Deutsche Glasfaser - Unsicherheit bei der Konfiguration

[User1773914]

Hallo liebe Community,

ich nutze jetzt schon eine Zeit lang Opnsense für den Glasfaseranschluss der Deutsche Glasfaser. Hat bis jetzt auch wunderbar funktioniert.

Nun wollte ich daheim mittels Cloudflare-Tunnel Anwendungen im Internet bereitstellen. Die Methode hatte ich zuvor beim alten Router (ASUS ZenWifi XT8) genutzt - ohne Probleme.

Es kommt jedoch keine Verbindung zur Stande. Da Cloudflare über IPv6 arbeitet, habe ich mir die Verbindung angeschaut und festgestellt, dass ich lt. IPv6-Tests gar keine v6-Adresse habe.

Da man - soweit ich weiß - bei der DG jedoch keine eigene IPv4 bekommt, muss ja eine v6 für CGN zugeteilt werden.

Habe hier im Forum auch schon Beiträge zu dem Thema gefunden und die Einstellung abgeglichen - ohne Erfolg. Da ich dann keine Lust mehr zum Basteln hatte, wollte ich den alten Router wieder in Betrieb - dieser funktioniert jedoch auch nicht mehr (Fehlermeldung: DHCP vom Anbieter fehlerhaft).

Nach einer weiteren Recherche stand im Netz, dass man nach einem Routerwechsel den ONT 60 Minuten vom Netz nehmen muss. Jetzt stellt sich natürlich mir die Frage, ob das auch die Fehlerursache für mein v6 Problem sein kann?

IPv6 hatte damals definitiv beim ASUS-Router funktioniert.

Bin über jeden Hinweis dankbar.

Gruß

Nachtrag: Hier noch die Konfiguration der Opnsense: https://ibb.co/gPjpQD3. Hätte die Dateien gerne direkt beigefügt, überschreitet aber leider das Limit.

Nachtrag 2: Hatte jetzt den ONT 60 min vom Netz und die Opsense wieder angeschlossen - scheint sich nichts geändert zu haben..

[meyergru]

Siehe hier.

Abweichend / (eventuell) falsch sind bei Dir:

Promiscuous Mode im LAN = "enabled"
Router Advertisements "Stateless" (muss unmanaged oder assisted sein, bitte DHVPv6 im LAN ausschalten, das funktioniert eh nicht bei vielen Geräten)

Du solltest erstmal schauen, ob Dein WAN eine IPv6 bekommt. Seit einigen Versionen ist es möglich, dem WAN-Interface eine IPv6 aus dem Prefix Range geben zu lassen. Dazu solltest Du "Optional prefix ID" und "Optional interface ID" für das WAN setzen. Damit kannst Du den 8 Bit Präfix zu den 56 Bits vom ISP bestimmen und außerdem anstelle Deiner EUI-64 einen besser lesbaren "unteren" Teil der IPv6 bekommen.

Dann siehst Du im Dashboard auch, ob / welchen IPv6 Präfix Du bekommst. Danach geht es an die Weitergabe per Track Interface ans LAN.

Für das LAN wählst Du eine andere 8-Bit-"Assign prefix ID" als die für das WAN, "Optional interface ID" kannst Du da leer lassen, das Gateway wird eh per SLAAC verteilt.

[User1773914]

Danke für die Rückmeldung.

Promiscuous habe ich deaktiviert und RA auf Assisted gestellt.
DHCPv6 ebenfalls deaktiviert.

Den Rest habe ich ehrlicherweise nicht verstanden. Ist eine Pflicht, Optional prefix/interface ID zu setzen?

Im Dashboard hat das WAN-Interface eine Link-Local Adresse. Das LAN-Interface hat das Prefix von DG.
Von der Opnsense aus kann ich auch via v6 pingen. Nur von den Clients nicht.

Das Thema scheint überhaupt nicht eindeutig. So mehr man googlet, desto verschiedenere Konfigurationsvorgaben findet man. Wäre schön, wenn vom ISP eine Vorgabe/Dokumentation existieren würde..

