PFSense Anfänger benötigt Hilfe bezüglich IPV6…



  • Hallo an alle Forumnutzer,

    sicherlich kann mir hier jemand weiterhelfen.
    Versuche seit Tagen folgende Konstellation (mit IPV6) ans Laufen zu bekommen, bleibe aber immer wieder hängen.

    Dual Wan Zugang zur Telekom über 2 Fritzboxen 7490 inkl. Telefonie und jeweils ISDN Anlagen Agfeo (funktioniert alles gut…).
    Nach den FB´s kommt PFSenese Version 2.2 FreeBSD 10.1-p4.
    4x WAN ...(darunter 2x FB) ... zuzüglich 2x Kundennetzwerke welche über WLAN erreicht werden. (funktioniert auch alles prima...)
    Hinter PFSense liegt mein Lan (192.168.X.X/24) mit keinerlei speziellen Dingen.
    Im Lan ein DC (2008 R2 Server) sowie ein Server 2012 Standard mit Exchange 2013. OWA per Doppel Nat über FB´s und Pfsense funktioniert. 
    Einige Firewall Rules bezüglich Limiter und LoadBalancing und Policy Routing. (bis hierher mit IPV4 alles völlig OK!!)

    Ich wollte mich mal an IPV6 heranarbeiten.

    Auf einer FB (WAN1) IPV6 aktiviert, im Heimnetz (FB) DHCPV6 DNS-Server, IA_PD und IA_NA zuweisen aktiviert.
    Von den Teletappies bekomme ich ein Präfix: 2003::51:X:X::/56 zurück.
    Soweit so gut.
    Auf der PFSense System/Advanced/Networking: Allow IPV6.
    Interfaces/WAN1/IPv6 Configuration: DHCP6.
    Interfaces/WAN1/DHCP6 Client Configuration: DHCPv6 Prefix Delegation Size: was muss ich hier eintragen??
    Trage ich /56 ein ( wie von der Telekom gemeldet geht gar nichts), trage ich /64 ein bekomme ich nur DNS-Server an internen Clients gemeldet,
    trage ich /62 ein bekomme ich eine v6IP (aber gefühlt wir alles sehr langsam. Was muss da hin?
    Interfaces/WAN1/Private Networks: Block bogon Networks aus (hatte ich irgendwo gelesen, macht wohl Ärger, also aus.)
    Interfaces/LAN/IPv6 Configuration: Track Interface.
    Interfaces/LAN/TrackIPv6 Interface: WAN1.

    PFSense Neustart !!!

    Nach dem Neustart erhalte ich an WAN1 und an LAN eine v6IP, nur die Clients funktionieren nicht wirklich, meine Vermutung ist 
    der "DHCPv6 Prefix Delegation size".
    Was muss ich bei Telekom Magenta M (50Mbit VDSL-Vectoring) mit gemeldetem
    Präfix: 2003::::::/56(in der Fritzbox) auf der PFSense eingetragen werden?

    Ich bitte mal einen Profi dies mitzuteilen, denn ich konnte nirgendwo eine korrekte Angabe diesbezüglich finden.

    Mit bestem Dank vorab…....


  • LAYER 8 Moderator

    Interfaces/WAN1/DHCP6 Client Configuration: DHCPv6 Prefix Delegation Size: was muss ich hier eintragen??
    Je nachdem was die FB delegiert. Wenn mich nicht alles täuscht ist die DS der Fritzen /60.

    Damit aber auch Clients sauber funktionieren, solltest du intern auf dem LAN dann auch noch den DHCP6 aktivieren und dort einstellen, welchen Modus du verwenden willst (nur SLAAC, SLAAC mit Zusatz durch DHCP6 für NTP etc. oder nur DHCP6).

    Grüße



  • Hallo JeGr,

    Danke für die Rückmeldung, habe /60 im WAN1 hinterlegt. Funzt derzeit….

