Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID"
-
Router Only = kein DHCPv6, kein SLAAC
Unmanaged = nur SLAAC
Managed = nur DHCPv6
Assseted = sowohl DHCPv6 wie auch SLAACHintergrund. Alle aktuellen IPv6 fähigen Betriebssysteme können SLAAC, aber nicht alle auch DHCPv6. Android und Chrome OS z.B. nicht.
Mit SLAAC kann man einem Gerät aber keine feste IPv6-Adresse zuweisen.Betreibt man z.B. einen Server an einem Anschluss mit Zwangstrennung und / oder täglichem Wehcsel des DHCPv6-Präfix Kann man auch keine statische IPv6-Adresse zuweisen, denn der Präfix wird ja alle 24 Stunden geändert. Dann muss man den DHCPv6-Server (KEA) aktivieren. WIll man im gleichen Segment auch einem Android- oder ChromeOS-Gerät eine DHCPv6-Adrsse geben, geht das wiede rnur per SLAAC. Dann muss man beides simultan nutzen.
Ich würde aber von einer Mischung (also Assseted), absehen.
Server, Geräte also die eine fest zugewiesene IPv6-Adresse benötigen, gehören sowieso in ein eigenes Netzwerksegment (physisch oder VLAN, mit managbarem Switsch). In so einem Segment hat ein Android Gerät wiederum nichts zu suchen.Die können eh nur WLAN. Ich habe für WLAN ebenfall ein separates Segment. Dort dann eben nur SLAAC. Die Notebooks dort benötigen auch keine feste IPv6-Adresse, im Gegenteil, es ist besser SLAAC zu nutzen, wegen der IPv6-Privacy Extensions, damit die im Internet über keine feste IPv6-Adresse getrackt werden können.
Daher ist das Segment WLAN auf Unmanaged konfiguriert, das Segment DMZ auf Managed
-
@eagle61
Danke sehr für die Infos!Dein Vorschlag mit der Trennung zwischen SLAAC und DHCPv6 nehme ich an.
Wie soll aber die Konfiguration der Interface für SLAAC aussehen?
RA= Unmanaged;
DHCPv6 Server: Disabled?
Interface IPv6= Track Interface? SLAAC?
Ich kann SLAAC nicht auswählen.
Kannst du auch mir sagen wie du die IPs von Geräte in deinem Netzwerk kontrollierst?
Für IPv4 mache ich es über DHCP Leases. Aber für IPv6 kann ich nur von den Geräten aus prüfen ob die IPv6 bekommen. Und das ist machmal nicht so einfach.Dazu vielleicht das Problem wofür ich eine Lösung suche. Ich möchte dass eine AppleTV ein IPv6 bekommt. Sie liegt in dem VLAN, die nun mit SLAAC konfiguriert wird. Sie muss nicht vom Internet aus über IPv6 gefunden werden. Es muss nur ein IPv6 haben und einen Server (der nur IPv6 hat) erreichen zu können. Die Handys können das, aber die AppleTV nicht.
Danke nochmal für die Hilfe!
-
DIe Fehlermeldung rührt daher, dass Router-Advisements und DHCP-Konfiguration nicht zueinander kompatibel sind.
WIll man DHCPv6 nutzen muss man eine dazu kompatible Einstellung in den Router-Advisements auswählen, also z.B. Managed oder Assisded.
WIll man KEIN DHCPv6 nutzen muss man eine dazu kompatible Einstellung in den Router-Advisements auswählen, also z.B. Unmanaged
Bei dir ist das grad nicht im Einklang zueinander. Entweder weil Du z.B. unmanaged in den Advisements auswählst im zugehörigen Interface aber der DHCPv6-Server noch aktiv ist oder eben umgekehrt, du wählst Managed aus und der DHCPv6-Server ist nicht aktiviert. Daher bekommt du dann diese input-Error-Fehlermeldung serviert, denn es ist eine unsinniger Konfiguration, weil widersprüchlich.
Zu deinem Apple TV kann ich nichts sagen. Hier: (https://support.apple.com/de-de/103312) teht aber, dass Apple-TV ab bestimmter Modelle offenbar SLAAC auch können. Ich habe kein Apple TV, nutze LibreELEC (Kodi) und LibreELEC kann SLAAC.
