Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch
-
Hallo zusammen,
ich habe vor kurzem bei mir Dual-Stack aktivieren lassen, da ich so langsam auch mal IPv6 bei mir einführen wollte.
Ich habe es eigentlich schon soweit geschafft, dass mein WAN, VLAN-Interfaces und die Clients IPv6-Addressen zugewiesen bekommen.
Nur klappt der IPv6 Test bei www.test-ipv6.com nur sporadisch bei Windows und Android Clients. Auch im Windows-Client bekomme im Interface oft keinen Internetzugriff über IPv6 angezeigt.
Mitunter dauert es sehr lange, bis ich nach einem neustart von pfsense eine v6 Addresse bekomme. Manchmal klappt es gar nicht.
pfsense läuft in einer KVM-VM mit einer i350 Quad-NIC, die ich per passthrough an pfsense zugewiesen habe.
System-Specs:
Core i3-8100 (4 Virtuelle Kerne zugewiesen)
32gig RAM (4 gig zugewiesen)
Intel i350 Quad Nic (original, kein fake)ISP: Unitymedia Vodafone NRW
Folgende Einstellungen habe ich vorgenommen:
WAN-Interface:
- IPv6 DHCP
- DHCPv6 Prefix Delegation size: 59
- Send IPv6 prefix hint
- Debug
- Do not allow PD/Address release
(V)LAN-Interfaces, die IPv6 nutzen sollen:
- IPv6 Configuration Type: Track Interface
- IPv6 Interface: WAN
- Prefix ID: Entsprechend von 0 hochgezählt
DHCPv6 Server & RA:
DHCP-Server Tab: Keine Einstellungen
Router Advertisements:- Router mode: Stateless DHCP
- Router priority: High
Firewall Rules je VLAN in dieser Reihenfolge:
- Block IPv6 any to VLAN-X net
- Allow IPv4&6 any to any
So nach diesen Einstellungen habe ich das oben erwähnte Verhalten. Nochmal im Detail:
- WAN bekommt nach reboot lange keine IPv6, oder bekommt gar keine IPv6
- VLAN-Interfaces bekommen IPv6, nachdem WAN eine hat
- Clients bekommen eine IPv6, aber bestehen den Test gar nicht, oder nur nach einer gewissen Zeit.
Im dhcp6c log bekomme ich zudem auch eine Fehlermeldung, dass eine config-Datei nd die Key-Datei nicht existieren. (Kann ich gerne noch posten, falls notwendig).
Außerdem scheint es, als würde der DHCP-Request beim provider in einen Timeout laufen. Es wird im log auch 5-6 mal "Sending Solicit" wiederholt angezeigt.
Ich weiß hier leider gerade nicht weiter. Vielleicht kann mir jemand dabei helfen.
Vielen Dank schonmal :)
-
Nutzt Du ein Modem oder einen Kabelrouter? Falls Letzteres, läuft der als Bridge?
-
Hi,
ich benutze einen Kabelrouter. Ist glaube ich eine FritzBox 7590. Bin mir nicht 100% sicher. Ist auf jeden fall eine neuere, ziemlich groß und ist ein stehender Router.
Der Router ist im Bridge-Modus. D.h. Lan-Port 2 ist direkt an die pfSense angebunden. Ich bekomme ja auch eine öffentliche IPv4 addresse in pfSense, die ich direkt ansprechen kann.
Sorry, hatte ich vergessen im eingangspost mir anzugeben, habs mal mit zugefügt.
Edit: Editieren geht nach 10min. nicht mehr.
Bei Unitymedia ist die Komfort-Option gebucht, somit also auch Dual-Stack verfügbar und aktiviert.
-
Hallo,
ich weiß jetzt nicht, ob das hier 100% On-Topic ist. Aber bei den Fritz!Boxen stolpern diverse Pappenheimer von mir immer wieder darüber, dass die Fritten IPv6 (Sub-)Netze für eigene Zwecke verwenden.
