Verständnissfrage zu IPv6 Fehler

[Tuxtom007]

Hallo,

ich hab da mal eine Verständnisfrage zu einem Verhalten der OPNSense bei IPv6:

- Vodafone Kabelinternet DUAL-Stack
- Fritzbox Bridgemodus
- IP4 / IPv6 aktiv
- WAN-Interface läuft auf DHCP für IPv4 und IPv6,  Prefix /59 wird zugewiesen
- Router Advertisements auf der OPNSense ist für jedes VLAN aktiv und verteile fd00-Adressen
- DHCPv6 ist aktiv und verteile DNS und öffentliche Adressen aus je einem /64 Netz pro VLAN

das funktioniert alles wunderbar.

Ich versuche gerade ein DynDNS einzurichten aber der Update der IP-adresse funktioniert für IPv6 nicht ( IPv4 geht problemlos )

Mache ich von einem meiner Clients im Netz per dig über IPv6 eine Abfrage meiner lokalen IP, funktioniert diese problemlos:

Code Select Expand

dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
2a02:8071:6310:xxxx:......

mache ich das selbe auf der Shell der OPNSense, läuft das immer in einen Timeout:

Code Select Expand

dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out

; <<>> DiG 9.18.16 <<>> @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
; (1 server found)
;; global options: +cmd
;; no servers could be reached

traceroute6 sieht auch nicht besser aus:

Code Select Expand

traceroute6 resolver1.ipv6-sandbox.opendns.com
traceroute6 to resolver1.ipv6-sandbox.opendns.com (2620:0:ccc::2) from 2a02:908:f000:xxxxxxxxxx, 64 hops max, 28 byte packets
1  * * *
2  * * *
3  * * *
.....

Das WAN-Interface hat eine v6-Adresse:

WAN (igb0)      -> v4/DHCP4: 84.xxx.xxx.xxx/22
                    v6/DHCP6: 2a02:908:xxxxxxxxx/64

Die WebGUI zeigt mit aber die öffentlich v6-Adresse an sondern nur die fe80-Adresse des Interfaces:

Unter System -> General -> Setting gleiche Bild, als WAN wird mir für DNS nur die öffentlich IPv4 oder eben die IPv6 fe80-Adresse angezeigt:


Dann mir das mal einer erklären, warum die Sense die öffentliche IPv6 Adresse ignoriert
" Prefer to use IPv4 even if IPv6 is available" ist deaktiviert

Danke im Voraus

[Maurice]

In den Screenshots ist die Gateway-Adresse zu sehen, nicht die Interface-Adresse. Und das Gateway ist völlig in Ordnung, eine Link-Local-Adresse ist dort der Normalfall.

Auffällig ist aber, dass das WAN-Interface eine /64-Adresse hat, was für eine SLAAC-Adresse spricht (aufgrund der sinnentstellenden xxxxx nicht sicher zu erkennen). Vodafone vergibt an Kabelanschlüssen die WAN-Adresse aber normalerweise über DHCPv6 (/128-Adresse).

Ist "Request only an IPv6 prefix" in der DHCPv6 Client-Konfiguration deaktiviert? Und ist ausgeschlossen, dass die Fritzbox selbst Router Advertisements verschickt?

Grüße
Maurice

[Tuxtom007]

Auffällig ist aber, dass das WAN-Interface eine /64-Adresse hat, was für eine SLAAC-Adresse spricht (aufgrund der sinnentstellenden xxxxx nicht sicher zu erkennen). Vodafone vergibt an Kabelanschlüssen die WAN-Adresse aber normalerweise über DHCPv6 (/128-Adresse).

Ist "Request only an IPv6 prefix" in der DHCPv6 Client-Konfiguration deaktiviert? Und ist ausgeschlossen, dass die Fritzbox selbst Router Advertisements verschickt?

Das sind zwei gute Punkte, werde ich heute abend mal nachsehen.

Request only an IPv6 prefix" in der DHCPv6 Client-Konfiguration deaktiviert?  ist aktuell deaktiviert, ich habs aber auch schon aktiviert getestet, war kein Unterschied.

