IPv6 bei der Deutsch Glasfaser

[laers112]

Moin ich bin neu hier und ist vieleicht eine dumme frage.
Da ich mit meiner OPNsense am Glasfaseranschluss der Deutschen Glasfaser ein Problem habe, das ich einfach nicht gelöst bekomme.

Mein Setup:

Anschluss: Deutsche Glasfaser

Hardware am Anschluss: Ein DG Medienkonverter, der das Glasfasersignal auf einen RJ45-Port umsetzt.

Firewall: OPNsense 25.7.2

Netzwerktopologie: Glasfaser-Dose -> Medienkonverter -> OPNsense WAN-Port -> Fritz Box -> LAN-Clients

Problembeschreibung:

Ganz einfach zusammengefasst: Ich bekomme eine funktionierende IPv4-Adresse, aber absolut keine IPv6-Verbindung.

Im Detail bedeutet das: Meine OPNsense bezieht per DHCP eine IPv4-Adresse und die Internetverbindung darüber funktioniert.
Gleichzeitig schlägt aber der für IPv6 notwendige Prozess komplett fehl. Die per DHCPv6 angeforderte Prefix Delegation scheint nicht zu funktionieren.

Meine OPNsense Konfiguration:

Interfaces > [WAN]

IPv6 Configuration Type: DHCPv6

DHCPv6 Client Configuration:

✅ Präfixdelegation: Aktiviert

Präfix IPv6-Präfix: 56

Prefix delegation size: 56

✅ Send IPv6 prefix hint: Aktiviert


Was ich bereits überprüft habe:

Neustarts: Alle Geräte (Medienkonverter, OPNsense) mehrfach neu gestartet.

Logs: In den DHCP-Logs sehe ich, dass die OPNsense eine DHCPv6 SOLICIT-Nachricht sendet, um einen Präfix anzufordern, aber es kommt keine passende Antwort vom Server der DG zurück.

Direktverbindung: Wenn ich meine Fritz Box direkt an den Medienkonverter anschließe, erhält dieser IPv4 sowie IPv6.

Meine Frage:

Hat jemand eine Idee, warum die Deutsche Glasfaser zwar die IPv4-Adresse korrekt ausliefert, aber die DHCPv6-Anfrage für den IPv6-Präfix anscheinend ignoriert oder blockiert? Gibt es in OPNsense vielleicht noch eine spezielle Einstellung, die ich übersehen habe?

Vielen Dank für eure Hilfe!

Viele Grüße

[meyergru]

Grundsätzlich: ich hoffe, Du hast dies gelesen.

Speziell: Im WAN solltest Du diese Einstellungen verwenden (irgendeine 8-Bit Präfix ID):

You cannot view this attachment.

Im LAN so etwas (die Präfix ID muss <> der vom LAN sein):

You cannot view this attachment.

Und in den Router Advertisements dies:

You cannot view this attachment.

[laers112]

Moin
ne hatte ich nicht gelesen ´:D
Habe jetzt unter optionaler prefix id 56 und bei interface id 42 eingetippt und bekomme einen 64 präfix von der DG aber warum kein 56? Ich habe langsam das Gefühl das ich nicht ganz helle bin ;DD

[meyergru]

Du bekommst schon einen /56er Präfix vom ISP. Der wird aber unter Deinen Interfaces aufgeteilt. Jedes Interface bekommt ein spezifisches /64, inklusive dem WAN. Welches, wird durch die Präfix ID bestimmt, das sind die fehlenden 8 Bit.

Übrigens: 42 darfst Du nicht nehmen - das ist meins! ;-)

[laers112]

Ist das denn egal welche interface id ich nehme?

[Bob.Dig]

Ist das denn egal welche interface id ich nehme?

Ja, solange sie nicht zu groß ist oder doppelt verwendet wird.

[laers112]

Vielen Dank an euch klappt alles;)

[millerwissen]

Sei vorsichtig, nicht alle deine IPv6 Ports mit Regeln zu öffnen, da dich das in einen gefährlichen Zustand bringen würde.
Ich persönlich bevorzuge statische Adressen innerhalb lokaler Netzwerke, daher nutze ich in der Regel entweder NAT66 oder NPt.
Ich habe hier ein Tutorial dazu erstellt (auf Englisch).

Bei OPNsense ist das Standardverhalten, eingehenden Zugriff zu blockieren, sodass du sicher bist, solange du es dabei belässt :)
Allerdings solltest du auch prüfen, ob du beim Delegieren des IPv6 Präfixes deine Ports manuell weiterleiten oder öffnen kannst. Denn bei Vodafone hier in Hessen werden keine Ports geöffnet, wenn man das gesamte Präfix nutzt, selbst wenn man es in OPNsense erlaubt.
Verwendet man jedoch nur eine einzelne IPv6 Adresse und macht NAT66, kann man mit Vodafone Ports nach Belieben weiterleiten. Daher bin ich sehr neugierig auf Deutsche Glasfaser.

Tutorial link, falls interessant: https://forum.opnsense.org/index.php?topic=47644.0