IPv6 connectivity mit 5G modem passthrough

Started by derbert, January 13, 2025, 09:17:53 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 13, 2025, 09:17:53 PM
Hi zusammen,
ich habe ein Quectel RM520N-GL Modem im passthrough an die opnsense angeschlossen und dem entsprechenden WAN interface zum Modem sowohl ipv4 als auch ipv6 config type DHCP zugewiesen. DHCPv6 client configuration habe ich im WAN interface nicht weiter angepasst.
Vom Modem erhalte ich erfolgreich die IPv4 und das Gateway. Eine IPv6 wird auch zugewiesen inkl fe80 Gateway (siehe Bilder). Während IPv4 alles wunderbar funktioniert, erhlate ich mit IPv6 keine Verbindung.
Kann mir jmd hierbei helfen, dass IPv6 zum laufen gebracht wird? Ich bin leider nicht sehr bewandert in IPv6 und kann mir mit googlen nicht mehr groß weiterhelfen.
Vielen Dank!
January 15, 2025, 12:39:16 AM #1
Also ich habe jetzt gemerkt, dass wenn ich die Firewall und alle paketfilterung deaktiviere in den settings, ipv6 funktioniert (Bild). Ich verstehe aber hinten und vorne nicht woran das liegen könnte. Ich habe keine expliziten Regeln für das WAN interface festgelegt und auch keine Portfowardings oder andere NAT Regeln eingerichtet.
Ich wäre wirklich dankbar für ein paar hilfreiche Hinweise.
Gruß
You cannot view this attachment.
January 15, 2025, 10:47:21 AM #2 Last Edit: January 15, 2025, 10:58:00 AM by userbenutzer
Ist hier vielleicht vorher schon ein Fehler in deiner Konfiguration oder vergibt dein Provider dir überhaupt öffentliche ipv6 Adressen oder ein Subnetz?
fe80 sind ja nur link-local Adressen in ipv6.

edit: gerade auf dem zweiten Bild gesehen, dass ja eine Adresse 2a00: zugewiesen wird.

Geht vom Gateway aus ipv6 korrekt? https://docs.opnsense.org/manual/ipv6.html#basic-setup-and-troubleshooting
Wenn das geht, Interfaces - LAN auf Track Interface unter ipv6?

Wenn du Firewall und Paketfilter deaktivieren musst, damit es funktioniert, müsstest du andersrum im Log ja sehen können, was geblockt wird.





January 15, 2025, 08:22:12 PM #3 Last Edit: January 15, 2025, 08:39:26 PM by derbert
Ja genau, eine globale ipv6 ist schon vorhanden.
Ich verstehe wirklich nicht was vorsichgeht bei der opnsense - ich habe jetzt temporär die privacy extensions aktiviert und ein ping von der opnsense funktioniert dann. Iwann funktioniert es dann aber wieder nicht mehr und wenn ich in Interfaces -> overview reload wähle und die privacy ipv6 sich aktualisiert funktioniert es erneut. Wenn ich die privacy extensions wieder deaktiviere, funktioniert der ping wieder nicht.
Im log wird mir kein blocking angezeigt wie auf dem Bild zu sehen ist, aber der ping funktioniert trotzdem nicht.
You cannot view this attachment.

und was auch noch passiert, ist, dass sich loopback fröhlich die pings hin und herschiebt
You cannot view this attachment.

und hier auch nochmal mit einer privacy extension ip:
You cannot view this attachment.
January 15, 2025, 08:43:43 PM #4
gleiches Bild von eben mit der priv ip, die funktioniert hat. Habe ca. 5min gewartet und schon funktioniert ping nicht mehr:
You cannot view this attachment.

ich verstehe es nicht....
January 17, 2025, 12:44:03 PM #5
Sorry, mir fehlt leider auch noch etwas Erfahrung mit ipv6.

Hilft dir vielleicht ein Traceroute um Unterschiede festzustellen?


Gibt es eventuell noch andere Geräte im Netzwerk, die über ipv6 irgendwas verteilen wollen? Ich hatte auch sporadisch keine ipv6 Verbindungen als ich noch die FritzBox vor der opnsense hatte, ich weiß aber nicht mehr, was ich genau gemacht habe und irgendwann habe ich es auch umgebaut.
January 17, 2025, 10:11:57 PM #6
nun, die (vorläufige) Lösung ist, dass eine explizite allow FW regel auf dem WAN itnterface für ICMPv6 erstellt werden muss. Ich habe keine Ahnung warum die automatische Regel keine Beachtung findet, aber ohne diese explizite Regel funktioniert es nicht. Noch dazu muss diese vor den block bogon network Regeln stehen.
Warum das so ist weiß und verstehe ich nicht - vielleicht ist es ja ein Bug... hat mich jedenfalls ziemlich viel Nerven und Zeit gekostet das herauszufinden...
January 28, 2025, 04:36:28 PM #7

Hallo derbert,

bin auch über das Problem - und dabei über deinen Beitrag - gestolpert. Zumindest in meinem Fall konnte ich feststellen, warum die automatischen Regeln allein nicht reichen. Diese umfassen nur ausgewählte ICMPv6-Typen. In meinem Fall war zusätzlich eine Regel notwendig, welche ICMPv6 Typ 130 (Multicast listener query) mit Ziel ff02::1 beinhaltet. Wozu das Paket benötigt wird, würde mich auch interessieren (DS-Lite?)...

Beste Grüße
Print
Go Up Pages1
User actions