Deutsche Glasfaser Anschluss mit IPv6

[block-by-default]

Hallo zusammen,

ich habe meine OPNsense direkt an die TP-Box von DG gehängt. Nach ein paar Problemen beim Booten (RJ45 Kabel zur TP-Box von DB abstecken) habe ich eine IPv6 mehr oder weniger erhalten.

Ich kann vom lan aus mit ping6 zu ipv6.google.com eine ipv6 Adresse anpingen. Auf dem WAN Interface sehe ich jedoch nicht die "feste IPv6". Diese habe ich über https://www.wieistmeineip.de/ ermittelt.

Bei meinem anderen Anschluss habe ich noch einen Genexis der DB und dort sehe ich die vergebene IPv6 für das WAN.

Ist dies normal oder muss ich noch was in den Einstellungen der OPNsense ändern?

Dies hier sehe ich beim ssh login:

Code Select Expand


LAN (igb0)      -> v4: 192.168.1.1/24
                    v6/t6: 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8/64
OPT1 (igb2)     ->
WAN (igb1)      -> v4/DHCP4: 1x.xx.xx.61/16
                    v6/DHCP6: fe80::21a:8cff:fe43:32f9%igb1/64
interconnect (igb3) -> v4: 192.168.101.1/24


Bin geht auch:

Code Select Expand


root@OPNsense:~ # ifconfig igb1
igb1: flags=8863<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
description: WAN (wan)
options=4800028<VLAN_MTU,JUMBO_MTU,NOMAP>
ether 00:1a:8c:43:32:f9
inet6 fe80::21a:8cff:fe43:32f9%igb1 prefixlen 64 scopeid 0x2
inet 100.81.158.61 netmask 0xffff0000 broadcast 100.81.255.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
root@OPNsense:~ # ping6 -c2 ipv6.google.com
PING6(56=40+8+8 bytes) 2xxx:xxxx:xxxx:xxxx:21a:8cff:fe43:32f8 --> 2a00:1450:400e:811::200e
16 bytes from 2a00:1450:400e:811::200e, icmp_seq=0 hlim=120 time=7.632 ms
16 bytes from 2a00:1450:400e:811::200e, icmp_seq=1 hlim=120 time=7.480 ms

--- ipv6.l.google.com ping6 statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 7.480/7.556/7.632/0.076 ms


Danke

[tiermutter]

Wie ist denn das WAN konfiguriert und was ist eine TP-Box?

Und bitte mal etwas sorgsamer schreiben... DG ist mal 'DB', Ping ist 'Bin', ... das macht es etwas kompliziert ;)

[Patrick M. Hausen]

Es gibt bei IPv6 nicht die eine "feste IP-Adresse". Jedes Endgerät im LAN kommuniziert mit seiner eigenen ohne NAT.

Den besten Online-Test (meiner Erfahrung nach) findest du hier:

https://test-ipv6.com

[block-by-default]

Konfiguriert ist das WLAN interface so:
DHCPv6 client configuration
Configuration Mode -> basic
Request only an IPv6 prefix -> gesetzt
Prefix delegation size -> 56    
Send IPv6 prefix hint -> gesetzt
Use IPv4 connectivity -> gesetzt   
Use VLAN priority -> disbled

Mit TP-Box meinte ich FibreTwist-P2411 (da hatte ich mich in der Abkürzung vertan ;-()
DG sollte für Deutsche Glasfaser stehen


Ich kann vom lan aus mit meiner IPv6 pingen, wie oben beschrieben. Ich möchte aber auch von Außen auf die IPv6 am WAN zugreifen können (VPN).

[Patrick M. Hausen]

Wenn du "request only a prefix" setzt, bekomnst du an WAN keine Adresse. Du kannst aber, da es kein NAT und kein Port Forward gibt, die LAN Adresse der OPNsense z.B. als Wireguard-Endpunkt nutzen.

Folgende Regel (Beispiel):

Interface: WAN
IPv6
Protocol: UDP
Source: any
Destination: LAN address
Destination port: 51820
Action: permit

[block-by-default]

Das "request only a prefix" keine IPv6 am WAN vergibt, klingt logisch. Danke.

Was genau meinst du mit Wireguard-Endpunkt?
Die FW-Regel ist dann quasi wie ein IPv6-Forward auf die lan IPv6?

[edit]
Erhalte nun folgende IPv6 am WAN-Interface
2a00:6020:a199:44a::19ea

Ist dies dann meine "feste IPv6" die von außen erreichbar sein sollte?
Muss meine LAN dann auch mit 2a00:6020:a199:44a beginnen?
[/edit]

[Patrick M. Hausen]

Was genau meinst du mit Wireguard-Endpunkt?
Die FW-Regel ist dann quasi wie ein IPv6-Forward auf die lan IPv6?

Nö, deine Firewall ist doch so oder so ein Router. Alle internen und externen Adressen werden erstmal geroutet. Bei IPv6 ohne NAT oder sonstigen Quatsch. Deshalb heißen die "Global Unicast Address" (GUA), die sind einfach erreichbar. Ganz einfach so.

Nun wäre das sicherheitsmäßig natürlich völliger Mist. Deshalb gibt es dann Firewall-Regeln und die sagen per Default "zum WAN kommt nix rein". Also das Routing ist zwar aktiv, aber es kommt einfach nichts durch.

Jetzt musst du also nur noch in einer Regel die Dinge erlauben, die du gerne haben möchtest. Du hast VPN erwähnt, also hab ich WireGuard als Beispiel genommen.

Erhalte nun folgende IPv6 am WAN-Interface
2a00:6020:a199:44a::19ea

Ist dies dann meine "feste IPv6" die von außen erreichbar sein sollte?
Muss meine LAN dann auch mit 2a00:6020:a199:44a beginnen?

Das ist deine externe IP-Adresse. Ob die "fest" ist oder sich ändert, musst du deinen Provider fragen.

Die LAN-Adressen müssen mit einem anderen Prefix beginnen - wie bei IPv4 gilt "man kann nicht dasselbe Netz an zwei unterschiedlichen Interfaces haben".

[block-by-default]

Danke.

Ich möchte über feste-ip.net die "statische" IPv6 am WAN kenntlich machen und dort einen Port auf meinen VPN am LAN forwarden.

IPv4:de.portmap64.de:65123 leitet dies an meine IPv6 mit Port 65123 weiter.
Damit ich dies dann auch auf dem LAN IPv6 bekomme, muss ich was genau an der OPNsense einstellen?
FW-Regel mit oder ohne Port-Forwarding?

Ich habe ich irgendwie noch ein Verständnisproblem...

[Patrick M. Hausen]

Du musst einfach die IPv6-Adresse, die der VPN-Gateway in deinem LAN hat, mit Port 65123 *erlauben*. Das ist alles.