Deutsche Glasfaser und IPV6

[NorbertK]

Hallo zusammen,
ich will meine verstorbene Frritzbox durch OPNSense direkt am NT ersetzen. ich habe Schwierigkeiten, das IPV6 ans Laufen  zu bekommen. ich bekomme keine Adresse und https://test-ipv6.com/ erzählt mir, dass IPV6 nicht funktioniert, was auch logisch ist

Die DG ist meiner Meinung nach unschuldig, denn ich habe meinen Laptop direkt an den NT gehangen, Internet bekommen und nach einem Reset des NT  (den mir der Support beschrieben hatte) klappte das auch mit dem IPV6-test. Prefixe habe ich nicht überprüft, ketzt beim Schreiben fällt mir ein, dass ich da Wireshark drauf ansetzen könnte, wenn ich denn wüßte nach was ich suche ...


Fürs Protokoll: Reset des NT geht so :

* LAN-Kabel abmachen, aber Strom und GF lassen,
* 10 Sekunden den Resetschalter an der Seite eindrücken, Alarm blinkt und leuchtet dann
* 20 Minuten ablagern lassen

Aber zur OPNsense:

Ich habe noch keine Interfaces mit IPV6 beschallt, aber für die WAN-Schnittstelle DHCPV6 gewählt und eine Prefixlänge von /56 eingestelt, siehe angehängten Screenshot.

Ich habe aber keine IPV6-Adresse bekommen:

Code Select Expand


igb0: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: WAN (wan)
        options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
        ether 64:62:66:22:6e:cf
        inet6 fe80::6662:66ff:fe22:6ecf%igb0 prefixlen 64 scopeid 0x1
        inet 100.111.227.179 netmask 0xffff0000 broadcast 100.111.255.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>


Aus irgendwelchen Gründen hat LAN eine IPV6  bekommen, wenn auch nur eine /64:

EDIT: Die Schnittstelle steht auf Track Interface WAN, liegt wahrscheinich daran

Code Select Expand


igb1: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: UNTAGGED (lan)
        options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
        ether 64:62:66:22:6e:d0
        inet 10.20.5.1 netmask 0xffffff00 broadcast 10.20.5.255
        inet6 fe80::6662:66ff:fe22:6ed0%igb1 prefixlen 64 scopeid 0x2
        inet6 2a00:6020:41e1:fe01:6662:66ff:fe22:6ed0 prefixlen 64
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>


Wie dröselt man das auf ?

Vielen Dank für sachdienliche Hinweise !


Norbert

[meyergru]

Ich setze immer "Request only an IPv6 prefix" für DG. Dann bekommt das WAN-Interface zwar keine IPv6, aber Du kannst für ausgehende Verbindungen z.B. das LAN-Interface nutzen, wenn Du es auf "Track Interface" setzt.

Liegt daran, dass manche Provider kein IA_NA machen, nur IA_PD. Und wenn Du das falsch anforderst, bekommst Du gar nichts.

[NorbertK]

Vielen Dank @meyergru.

Leider ändert das nichts, ich habe weder IPV6-Adresse noch Prefix. Irgendwas mache ich da falsch.

ping -6 auf heise.de von der sense aus funktioniert, es ist ja auch ein IPV6 Gateway vorhanden, aber IPV6-test zeigt, daß die Erreichbarkeit über IPV6 nicht gegeben ist.

Ich glaube, ich hänge eine Fritzbox 5530 davor, die können das wenigstens ...

Ich werde gleich noch mal als letzen Versuch den NT zurücksetzen

[meyergru]

Nochmal ganz langsam: Du bekommst auf dem WAN-Interface der OpnSense kein IPv6. Punkt. Das liegt daran, dass DG nur einen Präfix, aber keine Interface-Adresse für WAN vergibt.

Was immer test-ipv6.com zeigt, ist erstmal egal.

Dein LAN-Interface bekommt mit "Track Interface" offensichtlich eine global routebare IPv6, nämlich 2a00:6020:41e1:fe01:6662:66ff:fe22:6ed0/64.

Wenn Du nun auf der OpnSense selbst z.B. "ping -6 www.heise.de" aufrufst, sollte das funktionieren, weil dazu die LAN-IPv6 als ausgehende IPv6 verwendet wird. Offenbar klappt das ja, obgleich es Dich wundern könnte, dass Dein "gateway" eine an sich nur eine link-local-IPv6 ist, die mit fe80:: beginnt.

Der nächste Schritt ist, die IPv6-Adressen auch für Deine LAN-Clients verfügbar zu machen. Dazu stellst Du im LAN-Interface unter "Track IPv6 Interface" folgendes ein: "IPv6 Interface = WAN", "IPv6 Prefix ID = 0x01", Haken bei "Allow manual adjustment of DHCPv6 and Router Advertisements " gesetzt.

