IPv6 Probleme

Started by rantwolf, November 17, 2023, 06:50:19 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
November 17, 2023, 06:50:19 PM Last Edit: November 17, 2023, 07:09:18 PM by rantwolf
Moin.
Ich versuche auch gerade meine IPv6 Konfiguration zum Laufen zu bekommen.
Mein ISP macht seit kurzem DualStack, aber so richtig geht es noch nicht.

Meine OPNsense ist bei Version: 23.7.8_1

Hab einmal beim Einrichten, den Haken bei 'send ipv6 prefix hint gesetzt'
Daher wußte ich dann, prefix ist: /60 (leider aber kein /56)

Dann aufm LAN 'track interface' gesetzt und die Clients bekommen eine IPv6 mit /64 zugewiesen.
Folglich auch auf den internen Interfaces überall 'track interface' aktiviert und die 'ipv6 prefix id' hochgezählt (16 Subnetze, also 0-15 sollte ja möglich sein).
Nun haben auch fast alle Geräte auf den anderen Interfaces eine IPv6 Adresse.
Router Advertisements (unmanaged), DNS und Firewall Regeln dann auch noch angepaßt.
Bis dahin läuft alles einwandfrei.


Jetzt kommt das Kuriose....
Nach etwa 4 Stunden haben die Clients zwar noch ne IPv6 Adresse, aber es geht darüber nichts mehr.
Dann sieht es so aus:


Also in OPNsense rein und geschaut ob irgendwas klemmt. > aber sämtliche Dienste laufen wie gewohnt.
Erst wenn ich über die Konsole verbunden bin und im Menüpunkt 11 alle Dienste neu starte läuft es wieder rund.

Woran könnte das liegen, daß das nicht stabil ist, vielleicht an dem /60 Prefix?
November 17, 2023, 07:31:49 PM #1
Hi,

kannst du mal prüfen ob ein Neustart im radvd ausreicht?

Früher (tm) hatte ich öfter das Problem, dass radvd offiziell noch lief, aber nichts mehr tat und die Hosts keinen Router mehr kannten.  Das war aber mindestens vor 23.1.
November 17, 2023, 10:48:55 PM #2
Leider reicht das nicht aus.
Das hatte ich auch schon versucht.
Also besser gesagt, hab nach und nach alle Dienste in der GUI manuell neugestartet.
Erst wenn in der Konsole alle Dienste auf einmal nen 'restart' bekommen, geht es wieder.

Mir ist vorhin auch noch was aufgefallen.
Wenn ich meine Switche und Accesspoints von Mikrotik mit IPv6 versorgen will, ziehen die Mikrotiks keine IPv6 Adressen, auch wenn ansich alle anderen Geräte laufen. Die erkennen den SLAAC Pool irgendwie gar nicht.
Das hat mich noch mehr stutzig gemacht.

Also hab eben mal mit einem Kumpel das gleiche bei ihm Zuhause versucht.
Ähnlicher Aufbau nur halt mit Telekom als ISP.
Dort bekommt er nen /56er Prefix und alle Geräte laufen, selbst seine Mikrotik Accesspoints.

Jetzt ist zwischen uns meines Erachtens nur noch ein Unterschied.
Er hat seine OPNsense bare-metal auf nem Mini Rechner.
Bei mir ist die als VM auf nem Proxmox drauf.
November 19, 2023, 01:28:15 PM #3
Welche Schnittstellenkonfiguration hast du denn für WAN?

Außerdem kannst du mal ein Packet Capture auf LAN machen, wenn du die Mikrotiks oder andere Geräte neu ins Netz bringst. Bei SLAAC würde eine Anfrage an ff02::2 gesendet (Multicast), die dann von OPNsense beantwortet würde (alles ICMPv6).

Kommt die nicht, ist es ein OPNSense Problem. Kommt die, dann müsste man mal schauen, was da so drin steht.

