61
Deutsche Glasfaser immer noch IPv6 Probleme
Hallo zusammen,
bei uns hat die Deutsche Glasfaser ganz frisch mitte 2021 ausgebaut und ich habe nun deren CG-Nat Leitung mit 400 Mbit, was gegenüber der 2 Mbit Telekomleitung schon ein gravierender Schritt nach vorne ist.
Aber wo Sonne ist, da ist auch Schatten und das ist das CG-Nat.
Ich habe mir einen VPS gemietet und das Thema fliegt bereits dank Hilfe hier im Forum.
Nun dachte ich, müsste alles tutti sein, da fiel mir auf, dass das Thema IPv6 noch nicht richtig läuft.
Versucht hatte ich zuerst meine pfSense direkt an das schwarze NT zu hängen, was ja eigentlich gehen sollte.
IPv4 und IPv6 über DHCP ein gestellt. Nach einiger Zeit bekam ich eine IPv4 zugewiesen, aber IPv6 kam eigentlich nie.
Auch nicht mit verschiedensten Einstellungen und lange warten.
Das wäre meine liebste Konstellation gewesen, aber nach einem pfSense Neustart mehrere Minuten warten, bis überhaupt eine IP zugewiesen wird? Da ist doch was nicht richtig.
Als Notbehelf habe ich mir eine FritzBox 4040 gekauft. Extra ohne schnickschnack, da ja wirklich nur als Modem davor.
Komischerweise gibts da sofort IPv6 Adressen. Was AVM anders macht weiß ich nicht.
Ich habe die Leitung extra als kundeneigener Router bestellt und selbst bei der pfSense gehen die vlans nicht im Versuch.
Nun bin ich eigentlich der Meinung gewesen, eine IPv6 an der pfSense über die FritzBox anliegen zu haben, jedoch fliegt das nicht.
Die FritzBox bekam ein Präfix und die eigene Adresse. Wenn ich die eigene Adresse direkt als Exposed Host an die pfSense weiterleite, sollte doch darüber sich ein VPN realisieren lassen. Irgendwie geht das aber gar nicht.
Also habe ich den Wireguard Tunnel kontrolliert, den ich auf IPv6 umgestellt hatte. Da fiel mir auf, dass die Telekom IP sich verbunden hat, obwohl der DG Gateway bevorzugt wird. Also läuft das nicht und bevor ich etwas optimieren kann, muss ja erstmal IPv6 laufen.
Ich gebe mal ein paar Bilder, vielleicht findet da ja jemand einen Fehler
Die Fritz hat IPs bezogen, den Exposed Host sieht man
Das Präfix soll als DHCP verteilt werden
Das Interface vom WAN
Die Gateways
Die Schnittstellen in der Übersicht, alles ULA interne
Was läuft also falsch?
Oder was könnte ich unternehmen um die FritzBox gar ganz wegzulassen?
Mein Supermicro e300 hat 2 10G SFP+ LAN ports, werde ich da vielleicht mit einem GPON Modul, wie diesem hier etwas? Ubiquiti GPON
Es heißt immer der DHCP der Glasfaser ist träge und ein Wechsel der Hardware dauert eine Stunde, bis die Lease Time abgelaufen ist. Das wäre ja OK, jedoch fragt doch die pfSense mit der selben MAC wieder beim DHCP an, wie es eine FritzBox auch nicht anders macht
bei uns hat die Deutsche Glasfaser ganz frisch mitte 2021 ausgebaut und ich habe nun deren CG-Nat Leitung mit 400 Mbit, was gegenüber der 2 Mbit Telekomleitung schon ein gravierender Schritt nach vorne ist.
Aber wo Sonne ist, da ist auch Schatten und das ist das CG-Nat.
Ich habe mir einen VPS gemietet und das Thema fliegt bereits dank Hilfe hier im Forum.
Nun dachte ich, müsste alles tutti sein, da fiel mir auf, dass das Thema IPv6 noch nicht richtig läuft.
Versucht hatte ich zuerst meine pfSense direkt an das schwarze NT zu hängen, was ja eigentlich gehen sollte.
IPv4 und IPv6 über DHCP ein gestellt. Nach einiger Zeit bekam ich eine IPv4 zugewiesen, aber IPv6 kam eigentlich nie.
Auch nicht mit verschiedensten Einstellungen und lange warten.
Das wäre meine liebste Konstellation gewesen, aber nach einem pfSense Neustart mehrere Minuten warten, bis überhaupt eine IP zugewiesen wird? Da ist doch was nicht richtig.
Als Notbehelf habe ich mir eine FritzBox 4040 gekauft. Extra ohne schnickschnack, da ja wirklich nur als Modem davor.
Komischerweise gibts da sofort IPv6 Adressen. Was AVM anders macht weiß ich nicht.
Ich habe die Leitung extra als kundeneigener Router bestellt und selbst bei der pfSense gehen die vlans nicht im Versuch.
Nun bin ich eigentlich der Meinung gewesen, eine IPv6 an der pfSense über die FritzBox anliegen zu haben, jedoch fliegt das nicht.
Die FritzBox bekam ein Präfix und die eigene Adresse. Wenn ich die eigene Adresse direkt als Exposed Host an die pfSense weiterleite, sollte doch darüber sich ein VPN realisieren lassen. Irgendwie geht das aber gar nicht.
Also habe ich den Wireguard Tunnel kontrolliert, den ich auf IPv6 umgestellt hatte. Da fiel mir auf, dass die Telekom IP sich verbunden hat, obwohl der DG Gateway bevorzugt wird. Also läuft das nicht und bevor ich etwas optimieren kann, muss ja erstmal IPv6 laufen.
Ich gebe mal ein paar Bilder, vielleicht findet da ja jemand einen Fehler
Was läuft also falsch?
Oder was könnte ich unternehmen um die FritzBox gar ganz wegzulassen?
Mein Supermicro e300 hat 2 10G SFP+ LAN ports, werde ich da vielleicht mit einem GPON Modul, wie diesem hier etwas? Ubiquiti GPON
Es heißt immer der DHCP der Glasfaser ist träge und ein Wechsel der Hardware dauert eine Stunde, bis die Lease Time abgelaufen ist. Das wäre ja OK, jedoch fragt doch die pfSense mit der selben MAC wieder beim DHCP an, wie es eine FritzBox auch nicht anders macht
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1313843423
Url: https://administrator.de/contentid/1313843423
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
61 Kommentare
Neuester Kommentar
Nun bin ich eigentlich der Meinung gewesen, eine IPv6 an der pfSense über die FritzBox anliegen zu haben, jedoch fliegt das nicht.
Guckst du hier wie man es macht:https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Und gestern hatten wir schon was ähnliches zu dem Thema:
Keine Internet mit IPv6 in den VLANs (FritzBox auf SG350)
Danke. Schaue ich mir nachher alles an.
Warum bei der 4040 alles anders beschriftet und woanders zu finden ist, weiß auch nur AVM.
Aber vom Prinzip denke ich nicht so verkehrt, dass die Exposed Host Geschichte da genauso wie bei IPv4 laufen müsste wenn ich die direkte IPv6 der Fritzbox aufrufe, ja?
Warum bei der 4040 alles anders beschriftet und woanders zu finden ist, weiß auch nur AVM.
Aber vom Prinzip denke ich nicht so verkehrt, dass die Exposed Host Geschichte da genauso wie bei IPv4 laufen müsste wenn ich die direkte IPv6 der Fritzbox aufrufe, ja?
Nein, da denkst du bei IPv6 ganz verkehrt !
Bekanntlich gibt es bei v6 kein NAT, folglich dann auch keinerlei Port Forwarding und damit keinerlei Exposed Hosts.
Dein internes v6 Netz ist immer ein öffentliches Netz. Gibt ja keine Adressknappheit mehr bei v6 !!
Bekanntlich gibt es bei v6 kein NAT, folglich dann auch keinerlei Port Forwarding und damit keinerlei Exposed Hosts.
Dein internes v6 Netz ist immer ein öffentliches Netz. Gibt ja keine Adressknappheit mehr bei v6 !!
Das es kein Nat bedarf und man es nicht machen sollte ist das eine.
Aber technisch möglich ist es auch nicht?
Die Fritzbox bietet doch den Exposed Host an.
Forwardet sie dann nicht auch v6
Aber solange man keine TCP Any auf Wan hat, ist ja eigentlich sowieso alles zu, oder?
Aber technisch möglich ist es auch nicht?
Die Fritzbox bietet doch den Exposed Host an.
Forwardet sie dann nicht auch v6
Aber solange man keine TCP Any auf Wan hat, ist ja eigentlich sowieso alles zu, oder?
Moin,
warum genau hängt jetzt da überhaupt noch die Fritzbox zwischen? Eigentlich kann die pfSense doch direkt ans Glasfasermodem, oder? MWn muss für die DG dann noch die VLAN-ID gesetzt werden.
Wenn es mit der Fritte klappt und der pfSense nicht, hast du dort doch schon den ersten Fehler.
