IPV6 hinter FritzBox, aber wie?

MrGrimod

Hallo,
leider hab ich nur recht wenig Erfahrung mit IPV6 aber wollte es auf jeden Fall mal "einstellen".
Ich hab VDSL bei der Telekom, als Router ich ne Fritzbox an der der PFSense Pc als exposed Host eingestellt ist.
Die Fritzbox unterstützt IPV6 sowie die Telekom von der ich auch ne V6 Adresse bekomme (In Konf. Galerie zu sehen).
Aber wenn ich nen Check z.B. bei (http://ipv6-test.com) mache hab ich keine IPV6 Adresse.

Hier ein paar Bilde von meiner Konf.:
https://www.pic-upload.de/gal-1073647/dtfrwd/1.html
Wie ihr seht hab ich mich am WAN und LAN Interface schon versucht also nach einem Tut., jedoch weis ich z.B. nicht welchen Prefix ich benutzen soll oder welche Prefix Id oder was ich für V6 Adressen als static Ip bei den Interfaces vergeben muss.
Deswegen wollte ich euch um Ergänzungen bitten damit es funktioniert.

MFG und schöne Ferien.

JeGr

Sollte inzwischen bei richtiger Einstellung der FritzBox und dann Tracking der pfSense gehen, die Frage ist allerdings, ob man es möchte (leider). Da die Telekom noch immer die Unsitte der rotierenden IPs und Prefixe fährt, ist es leider fehleranfälliger als IPv6 sein zu lassen :(

Ansonsten müsstest du in der Fritte erst einmal das IPv6 komplett anmachen und auch in den erweiterten IP Einstellungen IPv6 PD aktivieren (prefix delegation), auf dem WAN der pfSense muss dann DHCP6 angemacht werden und (wenn ich mich recht erinnere) noch "Request Prefix only not an address" und /60 oder /56 als prefix size. Dann auf dem LAN unter v6 das Tracking auf WAN setzen und sicherheitshalber mal durchstarten.

Grüße

pfsnooker

Moin, Moin,

ich habe eine ähnliche Konfiguration, nämlich eine Fritz!Box 6490 Cable hinter der eine Box mit pfsense hängt. Bei mir läuft IPV6, sogar unauffällig.

Meine Konfiguration sieht etwa wie folgt aus:

Vofadone/KabelDeutschland liefert ein /62 Subnetz an meine Fritte, was die Telekom dir liefert, müsstest du unter "Internet->Online Monitor" sehen können:

verbunden seit 09.06.2017, 12:29 Uhr, Kabel Deutschland,
IPv6-Adresse: xxxx:xxxx::xx:xxx:xxxx:xxxx:c5d1, Gültigkeit: 4271/1571s,
IPv6-Präfix: xxxx:xxxx:xxxx:ee58::/62, Gültigkeit: 4271/1571s

Da Vodafone nur ein /62er Subnetz deligiert, ergeben sich daraus insgesamt 4 /64er Subnetze zur eigenen Verwendung. Bei mir aktuell:

xxxx:xxxx:xxxx:ee58::/64
xxxx:xxxx:xxxx:ee59::/64
xxxx:xxxx:xxxx:ee5a::/64
xxxx:xxxx:xxxx:ee5b::/64

Allerdings belegt davon die Fritte immer schon zwei /64er selbst:

xxxx:xxxx:xxxx:ee58::/64 --> LAN der Fritzbox (hier hängt auch pfsense dran)
xxxx:xxxx:xxxx:ee59::/64 --> GastLAN der Fritzbox (auch wenn es nicht aktiviert ist)

Daher kann man hinter der Fritzbox nur noch ein /63er Netz anfordern und nutzen:

Einstellungen in der Fritzbox:
Heimnetz-> Heimnetzübersicht->Netzwerkeinstellungen-> IPV6 Adressen:

DNS-Server und IPv6-Präfix zuweisen

Einstellungen in pfsense:
Interfaces->WAN

DHCP6 aktivieren
Only request an IPv6 prefix, do not request an IPv6 address
DHCPv6 Prefix Delegation Size: 63
Do not wait for a RA aktivieren

Interfaces->LANx

IPv6 Configuration Type: Track Interface
IPv6 Interface:<name des="" wan-interface=""></name>
IPv6 Prefix ID: 0 für das erste Interface, 1 für das zweite (mehr geht bei einem /63er leider nicht)

Services->DHCPv6 Server & RA:
Für das jeweilige LAN-Interface:

Enable DHCPv6 server
Range From ::
Range to ::ffff:ffff:ffff:ffff (ein ganzes /64er Netz)

Mit diesen Einstellungen sollten in diesem Beispiel folgende Netze hinter der pfsense liegen:

xxxx:xxxx:xxxx:ee5a::/64 --> erstes LAN-Interface (Prefix ID 0)
xxxx:xxxx:xxxx:ee5b::/64 --> zweites LAN (Prefix ID 1)

So klappt es jedenfalls bei mir am Kabel. Mit Anpassung der passenden Prefix-Länge sollte es bei dir eigentlich auch klappen.

