Ipv6 keine Verbindung ins Internet

[Icelove]

Hallo zusammen.

Also ich bin wohl nicht der einzige mit Problemen mit ipv6.

Ja ich kann von der opnsense nicht mal raus pingen. Von daher hab ich mich für die Konfiguration hinter der opnsense noch gar nicht bemüht.

Ich habe es jetzt komplett abgeschaltet. Da mit aktiviertem ipv6 nicht mal die paketquellen laden.
Dann läuft es eben erst mal auf ipv4. Vielleicht finde ich ja die Tage eine Lösung.

Danke zusammen schonmal

[tkaefer]

Siehe auch https://forum.opnsense.org/index.php?topic=27579

Bei geht zumindest der IPv6 traffic für die clients im LAN. Auf dem FW host geht kein traffic raus - solange ich die IPs auf dem WAN interface verwende. Ein ping6 zu z.B. google.com mit der IPv6 des LAN interface geht durch.

[Tuxtom007]

Ich habe es jetzt komplett abgeschaltet. Da mit aktiviertem ipv6 nicht mal die paketquellen laden.
Dann läuft es eben erst mal auf ipv4. Vielleicht finde ich ja die Tage eine Lösung.

Ich hab auch noch keine Idee, was das bei mir ist.

WAN hat eine IPv4 + Prefix Delegation
die internen Interface habe alle IPv6 Adresse zugewiesen, das passt auch alles
DHCPv6 läuft, ist konfiguriert und schon einige Zeit nicht verändert worden
Aber die Clients bekommen keine v6 Adressen, weder Linux noch MacOS Systeme im LAN oder WLAN, auch im Log kommt keine Anfrage rein.

EDIT:  sehr strange - ein Client in einem VLAN hat eine IPv6 Adresse, mein Firmennotebook welcher auch alleine in dem VLAN sitzt und auf Windows läuft.

könnte aber ein Weg zur weitere Diagnose sein.

EDIT2:  ich denke das ich das Problem bei mir lösen konnte, vielleicht auch für den TE ein Ansatz:

Router-Advertisements war das Problem, ich habe die komplett deaktiviert und neu eingerichtet:
-  Router Advertisements = Unmanaged
- Advertise Default Gateway: aktiviert
- DNS-Server:  use the DNS settings of the DHCPv6 server

alles andere aus Default
das ganze für alle VLAN's und siehe da, IPv6 IP sind wieder da ( Bild ist bewusst abgeschnitten :-) )

[Tuxtom007]

Hallo,

nochmal ein Update:

- IPv6 läuft bei mir jetzt wieder in alle VLan, alle (tauglichen) Geräte haben IPv6 Adressen per DHCP bekommen.
- DNS liefert v4 und v6 Adressen zurück
- Ping auf v6 Adressen ins Internet gehen durch.

Einziges Problem was ich noch lösen muss:
- ich würde gerne meine PiHoles wieder aktivieren die auch ProxMox in einem VLan laufen
- über v4 kein Problem geht alles DHCP verteil ist IP's und gut ist

- aber mit IPv6 geht es nicht, aufgrund von sich ständig änderndem Prefix hab ich keine feste IPv6 Adresse für die beiden PiHoles
- nutze ich die Link-Localadresse, funktioniert das im selben VLan ganz gut, aber DHCP scheint die Link-Localadresse nicht zu verteilen.
Ich habe immer noch die v6 Adresse der OPNsense in den DNS-Einstellungen am MacBook, auf der OPNSense läuft noch aktuell der Adguard und der wird auch angesprochen.

Das muss ich mir noch in Ruhe zur Gemüte führen - evtl. noch ein Thema mit FW-Regeln.

[meyergru]

Ich habe früher für interne IPv6-Verbindungen mal ULAs benutzt, habe das aber mit OpnSense noch nicht probiert.

[tiermutter]

Jo, ULA verwende ich auch um
1. diese als DNS zu verteilen
2. unterschiedliche DNS Filterregeln für die Clients (halbwegs brauchbar) einzurichten. "Halbwegs brauchbar" weil manche Geräte ihre DUID und somit auch die verteilte ULA ändern.

Dazu muss den entsprechenden Interfaces eine virtuelle IP als ULA zugewiesen werden, die Verteilung der ULA sowie DNS erfolgt dann durch RA.

[Tuxtom007]

...."Halbwegs brauchbar" weil manche Geräte ihre DUID und somit auch die verteilte ULA ändern.

