Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar
-
Hallo zusammen,
durch einen Umzug sind wir gezwungen, temporär statt Glasfaser mit statischer IPv4 auf ein LTE Modem zu wechseln.
Um parallel auch Zugang via OpenVPN zu ermöglichen, haben wir bereits eine statische IPv6 zur LTE Karte bei der Telekom bestellt und erhalten.
IPv6 ist auch funktionsfähig, das wurde sichergestellt, indem das Modem direkt am Laptop angeschlossen wurde. und nochmals über test-ipv6.com validiert.Sobald die pfSense aber dazwischenhängt, ist IPv6 Geschichte.
Nach zig Versuchen, Gateway und Interfaces entsprechend zu konfigurieren, bin ich nun hier gelandet.Leider weiß ich nicht, welche Angaben hilfreich sind, daher gerne viele Rückfragen stellen.
Aktuelle Rahmenbedingungen:WAN (4G Modem (Netgear Nighthawk M1)) <-> ETH3 an Netgate 7100 pfSense (v 23.05.1-RELEASE (amd64)) <-> LAN/intranet
Bislang habe ich versucht, auf Interfaceseite sowohl statische v6 und DHCP6 zu nutzen - jeweils ohne Erfolg.
Tausend Dank für jeden Hinweis!
-
Das Modem ist doch hier ein Router oder?
Wo ist die Publicv4 auf der PF oder ist hier eine RFC1918 in Verwendung.
Wenn ja, liegt auch auf dem die IPv6 an und geht gar nicht zur PF.
Dann geht es auch hier mit NAT los, da du das sonst nicht zu PF bekommst. -
@NOCling
Aktuell ist das WAN interface der PF so eingestellt, die IP per DHCP zu beziehen, also RFC - die public v4 liegt auf dem Router.
Ebenso die v6 war u.a. so eingestellt, dass sie per DHCP6 hätte bezogen werden sollen.
Das ist also problematisch? -
Da hierbei die öffentlichen Adressen auf dem Modem/Netgear liegen.
So lange du kein IPv6 Subnetz anfordern kannst über DHCPv6 Prefix Delegation, hast du hier ein Problem.
Zudem musst du die PF als exposed Host hinterlegen, damit überhaupt etwas von WAN Seite an diese weitergeleitet wird. -
@NOCling Ok, danke soweit schonmal. Dann muss ich als erstes checken was der LTE Router überhaupt an Konfiguration zulässt - ich denke die Konfiguration innerhalb der PF sollte damit vorerst klar sein...
-
@sven_apsware said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Dann muss ich als erstes checken was der LTE Router überhaupt an Konfiguration zulässt
Vielleicht hilft Dir das hier (https://docs.opnsense.org/manual/how-tos/ipv6_fb.html) weiter.
Geht zwar um eine OPNsense hinter einer Fritzbox, aber die grundsätzliche Problematik ist identisch. Ich hatte meine pfsense kurzzeitig hinter einer FB. Mit genau der Beschreibung habe ich das hinbekommen.
Normal betreibe ich die pfsense aber hinter einem Modem (Vigor 167). Das Vigor 167 kennt auch einen Router-Modus. Der Router-Modus kennt aber nicht die erforderlichen Einstellungsoptionen zur Unterstützung von Prefix-Delegation.
Somit kann es gut sein, dass das von dir genutze LTE-Roter-Modem diese Optionen auch nicht kennt.
-
@sven_apsware said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
was der LTE Router überhaupt an Konfiguration zulässt
Noch eine spontane Idee.
es gibt doch (zugegeben nicht gnz bilige) FritzBoxen, die auch ein LTE-, manche sogar ein 5G-Modem integriert haben. Bei dir geht es ja mutmaßlich um ein Firmennetzwerk und der OpenVPN-Zugang wird daher dringend benötigt.Also viellecht ist es dann eine Erwägung wert so eine LTE-, oder 5G-FritzBox zu kaufen, falls das mit dem von der Telekom bereitgestellten Modem nicht klappt.