    Zu deiner Anmerkung DHCP6 im LAN zu aktivieren: da die Lease Verwaltung in der Fritte nicht nachvollziehbar und damit auch undurchsichtig wird, hast du wahrlich Recht!

    Bezüglich meiner bisher geführten Policy Routen (IPv4) muss ich wohl sowieso meine Rules in der Firewall bezüglich IPv6 alle ergänzen.
    Da ich aber bei DHCP Vergabe der Fritte keinerlei Zugriff oder Muster habe, kann ich auch keine IP gebundenen Routen vergeben.
    Somit muss ich den DHCP6 auf dem Lan aktivieren.
    Kann ich dies obgleich auf dem internen Netz ein DHCP4 bereits im DC läuft?
    Wenn ja, muss ich der PFSense eine statische v6IP zuweisen, oder?
    Entschuldige meine nun kommende vielleicht doofe Frage :-[, aber was passiert dann, wenn sich das Präfix von Seiten der Fritte ändert?
    Funktioniert das Ganze dann noch?

    Grüße


  • LAYER 8 Moderator

    Zu deiner Anmerkung DHCP6 im LAN zu aktivieren: da die Lease Verwaltung in der Fritte nicht nachvollziehbar und damit auch undurchsichtig wird, hast du wahrlich Recht!

    Die FB sollte eigentlich keine Leases vergeben für Netze die sie per RA und Delegation weitergegeben hat. Das wäre sonst ja kontraproduktiv.

    Da ich aber bei DHCP Vergabe der Fritte keinerlei Zugriff oder Muster habe, kann ich auch keine IP gebundenen Routen vergeben.

    Die FB kann leider eh keinerlei IPv6 Routen setzen. Das ist sehr störend, wenn man bspw. selbst manuell das Routing übernehmen möchte um Netze sinnvoll zu segmentieren. Lässt die Hardware aber leider nicht zu grummel

    Somit muss ich den DHCP6 auf dem Lan aktivieren.

    Musst du nicht zwangsläufig, wäre aber unterstützend sinnvoll

    Kann ich dies obgleich auf dem internen Netz ein DHCP4 bereits im DC läuft?

    Technisch gesehen sollte das gehen, besser wäre es noch, wenn der DC an der Stelle kein IPv6 machen würde bzw. dessen DHCP auf v6 nicht antwortet, dann wäre es kein Problem. Wenn du aber eh schon einen Windows DC hast der DHCP macht, wäre es vielleicht sinnvoll, wenn dieser den Job mitmacht (sofern er es sauber kann)

    Wenn ja, muss ich der PFSense eine statische v6IP zuweisen, oder?

    Nicht zwingend, aber wir kommen da zu einem großen Pferdefuß. Die pfSense trackt ja das WAN Interface und bekommt somit Routing und Netz-Änderungen mit und passt sich an. Soviel auch zu der Frage wenn sich das Prefix ändert. Die pfSense würde sich anpassen.

    Entschuldige meine nun kommende vielleicht doofe Frage :-[, aber was passiert dann, wenn sich das Präfix von Seiten der Fritte ändert?

    DAS ist aber die 1.000.000€ Frage und die Antwort ist: Mist. Es ist mir unverständlich, dass eine neue Technik wie IPv6 immer noch so stumpf und dumpf behandelt wird wie IPv4 mit dem Gusto "läuft ja" (irgendwie). Das Problem ist: selbst wenn die pfSense die Änderung der Prefixes mitbekommt, dann adressiert sie das an alle Clients intern. Die bekommen dann per RA mit "oh Prefix geändert, passen wir mal an". Die alten IPs laufen dann meist noch etwas weiter, werden aber irgendwann disabled. Haben dann noch nicht alle Clients intern neue Prefix Adressen, kann es zu Kommunikationsausfällen kommen. Meistens nicht, da man für sein lokales Segment noch die fe* Adressen hat und die mitnutzen kann. Aber ich hatte schon Kollegen die vor Frust den Telekom/Kabel/sonstwas Router an die Wand geworfen hätten, weil Ihnen während eines vom eigenen internen NAS gestreamten Films während der Wiedergabe das Prefix geändert wurde und plötzlich der Film abgebrochen ist (weil die alten v6 Adressen ungültig wurden). Dieses dämliche IP-Adressen-rotieren (und jetzt Prefix-rotieren) der ISPs macht den gesamten Routingvorteil von IPv6 leider zunichte.

