sich das so zuerst vorstellt. Mir fehlt bislang jedenfalls das HOWTO, das das lückenlos beschreibt.
Und: Die ULA wird bei DS-Betrieb nie verwendet, solange der Name auch auf eine IPv4 auflöst... das würde m.E. nur mit IPv6-only funktionieren, nicht mit IPv6 mostly. Solange Du dynamische IPv6-Präfixe und IPv4-only Clients hast, wird das nix.
@Patrick: Ich nutze weder Windows-Domänen noch DHCPv6. M.W. unterstützen Android-Clients (und manche andere) auch nur SLAAC für die IPv6-Zuweisung - ich weiß allerdings nicht, ob das aktuell immer noch so ist. D.h., aktuell arbeite ich mit einer festen Reservierung MAC -> IPv4. IPv6 wird eigentlich nur für Outbound genutzt, inbound nehme ich sowieso meist einen Reverse Proxy, deshalb brauche ich da die IPv6 selten.
Und: Die ULA wird bei DS-Betrieb nie verwendet, solange der Name auch auf eine IPv4 auflöst... das würde m.E. nur mit IPv6-only funktionieren, nicht mit IPv6 mostly. Solange Du dynamische IPv6-Präfixe und IPv4-only Clients hast, wird das nix.
@Patrick: Ich nutze weder Windows-Domänen noch DHCPv6. M.W. unterstützen Android-Clients (und manche andere) auch nur SLAAC für die IPv6-Zuweisung - ich weiß allerdings nicht, ob das aktuell immer noch so ist. D.h., aktuell arbeite ich mit einer festen Reservierung MAC -> IPv4. IPv6 wird eigentlich nur für Outbound genutzt, inbound nehme ich sowieso meist einen Reverse Proxy, deshalb brauche ich da die IPv6 selten.
#25
General Discussion / Re: Is ChatGPT. correct about ...
Last post by lorem - January 11, 2026, 06:37:13 PMI found the solution here and it is the solution.
"Services/DHCPv4/[Interface] allows to specify the DNS server(s) passed to this interface only."
https://forum.opnsense.org/index.php?topic=28387.0
"Services/DHCPv4/[Interface] allows to specify the DNS server(s) passed to this interface only."
https://forum.opnsense.org/index.php?topic=28387.0
#26
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by n3 - January 11, 2026, 06:36:37 PMQuote from: meyergru on January 11, 2026, 02:29:47 PMJa, so ist es. Du zeigst in Deinen Screendumps ja gar nicht, welchen DNS-Server Du verwendest. Ruf mal "ipconfig /all" auf, dann sieht Du es.OK, habs eben geprüft und als DNS ist einmal die IPv4 vom ADG und einmal die IPv6 vom LAN-Interface (also die IPv6 die ich im Dashboard der opnsense auch unter dem LAN-Interface sehe)
Dort sollte, wenn es nur einen per DHCPv4 verteilten Server gibt, auch nur eine IPv4 dafür geben.
Quote from: Patrick M. Hausen on January 11, 2026, 02:36:07 PMWenn dein Client nur genau einen IPv4-DNS-Server kennt, benutzt er auch nur den. Dann sorg dafür, dass das dein AGH ist und das Problem ist gelöst. Habe ich hier überall genau so am laufen.Ja mit IPv4 war das auch so und lief ohne Problem. Da meine Clients nun IPv6 haben, habe ich eben gesehen, dass das LAN Interface als DNS eingetragen ist und somit geht es am ADG vorbei.
Quote from: Maurice on January 11, 2026, 04:15:38 PMBei Anschlüssen mit dynamischem Präfix hat es sich bewährt, auf den LAN-Interfaces zusätzlich Virtual IPs (IP Alias) mit ULAs zu konfigurieren. So bekommt jedes Gerät automatisch auch eine ULA (über SLAAC). Die ULA des DNS-Servers kann man dann über RAs und DHCPv6 verteilen.Ja ich glaube das geht in die Richtung, wie ich es dachte. Nur wollte ich die IPv6 am Server vergeben. Mit ULAs klingt es sauberer. Verstehe ich das Richtig, dass meine Clients im LAN eine temporäre IPv6 über das WAN bekommen. Diese Adresse ist eher für das Internet gedacht. Lokal nutze ich aktuell IPv4, aber mit ULAs gebe ich den Clients im LAN und im ADMIN Netz lokal IPv6 Adressen zu lokalen Kommunikation. Die ULA vom ADG konfiguriere ich dann als DNS über RAs im Modus Stateless.