Beim Test würde ich erst mal schauen, ob ein vernünftiger DNS zugewiesen wird.

Viel Erfolg!

magicteddy

Moin,

danke für die kompletten Einstellungen für KD, werde ich demnächst mal probieren.
Ich habe es bisher nicht hinbekommen :'(

-teddy

MrGrimod

@pfsnooker vielen dank für die ausführliche Beschreibung aber hat nichts gebracht, es haben zwar alle Geräte ne V6 Adresse aber im WWW hab ich keine V6 Adresse…

MFG

JeGr

@pfsnooker:

Allerdings belegt davon die Fritte immer schon zwei /64er selbst:

Bist du sicher, bzw ist das bei KD tatsächlich so? Bei Unitymedia bekommt die FB selbst eine eigene /128er bei der Einwahl trägt selbst noch ein /56er Prefix

Beispiel:
IPv6-Adresse: 2a02:xxxx:xx00::463:f8d4:8bba:9de8
IPv6-Präfix: 2a02:xxxx:xx9f:9e00::/56

Dabei kommt die Adresse wie man nach den xxxx:xx en sieht aus einem anderen Präfixbereich als das /56er Präfix das geroutet wird.

pfsnooker

@JeGr:

@pfsnooker:

Allerdings belegt davon die Fritte immer schon zwei /64er selbst:

Bist du sicher, bzw ist das bei KD tatsächlich so? Bei Unitymedia bekommt die FB selbst eine eigene /128er bei der Einwahl trägt selbst noch ein /56er Prefix

Beispiel:
IPv6-Adresse: 2a02:xxxx:xx00::463:f8d4:8bba:9de8
IPv6-Präfix: 2a02:xxxx:xx9f:9e00::/56

Dabei kommt die Adresse wie man nach den xxxx:xx en sieht aus einem anderen Präfixbereich als das /56er Präfix das geroutet wird.

Leider ja,

die Fritzbox bekommt selbst eine /128er Adresse. Die liegt in einem anderen Bereich wie der geroutete /62er Prefix. Und die FB nutzt halt die ersten zwei /64er in dem zugewiesenen Prefix für eigene Zwecke (LAN und GastLAN) und deligiert sie daher nicht weiter.

Diese Knauserigkeit von VF/KD ist ärgerlich, da man so kaum in der Lage ist, sein Netz ordentlich zu strukturieren. Denn bei V6 routet und filtert man ja nicht auf Basis von IP-Adressen, sondern auf Basis von Netzen… Nur gegen Geld (Business Vertag plus feste IP/Prefix) bekommt man ein /56er Netz.

Beste Grüße

Parsec

Warum versuchen alle mehrere Router zu kaskadieren und sich das Leben unnötig schwer zu machen?

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat.

Ansonsten halt - mit Entertian keine Pfsense sondern ein routerOs mit funktionierendem IGMPPROXY UND SSM Support.

pfsnooker

@MrGrimod:

@pfsnooker vielen dank für die ausführliche Beschreibung aber hat nichts gebracht, es haben zwar alle Geräte ne V6 Adresse aber im WWW hab ich keine V6 Adresse…

MFG

Das hört sich nicht so gut an.

Poste doch bitte mal fürs Debugging:

FB: "Internet->Online Monitor"

FB: "Heimnetz->Heimnetzübersicht->Netzwerkverbindungen" und dann unter dem "Edit-Stift" im Eintrag deiner pfsense

pfsense: "Status->Interfaces"

Viele Grüße

pfsnooker

@Parsec:

Warum versuchen alle mehrere Router zu kaskadieren und sich das Leben unnötig schwer zu machen?

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat.

Ansonsten halt - mit Entertian keine Pfsense sondern ein routerOs mit funktionierendem IGMPPROXY UND SSM Support.

Für (v)DSL-Anschlüsse ist das sicher ein berechtigter Einwand.

Für Kabelanschlüsse gibt es leider vertragliche Konstellationen, wo man um eine (geliehene) FritzBox kaum rumkommt. Bei VF/KD immer dann, wenn man Telefonie mit zumindest zwei gleichzeitigen Verbindungen geordert hat.

magicteddy

@Parsec:

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat

Es ist nicht alles so einfach.

Telefonie: 9 Rufnummern bei KD geht nur beim KD Router, 6 Nummern werden hier aktiv genutzt.
Haftung: Blitzschlag oder Störungen? Keine Frage, KD ist Schuld, spart Diskussionen und macht bis auf IPv6 keine Probleme.

