HE.net Tunnel hinter Fritzbox 6360 Probleme



  • Hallo zusammen. Im Prinzip bin ich ein zufriedener Unitymedia (NRW) kunde, bin sogar noch im Genuss vom echten DUAL-Stack und bekomme ein /56 er IPV6 Netz. Das ist auch aller sehr schön, allerdings schaffe ich es nicht dieses vernünftig in die pfSense (PCengines APU.1C) die hinter der Box sitzt einzurichten. Habe dort alles mögliche versucht und nur eine Lösung gefunden, die meinem Netzwerk allerdings nicht gut tut und auch nicht das gelbe vom Ei ist.

    Kommen wir aber nun zum Problem. Ich habe bereits ein HE.net Netz in einem Server im RZ am laufen, weil ich dort das native /64er Netz nicht ins Lan bekomme. Habe es nach Anleitung eingerichtet, funktioniert auch ohne Probleme. Ping geht ebenfalls und komme auch von außen auf die IPs.
    Habe dann auf die gleiche Weise zu Hause versucht das Netz einzurichten, allerdings geht es dort nicht. Im Gateway wird immer 100% packet loss angezeigt und ping funktioniert ebenfalls nicht. Hat jemand von euch das hinter einer Fritzbox schon richtig zum laufen bekommen? Vielleicht habe ich ja auch nur eine Kleinigkeit übersehen.


  • Moderator

    Es gibt für die pfSense ein recht einfaches Tutorial für HE Tunnel. Hast du dieses als Vorlage genommen?

    Ich habe meine so eingerichtet und keinerlei Probleme. Wichtig ist, dass das Gateway entsprechend mit DYNAMIC konfiguriert und keine IP auf dem IF definiert wird, wie es im Howto steht.

    -> https://doc.pfsense.org/index.php/Using_IPv6_on_2.1_with_a_Tunnel_Broker



  • Ja, bin nach der Anleitung vorgegangen.
    Wie ich schon sagte, in der Colo hat es ohne Probleme funktionieert. Das Gleiche zu Hause geht nicht. Hast du in deiner Fritzbox (habe eine 6360) noch was besonderes eingestellt? Die pfSense ist als Exposed Host eingerichtet und eh das einzige, was in der Box steckt. Habe schon überlegt ob es am NAT liegt, weil die pfSense ja keine Public IP hat, sondern nur ne private von der Box. Aber bei dir und Anderen scheint das ja auch keine Probleme zu bereiten.


  • Moderator

    Bist du bereits auf 2.1.3?`Ich hatte das Phänomen bei 2.1 auch noch, dass das Tunnel Gateway nicht gefunden wurde, solange wie in der Doku beschrieben das gif Interface keine IP zugeordnet hatte. Ich hatte dann manuell die IP vom Netz von HE.NET vergeben und dann lief es. Mit 2.1.3 ging es dann wieder nicht mehr - kein Traffic - und ich habe das komplette Interface und Setup nochmals gelöscht und neu aufgebaut - nach Anleitung - und es lief dann auf Anhieb.

    Grüße



  • Habe 2.1.3. Ich werde es einmal löschen und wieder erstellen.

    UPDATE: Neu eingerichtet und nun hab ich nur "pending" "pending" "unknown" … hm komisch


  • Moderator

    Hat sich das Pending in der Zwischenzeit aufgelöst?

    Ansonsten vielleicht mal zum Vergleich die Screens posten wie die eingerichtet sind?

    Grüße



  • Auch bei 2.1.4 noch tote Hose.









  • Moderator

    Oookay…

    Ich kann zwar die ganze IP bei der GIF Konfiguration nicht lesen, aber das stimmt auf keinen Fall. Da muss der Endpoint von local (meist ::2) rein und die remote address ist aus dem GLEICHE Netz meist die ::1 und /64, nicht /128.
    Und auf dem LAN dann natürlich das zugewiesene /64er auflegen, das dann NICHT das gleiche ist, wie in der GIF Konfiguration ;)

    Könnte das schon das Problem sein? Die GIF Konfig?



  • Nein daran liegt es nicht, die /128 war nen Test. Hatte vorher /64 und es ging auch nicht (nur vergessen es wieder zu ändern).
    Ist laut pfSense Doc auch egal

    Note that you can use either 128 or 64 for the prefix lengh. Some people have had issues with /64, some have issues with /128, but in most cases, either should work. If you have trouble with one, try the other, but be sure to match it up with the config you use below.
    After some fixes on pfSense 2.1.1, whatever prefix length you choose for IPv6 tunnel, it will ignore it and set prefix length as 128 since it is the only valid option for point-to-point IPv6 tunnel configuration.

    Beim GIF ist auch alles wie in dem Doc eingerichtet:

    The HE or Sixxs "Server IPv4 address" goes into the "gif remote address"
        The HE or Sixxs "Client IPv6 address" goes into the "gif tunnel local address"
        The HE or Sixxs "Server IPv6 address" goes into the "gif tunnel remote address"

    Auf dem Lan ist das zugewiesene /48er eingestellt.


  • Moderator

    Hmm OK, dann werde ich mal versuchen morgen oder am WE die Screenshots nochmal genau mit meinem Setup zu vergleichen. Wäre ja gelacht, wenn wir den Wurm nicht finden :)


  • Moderator

    Steht das Problem immer noch?



  • Ja, hat sich nichts daran geändert.


  • Moderator

    Neu Aufsetzen war auch keine Option?



  • Guten Tag,

    er letzte Post ist ein wenig her. Aber ich will trotzdem mein Senf kurz dazu geben.

    Ich hatte das gleiche bzw. ähnliches Problem, allerding mit einem anderen Firewallhersteller, das kein 6in4 Tunnel zustande kam.

    Die Ursache meines Problems war die Fritzbox. Die hat IP Protokoll 41 Pakete abgefangen.
    Nach dem ich die IPv6 Unterstützung auf der Fritzbox deaktiviert hatte, funktionierte alles wie gewollt.

    Vielleicht hilf's, vielleicht auch nicht.