Das muss ich mir mal ansehen, ob und welche Geräte bei mir ihre DUID ändern. Sonst währe ULA auf jeden Fall eine Alternative.
Oder ich bleiben beim Adguard, da ist es ja egal, der läuft auf der OPNSense und demnach verteilt diese auch direkt die richte IP.

[tiermutter]

Ich verwende auch AdGuard auf der Sense.
Aber auch die v6 von der Sense selbst muss ja als DNS verteilt werden, also ebenfalls als ULA wenn die GA ein dyn. Präfix hat.

Bei mir ändert Android zB nach einem FW Update die DUID. :(

[Tuxtom007]

Aber auch die v6 von der Sense selbst muss ja als DNS verteilt werden, also ebenfalls als ULA wenn die GA ein dyn. Präfix hat.

Wenn man die Link-Local des Interfaces einträgt, wird die öffentlich IP des Interfaces per DHCP verteilt, zumindest kommt die beim Client und somit wir der AdGuard genutzt.

Aber ich muss mich damit mal beschäftigen und testen, was da der optimale Weg ist und auch immer so funktioniert.

[tiermutter]

Funktionieren würde das, AdGuard zeigt Clients mit GA aber recht merkwürdig an und wenn man einzelne Clients anders bedienen will was die Filter angeht, dann ist das mit dyn. Präfix auch Käse.

Hilft dem TE aber auch nicht :)

[Tuxtom007]

Ich habe mal testweise die Link-Local Adressen der beiden PiHoles per Router Advertisements verteilt, das sieht erst mal gut aus.
DNSv6 Abfragen funktionieren damit einwandfrei, allerdings nur im selben VLAN

Aus einem anderen VLAN gehts noch nicht, da muss ich die FW-Regeln noch erweitern.

[tiermutter]

Eine LLA dürfte nicht über das VLAN hinausgehen, das wird doch nicht mit FW Regeln geregelt sein?!

[Tuxtom007]

Eine LLA dürfte nicht über das VLAN hinausgehen, das wird doch nicht mit FW Regeln geregelt sein?!

Ich denke, da hast du Recht, das LLA gehen nicht über VLAN-Grenzen hinaus.

[Tuxtom007]

Hallo,

IPv6 verwundert mich jeden Tag aufs neue:

MacBook im VLAN20:

nslookup google.de
Server:      2a02:908:........  ( IPv6 des VLAN-Interfaces der OPNSense )
Address:   2a02:908:....5#53

Non-authoritative answer:
Name:   google.de
Address: 142.251.39.99

---

Linux-Container im VLAN10:

nslookup google.de
Server:      10.xx.xx.1  ( IPv4 des Interfaces der OPNSense )
Address:   10.xx.xx.1#53

Non-authoritative answer:
Name:   google.de
Address: 142.251.39.99
Name:   google.de
Address: 2a00:1450:400e:811::2003


Das Verhalten erkläre mich mal bitte einer ? 
Beide Anfragen werden vom Adguard auf der OPNSense verarbeitet.
Ich werde mal spaßeshalber das MacBook heute in VLAN10 hängen, ob das dann genauso ist.

Kann mir nur erklären, das MacOS hier der Übertäter ist.

[KHE]

Hi,

IPv6 verwundert mich jeden Tag aufs neue:

MacBook im VLAN20:

nslookup google.de
Server:      2a02:908:........  ( IPv6 des VLAN-Interfaces der OPNSense )
Address:   2a02:908:....5#53

Non-authoritative answer:
Name:   google.de
Address: 142.251.39.99

---

Linux-Container im VLAN10:

nslookup google.de
Server:      10.xx.xx.1  ( IPv4 des Interfaces der OPNSense )
Address:   10.xx.xx.1#53

Non-authoritative answer:
Name:   google.de
Address: 142.251.39.99
Name:   google.de
Address: 2a00:1450:400e:811::2003


Das Verhalten erkläre mich mal bitte einer ? 
Beide Anfragen werden vom Adguard auf der OPNSense verarbeitet.
Ich werde mal spaßeshalber das MacBook heute in VLAN10 hängen, ob das dann genauso ist.

Kann mir nur erklären, das MacOS hier der Übertäter ist.

Ja.
Es ist die ältere Version von nslookup in macOS. In macOS 11.6 Big Sur hat die Man-Page von nslookup ein Copyright von 2016 und als Erstellungsdatum 2018-05-25.
Linux hat sicher was neueres und gibt standardmäßig A und AAAA Records zurück.
Oder Apple hat ein paar Einstellungen beim kompilieren des Programms anders.

Gruß
KH