[meyergru]

Wenn das LAN-Interface eine IPv6 hat und die Clients kein IPv6 können, dann ist die Frage, warum:

- Haben die Clients eine IPv6 aus dem selben Range (d.h. nicht nur eine link-lokale IPv6)? Wenn nicht, müsste man prüfen, ob der RADVD läuft (sieht man auch im Dashboard) und ob die Clients IPv6 können.
- Falls ja: Kann man die IPv6 des LAN-Interfaces der OpnSense pingen?
- Man kann auch einfach "ping 2600::" versuchen, um zu testen, ob man IPv6 hat.
- Nächster Test: Kann man DNS auf IPv6 auflösen? Also z.B. geht: "ping -6 www.heise.de"

Einfach systematisch vorgehen:

1. IPv6-Adresse
2. IPv6-Gateway
3. IPv6 Namesauflösung

Was die "Pflicht" angeht: Nein. Nur, wenn Du das nicht machst, bekommt das WAN-Interface der OpnSense keine IPv6, wie Du ja gesehen hat. Dann muss sie die IPv6 des LAN-Interfaces für ausgehende Verbindungen nutzen, das geht auch, kann aber später Stress geben, wenn man VLANs nutzt.

Wenn Deine Clients aktuell noch die eventuell vorher eingestellte DHCPv6-Adresse nutzen, solltest Du das Netzwerkkabel kurz abziehen und wieder dranstecken, damit sie mitbekommen, dass sie jetzt IPv6-Adressen und -Gateway per SLAAC bekommen.

[hyp]

Ich hatte auch Probleme mit der ipv6 Verbindung bei der DG, danke für deine Anleitung! Einziges Problem ist aktuell nur noch das wenn ich die Internet Leitung für ein paar Minuten auslaste die ipv4 Verbindung abbricht (ipv6 funktioniert weiterhin), was bei regelmäßigen offsite Backups über ipv4 nervig ist.

Die Frage für mich ist ob die DG Probleme hat oder es ein Fehler bei der Opnsense ist? Ist jemand von den selben Problemen betroffen?

Edit: Opnsense läuft bei mir auf Proxmox und das Wan Interface (Intel I226-V) ist komplett per Passthrough durchgereicht

[meyergru]

Hast Du Traffic Shaping an? Das funktioniert bei der DG nicht, siehe hier.

Worauf sie auch pissig reagieren, ist, wenn man RFC1918-Pakete auf dem WAN "leakt". Ich habe, um das zu verhindern, eine "out" Regel auf dem WAN. Wenn man bei der Logging einschaltet, kann man auch sehen, was das verursacht (bei mir war es Monitoring, wo Adressen geprüft wurden, die keine andere Route hatten und deswegen das Default-Gateway (=WAN) nahmen).

[hyp]

Den Shaper habe ich nicht an. Ich habe mal eine Rule auf dem Wan Interface erstellt und Teste. Danke vielmals für den Tipp


Edit: War leider nicht erfolgreich

Edit2: Habe die Opnsense mal komplett neu aufgesetzt und die RFC1918 IPs direkt im Wan gesperrt, war leider wieder ohne Erfolg. Habe jetzt mal eine Pfsense aufgesetzt, die RFC Ips gesperrt und den Upload gestartet. Läuft seit ca 30min ohne Probleme

[User1773914]

Wenn das LAN-Interface eine IPv6 hat und die Clients kein IPv6 können, dann ist die Frage, warum:

- Haben die Clients eine IPv6 aus dem selben Range (d.h. nicht nur eine link-lokale IPv6)? Wenn nicht, müsste man prüfen, ob der RADVD läuft (sieht man auch im Dashboard) und ob die Clients IPv6 können.
- Falls ja: Kann man die IPv6 des LAN-Interfaces der OpnSense pingen?
- Man kann auch einfach "ping 2600::" versuchen, um zu testen, ob man IPv6 hat.
- Nächster Test: Kann man DNS auf IPv6 auflösen? Also z.B. geht: "ping -6 www.heise.de"

Clients haben nur eine Link-Local-IPv6. Der RADVD läuft, habe ich auch mal durchgestartet.
Nein, ich kann das LAN-Interface nicht vom Client pingen. Ping auf 2600:: funktioniert ebenfalls nicht, genau wie der v6 Ping auf heise.de.

