[решено] DHCPv6 не хочет раздавать, работает толь&#
-
Здравствуйте.
Не хочет работать DHCPv6, сам RA работает и может спокойно все раздавать (и раздает) но в Status -> DHCPv6 Leases все пусто! Хочется как то давать упорядоченные адреса машинам при помощи DHCP резервируя их.
На машинах сидящих за LAN есть доступ к IPv6 если прописать вручную адрес или получив его от RA, но как написал выше в DHCPv6 Leases ничего не отображается когда RA раздает.
На LAN интерфейсе поднимаю DHCPv6, самому интерфейсу назначил статический адрес 2001:470:xxx:xxx::1
Services -> DHCPv6 Server & RA -> LAN -> DHCPv6 Server
DHCPv6 Server
Enable DHCPv6 server on interface LAN
Subnet
2001:470:xxx:xxx::
Subnet Mask
64 bits
Available Range
2001:470:xxx:xxx:: to 2001:470:xxx:xxx:ffff:ffff:ffff:ffff
Range
2001:470:xxx:xxx::01 - 2001:470:xxx:xxx::99
DNS Servers
2001:470:xxx:xxx::1Services -> DHCPv6 Server & RA LAN -> Router Advertisements
Router mode - Я перепробовал ВСЕ. Я так понял, что (исходя из заметки в вебе) "Managed", "Assisted" or "Stateless DHCP" для них DHCPv6 сервер не нужен, он сам раздает (и он это делает).
Суть проблемы в том, что в Status -> DHCPv6 Leases все пусто.
# ps aux | grep -i dhc dhcpd 83710 0.5 0.6 24844 11604 - Ss 2:57AM 0:00.00 /usr/local/sbin/dhcpd -6 -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /etc/dhcpdv6.conf -pf /var/run/dhcpdv6.pid re1 dhcpd 83620 0.4 0.7 24844 13740 - Ss 2:57AM 0:00.00 /usr/local/sbin/dhcpd -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /etc/dhcpd.conf -pf /var/run/dhcpd.pid re1 root 83981 0.4 0.1 8172 1844 - Ss 2:57AM 0:00.00 /usr/local/sbin/dhcpleases6 -c /usr/local/bin/php-cgi -f /usr/local/sbin/prefixes.php|/bin/sh -l /var/dhcpd/var/db/dhcpd6.leases root 50405 0.0 0.1 14512 2308 - Ss 6May17 0:20.87 /usr/sbin/syslogd -s -c -c -l /var/dhcpd/var/run/log -P /var/run/syslog.pid -f /var/etc/syslog.conf root 86888 0.0 0.1 18740 2248 0 S+ 2:57AM 0:00.00 grep -i dhcПроцесс висит, но ничего не раздает. Что попробовать еще? Весь инет облазил, не понимаю.
-
Доброе
В багах в оф. роадмапе смотрели ? Может там что есть ? -
Да что-то попадалось, но там все 2-х летней давности. Уже кучу всего перелопатил.
Странно, сам DHCPv6 вроде работает, порт слушает:
netstat -a | grep dhcp udp6 0 0 *.dhcpv6-server *.* fffff800096c85a0 dgram 0 0 fffff8004bb26588 0 fffff800096c6870 0 /var/dhcpd/var/run/log -
Все, решил… Облазил блин весь интернет, а решение оказалось на этом форуме https://forum.pfsense.org/index.php?topic=127872.msg705890#msg705890
Теперь клиенты одного порта pfSense получают внешние IPv6, резервируются. Все отлично. (скрин от клиента винды, полет нормальный)
-
То есть дело было в этом?
It looks like for some reason on my LAN interface I had checked "Block Bogon Networks" which blocked all Link-Local IPv6 Traffic such as DHCPv6. My clients pull addresses now from DHCPv6 yay!
Позволю себе дилетантский вопрос:
Имея IPV6 каждый компьютер LAN светится в IPV6 интернет? Тестировал кратковременно IPV6 на Микротик, получалось именно так.
Или файрволл pfSense блокирует снаружи доступ к IPV6 LAN по умолчанию? -
Да, дело было в одной галочке.