Außerdem würde mich interessieren, was nach ein paar Stunden nicht mehr geht. Du hattest die Screenshots, dass kein IPv6 Traffic im Internet ankommt gezeigt, aber sind die Adressen noch zugewiesen und werden von der Firewall blockiert?

Auch das könnte man mit einem Packet Capture untersuchen.

Letzte Frage: Betrifft das nur Motik oder auch Geräte von anderen Herstellern/Betriebssystemen?
November 19, 2023, 08:35:31 PM #4 Last Edit: November 19, 2023, 08:40:08 PM by rantwolf
Moin.
Danke für die Hinweise.

In der WAN Konfiguration steht folgendes drin:
IPv4 config type: dhcp
IPv6 config type: dhcpv6
prefix delegation size: 60
sent prefix hint: [haken gesetzt]

Wenn ich auch den Haken für 'request only a prefix' setze, macht das keinen Unterschied.

Hab jetzt auch mal ein wenig geprüft.
Im Packet capture kommt keine Multicast Anfrage an. (Hab das ganze Teil mehrfach geprüft)

Nach ein paar Stunden...den Zeitraum würde ich jetzt mal zwischen 2 und 4 Stunden legen.
Das Internet wird gefühlt langsam, also bis eine Anfrage beantwortet wird.
Wenn ich einen Client nehme, hat der zwar noch ne IPv6 Adresse aber kein Ping oder ähnliches geht dann noch.
Ich vermute die Trägheit kommt dann dadurch, weil er erst IPv6 prüft und dann auf IPv4 umstellt.

Hab die Dienste eben erst neu gestartet und somit müßte ich nachher nochmal prüfen ob die Firewall was blockt.

Die Einrichtung, daß SLAAC nicht funktioniert betrifft nur die Mikrotik's (sowie die Geräte, die kein IPv6 können).

Ich war heut bei uns im Dorf unterwegs und hab noch bei einem weiteren Kumpel geprüft.
Der hat den gleichen ISP wie ich. Da tritt auch der gleiche Fehler auf.
Der hat seine OPNsense bare-metal und keine Mikrotiks im Einsatz.
Meine OPNsense ist ja auf Proxmox virtualisiert.
November 20, 2023, 06:02:58 PM #5 Last Edit: November 20, 2023, 06:11:32 PM by rantwolf
So.
War heute den ganzen Tag unterwegs.

Jetzt gerade geht es nicht mehr...
Aber die hab mal in das Firewall LiveView geschaut.

Da wird doch der 'icmp-v6 ping' geblockt.
Mein Telefon hat sich eben eingewählt und auch ne IPv6 Adresse bekommen.
Nun hab ich grad mal weiter geforscht. Alle ping-v6 Versuche die ich lokal mache laufen.

Mir erklärt sich aber gerade nicht, warum die OPNsense den IPv6 Traffic erst nach ner Weile blockiert.
Regeln sind doch da...
und auch ein reload der Firewall Regel per configctl bringt keine Besserung.
November 21, 2023, 09:04:37 AM #6
Weißt du welche Regel das war? Scheinbar macht dein ISP komische Sachen.
November 21, 2023, 06:06:20 PM #7
Ähm. Da hat sich ein Schreibfehler eingeschlichen.
Ich meinte die "Regeln" und die kann ich ja über
Code Select
configctl filter reload neu laden/starten/anwenden.

Was meinst du soll ich meinem ISP sagen, wenn ich da morgen mal anrufe?
November 22, 2023, 01:04:19 PM #8
Ich meinte die Regel, die das ICMP-v6 blockt. Es muss einen Grund geben, warum die zuschlägt.

Grundsätzlich müsste der Provider erklären, wie die Adressvergabe in seinem Netz technisch umgesetzt wird. Evtl. gibt es da ein Datenblatt?
November 22, 2023, 08:29:04 PM #9 Last Edit: November 22, 2023, 08:37:29 PM by rantwolf
Sehen tu ich da nichts.
Also ich habe im LAN jetzt mal die 'allow all' IPv6 Regel aktiviert und die Anderen deaktiviert.