VG
warum genau hängt jetzt da überhaupt noch die Fritzbox zwischen? Eigentlich kann die pfSense doch direkt ans Glasfasermodem, oder? MWn muss für die DG dann noch die VLAN-ID gesetzt werden.
Wenn es mit der Fritte klappt und der pfSense nicht, hast du dort doch schon den ersten Fehler.
VG
Die Fritte ist eine eigene und Keine gemietete. Bei den gemieteten wird fernkonfiguriert und es läuft nichts anderes (außer man weiß das mit vlan)
Vlan habe ich auch getestet, aber ich bekomme ewig keine IPs. IPv4 dauert mindestens 5 Minuten auch nach Reboot der pfSense und IPv6 kommt gar nichts.
Glaube mir, das gefällt mir nicht, wenn Du ne Lösung oder Idee hast, Reste ich diese gern. Unnötiger Verbraucher.
Vlan habe ich auch getestet, aber ich bekomme ewig keine IPs. IPv4 dauert mindestens 5 Minuten auch nach Reboot der pfSense und IPv6 kommt gar nichts.
Glaube mir, das gefällt mir nicht, wenn Du ne Lösung oder Idee hast, Reste ich diese gern. Unnötiger Verbraucher.
Bist du sicher, dass die eigene Fritte nicht doch auf TR-069 hört? Hast du den Punkt explizit deaktiviert?
Ich glaube nicht explizit deaktiviert, ich kontrolliere das.
Jedoch müsste dann ja ne Telefonnummer eingerichtet werden, was nicht passiert.
Aber warum geht's mit der Sense nicht? 360 und 362 passiert gar nichts
Jedoch müsste dann ja ne Telefonnummer eingerichtet werden, was nicht passiert.
Aber warum geht's mit der Sense nicht? 360 und 362 passiert gar nichts
Aber warum geht's mit der Sense nicht?
Tagging mit der VLAN ID 362 hast du auf dem WAN Port aktiviert ?https://www.glasfaserforum.de/forum/thread/27-glasfaser-fritzbox-fehlerg ...
Zitat von @aqui:
https://www.glasfaserforum.de/forum/thread/27-glasfaser-fritzbox-fehlerg ...
Das ist inzwischen veraltet, bei den aktuellen Anschlüssen der DG braucht es keine VLAN-ID mehr hinter dem ONT, es reicht einfaches DHCP und DHCPv6, man sollte aber will man eine neue Lease schneller bekommen die Lease vorher auch wirklich "releasen".Aber warum geht's mit der Sense nicht?
Tagging mit der VLAN ID 362 hast du auf dem WAN Port aktiviert ?https://www.glasfaserforum.de/forum/thread/27-glasfaser-fritzbox-fehlerg ...
MTU korrekt eingestellt?
Das ist inzwischen veraltet
Dann sollte es ja problemlos klappen auch direkt am WAN Port. Wenn es kneift hilft immer der Kabelhai dazwischen um mal zu sehen was da genau abgeht... Auch DS-Lite rennt ja grundsätzlich schon mit der pfSense:
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html
Ich tippe mal darauf das de jung an der Firewall es irgendwie geschafft hat Port 546UDP dicht zu machen und damit kommen dann die DHCPv6-advertises nicht mehr durch ... Die Regel sollte eigentlich zum Default-Regelset gehören und ist auch nicht in der GUI sichtbar. Aber wer weiß.
Wenn es kneift hilft immer der Kabelhai dazwischen um mal zu sehen was da genau abgeht...
So ist es!
Also den Port 564 UDP habe ich nicht aktiv geschlossen.
IPv6 benötigt ja auch ICMP wie ich das in dem oben verlinkten TUT gelesen habe.
Vielleicht teste ich erstmal in die Richtung weiter
IPv6 benötigt ja auch ICMP wie ich das in dem oben verlinkten TUT gelesen habe.
Vielleicht teste ich erstmal in die Richtung weiter
546 nicht 564...
Und hier die DHCPv6 Regeln
IPv6 benötigt ja auch ICMP wie ich das in dem oben verlinkten TUT gelesen habe.
Die nötigen grundlegenden ICMPv6 Rules sind auch im Background angelegt und sieht man über die GUI nicht die kann man sich auf der Konsole anschauen.less /tmp/rules.debug# Allow only bare essential icmpv6 packets (NS, NA, and RA, echoreq, echorep)
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type {129,133,134,135,136} tracker 1000000108 keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type {129,133,134,135,136} tracker 1000000109 keep state
pass in quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type {128,133,134,135,136} tracker 1000000110 keep state
pass in quick inet6 proto ipv6-icmp from ff02::/16 to fe80::/10 icmp6-type {128,133,134,135,136} tracker 1000000111 keep state
pass in quick inet6 proto ipv6-icmp from fe80::/10 to ff02::/16 icmp6-type {128,133,134,135,136} tracker 1000000112 keep state
pass in quick inet6 proto ipv6-icmp from :: to ff02::/16 icmp6-type {128,133,134,135,136} tracker 1000000113 keep state
Und hier die DHCPv6 Regeln
# allow our DHCPv6 client out to the WAN
pass in quick on $WAN proto udp from fe80::/10 port = 546 to fe80::/10 port = 546 tracker 1000000561 label "allow dhcpv6 client in WAN"
pass in quick on $WAN proto udp from any port = 547 to any port = 546 tracker 1000000562 label "allow dhcpv6 client in WAN"
Ansonsten versuche ich mal Wireshark. Laptop damit laufen lassen werde ich noch hinbekommen, auswerten ist dann nicht mehr so meins.
Also den Port 564 UDP habe ich nicht aktiv geschlossen.
Nee aber du bist damit am WAN Port wo ja per se alles dicht ist ! Könnte sein auch 546 und 547 => https://en.wikipedia.org/wiki/DHCPv6#Port_numbersDamit scheitert dann DHCPv6 und die Adresszuweisung inkl. Prefix Delegation.
Allerdings bei v4 ist das ja auch frei.
Also einfach mal in die Paket Capture Option und Diagnostics und mal den Sniffer dort anwerfen auf dem WAN Interface ob sich da was tut mit UDP 546 und 547 ?
Könnte auch sein das du im Advanced Setup v6 vergessen hast zu aktivieren ?!
auswerten ist dann nicht mehr so meins.
Na ja...nun mach dich mal nicht kleiner als du bist ! Um mal bunte Bilder anzusehen und mal nach "UDP 546" zu suchen wirst du wohl noch schaffen oder ??
Zitat von @aqui:
Nee aber du bist damit am WAN Port wo ja per se alles dicht ist ! Könnte sein auch 546 und 547 =>
Nee aber du bist damit am WAN Port wo ja per se alles dicht ist ! Könnte sein auch 546 und 547 =>
Nee, eben nicht per se alles dicht . Die Regeln die ich oben aufgeführt habe sind die die man in der GUI nicht sieht aber trotzdem offen sind, denn sonst würde DHCPv6 schon scheitern weil diese Pakete ja ohne State vom Server kommen, und wer von den Noobs die eine pfSense aufsetzen weiß schon das man den lokalen Port 546UDP von der Quelle fe80::/10 offen haben muss damit IPv6 über DHCPv6 funktioniert.... kaum einer und deswegen haben die das schon per Default freigeschaltet, genauso wie die unverzichtbaren Regeln für ICMPv6
Aber mal ne andere Hinterfragung dazu.
Wenn ich DHCPv6 an Wan habe und die Fritzbox davor hängt, ich eine fd00 Adresse bekomme, siehe Bild im Startpost, dann muss der Port doch offen sein, sonst würde doch auch das nicht gehen, oder?
Wenn ich DHCPv6 an Wan habe und die Fritzbox davor hängt, ich eine fd00 Adresse bekomme, siehe Bild im Startpost, dann muss der Port doch offen sein, sonst würde doch auch das nicht gehen, oder?
Zitat von @fnbalu:
Aber mal ne andere Hinterfragung dazu.
Wenn ich DHCPv6 an Wan habe und die Fritzbox davor hängt, ich eine fd00 Adresse bekomme, siehe Bild im Startpost, dann muss der Port doch offen sein, sonst würde doch auch das nicht gehen, oder?
Ja aber nur wenn der Client sich die nicht per SLAAC wählt, dir sollte aber auch klar sein das man mit ULAs nicht ins Internet Routen kann, ohne jetzt zusätzlich zu NATen, was man aber bei IPv6 sowieso nicht will.Aber mal ne andere Hinterfragung dazu.
Wenn ich DHCPv6 an Wan habe und die Fritzbox davor hängt, ich eine fd00 Adresse bekomme, siehe Bild im Startpost, dann muss der Port doch offen sein, sonst würde doch auch das nicht gehen, oder?
Ich bin heute nicht zum testen gekommen.
Das ULA und Internet nicht Ad-hoc funktionieren wusste ich tatsächlich nicht. Für mich war das wie RFC1918
Das ULA und Internet nicht Ad-hoc funktionieren wusste ich tatsächlich nicht. Für mich war das wie RFC1918
Zitat von @fnbalu:
Ich bin heute nicht zum testen gekommen.