Richtig?
Ich versuche eurer Diskussion zu folgen, aber es ist schwer, wenn man das Thema nur privat verfolgt. Ich könnte bei mir auch komplett auf IPv6 sogar mit einer festen IPv6 gehen, aber dann ist das Thema mit Datenschutz im privaten Umfeld so eine Sache.
#27
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Patrick M. Hausen - January 11, 2026, 06:24:27 PMWenn Du in einer Windows-Domäne lebst, werden die Clients authentifiziert DNS-Updates an die Domänen-Controller schicken. Ich nehme fest an, das schließt heutzutage auch IPv6 ein.
Kea unterstützt DDNS-Updates ebenfalls für beide Protokolle, wobei ich noch nicht recherchiert habe, ob RFC 2137 auch AAAA Records einschließt, Kea für IPv6 was eigenes macht, oder es einen Nachfolger/Ergänzung für RFC 2137 gibt ...
Spannendes Thema. :-)
Kea unterstützt DDNS-Updates ebenfalls für beide Protokolle, wobei ich noch nicht recherchiert habe, ob RFC 2137 auch AAAA Records einschließt, Kea für IPv6 was eigenes macht, oder es einen Nachfolger/Ergänzung für RFC 2137 gibt ...
Spannendes Thema. :-)
#28
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 06:11:10 PMOha. Da kommt aber (theoretisch) viel Arbeit auf einen zu, wenn man dem internen DNS die IPv6 (und zwar aus den genannten pragmatischen Gründen ULAs) hinzufügen will:
a. Wie ich gerade feststelle, wird die IPv6 bei Windows aus einer (zufälligen) DUID abgeleitet. Das bedeutet, ich kann die ULA nicht einmal aus den vorhandenen MAC-Daten für die DHCPv4-Reservierungen ableiten. Es sei denn, ich ändere auf den Windows-Clients per Registry-Setting die Einstellungen so, dass die Ableitung aus der MAC erfolgt, so dass man zumindest die EUI-64 vorab zentral kennt. Das könnte im Extremfall bedeuten, dass ich die DNSv6-Einträge alle nochmal händisch erfassen muss, nachdem ich auf jedem Client die tatsächliche ULA ausgelesen habe. Keine Ahnung, wie Android das macht, aber IOS nimmt m.W. auch eine zufällige EUI-64, wenn man es nicht abschaltet (und das nicht nur für ausgehende Verbindungen mit privacy extensions).
b. Automatisiert kann man die Einträge sowieso nicht so einfach erzeugen, weil man für Nicht-IPv6-fähige Geräte und Services keine DNSv6-Einträge machen will - sonst würden die IPv6-only Clients auf Fehler laufen, weil sie ja dann bevorzugt IPv6 versuchen würden. Wobei: das gälte nur für GUAs, siehe nächster Punkt.
c. Bei ULAs ist es so, dass die ja überraschenderweise niedriger priorisiert werden als IPv4. Wenn also beide Einträge existieren, bringt das rein gar nichts, denn die IPv4 wird der ULA IPv6 immer vorgezogen. IPv4-only Clients nehmen sowieso nur IPv4, und solange diese noch existieren, werden die IPv4-DNS-Einträge auch noch gebraucht - es wäre nicht einmal eine Option, die Einträge exklusiv nur für IPv4 oder IPv6 zu machen.
d. Differenzieren müsste man für echte Services sowieso, denn wenn die per DHCP-Option 108 IPv6-only gesetzt werden, sind sie für IPv4-only Clients nicht mehr erreichbar. M.W. unterstützt Kea DHCP auf OpnSense eine Client-spezifische Steuerung der Option 108 nicht - solche Services müssten also statisch auf Dual-Stack konfiguriert werden.
Ergo: Alle Clients nutzen sowieso nur den IPv4-Teil des DNS-Eintrags. Dann kann ich mir die lokalen IPv6-Einträge im DNS also gleich sparen.
Offenbar wird das also nix bei mir mit "IPv6-mostly" - m.E. klappt das erst gut mit "IPv6 only".
