IPv6 Konfiguration

Started by TaktischerSpeck, November 02, 2023, 09:57:02 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
November 02, 2023, 09:57:02 AM Last Edit: November 10, 2023, 01:10:51 PM by TaktischerSpeck
OPNsense 23.7.7_3-amd64
FreeBSD 13.2-RELEASE-p3
OpenSSL 1.1.1w 11 Sep 2023


Hallo,

ich verwenden eine DEC3850 und möchten IPv6 einrichten.

Unser Anbieter gibt uns zwei statische IPv6 Netze. Ein /124 für das WAN Interface (Kommunikation zwischen uns und dem ISP) und ein /62 Subnet zur freien Verwendung. Soweit ich weiß wird SLAAC nicht untersützt.

Bei dem WAN Interface ist mit static IPv6 die Verbindung zum Anbieter konfiguriert und das klappt soweit auch.


Jetzt wollte ich das /62 Netzwerk mehrere /66 Netze unterteilen. Dafür habe ich mein erstes Netz so konfiguriert / gedacht:

Code Select

Ausgang: XXXX:XXX:X:28c:: /62

Subnet-1:
XXXX:XXXX:X:28c0::/66
Gateway: XXX:XXX:X:28c0::1
DHCP Anfang: XXXX:XXX:0:28c0::4
DHCP Ende: XXXX:XXXX:0000:28c0:3fff:ffff:ffff:ffff


Wie oben beschrieben habe ich dem Adapter von dem Subnetz die IP XXX:XXX:X:28c0::1 gegeben und die DHCP range gesetzt.
Ich erhalte eine IPv6, jedoch funktioniert z.B. ipv6-test.com nicht.

Ich bin etwas ratlos was genau ich nicht verstehe / falsch mache.
Ein Gedanke war das Gateway vom Anbieter als Gateway für die static IPv6 des Subnetz Adapters einzutragen.
Dabei erhalte ich aber die Meldung das mein Gateway nicht im Subnetz liegt, was an sich auch richtig ist.

Hat jemand Ideen was ich falsch mache / was ich nicht verstehe?

LG Vincent

//Edit
Bzgl. Firewall Rules, ich habe alle Rules vom Interface und WAN auf IPv6 und IPv4 geändert, sehe in der Live View beim Ping / Traceroute auch kein Block
November 02, 2023, 10:14:00 AM #1
Kannst du mir erklären warum du /66 Netze machen willst? Ich würde immer versuchen /64 Netze zu machen um SLAAC zu unterstützen.

Wenn ich es richtig verstehe, könnte man aus dem /62 Netz, 4x /64 Netze machen, oder nicht?

Gegebenes Netzwerk: XXXX:XXXX:X:28c0::/62

/64 Subnetz: XXXX:XXXX:X:28c0::/64
/64 Subnetz: XXXX:XXXX:X:28c1::/64
/64 Subnetz: XXXX:XXXX:X:28c2::/64
/64 Subnetz: XXXX:XXXX:X:28c3::/64

Ich bin mir hier aber unsicher.
Hardware:
DEC740
November 02, 2023, 10:20:22 AM #2
Genau, /64er und Gateway ist natürlich immer das jeweilige Sense Interface, nicht das am WAN.
November 02, 2023, 10:22:00 AM #3
Hi,

nebenbei bemerkt: ein /62 Präfix ist aber schon ziemlich jämmerlich. Eigentlich sind /64-er Subnetze normal und es gibt sogar RFC 7421 dazu, welches die Probleme mit nicht-/64-er Subnetzen diskutiert.

https://www.rfc-editor.org/rfc/rfc7421#section-4.2

Dazu noch ein paar Fragen:
Hast du eine öffentliche IPv6 am Client erhalten und passt diese auf das Subnetz?
Gibt es die entsprechenden Pass Regeln auf dem Interface?


Ansonsten könntest du per Packet Capture anschauen, ob der IPv6 Traffic überhaupt über das WAN raus geht bzw. Antworten kommen.

