IPv6 Prefix Delegation



  • Hallo euch,

    wir haben einen SIP-Trunk Anschluss (Deutschland LAN IP) der deutschen Telekom.
    Dort bekommt man bei Bedarf eine statische IPv4 sowie ein /56er für die Versorgung diverser Interfaces/Subnetze mit IPv6 Adressen.

    Bei mir siehts derzeitig so aus, das ich hinter einer Digitalisierungsbox Premium einen pfSense Router betreibe an dem letzten Endes meine Clients hängen.
    Wenn ich nun IPv6 in der Digitalisierungsbox aktiviere, erhält mein WAN eine IPv6 Adresse und wenn ich ein allgemeines Präfix einrichte und IPv6 sowie RA und DHCP auf br0 aktiviere, erhält mein pfsense WAN auch eine IPv6 Adresse von der Digitalisierungsbox, allerdings lediglich mit einem 64er Präfix, sodass ich keinen "Bit-Spielraum" mehr habe über Track Interface eigene Subnetze auf meinen anderen Interfaces zu bilden.
    Da ich ja mit dem 56er Präfix eigentlich noch 8 Bit Spielraum für weitere Subnetze hätte (256) ist nun die Frage, wie realisiere ich sowas bei einem Router -> Router Setup?

    Vielen Dank im vorraus für eure Tips und Ratschläge.

    Grüße
    Dennis



  • Hi,

    du mußt deiner Digibox sagen, welche Subnetze sie weiterreichen soll -> Prefix Delegation

    Gruß
    pfadmin



  • Die Frage ist nur wie. Ich dachte einige von euch kennen oder nutzen diese Geräte als vorgeschalteten Router resp. ADSL/VDSL Modem und wissen möglicherweise wie das Problem zu lösen ist.
    Ich finde in den Geräten keine explizite Erwähnung der Prefix Delegation. Ich kann das /56 Präfix als allg. Pröäfix einrichten und IPv6 auf dem Bridge und WAN Interface aktivieren aber das führt dann eben nur dazu, das dahinter liegende Interfaces lediglich 64er Präfixe von der Digibox erhalten.

    Da mein WAN Port von der pfsense Appliance halt direkt mit der Digibox via Patch verbunden ist bräuchte ich das /56er Präfix aber am WAN Interface von pfsense.

    Grüße
    Dennis



  • Du kannst nur 256 - 1 bekommen, da zwischen Digibox und pfsense ja auch ein Subnetz liegt. Schau mal hier:

    https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritzbox/

    Die pfsense muß das auch noch anfordern. Vielleicht macht die Digibox das auch grundsätzlich so.

    Gruß
    pfadmin



  • Der Link hilft mir für die Digibox leider nicht.
    Das Problem ist, das ich zwar wiegesagt per WAN Interface eine IPv6 auf meiner pfsense Appliance erhalte, sobald ich dann aber via Track Interface für meine anderen Interfaces
    versuche ein Subnet mit der vom WAN Interface erhaltenen IPv6 zu bilden, scheitert der Versuch.

    Interessanterweise hab ich mal den Test gemacht und bei Prefix Delegation Size auf dem WAN Interface von pfsense einmal 60 und einmal 56 angegeben.
    Bei 60 erhalte ich dementsprechend via TrackInterface die PrefixID Option 0 to f und bei 56 entsprechend 00 to ff, es scheint also grundsätzlich die Prefix Delegation zu funktionieren, allerdings erhalte ich nach "Apply" keine IPv6 auf den "getrackten" Interfaces, selbst ein Neustart von pfsense ändert daran nichts.

    Müsste ich nicht eigentlich an dem erhaltenen Präfix vom WAN Interface von pfsense erkennen ob die Delegation hinhaut bzw. was für ein Spielraum mir noch verbleibt?P
    Wenn ich z.B ein 64er Präfix auf dem WAN Interface erhalte (was bei mir der Fall ist) kann ja eigentlich kein Bitspielraum mehr vorhanden sein um daraus noch weitere subnetze zu bauen oder verstehe ich das falsch?



  • @FreeYourMind:

    sobald ich dann aber via Track Interface für meine anderen Interfaces
    versuche ein Subnet mit der vom WAN Interface erhaltenen IPv6 zu bilden, scheitert der Versuch.

    Logisch, muß ja auch ein anderes Subnetz sein. Eins der von der Telekom  zugewiesenen Subnetze aus /56 muß zwischen Digibox und pfsense sein, die restlichen muß die digibox an die pfsense delegieren und die pfsense muß diese anfordern. zb. ein /60 Die pfsense kann diese nun an ihren lan interfaces verwenden oder ebenfalls weiter delegieren. Du kannst aber kein /56 von der digibox verlangen, wenn sie selber nur ein /56 von der Telekom bekommt. Evtl kann man ein IPv6 Transfernetz zwischen Digibox und pfsense anlegen und den kompletten Prefix /56 von der Telekom durchreichen. Da bin ich aber am Ende meines Lateins.