Sorry für Off-Topic, aber wie gesagt, ich versuche nur gerade, das Big Picture zu erfassen (die klassische Version mit internem IPv4 kenne ich).
a. Wie ich gerade feststelle, wird die IPv6 bei Windows aus einer (zufälligen) DUID abgeleitet. Das bedeutet, ich kann die ULA nicht einmal aus den vorhandenen MAC-Daten für die DHCPv4-Reservierungen ableiten. Es sei denn, ich ändere auf den Windows-Clients per Registry-Setting die Einstellungen so, dass die Ableitung aus der MAC erfolgt, so dass man zumindest die EUI-64 vorab zentral kennt. Das könnte im Extremfall bedeuten, dass ich die DNSv6-Einträge alle nochmal händisch erfassen muss, nachdem ich auf jedem Client die tatsächliche ULA ausgelesen habe. Keine Ahnung, wie Android das macht, aber IOS nimmt m.W. auch eine zufällige EUI-64, wenn man es nicht abschaltet (und das nicht nur für ausgehende Verbindungen mit privacy extensions).
b. Automatisiert kann man die Einträge sowieso nicht so einfach erzeugen, weil man für Nicht-IPv6-fähige Geräte und Services keine DNSv6-Einträge machen will - sonst würden die IPv6-only Clients auf Fehler laufen, weil sie ja dann bevorzugt IPv6 versuchen würden. Wobei: das gälte nur für GUAs, siehe nächster Punkt.
c. Bei ULAs ist es so, dass die ja überraschenderweise niedriger priorisiert werden als IPv4. Wenn also beide Einträge existieren, bringt das rein gar nichts, denn die IPv4 wird der ULA IPv6 immer vorgezogen. IPv4-only Clients nehmen sowieso nur IPv4, und solange diese noch existieren, werden die IPv4-DNS-Einträge auch noch gebraucht - es wäre nicht einmal eine Option, die Einträge exklusiv nur für IPv4 oder IPv6 zu machen.
d. Differenzieren müsste man für echte Services sowieso, denn wenn die per DHCP-Option 108 IPv6-only gesetzt werden, sind sie für IPv4-only Clients nicht mehr erreichbar. M.W. unterstützt Kea DHCP auf OpnSense eine Client-spezifische Steuerung der Option 108 nicht - solche Services müssten also statisch auf Dual-Stack konfiguriert werden.
Ergo: Alle Clients nutzen sowieso nur den IPv4-Teil des DNS-Eintrags. Dann kann ich mir die lokalen IPv6-Einträge im DNS also gleich sparen.
Offenbar wird das also nix bei mir mit "IPv6-mostly" - m.E. klappt das erst gut mit "IPv6 only".
Sorry für Off-Topic, aber wie gesagt, ich versuche nur gerade, das Big Picture zu erfassen (die klassische Version mit internem IPv4 kenne ich).
#29
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Maurice - January 11, 2026, 05:14:57 PMDas zeichnet IPv6-Mostly ja aus (jetzt verwende ich den richtigen Namen): Es funktionieren alle Clients, auch die, die die DHCPv4-Option noch nicht unterstützen oder noch kein CLAT haben (Windows) und sogar die, die gar kein IPv6 unterstützen. Man muss daher mit dem Rollout nicht warten, bis alle Clients IPv6-only unterstützen.
In der internen DNS-Zone benötigt man natürlich A- und AAAA-Records, das ist nicht anders als im öffentlichen DNS.
In der internen DNS-Zone benötigt man natürlich A- und AAAA-Records, das ist nicht anders als im öffentlichen DNS.
#30
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 04:56:52 PMDas mit dem klassischen Dual-Stack sehe ich auch noch so wie Patrick.
Darüber hinaus haben meine Experimente mit der DHCP option 108 (RFC 8925) mit Kea zumindest bei Windows 11 (noch) nicht funktioniert. Der Client-PC holt sich immer (auch) eine IPv4.
Wenn das besser unterstützt würde, könnte man drüber nachdenken. Allerdings muss man dann im internen DNS beide Varianten (IPv4/6) pflegen, damit alle Clients die Services finden - also Mehraufwand.
Darüber hinaus haben meine Experimente mit der DHCP option 108 (RFC 8925) mit Kea zumindest bei Windows 11 (noch) nicht funktioniert. Der Client-PC holt sich immer (auch) eine IPv4.
Wenn das besser unterstützt würde, könnte man drüber nachdenken. Allerdings muss man dann im internen DNS beide Varianten (IPv4/6) pflegen, damit alle Clients die Services finden - also Mehraufwand.
