Routing mit static IPv6 Multi-WAN Umgebung

[ECO]

Hallo Community,

zunächst der Hinweis, dass ich mich erst seit Kurzem mit der OPNsense beschäftige und das folgende Szenario seit einigen Jahren erfolgreich mit einer Sophos UTM am Laufen habe und dies nun übertragen möchte.
Die meisten Dokus, die ich bislang gefunden habe, gingen auf das Szenario mit einem Provider ein und oft kam auch DHCP + Tracking-Interface ins Spiel. Das passt hier aber nicht.

Grundsätzlich habe ich die OPNsense wohl verstanden, da bei IPv4 alles perfekt läuft.
Aber bei IPv6 komme ich aus den internen Netzen (LAN, LAN2, DMZ) nicht über die WAN-Interfaces nach Außen. Während ein Interfaces:Diagnostics:Ping auf dns.google von beiden WAN-Interfaces aus funktioniert kommt es bei Auswahl einer internen Source Adress wie bspw. LAN zu 100 % packet loss. Und bevor das nicht geht, brauche ich gar nicht über RA/DHCPv6 am LAN-Interface weiter nachzudenken …

Vielleicht mache ich auch einen Denkfehler und bin um jede Hilfe dankbar.

Der Systemaufbau sieht etwas gekürzt folgendermaßen aus (ich gehe davon aus, wenn es am LAN funktioniert, bekomme ich es auch für die anderen Interfaces hin):

Provider 1 KD (online und active)
Fritzbox IPv6-Adresse extern: 2a02:810c:8000:xxxx:49cb:d2f5:1bf3:1d5b IPv6-Präfix intern: 2a02:8106:xxxx:1e00::/62 - OPNsense WAN1 IPv6 2a02:8106:xxxx:1e00::2 /64 mit Gateway1 2a02:8106:xxxx:1e00:de39:6fff:feb9:6e0e (oder alternativ fe80::de39:6fff:feb9:6e0e ist aber unerheblich)

Provider 2 (online aber nicht active)
Digibox (Telekom) - OPNsense WAN2 mit Gateway2

2 x Gateway-Groups IPv6 mit jeweils Tier1 (KD) und Tier 2 (Telekom) getauscht um für ein paar Sonderfälle in den FW-Rules die Gruppe gezielt vorzugeben. 

LAN static IPv6 2a02:8106:xxxx:1e02::1 /64 (separates Netzsegment aus dem KD Präfix) mit Upstream Gateway Auto-detect

System:Routes:Status ipv6 default 2a02:8106:xxxx:1e00:de39:6fff:feb9:6e0e WAN1 —> sieht gut aus

Firewall:Rules:LAN: IPv6 LAN net any any über GW GRP_KD_Telekom_IPv6

Da WAN1 und LAN jeweils ein /64 Netzsegment zugeordnet haben, hätte ich jetzt erwartet, dass ein Ping zum Google DNS vom LAN-Interface dazu führt, dass die OPNsense das aktive Upstream Gateway ermittelt (WAN1) und darüber rausgeht… Im Firewall:Log Files:Live View  kann ich am LAN-interface allerdings keinen IPv6 Traffic erkennen.

Vielen Dank für Eure Hilfe!

[JeGr]

Hi,

Du schreibst static IP6. Sind deine Prefixe statisch? Und wo liegen diese auf? Da du zwei externe Boxen beschreibst (Fritzbox und Digibox) vermute ich, dass dort die IPv6 Prefixe aufliegen oder hingeroutet werden? Wie ist hier die Ausgangslage?

Cheers
\Jens

[ECO]

Hi,
es ist korrekt, was Du vermutest hast, d.h. jeweils ein statischer Präfix an der FB (/62)und der Digibox (/56).
Im Prinzip will ich zwischen den Boxen und der OPNsense für jedes WAN jeweils ein Transfernetz haben, deshalb jeweils ein /64 am WAN1 und WAN2. Gateway jeweils die dazugehörige Box. Die OPNSense soll im Failover-Fall / policy Based Routing dann über die richtige Verbindung raus.
Ich hoffe das ist jetzt klar genug?
Grüße
Andreas

[JeGr]

Nochmal kurz nachgefragt:

1) Von WAN1 oder WAN2 aus via IP6 geht der Zugriff raus?
2) Wie sind denn WAN1/2 konfiguriert? Statisch mit /64er Prefix? Haben die Router davor irgendwelche Einstellungen dazu was v6 angeht?

Ich vermute dass ohne Prefix Delegation die beiden vorgeschalteten Kisten nichts von mitbekommen, dass die statischen Prefixe hinter der Sense stehen und deshalb nichts an die Sense weiterreichen. Daher die Frage ob dort irgendwas konfiguriert ist. Bei der FB kann man hier ja die Sense auch für IP6 mit einer Art "exposed Host" Mode schicken, damit alles was v6 mäßig ankommt, dort hingesendet wird. Bei der KD Box bin ich da überfragt ob und wo man dort das Routing konfiguriert. Das wäre aber IMHO die einfachste Variante das mit Routing zu lösen, wenn es sich ja um statische Prefixe handelt und die eh zu deinem Anschluß geroutet werden.

[ECO]

zu deinen Fragen:
1. von beiden WAN (also sowohl WAN1 über KD als auch WAN2 über Telekom) geht ein ping nach Außen
2. beide WAN haben ein /64 und zwar genau aus den jeweils terminierten Präfixen der FB / Digibox statisch definiert, befinden sich also innerhalb des selben Netzes wie die Boxen bzw. die Boxen können mit den Netzen der OPNsense etwas anfangen und routen. Letztlich funktioniert der Zugriff vom WAN ja.

Dem internen Interfaces LAN habe ich ein /64 statisch zugeordnet, was zwar grundsätzlich in den /62 der KD-Box gehört, aber die OPNsense ja nicht wissen kann (und soll wegen Failover wegen Telekom). Ziel muss es nach meinem Verständnis sein, dass die OPNsense erkennt, dass sie überhaupt routen muss (deshalb am WAN1 auch kein /62 definiert, denn dann würde das LAN /64 dazu gehören und ohne Routing laufen müssen).

Das komische ist halt, dass die Sophos UTM den identischen Aufbau wie erwartet umsetzt. Also war ich in der Annahme, dass meine Überlegungen nicht grundsätzlich falsch seien.
Ein RA an den WAN-Interfaces macht meines Erachtens keinen Sinn (und funktioniert nebenbei auch nicht), weil ich das LAN Interface manuell statisch konfiguriert habe.

Zu Deiner Idee "Exposee Host": ja wäre eine Möglichkeit, die ich aber so lange vermeiden möchte, wie möglich. Ich habe im Moment ja auch kein eingenhenden Traffic Problem sondern ein ausgehender Traffic vom LAN aus. Das heißt, die Verbindung wird aus dem LAN über die OPNsense zur Fritzbox/Digibox ins Internet aufgebaut. Aber es kommen schon keine Pakete am WAN bzw. der Fritzbox an.

Offensichtlich ist aber die Situation IPv6 mit Multi-WAN bislang eher ein Sonderfall :-(