IPv6 an Telekom Anschluss konfigurieren

Started by Mathias, September 21, 2020, 08:20:12 PM

Previous topic - Next topic
Nö, wenn das genauso läuft, wunderbar. Ich mach sonst nur static v6

danke für eure ganzen Infos. Also kann ich das so laufen lassen? Wie gebe ich jetzt für Server Ports frei, wenn sich die IPv6 Adresse immer mal wieder ändert? Muss ich doch DHCP im LAN selber machen und den Servern feste IPv6 Adressen zuordnen?

Hallo Mathias,

ja du kannst das laufen lassen. Die Entscheidung, ob man die IP-Adressen per DHCPv6 vergibt oder das per Autoconfiguration selbst macht, ist z.T. auch eine Geschmacks- und Prinzipienentscheidung. Der Ursprüngliche Standard hat kein DHCPv6 vorgesehen, jedoch gibt es Gründe, es u.U. anders zu machen.

Dynamische IP Adressen und OPNsense/pfSense sind leider noch etwas problematisch. Daher hast du folgende drei Optionen:

1. Besorge dir von deinem Provider ein festes IPv6 Netz. Bei Geschäftskundenanschlüssen ist das Standard.

2. Du verwendest das IPv6 Netz deines Providers nicht und nutzt den HE Tunnelbroker. Da bekommt jeder ein festes /48 IPv6 Netz. Es ist aber ein Tunnel - daher nutze ich diesen meist nur, wenn der Provider gar kein IPv6 anbietet.

3. Du arbeitest mit DynDNS: Bei IPv6 gibt es keine Portfreigaben. Das ist zunächst wichtig, da du sonst Denkfehler machst. Um DynDNS zu nutzen benötigst du zunächst einen DynDNS Dienst (z.B. dynv6.com). Diesen konfigurierst du dir mit dem OPNsense dyndns Plugin - sobald du eine neue Adresse bekommst, aktualisiert er den Hostnamen. (z.B. meinesense.dynv6.net) Wenn du jetzt z.B. einen Webserver erreichbar machen möchtest, legst du in der IPv4 Welt eine Portweiterleitung auf deinen Webserver an und fertig. Im falle eines festen IPv6 Netzes würdest du jetzt einfach eine Firewallregel anlegen, die den Zugriff auf deinen Webserver gestattet. Damit wärst du fertig. Bei dynamischen Adressen kennt aber noch niemand die IPv6 Adresse deines Webservers. Daher wäre es am einfachsten, wenn du z.B. bei Dynv6 einen weiteren Host anlegst, z.B. meinwebserver.dynv6.net. Dieser bekommt dann die IPv4 Adresse und die IPv6 Adresse des Webservers. Allerdings musst du das DynDNS Update vom Webserver per Script aus auslösen.

Ich hoffe, das war halbwegs verständlich. Sonst frag einfach nochmal konkreter nach.

Robert

Ich muss diesen Thread noch einmal aus der Versenkung erheben, da ich aktuell teilweise Probleme/Fragen mit der beschriebenen Konfiguration habe.
Zu meinem Setup:
Zyxel DX3301-TO/Digibox Smart als Modem im Bridge Mode (teste beide aufgrund der Probleme) <-> OPNsense 22.7.9 <-> TP-Link Managed Switch <-> TP Link AP <-> Windows/Android/etc. Client (diese sollen v6 bekommen, der Rest des Netzwerks gerne v4 bleiben)
Ich habe aktuell einen Pihole (nur mit IPv4 angebunden) als DNS-Server, der über den v4 DHCP der sense an die Clients ausgegeben wird. Dieser wiederum greift sich die Einträge vom Unbound von der sense (hier sind sowohl v6 als auch v4 Server als Forwards eingetragen).

Nun zum Problem: ich habe den Zugang zur Telekom wie per Anleitung mit VLAN7 auf pppoe konfiguriert und damit für ipv4 auch kein Problem. Auch das Zuschalten von v6 per DHCPv6 mit allen gesetzten Haken und /56 Prefix funktioniert erst einmal grundsätzlich (sense erhält eine v6 Adresse etc.).
Wenn ich v6 nun aber per Track Interface an die verschiedenen nachgelagerten Interfaces weitergeben will, kommt es zu Problemen: teilweise laden Websiten extrem langsam oder auch mal gar nicht. Bei https://ipv6-test.com/ schwanken meine Ergebnisse (teilweise nur ein paar Minuten auseinander) zwischen 4/20 und 18/20 auf dem gleichen Client.
Leider habe ich persönlich von v6 nicht so viel Ahnung wie gewünscht. Ich habe die RA wie hier im Thread beschrieben auch auf Unmanaged stehen, aber aktuell gebe ich keinen DNS über diese bekannt. Könnte dies der Hintergrund sein? Wenn ja: kann ich in den RA auch v4-Adressen (mein Pihole) bekannt geben oder muss das eine v6-Adresse sein? Wenn ja: wie trage ich das in das Feld ein, wenn sich der Prefix nach Reboot etc. ja ändert?

