Dual WAN Setup mit IPv6 Problem

[martine]

Hallo,

ich habe ein Dual WAN Setup in OpnSense aufgesetzt, mit dem Ziel, dass ich über die Firewall-Rules die jeweilige Leitung einem Client im Netzwerk zuweisen kann.

Der Sinn dahinter ist, dass ich die schnelle Downstream-Leitung für große Downloads, wie Spiele Updates auf der PS5 nutzen kann. Das klappt für IPv4 auch bisher ohne Probleme, nur bei IPv6 will es nicht.

Ich bekomme auf den Clients, auf denen ich die schnelle Leitung nutzen will, einen Mix aus der IPv4 von einem Gateway und der IPv6 vom anderen Gateway, was zu Problemen führt.

Ungern möchte ich die Clients in zwei Netze Teilen oder Load Balancing oder Failover machen. Vielleicht jemand eine Idee, wie man das Problem lösen kann.

Aufbau:

Als WAN Interface habe ich eine Fritzbox 7590 AX mit VDSL und als OPT1 eine PYUR Sagem Kabelbox welche einen Kabelanschluss hat. Der LAN Port geht in einen Switch an dem alle Clients hängen.



So sehen die Gateways aus



Das LAN Interface. Hier nehme ich aktuell bei IPv6 Configuration Type: Track Interface und dort das Interface des Telekom Anschlusses, da dieser der default für alle Clients sein soll. So haben die Clients ohne Firewall-Rule keinen Anbieter-Mix von IPv4 und IPv6.



Interface PYUR



Interface TKom



Die Interface Overview. Hier sehe ich das LAN keine v6 Adresse vom Pyur Gateway bekommen hat, ich vermute weil im LAN Interface Track Interface des Telekom Anschluss ausgewählt ist. Damit erhält auch keiner der Clients eine IPv6 vom Pyur Anschluss.



Übersicht der Firewall Regeln für LAN



Hier eine Firewall Regel für IPv4 für den Pyur Anschluss



Und hier eine für IPv6, welche nicht greift.



Ich habe schon einiges Versucht, wie eine Virtuelle IPv6 zu vergeben, aber das hat leider auch keinen Erfolg gebracht.

Die Router Advertisements habe ich auf Assisted.

Vielleicht hat jemand eine Idee wie ich mein Ziel umsetzen kann. Vielen Dank vorab für das Anschauen des Posts.

[Maurice]

In deinem Beitrag sind hier keine Bilder zu sehen. Falls Du die selbst hostest, dann prüfe mal deine Server-Konfiguration und -Erreichbarkeit. Oder einfach direkt hier hochladen.

Ungern möchte ich die Clients in zwei Netze Teilen

Das wäre aber genau die richtige Lösung. Alles andere geht - falls überhaupt - nur mit viel Gebastel und Workarounds.

Grüße
Maurice

[martine]

Hallo Maurice,

bei mir werden die Bilder anzeigt. Habe es auch nochmals über das Mobilfunknetz getestet.

Grüße,
Martin

[Patrick M. Hausen]

Häng sie doch bitte einfach hier als Attachment an deine Foren-Posts. Das ist wirklich nicht zu viel verlangt.

Wenigstens hast du einen privaten Server benutzt und nicht sogenannte "Image Hosting Services", aber trotzdem. Bitte.

[Maurice]

Code Select Expand

$ wget https://lea-media.de/opn/interfaces.png
--2025-12-19 23:29:55--  https://lea-media.de/opn/interfaces.png
Resolving lea-media.de (lea-media.de)... 2a01:4f9:2a:1783::2
Connecting to lea-media.de (lea-media.de)|2a01:4f9:2a:1783::2|:443... failed: Connection refused.

[martine]

Häng sie doch bitte einfach hier als Attachment an deine Foren-Posts. Das ist wirklich nicht zu viel verlangt.

Wenigstens hast du einen privaten Server benutzt und nicht sogenannte "Image Hosting Services", aber trotzdem. Bitte.

Hallo Patrick,

du hast Recht, dass ist natürlich nicht zu viel verlangt.

Ich bin beim Post erstellen aber in das 256kb Limit der Anhänge pro Post gelaufen.

Da ich einige Bilder habe, müsste ich das auf ca. 5 Post splitten was mir zu viel erschien, daher hatte ich mich für das einbinden über meinen Webspace entschieden. Soll ich das ganze auf Posts verteilen?

Sorry für die Umstände. 

[martine]

Code Select Expand

$ wget https://lea-media.de/opn/interfaces.png
--2025-12-19 23:29:55--  https://lea-media.de/opn/interfaces.png
Resolving lea-media.de (lea-media.de)... 2a01:4f9:2a:1783::2
Connecting to lea-media.de (lea-media.de)|2a01:4f9:2a:1783::2|:443... failed: Connection refused.

Hallo Maurice,

das verhalten habe ich gefixt.

[Maurice]

das verhalten habe ich gefixt.

Ja, nun werden die Screenshots angezeigt.

An meiner Empfehlung - getrennte (V)LANs einrichten - ändert sich jedoch nichts. Mit nur einem LAN hast Du eine ganze Reihe von Problemen:

• Du müsstest tendenziell SLAAC deaktivieren, denn...
• ... mit SLAAC ist es nicht möglich, einzelnen Hosts gezielt ein bestimmtes Präfix zuzuweisen. Du müsstest daher IPv6 Outbound NAT für eines der WANs verwenden.
• ... Privacy Extensions verhindern die einfache Identifizierung einzelner Hosts in Firewall-Regeln. Du müsstest MAC-Address-Aliase verwenden, was wiederum andere Nachteile mit sich bringt.
• Ohne SLAAC bist Du darauf angewiesen, dass alle Hosts DHCPv6 unterstützen, was in der Praxis nicht der Fall ist. Manche Hosts hätten daher absehbar gar keine IPv6-Konnektivität.
• Sind die Präfixe dynamisch wird es zudem schwierig bis unmöglich, in OPNsense einen DHCPv6-Server entsprechend zu konfigurieren.

Mit getrennten (V)LANs ist es dagegen einfach: LAN1 trackt WAN1, LAN2 trackt WAN2. Bei der Adresszuweisung gibt es keine Besonderheiten zu beachten. Du benötigst lediglich auf einem der LANs Firewall-Regeln für das Policy Routing.
Mit einem geeigneten Switch und AP kannst Du die Zuordnung von Geräten zu VLANs auch dynamisch anhand der MAC-Adresse lösen, benötigst also nicht unbedingt dedizierte Switch-Ports oder SSIDs.

[bimbar]

Mein Rat wäre, das Präfix des primären Anschluss per SLAAC und Track Interface an die Clients geben, am sekundären Anschluss per NPTv6 outbound NAT machen.

Es gibt dafür sonst keine vernünftige Lösung, siehe auch https://blog.ipspace.net/2010/12/small-site-multihoming-in-ipv6-mission/ . Es gibt auch verschiedene RFCs und Entwürfe zu dem Thema, aber soweit ich weiß keine echte Lösung ausser NAT.