Bei mir bekommt die Fritz!Box z.B. ein /62. Das bedeutet, dass die beiden ersten /64 für interne Zwecke der Fritz!Box reserviert sind. In meinem Beispiel:
- /64 Netz: Geräte im LAN
- /64 Netz: Geräte im "Gastnetzwerk"
- und 4. /64 Netz: Geräte im "Heimnetzwerk"
Gruß,
Jörg -
Bist Du weitergekommen? Ich habe bei ähnlichem Setting auch immer wieder das Problem, dass die pfSense IPv6 nicht weiterroutet. Eine Zeitlang dachte ich ein IPv6 IP-Alias wäre das Problem (da gibt es auch einen offenen Bug zu, der in 2.5 behoben sein soll), aber im Moment habe ich trotz workarounds gegen dieses Problem schon wieder kein funktionierendes IPv6. Ich glaube fast die pfSense kann das einfach nicht richtig.
-
@fertig said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
r das Problem, dass die pfSense IPv6 nicht weiterroutet.
Nope
@fertig said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
Ich glaube fast die pfSense kann das einfach nicht richtig.
Nochmal nope.
Die Sense KANN das schon richtig. Die Fritte vornedran MUSS es aber auch richtig machen und weiterreichen. Wenn die den Kram nicht nach hinten weiterroutet, dann HAT die Sense auch nichts für andere Netze intern zum Verteilen. Ganz einfach. Wenn die Fritte kein PD macht und das der Sense announced, dann hat die kein Prefix dass sie intern mit Track Interface WAN auch weiterreichen kann. Das liegt dann nicht an der Sense sondern an dem Gammelmurks mit ändernden Prefixen und IA_PD vornedran. Merkt man ganz fix, wenn man den Murks vornedran eliminiert und direkt am Netz hängt, dass der Sense v6 gar nichts ausmacht. DHCP6 und Track Interface und gut. Geht. Ist aber generell eben Mist mit ändernden Prefixen. Und intern fdxx auszurollen bringt dank der Prefix Rotation auch nix weil NPt nicht für dynamische Prefixe gedacht ist bzw. man die da nicht nutzen kann.
Würde sich aber alles erledigen, wenn die ISPs endlich vom hohen Ross runtersteigen und den Quatsch mit dynPrefixen lassen würden anstatt Ausreden wie "hilft Privacy blabla" zu erfinden.
-
@jegr said in [Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch]
Die Sense KANN das schon richtig. Die Fritte vornedran MUSS es aber auch richtig machen und weiterreichen [..]
jein, die Fritte muß nichts machen, außer sich rauszuhalten. Ich schrieb ja, ähnliche Config wie bei MrSliff
Unitymedia Hessen, Komfort-Option, FB 6591, echter Dual Stack, echte Bridge an der Fritzbox.
Ich bekomme eine IPv4 und ein IPv6/59 für die Fritzbox und nochmal zusätzlich eine IPv4 und ein weiteres IPv6/59 für die pfSense (SG3100 am Bridge Port). LAN Interface hat "Track Interface" mit Interface ID 0.
Ich habe als Besonderheit eine ULA/64 im DHCPv6-RA und eine ULA aus dem Range auf der pfSense. Ich bin daher auch über (https://redmine.pfsense.org/issues/5999#change-49827) gestolpert. Ein Workaround (entfernen des Alias und wieder hinzufügen per Script) hatte es gerade gelöst, aber nun geht hier ping auf eine IPv6 Seite wieder nicht :( -
Hallo,
ich habe mir mal die Mühe gemacht, mein Setup unter altmetaller.de - IPv6: pfSense hinter FRITZ!Box 6360 (Kabel Deutschland) zu beschreiben. Vielleicht hilft das ja an dieser Stelle weiter.
Was ich allerdings nicht nachvollziehen kann ist der eigene ULA-Range hinter der pfSense. Was wäre denn die Motivation dahinter? Man muss nicht immer alles einrichten, was man irgendwo einrichten kann...^^
Gruß,
Jörg -
@altmetaller die eigene ULA Range zusätzlich zur GUA macht durchaus Sinn. Da muss man nur an IPv6 und VPN Tunnel denken. Wenn ich bspw. via Einwahl auf Geräte via v6 zugreifen will, nutzt es mir nur marginal was, wenn ich die GUA via Tunnel gepusht bekomme und dann zum Test obs den normalen Weg auch richtig funktioniert jedes Mal den Tunnel auf und zu machen muss, damit die Pakete einmal sauber via WAN laufen und einmal per v6 Tunnel. Hatten wir schon mit Kundenzugriffen auf die Infrastruktur. Dann legt man sich zum GUA eben noch eine ULA Range aufs Netzsegment und routet das via VPN. Klappt ja bestens.