Dann unter Services -> "Router Advertisements" wie im Bild, DHCPv6 ausgeschaltet lassen.

Dann prüfst Du, ob Deine Clients eine IPv6, die mit 2xxx:: beginnt, bekommen (am besten einmal Netzwerkstecker ziehen und wieder anstecken), dann mit "ipconfig /all" schauen. Dann auch von dort "ping -6 www.heise.de". Wenn das nicht klappt, musst Du noch was an der Firewall machen.

Am Rande: Die Fritzbox "davor" zu hängen, bringt Dir neue Probleme, siehe dies.

P.S.: Lass den NT in Ruhe. Den immer zurückzusetzen, obwohl er offensichtlich nicht das Problem ist (da Du IPv4-Konnektivität hast), ist so, als ob Du immer die Räder wechselst, wenn Dein Motor nicht anspringt.

[tiermutter]

Die DG vergibt durchaus eine Interface v6, sonst könnte man den Anschluss ja komplett nur für ausgehenden Verkehr nutzen.
Ich beziehe jedenfalls eine Interface v6 dessen Präfix ich dann weiter delegiere.

Ich hatte bei der ersten Einrichtung allerdings auch massive Probleme und gefühlt 100 Mal einen Reset des ONT gemacht, in Ruhe lassen ist definitiv besser, es kann sogar helfen nach der Konfig alles erstmal in Ruhe zu lassen, auch wenn sich erstmal nix tut. Bei mir hatte es bis zu 2 Tagen gedauert, bis ich endlich eine v6 bezogen habe, sogar nach Neustarts wenn zuvor all3s funktionierte.
Das war allerdings zu einer älteren OPNsense Version (18.x?), seit geraumer Zeit habe ich trotz mehrfachem HW Wechsel allerdings keine Probleme mehr.

[tiermutter]

Meine Konfig ist wie im oben gezeigten Screenshot, allerdings VLAN Prio 7.
Die VLAN Einstellung hatte ich erst später vorgenommen (nachdem mir die DG die Schnittstellenspezifikationen zugeschickt hat)... Durchaus möglich, dass die Probleme erst damit ein Ende nahmen...

[meyergru]

Die DG vergibt durchaus eine Interface v6, sonst könnte man den Anschluss ja komplett nur für ausgehenden Verkehr nutzen.

Nein, man kann genauso die LAN-IP freigeben, indem man einen IPv6 dynamic host alias nutzt.

Ich beziehe jedenfalls eine Interface v6 dessen Präfix ich dann weiter delegiere.

Sicher? So wie ich das kenne, kannst Du im DHCPv6 IA_NA und/oder IA_PD wählen. Das eine ist eine einzige Interface-IPv6, das andere ein Präfix. Manche Provider (z.B. M-Net) vergeben weder das eine noch das andere, wenn man IA_NA verlangt, die können ausschließlich IA_PD. Dort setzt man deshalb den Haken für "Request prefix only", was eben genau "nur IA_PD" bedeutet.

Es ist damit aktuell unmöglich, für das WAN selbst eine IPv6 GUA zu vergeben, weil man nicht gleichzeitig "DHCPv6 client" und "Track Interface" auf dem WAN spezifizieren kann. Franco hat das mal versucht, ist aber gescheitert. Ist de facto aber kein Problem, siehe oben.

Bei DG bin ich mir nicht sicher, ob die IA_NA vertragen - da alle Systeme remote sind und DG nur CG-NAT/DS-Lite macht, traue ich mich nicht, den Haken testweise zu entfernen, da ich im Zweifel den Remote-Zugriff verliere.


Aber wie willst Du aus der IA_NA-IP Subnetze bilden? Das ist doch schon eine /128.

P.S:: Meine drei DG-Systeme nutzen weder VLAN Tag noch Prio.

[tiermutter]

Ja stimmt, Geräte im LAN kann man erreichbar machen , aber nicht ein auf der Sense gehostetes VPN zB.

Also ich konnte bei mir nichts wählen... Die einzige Wahl war nur "eigener Router oder DG Router" was sich ja aber nur darauf bezieht welche MAC erlaubt wird.

Mit dem ganzen IA NA und IA PD Kram habe ich etwas den Überblick verloren, aber ich bekomme halt eine v6 Interface IP am WAN und kann das Präfix ans LAN weiter delegieren. So läuft das mittlerweile seit einigen Jahren.

[Patrick M. Hausen]

Ja stimmt, Geräte im LAN kann man erreichbar machen , aber nicht ein auf der Sense gehostetes VPN zB.