    Deshalb haben die meisten Kollegen, die sich damit beschäftigen inzwischen über Tunnelbroker oder andere Services ein statisches IPv6 Netz besorgt, mit dem Sie intern wieder ganz normal arbeiten können. Wenn du also nur mit Clients von deinem LAN aus ins WAN möchtest, wird das alles nicht so sehr ein Problem sein, wenn du aber richtig mit v6 arbeiten oder darauf umstellen willst (was durchaus Sinn machen würde), dann sollte man sich eher umsehen, ob man vllt. ein statisches v6 Prefix bekommt.

    Grüße



  • Hallo JeGr,

    ich habe auf dein Anraten (wofür ich mich sehr bedanke, da ausführlich erklärt) mittels HE.net einen Tunnel aufgebaut und v6 IP´s bezogen.
    Es ließ sich alles recht einfach installiern und bei Hurricane Electric kann man sich innerhalb weniger Minuten anmelden.
    Mir wurde ein Prefix zugewiesen welches in der Pfsense hinterlegt wird und es wird per dyndns Dienst von Hurricane
    direkt upgedated nach IP Wechsel. Auch dies funktionierte.

    ABER:…... jegliche SSL und Zertifikate von meinem Exchangeserver (im LAN) funkionieren nicht mehr sowie ich IPv6 aktiviere.
    Sowie ich auch nur IPv6 auf einem Client aktiviere, ist die Kommunikation mit meinem Exchange beendet.

    .....und nun benötige ich wieder deine Hilfe.

    Bevor ich mich erneut mit der Zertifikatsgeschichte in Verbindung mit IPv6 ausseinandersetze um die Problematik zu verstehen,
    überzeuge mich bitte von Vorteilen von IPv6 gegenüber v4. Bis hier und heute finde ich eigentlich nur Nachteile !!!!

    Ich erkenne derzeit keinen wirklichen Sinn in der kompletten Umstellung unserer OWA-Zugänge Zertifikate u.s.w.

    Bitte gib mir einen überzeugenden Anreiz mich mit dem Zertifikatsmist wieder auseinander setzen zu müssen, sonst
    stirbt die IPv6 Umstellugn in diesem Moment….....

    Bin gespannt auf deine Antwort…...

    Grüße


  • LAYER 8 Moderator

    Hallo,

    Bevor ich mich erneut mit der Zertifikatsgeschichte in Verbindung mit IPv6 ausseinandersetze um die Problematik zu verstehen,
    überzeuge mich bitte von Vorteilen von IPv6 gegenüber v4. Bis hier und heute finde ich eigentlich nur Nachteile !!!!

    das ist eigentlich überhaupt nicht meine Aufgabe, dich von irgendwas zu überzeugen. Ich sage nur - wie an anderen Stellen schon mehrfach - dass man das Problem nicht mehr länger wegdrücken, ignorieren und sich die Ohren "zuhalten und Lala" singen kann. Denn die IPv4 Adressen sind durch. Da kommen keine mehr. Und auch wenn man mit Druckverband und HerzOP versucht ums verrecken den alten Mist am Leben zu halten (DSlight/IPlight Anschlüsse etc. etc.) sieht man an vielen Enden eben schon, dass es nicht klappt. IPv6 kommt. Das wurde viele Jahre schon gesagt, aber alle haben genau obiges gemacht: es weg geschoben. In den letzten 1-2 Jahren ist es nun explodiert (siehe Kabel Internet Anbieter etc.) und jetzt muss man sich damit herumschlagen, anstatt es über eine gewisse Zeit ordentlich auszublenden.