-
@eagle61 Das war ein guter Hinweis, der kleine Router kann v6 nach innen nicht weiterleiten.
Haben nun ein einfaches LTE Gateway bestellt, die Routerfunktionialitäten brauchen wir ja auch überhaupt nicht. -
@sven_apsware said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Um parallel auch Zugang via OpenVPN zu ermöglichen, haben wir bereits eine statische IPv6 zur LTE Karte bei der Telekom bestellt und erhalten.
IPv6 ist auch funktionsfähig, das wurde sichergestelltIch wollte nochmal kurz an der Stelle nachhaken: das klingt aber so, als hätte die LTE Karte dann keine (echte) v4. Korrekt? Funktioniert dann das gewünschte OpenVPN Konstrukt überhaupt? Ihr wechselt hier von IPv4 Glas auf LTE mit v6 und OpenVPN soll trotzdem funktionieren. Das würde aber voraussetzen, dass alle Teilnehmer, die OpenVPN nutzen, auch an ihrem Platz zu Hause oder mobil dann IPv6 sauber laufen haben, sonst ist das ja alles vergebene Liebesmüh' da die Verbindung dann nie zustande kommen wird?
Cheers
\jens -
@JeGr said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Das würde aber voraussetzen, dass alle Teilnehmer, die OpenVPN nutzen, auch an ihrem Platz zu Hause oder mobil dann IPv6 sauber laufen haben
DIe Frage ist doch eher, wer im Jahr 2024 zu Hause oder mobil kein IPv6 laufen hat. Jede halbwegs aktuelle FritzBox stellt heute doch IPv6 standardmäßig bereit. Das Problem ist doch heute eher, dass viele ISP (viele Kabelinterntprovider, manche Glasfaseranbieter, 1&1 und viele mehr) kein IPv4 mehr bereitstellen. Da gibt es dann sauber IPv6 aber nur noch CGNAT oder DS-Lite, also kein echtes IPv4 mehr.
Darum werden bei mir die Wiregard-Tunnel zwischen FritzBoxen und pfsense nur noch über IPv6 aufgebaut. Die Subdomain über die das läuft hat gar keinen A-Record mehr, nur noch einen AAAA-Record. Innerhalb des Tunnels hab ich dann trotzdem noch IPv4-Trafic.
Lediglich die Tunnel für mobile Endgeräte können auch noch über einen A-Record erreicht werden. Für den Fall, dass die mal in einem Hotel-WIFI sind, das wirklich nur IPv4 kann.
Und auch mobil unterstützen doch alle deutschen Mobilfunknetzbetreiber inzwischen sauber IPv6, Egal ob Magenta-T, Vodafone, o2 oder neuerdings 1&1.
-
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
DIe Frage ist doch eher, wer im Jahr 2024 zu Hause oder mobil kein IPv6 laufen hat.
Genügend Menschen. Z.B. welche, die gern eine feste v4 Adresse haben, aber mit Vodafone als ISP geschlagen sind. Dort gibts nämlich bei fixer IP4 kein IPv6 mehr. Egal was man will. Egal wen man fragt. Business v4 Anschluß - man bekommt kein v6 mehr. Fertig.
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Das Problem ist doch heute eher, dass viele ISP (viele Kabelinterntprovider, manche Glasfaseranbieter, 1&1 und viele mehr) kein IPv4 mehr bereitstellen.
Das kann ein Problem sein oder auch nicht. Viel mehr ist da ständige "dynamische" Neuvergabe von IPs und Prefixen ein Problem. Gerade bei v6.
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Da gibt es dann sauber IPv6 aber nur noch CGNAT oder DS-Lite, also kein echtes IPv4 mehr.