Das ULA und Internet nicht Ad-hoc funktionieren wusste ich tatsächlich nicht. Für mich war das wie RFC1918
Ich bin heute nicht zum testen gekommen.
Das ULA und Internet nicht Ad-hoc funktionieren wusste ich tatsächlich nicht. Für mich war das wie RFC1918
Dann ist wohl erstmal ein absolutes Grundlagen Tutorial für IPv6 angesagt!
https://www.biteno.com/tutorial/ipv6-einfuehrung/
Ohne die zu kennen bringt das hier alles nüscht.
Oder auch gut zu dem Thema:
https://danrl.com/ipv6/
https://danrl.com/ipv6/
Moinsen.
Ich habe mal etwas weiter getestet. Paketcapture und Wireshark Auswertung kannte ich so gar nicht. Gar nicht schlecht.
So wie ich das sehe, kommt da nichts mit DHCPv6 an der WAN Schnittstelle.
Zuerst habe ich gecheckt ob die 546 Port Geschichte zu ist.
Für mich ist das gegeben wie es soll, habe aber auch wenn eventuell doppelt gemoppelt lieber explizit nochmal im GUI geöffnet. Wenns fliegt kann es ja auch wieder weg.
Ich hatte nachts die WAN Schnittstelle deaktiviert, da ich im Netz gelesen habe es mache Sinn diese zu deaktivieren, damit die Leasetime einmal sauber abläuft und habe auch die pfSense neugestartet.
Heute Morgen dann mit folgender Config wieder aktiviert
und da es eh etwas dauert bis es dann eine IP gibt, was auch verwunderlich ist, einfach mal etwas gelauscht.
So richtig geil macht mich das nicht.
Da der Anschluss 3 Monate scharf ist und man 2020 schon schrieb es wird von 6rd auf DHCPv6 umgestellt, gehe ich davon aus es ist schon das neue.
Bezüglich IPv6 Enable nehme ich an, das ist das?
Und hier die RA Geschichte
Habe ich was vergessen?
Ich habe mal etwas weiter getestet. Paketcapture und Wireshark Auswertung kannte ich so gar nicht. Gar nicht schlecht.
So wie ich das sehe, kommt da nichts mit DHCPv6 an der WAN Schnittstelle.
Zuerst habe ich gecheckt ob die 546 Port Geschichte zu ist.
Für mich ist das gegeben wie es soll, habe aber auch wenn eventuell doppelt gemoppelt lieber explizit nochmal im GUI geöffnet. Wenns fliegt kann es ja auch wieder weg.
Ich hatte nachts die WAN Schnittstelle deaktiviert, da ich im Netz gelesen habe es mache Sinn diese zu deaktivieren, damit die Leasetime einmal sauber abläuft und habe auch die pfSense neugestartet.
Heute Morgen dann mit folgender Config wieder aktiviert
und da es eh etwas dauert bis es dann eine IP gibt, was auch verwunderlich ist, einfach mal etwas gelauscht.
So richtig geil macht mich das nicht.
Da der Anschluss 3 Monate scharf ist und man 2020 schon schrieb es wird von 6rd auf DHCPv6 umgestellt, gehe ich davon aus es ist schon das neue.
Bezüglich IPv6 Enable nehme ich an, das ist das?
Und hier die RA Geschichte
Habe ich was vergessen?
Ich hatte nachts die WAN Schnittstelle deaktiviert, da ich im Netz gelesen habe es mache Sinn diese zu deaktivieren, damit die Leasetime einmal sauber abläuft
Das ist überflüssig, denn die Lease-Time bei der DG und IPv6 beträgt max. 1 Stunde, bin hier selbst bei der DG.Trenne mal das ONT mindestens 1 Minute vom Strom.
Dann Lass beim DHCPv6 Client mal das Häkchen bei Prefix-Hint raus und auch das Request Prefix over IPv4. Zusätzlich setze das Häkchen bei "Start DHCPv6 Client in Debug-Mode".
ONT Stecker gezogen
Häkchen wie Du erwähnt hast geändert in der Zwischenzeit.
pfSense rebootet
Stecker ONT wieder rein.
IPv4 habe ich.
Wo speichert er das Debug Ergebnis?
Ich lasse gerade noch mal die Pakete mit aufzeichnen
Häkchen wie Du erwähnt hast geändert in der Zwischenzeit.
pfSense rebootet
Stecker ONT wieder rein.
IPv4 habe ich.
Wo speichert er das Debug Ergebnis?
Ich lasse gerade noch mal die Pakete mit aufzeichnen
Sodele.
Nachdem mir das auf den Sack ging, habe ich mal noch etwas mehr aufgezeichnet. Zuerst 2 Stunden mit laufendem IP-TV und alles aufgezeichnet. 1,7GB Log ist uncool
Dann habe ich über Nacht am Laptop nur IPv6 von der Sense aufzeichnen lassen.
Siehe da, da ist was. Es ist die selbe IP, wie die FritzBox auch bezogen hatte (absichtlich am Arsch abgeschnitten)
Beim Interface sehe ich nur die fe80:225 als Link Local, nichts mehr.
Also liegt da was an, nur pfSense will es nicht?
Nachdem mir das auf den Sack ging, habe ich mal noch etwas mehr aufgezeichnet. Zuerst 2 Stunden mit laufendem IP-TV und alles aufgezeichnet. 1,7GB Log ist uncool
Dann habe ich über Nacht am Laptop nur IPv6 von der Sense aufzeichnen lassen.
Siehe da, da ist was. Es ist die selbe IP, wie die FritzBox auch bezogen hatte (absichtlich am Arsch abgeschnitten)
Beim Interface sehe ich nur die fe80:225 als Link Local, nichts mehr.
Also liegt da was an, nur pfSense will es nicht?
Zitat von @fnbalu:
Dann habe ich über Nacht am Laptop nur IPv6 von der Sense aufzeichnen lassen.
Siehe da, da ist was. Es ist die selbe IP, wie die FritzBox auch bezogen hatte (absichtlich am Arsch abgeschnitten)
Beim Interface sehe ich nur die fe80:225 als Link Local, nichts mehr.
Das ist erst mal normal, die Kommunikation mit dem DHCP und GW findet immer mit der LinkLocal Adresse statt. Du siehst das die pFSense Initial mittels "Solicit" Paket um eine Antwort eines DHCPv6 Servers "wirbt" indem sie das Paket an die Multicast Adresse ff02::1:2 schickt, auf der nur aktive DHCPv6 Server in der Layer-2 Domain antworten dürfen.Dann habe ich über Nacht am Laptop nur IPv6 von der Sense aufzeichnen lassen.
Siehe da, da ist was. Es ist die selbe IP, wie die FritzBox auch bezogen hatte (absichtlich am Arsch abgeschnitten)
Beim Interface sehe ich nur die fe80:225 als Link Local, nichts mehr.
Es kommt auch eine Antwort von der ::fe04:101 mit einem Angebot an der pFSense an, jetzt wäre es aber interessant was in diesen Paketen steht, das können wir anhand des Screenshots aber nicht sehen, stell doch mal diesen Ausschnitt als Wireshark Dump als Download zur Verfügung dann kann ich da mal rein schauen.
Ich gehe davon aus das die pFSense direkt am ONT hing und keine Fritzbox dazwischen war!
Ja, die pfSense hängt aktuell direkt am ONT. Es ist ja gerade der Versuch ohne die Fritte klar zu kommen.
Später mal für Telefonie irgendwas hinter die pfSense sollte ja gehen.
Ich schicke mal eine PN
Später mal für Telefonie irgendwas hinter die pfSense sollte ja gehen.
Ich schicke mal eine PN
Also nach der Einsicht in die Pakete ergibt sich für mich folgendes Bild:
Was jetzt jedoch fehlt ist der anschließende zwingende DHCP-Request der pfSense in der sie die vorher angebotene Adresse und das Prefix an den DHCP-Server bestätigen muss, woraufhin dann der DHCP-Server mit einem REPLY antworten muss. Der ganze Abschnitt fehlt bei dir. Ergo muss es an deiner pfSense liegen, die DG macht hier nichts falsch.
- Die pfSsene richtet wie erwartet die Solicitations mit Address Assignment, Prefix Request, und DNS Resolver Option.
- Es kommt ein Advertise von der DG mit gültigen globalen Adressen und einem globalen Prefix zurück. => Auch OK.
Was jetzt jedoch fehlt ist der anschließende zwingende DHCP-Request der pfSense in der sie die vorher angebotene Adresse und das Prefix an den DHCP-Server bestätigen muss, woraufhin dann der DHCP-Server mit einem REPLY antworten muss. Der ganze Abschnitt fehlt bei dir. Ergo muss es an deiner pfSense liegen, die DG macht hier nichts falsch.