Das Problem ist, leider, was in der FritzBox WebGUI eingestellt ist, muss nicht für den BridgeModus gelten.

EDIT:  durch meine ganzen Test mit unterschiedlichen Einstellungen an FritzBox und OPNSense hab nun den Fall. das auch auf der OPNSense Shell nur noch einen Link-Local /64 Adresse fürs WAN angezeigt wird ( in der WebGUI im Interface Overview aber weiterhin öffentliche /64 Adressen )

Aber eine öffentlich. /128 Adresse auf dem WAN-Interface habe ich in keine Fall bekommen.

[Maurice]

Aber eine öffentlich. /128 Adresse auf dem WAN-Interface habe ich in keine Fall bekommen.

Solange Du die nicht bekommst wird es nicht funktionieren. Mal im Log schauen, was da los ist (dhcp6c, ggfs. Log-Level anpassen).

[Tuxtom007]

Solange Du die nicht bekommst wird es nicht funktionieren. Mal im Log schauen, was da los ist (dhcp6c, ggfs. Log-Level anpassen).

Das Problem liegt irgentwo im Zusammenspiel FritzBox - OPNSense.
Ich habe jetzt diverses Kombinationen der Einstellungen auf beiden Seiten probiert und jetzt bin ich soweit, das ich neben dem /64 auch eine /128 Adresse auf dem WAN bekomme.

Die OPNSense zeigt zeigt weiterhin die Link-Local als  WAN-Gateway und auf der Shell wird auch weiterhin nur das /64 Netz als WAN angezeigt

Ich hab mal im Netz rumgesucht, ich finde auch unterschiedliche Infos zu den IPv6 Einstellungen auf der FritzBox, das ist bei Vodafone mal wieder Bundesland abhängig, also hilft nur alle Optionen zu testen.

Am Wochenende kann weiter testen, da stört es nicht, wenn ich die beiden Geräte mal reboote

[Maurice]

Link-Local-Adresse als Gateway ist wie gesagt normal.

Wenn Du eine SLAAC-Adresse (/64) und eine DHCPv6-Adresse (/128) hast, dann bevorzugt OPNsense erstere. Vodafone routet aber nur die DHCPv6-Adresse. Die Frage ist, wo die RAs mit dem SLAAC-Präfix herkommen. Von der Fritzbox? Sollte bei einem echten Bridge-Mode eigentlich nicht der Fall sein. Oder von Vodafone? Da soll es vereinzelt schon Fehlkonfigurationen auf deren Seite gegeben haben, wodurch ein Präfix advertised, aber nicht geroutet wurde.

[Tuxtom007]

Ich befürchte, das Vodafone mit ihrer grenzenlosen Inkompetenz mal wieder rumkonfiguriert hat.

Es hat nämlich vor langer Zeit problemlos funktioniert, dann auf einmal nicht mehr und ich hab mich dann längere aus Zeitgründen damit nicht beschäftigt, sondern erst mal IPv6 komplett deaktiviert.

Ich hab zwar schon alle möglichen Kombinationsmöglichkeiten in der Konfiguration zw. Fritzbox und OPNSense durchprobiert, aber werde das morgen nochmal mal macht.

Weil ehrlich graut es mir davor, die Vodafone Hotline anzurufen, das kann dauern bis man mal jemanden kompetentes am Ohr hat.

[micneu]

schau doch das du einen anderen provider wechselst. keine ahnung aus welcher gegend du bist da sollte es doch noch was anderes geben?

[Tuxtom007]

kannst vergessen,  Telekom DSL max 175 MBit/s,  Deutsche Glasfaser fängt gerade an eine Nachfragebündelung zu starten, sieht aber so als das unsere Strasse nicht berücksichtigt wird, also bleibt nur Kabel - auch wenn Vodafone Mist, es mangelt an Alternativen.

[Maurice]

Schau doch erstmal, ob die RAs mit dem SLAAC-Präfix wirklich von Vodafone kommen. Sollte sich mit einem Packet Capture auf dem WAN einfach feststellen lassen.

