IPv6 Präfix in allen Subnetzen mit Opnsense und Vodafone DS-LITE

[transmissionend]

Guten Morgen,

da ich aktuell über eine Fritzbox 6660 Cable an Vodafone DS-Lite angeschlossen bin, würde mich interessieren, ob die Möglichkeit besteht, ähnlich eines PPOE Anschlusses, den erhaltenen IPv6 Prefix direkt oder als "Sub-Prefix" an die Subnetze der Opnsense automatisch zu verteilen?

Ich habe unter der Opensense => WAN Schnittstelle folgendes angekreuzt:

* IPv4 + IPv6 DHCP
* IPv6 Präfix anfordern
* IPv6 Präfix Hint senden


Soweit scheint das auch zu funktionieren. Der von Vodafone vergebene x:x:x:x::x /59 Prefix wird als x.x.x.x.x /64 Präfix an die Opnsense WAN Schnittstelle weitergereicht.
Aber wie bekommen die Subnetzte der Opnsense nun automatisch Ihren zugehörigen Prefix bzw. Adressraum?

[meyergru]

Ist doch perfekt beschrieben, wie es geht: https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

Du musst nur noch auf den Subnetz-Interfaces "Track Interface" einstellen und jeweils eine eigene Prefix ID einstellen.

[transmissionend]

Vielen Dank für den Link.

Nach einigen fehlgeschlagenen Versuchen fielen mir einige Einstellungen in der Fritzbox unter

Heimnetz => Netzwerk => Netzwerkeinstellungen => IPv6-Einstellungen

auf.

Hier müssen 2 weitere Einstellungen gesetzt werden:

- "Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben".
- "DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren" und "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen"
- siehe AVM: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/

Erst anschließend konnte der von der Opnsense angeforderte und empfangene Prefix an die Interfaces weitergegeben werden.
Entgegen der Darstellung von AVM empfängt die Opensense lediglich einen /64 Prefix statt einem /62er.
Die Fritzbox erhält jedoch einen /59er Prefix und scheint diesen trotz verschiedener Optionen in der Opnsense WAN Schnittstelle (/60-64er Prefix anforderung) nut als /64er Prefix weiterzureichen.
Einsehbar unter ssh-Zugriff und der opnsense-shell.

Daraus resultiert jedoch, das ich lediglich ein Prefix mit der ID 0 an eine Schnittstelle weiterreichen kann...
Umgehen lässt sich dies, in dem ich die Prefix-Anforerung auf /62 stelle.
Obwohl ein 64er Prefix empfangen wird, lassen sich jedoch die ID's von 0-3 vergeben.
Die Verteilung funktioniert. Jedoch ist das Thema IPv6 relativ neu für mich und ich erkenne hierbei noch nicht die Probleme die sich aus dieser Konfiguration eventuell ergeben können.
Anbei noch eine kleine Übersicht:






Eine Frage stellt sich mir aktuell jedoch noch:

Dass ein IPv6 Server durch seine globale IPv6 Adresse erreichbar ist und dahingehend das bekannte NAT aus der IPv4 Welt nicht mehr benötigt wird ist verständlich. Was ich jedoch aktuell nicht nachvollziehen kann ist, wieso es nicht auch im IPv6 Bereich möglich ist, die globale IPv6 Adresse der Fritzbox per DynDNS aufzurufen und durch Portweiterleitungen eine Verbindung mit dem dahinterliegenden auch über IPv6 angebundenen Server aufzunehmen?


Weiterhin sind mir noch kleine Besonderheiten im Bezug auf IPv6 aufgefallen:
- Fritzbox:
    * Eine explizite Anforderung einer bestimmten Prefix-Länge über die FB ist nur mit einer ungebrandeten FB möglich, siehe:
    https://forum.vodafone.de/t5/Ger%C3%A4te/IPv6-Pr%C3%A4fix-mit-Fritzbox-6660-nicht-62/td-p/2708605
    * Ist in der Fritzbox der DynDNS Dienst, unabhängig des Anbieters und myfritz ausgenommen, aktiviert und wird als verbunden angezeigt, muss dies nicht zwangsläufig auch der Fall sein.
        Gibt es bei der Weiterleitung einen Fehler, kann man diesen nicht direkt erkennen. Denn die Fritzbox leitet den Aufruf der DynDNS Adresse aus dem internen Netz direkt auf die Fritzbox-Oberfläche weiter.
        Siehe:
        https://www.ip-phone-forum.de/threads/fritzbox-portweiterleitung-funktioniert-nach-update-auf-fritzos-7-27-nicht-mehr.310499/
- bei einem Aufruf der DynDNS Adresse, ist zu beachten, dass logischerweise das Startnetz auch IPv6 unterstützt. Klingt trivial, aber entgegen meiner Annahme scheint das nicht bei allen Mobilfunknetzen der Fall zu sein.

