IPv6 mit Unitymedia/Vodafone Kabel

[datenimperator]

Hallo zusammen,

ich verwende ein Technicolor TC4400 Modem mit einem Unitymedia/Vodafone Gigabit Kabelanschluss (NRW). Ich hatte erreicht, dass ich ein IPv6 Subnetz zusätzlich bekomme, die Delegation hat in der Vergangenheit auch funktioniert.

* Das WAN Interface nutzt DHCP6 um ein /59 Prefix zu erfragen
* Das LAN Interface ist bzgl IPv6 auf "Track Interface" gestellt

Damit funktionierte dann auch alles weitere: Zwei Gateways (eines IPv4, eines IPv6) DNS für beide Protokolle, radvd & Co.

Seit einiger Zeit scheint das nicht mehr zu klappen. Ich sehe kein Prefix mehr in der UI, dabei finden sich im dhcp6 Logfile Zeilen wie diese:

IA_PD prefix: 2a02:908:696:2b20::/59 pltime=43200 vltime=86400

Das ist das Prefix, das ich auch früher verwenden konnte, aber OpnSense 22.1.5 scheint damit nicht mehr zu arbeiten. Hat jemand einen Tipp, wie ich das wieder zum Laufen bringe? Gruß

Christian

[Benqer]

Bei mir genau dasselbe.

[Tuxtom007]

Moin,

ich weiss nicht was Vodafone da gemacht hat, aber ich musste vor kurzen bei mir ( in NRW ) "Router Advertisements". aktivieren, was ich vorher nicht hatte.
Seitdem geht es wieder.
Den Rest erledigt DHCPv6

Allerdings verliert die OPNSense hin und wieder mal die WAN-Seitige IPv6 Adresse, da hilft nur ein renew

[Benqer]

Bei mir ändert das leider nichts.

Das was ich noch im Log sehe ist:
proto: reconfig, alg: HMAC-MD5, RDM: mono counter, RD: 0000 0000 0000 0000

Bin mir aber nicht sicher ob das was zu dem Problem beiträgt.

[Tuxtom007]

Was hast du für einen Router/Modem vor der OPNSense ?

Dann können wir ja mal die Einstellungen vergleichen.
Ich hab eine FritzBox 6591 von Vodafone im BridgeModus

[datenimperator]

Was hast du für einen Router/Modem vor der OPNSense?

Ein Technicolor TC4400, also ein reines Modem. Im Logfile sehe ich in den debug-Zeilen des DHCP6 Dienstes ja sogar das fragliche IPv6 Prefix, aber in OpnSense taucht es nicht mehr auf: Weder finde ich es in der UI, noch führt es zu einer passenden Adresszuweisung am LAN Port, der auf "track Interface WAN" gestellt ist.

Dabei hat das früher genau so funktioniert.

[franco]

Das hier eventuell? https://github.com/opnsense/dhcp6c/pull/32

Das Timing und ISP stimmt jedenfalls...


Grüsse
Franco

[datenimperator]

Passt an sich genau, aber müsste ich im Log nicht irgendwo den Text "unsupported authentication protocol:" finden?

Ich würde das ja testen, aber wie? Code runterladen, "configure, make, make install"?

[franco]

# opnsense-code dhcp6c
# cd /usr/dhcp6c
# curl https://patch-diff.githubusercontent.com/raw/opnsense/dhcp6c/pull/32.patch | patch -p1
# ./configure
# make all install

Sicher bin ich mir beim Patch nicht ob das selbst wenn es hilft nicht gleich ne Sicherheitslücke ist ohne echte Implementation des Befehls.

Message im Log kommt vllt. auch auf die Debug-Stufe an.


Grüsse
Franco

[franco]

PS: Danach am besten Reboot da dhcp6c meist nicht neu gestartet wird.

[Tuxtom007]

Ein Technicolor TC4400, also ein reines Modem. Im Logfile sehe ich in den debug-Zeilen des DHCP6 Dienstes ja sogar das fragliche IPv6 Prefix, aber in OpnSense taucht es nicht mehr auf: Weder finde ich es in der UI, noch führt es zu einer passenden Adresszuweisung am LAN Port, der auf "track Interface WAN" gestellt ist.

Vodafone hat irgentwas an den IPv6 Konfigs im Netz geändert, ist hatte ja auch Probleme mit der FritzBox davor.