Natürlich kannst du das. Der Provider routet das eine /64 an deine OPNsense und du kannst die LAN-Adresse der Firewall als Endpunkt für beliebige eingehende Dienste nutzen.

[tiermutter]

Auch wahr  :o

[schnipp]

Nochmal ganz langsam: Du bekommst auf dem WAN-Interface der OpnSense kein IPv6. Punkt. Das liegt daran, dass DG nur einen Präfix, aber keine Interface-Adresse für WAN vergibt.

Ich habe zwar keinen Paketmitschnitt gemacht, aber an meinem Anschluss verteilt die DG neben einem IPv6-Präfix auch eine einzelne IPv6-Adresse an das WAN-Interface der Fritzbox.

Aber in der Tat ist der DHCPv6-Server der DG etwas seltsam. Laut Log meiner Fritzbox hat die letzte Erneuerung des IPv6-Präfix ca. 15 Minuten gedauert.

[meyergru]

Wie ich schon sagte: Ich weiß es nicht genau, ob DG eine Interface-IP vergeben könnte.

Bei den vom OP gewählten Einstellungen wird aber tatsächlich keine GUA Interface-IP vergeben, weil er sie nicht anfordert. Das sieht man ja auch ganz deutlich an den Ausgaben.

Aber darauf kommt es beim vorliegenden Problem überhaupt nicht an und daran liegt es auch nicht, dass seine Clients keine IPv6-Konnektivität haben. Es kann auch nicht sein, dass die DG noch keinen Präfix vergeben hatte, wie man an der IPv6 GUA auf dem LAN-Interface sehen kann. Offenbar kommt der Präfix nur nicht an den Clients an.

Meine Vermutung geht dahin, dass eine vergurkte DHCPv6-Server-Einstellung Schuld ist (oder dass weder DHCPv6 noch SLAAC konfiguriert ist). Ich halte sowieso mehr von SLAAC, weil das praktisch jeder Client kann - DHCP ist bei IPv6 manchmal Glückssache.

[NorbertK]

Was die vorhandenen öffentliche IP-Adresen der lokalen interfaces anbelangt, so stammen die 'von früher' , ich hatte versäumt, die abzuräumen. Die DG hatte mir korrekte Adresse durchaus mal geliefet und dann habe ich es vergurkt, aber ich weiß nicht wie.


Ich hatte  die IPV6-Adresse der Schnittstellen vergessen und damit habe ich Eiuch auf falsche Fährten gelockt. Bitte entschuldigt das !


Das erste Problem für mich ist eine vernünftige, von außen erreichbare IPV6-Adresse und ein Prefix.

Und die sollte dnn auch über die üblchen testsites überprüfbar sein. ich finde nicht, daß das das egal ist.

[meyergru]

Ich habe mich offenbar für Dich immer noch nicht klar genug ausgedrückt:

Es ist ja gut und schön, wenn die DG eine IPv6 GUA für das WAN-Interface vergibt (IA_NA) - bei Dir scheint es augenblicklich nicht (mehr) der Fall. Warum ist unklar, weil die Einstellungen richtig aussehen.

Für die Erreichbarkeit / Prüfbarkeit ist es aber wirklich egal, solange Du nur einen /56-er Präfix erhältst (IA_PD), denn dieser wird ja auf Dein LAN zugewiesen (anderenfalls würden Deine Clients auch keine GUA erhalten). Und die LAN-IPv6 der OpnSense ist sehr wohl von außen erreichbar, wenn man die Firewall korrekt einstellt.

Das ist eine wie das andere eine komplett routebare IPv6 und beide können uneingeschränkt für ingress und egress Traffic verwendet werden.

Im Gegenteil hat die Präfix Variante sogar einen für mich entscheidenden Vorteil, nämlich, wenn Du die OpnSense auch für den Update der DynDNS-Adressen Deiner Clients nutzen willst. Falls nämlich sowohl ein Präfix als auch eine Interface-IP vergeben werden, unterscheiden sich diese in den ersten Bits.

Somit kommt egress-Traffic von der OpnSense ggf. von der WAN-IP als Absender. Wenn Du das nutzen willst, um beim DynDNS-Provider ein Update für einen Deiner Clients zu machen, passt das nicht, weil der Präfix nicht stimmt. Stammen dagegen die Absender-IP und die Client-IP beide aus dem selben /56-er Präfix, klappt die Namensauflösung (und wer tippt schon IPv6-Adressen?).

Das ist natürlich irrelevant, falls Du Deine Clients nicht direkt erreichbar machen willst (z.B. nur über Reverse-Proxies arbeitest) oder wenn die Ihre DynDNS-Updates selbst machen. Ich zentralisiere solche Aufgaben aber lieber, weil die Clients nicht sofort mitbekommen, wenn der Präfix sich einmal ändert.