Was mir bei deiner Config noch auffällt ist das du keinerlei Tracking für das IPv6 Präfix auf dem LAN Interface angelegt hast, bzw. das fehlt in deinen Bildern! Das ist Pflicht wenn du globale IPv6 Adressen im LAN verteilen willst. Vermutlich macht die pfSense deswegen bei dir keinen abschließenden Request.
Das Interface Tracking mit der ID Zuweisung der lokalen Interfaces wird häufig vergessen...
PFsense IPv6 - Was mache ich falsch ?
https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.htm ...
PFsense IPv6 - Was mache ich falsch ?
https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.htm ...
Also ich habe bei der RA Geschichte unmanaged.
Wenn ich's jetzt überlege unlogisch, da ja die Fritte weg ist. Ich stelle auf managed um
Lan steht auf Track Interface, jedoch ist der DHCP Server noch ausgeschaltet.
Der soll der alten pfSense erstmal nicht in die Quere kommen.
Oder ich muss den anschalten und entsprechende Ports erstmal blocken oder so
Wenn ich's jetzt überlege unlogisch, da ja die Fritte weg ist. Ich stelle auf managed um
Lan steht auf Track Interface, jedoch ist der DHCP Server noch ausgeschaltet.
Der soll der alten pfSense erstmal nicht in die Quere kommen.
Oder ich muss den anschalten und entsprechende Ports erstmal blocken oder so
Zitat von @fnbalu:
Also ich habe bei der RA Geschichte unmanaged.
Wenn ich's jetzt überlege unlogisch, da ja die Fritte weg ist. Ich stelle auf managed um
Nicht nötig, per SLAAC besorgen sich die Clients automatisch eine globale IP sobald der Prefix im LAN durch die RAs announced wird. Ein DHCPv6 im Netz ist also in der Regel nicht nötig wenn keine speziellen Anforderungen bestehen.Also ich habe bei der RA Geschichte unmanaged.
Wenn ich's jetzt überlege unlogisch, da ja die Fritte weg ist. Ich stelle auf managed um
Der soll der alten pfSense erstmal nicht in die Quere kommen.
Oder ich muss den anschalten und entsprechende Ports erstmal blocken oder so
Da fehlen offensichtlich noch ganz viel IPv6 Grundlagen zu RA Flags. Schöne Lektüre für verregnete Wochenenden im Winter siehe Links von @aqui Oder ich muss den anschalten und entsprechende Ports erstmal blocken oder so
. Undhttps://de.wikipedia.org/wiki/Neighbor_Discovery_Protocol
Für eine Fritte hinter der pfSense kannst du RAs auf der Fritte samt DHCPv6 einfach deakvieren.
Den Wikipedia Link werde ich mir mal geben, schaden kann es nicht.
Und ich dachte ich müsse den DHCP anschalten und vorerst blocken. Nicht dass Firewall alt DHCP macht und Firewall neu bewegt auch DHCP und alles kommt durcheinander. Es ist halt noch nicht umgestellt, da das alles noch nicht stabil läuft mit IPv6 & Co
Ich habe es jetzt so eingestellt, wie es im 2. Post von aqui seinem ersten Link ist.
Ich schaue mal ob was kommt, vielleicht muss ja auch diese IPv4 Parent wieder rein, wie es da auch steht.
Ich möchte aber auch nicht zig Änderungen parallel machen
Eine Fritte ist aktuell gar nicht in der Gleichung, nur an der Telekom Leitung, nicht aber an der Glasfaser.
Telekom fällt früher oder später mal weg, wenn alles läuft, dann gibts nur 1x WAN
Später mal kann es sein, dass eine Fritte fürs Telefon dahinter kommt, die ist dann aber Client
Und ich dachte ich müsse den DHCP anschalten und vorerst blocken. Nicht dass Firewall alt DHCP macht und Firewall neu bewegt auch DHCP und alles kommt durcheinander. Es ist halt noch nicht umgestellt, da das alles noch nicht stabil läuft mit IPv6 & Co
Ich habe es jetzt so eingestellt, wie es im 2. Post von aqui seinem ersten Link ist.
Ich schaue mal ob was kommt, vielleicht muss ja auch diese IPv4 Parent wieder rein, wie es da auch steht.
Ich möchte aber auch nicht zig Änderungen parallel machen
Eine Fritte ist aktuell gar nicht in der Gleichung, nur an der Telekom Leitung, nicht aber an der Glasfaser.
Telekom fällt früher oder später mal weg, wenn alles läuft, dann gibts nur 1x WAN
Später mal kann es sein, dass eine Fritte fürs Telefon dahinter kommt, die ist dann aber Client
Hier nun die entsprechenden Bilder
Beim RA ist es jetzt managed, da ich ja direkt am ONT hänge
DHCP Server ist aus
Und so sieht das LAN Interface aus. Erstmal nur das, die vlans aktiviere ich erst später.
Muss ich als DesktopClient jetzt noch eine IPv6 ziehen, damit es luppt?
Bisher kommt da immer noch nichts.
Einzig der Haken bei fordere IPv6 über IPv4 an, ist jetzt dazu gekommen
Beim RA ist es jetzt managed, da ich ja direkt am ONT hänge
DHCP Server ist aus
Und so sieht das LAN Interface aus. Erstmal nur das, die vlans aktiviere ich erst später.
Muss ich als DesktopClient jetzt noch eine IPv6 ziehen, damit es luppt?
Bisher kommt da immer noch nichts.
Einzig der Haken bei fordere IPv6 über IPv4 an, ist jetzt dazu gekommen
Falsch das ist überflüssig. "Managed" brauchst du nur wenn du intern einen DHCPv6 Server betreibst, das gilt hier nur für den LAN-internen Prozess nicht fürs WAN. DHCPv6 findet ja auch nicht über ein Router Advertisement statt sondern über einen UDP Multicast vom Client und UDP-Antworten vom DHCP-Server auf den Ports 546/547UDP statt. Routeradvertisements dagegen sind ICMPv6 Nachrichten, wo wir wieder bei den Grundlagen wären.
Und wie gesagt Debug-Log beim DHCPv6 Client anschalten und ins Log schauen!
Hier siehst du wie es aussieht wenn der Prefix Delegation Prozess erfolgreich war.
Damit du die Details siehst musst du wie oben schon geschrieben das Debug-Log aktivieren
Du kannst auch mal testweise das Häkchen bei "Do not wait for RA" setzen.
So, jetzt ist eigentlich alles dazu gesagt, nun bist du am Zug.
DHCP Server ist aus
Brauchst du auch erst mal nicht, denn die Clients weisen sich durch das SLAAC (Stateless Address Autoconfiguration) Verfahren automatisch eine eigene Adresse mit dem per RA durch die pfSense mitgeteilten globalen Prefix zu! Das geht vollkommen autonom am Client sofern dort IPv6 als Protokoll aktiviert ist.Und so sieht das LAN Interface aus. Erstmal nur das, die vlans aktiviere ich erst später.
OK.Muss ich als DesktopClient jetzt noch eine IPv6 ziehen, damit es luppt?
Das geschieht wie oben beschrieben durch den SLAAC Prozess der Clients vollautomatisch.Bisher kommt da immer noch nichts.
Einzig der Haken bei fordere IPv6 über IPv4 an, ist jetzt dazu gekommen
OK wenn er damit auf dem WAN eine IPv6 erhält dann kannst das lassen. Es sollte aber auf jeden Fall auf der pfSense am LAN-Interface in der Übersicht eine IPv6 aus dem zugewiesenen IPv6-Prefix erscheinen, ist das nicht der Fall brauchst du am Client erst gar nicht nachschauen, denn dann hat der Prefix-Delegation Prozess nicht geklappt. In dem Fall das WAN Interface an der pfSense mal neu starten und mal rebooten, die pfSensen hängen diesbezüglich gerne mal.Einzig der Haken bei fordere IPv6 über IPv4 an, ist jetzt dazu gekommen
Und wie gesagt Debug-Log beim DHCPv6 Client anschalten und ins Log schauen!
Hier siehst du wie es aussieht wenn der Prefix Delegation Prozess erfolgreich war.
Damit du die Details siehst musst du wie oben schon geschrieben das Debug-Log aktivieren
Du kannst auch mal testweise das Häkchen bei "Do not wait for RA" setzen.
So, jetzt ist eigentlich alles dazu gesagt, nun bist du am Zug.
Sodele, nun habe ich das alles noch mal über Nacht laufen lassen.
Debug war schon seit einigen Tagen an.
Do not wait for RA nahm ich mal raus, das war an.
Aktuell habe ich IPv4 als Parent Interface auch raus.
Selbstredend wurde rebootet nach der Änderung
Ich habe mal einen Teil einer DHCP Anfrage rausgesondert.
igb1 ist das DG-Interface
igb3 ist das Telekom Interface, da dies auch mal auftaucht
Mich wunderte gestern, dass selbst igb4 welches gar nicht zugewiesen ist kurzzeitig im log auftauchte
Ich habe mal alles was im Log stand in eine txt gepackt und hochgeladen.
DHCP-Log
Kurzum, ziehen tut er dennoch nichts
Debug war schon seit einigen Tagen an.