Ich bekomme eine IPv4 und ein IPv6/59 für die Fritzbox und nochmal zusätzlich eine IPv4 und ein weiteres IPv6/59 für die pfSense (SG3100 am Bridge Port). LAN Interface hat "Track Interface" mit Interface ID 0.
Da das leider immer regional unterschiedlich ist, kann ich dazu nicht direkt was sagen, aber so sieht es momentan bei mir auch aus. Port 2 Fritte durchgebridged. Fritte wählt sich ein, bekommt v4/v6 und pfSense wählt sich ein bekommt v4/v6 separat davon. Also hält sich die Fritte an der Stelle raus. Und dann hat Track Interface auch normalerweise wenig Probleme. Wenig, weil der ganze quatsch mit wechselndem Prefix immer noch Schrott ist und niemand bei v6 das jemals als gute Idee gesehen hat, bis diverse Provider das einfach durchgezogen haben. Resultat: mehrere Features von v6 im Arsch, weil nicht sinnvoll nutzbar. Dankeschön.
Am Ende läuft es immer drauf raus, dass ich doch statt nativem v6 was ich gerne nutzen würde einen HE Tunnel nehme der statisch konfiguriert wird und der einfach funktioniert. Ich bins echt müde.
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
Dynamischer Prefix, ich meine mich zu erinnern, dass das bei mir ohne Probleme funktioniert hat. Das einzige Problem waren die DNS Einträge dafür, man hätte auf jeder Kiste einen DDNS-Client einrichten müssen. Alles andere lief aber geschmeidig, Firewallregeln z.B. wurden über den Hostnamen automatisch angepasst. Aber wegen der DNS-Problematik nehme ich auch den HE-Tunnel. Die DDNS-Optionen unter DHCPv6 Server & RA habe ich leider nie verstanden, ggf. ist das DDNS-Problem also auch keines mehr.
-
Hallo,
@jegr said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
@altmetaller Wenn ich bspw. via Einwahl auf Geräte via v6 zugreifen will,
In deinem VPN wird es aber auch immer IPv4 geben, über das Du die Geräte erreichen kannst. Zumal das im Idealfall eh' nur ein Gerät ist (nämlich der Remote Desktop bzw. die SSH, von der aus man dann an den entsprechenden Diensten / Geräten arbeitet).
Wie ich bereits schrieb: Man muss nicht alles nutzen, nur weil es existiert. Als Nerd mag man das anders sehen :-) aber ich bin im Moment eher geneigt, über die Dinge nachzudenken, die mich wirklich weiterbringen :-)
Gruß,
JörgÜbrigens: Schön, dass man hier seine eigene Meinung sagen kann ohne dass es gleich in einen Zickenkrieg ausartet ;-)
-
@altmetaller said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
ich habe mir mal die Mühe gemacht, mein Setup unter altmetaller.de - IPv6: pfSense hinter FRITZ!Box 6360 (Kabel Deutschland) zu beschreiben. Vielleicht hilft das ja an dieser Stelle weiter.
schöne Anleitung, aber Du machst ja auch PD, hier ist es aber Bridge-Mode
Was ich allerdings nicht nachvollziehen kann ist der eigene ULA-Range hinter der pfSense. Was wäre denn die Motivation dahinter? Man muss nicht immer alles einrichten, was man irgendwo einrichten kann...^^
meine Motivation ist "coole kurze IPv6 Adressen, die ich intern benutzen kann auch ohne DNS"
Wegen Dual Stack auch ähnliche zu den IPv4.
Ja, das ist nicht überlebenswichtig, aber doch auch nützlich.Christian
-
Hallo,
@fertig said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
schöne Anleitung, aber Du machst ja auch PD, hier ist es aber Bridge-Mode
Japp - das hängt allerdings auch mit meinen Erfahrungen zusammen. Gerade in Bezug auf Reklamationen möchte ich z.B. lieber per Remote bei Vodafone anrufen und eine Messung / Überprüfung veranlassen können, als jedes Mal zum Standort zu fahren und den Router gegen die Original-Box auszutauschen. Zumal das Geraffel meistens an einer Stelle steht, an der man sich nicht so gerne aufhält (Keller...).
