RIchtige Config mit WAN, IPv6 PPPoE-Passthrough

[ShubNiggurath]

Seid gegrüsst.

Also ganz zu Anfang, was die Konfiguration einer Firewall angeht, bin ich was die Praxis angeht, eher ein Neuling.
Aber kommen wir zur Sache und meinem Problem / Verständissproblem.

Ich bin bei dem ISP init7 (Schweiz) und habe an der Fritz!box 7582 PPPoE-Passthrough aktiviert und das funktioniert auch soweit.
DMZ und LAN sind auch getrennt und gut eingestellt, aber mit IPv6 will es iwie nicht so recht.

Von Init7 habe ich eine WAN IPv6 Range xxxx:xxxx:xxxx:xxxx::/64 und eine Routed IPv6 Range xxxx:xxxx:xxxx::/48
Ich habe bei OPNsense die NIC, die an der FB hängt genommen und IPv4 auf PPPoE gestellt und das IPv4 Netz funktioniert auch.

Aber egal was ich mache bei IPv6, es geht nicht. DHCPv6 / Static IPv6 mit der WAN und oder routed IPv6.
Ich habe 2 Gateways auf dem Dashboard und da kommt mir eine Frage hoch zur allg. Config.

Die Gateways sind:

WAN_DHCP6
fe80::xxxx:xxxx:xxxx:xxxx

WAN_PPPOE
xxx.xxx.xxx.xxx

Jetzt zur Frage, muss ich nochmals ein Interface an der em0 (WAN) Schnittstelle erstellen, dass dann DHCPv6 von der PPPoE Schnittstelle nimmt und mein LAN und DMZ dann über diese leiten ?

IPv6 ist soweit im System und Firewall der OPNsense auf enabled. Mir will nur nicht ganz begreiflich werden, wie ich diese genau konfiguriere.

Ich grüsse Euch und wünsche allen einen schönen Sonntag. :)

Edit:
Das WAN PPPoE Interface hat eine IPv4 und eine IPv6, aber die V6 ist nur eine fd00::xxxx:xxxx:xxxx:xxxx.
Interfaces -> Diagnose -> Ping -> Ping -6 geht von keinem Iface. weder normal noch link local.
3 send, 0 recv.

[franco]

Sali Shub,

Fehlt da vielleicht die Aktivierung der Einstellung Use IPv4 connectivity beim IPv6 WAN... Ich denke Static IPv6 wäre dabei die einfachste Lösung.


Grüsse
Franco

[ShubNiggurath]

Sorry der späten antwort, die Tage nur noch am Datenbanken migrieren....

Ich werde dies gerne Probieren, mit der IPv4 connectivity.
Andere Frage noch dazu;

Wie kann ich mir selbst eig. eine Statische IPv6 geben ?
Für LAN und DMZ ist klar, da kann ich /64 aus der Routed IPv6 Range xxxx:xxxx:xxxx::/48 basteln.

Aber am WAN Interface muss ich doch die WAN IPv6 Range xxxx:xxxx:xxxx:xxxx::/64 nutzen, oder soll ich da bei DHCPv6 bleiben + die IPv4 connectivity ?

Ich grüsse Euch

[MikeH]

Hallo Shub

Ich hab ziemlich das gleiche Setup wie du, anstelle einer Fritz!Box ist ein Zyxel im Bridge Mode am werkeln.
Bei mir ist es wie folgt eingestellt (und funktioniert meist ganz gut, wenn nicht sitzt das Problem i.d.R. vor dem Bildschirm):

IPv4 ist PPPoE (Benutzername und PW gem Datenblatt, keine weiteren Punkte eingetragen)
IPv6 ist DHCPv6
Unter "DHCPv6 client configuration" stellst du eine Prefix delegation size von /48 ein und aktivierst "Use IPv4 connectivity". Und schon sollte WAN eine IPv6 bekommen (bei mir aktuell 2001:1620:4:bf23::).
Gateway ist auch bei mir eine fe80.
LAN kannst du je nach Wunsch auf Track Interface setzen oder auch eine fixe IP setzen und mit DHCPv6 experimentieren (mit der Routed IPv6 Range hast du ja ein fixes /48 dass du verwenden kannst).