Do not wait for RA nahm ich mal raus, das war an.
Aktuell habe ich IPv4 als Parent Interface auch raus.
Selbstredend wurde rebootet nach der Änderung
Ich habe mal einen Teil einer DHCP Anfrage rausgesondert.
Oct 2 19:41:50 dhclient 15932 DHCPREQUEST on igb1 to 100.124.1.14 port 67
Oct 2 19:41:52 dhclient 15932 DHCPREQUEST on igb1 to 100.124.1.14 port 67
Oct 2 19:41:52 dhclient 15932 DHCPACK from 100.124.1.14
Oct 2 19:41:52 dhclient 25614 RENEW
Oct 2 19:41:52 dhclient 25672 Creating resolv.conf
Oct 2 19:41:52 dhclient 15932 bound to 100.118.14.189 -- renewal in 1800 seconds.
Oct 2 19:49:08 dhcp6c 22203 Sending Renew
Oct 2 19:49:08 dhcp6c 22203 dhcp6c Received INFO
Oct 2 19:49:08 dhcp6c 22203 status code: no binding
Oct 2 20:07:08 dhcp6c 22203 Sending Rebind
Oct 2 20:07:08 dhcp6c 22203 dhcp6c Received REBIND
Oct 2 20:07:08 dhcp6c 22203 status code: no bindingigb1 ist das DG-Interface
igb3 ist das Telekom Interface, da dies auch mal auftaucht
Mich wunderte gestern, dass selbst igb4 welches gar nicht zugewiesen ist kurzzeitig im log auftauchte
Ich habe mal alles was im Log stand in eine txt gepackt und hochgeladen.
DHCP-Log
Kurzum, ziehen tut er dennoch nichts
igb3 ist das Telekom Interface
?? Ich dachte das Teil hängt nur am DG Anschluss? Was denn jetzt?unexpected interface (4)
Scheint also was mit deiner Interface Zuordnung nicht zu stimmen.Oct 2 18:48:58 dhclient 17903 Cannot open or create pidfile: No such file or directory
Eine mögliche Ursache (inkonsistente Config)Oct 2 18:49:08 dhcp6c 22203 failed to add an address on igb3: Invalid argument
Oct 2 18:49:08 dhcp6c 22203 failed to update an address 2003:c0:3f32:9a00:225:90ff:feb9:c443
Da scheint noch eine global Telekom IPv6 auf deiner Box zu kursieren. Ich würde sagen, resette das Teil und setze die pfSense neu auf! Danach rennt das 100% wenn du nicht wieder irgendwas mit deinen fehlenden IPv6 Kenntnissen verbiegst wo es nicht hin gehört Oct 2 18:49:08 dhcp6c 22203 failed to update an address 2003:c0:3f32:9a00:225:90ff:feb9:c443
.
An igb3 hängt aktuell noch der Telekom Anschluss (WAN2)
Ich werde IPv6 da mal deaktivieren.
Die Config hatte ich von der alten pfSense wiederhergestellt und die Interfaces halt entsprechend angepasst.
Alles neu erstellen wäre natürlich ein Traum.
Theoretisch könnte ich doch einzelne Passagen wiederherstellen, oder? Also Setup neu, dann Interfaces erstellen und Rules könnte man importieren.
Oder VPN e.t.c.
Ich werde IPv6 da mal deaktivieren.
Die Config hatte ich von der alten pfSense wiederhergestellt und die Interfaces halt entsprechend angepasst.
Alles neu erstellen wäre natürlich ein Traum.
Theoretisch könnte ich doch einzelne Passagen wiederherstellen, oder? Also Setup neu, dann Interfaces erstellen und Rules könnte man importieren.
Oder VPN e.t.c.
Dann erst mal komplett deaktivieren. Du musst alles fremde ausschließen können.
Die Config hatte ich von der alten pfSense wiederhergestellt und die Interfaces halt entsprechend angepasst.
Das wird wohl die Ursache sein. Das geht im Hintergrund vielfach mal in die Hose.Theoretisch könnte ich doch einzelne Passagen wiederherstellen, oder? Also Setup neu, dann Interfaces erstellen und Rules könnte man importieren.
Oder VPN e.t.c.
Erst mal clean starten damit du siehst das die Basis-Config läuft und dann weiter zu den weniger wichtigen Dingen.Oder VPN e.t.c.
Ich deaktiviere mal igb3
Ansonsten fange ich morgen mal an mit neu aufsetzen.
Habe ja nichts zu verlieren.
Kann die Config ja vorab sichern und wenn's dann läuft, kann ich ja nach und nach einige Dinge importieren.
Ich überlege gerade, das kann ich ja auch von meiner Freundin aus über IPMI machen
Ansonsten fange ich morgen mal an mit neu aufsetzen.
Habe ja nichts zu verlieren.
Kann die Config ja vorab sichern und wenn's dann läuft, kann ich ja nach und nach einige Dinge importieren.
Ich überlege gerade, das kann ich ja auch von meiner Freundin aus über IPMI machen
Nun habe ich die pfSense mal neu aufgesetzt.
Ich habe einen Setup Stick mit der 2.5.0 immer eingesteckt.
Ich musste natürlich wie letztes mal die Interfaces tauschen.
Bei mir ist die erste Schnittstelle LAN und nicht WAN, aber das geht ja.
Bei der 2.5 hatte ich meine IPv6 und auch bei der 2.5.2 kommt diese nach 5 Minuten.
Kurioserweise hatte ich nach dem Neustart an WAN eine IP aus dem LAN Bereich. Das, obwohl der DHCP abgeschaltet und die Inrerfaces physikalisch nicht verbunden. DHCP war kurz nach dem Setup noch an.
Als ich das Lease manuell gelöscht habe, war damit auch Ruhe und ich bekam gleich eine IPv4 der DG. IPv6 nach wenigen Minuten hinterher
Edit: früher hatte die pfSense bis die WAN IP kam die 0.0.0.0
Aktuell nimmt sie sich immer die 192.168.100.1
Ich habe WAN mal statisch die 0.0.0.0/32 zugewiesen, neugestartet und dann wieder DHCP, damit die IP aus dem Heimnetz verschwindet.
Ansonsten hätte man da bestimmt ne config manuell editieren müssen.
Ich habe einen Setup Stick mit der 2.5.0 immer eingesteckt.
Ich musste natürlich wie letztes mal die Interfaces tauschen.
Bei mir ist die erste Schnittstelle LAN und nicht WAN, aber das geht ja.
Bei der 2.5 hatte ich meine IPv6 und auch bei der 2.5.2 kommt diese nach 5 Minuten.
Kurioserweise hatte ich nach dem Neustart an WAN eine IP aus dem LAN Bereich. Das, obwohl der DHCP abgeschaltet und die Inrerfaces physikalisch nicht verbunden. DHCP war kurz nach dem Setup noch an.
Als ich das Lease manuell gelöscht habe, war damit auch Ruhe und ich bekam gleich eine IPv4 der DG. IPv6 nach wenigen Minuten hinterher
Edit: früher hatte die pfSense bis die WAN IP kam die 0.0.0.0
Aktuell nimmt sie sich immer die 192.168.100.1
Ich habe WAN mal statisch die 0.0.0.0/32 zugewiesen, neugestartet und dann wieder DHCP, damit die IP aus dem Heimnetz verschwindet.
Ansonsten hätte man da bestimmt ne config manuell editieren müssen.
Die RFC6598 IP Adressen zeigen aber das die lokale DS-Lite Adressvergabe für den Tunnel scheinbar funktioniert. DS-Lite Provider nutzen die typischerweise für den internen v4 Tunnel.
DS-Lite Provider nutzen die typischerweise für den internen v4 Tunnel.Zitat von @fnbalu:
Nun habe ich die pfSense mal neu aufgesetzt.
Ich habe einen Setup Stick mit der 2.5.0 immer eingesteckt.
Ich musste natürlich wie letztes mal die Interfaces tauschen.
Bei mir ist die erste Schnittstelle LAN und nicht WAN, aber das geht ja.
Bei der 2.5 hatte ich meine IPv6 und auch bei der 2.5.2 kommt diese nach 5 Minuten.
Kurioserweise hatte ich nach dem Neustart an WAN eine IP aus dem LAN Bereich. Das, obwohl der DHCP abgeschaltet und die Inrerfaces physikalisch nicht verbunden. DHCP war kurz nach dem Setup noch an.
Als ich das Lease manuell gelöscht habe, war damit auch Ruhe und ich bekam gleich eine IPv4 der DG. IPv6 nach wenigen Minuten hinterher
Edit: früher hatte die pfSense bis die WAN IP kam die 0.0.0.0
Aktuell nimmt sie sich immer die 192.168.100.1
Ich habe WAN mal statisch die 0.0.0.0/32 zugewiesen, neugestartet und dann wieder DHCP, damit die IP aus dem Heimnetz verschwindet.
Ansonsten hätte man da bestimmt ne config manuell editieren müssen.
Nun habe ich die pfSense mal neu aufgesetzt.