    Die IP auf dem WAN Interface der Digibox hat nichts mit dem /56 Prefix zu tun. Diese ist auch /64 oder /128

    Gruß
    pfadmin



  • Wahrscheinlich hab ich immer noch ein wenig Verständnisprobleme, greift mir ein wenig unter die Arme hier bitte.

    Natürlich kann ich kein /56er Subnetz an der pfSense Appliance anfordern, wenn ich lediglich ein /56er an der Digibox erhalte, ich verlange es ja auch nicht, sondern schlage es lediglich vor oder frage es einfach nur an, es obliegt ja ohnehin der Digibox, ob darauf eingegangen wird oder eben nicht.
    Interessant war eben nur festzustellen, das bei einer Delegation Size tatsächlich 8Bit als "Subnetspielraum" zur Verfügung standen, und bei 60 hingegen lediglich 4., es anhand der PrefixID also so aussah als würde die Prefix Delegation grundsätzlich korrekt funktionieren.

    Was ich nach wie vor nicht verstehe ist folgendes:
    Das WAN Interface von pfsense ist wie bereits erwähnt mit der Digibox verbunden, sobald ich DHCP6 auf dem WAN Interface von pfsense aktivere, erhalte ich auch ein 64er Präfix von der Digibox.
    Dieses zugewiesene 64er Präfix kommt direkt von dem Bridge Interface (alle "en" Ports die an der Digibox zur Verfügung stehen werden gebridged, bis auf der Letzte Port) der Digibox per RA/DHCP. Nun müsste ich doch eigentlich alle Voraussetzungen geschaffen haben um via Track Interface auf meinen verbleibenden Interfaces in pfsense weitere IPv6 Präfixe zuzuweisen.
    Wie bereits gesagt, kann ich auch grundsätzlich via Track Interface = WAN, PrefixIDs auswählen die immer zur jeweiligen angefragten Delegation Size passen, nur wenn ich auf Apply klicke erhalte ich keinerlei IPv6 Adresse.

    Rein vom grundsätzlichen Ablauf ist aber doch alles korrekt oder etwa nicht?


  • Moderator

    Fehlt hier ggf auf der Digibox vornedran noch die IP6_PD? Also Prefix Delegation? Nur weil das WAN der pfSense ein /64er zugewiesen bekommt (was ja über IP6 Routing läuft) heißt noch nicht, dass sie ein Subnetz delegiert bekommen hat. Dass bei einem Prefix Wunsch von /60 dann bei Track Interface die Werte zur Verfügung stehen ist nur durch die Konfiguration gegeben, das heißt nicht, dass es funktioniert hat. Die Digibox muss aber per IP6 PD Prefix Delegation machen, damit sie selbst eine Route erzeugt, die die anderen Netze dann auch zur Sense routet und nicht nur das, in welchem sie lokal beteiligt ist.

    Gruß



  • Kann ich irgendwie nachvollziehen, z.B anhand der Logfiles in pfsense, ob das WAN Interface tatsächlich ein Subnetz Präfix zugewiesen bekommt?
    Den DHCP Client in den Debug Modus zu versetzen war ein Versuch den ich bereits unternommen habe aber leider konnte ich daraus keine Erkenntnisse gewinnen.

    Grüße
    Dennis



  • Unter Interfaces siehts du doch welche IP das WAN bekommt und das sollte ein /64 aus dem /56 Bereich sein, den die Telekom dir zugewiesen hat. Ansonsten Paket Capture auf PFWAN…

    Gruß
    pfadmin



  • Ja korrekt, WAN vcon pfSense erhält tatsächlich ein 64er aus dem 56er Bereich den mir die Telekom zugewiesen hat.
    NAch wie vor bin ich allerdings noch unsicher woran es liegt das ich anscheinend kein PRefix delegiert bekomme bzw. meine Logik (die offensichtlich falsch ist) war eifnach die, das mein pfsense WAN ein größeres Präfix erhält z.B ein /60er oder von mir aus auch ein /58er aus dem 56er der Telekom um dann eben Subnetze aus der pfsense WAN Adresse bilden zu können.



  • Die einzelnen Netzsegmente bekommen alle ein /64 ! Du kannst dem Netz zwischen Digibox und pfsense keine /56 IP geben, weil dann alle Netze dahinter für die diese IP im selben Layer 2 Netz wären. Du willst aber routen.

    Deine Digibox muß alle anderen Subnetze per PD weiterreichen, die pfsense muß PD anfordern und dann entsprechend auf die Interface umsetzen. Ein IPv6 Netz muß dem WAN der pfsense zugewiesen werden, diese erhält sie per RA, DHCP6 oder statisch.

    Prüfe per Paket capturing, was davon alles ankommt und was nicht und suche dort weiter. Ich tippe auf das unvermögen der Digibox, PD zu ermöglichen.

    Gruß pfadmin