[решено] DHCPv6 не хочет раздавать, работает толь&#



  • Здравствуйте.

    Не хочет работать DHCPv6, сам RA работает и может спокойно все раздавать (и раздает) но в  Status -> DHCPv6 Leases все пусто! Хочется как то давать упорядоченные адреса машинам при помощи DHCP резервируя их.

    На машинах сидящих за LAN есть доступ к IPv6 если прописать вручную адрес или получив его от RA, но как написал выше в DHCPv6 Leases ничего не отображается когда RA раздает.

    На LAN интерфейсе поднимаю DHCPv6, самому интерфейсу назначил статический адрес 2001:470:xxx:xxx::1

    Services -> DHCPv6 Server & RA -> LAN -> DHCPv6 Server

    DHCPv6 Server
    Enable DHCPv6 server on interface LAN
    Subnet
    2001:470:xxx:xxx::
    Subnet Mask
    64 bits
    Available Range
    2001:470:xxx:xxx:: to 2001:470:xxx:xxx:ffff:ffff:ffff:ffff
    Range
    2001:470:xxx:xxx::01 - 2001:470:xxx:xxx::99
    DNS Servers
    2001:470:xxx:xxx::1

    Services -> DHCPv6 Server & RA LAN -> Router Advertisements

    Router mode - Я перепробовал ВСЕ. Я так понял, что (исходя из заметки в вебе) "Managed", "Assisted" or "Stateless DHCP" для них DHCPv6 сервер не нужен, он сам раздает (и он это делает).

    Суть проблемы в том, что в  Status -> DHCPv6 Leases все пусто.

     # ps aux | grep -i dhc
    dhcpd   83710   0.5  0.6  24844 11604  -  Ss    2:57AM     0:00.00 /usr/local/sbin/dhcpd -6 -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /etc/dhcpdv6.conf -pf /var/run/dhcpdv6.pid re1
    dhcpd   83620   0.4  0.7  24844 13740  -  Ss    2:57AM     0:00.00 /usr/local/sbin/dhcpd -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /etc/dhcpd.conf -pf /var/run/dhcpd.pid re1
    root    83981   0.4  0.1   8172  1844  -  Ss    2:57AM     0:00.00 /usr/local/sbin/dhcpleases6 -c /usr/local/bin/php-cgi -f /usr/local/sbin/prefixes.php|/bin/sh -l /var/dhcpd/var/db/dhcpd6.leases
    root    50405   0.0  0.1  14512  2308  -  Ss    6May17     0:20.87 /usr/sbin/syslogd -s -c -c -l /var/dhcpd/var/run/log -P /var/run/syslog.pid -f /var/etc/syslog.conf
    root    86888   0.0  0.1  18740  2248  0  S+    2:57AM     0:00.00 grep -i dhc
    
    

    Процесс висит, но ничего не раздает. Что попробовать еще? Весь инет облазил, не понимаю.



  • Доброе
    В багах в оф. роадмапе смотрели ? Может там что есть ?



  • Да что-то попадалось, но там все 2-х летней давности. Уже кучу всего перелопатил.

    Странно, сам DHCPv6 вроде работает, порт слушает:

    netstat -a | grep dhcp
    udp6       0      0 *.dhcpv6-server        *.*
    fffff800096c85a0 dgram       0      0 fffff8004bb26588        0 fffff800096c6870        0 /var/dhcpd/var/run/log
    


  • Все, решил… Облазил блин весь интернет, а решение оказалось на этом форуме https://forum.pfsense.org/index.php?topic=127872.msg705890#msg705890

    Теперь клиенты одного порта pfSense получают внешние IPv6, резервируются. Все отлично. (скрин от клиента винды, полет нормальный)




  • То есть дело было в этом?

    It looks like for some reason on my LAN interface I had checked "Block Bogon Networks" which blocked all Link-Local IPv6 Traffic such as DHCPv6. My clients pull addresses now from DHCPv6 yay!

    Позволю себе дилетантский вопрос:

    Имея IPV6 каждый компьютер LAN светится в IPV6 интернет?  Тестировал кратковременно  IPV6 на Микротик, получалось именно так.
    Или файрволл pfSense блокирует снаружи доступ к IPV6 LAN по умолчанию?



  • Да, дело было в одной галочке.

    Теперь каждый получает внешний IPv6 адрес по DHCPv6.

    pfSense блокирует если не будет правила PASS на IPv6 на LAN.

    Все IP светятся наружу.