Ich habe einen Setup Stick mit der 2.5.0 immer eingesteckt.
Ich musste natürlich wie letztes mal die Interfaces tauschen.
Bei mir ist die erste Schnittstelle LAN und nicht WAN, aber das geht ja.
Bei der 2.5 hatte ich meine IPv6 und auch bei der 2.5.2 kommt diese nach 5 Minuten.
Kurioserweise hatte ich nach dem Neustart an WAN eine IP aus dem LAN Bereich. Das, obwohl der DHCP abgeschaltet und die Inrerfaces physikalisch nicht verbunden. DHCP war kurz nach dem Setup noch an.
Als ich das Lease manuell gelöscht habe, war damit auch Ruhe und ich bekam gleich eine IPv4 der DG. IPv6 nach wenigen Minuten hinterher
Edit: früher hatte die pfSense bis die WAN IP kam die 0.0.0.0
Aktuell nimmt sie sich immer die 192.168.100.1
Ich habe WAN mal statisch die 0.0.0.0/32 zugewiesen, neugestartet und dann wieder DHCP, damit die IP aus dem Heimnetz verschwindet.
Ansonsten hätte man da bestimmt ne config manuell editieren müssen.
Dat ist ja total wirr ??!?!?!? Wieso nicht direkt "normal" aufsetzen?? Irgendwie baust du da immer mist mit den Interfaces zusammen oder deine Hardware schießt dir da einen Bock
.IPv6 nach 5 Minuten? Bekomme ich hier mit ner pfSense oder auch nem Mikrotik innerhalb von Sekunden von der DG... irgendwas stimmt da mit deiner uns unbekannten pfSense Hardware nicht so ganz, oder du selbst bist das Problem, duck und wech.
Irgendwie werd ich das Gefühl nicht los das das hier ne "never ending story" mit dir wird ...
AAAAAuuuuuuuuuhhhhhhhhhhhhhhhh ich bin dann mal wech.
Nu schimpf nicht mit mir.
Die pfSense war komplett nackig.
Es gab dann 2 Interfaces.
WAN und LAN
Nach dem Setup war igb0 WAN und igb1 LAN
Das habe ich gedreht direkt in der config, nicht im GUI
Woher auch immer, aber es kam dann eine LAN IP kurzzeitig.
Das ist aber gelöst.
Sollte man davon absehen Interfaces zu tauschen?
Aktuell läuft es. Auch das LAN Interface bekommt seine IP mittels Track Interface.
Auch ist es die selbe DHCPv6 IP, welche die FritzBox seiner Zeit bekam.
Gerade habe ich die pfSense neugestartet.
Es wurde die IPv4 100.118..... bezogen Zu diesem Zeitpunkt geht der Gateway noch nicht. gazeway steht auch auf Dynamic
Jetzt 5 Minuten später hat WAN 2a00:6020:10...... und die LAN Interface etwas aus dem Präfix.
Nun verbindet er auch über IPv6 usw.
So und nicht anders hat es sich mit der frischen Firewall auch dargestellt. Ist es nicht möglich, dass der DHCP doch etwas lahm ist von der DG und DU Glück hast?
Also nochmal es war/ist neu aufgesetzt!! und hinterher dann die sogenannten unwichtigen Dinge importiert.
@aqui die 192.168.100.1 ist irgendwie vom eigenen DHCP vergeben worden. Wie auch immer das ging ist mir ein Rätsel. da die IGB1 Schnittstelle nach dem 1. Start Lan war, hat sie von der alten pfSense wohl etwas über DHCP bezogen.
Nun läuft es, jedoch mit Gedenkminute, aber es kommt immer wieder die IPv6 und das Präfix
Die pfSense war komplett nackig.
Es gab dann 2 Interfaces.
WAN und LAN
Nach dem Setup war igb0 WAN und igb1 LAN
Das habe ich gedreht direkt in der config, nicht im GUI
Woher auch immer, aber es kam dann eine LAN IP kurzzeitig.
Das ist aber gelöst.
Sollte man davon absehen Interfaces zu tauschen?
Aktuell läuft es. Auch das LAN Interface bekommt seine IP mittels Track Interface.
Auch ist es die selbe DHCPv6 IP, welche die FritzBox seiner Zeit bekam.
Gerade habe ich die pfSense neugestartet.
Es wurde die IPv4 100.118..... bezogen Zu diesem Zeitpunkt geht der Gateway noch nicht. gazeway steht auch auf Dynamic
Jetzt 5 Minuten später hat WAN 2a00:6020:10...... und die LAN Interface etwas aus dem Präfix.
Nun verbindet er auch über IPv6 usw.
So und nicht anders hat es sich mit der frischen Firewall auch dargestellt. Ist es nicht möglich, dass der DHCP doch etwas lahm ist von der DG und DU Glück hast?
Also nochmal es war/ist neu aufgesetzt!! und hinterher dann die sogenannten unwichtigen Dinge importiert.
@aqui die 192.168.100.1 ist irgendwie vom eigenen DHCP vergeben worden. Wie auch immer das ging ist mir ein Rätsel. da die IGB1 Schnittstelle nach dem 1. Start Lan war, hat sie von der alten pfSense wohl etwas über DHCP bezogen.
Nun läuft es, jedoch mit Gedenkminute, aber es kommt immer wieder die IPv6 und das Präfix
Morgen werde ich es noch mal aufsetzen. Grundsätzlich war es ja das Problem.
Da ich allerdings nicht zu Hause war und die Kabel nicht umstecken konnte, musste ich es ja erstmal wie gehabt aufsetzen über IPMI
Für einen ersten Test OK. Wenn es aber Fehlerbehaftet ist oder gar optimierter, wenn die Schnittstellen gedreht sind, soll es daran nicht liegen.
Ich habe jedoch bei DHCPv4 viele Static Leases, die ich auch als Liste nutze. Das wollte ich ungern alles neu eintickern, deshalb wurde so etwas importiert. Aber keine Interfaces!
Da ich allerdings nicht zu Hause war und die Kabel nicht umstecken konnte, musste ich es ja erstmal wie gehabt aufsetzen über IPMI
Für einen ersten Test OK. Wenn es aber Fehlerbehaftet ist oder gar optimierter, wenn die Schnittstellen gedreht sind, soll es daran nicht liegen.
Ich habe jedoch bei DHCPv4 viele Static Leases, die ich auch als Liste nutze. Das wollte ich ungern alles neu eintickern, deshalb wurde so etwas importiert. Aber keine Interfaces!
So, nun ist es doch heute noch was geworden.
Selbst frisch installiert dauert es teilweise bis 5 Minuten bis IPv6 vergeben wird eben ging es sehr schnell.
Damit kann man aber auch irgendwie leben und ist besser als mit der Fritte davor.
Etwaige Neustarts kommen zum einen selten vor und wenn können diese nachts erfolgen.
Nach einem richtigen Stromausfall kommts auf Minuten auch nicht an.
Selbst frisch installiert dauert es teilweise bis 5 Minuten bis IPv6 vergeben wird eben ging es sehr schnell.
Damit kann man aber auch irgendwie leben und ist besser als mit der Fritte davor.
Etwaige Neustarts kommen zum einen selten vor und wenn können diese nachts erfolgen.
Nach einem richtigen Stromausfall kommts auf Minuten auch nicht an.
Wie auch immer das ging ist mir ein Rätsel. da die IGB1 Schnittstelle nach dem 1. Start Lan war
Du wirst beim ersten Setup doch über die Terminal Schnittstelle oder sofern headless über die serielle Schnittstelle doch immer VORHER gefragt WIE du die physische Interface Aufteilung haben willst !!Da ist es so gut wie unmöglich sowas zu provizieren.
Klingt auch irgendwie nicht wirklich sauber als ob da noch heimliche DHCP Server bei dir werkeln oder sowas. .100.0 ist ja für das Setup zudem auch eine vollkommen ungewöhnliche IP die es so nirgendwo im Default auf der pfSense gibt oder dort auftaucht. Kollege @149569 hat schon Recht das das etwas gruselig klingt was du da verzapfst...?!
Ich möchte ja nicht abstreiten, dass es gruselig klingt.
Ich kann nur sagen wie es war.
Ich weiß jetzt auch wieder, warum LAN auf igb0, sprich der ersten Schnittstelle lag. Das hatte was mit IPMI und Port sparen zu tun, da dies ein Failover dorthin hat. Failover zum WAN Port ist natürlich doof.
Beim ersten Start der pfSense konnte man in der Konsole beobachten, dass igb0 automatisch als WAN gesetzt wurde und auf DHCP stand.
Da igb0 jedoch am LAN Kabel hing, wo der DHCP der alten pfsense werkelte, gab es die passende IP. Soweit ist das schlüssig, wenn auch unglücklich gelaufen.
In der Konsole habe ich die Schnittstellen gedreht, so dass igb0 dann LAN1 wurde. igb1 war dann WAN. Warum dann in der frisch ausgesetzten pfsense in der eigenen Leaseübersicht genau diese IP auftaucht ist kurios. Aber Haken hinter.
