(gelöst) IPv6 Routing

Started by Felix00, August 27, 2024, 09:47:51 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 27, 2024, 09:47:51 PM Last Edit: August 31, 2024, 08:02:35 PM by Felix00
Hey, ich habe derzeit folgendes Problem:

Ich möchte ein /48 IP Netz auf mehrere Interface aufteilen.
/56 / /64

Wenn ich jetzt meinem LAN ein /64 aus dem /48 zuteile, kann ich das GW des Interfaces auch pingen, komme jedoch nicht ins Internet. Zum testen hatte ich auch bereits eine "any" Regel gesetzt um eine Blockade auszuschließen, auch der Log zeigt keinen Block von Traffic an. Das gleiche gilt für die Wireguard Instanz.

Die Opnsense selber hat ein /29 v4 und /64 v6 Netz, worüber sie vollständig erreichbar ist und auch externe Ziele erreichen kann.
Ich habe mir bereits andere Beiträge angesehen, jedoch stehe ich weiterhin auf dem Schlauch und finde meinen (Denk)Fehler nicht.

Hat jemand einen Tipp?

Anbei eine Grafik die es etwas verdeutlichen soll. (Die IP´s sind fiktiv)

Code Select
                                  +------------------------------------------------+
                                  |                 Internet/ISP                   |
                                  |                                                |
                                  |  IPv4: 198.51.100.0/29                         |
                                  |  IPv6: 2001:db8:abcd:1::/64                    |
                                  |                                                |
                                  |  Zusätzliches IPv4-Netz: 203.0.113.0/26        |
                                  |  Zusätzliches IPv6-Netz: 2001:db8:abcd::/48    |
                                  +-----------------+------------------------------+
                                                    |
                                          +---------v----------------+
                                          |      OPNsense Firewall    |
                                          |                            |
                                          |  WAN IPv4: 198.51.100.2/29 |
                                          |  Gateway: 198.51.100.1/29  |
                                          |                            |
                                          |  WAN IPv6: 2001:db8:abcd:1::2/64 |
                                          |  Gateway: 2001:db8:abcd:1::1/64  |
                                          |                            |
                                          |  Zusätzliches IPv4-Netz: 203.0.113.1/26 |
                                          |  Zusätzliches IPv6-Netz: 2001:db8:abcd::/48 |
                                          +---------+------------------+
                                                    |
                                     +---------------+---------------+
                                     |                               |
                         +-----------v------------+        +--------v----------+
                         |   WireGuard VPN        |        |       LAN (Local) |
                         |                         |        |                   |
                         |  IPv4: 10.10.10.1/24    |        |  IPv4: 192.168.1.1/24 |
                         |  IPv6: 2001:db8:abcd:2::1/64 |    |  IPv6: 2001:db8:abcd:3::1/64 |
                         +--------------------------+       +----------------------------+
August 27, 2024, 10:49:40 PM #1
Hast du schon einen Tracroute aus deinem LAN probiert und mit einem von der Opensense verglichen? Damit solltest du sehen, wo deine Datenpakete hängen bleiben.
August 28, 2024, 12:11:21 AM #2
Aus dem LAN ist nur das Gateway des LAN Interface zu sehen/zu erreichen.
Von der Opnsense selber geht es direkt über das Gateway vom WAN raus.

Der Traffic von und zum LAN habe ich vollständig erlaubt, da es public IP´s sind.
August 31, 2024, 09:26:59 AM #3
Mal rein Interessehalber, wie hast du die Netze konfiguriert? Sind die statisch oder bekommen das Wireguard und LAN Netz per DHCP6 ein Netz? Und wenn du aus den beiden Netzen des LAN Interface der OpnSense pingen kannst, dann bleiben die Pakete ja in der OpnSense hängen. Sicher, dass dass die nicht per Default State violation rule geblockt werden, weil die OpnSense die Netze von Wireguard und LAN nicht kennt?
August 31, 2024, 08:02:20 PM #4
Diese sind statisch.
Geblockt wurde "auf meiner Seite" nichts.

Im hatte jetzt Kontakt mit dem OPNsense Support, dieser konnte das Problem eingrenzen und teilte mir mit das ich mich bei meinem ISP melden soll. Es fehlt sehr wahrscheinlich eine Route, damit das IP Netz korrekt über das Transfernetz geroutet wird.

Mein ISP hat dies geprüft und die Route hinzugefügt, das /48er Netz lässt sich jetzt vollständig nutzen.
Print
Go Up Pages1
User actions