IPv6: Clients verlieren Verbindung ins Internet

[bamf]

Du meinst, ich soll meinen ~50 Geräten hier im Netzwerk manuell IPv6-Adressen zuweisen? Ich glaube das ist nicht wirklich umsetzbar. Zudem ich hier in meinem Homelab viel bastle und oft neue Maschinen und Container hochziehe. So kann das ja auch nicht gedacht sein, dafür ist RA doch da.

[meyergru]

Nein, Du missverstehst mich. Du sollst dem WAN der OpnSense die GUA fest eintragen und nicht per DHCPv6 Client konfigurieren. Das Problem entsteht doch offenbar genau dann, wenn (k)ein neuer Präfix geholt wird und dann Dein RADVD neu gestartet wird (wahrscheinlich mit anderer Konfiguration).

Ergo: Verhindere, dass der RADVD neu gestartet wird, indem Du keinen DHCPv6 Client auf dem WAN nutzt.

Dazu musst Du Deinen /56er Präfix auf dem WAN mit 8 Bits ergänzen - genau wie auf den (V)LAN-Interfaces, nur müssen sich die Werte halt unterscheiden.

BTW: Wie vergibst Du eigentlich die ULAs auf den (V)LANs? Als Virtual IPs?

[Patrick M. Hausen]

Ich hab ja auch einen Business-Anschluss der DTAG, bzw. deren mehrere.

Ich benutze DHCPv6 auf WAN, aber konfiguriere LAN und alle anderen Interfaces statisch. Damit hat der radvd natürlich immer dasselbe stabile Prefix anliegen.

Benutzt du am Ende "Track Interface"? Ist doch bei einem statischen Prefix nicht nötig.

Sorry, wenn am Thema vorbei - ich steige verspätet ein und habe zugegebenermaßen nicht den ganzen Thread gelesen.


Grüße
Patrick

[bamf]

Bedeutet, ich nehme die IPv6-GUA, die mein LAN-Interface via "Track Interface" bekommen hat und trage die als "Static IPv6" beim WAN-Interface ein? mit /64 Präfix?

[meyergru]

Nein. Die ersten 56 Bits sind gleich, dann musst Du 8 Bits selbst - aber anders - setzen, als auf dem LAN-Interface, dann die EUI-64 des WAN-Interfaces. Und ja, mit /64er Netzmaske. Oder eben, wie Patrick sagt: DHCPv6 auf dem WAN, aber die (V)LANs mit statischer Konfiguration. Da gilt dann das selbe, jedes Interface muss die 8 Bits anders gesetzt haben.

Die Clients bekommen dann die IPs vom RADVD - dem ist es eigentlich egal, woher die (V)LAN-IP kommt.

Und, ja, Patrick, das ist genau das Problem. Bei Track Interface und gleichzeitigem Einsatz von ULAs fällt beim Ablauf der WAN-Lease offenbar die GUA in den RAs weg. Und dann ist es Essig mit Internet-Zugriff.

[bamf]

Benutzt du am Ende "Track Interface"? Ist doch bei einem statischen Prefix nicht nötig.

Nein, als ich diesen Thread begonnen habe, habe ich die IPv6-Adresse auf dem LAN-Interface statisch konfiguriert. Das war auch nötig, da ich im LAN MTU 9000 genutzt habe und das hätte mit "Track Interface" nicht für IPv6 funktioniert, da damit die MTU des PPPoE-Interface übernommen wird.

Jetzt habe ich im Laufe der Fehlersuche MTU 9000 über den Haufen geworfen und "Track Interface" konfiguriert. So wie es hier steht https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

Damit ist das neue Fehlerbild entstanden, dass jetzt sogar das Präfix auf den Clients verloren geht.

[Patrick M. Hausen]

Dann probier mal statisch mit der Standard-MTU. Absolut keine Probleme damit an mehreren Standorten seit Jahren. Und verschiedene Modems - Zyxel, Draytek, Telekom Glas-ONT, ...

[bamf]

Ja, ich bin jetzt wieder auf MTU 1500. Das bedeutet massiv viel mehr Last für den Router. Wenn ich da mit 10G Daten raufschiebe (im LAN), kommen mit MTU 1500 etwa 2,5 Gbit/s an, mit MTU 9000 kommen 8,5 Gbit/s an. Aber ich lasse das jetzt mal so. War sowieso alles fummelig mit der PMTUD und den fragmentierten Paketen von nicht kompatiblen Geräten.