Wenns denn funktioniert könntest du mir etwas ausprobieren?
Die LAN Interface auf Track Interface setzen
Opnsense rebooten und im Webif schauen wie lange es geht bis die LAN Interfaces auf der Übersichtsseite eine IPv6 erhalten (ev mehrmals)? Bei mir dauert das manchmal bis zu 20 min, so lange gibts dann auch keine IPv6 Verbindung ins Internet (ipv6.google.com geht dann nicht). WAN bekommt sofort eine IPv6, auch wenn ich die LAN Interface auf Static IPv6 stelle und den DHCPv6 Server aktiviere gehts sofort.
Ich bin aber ehrlich gesagt nicht sicher obs an meiner Konfig liegt, ein Providerproblem ist oder ein Bug in OPNsense ist. Aber mir fehlt gerade der Ansatz zum debuggen...

Gruss Mike

[ShubNiggurath]

oh man absolut genial.

vielen lieben dank mike, ich wusste iwo hängt der schuh und ja auch mein merkspruch ist immer und immer wieder, wie auch meine mail signatur:

"Die meisten Probleme in der IT, liegen zwischen Stuhl und Monitor."

Leider bin ich jetzt noch 8 Stunden im Geschäft "gefangen", aber ich werde dies alles nach möglichkeit testen und Dir Feedback geben.

Vielen vielen Dank.

[ShubNiggurath]

Hey MikeH ein kleines update.

Ich habe WAN IPv6 auf DHCPv6 und Prefix delegation size auf /48, dazu Use IPv4 connectivity aktiviert und Save / Apply.
Siehe da, ES WARD 2001:1620:2777:4:xxx:xxxx:xxxx:xxxx

Dann die Ernüchterung, kein Inet und WAN krachte die ganze zeit zusammen. Instabil wie nur möglich.
Ohne Ipv4 connectivity aktiviert, auch nix. Als ich dann wieder aktiviert habe und LAN iface IPv6 auf Track Interface gestellt habe, ist OPNsense total in die Knie gegangen, 3x reboot und dannach "Factory Defaults".

Ich schnalls nicht, aber eine frage:

Wenn ich nur mal WAN IPv6 auf DHCPv6 stelle, PD auf 48/ und IPv4 Use IPv4 connectivity aktiviert. Kann es sein, das es einfach lange geht bis es sich eingestellt hat ? Oder wie schnell müsste das gehen ?

Grüsse

[MikeH]

Oha, das wäre dann nicht die Idee der Sache gewesen... Hoffe du hattest ein Backup deiner Config.
Hab dir mal einen Screenshot mit meinen WAN Settings angehängt. Ev hilfts ja was. Weitere Einstellungen sind da auch nicht dahinter, ich habe nach dem Release von 21.7 die HW gewechselt und die Config komplett frisch eingegeben und nur die entsprechenden Parameter gesetzt.

Lange dauern sollte es eigentlich nicht (wie gesagt manchmal dauert es bei mir fast 30 min bis die Interface eine IPv6 erhalten, hab den Verdacht dass es mit irgend einem Lease zusammenhängt, muss mal bei Gelegenheit beim Support die Leasedauer nachfragen). Aber IPv4 sollte sicher funktionieren.
Hast du mal nur DHCPv6 auf WAN aktiviert und auf dem LAN IPv6 noch deaktiviert gelassen?
Hast du mehrere LAN? Auf allen aktiviert? (mit Track Interface nicht vergessen auf dem zweiten und fort folgenden LAN jeweils die IPv6 Prefix ID ändern)
Bist du dir sicher dass die Fritz!Box nichts mehr macht? Nicht dass die den Spass verdirbt (sorry, hab keine Ahnung von FritzBoxen, bin ein ZyXel-im-Bridgemodus-User).
Wie hat sich das mit OPNsense und total in die Knie geäussert?

