IPv6 mit OPN hinter SPH

[K.Martinen]

Hallo
Da ich nun einen Neuen Anschluß habe dessen Router aber nicht viel kann habe ich opnsense 18.7.8 i386 mit dem WAN-Port hinter meinem Speedport-Hybrid gehängt. Und ich habe entsprechend einem Howto die Optionen so gesetzt.

WAN:
DHCPv6 Clientkonfiguration
Konfigurationsmodus    Einfach
Request only an IPv6 prefix    yes
Präfixdelegationsgröße     /64
Sende einen IPv6-Präfixhinweis Yes    
IPv4-Verbindung verwenden yes

Der DHCPd des Speedport ist An und Teilt auch Adressen aus, auch an OPN aber ob er das auch mit dhcpd6 tut bezweifle ich. Offenbar sendet der nur Router-advertisements.

Und bei einer Internen Schnittstelle dann

LAN:
IPv6 Konfigurationstyp    Schnittstelle aufzeichnen
als auf zu zeichnende Schnittstelle WAN
und als Präfix ID 0

Und auch nach einem Reboot bekomme ich auf der Internen keinen IPv6 Zugang.

Ich vermute ich mache noch irgendwas falsch aber ich habe keine Idee was. Direkt am Speedport angeschlossen bekomme ich vollen Zugang auf beiden IP-Stacks, aber hinter OPN nur mit IPv4 und bestenfalls DNS6. Lt. einer IPv6-testseite.

Die Interne NIC hat nur fe80:::1:1 die WAN-Seite fe80::250:8bff:fe09:4447

Der Speedport zeigt mir in seinem Menü eine ULA-Adresse und einen 2003:xyz /64 Block für das Interne Netzwerk. Muß ich davon irgendwas händisch irgendwo in OPN eintragen? Dem WAN-Port Statisches IPv6 zu konfigurieren habe ich nicht hin bekommen weil ich schlicht zu wenig Ahnung vom Neuen Protokoll habe - und einfach nicht weiß was da ein zu tragen wäre.

[franco]

Hallo,

/64 reicht nicht aus für WAN -> LAN. Es müsste mindestens ein /63 am WAN sein, dann hat es 2 /64 Subnetze für LANs.


Grüsse
Franco

[K.Martinen]

Das funktioniert hier aber leider auch nicht. Ich hab auf dem WAN jetzt mal ein /63 eingetragen. LAN hat als PräfixID immer noch eine Null. Muß ich da evtl. was anderes eintragen und was?

Ich hab den Eindruck das die sache mit dem "Schnittstelle aufzeichnen" hier generell nicht funktioniert. Und ich vermute der Knackpunkt liegt an der einrichtung von WAN, also das dort weder ein Präfix noch eine IPv6 Adresse geholt wird. Unter Schnittstellen-Überblick sehe ich da nur eine link-lokale (fe80:). Ich nehme an da sollte auch fd34: oder 2003:xxxx auftauchen wenn das Interface eine solche erhielt. Oder?

Wie komme ich dem nun auf die Spur?

[franco]

Es kommt auf den ISP an ob er mehr als /64 freigeben möchte. /64 reicht für ein LAN, aber nicht für einen zusätzlichen Router dazwischen. Wie gesagt: der ISP muss es erlauben. Fragen kostet nichts.


Grüsse
Franco

[K.Martinen]

Also zumindest beim Präfix bin ich mir sicher denn der Speedport Hybrid zeigt ja explizit eine IPv6 Adresse und dazu ein /64 als "für das Heimnetzwerk" an. Und was soll denn "nicht reichen" heißen. Vielleicht irre ich weil ich mit IPv6 noch wenig praxis habe aber ein /64 oder beliebig anderes Präfix müsste doch für ein kleines Heimnetz immer noch locker reichen. Ich meine es sind "deutlich" weniger als 100 Hosts/IPs hier damit füllt man nicht mal ein IPv4 /24 aus. Alles was ich will ist das bestimmte Hosts eingesperrt sind und IPv6 brauche ich maximal auf 1-2 Netzsegmenten hinter dem OPN. VOR OPN (also direkt am Hauptrouter) sollen und will ich die nicht haben. Aber akt. sieht es so aus als ob es kaum anders ginge. Gestern habe ich WAN und LAN auf SLAAC umgestellt und beide hatten Adressen aus dem 2003: Bereich (der mir zugeteilte). Aber heute morgen hat irgendwas OPN ausgebremst, 1 Std. später erneut und wann es nun nach zweimaligem Reboot noch mal passiert kann ich nur raten. Auch ob es daran lag oder an etwas anderem. Irgendwie hatte ich mir das einfacher vorgestellt. 

[franco]

> Und was soll denn "nicht reichen" heißen

Der Router gibt ein /64 für das Heimnetzwerk. Es ist das einzige Netzwerk das man hier haben kann. Hinter dem Router muss dann alles gebridged sein.

Kommt OPNsense hinter den Router bekommt das OPNsense WAN den /64, aber man kann es nicht weitergeben ins LAN über Routing, weil mit /64 hinter dem WAN nichts mehr sein darf, weil es generell keine Möglichkeit gibt ein kleineres Netz als /64 zu delegieren auch wenn das theoretisch ginge und sowieso zu viele Adressen sind.


Grüsse
Franco

[JeGr]

@K.Martinen

Es ist doch ganz einfach: Ein /64 wird "volkstümlich" ähnlich verwendet wie ein /24 IPv4 Netz, auch wenn die meisten kaum 255 Geräte intern adressieren (wobei man da inzwischen recht nahe kommt). Aus technischen Gegebenheiten kann/sollte KEIN Netz IPv6 kleiner als /64 adressiert werden, da sonst diverse Funktionen nicht mehr laufen/konfigurierbar sind. Egal ob in einem /64 nun theoretisch tausende Hosts adressierbar wären. Da die Geräte bei v6 auch meist mehr als eine Adresse aktiv nutzen (IPv6 Privacy Extensions bspw.) werden eh viel mehr genutzt.

WAN - Speedport - LAN (/64 vom ISP vergeben)

=> funktioniert. Weil es genau ein LAN gibt, auf dem das /64 aufliegt.

WAN - Speedport - Netz - OPNsense - LAN

=> funktioniert nicht, da man der Speedport das /64er für "Netz" bereits benutzt und damit für das LAN kein /64 mehr über bleibt.

Daher nachfragen, was dein Provider dir zur Verfügung stellt. Die IANA/RIPE hält allerdings grundsätzlich JEDEN ISP dazu an, seinen Kunden selbst im Privatfalle mind. ein /60 oder /56er Prefix bereitzustellen, bei Telekom/T-DSL und Unitymedia/KD wird daher von der FB meist ein /56er Prefix gemeldet, welches zur Verfügung steht.

Grüße