Danke schonmal!

Du kannst sowohl die DHCPv6 als auch die RA-Einstellungen für DNS leer lassen, dann werden als Default entweder die externen DNS-Adressen oder die Interface-Adressen der OpnSense verwendet. Ändern sich die IPs, wird per RA oder DHCPv6 auch die neue IP übermittelt. Wegen der Lease-Zeit bei DHCP reagiert SLAAC schneller auf Änderungen.

Wenn man "unmanaged" oder "assisted" für SLAAC nutzt (d.h. kein DHCPv6), muss man in den RA-Einstellungen dazu die beiden Einstellungen "Use the DNS configuration of the DHCPv6 server" und "Do not send any DNS configuration to clients" ausschalten.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 440 up, Bufferbloat A+

Hallo,
nach meinen Beobachtungen ist das Problem nicht auf der Seite der LANs zu sehen (DHCPv6 etc.) sondern auf der WAN-Seite (PPPoE). Hier scheinen die delegierten IPv6 Netze nicht "erkannt" zu werden. Ich tippe ebenfalls darauf, dass es sich um ein Timing-Problem beim Verbindungsaufbau (nach Unterbrechung) handelt.

Gruß
Robert

Danke für die Rückmeldungen. Wenn ich diese richtig verstehe, ist meine Konfiguration also grundsätzlich richtig und es scheint möglicherweise einen Bug zu geben?

Quote from: robgnu on December 11, 2022, 07:34:46 AM
Ich tippe ebenfalls darauf, dass es sich um ein Timing-Problem beim Verbindungsaufbau (nach Unterbrechung) handelt.
Die Frage, die sich daraus für mich ergibt: kann ich denn irgendwas tun um das zu stabilisieren oder zumindest zu diagnostizieren? Wie Du schreibst: bei mir tritt diese Beobachtung insbesondere dann auf, wenn ich über das Interface (oder z.B. einen Cron) eine Trennung auf WAN provoziere. Direkt nach einem Reboot oder einer "frischen" Konfiguration der Interfaces läuft es eigentlich meist recht stabil.
Ich hatte zwischenzeitlich das Zyxel-Modem im Verdacht, weil ich den Eindruck hatte, dass es selbst im Bridge-Modus gerne mal mitredet und bin dann wieder auf die Digitalisierungsbox im Bridge-Modus gewechselt, mit der ich bei einem früheren Einsatz an einer pfsense null Probleme hatte.

Ich hätte halt schon gerne v6 an meinen Clients um auf (aktuell noch nicht viele aber zunehmende) v6 only-Dienste zuzugreifen. Dafür habe ich ja Dual Stack am Telekom-Anschluss.

mal ne Frage zu der Thematik,
klappt das jetzt mit server von extern zugreifen trotz ab und zu neuem Präfix? Ich habe das Problem mit zwei Leitungen....

mfg
Hermann

@TheDJ
Möglicherweise handelt es sich um einen Bug bei der OPNsense. Leider kann ich es nicht genau festmachen und ich bin kein BSD-Profi. Bisher passiert das Ganze nur gelegentlich. Dann aber häufig in kürzeren Abständen. Ich vermute, dass die DSLAMS gewartet / aktualisiert werden.
Wir benutzen bei den Setups immer die DrayTek Modems (130 bis zur aktuellen 160er Serie). Das VLAN-Tagging übernimmt in allen Fällen die OPNsense.
Wenn das Problem auftritt, ist die Firewall selbst weiterhin mit IPv6 verbunden und auch funktionsfähig. Nur die LANs und VLANs haben keine IPv6 Adressen mehr (track6 steht im Dashboard). Ein Reconnect löst das Problem i.d.R.
Bei manchen Setups haben wir, aus verschiedenen Gründen, eine FRITZ!Box vor der Firewall. Hier tritt das Problem niemals auf. Die FRITZ!Box delegiert dann IPv6 weiter zur OPNsense, jedoch haben wir dann bei IPv4 doppel-NAT, was sehr unschön ist.