Grundsätzlich, das kann man via Gooogle überall nachlesen, funktioniert SLAAC so, dass die Geräte selbst eine IPv6-Adresse aushandeln. Diese basiert (ohne Privacy Extension) auf der MAC-Adresse, Geräte sind dadurch im Internet leicht zu tracken und dein Surfverhalten auszuwerten. Mit Privacy Extension wird die IPv6-Adresse dann zufällig generiert und auch in regelmäßigen Abständen gewechselt. Die Endgeräte haben dann meist mehrere unterschiedlich IPv6-Adressen. Unterschiedliche Adressen, weil midestens eine davon dann für Zugriffe ins Internet genutzt wird, die die per Prvacy-Extension gebildet wurde, um die eben nicht nachverfolgbar zu machen, und eine weitere basierend auf der MAC-Addresse, nutzbar intern z.B. für SSH, denn da will man ja nicht alle zwei Stunden eine neue für haben und jede mal bestätigen müssen, dass man dieser vetrauen kann.
Von deinem provider hast du ja höchstwahrscheinlich ein IPv6-Präfix erhalten. Wenn die lokalen Netzwerke also z.B. Interfaces / LAN auf unter General Configuration und dort dann IPv6 Configuration Type Track Interface richtig konfiguriert sind, sollte das IPv6-Präfix korrekt weitergereicht werden und es wird nur der hintere Teil (64 Bit) dynamisch per SLAAC ausgehandelt. Zudem sollte dort wieter unten unter Track IPv6 Interface noch für jedes lokale Netzsegment (also LAN, WLAN, DMZ, IoT etc.) eine andere IPv6 Prefix ID eingetragen werden. z.B. LAN 0, WLAN 1, DMZ 2, IoT 3, etc. Diese dürfen nicht identisch sein.
-
@br8bruno said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":
Wenn ich eine "DHCPv6 Prefix Delegation size" von 64bit auswähle, dann kann ich nur 0 als "IPv6 Prefix ID" wählen.
genau so muss es auch sein. Bekommst du wirklich vom Provider nur ein 64er Präfix, dann kannst Du keine weiteren Subnetzer merh bilden, denn 64 ist bereits die kleinste mögliche Subnetzgröße
Wahrscheinlich bekommst du aber kein 64er Präfix von Deutsche Glasfaser sondern ein 56er und forderst nur leider eben nur ein 64er an.
Fordere im WAN-Interface also ein 56er Präfix an. Dann lässt sich der Rest auch konfigurieren. Da ich nicht bei Deutsche Glasfaser bin, kann ich dir das mit der dort üblichen Präfix Delegation Size aber nicht definitv bestätigen. Bei o2 und Deutsche Telekom gibt es stets 56er Präfixe. Notfalls googlen oder bem Support von Deutsche Glasfaser nachfragen
Diesem Threat (https://forum.opnsense.org/index.php?topic=21225.0) aus dem OPNsense-Forum nach wäre Prefix delegation size: 56 für das WAN-Interface bei Deutsche Glasfaser korrekt.
-
Danke.
Ich benutze bereits 56, weil 64 nicht richtig funktioniert. Obwohl der Support von Deutsche Glasfaser mir bereits mehrmals bestätigt hat, dass es 64 sein muss.
Aber, dann kann ich nicht mehr als eine VLAN mit IPv6 konfigurieren.
Die erste bekommt Prefix ID=0. Und die nächste kann nicht wieder 0 benutzen und ich komme nicht weiter.
-
Aber muss dann nicht die Interface auch für SLAAC konfiguriert sein?
Eine VLAN hat Track Interface, DHCPv6 an, RA Managed.
Die andere sollte dann SLAAC, DHCPv6 aus, RA Unmanaged.
Aber es funkniert nur, wenn alle Interfaces mit "Track Interface" konfiguriert sind. -
Das hier sollte für das WAN-Interface so aussehen:
Bei dir fehlt Request only an IPv6 prefix X Only request an IPv6 prefix, do not request an IPv6 address dafür hast du angekreuzt: Do not wait for a RA X Required by some ISPs, especially those not using PPPoE, was aber nur in seltensten Fällen nötig ist
-
@br8bruno said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":
Eine VLAN hat Track Interface, DHCPv6 an, RA Managed.