Die pfSense ist jetzt nochmal frisch aufgesetzt mit vorher geschwenkten Kabeln. Es ist aber so, dass die pfSense hoch fährt, wenn ich Glück habe direkt eine IP habe, notfalls 5 Minuten warten muss. Als ob es alle 5 Minuten was gibt und kann genau passig da ist. Ich weiß es nicht. Das kann ja wohl nicht an meiner Unkenntnis liegen wie es dargestellt wird
Aber müsste da nicht analog IPv4 ein Gateway mitkommen?
In der Schnittstellen Übersicht hat IPv4 ein Gateway, IPv6 nicht.
Ich muss dont wait for RA an haben, sonst kommt keine IPv6.
Dieses RA würde doch aber den Gateway/DNS übermitteln oder nicht?
Wie im Startpost 2a00:6020.100::1 oder braucht es das nicht?
Auf Seiten wir test-ipv6.com zeigt er mir an es sei nicht vorhanden
Client hat eine passende IP bezogen, ICMP kommt durch.
Ich kann nur sagen wie es war.
Ich weiß jetzt auch wieder, warum LAN auf igb0, sprich der ersten Schnittstelle lag. Das hatte was mit IPMI und Port sparen zu tun, da dies ein Failover dorthin hat. Failover zum WAN Port ist natürlich doof.
Beim ersten Start der pfSense konnte man in der Konsole beobachten, dass igb0 automatisch als WAN gesetzt wurde und auf DHCP stand.
Da igb0 jedoch am LAN Kabel hing, wo der DHCP der alten pfsense werkelte, gab es die passende IP. Soweit ist das schlüssig, wenn auch unglücklich gelaufen.
In der Konsole habe ich die Schnittstellen gedreht, so dass igb0 dann LAN1 wurde. igb1 war dann WAN. Warum dann in der frisch ausgesetzten pfsense in der eigenen Leaseübersicht genau diese IP auftaucht ist kurios. Aber Haken hinter.
Die pfSense ist jetzt nochmal frisch aufgesetzt mit vorher geschwenkten Kabeln. Es ist aber so, dass die pfSense hoch fährt, wenn ich Glück habe direkt eine IP habe, notfalls 5 Minuten warten muss. Als ob es alle 5 Minuten was gibt und kann genau passig da ist. Ich weiß es nicht. Das kann ja wohl nicht an meiner Unkenntnis liegen wie es dargestellt wird
Aber müsste da nicht analog IPv4 ein Gateway mitkommen?
In der Schnittstellen Übersicht hat IPv4 ein Gateway, IPv6 nicht.
Ich muss dont wait for RA an haben, sonst kommt keine IPv6.
Dieses RA würde doch aber den Gateway/DNS übermitteln oder nicht?
Wie im Startpost 2a00:6020.100::1 oder braucht es das nicht?
Auf Seiten wir test-ipv6.com zeigt er mir an es sei nicht vorhanden
Client hat eine passende IP bezogen, ICMP kommt durch.
Aha, kommt immer mehr zum Vorschein von dem hier keiner wusste, nun weißt du wie wichtig detaillierte Informationen zum eigenen Netz hier sind, und da lässt man die Leute hier im Dunkeln stochern bis der Arzt kommt , tsssss ...
https://de.m.wikipedia.org/wiki/Neighbor_Discovery_Protocol
Das sind absolute Basics, ohne die brauchst du gar nicht erst weiter machen.
Ich bin mit diesem Thread jetzt fertig, verkackeiern lassen dürfen sich nun gerne andere.
Ciao und viele Erfolg beim weiteren "vermuten" und "raten" statt zu lesen.
Aber müsste da nicht analog IPv4 ein Gateway mitkommen?
Dieses RA würde doch aber den Gateway/DNS übermitteln oder nicht?
Wie im Startpost 2a00:6020.100::1 oder braucht es das nicht?
Hättest du den Link den ich dir weiter oben schon geschickt hatte auch nur ansatzweise durchgelesen müsstest du dir die Frage jetzt nicht stellenDieses RA würde doch aber den Gateway/DNS übermitteln oder nicht?
Wie im Startpost 2a00:6020.100::1 oder braucht es das nicht?
https://de.m.wikipedia.org/wiki/Neighbor_Discovery_Protocol
Das sind absolute Basics, ohne die brauchst du gar nicht erst weiter machen.
Ich bin mit diesem Thread jetzt fertig, verkackeiern lassen dürfen sich nun gerne andere.
Ciao und viele Erfolg beim weiteren "vermuten" und "raten" statt zu lesen.
Ich kann nur sagen wie es war.
Daraus ergibt sich ja aber für uns der logische Schluß das da bei dir konfigtechnisch etwas im Argen liegt... Aber du hast das "Phänomen" ja nun auch selber klären können. Klemm einen Wireshark an den WAN Port, dann weisst du was los ist. 5 Minuten für eine IP Adressvergabe klingt schräg.
Normal ist es bei v6 so das der WAN Port als v6DHCP Client rennt und dort vom Provider eine v6 IP und auch ein v6 Prefix bezogen wird (in der Regel /56). Der wird dann über die Indizes der einzelnen lokalen Segmente als /64er weitergegeben. Du kanst den Interface Index dann auch sehen in der Interface v6 IP wenn du dir den Interface Status ansiehst. Eigentlich ein ganz simpler Mechanismus und immer gleich.
Ein Blick in das Firewall Log (DHCP) kann auch nicht schaden. Voher in den Settings die Reihenfolge setzen das du das Aktuellste oben hast und die Logs löschen bevor man was testet.
Es ist doch möglich die Interfaces zu tauschen und nichts anderes habe ich doch oben geschrieben.
Ich habe doch eigentlich immer versucht detailliert kund zu tun was ich mache und warum.
Das ist eventuell für andere auch mal hilfreich, wenn sie diesen Thread aufgreifen.
Neu aufsetzen war ja die grundsätzliche Lösung, darauf muss man erstmal kommen.
Dafür bin ich dankbar.
IPv6 ist für mich absolutes Neuland. Da gibt es seitenweise Bücher drüber, die kann man lesen, ist dann aber oft verwirrter als vorher. Oder wird mir unterstellt ich lese nichts?
Das mag für mich die IPv6 Geschichte sein, für andere sind es andere Themen die nicht auf Computer beogen sind. Es gibt leute die können keinen Nagel in die Wand kloppen, machen es doch aber auch selbst.
Wahrscheinlich hätte ich nicht so stark frequentiert antworten sollen und meine Erkenntnisse mitteilen sollen, das scheint mir ja als Fehler ausgelegt zu werden.
@aqui es ist tatsächlich so. Im Netz liest man sehr viel vom trägen DHCP bei der Deutschen Glasfaser und das der wechselnde Geräte nicht mag. Das ist ja nicht gegeben, wenn immer die selbe Mac, oder gestern einmalig der Wechsel auf eine andere NIC stattfindet.
Sobald ich am WAN etwas ändere, dauert es danach bis zu einer Minute, bis eine IPv4 bezogen wird und dann bis zu 5 Minuten bis die IPv6 kommt. Dadurch, dass dies bei der nackigen pfSense nicht anders war, schiebe ich das mal auf das Netz der DG. Netz schließt den ONT mit ein, denn da hängt ohne Umwege WAN dran.
Ich werde mal mit einem anderen Client testen ob IPv6 richtig angezeigt wird bei test-ipv6.com
Nicht das ich hier wieder den Arsch versohlt bekomme
Letzteres läuft jetzt auch. Schon irre, wenn ein Client eine IPv4 von einem DHCP zugewiesen bekommt der nur Telekom spricht und dann die IPv6 über diese Neighbour Geschichte bezieht. Scheint das auch zu laufen.
Ich habe doch eigentlich immer versucht detailliert kund zu tun was ich mache und warum.
Das ist eventuell für andere auch mal hilfreich, wenn sie diesen Thread aufgreifen.
Neu aufsetzen war ja die grundsätzliche Lösung, darauf muss man erstmal kommen.
Dafür bin ich dankbar.
IPv6 ist für mich absolutes Neuland. Da gibt es seitenweise Bücher drüber, die kann man lesen, ist dann aber oft verwirrter als vorher. Oder wird mir unterstellt ich lese nichts?
Das mag für mich die IPv6 Geschichte sein, für andere sind es andere Themen die nicht auf Computer beogen sind. Es gibt leute die können keinen Nagel in die Wand kloppen, machen es doch aber auch selbst.
Wahrscheinlich hätte ich nicht so stark frequentiert antworten sollen und meine Erkenntnisse mitteilen sollen, das scheint mir ja als Fehler ausgelegt zu werden.
@aqui es ist tatsächlich so. Im Netz liest man sehr viel vom trägen DHCP bei der Deutschen Glasfaser und das der wechselnde Geräte nicht mag. Das ist ja nicht gegeben, wenn immer die selbe Mac, oder gestern einmalig der Wechsel auf eine andere NIC stattfindet.