    Natürlich kannst du das "sterben lassen". Dann wird eben auch bei dir die Zeit kommen, wo der Hammer fällt und es JETZT sein muss. Und dann meistens unter Druck und innerhalb weniger Tage.

    Dazu kommt:

    ABER:…... jegliche SSL und Zertifikate von meinem Exchangeserver (im LAN) funkionieren nicht mehr sowie ich IPv6 aktiviere.

    DAS hat lediglich Randerscheinungs-mäßig mit IPv6 zu tun und ist m.M.n. kein Problem von IPv6, sondern eben von MS, Exchange und dem häßlichen Zertifikatshandling bzw. dem Ding, was ein Webserver sein möchte und sich IIS nennt. Da müssen dann eben die Bindings an IPv6 von IIS Stimmen, der Exchange muss sich logischerweise auch auf v6 Adressen binden, der DNS muss ordentlich eingerichtet sein, bzw. das AD um die v6 Adressen ergänzt und so weiter.
    Das muss man sich bei Server(n) vorher ansehen und abschätzen und nachlesen, was wo überall eingestellt werden muss. Da ich nichts sonst mit MS Servern zu tun habe ( <deity>sei Dank), kann ich da wenig zu sagen.

    Nur: Zertifikate machen NICHTS anderes, als DNS Namen abzusichern. Und wenn nach Aktivierung von v6 deine Zertifikate nicht mehr gehen, hat das sicher nicht damit zu tun, dass der Server jetzt ne v6 Adresse hat, denn wenn DNS etc. alles passt, muss der v6 only Client bspw. auch danach deinen Server mit "exchange.domain.tld" erreichen können und eine saubere HTTPS Seite angezeigt bekommen. Und wenn nicht, klemmt es im IIS, Exchange oder ggf. auch dem DNS.

    Die Probleme aber jetzt völlig auf v6 abzuwälzen halte ich für verkehrt. Aber wenn dich das dazu bringt, das "Projekt v6" wieder einzumotten, so sei es denn. Wie gesagt, ich bin nicht der v6 Papst, der predigt, dass jetzt alle v6 machen müssen ;) ich sage nur, dass wir 2015 haben, alle v4 Adressen aufgebraucht und die ersten dickeren Probleme mit v6->v4 Wandlern bereits bestehen. Kann man recht gut sehen an Wochentagen, an denen viel los ist (Traffic/User mäßig), ist bspw. bei KabelDeutschland dank DSlight, v6->v4 IP Family Translation Hardware und CGN (carrier grade NAT) es gern mal der Fall, dass aufgerufene v4 Adressen nicht komplett/vollständig/gar nicht/unvollständig ausgeliefert werden. Warum? CGN + IPFT Hardware ist teure Spezialhardware und jeder ISP kauft nur das was unbedingt nötig ist. Kommt es dann zu Lastspitzen, dann haben eben einige viele Kunden Pech und bekommen über das v4->v6 Gefrickel nur die halbe (oder gar keine) Seite (oder langsam) ausgeliefert, weil das CGN Gate überlastet ist. Hat das Ziel selbst v6 am Start und kann darüber Antworten ist alles gut, aber wie viele Hoster etc. haben bereits v6 für Kunden ausgerollt? Zu wenig. Warum? Nutzt ja keiner (Kunde). Warum nutzt es der Kunde nicht? Weil ISPs das lange verpennt haben und dann mit halbgaren Techniken wie Prefix Rotation ums Eck kommen, die mehr Ärger machen als Sinn. Weil es mehr Ärger macht, wollen es die Kunden nicht, ergo sind wir wieder beim Henne Ei Problem. Bis einer weint. Oder Geld verliert. Oder beides. :)

    Inzwischen tut sich wenigstens auf Hosting Seite einiges, denn dort haben die Leute jetzt gehört: wir können Geld verlieren. Weil unsere Webseiten/Shops vielleicht nicht mehr sauber ausgeliefert werden an Endkunden, die sich mit IPv6light Anschlüssen rumschlagen müssen (und das sind einige). Also rüstet man jetzt endlich v6 auf Serverseite nach, damit die Kunden dann wenigstens die Chance haben, Angebote auch DualStacked zu nutzen. Müssen nur die ISPs - und danach die Kunden - alles auf die Reihe bekommen...