  • Доброе.
    А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?



  • Нет, я раздал IPv6 во второй LAN, в котором в основном виртуалки и ПК с различными службами Linux-base/BSD, там пару машин есть с windows server но уже обновлены.

    Да и плюс винда на гипере, а там все планово на Dell MD1000 резервируется в случае таких случаев. Не факт, что майкрософт не только эту дыру забыли закрыть в свое время.



  • @werter:

    Доброе.
    А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?

    Вполне получится, если не установлены обновления.

    Неплохой тест IPV6 доступности своих (и не только :) ) хостов:
    http://www.subnetonline.com/pages/ipv6-network-tools.php
    Online Ping IPv6
    Online TracePath IPv6
    Online TraceRoute IPv6
    Online Port Scanner IPv6
    Online Dig IPv6

    _pfSense блокирует если не будет правила PASS на IPv6 на LAN. _
    На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
    Может все же PASS на WAN?



  • На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
    Может все же PASS на WAN?

    Только что проверил, если отрубить на LAN правила IPv6 - PASS то при пинге одной из машин -

    PING 2001❌x❌:10(2001❌x❌:10) 32 data bytes
    From 2001:470:x❌:2 icmp_seq=0 Destination unreachable: Address unreachable
    From 2001:470:x❌:2 icmp_seq=1 Destination unreachable: Address unreachable
    From 2001:470:x❌:2 icmp_seq=2 Destination unreachable: Address unreachable
    From 2001:470:x❌:2 icmp_seq=3 Destination unreachable: Address unreachable

    т.е. судя по этому, ответ от шлюза 2001:470:x❌:2 (pfSense) не пропускает трафик. Правило PASS на LAN обязательно.

    Доброе.
    А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?

    По сути роли не играет IPv4 или IPv6, порты так же будут доступны если не отфильтровать.

    Думаю есть смысл сделать Alias список IPv6 адресов которым разрешено достукиваться со внешки и добавить в разрешающее правило.



  • Правило PASS на LAN обязательно.
    Похоже - мы друг друга не совсем  понимаем.

    Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6  LAN PASS to any.



  • @pigbrother:

    Правило PASS на LAN обязательно.
    Похоже - мы друг друга не совсем  понимаем.

    Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6  LAN PASS to any.

    @pigbrother:

    Имея IPV6 каждый компьютер LAN светится в IPV6 интернет?  Тестировал кратковременно  IPV6 на Микротик, получалось именно так.
    Или файрволл pfSense блокирует снаружи доступ к IPV6 LAN по умолчанию?

    Насколько я помню в pfSense по умолчанию используется последнее правило BLOCK ALL.
    Правила на LAN никак не относятся к входящим пакетам по WAN, поскольку жестко указывается интерфейс и направление IN при формировании правил из конфига.
    Так-что если на WAN, во FloatRules или UPnP нету явного разрешения pf будет блокировать пакет.

    Ну а в Mikrotik правило по умолчанию ACCEPT. И при создании сети IPv6 на Mikrotik, она оказывается никак не защищена.
    Я просто списал несколько правил с IPv4 файрвола

    /ipv6 firewall filter
    add action=accept chain=forward connection-state=established,related disabled=no
    add action=drop chain=forward connection-state=invalid disabled=no
    add action=drop chain=forward in-interface=6to4-tunell1 connection-state=new disabled=no
    add action=drop chain=input in-interface=6to4-tunell1 disabled=no
    

    @httpxss:

    Да, дело было в одной галочке.

    Теперь каждый получает внешний IPv6 адрес по DHCPv6.

    pfSense блокирует если не будет правила PASS на IPv6 на LAN.

    Все IP светятся наружу.

    pfSense с удовольствием пропустит внешней пакет, если на WAN будет разрешающее правило, а на LAN блокирущее.
    Ведь в pfSense statefull firewall по умолчанию, который работает и для IPv4 и для IPv6



  • Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
    У вас не нативный IPV6, 6to4?



  • 6to4 все по этой статье https://doc.pfsense.org/index.php/Using_IPv6_with_a_Tunnel_Broker, там только нет описания настройки DHCPv6, но с ним как оказалось все просто.



  • @pigbrother:

    Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
    У вас не нативный IPV6, 6to4?

    У провайдера есть купленные IPv6 сети, но не хотят настраивать и учиться работать.
    Благо выдают по IPoE постоянный белый IPv4. Правда трафика все равно не много, не могу заставить работать браузеры и систему с IPv6 по умолчанию.