IPv6 - Netze aktualisieren nach Zwangstrennung

[pleibling]

Hallo,

ich befasse mich erst seit kurzem mit dem Thema IPv6 und mein Wissen dazu steckt noch in den "Kinderschuhen". Nachdem ich endlich das "meiste" mit IPv6 ans laufen bekommen habe, habe ich jetzt das Problem, das nach der Zwangstrennung zwar mein WAN Interface die "neue" v6 Adresse bekommt, aber nicht die anderen Interfaces - die  "Clients" in den netzen scheinen ihre Adressen zu behalten und können dann zwar noch intern in ihrem Subnetz kommunizieren, aber nicht mehr über die Schnittstellen hinaus, in der Overview bei den Interfaces sehe ich dann, das nur WAN die fe80 UND die "neue" Adresse hat, alle anderen Interfaces haben nur noch ihre fe80 Adressen.

Auch testweise deaktvieren und erneutem aktivieren von IPv6 eines internen Netzes hat nicht geholfen.

[bimbar]

Wenn die internen Interfaces auf "Track Interface" konfiguriert sind, sollte das von selbst funktionieren.

[pleibling]

Hallo, sorry - hatte vergessen das zu schreiben, diese sind auf Track Interface und WAN gestellt. Zuvor hatte auch alles funktioniert (habe aber auch erst gestern mit dem IPv6 testen angefangen) - ich musste nur heute Morgen die Fritzbox neu starten, seit dem an nicht mehr. Auch nicht nach erneutem Neustart Fritzbox / Neustart OPNsense / Fritzbox + OPNsense.

Danke auch für deine / eure Unterstützung.

[mooh]

Die "anderen Interfaces" sind Interfaces der OPNsense?

Die müssen auch nicht unbedingt neue Adressen bekommen, denn deren Adressen werden ja nicht aus der WAN Adresse abgeleitet, sondern aus dem Präfix, das der ISP zugewiesen hat. Das muss sich mit der Zwangstrennung nicht geändert haben, auch wenn alle mir bekannten ISP das so handhaben.

Leider habe ich auch noch nicht herausgefunden, wie man sich das aktuelle Präfix anzeigen lassen kann.

[pleibling]

Danke für deine Unterstützung.

Die anderen Interfaces sind die "internen" LAN Interface der OPNsense (IOT, Server, Default, Work, Security usw.).

Die Adresse ändert sich schon - zumindest der Netzwerkanteil - nicht der Hostanteil (habe eine dynamische Adresse). Gleich bleiben würde die gesamte Adresse nur bei einer Local, das nutze ich aber laut Empfehlung hier aus dem Forum nicht (was mir auch lieber ist, da weniger Administration).

Der aktuelle Präfix wird mir auf der DHCPv6 Seite angezeigt und einmal die komplette Adresse in der Overwiew bei den Interfaces, vielleicht hilft dir das ja weiter.

Das Problem warum die Adresse nun nicht mehr funktionieren, könnte mit dem DHCPv6 zusammenhängen - der startet auf einmal nicht mehr, womöglich blockiert das die Adressen auf den anderen Interfaces. Ich suche jetzt erst mal in den logs. was nun nicht mehr funktioniert und versuche das zu beheben - hoffentlich funktioniert dann wieder alles wie vorher.

Danke für eure Unterstützung - ich halte euch auf dem laufenden .

[mooh]

Ok, ich denke wir benutzen nicht die gleichen Worte. Für mich besteht eine IPv6 Adresse aus 128 bit, die ersten 64 davon sollen hier mal Netzwerk-Adresse heißen, die letzten 64 "Interface Identifier".

Wenn dein ISP nach einer Zwangstrennung oder sonstwie nach einem DHCP Lease gefragt wird, bekommst du entweder

• eine Netzwerk-Adresse und dein Gerät bildet den Interface Identifier selbst oder
• eine vollständige Adresse für die WAN Schnittstelle

Ob 1 oder 2 eingetreten ist, sieht man z.B. in der Interface Übersicht oder den dhcp6c Logs. Die IPv6 Adresse endet dann in /64 oder /128. Im ersten Fall kann ein Gerät einen neue Interface Identifier wählen, muss es aber nicht.

Damit ist die (Neu-) Konfiguration des WAN Interface abgeschlossen.

Zusätzlich bekommt mal normalerweise auch ein Netzwerkpräfix, also typischerweise 56 Bits einer Netzwerk-Adresse, die noch ergänzt werden müssen. Dieses Präfix muss sich nicht mit jedem DHCPv6 Lease ändern, sollte es sogar nicht, aber ISPs machen es typischerweise trotzdem, wenn man nicht für fixe Präfixe bezahlt.

Dieses Netzwerkpräfix und seine Gültigkeitsdauer sieht man bei meiner OPNsense nur in den dhcp6c Logs, nicht im UI.

Wenn man ein LAN Interface auf "IPv6 Configuration Type"  "Track Interface" gesetzt hat, dann in der Tracking Konfiguration weiter unten "IPv6 Interface" auf den Namen des WAN Interface gesetzt hat und die Tracking ID z.B. auf 0x1, dann wird die Netzwerk Adresse für dieses Interface aus dem Präfix + der Tracking ID gebildet. Als Beispiel wird aus dem Präfix 2001:DB8:DEAD:AA00/56 also für das Interface mit der Tracking ID 1 die Netzwerk-Adresse 2001:DB8:DEAD:AA01/64.

Der Interface Identifier ist davon unberührt und kann gleich bleiben. Bei OPNsense ist das auch so gewollt, weil die Interface Identifier aus der MAC Adresse gebildet werden.

Wenn Dein Problem also darin besteht, dass bei Zuweisung eines neuen Präfix die LAN Interfaces keine neuen Netzwerk-Adressen bekommen, dann stimmt vermutlich deren Tracking Einstellung nicht. Und wenn die Netzwerk-Adresse nicht erneuert wird, bekommt natürlich auch der DHCPv6 Server der OPNsense das nicht mit und vergibt keine neuen Adressen für DHCP Clients im LAN. Am DHCPv6 Server muss jedenfalls nichts konfiguriert werden, damit sich die Änderungen herumsprechen.

[pleibling]

Danke für deine Unterstützung.

Fehler Nummer eins war, das irgendwelche Einstellungen immer erst DHCPv6 hinderten am Start.

Habe dann alles mit IPv6 raus gemacht.

In der Fritzbox wurde mir dann folgendes angezeigt:

Verwendete IPv6 Präfixe:
Heimnetz-/-
Gastnetz-/-
WAN2002:d454:fb61:8000::/64
Delegiert2002:d454:fb61:f0::/60
Delegiert2002:d454:fb61:ef::/64

Habe dann in den WAN Einstellungen auf der Sense bei  Prefix delegation size ebenfalls 60 eingestellt und dann die LAN Interface nach und nach aktiviert und eingerichtet (mit fortlaufender Präfix ID) und siehe da - jedes Interface bekommt nun ein eigenes /64 Netzwerk zugeordnet.

Sieht also alles gut aus.

Danke für deine Hilfe.