(Gelöst) IPv6 hinter Fritzbox mit netcologne

[hansdampf]

Ich versuche seit Tagen, IPv6 ans Laufen zu bekommen, ich habe das ganze nach Anleitung der opnsense-Hilfe durchprobiert.
Die FB ist eingerichtet: Freigabe Exposed Host zum opnsense (sie bekommt eine IPv4-Adresse via DHCP mit fest zugewiesener Adresse).
Bei IPv6 Einstellungen sind alle 3 Haken gesetzt.
Bei Netzwerk - Einstellungen - IPv6 ist eingestellt:
ULA immer zuweisen,
Auch IPv6-Präfixe zulassen angehakt,
Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung angehakt,
RA-Präferenz mittel,
DNSv6 Server angehakt,
im DNS-Server-Feld steht eine von der FB zugewiesene Adresse: fd09:0:0:0:xxx:xxx:xxx:ffc9,
DHCP-Server aktivieren ist an,
DNS-Server und IA_PD zuweisen.
Bei Präfixe zeigt er an:
WAN2001:4dd0:xxxx:xxxx::/64
Delegiert2a0a:axxx:xxxx:80::/57
Nichts bei Heim- oder Gastnetz.

Bei der opnsense ist beim WAN-Interface
IPv6 Konfigurationstyp DHCPv6,
Konfig-Typ einfach,
Präfix anfordern an,
Präfixdelegationsgröße 57,
Sende Präfix-Hinweis an.

Das LAN-Interface ist gesetzt:
IPv6 Schnittstelle WAN,
IPv6-Präfix-ID 0x1,
Manuelle Konfiguration an.

Router Advertisements LAN: Assistiert, Prio normal, Stelle Standardgateway zur Verfügung ist an, Rest wie Vorgabe: Also alles leer.
DHCPv6-Server ist an.
Subnetz: 2a0a:xxxx:xxxx:81::
Verfügbarer Bereich: 2a0a:xxxx:xxxx:81:: - 2a0a:xxxx:xxxx:81:ffff:ffff:ffff:ffff
Bereich: 2a0a:xxxx:xxxx:81::2:0:0 - 2a0a:xxxx:xxxx:81:2:0:0:ffff
Verfügbare Größe zeigt er 58
Rest ist leer, nur ein Haken bei Ändere Zeit...

Zusätzlich habe ich ein Port-Forwarding für IPv6 ICMP eingefügt mit Ziel LAN-Netz, damit die Erreichbarkeit vom ping6 gegeben ist (der ipv6-test.com zeigte unter IPv6 sonst "filtered" an.

Mein Problem: In dem Moment, wenn ich die RA einschalte, egal welchen Wert (unmanaged, managed, assistiert usw.), ist meine Inetrnet-Verbindung weg. Ich kann IPs via ping und ping6 erreichen, aber der Browser findet nichts mehr. RA aus, und alles ist wieder da.
Bei IPv6-Test.com sieht das so aus:
Bild 1: Router Advertisements aus
Bild 2: Router Advertisements an

Was kann da falsch laufen? Ich habe die letzten Tage alles mögliche probiert, auch mal die automatische RA-Konfiguration getestet (LAN-Interface Haken bei "Manuelle Konfiguration" raus)
An meinem Mac sah ich, daß der Router nicht via IPv6 angegeben wurde bei DHCPv6, wenn ich den auf manuell stelle und die IPv6 LAN-Adresse der opnsense angebe und eine Adresse aus dem verfügbaren Bereich eintrage, dann sind alle 3 DNS-Ergebnisse beim IPv6-test.com grün. Nur IPv4 bleibt aus.
Ich wäre über jedwede Hilfe sehr dankbar. - Meine IPv6-Kenntnisse sind sehr rudimentär...

[Maurice]

IPv6 funktioniert ja offensichtlich. RAs müssen immer eingeschaltet sein. Wenn Du die ausschaltest, dann bekommen die Geräte kein IPv6-Gateway und haben daher auch keine IPv6-Internetverbindung. Das ist normal.

Da IPv4-Pings ins Internet funktionieren sieht mir das eher nach einem DNS-Problem aus. Funktioniert die DNS-Auflösung im LAN denn auch bei eingeschalteten RAs normal, bekommst Du also auch A-Records? Wer macht bei dir DNS? Unbound rekursiv?

Grüße
Maurice

[hansdampf]

Hallo Maurice,
zu eins: ja, das sah ich in den Netzwerkeinstellungen am Mac: Die IPv6 des Routers beginnt mit fb80.
zu zwei: ja, im LAN ist alles grün bei RA eingeschaltet. Nur nach extern ist alles timeout, solange ich die Hosts nicht irgendwie im lokalen Cache habe.
Ich habe auch schon bei unbound gesucht, ich finde nur keine explizite IPv6-Einstellungen, außer der DNS64-Einstellung in Allgemein. Unterstützung für DNS64 ist an, der DNS64-Präfix ist 64:ff9b::/96.
Register Leases und static mappings sind an.
Enable AAAA-only mode ist aus.
Do not register IPv6 Link-Local addresses ist an,
Zonentyp transparent.
Schnittstellen sind LAN, OVPN, WG.
Query forwarding und DNS over TLS sind aus.
Keine Domain-Überschreibungen aktiv,
Zugriffsliste ist nur Lokale Netzwerke, habe ich nichts geändert.
Von daher bin ich echt überfragt, aber ich rechne mit etwas völlig unerwartetem...

Aber schonmal Vielen Dank für die schnelle Hilfe!

[Maurice]

Da hast Du auch schon den Fehler: DNS64 ausschalten! Das funktioniert nur in Verbindung mit NAT64 und wird normalerweise nur bei Netzwerken ohne IPv4 verwendet.

[hansdampf]

Oh nein, Knoten im Kopf! Jetzt ist beim IPv6-Test vorne alles grün, nur bei SLAC zeigt er NO, allerdings in grün.
Fallback ist noch rot bei Browsers und DNS6 + IP4 sowie DNS6 + IP6 sind noch rot.
Wie kann ich die erledigen?

Nochmal allerbesten Dank für diese superschnelle Hilfe!!!

[Maurice]

"SLAAC No" passt, das bedeutet, dass der Host Privacy Extensions (oder z. B. eine DHCPv6-Adresse) verwendet.
Fallback ist eine Browser-Sache, das funktioniert mal und mal nicht. Evtl. sind auch noch DNS64-Adressen im Cache, ggfs. mal neu starten.
DNS6 rot heißt, dass dein Resolver keine IPv6-Internetverbindung hat. Wobei das ja im ursprünglichen Screenshot grün war. Kann es sein, dass Du über DHCPv4 außer Unbound noch andere DNS-Server verteilst?

[hansdampf]

Zu eins: Super!
Zum DNS6: Unbound ist der einzige Resolver, keine anderen DNS-Server sind aktiv. (Ergibt für mich in meinem Setup keinen Sinn.)
Ich sah eben, daß DNS4 + IP6 sowie DNS6 + IP4 jetzt beide grün sind. Fallback & DNS6 + IP6 sind noch rot.

Aktualisierung: Alle DNS-Einträge sind grün. Es fehlte noch ein Port-Forwarding fürs interne Netz zum Router.

Nochmal Danke für die Hilfe!!!