Sobald ich am WAN etwas ändere, dauert es danach bis zu einer Minute, bis eine IPv4 bezogen wird und dann bis zu 5 Minuten bis die IPv6 kommt. Dadurch, dass dies bei der nackigen pfSense nicht anders war, schiebe ich das mal auf das Netz der DG. Netz schließt den ONT mit ein, denn da hängt ohne Umwege WAN dran.
Ich werde mal mit einem anderen Client testen ob IPv6 richtig angezeigt wird bei test-ipv6.com
Nicht das ich hier wieder den Arsch versohlt bekomme
Letzteres läuft jetzt auch. Schon irre, wenn ein Client eine IPv4 von einem DHCP zugewiesen bekommt der nur Telekom spricht und dann die IPv6 über diese Neighbour Geschichte bezieht. Scheint das auch zu laufen.
IPv6 ist für mich absolutes Neuland.
Niemand wollte dir hier auf die Füße treten, also bitte nicht falsch verstehen. Wenn du mal ganz entspannt bist nimmst du dir einen RasPi zur Hand packst da tcpdump drauf und ackerst mal die IPv6 Praxisbeispiele von HIER durch. Danach ist IPv6 dann für dich olle Kamellen. Die Praxisübungen sind dort sehr anschlaulich und hilfreich.
Du kannst den Test RasPi auch mal direkt dranhängen und tcpdump laufen lassen. Wenn du ein GUI installiert hast auch remote per VNC draufgehen und Wireshark nehmen. All das hilft den Heinis von der DG mal etwas auf die Finger zu sehen.
Solche Zwangswartezeiten und andere kindische Kunden Gängeleien verfolgen nur einen Zweck das man gezwungen wird deren meist billige Zwangshardware zu verwenden. Solche Art Provider versuchen ja immer Kunden zu entmündigen und die EU Vorgabe der freien Routerwahl irgendwie zu umgehen.
Vielleicht noch eine Frage zum Thema DDNS und IPv6 (auch wenn nicht ganz zum Thema passend)
Vielleicht gibt es da aber eine schnelle einfache Antwort.
Ich habe all-inkl als Hoster und der bietet mir an eine Subdomain für DDNS zu nutzen.
Das funktioniert soweit auch und es gibt für IPv4 die Auswahl.
Jedoch bietet All-inkl.com auch die IPv6 Variante an, die ich aufgrund CG-Nat nutzen möchte
Ich habe mich da mal an Custom (v6) versucht, was aber nicht funktioniert.
All-inkl gibt folgendes als Parameter vor dyndns.kasserver.com/?myip=<ipaddr>&myip6=<ip6addr>
Da ich rein IPv6 machen möchte hieße das dyndns.kasserver.com/?myip6=<ip6addr>
So wie es da steht, kann eine Fritzbox was mit anfangen, aber die ist ausgesondert, dank eurer Hilfe.
Nun updatet er bei Custom v6 allerdings nur die IPv4 und nicht die 6er vom WAN, wenn ich die myip Geschichte weglasse.
Testweise habe ich als UpdateURL mal dyndns.kasserver.com/?myip6=fe80::2 gesetzt und er hat diese IP geupdatet.
Das ist ja eigentlich schonmal ein gutes Zeichen.
Das steht in der dyndns.class für die IPv4 Variante.
Als Workarround würde es sogar reichen, wenn es einen Shortcut gäbe, der die IPv6 Adresse einsetzt, dann könnte er ja mittels des Link updaten.
Gibts da einen Ansatz?
Unschön könnte man die http Variante für IPv6 nehmen. Da müsste es ja gehen, dass man die http url im Gateway über den IPv6 verbiegt. Das wäre allerdings recht dreckig in der Lösung.
Vielleicht gibt es da aber eine schnelle einfache Antwort.
Ich habe all-inkl als Hoster und der bietet mir an eine Subdomain für DDNS zu nutzen.
Das funktioniert soweit auch und es gibt für IPv4 die Auswahl.
Jedoch bietet All-inkl.com auch die IPv6 Variante an, die ich aufgrund CG-Nat nutzen möchte
Ich habe mich da mal an Custom (v6) versucht, was aber nicht funktioniert.
All-inkl gibt folgendes als Parameter vor dyndns.kasserver.com/?myip=<ipaddr>&myip6=<ip6addr>
Da ich rein IPv6 machen möchte hieße das dyndns.kasserver.com/?myip6=<ip6addr>
So wie es da steht, kann eine Fritzbox was mit anfangen, aber die ist ausgesondert, dank eurer Hilfe.
Nun updatet er bei Custom v6 allerdings nur die IPv4 und nicht die 6er vom WAN, wenn ich die myip Geschichte weglasse.
Testweise habe ich als UpdateURL mal dyndns.kasserver.com/?myip6=fe80::2 gesetzt und er hat diese IP geupdatet.
Das ist ja eigentlich schonmal ein gutes Zeichen.
case 'all-inkl':
if (preg_match('/good\s' . $this->_dnsIP . '/i', $data)) {
$status = $status_intro . $success_str . gettext("IP Address Changed Successfully!") . " (" . $this->_dnsIP . ")";
$successful_update = true;
} else if (preg_match('/good/i', $data)) {
$status = $status_intro . $error_str . gettext("Result did not match.");
} else if (preg_match("/\s401\sUnauthorized/i", $header)) {
$status = $status_intro . $error_str . gettext("Invalid username or password");
}
else {
$status = $status_intro . "(" . gettext("Unknown Response") . ")";
log_error($status_intro . gettext("PAYLOAD:") . " " . $header . $data);
$this->_debug($data);
$this->_debug($header);
}
break;Als Workarround würde es sogar reichen, wenn es einen Shortcut gäbe, der die IPv6 Adresse einsetzt, dann könnte er ja mittels des Link updaten.
Gibts da einen Ansatz?
Unschön könnte man die http Variante für IPv6 nehmen. Da müsste es ja gehen, dass man die http url im Gateway über den IPv6 verbiegt. Das wäre allerdings recht dreckig in der Lösung.
Neues Thema => Neuer Thread
die IPv6 Variante an, die ich aufgrund CG-Nat nutzen möchte
CG-NAT ?? Sowas gibt es doch bei IPv6 gar nicht ?? Kann es sein das du hier grundsätzlich etwas missverstanden hast bei IPv6 ?Die v6 IP wechselt weil du, sofern du keine feste v6 beantragt hast bei deinem Provider, wechselnde v6 Prefixe bekommst per PD. Du hast dann wechselnde v6 Adressen aber das hat dann rein gar nix mit NAT zu tun, denn NAT gibt es bei v6 nicht.
Eine feste v6 kostet ein paar Cent mehr bei deinem Provider so das der Aufwand mit DDNS fast nie lohnt.
Ansonsten wirklich besser neuer Thread, da andere Thematik.
Ok, neuer Thread.
@aqui das hat Du diesmal falsch verstanden.
Genau mein Satz sagt ja, dass ich die IPv6 Variante von DDNS nutzen möchte, wegen CG-Nat, da die IP nichts wert ist. Heißt IPv4 DDNS ist wertlos.
Ob die DG feste Prefixe anbietet?
Mal beobachten ob und wie das wechselt
@aqui das hat Du diesmal falsch verstanden.
Genau mein Satz sagt ja, dass ich die IPv6 Variante von DDNS nutzen möchte, wegen CG-Nat, da die IP nichts wert ist. Heißt IPv4 DDNS ist wertlos.
Ob die DG feste Prefixe anbietet?
Mal beobachten ob und wie das wechselt
Genau mein Satz sagt ja
Da du aber nicht explizit von v4 und v6 gesprichen hast war der Satz ziemlich verwirrend und man versteht ihn dann auch prompt falsch...aber egal.Ob die DG feste Prefixe anbietet?
Ja ! Macht jeder Provider.
Die DG aber nur für Business Kunden. Mein Prefix den ich hier bekomme habe ich aber seit Beginn meines Vertrages, der hat sich seither nicht geändert, trotz einiger Unterbrechungen und Wartungen durch die DG, und das ist jetzt 1,5 Jahre her.
Das mit dem Prefix 1,5 Jahre ist ja dann fast wir statisch
Ich habe mittlerweile auch eine Lösung für All-inkl.com als DDNS Anbieter in Verbindung mit IPv6 und pfSense gefunden.
Für all-inkl.com als DDNS Anbieter muss man für IPv6 auf Custom V6 stellen.
Benutzername und Passwort ist klar und als Updateurl dyndns.kasserver.com/?myip6=%IP%
Dann fliegt das. In meinem Fall die WAN/128 IP
Ich habe mittlerweile auch eine Lösung für All-inkl.com als DDNS Anbieter in Verbindung mit IPv6 und pfSense gefunden.
Für all-inkl.com als DDNS Anbieter muss man für IPv6 auf Custom V6 stellen.
Benutzername und Passwort ist klar und als Updateurl dyndns.kasserver.com/?myip6=%IP%
Dann fliegt das. In meinem Fall die WAN/128 IP