Ja, schön. Wenn man aber von Firmenanschlüssen spricht, sind das oft Business ISP Connects und gerade DA hast du eben vielfach noch v4 aber eben KEIN v6. Siehe Vodafone oben. Und da kannst du machen was du willst. Nur weil man VF nicht mag, spawnen dann leider keine anderen Anbieter aus dem Boden, die einen statt dessen versorgen können. Daher will man eigentlich als Einwählpunkt für sowas wie VPN genau nicht eine einzelne IP Family haben, sondern DualStack. Die ISPs lassen sich aber leider oft nicht so gern dazu herab, sauberes DualStack mit fixen Adressen/Prefixen zu vergeben.
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Lediglich die Tunnel für mobile Endgeräte können auch noch über einen A-Record erreicht werden. Für den Fall, dass die mal in einem Hotel-WIFI sind, das wirklich nur IPv4 kann.
Auch das ist ein Punkt. Wenn ich eben unterwegs bin und in irgendeinem WLAN dann habe ich plötzlich kein VPN mehr, wenn da nur v4 durch läuft.
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Und auch mobil unterstützen doch alle deutschen Mobilfunknetzbetreiber inzwischen sauber IPv6, Egal ob Magenta-T, Vodafone, o2 oder neuerdings 1&1.
Das ja toll! Nur ein Problem: Viele davon machen mit IPv6 Murks, weil sie ständig Prefixe anulieren und neu vergeben. Quasi Neueinwahl wie bei IP4. 1&1/Versatel z.B. immer noch täglich. o2 nicht ganz so oft aber oft genug. Je nach Provider hat man also ständig ne "Neueinwahl" mit vermurkstem Prefix, weil sich nach der Einwahl das neue Prefix erstmal wieder im ganzen Netz via PD verteilen muss. Und wenn man nicht direkt verbunden ist, sondern einen Router vorgeschaltet hat, wird das ein richtiger Clusterf**k. Dann muss der Router dahinter die IP6 Changes mitbekommen, neue Prefixe nutzen, an Geräte weitergeben, etc.
Fixe Prefixkonfiguration gibts dann nicht. Statt dessen bei Prefixänderung ständiges rumgewurschtel an allen Clients, dass sie den korrekten neuen Prefix haben. Wegen dem ganzen dynamischen Mist wird vielfach dann IP6_PD abgeschaltet und intern eben doch nur IP4 gemacht. Was dann darin resultiert, dass Mitarbeiter zu Hause sitzt, sich einwählen will aber sein OpenVPN Client bspw. eben nur ein IP4 Binding hat und kein v6. Egal ob die Sense davor IP6 kann oder nicht. Weil IP6 an den Client zu bringen zu viel Nerven und Zeit kostet und einfach Murks ist, wenn sich ständig die Prefixe ändern.Und genau darum frage ich, ob das überhaupt Sinn macht, einen VPN Endpunkt mit v6 only bereitzustellen. Wenn die Antwort ja weil alle haben v6 etc. ist - hey super, ich freu mich dann echt! Ich weiß, dass es für mich leider nicht klappen würde. Hier wäre v6 die einzige Vollkatastrophe für mich. Außer ich darf mich über meine eigene Sense in die Firma einwählen. Aber vom Client dahinter? Nope, no v6.
Cheers
-
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Und auch mobil unterstützen doch alle deutschen Mobilfunknetzbetreiber inzwischen sauber IPv6, Egal ob Magenta-T, Vodafone, o2 oder neuerdings 1&1.
Korrekt. Aber es gibt billig-Anbieter, die zwar deren Netze nutzen, aber dem Kunden trotzdem nur IPv4 geben. Ich weiß das so genau, weil ich nur 3€ im Monat bezahlen wollte.
-
@Bob-Dig said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
weil ich nur 3€ im Monat bezahlen wollte
WIe sagt man so schön: wer billig kauft kauft offt zweimal
-
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
WIe sagt man so schön:
Nö, ich hab halt nur kein IPv6. Da ich zuhause DualStack habe, ist das auch kein Problem. Dafür kann ich jetzt drei Döner mehr im Jahr essen.