[meyergru]

Eine Frage stellt sich mir aktuell jedoch noch:

Dass ein IPv6 Server durch seine globale IPv6 Adresse erreichbar ist und dahingehend das bekannte NAT aus der IPv4 Welt nicht mehr benötigt wird ist verständlich. Was ich jedoch aktuell nicht nachvollziehen kann ist, wieso es nicht auch im IPv6 Bereich möglich ist, die globale IPv6 Adresse der Fritzbox per DynDNS aufzurufen und durch Portweiterleitungen eine Verbindung mit dem dahinterliegenden auch über IPv6 angebundenen Server aufzunehmen?

Das könntest Du tun, eventuell steht Dir dabei jedoch im Weg, dass IPv6-Clients z.T mehrere IPv6-Adressen haben, nämlich die aus der MAC abgeleitete EUI-64 und in der Gegenrichtung eventuell IPv6 Privacy Extension Adressen. Dummerweise werden letztere beim Dyndns-Dienst sichtbar.

Deshalb musst Du einen Dienst nehmen, der von der übermittelten IPv6 nur den oberen Anteil nimmt und Dir erlaubt, den maschinenabhängigen Suffix selbst fest zu vergeben. Dann wird bei Aktualisierung nur der Präfix verändert, so dass die Zieladresse erhalten bleibt. So kannst Du mit mehreren DynDNS-Namen verschiedene LAN-Clients sichtbar machen, sie werden aber auf unterschiedliche IPv6-Adressen gemappt, die sich im EUI-64-Suffix unterscheiden. In der Firewall benötigst Du dann Regeln für dynamische IPv6-Aliase.

Die zweite Variante wäre eine Port-Weiterleitung von "This Firewall" auf einen dynamischen IPv6-Alias.

Die dritte ist HAProxy, bei der die Auflösung namensbasiert funktioniert - aber das normalerweise nur für HTTP(S).

Weiterhin sind mir noch kleine Besonderheiten im Bezug auf IPv6 aufgefallen:
- Fritzbox:
    * Eine explizite Anforderung einer bestimmten Prefix-Länge über die FB ist nur mit einer ungebrandeten FB möglich, siehe:
    https://forum.vodafone.de/t5/Ger%C3%A4te/IPv6-Pr%C3%A4fix-mit-Fritzbox-6660-nicht-62/td-p/2708605
    * Ist in der Fritzbox der DynDNS Dienst, unabhängig des Anbieters und myfritz ausgenommen, aktiviert und wird als verbunden angezeigt, muss dies nicht zwangsläufig auch der Fall sein.
        Gibt es bei der Weiterleitung einen Fehler, kann man diesen nicht direkt erkennen. Denn die Fritzbox leitet den Aufruf der DynDNS Adresse aus dem internen Netz direkt auf die Fritzbox-Oberfläche weiter.
        Siehe:
        https://www.ip-phone-forum.de/threads/fritzbox-portweiterleitung-funktioniert-nach-update-auf-fritzos-7-27-nicht-mehr.310499/
- bei einem Aufruf der DynDNS Adresse, ist zu beachten, dass logischerweise das Startnetz auch IPv6 unterstützt. Klingt trivial, aber entgegen meiner Annahme scheint das nicht bei allen Mobilfunknetzen der Fall zu sein.

Grundsätzlich ist es halt problematisch, wenn man einen Router hinter einen Router stellt, das bringt immer mehr Komplexität (siehe Dein Beispiel mit den IPv6-Präfixen). Ich nutze da lieber die OpnSense als ersten Router und setze die Fritzbox nur noch als IP-Client für Telefonie ein.

Zum letzten Punkt: Genau. Und auch nicht in Hotel/Firmen-WLANs. Da hilft nur eine Tunnel-Lösung wie Cloudflare oder wenn Du im DynDNS sowohl IPv4 als auch IPv6 auflösen kannst und bei IPv4 dann einen Server mit einem HAProxy im Internet hast, der per IPv6 weiterleiten kann.