Ich kontaktiere parallel mal den ISP. Wobei ich davon ausgehe, dass die eh keinen Support für Kundenrouter machen..

[meyergru]

Den Shaper habe ich nicht an. Ich habe mal eine Rule auf dem Wan Interface erstellt und Teste. Danke vielmals für den Tipp


Edit: War leider nicht erfolgreich

Edit2: Habe die Opnsense mal komplett neu aufgesetzt und die RFC1918 IPs direkt im Wan gesperrt, war leider wieder ohne Erfolg. Habe jetzt mal eine Pfsense aufgesetzt, die RFC Ips gesperrt und den Upload gestartet. Läuft seit ca 30min ohne Probleme

Was für eine Hardware setzt Du ein? Hoffentlich keine Realtek-Adapter?

[meyergru]

Clients haben nur eine Link-Local-IPv6. Der RADVD läuft, habe ich auch mal durchgestartet.
Nein, ich kann das LAN-Interface nicht vom Client pingen. Ping auf 2600:: funktioniert ebenfalls nicht, genau wie der v6 Ping auf heise.de.

Das ist aber schon sehr seltsam, wenn Du auf dem WAN eine IPv6 hast und keinen Präfix. Das kann man auch mit Debugging in den Logs herausbekommen. Meine Einstellungen machen es eben so, dass ich KEINE /128 IA-NA Adresse für das WAN anfordere, sondern nur einen /56 IA-PD Präfix, den man dann auf WAN und (V)LAN(s) verteilen kann. In der Übersicht sieht das dann so aus wie angehängt, nämlich ein /64er Präfix für das WAN und einer für das LAN.

Du kannst Dir auch den Inhalt der Datei /var/etc/radvd.conf ansehen, das müsste dann so aussehen wie dies:

Code: [Select]

# Automatically generated, do not edit
# Generated RADVD config for manual assignment on lan
interface igb0 {
        AdvSendAdvert on;
        MinRtrAdvInterval 200;
        MaxRtrAdvInterval 600;
        AdvLinkMTU 1500;
        AdvDefaultPreference medium;
        AdvManagedFlag on;
        AdvOtherConfigFlag on;
        prefix 2a00:XXXX:YYYY:ZZ60::/64 {
                DeprecatePrefix on;
                AdvOnLink on;
                AdvAutonomous on;
        };
};

Und damit werden dann die Präfixe auf das LAN per SLAAC verteilt.

Es gibt bei DG allerdings verschiedene Anschlussarten. "Mit eigenem Router" oder normal. Man braucht wohl "mit eigenem Router", damit das richtig klappt - ich habe nie etwas anderes ausprobiert.

Ich kontaktiere parallel mal den ISP. Wobei ich davon ausgehe, dass die eh keinen Support für Kundenrouter machen..

Das würde ich auch.

[User1773914]

Danke für den erneuten, detaillierten Input. Also meine radvd.conf sieht ähnlich aus.

Könnte es damit zusammenhängen, dass ich ein Bridge-Interface nutze?
Habe zwei LAN-Ports gebündelt.

Meine Übersicht sieht anders aus (klar, sonst würde ja alles funktionieren ).

DG hat sich auch schon gemeldet:

DHCPv6 und RA (Router Advertisement): Stellen Sie sicher, dass diese Dienste korrekt konfiguriert sind, damit Ihre Clients gültige IPv6-Adressen und Routen erhalten.
IPv6-Prefix Delegation: Prüfen Sie, ob Ihr Router ein korrektes IPv6-Präfix vom Provider erhält und es an die Clients weitergibt.
Firewall-Regeln: Vergewissern Sie sich, dass entsprechende IPv6-Freigaben in der Firewall eingerichtet sind, damit Datenverkehr ungehindert passieren kann.
MTU-Wert: Stellen Sie sicher, dass der MTU-Wert korrekt eingestellt ist, um Fragmentierungsprobleme zu vermeiden (oft 1492 oder 1500, abhängig von der Verbindung).
Falls Sie Unterstützung bei der Konfiguration benötigen, empfehlen wir, die Dokumentation von OPNsense oder spezifische Anleitungen in der Community zu Rate zu ziehen.