-
@JeGr said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Business v4 Anschluß - man bekommt kein v6 mehr. Fertig.
Ja, ber welcher Mitarbeitende der ab und an mal Homeoffice macht hat denn einen Business-Anschluß bei seinem ISP? 99,5% haben doch irgendeinen Privatkundentarif und davon fast alle entweder eine Speedbox oder eine Fritzbox. Und viele Privatkundentarife sind eben inzwischen welche mit DualStack, DS-Lite oder CGNAT. Kaum aber welche mit IPv4 only und schon gar nicht welche mit fester IPv4-Adresse, denn dafür sind die viel zu knapp und werden nur noch an den AUfpreis zahlende Geschäftkunden vergeben.
Für Außendienstler wiedum geht es doch vor allem darum, dass die von unterwegs, aus dem Auto derm Besprechungsraum beim Kunden, etc. per 5G auf das Firmennetz zugreifen können. Solche Außendienstler haben dann aber bestimmt keinen 3-Euro/Monat-Tarif, der kein IPv6 kennt, wie hier eingewendet wurde.
Beide (ab und an Homeoffice oder Ausßendienst) gemeinsam dürften dafür ein Notbook oder sonstiges Mobilgerät nutzen, in dem die IT-Abteilung das VPN für die fertig konfiguriert hat. Wenn das die VPN-Verbindung via DNS herstellt, also nicht an eine feste IP gebunden, dann kommt es doch bei richtiger konfiguration gar nicht mehr darauf an ob die pfsense, die als VPN-Gateway dient, per IPv4 oder IPv6 erreichbar ist. Ist die pfsense nur per A-Record erreihcbar, wird das genommen, wenn nur per AAAA-Record, dann das und wenn beides möglich ist dann auch meist IPv6.
Wenn ich mir meine Wirguard-Konfiguration an der pfsense ansehe, dann ist es dafür egal, ob die Verbindung mit IPv6 aufgebaut wurde oder nur mit IPv4. Da Wirguard dennoch auch IPv4 Pakete tunnelt und weiterleitet, wenn die Verbindung per Ipv6, also AAAA-Record aufgebaut wurde, kann ich hinter der Wireguard dennoch auch lokale Netzwerksgmente erreichen die IPv4-only sind, bei denen ich die Router Advertisements also Disabled habe, weder SLAAC noch ein DHCPv6-Server genutzt wird.
Ein Problem wird es also nur geben, wenn der Außendienstler mit seinem Notebook oder Tablet im IPv4-only Hotel-WIFI eingeloggt ist und dann die pfsense nur per AAAA-Record zu erreichen ist, oder aber wenn jemand der Homeoffice machen will in seiner Fritzbox oder dem Speedport IPv6 deaktviert hat, was man aber schon bewust machen muss und wer das macht kann es auch wieder ändern. Der Außendienstler wiederum kann dann eben einfach 5G oder LTE nutzen statt des WIFI.
-
@eagle61 said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Ja, ber welcher Mitarbeitende der ab und an mal Homeoffice macht hat denn einen Business-Anschluß bei seinem ISP? 99,5% haben doch irgendeinen Privatkundentarif und davon fast alle entweder eine Speedbox oder eine Fritzbox. Und viele Privatkundentarife sind eben inzwischen welche mit DualStack, DS-Lite oder CGNAT. Kaum aber welche mit IPv4 only und schon gar nicht welche mit fester IPv4-Adresse, denn dafür sind die viel zu knapp und werden nur noch an den Aufpreis zahlende Geschäftkunden vergeben.