meine Motivation ist "coole kurze IPv6 Adressen,
Ich sag' doch: Nerd! :-)
Vielleicht haben wir ganz einfach unterschiedliche Ansprüche: Bei mir muss es halt einfach, performant und transparent sein. In der Regel orientiere ich mich an der "Best practice" - insofern ist das Internet meine Dokumentation^^
Gruß,
Jörg -
@altmetaller said in [Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur
Ich sag' doch: Nerd! :-)
Vielleicht haben wir ganz einfach unterschiedliche Ansprüche [..]
ich bin noch nicht soweit. Wenn ich stabiles IPv6 in ferner Zukunft habe und alles verstanden habe und jeden Mist gesehen habe, dann höre ich bestimmt auch irgendwann auf alles ausprobieren zu wollen :)
Christian
-
@jegr said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
die eigene ULA Range zusätzlich zur GUA macht durchaus Sinn.
Wo macht man das eigentlich in pfSense, man kann nur eine Range eintragen oder ich bin gerade blind.
-
Wo macht man das eigentlich in pfSense, man kann nur eine Range eintragen oder ich bin gerade blind.
Services -> DHCPv6 + RA -> Router Advertisements -> Subnets
Dort kannst Du beliebige Netze hinzufügen
-
@fertig D.h. aber ich kann dort keine static mappings mehr anlegen.
Ich musste weg von "Managed", dann wurde dieser Prefix auch verteilt, aber halt nicht vom DHCP6.
An anderer Stelle wurde nun empfohlen static-mapings manuell in unbound anzulegen... -
@altmetaller said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
Japp - das hängt allerdings auch mit meinen Erfahrungen zusammen. Gerade in Bezug auf Reklamationen möchte ich z.B. lieber per Remote bei Vodafone anrufen und eine Messung / Überprüfung veranlassen können, als jedes Mal zum Standort zu fahren und den Router gegen die Original-Box auszutauschen. Zumal das Geraffel meistens an einer Stelle steht, an der man sich nicht so gerne aufhält (Keller...).
Ha, just like me. Darum hab ich bei meinen Anschlüssen auch meist die Originalboxen gelassen - zumindest wenn sie nix kosten. Jetzt bei der DSL Bestellung wars mir tatsächlich zu doof extra wegen ner Fritte 5€/mtl zahlen zu sollen. ;)
@altmetaller said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
Vielleicht haben wir ganz einfach unterschiedliche Ansprüche: Bei mir muss es halt einfach, performant und transparent sein. In der Regel orientiere ich mich an der "Best practice" - insofern ist das Internet meine Dokumentation^^
Ich habs auch lieber hinter der Box als Bridge, dann weiß ich dass mir keiner dazwischenfummelt und eigentlich lüppt das auch wie Bob schon meinte. Das hatte ich auch konfiguriert, war aber irgendwann zu nervig wegen wechselnder Prefixe. Darum verworfen, ging einfach gegen den Zeiger. Da mach ich lieber nen Tunnel, hat weniger Performance aber wenigstens kann ich dann IPv6 nutzen wie es sich gehört.
@bob-dig said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
An anderer Stelle wurde nun empfohlen static-mapings manuell in unbound anzulegen...
Man kann auch einfach das ULA mit FDxy:: manuell als VIP auf dem Interface platzieren wo man es haben will. Und einfach statische Adressen vergeben, statt jedes Gerät noch eine extra dynamische generiert. Wenn man sie aber für SLAAC o.ä. pushen will dann DHCP6 Server settings.
@fertig said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
Wenn ich stabiles IPv6 in ferner Zukunft habe und alles verstanden habe und jeden Mist gesehen habe, dann höre ich bestimmt auch irgendwann auf alles ausprobieren zu wollen :)
Gnihihihi stabiles IPv6
Sorry geht gleich wieder
Nicht so lange wir keine statischen Prefixe bekommen
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@altmetaller said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
Übrigens: Schön, dass man hier seine eigene Meinung sagen kann ohne dass es gleich in einen Zickenkrieg ausartet ;-)
Wichtigstes Zitat. Und ein schönes dazu. Bei allen unterschiedlichen Meinungen und Einsatzzwecken: immer anständig und freundlich bleiben
-
@jegr said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:
Man kann auch einfach das ULA mit FDxy:: manuell als VIP auf dem Interface platzieren wo man es haben will. Und einfach statische Adressen vergeben,
Statische Adressen auf den einzelnen Hosts oder auch als VIP, mit denen ich mich noch nicht praktisch auseinandergesetzt habe?