    Das meine - etwas ausführlichere - Antwort nach meinen bisherigen Erlebnissen auf v6 Tagungen und aus dem Hoster-Alltag heraus. Wie du siehst steht da nirgends "warum du das musst". Denn das liegt nicht in meinem Aufgabengebiet. Entweder du machst es / oder musst es machen - dann beiß dich durch und kneif nicht beim ersten Problem - es wird eher noch spannender... ;)
    Oder lass es, aber sei dir bewusst, dich oder jemand anderen bei euch wird es eher früher als später treffen es doch zu machen. Dann ist es vielleicht nicht mehr dein Problem ;) aber kommen wird es.

    Oh und BTW: Mein Netz zu Hause läuft mit einem HE.net Tunnel. Alle Geräte die wollen generieren sich per SLAAC automatisch v6 Adressen und rotieren die und erhalten via DHCPv6 NTP etc. zusätzlich. Und meine Server und NAS haben fixe Adressen. Und deren Zertifikate o.ä. haben auf Anhieb funktioniert. Ist vielleicht ein unfairer Vergleich, so ein NAS oder einen ESX gegen den IIS/Exchange/AD, aber damit sage ich nur, es hat nichts grundsätzliches mit IPv6 zu tun. Das kann auch ganz einfach ablaufen. Das Sinnvollste wäre eh, wenn du einen neuen Netzbereich/VLAN aufmachst, wo du Geräte reinsetzt, die ggf. DualStack bekommen oder nur noch v6 (je nach Anforderung). Und trennt die Server ab in ein eigenes Segment, wo dann DualStack gesprochen wird v4/v6. Dann kann man sehr schön einen Client nach dem anderen anpacken und den entweder DS oder v6only verpassen.

    Grüße
    Jens</deity>



  • Hallo Jens,

    natürlich hat du Recht was die Zukunft betrifft. Und ich denke in meinem Fall lässt sich das auch irgendwie regeln.
    Primär müsste ich mich mit dem DNS-Server befassen um die Anfragen an meinen Exchange "im Haus" zu behalten.
    Ich denke die Problematik liegt dort verborgen, da ich keinerlei Änderungen am DNS- durchgeführt hatte.
    Das die Zertifikate primär nicht das Problem sind war mir fast klar, nur hätte ich nicht gedacht, dass alle Microsoft-
    systeme (sowie sie IPv6 auch nur riechen) sofort (und auch nur noch) darüber arbeiten. Wie erwähnt meckerten alle
    unserer (Test-) Rechner im Netz nach Aktivierung von IPv6, dass keine Verbindung zum Exchange mehr besteht, bzw.
    dass das Zertifikat hinfällig ist. Was natürlich völliger Unsinn ist, da die IPv4 Verbindungen ja weiterhin bestehen.
    Nur sucht offensichtlich gleich alles per IPv6 nach meinem Exchange, welcher zwar v6 auch aktiviert hatte, aber
    es stellt sich die Frage nach Port´s u.s.w. wenn per IPv6 gearbeitet werden soll, desweiteren muss der DNS wissen
    wo der Exchange zu finden ist. Das kann ich nachvollziehen.