November 02, 2023, 10:24:27 AM #4
Er kann froh sein, ein /62 Netz und nicht nur ein /64 Netz bekommen zu haben. Und durch das Transportnetz kann er sogar alle 4 Netze nutzen.

Eigendlich sollten ISPs jedem Endkunden ein /56 Netz geben.
Hardware:
DEC740
November 02, 2023, 10:29:44 AM #5 Last Edit: November 02, 2023, 11:05:41 AM by meyergru
@TaktischerSpeck hat aber /66 konfiguriert (was zu klein ist), nicht den /62er Präfix des Providers.

Man sollte tatsächlich vier Dinge tun:

1. /64er Subnetze definieren, wie @Monviech schrieb, damit SLAAC geht
2. Das Gateway in den Subnetzen auf die jeweiligen Interface-IPv6s der OpnSense legen
3. SLAAC / RA auf den lokalen Interfaces aktivieren ("Track Interface")
4. Die Firewall-Regeln checken/einstellen
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
November 02, 2023, 10:30:42 AM #6
Ja, es kann immer noch schlimmer kommen. Man könnte Kunde bei EWE sein (egal ob Privat oder Geschäftlich).

https://twitter.com/Moin_EWE/status/1250416373055901696?lang=de
November 02, 2023, 11:46:03 AM #7
Erstmal vielen Dank für die ganzen Antworten und Hilfe!

Ich würde bei meinen ISP mal nach einem größeren Prefix fragen weil ich bräuchte bzw. möchte stand jetzt 7 Subnets für 7 VLANs.

Bis dahin würde ich das ganze einfach mal anhand einem /64 ausprobieren.

Code Select

1. /64er Subnetze definieren, wie @Monviech schrieb, damit SLAAC geht
2. Das Gateway in den Subnetzen auf die jeweiligen Interface-IPv6s der OpnSense legen
3. SLAAC / RA auf den lokalen Interfaces aktivieren ("Track Interface")
4. Die Firewall-Regeln checken/einstellen


Ich bin etwas mit dem "Plan" überfordert. Ich definiere jetzt für mich (also ich mache nirgendwo eine Einstellung dafür?) das mein Subnetz für mein VLAN 20 die XXXX:XXXX:XXXX:28c0::/64 ist.
Jetzt muss ich meine Adapter anpassen und was genau einstellen?

Erste Gedanke war Subnetz interface -> IPv6 auf Trackinterface. Jetzt ist der dropdown für IPv6 Interface komplett leer und ich weiß nicht weiter.

Danke nochmal :)
November 02, 2023, 11:59:20 AM #8
Quote from: meyergru on November 02, 2023, 10:29:44 AM
3. SLAAC / RA auf den lokalen Interfaces aktivieren ("Track Interface")
Track Interface macht meiner Meinung nach nur Sinn, solange das WAN auf DHCPv6 steht und der Prefix auch mittels DHCP verteilt wird. OP hat aber hier eine statische Konfiguration gemacht. Das kann, muss aber nicht richtig sein.  :D
November 02, 2023, 12:06:48 PM #9
Hi,

"Track Interface" wie schon erwähnt nur, wenn WAN per DHCPv6 versorgt wird. Steht WAN auf statisch, richtest du entsprechend statische Adressen für jedes Subnetz ein - und musst natürlich darauf achten, dass sie sich nicht überschneiden.

Also z.B.:  (Beispiel /56-er Netz)

xxxx:xxxx:xxxx:xx00::1/64
xxxx:xxxx:xxxx:xx01::1/64
xxxx:xxxx:xxxx:xx02::1/64

Ich übernehme z.B. wenn möglich die VLAN ID in den Präfix.

xxxx:xxxx:xxxx:xx<VLAN_ID>::1/64

November 02, 2023, 12:28:55 PM #10
Okay also ich konfiguriere gleich mein Interface vom vlan mit einer static IPv6. Upstream Gateway lass ich einfach auf Auto?