Eine statische Konfiguration auf dem LAN (bei mir ein failover-lagg) hatte ich ja bisher. Das war der Stand, als ich diesen Thread eröffnet habe.

[meyergru]

Ja, nur nicht auf dem WAN. Und da liegt das Problem: Trotz statischer Adressen nehme ich an, dass Die Telekom begrenzte Lease-Zeiten hat. Und wenn diese abläuft, wird Dein RADVD neu konfiguriert und gestartet. Ich nehme eben an, dass danach nur die ULAs erhalten bleiben und somit alle Clients die Verbindung verlieren. Und wie gesagt: Das wäre natürlich ein OpnSense-Fehler, der wahrscheinlich früher nicht bestand.

Eine andere Möglichkeit wäre, dass wirklich die OpnSense die Verbindung verliert, aber das hast Du im Eingangspost ausgeschlossen.

P.S.: Ich verwende die Standard-MTU und kann ohne weiteres 10 GBit/s zwischen den VLANs routen, habe allerdings kein LAGG.

[bamf]

Richtig, die OPNSense behält ihre IPv6-Verbindung ins Internet. Da kann ich beliebige Hosts auflösen, anpingen, tracerouten. Nur auf den Clients geht plötzlich nix mehr.

Das wäre natürlich ein OpnSense-Fehler, der wahrscheinlich früher nicht bestand.

Also möglicherweise durch ein Update passiert? Ich installiere ja alle Updates immer sofort, wenn sie angeboten werden. Daher kann ich das auch nicht auf ein bestimmtes Update zurückführen. Lohnt es sich, dafür ein Issue aufzumachen?

Heute schaffe ich hier nichts mehr, aber ich werde mich spätestens am freien Montag mal mit der WAN-Konfiguration und meinem Präfix beschäftigen und versuchen, das ganze statisch zu konfigurieren. Nochmals Danke für eure Hilfe bis hierhin.

[meyergru]

Na klar lohnt sich ein Bugreport, aber dafür müsstest Du den Fehler in die Wunde legen können. Im Idealfall würde man dann ggf. sehen, was nach dem Lease-Ablauf schiefgeht. Meine Theorie wäre eine geänderte radvd.conf.

Noch besser wäre es, wenn Du wüsstest, welche Version noch funktioniert hat.

[bamf]

EDIT:

P.S.: Ich verwende die Standard-MTU und kann ohne weiteres 10 GBit/s zwischen den VLANs routen, habe allerdings kein LAGG.

Hat gar nichts mit dem LAGG zu tun. Das ist ja auch nur Active/Backup mit 10G DAC /2,5G RJ45. Der Prozessor schafft einfach nicht mehr. Es ist ein Intel Atom C3808 mit 12 Kernen @ 2.00GHz. Die sind dann auch alle auf 100% :)

[bamf]

Trotz statischer Adressen nehme ich an, dass Die Telekom begrenzte Lease-Zeiten hat. Und wenn diese abläuft, wird Dein RADVD neu konfiguriert und gestartet.

Das ist dann das, was hier als pltime und vltime zu sehen ist?

Code Select Expand

pppoe0: flags=10088d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1492
        description: WAN_Telekom (opt1)
        options=0
        inet 87.128.39.65 --> 62.156.244.46 netmask 0xffffffff
        inet6 fe80::227c:14ff:fef5:9cfb%pppoe0 prefixlen 64 scopeid 0x10
        inet6 2003:a:37f:a71a:227c:14ff:fef5:9cfb prefixlen 64 autoconf pltime 1800 vltime 14400
        nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>

[Zapad]

schau dir mal diese Beiträge an:

https://forum.opnsense.org/index.php?topic=46194.0

Damit habe ich das Problem mit 10Gbe über Sense gelöst.

Ausserdem lasse ich IPv6 über NAT Laufen.

Das Problem mit Verlust der IP6 im Wan ist zwar da, aber rein sporadisch vllt. 1x die Woche oder seltener aber ich
konfiguriere/ändere Sense fast jeden tag.... :D

[meyergru]

Das ist dann das, was hier als pltime und vltime zu sehen ist?

Ja. Du kannst das Logging dafür auch hochdrehen: Interfaces : Settings -> IPv6 DHCP -> Log Level.
Ich würde davon ausgehen, dass nach Ablauf der Leasetime (oder der Hälfte davon?) /usr/local/etc/rc.newwanipv6 aufgerufen wird.