Die andere sollte dann SLAAC, DHCPv6 aus, RA Unmanaged.Worauf bezieht sich das Bildschirmfoto?
WAN, LAN? ist leider nicht zu erkennen. -
Vielleicht habe ich mit dem AppleTV nicht alles verstanden.
Deutsche Glasfaser gibt mir nur ein IPv6, den ich für einen Server benutzen kann. D.h. aus dem Internet darauf zugreifen.
Das ist nicht so schlimm, weil Handys (LTE, 4G) immer IPv6 haben. Und zuhause haben meine Nutzer es auch.
Also, die Handys und PCs zuhause könnnen der Server hinter einen Domainname (nur IPv6) erreichen. Sei das zuhause oder nicht.Die AppleTV entgegen erreicht den Server nicht.
Wenn ich die Konfig von der AppleTV mir anschaue, habe ich eine IPv4 IP. Ein IPv4 DNS und ein IPv6 DNS (2a00: VLAN Gateway IPv6 Adresse). Aber keine IPv6 IP für das Gerät. -
@br8bruno said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":
Aber muss dann nicht die Interface auch für SLAAC konfiguriert sein?
Eine VLAN hat Track Interface, DHCPv6 an, RA Managed.
Die andere sollte dann SLAAC, DHCPv6 aus, RA Unmanaged.Nein, falls Du damit das WAN-OInterface meinst. Dort ist der IPv6 Configuration Type = DHCP6 nicht SLAAC
-
VLAN1:
VLAN2:
Wenn ich aber das Interface von VLAN2 mit SLAAC konfiguriere, dann der Fehler wird angezeigt:
-
@br8bruno said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":
VLAN1:
Ist falsch konfiguriert.
Nochmal: WAN ist und bleibt DHCP6
Lokale (VLANS) sind IPv6 Configuration Type = Track Interface, nicht SLAACDas WAN bezieht den Präfix per DHCP6. DIe lokalen tracken das WAN Interface, damit die den Prefix erhalten und daraus via der IPv6 Prefix ID ein SUbnetz bilden können, das zum 56er-Präfix passt und von diesem abstammt. Ansonsten funktioniert kein Routing
So sieht bei mir das LAN-Interface aus:
-
Hier noch die Router-Advisements einmal mit DHCPv6-Server und einmal ohne:
Und zum Schluss noch der DHCPv6-Server (KEA)
Das Hkchen bei Enabled nur für das Netzsegment mit Rpoter-Advisement Managed oder Assested, bei Segmenten mit Unmanaged wird kein Häcken gesetzt der KEAv6-Server ist also inaktiv. -
Does anybody have any idea why the WAN is now getting only a IPv6 Link-Local address?
I have noticed this a couple of days ago. Everything seems to be working, but nothing was changed on any relevant configuration.
The 2 VLANs that should be getting IPv6 are getting a 2a00 IP. Just the WAN isn't.
I also get this offline status for the Gateway all the time. I have to go into Rounting, enter into the Gateway, save it... and then it goes online.
-
CGNAT has its own reserved IP range between 100.64.0.0 and 100.127.255.255
Leider kann man bei dem was Du gepostet hats nur sehen, dass Du eine mit 100. beginnende IPv4 hast.
Liegt sie also zwischen 100.64.0.0 und 100.127.255.255 hast Du ganz sicher einen CGNAT-Anschluss.
Wie man die pfsense korrekt am CGNAT-Anschluss konfiguriert wird hier; https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html erklärt.
Wo genau der Fehler bei Dir liegt ist aus dem was Du bisher gepostet hast nicht zu erkennen.
Wichtiger Hinweis:
Die Erklärung im Link bezieht sich auf M-Net. Du musst als die Werte für die VLAN-ID und AFTR entsprehcend an die Vorgaben von Deutsche Glasfaser anpassen. Unwahrscheinlich dass die mit denen von M-Net übereinstimmen. -
@eagle61
Hi, danke für die Antwort.Das mit CGNAT ist schon richtig und war eigentlich nicht die Frage.