Dann stell ich RA ein und alles sollte funktioniert?
November 02, 2023, 05:24:23 PM #11
Bei nicht-/64 garantiert dir niemand für irgendwas. Bei /64 müsstest du noch zusehen, wie du DNS an den Client bringst. SLAAC reicht da nicht, d.h. du brauchst RA auf "Stateless" oder gleich "Assisted" oder "Managed".

Und natürlich entsprechende Pass Regeln in der Firewall.

Gateway bleibt auf Auto.
November 02, 2023, 05:57:32 PM #12 Last Edit: November 02, 2023, 06:32:35 PM by meyergru
DNS mit SLAAC geht entweder, wenn auch DHCPv4 genutzt wird oder indem man in den radvd-Einstellungen auch DNS-Einstellungen konfiguriert. Das sollte dann in RDNSS- und DNSSL-Einträgen in /var/etc/radvd.conf resultieren.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
November 03, 2023, 09:04:37 AM #13
Ich kann mich nur wiederholen, vielen Dank für die Hilfe!

Also mein aktueller Stand:

Ein /64 Netz auf einem Adapter mit static IPv6 konfiguriert, Gateway auf Auto. (XXXX:XXX:X:28c0::)
DHCPv6 konfiguriert, von ::2 bis ffff.
RA konfiguriert, Managed mit DNS auf ::1 (Also Unbound DNS von der FW)) und als fallback Cloudflare, (ansonsten habe ich bei RA nichts gemacht, denke das ist richtig so?)

Default Route besteht und ist korrekt.


Firewall an sich kann IPv6 und die traceroute nutzt auch das GW vom ISP etc.



Mein PC bekommt eine IPv6 und auch den DNS Server über RA
Code Select

Ethernet-Adapter Ethernet:
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : XXXX:XXX:X:28c0:cX6X:XcX1:bXX0:X6X4(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::60b6:10c8:17a5:ee35%15(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 172.XX.XX.XXX(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.XXX.0
   Standardgateway . . . . . . . . . : fe80::f690:eaff:fe00:69f4%15
                                       172.XX.XX.1
   DHCP-Server . . . . . . . . . . . : 172.XX.XX.1
   DNS-Server  . . . . . . . . . . . : XXXX:XXX:X:28c0::1
                                       172.XX.XX.1


Traceroute von meinen PC


NSLookup funktioniert auch, zumindest antwortet mir die FW über IPv6


Mir kommt das Standardgateway fe80::f690:eaff:fe00:69f4%15, komisch vor.
Weiß aber auch nicht wie ich jetzt ab den Punkt weiter vorgehe.

LG Vincent
November 03, 2023, 09:15:56 AM #14 Last Edit: November 03, 2023, 09:22:08 AM by Monviech
Der Standardgateway ist korrekt. Es sollte die Link Local IPv6 Adresse der Firewall des jeweiligen Interfaces sein in dem der Client ist der die Anfrage macht. fe80:: sind die Link Local Adressen.

Das %15 bedeutet, weil Link Local Adressen "LOCAL" sind und nur im Realm eines Interfaces existieren, die LAN Verbindung 15 bei Microsoft Windows.

Wenn es noch nicht funktioniert hat der ISP über das Transportnetz wohl keine Route auf die IPv6 WAN Adresse der Firewall gesetzt, um dein /62 Netz auch wirklich dort hin zu Routen.

Oder es besteht noch Nachholbedarf bei den Firewall Regeln, sodass IPv6 Zugelassen wird.

Ich würde ein Packet capture auf dem WAN interface machen:

tcpdump -i wan proto ICMP -n

Dann nochmal pingen und schauen ob die Pakete aus dem WAN Interface raus zum Provider gehen. Wenn ja, liegt das Problem beim ISP.
Hardware:
DEC740
Print
Go Up Pages1 2
User actions