Vielleicht muss du am Modem Einstellungen ändern, wenn das möglich ist.

Meine FritzBox läuft im Bridgemodus und da ist derzeit bei IPv6 eingestellt, vielleicht hilft es:
- DHCPv6 Server aus,
- Das M- und das O-Flag in den Router Advertisement-Nachrichten der FRITZ!Box aktivieren (SLAAC nicht möglich).
- Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben
- Unique Local Addresses (ULA) immer zuweisen

auf der OPNSense dann:
Interface -> WAN
- WAN:  Send IPv6 prefix hint aktiviert
- Prefix /59

Service ->. Router Advertisements für jedes VLAN:
- Router Advertisements Unmanaged
- Prio Normal
- Source Adresse. Automatic
- Advertise Default Gateway aktiv
- Use the DNS settings of the DHCPv6 server

Service -> DHCPv6 für jedes VLAN:
- enabled
- Range festgelegt
- Prefix Delegation Size: 64
- Change DHCPv6 display lease time from UTC to local time. aktiviert
- Enable registration of DHCP client names in DNS. aktiviert


damit läuft es bei mir seit der Vodafone-Änderung, vorher hatte ich kein Router Advertisements  aktiviert und die Settings in der Fritzbox waren auch anders.
( GBit Anschluss, Vodafone NRW )

[datenimperator]

# opnsense-code dhcp6c
# cd /usr/dhcp6c
# curl https://patch-diff.githubusercontent.com/raw/opnsense/dhcp6c/pull/32.patch | patch -p1
# ./configure
# make all install

Eingespielt, neu gestartet, Config wiederhergestellt - funktioniert. Danke.

Sicher bin ich mir beim Patch nicht ob das selbst wenn es hilft nicht gleich ne Sicherheitslücke ist ohne echte Implementation des Befehls.

Ich verstehe das so, dass durch den zuvor fehlenden case-Zweig der default angesprungen wurde, und in dem steht fail. Deshalb ging überhaupt nichts mehr.

[franco]

Schon richtig, aber wenn wir ein Protokoll zur Authentifizierung einfach aushebeln ohne Implementation also ohne Verifikation dann ist das per Definition eine Sicherheitslücke.


Grüsse
Franco

[pp]

Hallo,

bei mir in NRW gab es gestern auch Unitymedia/Vodafone Wartungsarbeiten und seitdem funktioniert IPv6 nicht mehr. Ich nutze ein TC4400 Modem. Unter Interfaces->LAN wird statt einer IPv6 nur noch "track6" angezeigt. Den von franco genannten Patch habe ich angewandt und neu gestartet, macht aber leider keinen Unterschied.
Das WAN Interface bekommt eine (drei in der Übersicht) IPv6 zugewiesen.
Die Log-Ausgabe vom Patch "ignoring not implemented authentication protocol: reconfig" bzw. vor Patch "unsupported authentication protocol" sehe ich auch nicht unter "System->Log Files->General" (alle Stufen ausgewählt). Bedeutet dies, dass es sich hier wohl um ein anderes Problem handelt?
Laut Log bekomme ich einen Prefix:

Code: [Select]

IA_NA address: 2a02:908:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx pltime=604800 vltime=1209600
IA_PD prefix: 2a02:908:xxxx:xxxx::/59 pltime=604800 vltime=1209600
...aber track6 scheint dies nicht zu erkennen/akzeptieren?
Wäre für jede Hilfe dankbar, dies zu debuggen.

Edit:
ich bekomme auch ein (link local) WAN_DHCP6 Gateway angezeigt, welches ich anpingen kann (fe80::f27c:c701:2cb0:7fb4). Allerdings funktionieren andere ipv6 pings zu externen Hosts über diagnostics nicht (timeout). Evtl. ein Vodafone Problem?

Edit2:
https://forum.vodafone.de/t5/St%C3%B6rungsmeldungen-Internet-TV/Kann-seit-11-04-2022-ipv6-Standardgateway-nicht-anpingen/td-p/2904082
Ist wohl ein Vodafone Problem.