Dann lies was ich schrieb. Ich hab nen Anschluß bspw. bei 1&1. Durch deren "wir ändern deine IP und Prefixe jeden Tag und teils sogar mehrfach" Murks kann ich sinnvollen IPv6 Betrieb wegwerfen, weil Prefix sich ständig ändert. Eine saubere public IP6 am Client zu bekommen ist damit annähernd sinnbefreit und nervt wie die Hölle. Ändert sich v4 - ja toll, kurz reconnecten und geht. Ändert sich das Prefix... ja nun. Routerbox davor hat zwar ne neue v6 gibt aber ewig das Prefix nicht weiter, pfSense dahinter bekommt daher nichts mit und ändert das Prefix in den Client Netzen nicht, Client baut sich keine neue v6. So kannst du nicht arbeiten. Das ist alles kaputt.
Solange ISPs es durch diesen ganzen Dynamic-Murks IPv6 noch schwerer machen als es das eh schon hat, hat man ständig nur Probleme auf Kundenseite, was dann durcheskaliert wie eben bei Vodafail die auf Grund von ständig meckernden Kunden im Business Support keine v6 mehr vergeben (als Beispiel).
Das ist doch alles Mist so.Darum ist es eben genau wichtig, sowas wie ein VPN mit Dual Stack zu bauen oder zu berücksichtigen, dass man dann eben umgekehrt die gleichen Probleme wie bei v4 only haben wird: dass eben manche Kollegen sich nicht verbinden können oder Probleme mit der Verbindung haben, weil durch DSlite oder IPFT, CGNAT oder sonstigen Kram die MTU oder die Verbindung zerhauen wird.
Da können wir noch lange drüber diskutieren, ob das nicht toll wäre, wenn einfach alle IPv6 daheim hätten. Solang man wegen Dummfug wie dynamischer IP Vergabe unter Vorwand von irgendwelchen Quatschargumenten immer noch ständig gegängelt wird und Probleme bei der Nutzung hat, wirds nicht besser. Und ich hab im Support genug SOHO Router-Mist, die die Prefix Weitergabe oder Vergabe intern nicht gescheit auf die Kette kriegen weil "nutzt ja eh keiner". Einfach anzunehmen, dass jeder Client eh nen Privatanschluß hat, ergo IPv6 sowieso, ergo wahrscheinlich ne Fritte, ergo am Client v6 hat geht eben in der Praxis überhaupt nicht auf. Ansonsten würden wir bspw. im Hosting (wo wir seit JAHREN Dual Stack fahren für Kunden, die das teils nicht mal wissen) wesentlich mehr Client Traffic in v6 sehen.
Cheers :)
-
Da mein Provider vorgestern aufgrund von einem IPv4 Konflikt nicht mehr in der Lage war meine v4 zu routen, v6 aber weiterhin voll nutz war, kann ich dir stand heute sagen was noch alles funktioniert wenn du nur eine v6 hast.
Netflix, Heise, 2-3 Foren und dann hört es auch schon auf. Nicht mal Wikipedia ist so sauber nutzbar.
Hast du keine v6 aber eine funktionale v4, geht gefühlt das ganze Internet.
Umgekehrt geht auch ende 2024 noch immer so gut wie nix.Du kannst nicht mal was zocken oder runter laden, weil selbst Steam noch die v4 benötigt.
Kurz, du bist mit v6 only auf einer wundervolle tollen aber sehr leeren Insel gefangen und führst fast nur Selbstgespräche. -
Ganz kurzes btt:
Tausend Dank an @JeGr , Retter in der Not :D
Mit zweiter pfSense Instanz auf VPS ist das Problem geshickt umgangen und wir sind happy :) -
@sven_apsware said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:
Ganz kurzes btt:
Tausend Dank an @JeGr , Retter in der Not :D
Mit zweiter pfSense Instanz auf VPS ist das Problem geshickt umgangen und wir sind happy :)Es hat zwar ein wenig gedauert, bis der 'Notruf' auf den richtigen Frequenzen ankam aber wir sind hier wie immer gern eingesprungen und haben geholfen. Und vielleicht können wirs dann demnächst dann wenn die Fasern liegen auch noch ein wenig für den Zukunftsbetrieb besser absichern und ein paar Verbesserungen zusammen vornehmen!
War mir eine Freude
Cheers
\jens