Sollten weiterhin Probleme auftreten, teilen Sie uns bitte die genauen Fehlermeldungen oder Log-Dateien mit. Wir versuchen gerne, Sie dabei zu unterstützen.

Bin auf jeden Fall positiv überrascht

Ich habe die Konfiguration "eigener Router" - ich hatte nie einen Router von DG.

Gruß

[meyergru]

Könnte es damit zusammenhängen, dass ich ein Bridge-Interface nutze?
Habe zwei LAN-Ports gebündelt.

Wenn die falsch konfiguriert sind, kann das natürlich sein. Insbesondere müssen die Tunables gesetzt sein und die Member-Interfaces dürfen keine eigene IP-Konfiguration haben. Du kannst das im CLI mit ifconfig prüfen.

Der RADVD darf dann auch nur auf der Bridge aktiv sein, nicht auf den Members.

[hyp]

Den Shaper habe ich nicht an. Ich habe mal eine Rule auf dem Wan Interface erstellt und Teste. Danke vielmals für den Tipp


Edit: War leider nicht erfolgreich

Edit2: Habe die Opnsense mal komplett neu aufgesetzt und die RFC1918 IPs direkt im Wan gesperrt, war leider wieder ohne Erfolg. Habe jetzt mal eine Pfsense aufgesetzt, die RFC Ips gesperrt und den Upload gestartet. Läuft seit ca 30min ohne Probleme

Was für eine Hardware setzt Du ein? Hoffentlich keine Realtek-Adapter?

Nein ist eine Intel I226-V Nic (Odroid H4 Ultra). Ich kann mir auch nicht erklären  warum die Opnsense Probleme hat, wie bereits geschrieben ich habe die Opnsense komplett neu aufgesetzt und nur die RFC Ips im Wan geblockt. Rest der Configs war Default.
Bei Pfsense funktionierts, bei Opnsense nicht.

[meyergru]

Das hört sich seltsam an. Ich weiß, dass es auch mit den Intel-Adaptern teilweise Probleme mit manchen Partnern gibt (hatte irgendwas mit einer Fehlinterpretation von Intel bei der Anzahl der Pause-Frames zu tun).

Intel hat das Problem in den neuesten Revisionen des I226 mit Firmware gelöst (die sie aber nicht ins Feld herausgeben, anders als die I225-Firmware). Die Alternative von Intel war, im Nachfolgetreiber die Verbindung auf 1 GBit zu beschränken, wenn eine betroffene Hardware erkannt wurde. Das wäre aber m.W. nur relevant, wenn Dein ONT 2.5 GBit/s kann - dann könnte es sein, dass pfSense das gar nicht nutzt und somit das Problem vermeidet.

Man könnte sich die genauen Einstellungen der Karte mit ifconfig ansehen, weil ich mir nicht vorstellen kann, dass es da bei OpnSense irgendein sonstiges Problem geben soll.

[User1773914]

Wenn die falsch konfiguriert sind, kann das natürlich sein. Insbesondere müssen die Tunables gesetzt sein und die Member-Interfaces dürfen keine eigene IP-Konfiguration haben. Du kannst das im CLI mit ifconfig prüfen.

Der RADVD darf dann auch nur auf der Bridge aktiv sein, nicht auf den Members.

tunables haben gefehlt. Das erklärte auch mein Gebastle an der Firewall. Räume jetzt meine Konfiguration auf und hoffe, dass es dann noch geht. Falls nicht, löse ich die Bridge auf.

Vorher hatten die Clients gar keine IPv6, jetzt haben die teilweise 3-4 Adressen Vermutlich wegen dem ganzen hin und her..