[Tuxtom007]

Kurz mal ein Update zu dem Thema:

Der Fehler mit der IPv6-Nutzung liegt nicht direkt an der OPNSense sondern am ISP.

Die OPNsense nutz auf dem WAN-Interface immer als erstes die /64 Adressen, aber mein ISP scheint Verbindungen darüber nicht zu routen oder blockiert diese oder was auch immer.
Wenn ich manuell ping oder curl ausführe und ich gebe ihm als Source-IP die /128 IPv6 des WAN-Interface mit, funktioniert das ganze problemlos.

Ich hab testweise mal das ganze bei einem Bekannten auf seiner OPNSense probiert, dort funktioniert es einwandfrei, der hat aber auch nen anderen ISP.
Zudem, wenn ich mein MacBook an der Bridge-Anschluss der Fritzbox anschliessen habe ich das selbe Verhalten, Verbindung über die /64-Adresse geht nicht, über die /128 funktioniert es, also selbes Verhalten wie bei der OPNSense.


Da ich nicht glaube, das mein ISP das Thema schnell beheben wird, habe ich mir nach einigen Versuchen einen kleinen Workaround in Form eines Scriptes gebaut, so das ich wenigstens mal die DynDNS-Domains updaten kann.
der DynDNS-Client funktioniert ja eben nicht ( wobei ich mir sicher bin, das dies mal funktioniert hat )

Das Script macht in Kürze folgendes:

- ifconfig-Abfrage des WAN-interfaces und rausfiltern der aktuellen IPv6 /128 Adresse und packt die in eine Variabel
- curl --interface=<VARIABLE> <DynDNS-UpdateURL>.  und das dann für jede DynDNS-Domain

Ist nicht schön, aber funktioniert wenigstens.

[Maurice]

Von dieser Fehlkonfigurationen hört man in verschiedenen Foren immer wieder mal. Vor allem (aber nicht nur) an Vodafone-Kabelanschlüssen. Der Fehler ist immer der gleiche: Zusätzlich zur Adressvergabe per DHCPv6 wird plötzlich ein Präfix mit A-Flag advertised, wodurch der Router eine zusätzliche Adresse autokonfiguriert. Der ISP routet diese SLAAC-Adresse aber nicht, sondern ausschließlich die DHCPv6-Adresse. Tritt vermutlich auf, wenn das CMTS getauscht und dabei die RA-Konfiguration vermurkst wird. Hartnäckig bleiben, irgendwann wird es dort bei der richtigen Stelle landen.

Der Wunsch, für solche Fälle SLAAC gezielt deaktivieren zu können wurde hier schon öfter geäußert. Ich schaue mir gelegentlich nochmal an, wie sich das unter FreeBSD lösen ließe.

[Tuxtom007]

Tritt vermutlich auf, wenn das CMTS getauscht und dabei die RA-Konfiguration vermurkst wird. Hartnäckig bleiben, irgendwann wird es dort bei der richtigen Stelle landen.

Der Wunsch, für solche Fälle SLAAC gezielt deaktivieren zu können wurde hier schon öfter geäußert. Ich schaue mir gelegentlich nochmal an, wie sich das unter FreeBSD lösen ließe.

Das kann sogar sehr gut sein, das bei uns das CMTS getauscht wurde, wie geschrieben es hat mir dem DynDNS-Client und IPv6 schon mal funktioniert und ich hab das später auf ein Skript umgestellt, DynDNS zu aktualisieren, weil der Client mit mehreren Domains seine Probleme hatte und irgentwann auch eben IPv6 nicht mehr ging.

Hartnäckig bin ich, aber derzeit eher an ner anderen Stelle, ich dränge gerade unsere Hausverwaltung dazu, bei der Deutschen Glasfaser aufzuschlagen, damit unsere Wohnanlage mit in den Ausbauplan kommt, mit Glück wird dann am Anfang 2024 bei uns Glasfaser ausgebaut und Vodafone kann weg ( KabelTV ist eh schon gekündigt für die komplette Anlage )

Aber es währe ein Option, wenn man auf FreeBSD-Seite SLAAC bei Bedarf abschalten könnte, würde sicherlich vielen Leuten helfen.