    Ich bin super froh über deine kompetenten Aussagen zu der Technik in sich, ich wollte nicht gezwungen werden umzusteigen.
    Ich sehe aber wirklich derzeit nur wenig Sinn (keine Vorteile !!!) in der Bewältigung der Aufgaben. Da ich aber ein ziemlich
    neugieriger Mensch bin, werde ich mich natürlich mal mit meinem DC auseinander setzen und zusehen das ich das AD
    und Exchange Anfragen nicht per FB in die Welt jage. Dann sollte das auch funktionieren, denke ich…..

    ...sollte ich wieder an eine Grenze stossen und nicht weiter wissen, werde ich mich erneut melden.....

    Mit fettem Dank, un freundlichem Gruß

    Uli Naumann

    Nachtrag:

    nachdem ich letzte Nacht mit Routing und DNS gekämpft habe läuft nun einiges halbwegs parallel (aber nur halbwegs).
    Ich muss immer wieder bestimmten Rechnern den Zugang per v6 verbieten, da sonst das AD oder Zugangsfehler zum IIS auftreten.
    Einige PC-User werden ab und an (unterschiedlich) plötzlich nach Zugangsdaten an den Exchange gefragt, kann dort eingeben
    was ich will (es kommt immer die Rückmeldung Zugangsdaten wären falsch). Verbiete ich v6 läuft alles glatt.
    Irgendwie kommt mir das Ganze noch sehr instabil vor. Daher rührt wohl auch die Unwilligkeit vieler Kollegen.
    Wir haben gerade mal ca. 20 PC´s in der Domäne, davon bekomme ich 7 rund ans Laufen. Der Rest spakt nur rum…..



  • Hallo an Alle….

    Ich benötige nochmal dringend Hilfe, da mich das Thema nicht loslässt.
    Nachdem ich mir heftigste Probleme verursacht habe will ich nun die wirkliche Lösung!
    Ich bekomme trotz Durcharbeitung des "Using IPv6 with Tunnel Broker" keine wirkliche eigenständige IPv6 Verbindung hin.
    Ich bekomme für alle internen Rechner eine IPv6 zugewiesen durch den Tunnel, test-ipv6 meldet aber dass ein Proxy läuft.
    Das ist ja richtig, ABER:
    Schalte ich an einem internen PC das IPv4 ab, ist es vorbei mit Internet.
    Kann dies an dem Proxy auf der PFSense liegen? Squid......
    Was mache ich falsch? Mache ich einen Denkfehler??? Funktioniert IPv6 noch gar nicht eigenständig????
    Versuche ich an einem PC mit aktiviertem IPv4 und 6 Microsoft Updates zu durchsuchen, sucht der PC ewig.
    Irgendwo ist dort noch ein Fehler.......

    Kann mir bitte jemand einen Tipp geben?

    Grüße und dicker Dank vorab......


  • LAYER 8 Moderator

    Was mache ich falsch? Mache ich einen Denkfehler??? Funktioniert IPv6 noch gar nicht eigenständig????

    Doch, eigenständig schon. Mit allen Anbietern, die v6 Adressen für ihre Systeme nutzen. Da gibt es leider noch nicht so viele, wie mir lieb wäre. Deshalb raten da viele auch zu anfänglichem DualStack Betrieb (v4/v6) oder/und dazu, entsprechende Dienste extern via Proxies verfügbar zu machen (also quasi selbst ein v4->v6 Gateway zu bauen). Hierfür geht Squid sicher für die meisten Web-Dienste, sollte allerdings was anderes als HTTP/HTTPS benötigt werden, wirst du entsprechend andere Proxies oder Connectoren brauchen (SOCKS fällt da ins Auge). IPv6 only zu nutzen ist daher momentan nur mit etwas Aufwand möglich, da man abwägen muss, was die User benötigen um das bereitstellen zu können.

    Wenn du v4 am Client komplett abschaltest, muss natürlich der Proxy auch via v6 erreichbar sein und funktionieren, ansonsten wirst du nur bspw. Google oder Facebook über deren v6 Adressen aufrufen können.

    Gruß


Log in to reply