-teddy

Parsec

Im Thread ging es ja zunächst um VDSL

Bei Kabel kenne ich mich nicht sonderlich aus.
irgendwie ist aber alles was auf doppeltes NAT und irgendwelche Klimmzüge bei der Konfiguration erfordert Murks, da stellt sich dann die Frage ob an nicht gleich nur bei der Fritzbox bleibt
Aber gut, muss jeder selbst wissen.

magicteddy

@Parsec:

…irgendwie ist aber alles was auf doppeltes NAT und irgendwelche Klimmzüge bei der Konfiguration erfordert Murks, da stellt sich dann die Frage ob an nicht gleich nur bei der Fritzbox bleibt ...

Super Logik, dank TR-069 ist eine Fritte, egal ob DSL oder Kabel in der Hand des Providers und somit keine sichere Netztrennung.
Die Segmentierung eines Netzes mit VLans läßt sich mit einer Fritte auch nur notdürftig hinfrickeln, und das auch nur in 2 Segmente (LAN & Gastnetz). Mit einem Layer3 Switch geht natürlich mehr aber dafür fehlen mir andere Funktionen. Für ein einfaches plattes Netz braucht man nicht unbedingt pfSense, aber selbst das kann Sinn machen. Doppeltes NAT hat mit Murks nichts zu tun und Klimmzüge brauchts auch nicht bei IPv4. Einfach pfSense hinter die Fritte hängen und als exposed Host in der Fritte einstellen und schon hast Du alles was die Fritte nicht für Telefonie intern fest verbiegt auf der pfSense. Läuft hier sauber und stabil.

-teddy

Parsec

Hab ich irgendwo geschrieben, dass man TR-069 auf keinen Fall ausschalten darf?
Wenn ich "Klimmzüge" schreibe, wo beschränke ich mich da auf IPv4 und warum machst du diese Einschränkung?
Davon abgesehen ist die Formulierung "in der Hand des Providers" stark übertrieben.

Es gibt hier etliche Threads in dem Konfigurationsprobleme mit pfSense hinter anderen Routern beschrieben werden.
Wenn es alles so einfach wäre, wie von dir beschrieben wärend ei ja alle überflüssig.
Schön ist doppeltes NAT aber auf keinen Fall - hier führt es ja sogar zu IPv6 Subnezten die man so eigentlcih gar nicht will.

Ich habe aber ja schon geschrieben, dass es jeder machen kann wie er will - hier geht es mir um einen Gedankenaustausch.

Zu der Problematik bzgl. der Anzahl von Telefonnummern kann ich leider nichts sagen, da ich keine Infos darüber habe.
Mein Standpunkt war und ist - wenn ein reines Modem doppeltes NAT vermeiden kann, so ist es diesem immer vorzuziehen.

magicteddy

Wenn ich TR-069 abschalten könnte & dürfte würde ich es sicherlich machen. Da ich keine 100% Kontrolle über die ferngwartete Box habe betrachte ich sie als Teil des WAN.
Der Provider kann auf jeden Fall Portfreigaben remote entfernen (bei Anderen und mir passiert), also höchstwahrscheinlich auch einrichten :o …

-teddy

JeGr

Warum versuchen alle mehrere Router zu kaskadieren und sich das Leben unnötig schwer zu machen?

Weil es nicht unnötig schwer ist wenn man weiß was man tut. Komisch, dass dieses Setup problemlos schon seit Jahren hier läuft.

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat.

Bringt vielen rein gar nichts, weil man mit der Umstellung auf SIP und Co. immer mehr Probleme mit "nur Modem" hat. Ich packe mir lieber die Provider Fritte vor die pfSense und lass die VoIP machen als mich mit Siproxy und Co rumzuschlagen, was immer mal wieder zu Problemen führt.

Ansonsten halt - mit Entertian keine Pfsense sondern ein routerOs mit funktionierendem IGMPPROXY UND SSM Support.

Weil wir im pfSense Forum und nicht bei RouterOS X oder Y sind ;) Und die Leute hier pfSense einsetzen wollen :)

Und da man - mit den AVM Handsets - ganz passable Telefone haben kann (zumindest im Heim/SMB Bereich) ist das auch eine recht geläufige Lösung.
Wenn es um Business Cases geht, wo ich ggf. die SIP Anlage eh intern habe, baue ich das Netz auch komplett anders auf. Aber sonst ist das ein völlig legitimes Setup mit dem Vorteil, dass man jeden Provider dran bekommt, wenn es Probleme gibt. Sobald die nämlich sonst hören "ich nutze was eigenes" ist Ende beim Support. "Wir unterstützen nur unsere Router". So kann man ihnen ganz problemlos ihre Kiste davor resetten und sie können den Fehler suchen und es ist mir völlig egal, weil sich davon nichts in meinem LAN abspielt. :)

magicteddy

Moin,

@pfsnooker:

ich habe eine ähnliche Konfiguration, nämlich eine Fritz!Box 6490 Cable hinter der eine Box mit pfsense hängt. Bei mir läuft IPV6, sogar unauffällig.

nur kurz als Rückmeldung, habe eine neue 6490 von Vodafone bekommen und musste eh alles neu einrichten, IPv6 läuft, danke!

-teddy