IPV6 von OpnSense lokal nicht erreichbar

Started by balkemueller, Today at 09:13:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 09:13:39 AM
Hallo,

ich habe ein eigenartiges Problem mit meiner OpnSense Konfiguration. Wir haben für IPV6 feste Adressbereiche und es gibt ein Transfer-Netzwerk für die Verbindung zum ISP. Das IPV6 Routing aus dem internen (festen) IPV6 Netz funktioniert einwandfrei, nur wenn ich lokal auf dem OpnSense eine externe Adresse erreichen möchte, dann läuft das ins Leere. Wir haben außer den Standard-Regeln nicht viele besondere (Port 80 / 443 auf HAProxy freigegeben), daher hab ich auch keine Idee, daß wir das versehentlich blocken.

Problem ist, daß damit der Update-Prozess fehlschlägt, weil vom OpnSense nix über IPV6 herausgeht.

Ping in den Diagnostics funktioniert auch, wenn ich als Source die IPV6 des LAN-Interface wähle. Bei der IPV6 vom WAN hab ich 100% Packet loss.

Besten Dank schon einmal im Voraus

Matthias Müller
Today at 02:31:38 PM #1
Geht DNS auf der OPNsense selber, also wird z.B. im Shell z.B. 'host one.one.one.one' aufgelöst. Wie ist DNS umgesetzt (DNSmasq, Unbound)?

Code Select
root@OPNsense:~ # host one.one.one.one
one.one.one.one has address 1.0.0.1
one.one.one.one has address 1.1.1.1
one.one.one.one has IPv6 address 2606:4700:4700::1111
one.one.one.one has IPv6 address 2606:4700:4700::1001

Ping von der Shell aus? Wenn es nicht klappt, was ist die Fehlermeldung?

Code Select
root@OPNsense:~ # ping6 -c3 2606:4700:4700::1111
PING(56=40+8+8 bytes) fdaa:b2b4:d8b2:1000:fdaa::46 --> 2606:4700:4700::1111
16 bytes from 2606:4700:4700::1111, icmp_seq=0 hlim=56 time=5.648 ms
16 bytes from 2606:4700:4700::1111, icmp_seq=1 hlim=56 time=5.555 ms
16 bytes from 2606:4700:4700::1111, icmp_seq=2 hlim=56 time=5.594 ms

--- 2606:4700:4700::1111 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 5.555/5.599/5.648/0.038 ms

Hat die WAN Schnittstelle eine IP aus dem Transfernetz und ist eine Defaultroute gesetzt?

Code Select
root@OPNsense:~ # netstat -rnf inet6
Routing tables

Internet6:
Destination                       Gateway                       Flags         Netif Expire
default                           fdaa:b2b4:d8b2:1000:fdaa::1   UGS          vtnet0
::1                               link#4                        UHS             lo0
...

Wie weit kommt ein traceroute6?

Code Select
root@OPNsense:~ # traceroute6 -n 2606:4700:4700::1111
traceroute6 to 2606:4700:4700::1111 (2606:4700:4700::1111) from fdaa:b2b4:d8b2:1000:fdaa::46, 64 hops max, 28 byte packets
 1  fdaa:b2b4:d8b2:1000:fdaa::1  0.224 ms  0.090 ms  0.035 ms
 2  ...:11:a  0.357 ms  0.245 ms  2.893 ms
 3  2a01:4f8:0:3::1b5  0.354 ms  0.656 ms
    2a01:4f8:0:3::695  4.053 ms
 4  2a01:4f8:0:3::4da  4.938 ms  4.960 ms
    2a01:4f8:0:3::4ce  4.925 ms
 5  2a01:4f8:0:3::2fe  5.277 ms  5.284 ms
    2a01:4f8:0:3::7e  5.333 ms
 6  2400:cb00:71:2:2:4940::  23.006 ms
    2a01:4f8:0:e0f0::6a  6.145 ms
    2400:cb00:71:2:2:4940::  14.647 ms
 7  2400:cb00:71:2::1  8.519 ms  24.217 ms  6.528 ms
 8  2400:cb00:470:3::  29.866 ms
    2400:cb00:636:3::  6.318 ms
    2400:cb00:472:3::  5.867 ms
 9  2400:cb00:636:1024::a29e:5def  5.747 ms
    2400:cb00:636:1024::a29e:5dea  5.810 ms
    2400:cb00:696:1024::ac45:9560  5.616 ms
Deciso DEC740
Today at 02:44:46 PM #2
Ist das Transfernetz denn GUA? Hast du den ISP mal gefragt, ob man mit dem ins Internet raus kommen sollte?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 02:54:28 PM #3
nur mal ganz schnell....
das ist doch ULA!?

Internet6:
Destination                       Gateway                       Flags         Netif Expire
default                           fdaa:b2b4:d8b2:1000:fdaa::1   UGS          vtnet0
::1                               link#4                        UHS             lo0

Solltew da nicht NAT ins Spiel kommen?
Today at 03:02:15 PM #4
Quote from: Zapad on Today at 02:54:28 PMnur mal ganz schnell....
das ist doch ULA!?

Hätte auch nochmal lesen können statt nachzufragen - natürlich ist das ULA: fc00::/7.

Damit als Source-Adresse kommt man nicht ins Internet. Ist wie ein Transfernetz mit RFC 1918 in IPv4.

@balkemueller probier mal eine einzelne Adresse aus dem /64 an LAN mit einer /128 Prefixlänge als Alias auf WAN zu legen. So machen wir das mit unseren Hosting-Servern bei Hetzner.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 03:31:02 PM #5 Last Edit: Today at 03:33:09 PM by patient0
Quote from: Zapad on Today at 02:54:28 PMnur mal ganz schnell....
das ist doch ULA!?
Ich bin nicht der OP, aber ja das ist eine ULA und ich NAT-e es weil es einfach ging mit dem Hetzner /64 Prefix und dem Proxmox Server der drauf läuft.
Deciso DEC740
Today at 04:14:35 PM #6
also wenn ich recht verstehe du hast WAN ULA und Clients GUA und möchtest von den Clients WAN Pingen!?
Print
Go Up Pages1
User actions