Meine Frage ging um IPv6. Zwei VLANs bekommen ein 2a00 IPv6 Adresse, und das ist richtig so. Aber der WAN bekommt nur ein fe80 IPv6. Das war am Anfang nicht so, die hat auch immer ein IPv6 2a00 bekommen.
An die Konfiguration habe ich nichts geändert. -
@br8bruno said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":
Meine Frage ging um IPv6. Zwei VLANs bekommen ein 2a00 IPv6 Adresse, und das ist richtig so. Aber der WAN bekommt nur ein fe80 IPv6.
Doch. Genau darum geht es bei dem Artikel. Darum wie dem WAN-Interface an einem Anschluss mit CGNAT die IPv6-Adresse zugewiesen wird. Das passiert nämlich per AFTR an Anschlüssen mit CGNAT.
Wenn die verlinkte Anleitung lesen und verstehen würdest, wüsstest Du dass der Wert für die GIF Remote Adress des GIF-Interfaces, über die die WAN-IPv6-Adress bezogen wird ebenfalls eine IPv6-Adresse ist und eben nicht (bei M-Net) z.B. aftr.prod.m-online.net. Wurde nun der AFTR-Server ausgetauscht aftr.prod.m-online.net und bekam deswegen eine neue IPv6 klappt es nicht mehr mit dem Bezug der WAN-IPv6-Adresse.
-
Ich hatte deine erste Nachricht nicht wirklich verstanden.
Jetzt vielleicht ein wenig besser, danke.Die Konfiguration die ich für Deutsche Glasfaser kenne hat nichts mit GIF-Interfaces zu tun.
Ich habe die Anleitung von beechy dafür verwendet. Da wird es anders eingestellt und ich kann nicht beurteilen was richtig wäre. Deutsche Glasfaser bietet hier keine Hilfe.
Ich wähle mich auch nicht per PPOE ein, und ich würde es erstmal vermeiden um die Komplexität geringer zu halten.
https://beechy.de/deutsche-glasfaser-ipv6-vs-pfsense/Aber ich habe das ursprüngliche Problem indetifizieren können.
Wenn man "Only request an IPv6 Predix" wählt, dann bekommt am WAN nur fe80 IPv6. Wenn man es NICHT wählt, dann bekommt man ein 2a00 IPv6. Das war erscheint mein Fehler vorhin.
Aber ob die Konfiguration so richtig ist, weiß ich halt nicht. Es scheint trotzdem zu funktionieren.
-
@br8bruno said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":
Ich wähle mich auch nicht per PPOE ein
Okay. aber was mir nun im letzten von dir hochgeadenen Bildschirmfoto auffällt, ist dass du nun am WAN-Inteface zwar eine IPv6-Adresse (2a00.) hast, aber eben keine IPv4-Adresse mehr. Zuvor hattest Du da ja eine 100.er IPv4.
Damit hättest du WAN-seitig nun keine Möglichkeit mehr reine IPv4-Internetseiten aufzurufen, wie z.B. www.vw.com. Versuch mal einen ping auf www.vw.com. Die Seite ist eigentlich nur via IPv4 erreichbar, anders als www.vw.de
-
@br8bruno said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":
Ich wähle mich auch nicht per PPOE ein, und ich würde es erstmal vermeiden um die Komplexität geringer zu halten
Ob PPPoE wirklich komplexer ist wage ich zu bezweifeln.
In den OPNsense-Docs wird hier- https://docs.opnsense.org/manual/how-tos/ipv6_fb.html erklärt wie die OPNsense hinter einem Router zu konfigurieren ist und hier
- https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html wie der generic dialup hinter einem Modem funktioniert.
Letztere Anleitung ist deutlich kürzer.
Da ich aber nicht weiß, was du vor der pfsense hast, also was für ein NT (z.B. Glasfasermodem, Glasfaser-Fritzbox) nicht mal weiß ob du einen FTTH- oder FTTB-Anschluss hast, kann ich dir nicht viel dazu sagen, was bei Dir ginge und was nicht und was einfacher wäre.