Ich kriege IPv6 mit Prefix Deligation nicht zum laufen..
-
@m0nkey Hattest Du aber schon richtig für Internet. Wie sieht das Routing aus, wie outbound NAT? Mal die pfSense neugestartet?
Schon an einem anderen PC getestet? -
@bob-dig Aber bei IPv6 gibt es doch kein NAT mehr?
Neugestartet hab ich pfSense schon mehrmals und mit dem Handy hab ich es noch probiert.
-
@m0nkey said in Ich kriege IPv6 mit Prefix Deligation nicht zum laufen..:
@bob-dig Aber bei IPv6 gibt es doch kein NAT mehr?
Geht ja um die Fehleranalyse. Und NAT wird i.d.R. nicht mit IPv6 gemacht, es ist aber weiterhin möglich.
-
@bob-dig Hab aber eigentlich nichts bezogen auf IPv6 in meinen NAT.
-
Ich bin mir aber auch noch nicht sicher, ob alles mit dem ISP korrekt läuft. Folgende Log Message hab ich in meinem pfSense:
IA_PD prefix: 2a02:908:4c7:7d40::/59 pltime=43200 vltime=86400Wobei das
7d40nicht real, sondern von mir abgeändert wurde.Wenn ich jetzt einen Prefix von 59 Bits bekomme, dann müssten mir ja genau vier 16-Bit Felder plus ein halbes Feld zur Verfügung stehen, richtig?
Wenn ja, warum wird dann von Vodafone
2a02:908:4c7:7d40::zurückgegeben? Müsste es nicht eher2a02:908:4c7:7d00::/59sein? -
Du bekommst von Vodafone eine /59er, genau das musst du auch anfordern, sonst wird das nix mit IPv6.
Forderst du ein /56er an, bekommst du gar keine Zuteilung.
-
@nocling Entschuldige, dass hatte ich in meinem Post falsch und hab es korrigiert. Ich frage 59 an und bekomme diese auch.
Dann passt auch alles... -.-
2a02:908:4c7:7d40::/59wäre dann von2a02:908:4c7:7d40::1bis2a02:908:4c7:7d5f:ffff:ffff:ffff:ffffDann wiederum passt aber die IPv6 nicht, die meinem Desktop zugewiesen wird:
2a02:908:4c7:7f40::1a71 -
@m0nkey Das stimmt, hast Du wohl einen Fehler im DHCPv6 Server. Zum Testen diesen abschalten und RA auf Stateless DHCP oder Unmanaged stellen.
-
@bob-dig Ok, hab ich gemacht, pfSense und PC neugestartet. Die IPv6 liegt nun im Range. Dafür sind die IPv6 Test Ergebnisse anders, aber trotzdem noch nicht i.O.:
-
@m0nkey Geht denn ping noch vom Rechner und was geht von der Sense aus?
-
@bob-dig Ping funktioniert noch:
Auch von pfSense aus:
Was mich auch stutzig macht ist, dass die IPv6 der Sense auf dem WAN interface nicht im Range der zugewiesenen IPv6 Range liegt. Ist das richtig so?
-
@m0nkey said in Ich kriege IPv6 mit Prefix Deligation nicht zum laufen..:
Ist das richtig so?
Jo, das ist normal, weil der delegierte Prefix ist zum Verteilen durch die Sense, am WAN aber bekommt die Sense die Adresse direkt vom Modem/Router.
-
@bob-dig Wenn ich mal die Beschreibung von test-ipv6.com nehme:
Dann kann ich den Server
ipv6.fra.test-ipv6.compingen:
Aber die URL
https://ipv6.fra.test-ipv6.com/ip/?callback=?im Browser logischerweise nicht aufrufen. Das heißt ja wahrscheinlich, dass HTTP(S) Traffic für IPv6 nicht funktioniert. Wie komme ich dem Fehler weiter auf die Schliche? -
@m0nkey said in Ich kriege IPv6 mit Prefix Deligation nicht zum laufen..:
https://ipv6.fra.test-ipv6.com/ip/?callback=?
Ich kann die Site tatsächlich aufrufen.
Was hast Du denn unter Floating? Vielleicht liegt es wirklich an deinem PC, ein Smartphone alleine wäre mir nicht genug der Verifikation, ein zweiter PC muss her. -
@bob-dig Floating Rules in pfSense habe ich nicht konfiguriert. Mein Office-Notebook unter Manjaro zeigt die gleichen Symptome, nur dass er nicht in den Timeout läuft, sondern schon nach ca. 0,6 Sekunden einen Fehler feststellt. Mein Windows-Notebook zeigt ebenfalls das Gleiche. Das Pingen von IPv6 Adressen geht auf beiden Notebooks trotzdem.
-
@m0nkey Es liegt definitiv an meinen Firewall Rules:
Ich habe testweise mal eine zweite Regel "IPv6 LAN net to any" erstellt und nach ganz oben geschoben und schon funktioniert es (Im Bild ist sie deaktiviert).
Jetzt bleibt noch die Frage, welche Regel macht hier Probleme?
-
@m0nkey Konnte es noch weiter eingrenzen. Es ist diese Regel:
Hier wollte ich einfach einen Zugriff auf das IPMI Netzwerk ausschließen und habe die Regel so definiert:
Und genau das macht Probleme. Ich verstehe aber trotzdem nicht warum...
-
@m0nkey Deine Screenshots sind ja nicht ganz vollständig, aber wenn es so ist, wie es scheint, dann könnte das eine Art Bug sein. Dein IPMI net hat gar kein IPv6, daraus wird dann invertiert irgendwie alles. Schon witzig. Da aber geblockt wird, ist es zumindest kein Risiko.
Oder anders, da die Regel so nicht erstellt werden kann, wird sie einfach ignoriert. Vermutlich so gewollt.
-
Teile die auf in v4 und v6 und du wirst sehen, es wird nur der v4 Teil Hits sammeln.
Du musst bei dynamischen Prefixen mit den Net Objekten arbeiten und das mit einer Regel pro Interface die du blocken/rejecten oder allowen willst.
-
@bob-dig Der ursprüngliche Gedanke war ja, den Zugriff auf das IPMI Net aus dem LAN zu verbieten. Ich habe nicht die ganze Regel gepostet, weil das die Standard "LAN to any" Rule ist, nur eben mit dem invertierten Zusatz für die Destination.
Aber gut zu wissen, dass meine Logik nicht komplett falsch ist, nur wahrscheinlich unorthodox. Ich hab jetzt einfach das "! IPMI net" rausgenommen und löse das dann anders.
Sollte man bzw. ich denn mit einer Unmanaged Prefix Deligation arbeiten? So wie ich das verstehe, ist das ja "Stateless" und ist das wiederum nicht unsicher?