Gruß
Robert.

Du musst im Fall einer Fritzbox vor der OPNsense nicht doppelt NATen. Du kannst NAT für IPv4 auf der Sense komplett deaktivieren und auf der Fritzbox eine statische Route für das LAN eintragen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

December 12, 2022, 08:44:41 AM #25 Last Edit: December 12, 2022, 09:02:26 AM by TheDJ
@Robert
Spannend! Auf das mit track6 habe ich noch gar nicht geachtet. Habe gerade mal wieder bewusst einen Reconnect auf dem WAN produziert (über Reload in der Overview), nachdem es gestern eigentlich mal wieder stabil war und siehe da - jetzt habe ich tatsächlich auch track6 im Dashboard stehen und die Konnektivität ist massiv eingeschränkt.
Die Konnektivitätsprobleme kann ich mir aber auch quasi erklären: mein FW-Log läuft voll mit default denys auf IPv6-Adressen auf den VLANs/LANs mit aktiviertem track6 (ich denke, das sind die alten Adressen, für die die sense nun keinen state mehr hat oder so).
Gleichzeitige Beobachtung, die mir auch schonmal aufgefallen ist: wenn ich so einen WAN Renew habe, bei dem es danach zu Ausfällen kommt, fällt der DHCPv6 service aus (Button wird rot) und kann auch nicht einfach neu gestartet werden.
Weißt du, ob es im englischen Forum was dazu gibt bzw. ein Bug Report existiert?

EDIT: Gerade noch weiter festgestellt, dass in der Overview beim WAN der /56 prefix nicht angezeigt wird. Wenn ich mich recht erinnere, war das nach einem "erfolgreichen" v6 Renew sonst immer der Fall. Aktuell steht nur eine /64-Adresse für die sense drin aber keine Zeile für prefix. Vielleicht liegt es dann daran, dass der prefix nach dem renew nicht kommt und daher logischerweise keine Subnetze für die weiteren Interfaces abgezweigt werden können? In jedem Fall ein sehr unschönes Verhalten! Wo kann man das am besten reporten?
EDIT2: Noch einen Reloard provoziert - diesmal ging er problemlos durch und anscheinend ist es jetzt auch wieder stabil. Gleichzeitig ist auch die Zeile für den delegated prefix mit /56 wieder da, der dhcp6 service ist auch wieder online und im dashboard ist track6 verschwunden. Ich denke also, es ist wie Du vermutet hast, Robert - aus irgendwelchen Gründen kommt das prefix nicht auf den (V)LANs an, sodass keine v6-Adressen von den Clients gebildet werden (können) und dann die states in der FW nicht existieren (können). Scheint aber ja dann ein sense-Problem zu sein. Nur schwierig zu reproduzieren.

Zumindest dass der DHCP6 ausfällt ist kein Sense Problem, denn was soll der verteilen, wenn er nichts zum Verteilen bekommt?! "track6" steht da dann halt weil eben kein v6 via track6 verteilt werden kann.
Das Problem ist demnach also ganz am Anfang zu suchen, sprich warum der Sense kein 56er Netz zugewiesen wird. Solange nur ein 64er vorhanden ist kann der DHCP6 nicht arbeiten und nichts verteilen.
i am not an expert... just trying to help...

Das sehe ich auch so. Ich wollte nur kurz berichten um ein möglichst "umfassendes" Bild der Situation zu geben. Wie gesagt: für mich war das Kernproblem ebenfalls der fehlende Prefix. Für mich sieht das aber nach einem Problem auf der Seite von opnsense aus. Bis vor ca. einem Monat hatte ich hier noch eine pfsense im Einsatz, bei der ich sowas nie beobachtet hatte und bei Robert scheint es bei vorgeschalteter FB ja auch nie aufzutreten.
Frage ist: wo und wie am besten den Bug reporten?

December 05, 2024, 03:44:53 PM #28 Last Edit: December 05, 2024, 06:08:11 PM by OPNPeta
Ich hab mich nun endlich mal überwinden können, mich mit Telekom VDSL IPv6 Zugang zu beschäftigen und würde mich gerne an diesem Thread anhängen, auch wenn dieser schon etwas älter ist. Aber so wie ich mir hier schon einige Tipps oder Erklärungen abholen konnte, so mag es ja vielleicht auch anderen gehen. Also gebe ich mal menen Senf dazu ab. :)

Mein Setup: Telekom VDSL 250/40, OPNsense 24.7.9_1-amd64
Die OPNsense kümmert sich um die Einwahl mit einem Vigor 165 (als einfaches Modem konfiguriert).