Теперь каждый получает внешний IPv6 адрес по DHCPv6.
pfSense блокирует если не будет правила PASS на IPv6 на LAN.
Все IP светятся наружу.
-
Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ? -
Нет, я раздал IPv6 во второй LAN, в котором в основном виртуалки и ПК с различными службами Linux-base/BSD, там пару машин есть с windows server но уже обновлены.
Да и плюс винда на гипере, а там все планово на Dell MD1000 резервируется в случае таких случаев. Не факт, что майкрософт не только эту дыру забыли закрыть в свое время.
-
Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?Вполне получится, если не установлены обновления.
Неплохой тест IPV6 доступности своих (и не только :) ) хостов:
http://www.subnetonline.com/pages/ipv6-network-tools.php
Online Ping IPv6
Online TracePath IPv6
Online TraceRoute IPv6
Online Port Scanner IPv6
Online Dig IPv6_pfSense блокирует если не будет правила PASS на IPv6 на LAN. _
На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
Может все же PASS на WAN? -
На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
Может все же PASS на WAN?Только что проверил, если отрубить на LAN правила IPv6 - PASS то при пинге одной из машин -
PING 2001
x:10(2001x:10) 32 data bytes
From 2001:470:x:2 icmp_seq=0 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=1 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=2 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=3 Destination unreachable: Address unreachableт.е. судя по этому, ответ от шлюза 2001:470:x
:2 (pfSense) не пропускает трафик. Правило PASS на LAN обязательно.Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?По сути роли не играет IPv4 или IPv6, порты так же будут доступны если не отфильтровать.
Думаю есть смысл сделать Alias список IPv6 адресов которым разрешено достукиваться со внешки и добавить в разрешающее правило.
-
Правило PASS на LAN обязательно.
Похоже - мы друг друга не совсем понимаем.Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6 LAN PASS to any.
-
Правило PASS на LAN обязательно.
Похоже - мы друг друга не совсем понимаем.Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6 LAN PASS to any.
Имея IPV6 каждый компьютер LAN светится в IPV6 интернет? Тестировал кратковременно IPV6 на Микротик, получалось именно так.
Или файрволл pfSense блокирует снаружи доступ к IPV6 LAN по умолчанию?Насколько я помню в pfSense по умолчанию используется последнее правило BLOCK ALL.
Правила на LAN никак не относятся к входящим пакетам по WAN, поскольку жестко указывается интерфейс и направление IN при формировании правил из конфига.
Так-что если на WAN, во FloatRules или UPnP нету явного разрешения pf будет блокировать пакет.Ну а в Mikrotik правило по умолчанию ACCEPT. И при создании сети IPv6 на Mikrotik, она оказывается никак не защищена.
Я просто списал несколько правил с IPv4 файрвола/ipv6 firewall filter add action=accept chain=forward connection-state=established,related disabled=no add action=drop chain=forward connection-state=invalid disabled=no add action=drop chain=forward in-interface=6to4-tunell1 connection-state=new disabled=no add action=drop chain=input in-interface=6to4-tunell1 disabled=noДа, дело было в одной галочке.
Теперь каждый получает внешний IPv6 адрес по DHCPv6.
pfSense блокирует если не будет правила PASS на IPv6 на LAN.
Все IP светятся наружу.
pfSense с удовольствием пропустит внешней пакет, если на WAN будет разрешающее правило, а на LAN блокирущее.
Ведь в pfSense statefull firewall по умолчанию, который работает и для IPv4 и для IPv6 -
Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
У вас не нативный IPV6, 6to4? -
6to4 все по этой статье https://doc.pfsense.org/index.php/Using_IPv6_with_a_Tunnel_Broker, там только нет описания настройки DHCPv6, но с ним как оказалось все просто.
-
Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
У вас не нативный IPV6, 6to4?У провайдера есть купленные IPv6 сети, но не хотят настраивать и учиться работать.
Благо выдают по IPoE постоянный белый IPv4. Правда трафика все равно не много, не могу заставить работать браузеры и систему с IPv6 по умолчанию.