Wenn nichts mehr geht sehe ich Folgendes im Firewall-LiveView:
Code Select
001_lan 2023-11-22T20:13:05 [2a01:75c2:9314:xxxx:xxxx:xxxx:xxxx:xxxx]:9639 [2607:f8b0:4008:814::200e]:443 tcp
Mit der Anfrage wollte ich ipv6.google.com erreichen.

Ich hab jetzt aber nochmal alles überflogen. Hatte dann auch noch zwischenzeitlich den 'dhcpv6-server' auf dem LAN Interface aktiviert (um damit auch mal gegen zu prüfen). Dabei ist mir gerade aufgefallen, daß da was nicht hinhauen kann.
Im DHCPv6 steht vom LAN Interface bei möglichem Bereich:
von:
Code Select
2a01:75c2:9314:xxxx:: bis
Code Select
2a01:75c2:9314:xxxx:ffff:ffff:ffff:ffff
Wenn ich aber im Overview des WAN Interface schaue, hab ich aber gerade folgendes Prefix:
Code Select
2a01:75c2:9318:xxxx::/60
Mein Client hier, hat aber auch noch die Adresse gehabt:
Code Select
2a01:75c2:9314:xxxx:xxxx:xxxx:xxxx:xxxx

Das Prefix: ::9314:: hatte ich die Tage mal. Das zählt irgendwie hoch oder runter.
Denn jetzt gerade habe ich mal wieder alle Dienste in der Konsole neu gestartet und nun habe ich dieses Prefix:
Code Select
2a01:75c2:9315:xxxx::/60
Jetzt paßt der Bereich im DHCPv6 aber auch wieder (zumindest sehe ich es da):
Code Select
2a01:75c2:9315:xxxx:: bis ...

Kann es sein, daß sich da was nicht aktualisiert?
Wenn das dann ein anderes Prefix ist, ist auch klar, warum die die Firewall blockt, ohne einen Hinweis auf eine bestimmte Regel zu geben.
Hab nun den DHCPv6 auf dem LAN erstmal wieder aus geschaltet und beobachte mal wie es sich dann mit dem Prefix verhält.
November 22, 2023, 08:33:21 PM #10
Reicht dir SLAAC nicht anstelle von DHCPv6?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 22, 2023, 08:42:52 PM #11
Wie sieht es ohne OPNsense aus, die selben Probleme?
November 22, 2023, 10:00:54 PM #12 Last Edit: November 22, 2023, 10:05:43 PM by rantwolf
Quote from: Patrick M. Hausen on November 22, 2023, 08:33:21 PM
Reicht dir SLAAC nicht anstelle von DHCPv6?

SLAAC würde reichen, geht aber leider nicht.
Deswegen hatte ich ja mal testweise den DHCPv6 eingerichtet.

Bin fast am überlegen, ob ich mal nen festen IPv6 Block beantrage.
November 22, 2023, 10:04:39 PM #13 Last Edit: November 22, 2023, 10:20:17 PM by rantwolf
Quote from: Bob.Dig on November 22, 2023, 08:42:52 PM
Wie sieht es ohne OPNsense aus, die selben Probleme?

Kann ich leider bei mir nicht testen.
Hab nur die OPNsense mit nem Vigor Modem.

Alle anderen Leute hier im Dorf haben eine FritzBox, damit läuft es (gemessen mit unserem ISP).
Bei einem anderen Kumpel im Nachbardorf funzt es auch mit der OPNsense, aber der hat Telekom.

Kann man da irgendwie aus der Fritte was auslesen, damit ich vielleicht an die korrekten WAN Einstellungen komme?
November 22, 2023, 10:17:59 PM #14 Last Edit: November 22, 2023, 10:24:53 PM by Bob.Dig
Ich meine ja, die Fritzbox zeigt schon sehr viel an. Und die Vigors kann man auch als Router nutzen.
Print
Go Up Pages1 2
User actions