auch wenn der thread schon eine weile alt ist vielleicht liest es ja doch noch wer :D

ich hab alles so weit wie in der Anleitung eingerichtet und sehe auf dem dashboard das wan neben der ipv4 er nun auch eine ipv6 adresse genau so im lan
zugriff per wan ipv6 bekomme ich nicht und sehe im firewall log

Apr 28 13:30:21 lo0 [ipv6wan-adress]:443 [meine-ipv6]:59411 TCP:SA

was mich wundert ist lo0 statt WAN

ich habe einen extra gateway mit gateway fe80::1

wenn ich die firewall komplett deaktiviere geht auch ipv6, spezielle block regeln sind keine eingerichtet
hat wer eine idee?

Scheint alles zu laufen. Ich teste das mal ein paar tage und gebe dann gern nochmal feedback. Es ist ja fast schon zu einfach :)

Vielen Dank nochmal

bei mir laufen nun 3 Systeme bei Hetzner mit perfekter IPv6 Erreichbarkeit ;)

Ich habe die Schritte einfach mal nachgemacht und komme zum Ergebnis das ich kein Positives Ergebnis bekomme. Die VM kommt wohl im WAN an aber das WAN nicht bei der VM. So scheint es jedenfall. Pings gehen Positiv raus aber anscheinend kommt es zu keiner Antwort.

Ich habe jetzt folgendes:
WAN:
IPv4: DHCP
IPv6: DHCP6

DHCP6 Client Config:
Options: [ ]
Use IPv4 connectivity as parent interface: [X]
Request only an IPv6 prefix: [X]
DHCPv6 Prefix Delegation size: 64
Send IPv6 prefix hint: [X]
Debug: [ ]

Reserved Networks:
Block private networks and loopback addresses: [X]
Block bogon networks: [X]

Dann bekomme ich die Zusatz IP als IPv4 und die Angesprochene Link-Lokale als IPv6… passend zu MAC. soweit so gut.

Nun zum LAN Interface:
IPv4: Static IPv4
IPv6: Static IPv6

IPv6 address: 2a01:xxxx:xxxx:xxxx::1 /64
IPv6 Upstream gateway: None

Reserved Networks:
Block private networks and loopback addresses: [ ]
Block bogon networks: [ ]

Die VM bekommt dann folgendes:
iface ens160 inet6 static
address 2a01:xxxx:xxxx:xxxx::2
netmask 64
gateway 2a01:xxxx:xxxx:xxxx::1 # Wobei ich auch mal fe80::1 und die WAN address aus probiert habe.

In den Firewall Rules habe ich WAN <-> LAN IPv6 anyall freigeben. Nur um auf Nummer sicher zu gehen :)
Habe ich irgendeinen Schritt vergessen? 1:1 NAT sollte bezüglich IPv6 doch keine rolle spielen oder?

Vielen Dank

bin ja noch im Testbetrieb und seit gestern Nachmittag pinge ich eine VM über IPv6 und transferiere auch eine kleine Datei über SCP sowohl ein als auch ausgehend. Bis jetzt keine Ausfälle. Das link-lokale Netz ist ja nur das Transfernetz - soll dann halt so sein.

bzgl der IPv4 hast du recht, die virtuellen IP's kann man sich sparen. ist ein Fragment eines Artikels den ich im Internet gefunden hatte. Danke für den Hinweis, habe sie gerade entfernt.

würde mich interessieren wenn du dahinter dann eine VM mit v6 hast (am Besten ohne v4) ob die dann von extern sauber erreichbar ist und bleibt. Es ist zwar jetzt nicht komplett absonderlich, nur link-local Adressen auf dem WAN zu haben, schön ist es aber jetzt auch nicht.

IPv4 Adressen, waren dann nur noch Fleiß Arbeit: virtuelle auf dem WAN Interface einzeln als IP-Alias anlegen, 1:1 NAT und fertig

Warum das? Ich hatte aus dem Text rausgelesen, dass du ne zweite IP für die pfSense Instanz hast. Dann müsst dein v4 Subnetz doch auch geroutet sein? Dann musst du das auch nicht auf der pfSense mit IP-Aliasen oder VIPs auflegen, sondern einfach nur entweder weiter routen oder ein 1:1 NAT anlegen, Alias ist unnötig, da die IPs so oder so bei der pfSense ankommen (weil sie ja hingeroutet werden). Das wäre nur nötig, wenn die pfSense selbst die IP sonst nicht abbekommen würde. Außerdem kannst du bei so geroutetem Netz auch hergehen (wenn schon dreckig ;) ) und eine von den Boundary IPs (Netzmaske oder Netz) für abgehendes NAT nutzen von Maschinen die bspw. keine public IP bekommen sollen. Somit sparst du dir die echten IPs dann für die VMs auf, die sie auch wirklich brauchen :)

Grüße