IP Adressbereich Anzeige auf dem ssh Login-Screen:

LAN
v4: .../24
v6/t6: .../64

WAN

v4/PPPoE: .../32
v6/DHCP6: .../64

Ich habe anhand der OPNsense Anleitung folgende Optionen konfiguriert (PPPoe Zugangsdaten sind selbstverständlich auch eingetragen und funktionieren sowohl bei ausschließlich IPv4 wie auch mit zusätzlich IPv6).



System: Einstellungen: Allgemein - Netzwerk

  • Pv4 gegenüber IPv6 bevorzugen: Bevorzuge die Verwendung von IPv4 auch wenn IPv6 verfügbar ist = unchecked
  • DNS-Server = leer
  • DNS search domain = leer
  • DNS-Server Einstellungen: Erlaube das Überschreiben der DNS Serverliste durch DHCP/PPP auf WAN = checked


Schnittstellen: Einstellungen - Netzwerkschnittstellen

  • Erlaube IPv6: Erlaube IPv6 = checked
Schnittstellen: Einstellungen - IPv6 DHCP
  • Freigabe verhindern = unchecked
Schnittstellen: [WAN] - Generic configuration

  • IPv6 Konfigurationstyp = DHCPv6
Schnittstellen: [WAN] - DHCPv6 Clientkonfiguration

  • IPv4-Verbindung verwenden = checked
  • Präfixdelegationsgröße = 56
  • Request prefix only = checked
  • Send prefix hint = checked
Schnittstellen: [LAN] - Generic configuration:

  • IPv6 Konfigurationstyp = Schnittstelle aufzeichnenn
Schnittstellen: [LAN] - IPv6-Schnittstelle aufzeichnen
  • Übergeordnete Schnittstelle = WAN
  • Assign prefix ID = 0
  • Manuelle Konfiguration: Ermöglichen Sie die manuelle Anpassung von DHCPv6- und Router-Ankündigungen = checked (=> das aktiviert Dienste: Router Advertisements: [LAN])


Dienste: Router Advertisements: [LAN]

  • Router Advertisements = Nicht Verwaltet
  • DNS options: Use the DNS configuration of the DHCPv6 server = unchecked
  • DNS options: Do not send any DNS configuration to clients = unchecked
  • DNS-Server = leer
  • Domainsuchliste = leer



Was mich aber verunsichert ist, ob mein LAN weitestgehend sicher vor dem Zugriff von Außen ist. Ich bin leider kein Netzwerk/Firewall Experte, kenne aber Begrifflichkeiten wie NAT, Portweiterleitungen, DynDNS, etc. aus dem jahrelangen Umgang mit IPv4 basierendem DSL Zugriff und war mir bislang einigermaßen sicher, alles so sicher wie möglich konfiguriert oder deaktiviert zu haben. Ich nutze allerdings auch genaugenommen nur ganz "einfachen" Internetzugriff, sprich keine Dienste, die ich aus dem WAN ins LAN benötige, kein VPN Zugriff, keine Server/Dienste/Hosts, die von Außen erreichbar sein sollen.

Nun ist das ja mit IPv6 doch "etwas anders" und daher meine Unsicherheiten.

Konkrete Fragen:

  • Was muss ich verstehen unter der Option
    Schnittstellen: Einstellungen - IPv6 DHCP
    Freigabe verhindern = unchecked

  • Die Firewall default Regel sind für meinen "einfachen" Internetzugriff so zu verstehen, dass Geräte vom LAN auf das WAN zugreifen dürfen, aber umgekehrt nichts aus dem WAN in mein LAN zugreifen kann, von der Firewall also geblockt wird?

  • Der Betrieb eines DHCPv6 Server/Dienst ist wenn ich es richtig verstehe nicht zwingend notwendig. Ich habe ihn mal testweise gestartet, mir ist aber die zu konfigurierende DHCP-range nicht klar. Hier fehlt mir einfach das Verständnis für den Syntax der IPv6 Adressgenerierung.

    Angezeigt wird xxxx - xxxx. Wenn ich diese range eintrage hatte ich bei einem Test ein Gerät/mir unbekannte MAC Adresse/IPv6 Adresse in den Leases.

    nslookup brachte zum Vorschein:p2003***.dip0.t-ipconnect.de

    Was ist das für ein Gerät? Ich hab daraufhin den DHCPv6 vorsorglich deaktiviert.




Sorry für diese vielen basic Fragen.  ::)