[pp]

Noch eine Ergänzung, da man sich anmelden muss, um die Beiträge im VF Forum zu lesen (?):

Das Ticket ist geschlossen worden und ich kann wieder einen Präfix über dhcpv6 beziehen und über ipv6 auf das Internet zugreifen. Allerdings werden 3 Präfixe immer noch über Router Advertisements im Vodafone-Netz verteilt (SLAAC, siehe den 1. Beitrag oben). Diese Präfixe sind aber gar nicht nutzbar, ich kann über sie auf das Internet nicht zugreifen, nur über den Präfix, den ich über dhcpv6 beziehe. Da aber die ipv6 auf der WAN-Netzwerkkarte in mathematischer Reihenfolge verteilt werden, besteht die Möglichkeit, dass der von mir über dhcpv6 bezogene Präfix in der Liste der zugewiesenen Adressen auf der WAN-Netzwerkkarte unterhalb der Präfixe landet, die durch RAs des Vodafone RA-Servers verteilt werden:

ipconfig /all

IPv6-Adresse. . . . . . . . . . . : 2a02:908:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< SLAAC
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< SLAAC
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< SLAAC
IPv6-Adresse. . . . . . . . . . . : 2a02:8071:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt) <<< dhcpv6

Standardgateway . . . . . . . . . : fe80::f27c:c701:2cab:fb4%4
Standardgateway . . . . . . . . . : fe80::f27c:c701:30ab:fb4%4
Standardgateway . . . . . . . . . : fe80::f27c:c701:31ab:fb4%4

Außerdem, wenn ich mal meinen Präfix ändern will, bringt das nichts, es sei denn der dhcpv6-Präfix landet in der Liste auf dem 1. Platz, weil beim Zugriff auf das Internet immer die erste Adresse verwendet wird (im Beispiel oben: 2a02:908, weil 908 < 8071)

Ich habe die Routersuche (Router Discovery) auf der WAN-Netzwerkkarte abgeschaltet:

Windows:

netsh interface ipv6 set interface "XXX" routerdiscovery=disabled

Debian:

autoconf in /etc/sysctl.conf

damit keine SLAAC-Präfixe über den Vodafone RA-Server zugewiesen werden. Aber wenn ich die Routersuche abschalte, wird naturgemäß das Standardgateway (oben: fe80::f27c:c701:2cab:fb4) nicht zugewiesen. Das nervt, ich muß jetzt das Gateway manuell zuweisen, und weil das Gateway sich ab und zu ändert, musste ich mein dhcpv6-Script erweitern, um die dhcpv6-Server-Adresse auszulesen und ggf. das Standardgateway auf der WAN-Netzwerkkarte updaten, wenn das Gateway sich ändert.

Im Vodafone-Netz laufen 3 RA-Server:
 
fe80::f27c:c701:2cab:fb4
fe80::f27c:c701:30ab:fb4
fe80::f27c:c701:31ab:fb4

Allerdings funktioniert nur der erste (fe80::f27c:c701:2cab:fb4), das ist auch derjenige, der auf dhcpv6-Anfragen antwortet. Wenn ich das 2. Gateway z.B. zuweise (fe80::f27c:c701:30ab:fb4) statt des ersten, lässt mich das Gateway nicht durch.

Ich begreife nicht, warum es 3 RA-Server gibt (früher gab es nur einen), und warum nicht funktionierende Präfixe über SLAAC verteilt werden, ist mir ebenfalls unklar. Früher wurde über RAs nur das Gateway verteilt, der Präfix wurde über dhcpv6 bezogen, damit wurde nur das Gateway über SLAAC automatisch zugewiesen und ich konnte die Routersuche anlassen.

Das Standardgateway lässt sich ebenfalls nicht anpingen (obwohl es funktioniert, wenn ich auf globale ipv6-Adressen zugreife), also:

ping -6 fe80::f27c:c701:2cab:fb4

Zeitüberschreitung der Anforderung.

Früher ging das, und das war hilfreich, wenn man schnell testen musste, ob man Zugriff auf das Gateway hat.

Könntet Ihr Euer Netz fixen, damit die Router Advertisements wie früher funktionieren? Also nur 1 RA-Server für Standardgateway-Zuweisung, und keine Präfix-Verteilung über SLAAC. Oder erklärt uns zumindest, wozu 3 RA-Server und die Präfix-Verteilung über SLAAC gut sind, denn, wie gesagt, 2 der 3 Gateways funzen nicht und keiner der 3 SLAAC-Präfixe

Noch nicht sicher, wie ich das in opnsense "fixen" soll...