Gruss

[ShubNiggurath]

Guten Morgen :)

Hehehe ja das denke ich auch, dass es nicht die idee dahinter war. Auch gebe ich sicher niemandem die Schuld.
Alleine mein KnowHow mit IPv6 lässt solch Probleme automatisch entstehen. :)

Also ich habe jetzt folgendes gemacht:
LAN und DMZ IPv6 -> NONE
WAN erstmal IPv6 -> NONE

Dann geschaut, alles läuft super gut und geschmeidig.
WAN IPv6 aktiviert und wie erwartet, habe ich eine 2001:..... also Interfaces -> Diagnostics -> Ping -> IPv6 / WAN Ping google.ch und hey ! 3 send und 3 receive.
Doch gleich danach, inet weg und WAN wieder im dauerabrech Modus.
Hier mal BIlder von PRE-Ipv6 bis Post-IPv6:
Für IPv6 habe ich genau die gleichen Settings wie du und für LAN / DMZ None.

[ShubNiggurath]

Keine Ahnung ob es hilfreich ist, aber hier mal der LOG:

[MikeH]

Gaanz langsam, so dass es auch die Berner verstehen :-)
Du richtest die OPNsense folgendermassen ein: pre_wan.png
Und die Gateways zeigen dir folgendes: pre_dhcpv6.png
--> Warum hast du da zwei GW, einer davon mit IPv6? Bei mir gibts in dieser Situation nur einer...
Fehlalarm, ist auch bei mir vorhanden wenn alles deaktiviert.

Danach aktivierst du auf WAN DHCPv6 und dann sieht es so so und so aus?
Status und Gateway passen irgendwie für mich nicht zusammen. Der IPv4 Gateway ist normalerweise weg wenn PPPoE down ist. Hast du zu diesem Zeitpunkt noch einen PPPoE Link?
Warum ist aber bei nachher2.png der WAN Link down? Der ist bei mir sogar grün wenn kein Kabel an WAN steckt (PPPoE Tunnel, das physische Interface ist dann logischerweise rot)....

Die Fritz Box macht definitiv nichts mehr? Also sprich eine reine Bridge? Habe so langsam diese etwas im Verdacht, denn das ist der grösste Unterschied zu meiner Infrastruktur. Ich werde aus der AVM Doku auch nicht so ganz schlau, irgendwie sieht es dort aus als würde einfach eine zusätzliche PPPoE Verbindung aufgebaut (Die FRITZ!Box muss den Internetzugang selbst herstellen.) vielleicht interpretiere ich das aber auch falsch.
Oder sonst ein Neztwerkgerät dass noch irgendwie reinspielt?

Kann dir höchstens noch anbieten dass du mir deine Config (natürlich ohne kritische Inhalte) schickst und ich spiele sie testweise bei mir auf (oder umgekehrt).

[ShubNiggurath]

Gaanz langsam, so dass es auch die Berner verstehen :-)
Du richtest die OPNsense folgendermassen ein: pre_wan.png
Und die Gateways zeigen dir folgendes: pre_dhcpv6.png
--> Warum hast du da zwei GW, einer davon mit IPv6? Bei mir gibts in dieser Situation nur einer...
Fehlalarm, ist auch bei mir vorhanden wenn alles deaktiviert.

Danach aktivierst du auf WAN DHCPv6 und dann sieht es so so und so aus?

Ganz genau, sobald ich DHCPv6 auf WAN aktiviere, kriege ich eine 2001:... IPv6, habe für 2 Sekunden internet und dann schmiert WAN ab. Ab diesem Zeitpunkt wiederholt sich WAN Grün -> Rot -> Grün -> Rot -> Grün -> Rot... Es geht dann nichts mehr, bis ich DHCPv6 am WAN deaktiviere.

