Kein Internet mit IPv6-Only und delegiertem 64 Prefix

[utildata]

Hallo liebe Community!

Wir haben bei der Telekom einen Mobilfunkvertrag + HyperBox 5G abgeschlossen. Zusätzlich bekommen wir ein festes 64Bit IPv6 Prefix.

Wenn ich IPv6 einigermaßen richtig verstanden habe, bringt es mir nichts auf LAN die "Track Interface" Option für IPv6 einzuschalten da mit dem 64Bit Prefix kein weiteres Subnetz zur Verfügung steht. Zusätzlich kommt hinzu, dass mit dem APN, der mir das feste Prefix zuweist, lediglich ein IPv6 Zugang zustande kommt und kein IPv4.

Mit der folgenden Konfiguration bekomme ich im LAN keinen Internetzugriff (über WAN komme ich raus):
WAN:
- IPv4: DHCP (erhält lokale IP im Subnetz 192.168.0.0/24 des 5G Routers)
- IPv6: DHCPv6 (erhält IPv6-Adresse mit dem festen 64Bit-Prefix)
LAN:
- IPv4: statisch auf 192.168.2.0/24
- IPv6: steht aktuell auf "Tracking Interface"

Version: OPNsense 23.7.10_1-amd64

Wie gesagt: Ich erhalte im LAN kein Internetzugriff was wohl (wenn ich es denn richtig verstanden habe) an dem 64Bit-Prefix liegt über das ich kein zusätzliches Subnetz im LAN erhalten kann.

Ich probiere mittlerweile seit 5 Tagen das zum Laufen zu bekommen...ohne Erfolg

Hat jemand einen Tipp für mich, wie ich im LAN Internetzugriff erhalte über diesen IPv6-only Anschluss?


Wäre für Hilfe und Tipps echt dankbar!

Grüße Tommy

[Maurice]

Das wird schwierig, da der 5G-Router das /64 für sein eigenes LAN benötigt und daher nicht an OPNsense delegieren kann. Daher hast Du kein Präfix für das OPNsense-LAN.

Du könntest das OPNsense-WAN-Interface statisch link-local konfigurieren und das OPNsense-LAN-Interface mit dem statischen /64. Dann hast Du aber immer noch das Problem, dass der 5G-Router das /64 zu OPNsense routen muss. Ob der sich entsprechend konfigurieren lässt?

Alternativ bleibt eigentlich nur IPv6 NAT.

Um auch IPv4-Ziele erreichen zu können, musst Du in Unbound DNS64 einschalten (oder die DNS64-Server der Telekom verwenden).

Grüße
Maurice

[utildata]

Danke für deine schnelle Antwort!

Über den 5G-Router habe ich leider keine Möglichkeit entsprechendes Routing vorzunehmen.

Wenn ich dich jetzt richtig verstanden habe, würde ich jetzt folgendes tun:
- LAN mit einer statische IPv6 konfigurieren (z.B.: fd00::1)
- DHCPv6 auf LAN aktivieren
- unter Firewall->NAT->NPTv6 einen neuen Eintrag hinzufügen:
   Schnittstelle: WAN
   interner Präfix: fd00:0:0:0::
   externer Präfix: die festen delegierten 64Bit meines ISPs
- unter Dienste->Unbound DNS->Allgemein: "DNS64 Unterstützung einschalten" aktivieren

Reicht das dann oder müsste ich noch mehr Dinge dafür beachten?

Danke & Gruß
Tommy

[Maurice]

NPT wird nicht funktionieren, da auch dafür ein geroutetes Präfix benötigt wird (OPNsense hat keinen ND-Proxy).
Dir bleibt nur stateful NAPT66, z. B. so:

- Annahme: statisches /64 ist 2001:db8:1:2::/64
- LAN-Interface statisch mit 2001:db8:1:2::a/64 konfigurieren
- WAN-Interface statisch mit 2001:db8:1:2::b/128 konfigurieren
- WAN-Gateway manuell erstellen (link-local-Adresse des 5G-Routers)
- Outbound-NAT-Regel erstellen (Interface WAN, IPv6)
- Router Advertisements und DHCPv6 für LAN nach Gusto konfigurieren (DHCPv6 brauchst Du nicht unbedingt)
- IPv4 auf dem LAN-Interface deaktivieren (oder zumindest über DHCPv4 kein Default Gateway anpreisen)
- Unbound DNS64 aktivieren. Bin mir aber nicht sicher, ob die Telekom über den APN festip.telekom auch NAT64 anbietet. Beim normalen internet.v6.telekom tun sie das.

Eine ganz andere Alternative wäre noch, in OPNsense auf Routing zu verzichten und es als Transparent Filtering Bridge zu betreiben. Damit habe ich aber keine Erfahrung.

[utildata]

Danke!

Ich werde beide Vorschläge ausprobieren und dann nochmal Rückmeldung geben wie es geklappt hat.

Beste Grüße
Tommy