Zu der Fritzbox:
Diese ist im Bridgemode, selbst hat diese keine PPPoE verbindung zu init7, aber PPPoE-Passthrough ist aktiviert und in der FritzBox selber habe ich keine Zugangsdaten eingegeben für DSL. Somit erlaubt diese PPPoE-Passthrough aber funkt nicht dazwischen.

Nach dieser Anleitung:

https://ibb.co/6JSTSsZ
https://ibb.co/GWJJz7D
https://ibb.co/zSYPHHq

Ich habe trotzdem auch den Verdacht, dass die Fritzbox sich danaben benimmt, feedback im Netz gibt es ja genügend. Darf ich mal fragen, welches ZyXEL model du nutzt ? ;)

[MikeH]

Ehrlich gesagt bin ich da etwas überfragt was da nicht will... Interface up down up down hatte ich bis jetzt nur in Verbindung mit doppelten IPs (Problem zwischen Stuhl und Bildschirm). Daher eigentlich auch der Verdacht dass da etwas dazwischenfunkt. Aber Vorsicht: Mutmassungen gepaart mit Unwissen  ;D

Ich verwende einen XMG3927, ist auch von der Swisscom für G.fast zugelassen. Auf Ricardo ist einer drin (nicht meiner). Zum Test würde es ev aber auch ein VDSL Modem wie z.B. Zyxel VMG1312 oder ein Zyxel P-870H für analog tun. Hab meine VDSL Ausrüstung leider schon vor einiger Zeit weggeworfen, sonst hätte ich dir was geschickt.

[ShubNiggurath]

Ja das mit der unwissenheit ist so ein Ding.
Allerdings hab ich zuerst überall gelesen, das Modem-Modus in Fritz!box ganze weg ist. Dann das man PPPoE-Passthrough vergessen kann und gleich ein ZyXEL holen soll. Iwie passt meine Situation zum allg. Feedback.
Aber das teil auf Ricardo... gleich mal geboten. ;) Hammer tipp.

Wer trotzdem noch mich mehr in die Materie einlesen und evtl. möglichkeiten Testen.

Und sicherlich besten besten Dank für deine Zeit, feedback wird hier weiterhin gepostet, vor allem auch wegen dem Zeittest.
Glaub wir sind hier noch nicht gänzlich fertig. :)

[MikeH]

Ich glaub die FritzBoxen können einfach zu viel und sind für unseren Einsatz als Bridge einfach völlig überdimensioniert. Leider ist G.fast Hardware eher rar, gibt noch den Draytek Vigor166 (ist aber nicht auf der aproved Liste von Swisscom und hat glaub Intel/Lantiq drin, Swisscom setzt auf Broadcom).
Das Zisa G100 als Direktimport aus China funktioniert auch, jedoch nur die erste Generation im schwarzen Gehäuse mit Broadcom Chipsatz. Gen 2 im weissen Gehäuse hat kein WebIf/Diagnosemöglichkeit und hat ein Sckipio Chipsatz, hat bei mir etwa 75 Mbit schlechter im down synchornisiert als mein Zyxel -> ab in den Elektroschrott.

Thx fürs updaten, bin gespannt wies weiter geht.

[ShubNiggurath]

Hey MikeH

Du glaubst es nicht... ich hab den ZYXEL, IPv6 geht aber immer noch nicht.
Mir bricht das WAN Interface jedesmal zusammen, jedesmal läuft alles wie geschmiert, aktiviere ich IPv6 wie angegeben, ist mein WAN interface im dauer-abbrech-modus. Jetzt muss ich Init7 anrufen.

Den ich komme nicht weiter, ich kann nicht andere Einstellungen vornehemen, als die, dich ich muss.
Wenn dann aber das WAN permanent abbricht, stimmt doch was nicht.

Habe natürlich auch : https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html probiert, aber es ist nichts zu machen. IPv6 hält sich keine 10 Sekunden.

Grüsse