117471
Apr 02, 2020
3792
6
0
Ich lerne bzw. hasse IPv6: pi-Hole hinter pfSense hinter Fritz!Box (Kabel Deutschland)
Moin,
ich habe auf einem alten ALIX-Board pi-Hole installiert. Davor hängt eine pfSense (APU) und das Ganze klemmt an einer Fritz!Box von ehemals Kabel Deutschland.
Ich bekomme von Kabel Deutschland eine echte IPv4-Adresse (yeah!) und ein dynamisches /64 IPv6 Netz zugewiesen.
Auf der pfSense tracke ich das WAN-Interface und reiche ein /63er Subnetz per RA an die Clients weiter.
Das funktioniert und ich bin auch fein zufrieden. Alle Clients haben IPv6-Adressen aus dem dynamischen Netz und wenn ich z.B. heise.de anpinge, geht das grundsätzlich über IPv6 raus (auch auf dem pi-Hole).
Was mich allerdings etwas fuchsig macht ist, dass ich via pi-Hole nicht die IPv6-Server von Quad9 befragen kann. Die Option ist ausgegraut was vermutlich damit zu tun hat, dass in der /etc/pihole/serverVars.conf keine IPv6-Adresse steht. Nur - welche (statische!) Adresse sollte ich dort eintragen?
In meinem grenzenlosen Spieltrieb habe ich jetzt auf der Fritz!Box ein ULA-Präfix forciert und das ULA fest eingestellt. Hier, so sieht das aus:
Ich habe jetzt gehofft, dass auf dem pi-Hole und den nachgelagerten Geräten eine Adresse aus dem fd00:: Präfix erscheint, die dort dann als statisch annehmen kann. Aber dem ist (natürlich?) nicht so?!?
Liebe Grüße,
Jörg
ich habe auf einem alten ALIX-Board pi-Hole installiert. Davor hängt eine pfSense (APU) und das Ganze klemmt an einer Fritz!Box von ehemals Kabel Deutschland.
Ich bekomme von Kabel Deutschland eine echte IPv4-Adresse (yeah!) und ein dynamisches /64 IPv6 Netz zugewiesen.
Auf der pfSense tracke ich das WAN-Interface und reiche ein /63er Subnetz per RA an die Clients weiter.
Das funktioniert und ich bin auch fein zufrieden. Alle Clients haben IPv6-Adressen aus dem dynamischen Netz und wenn ich z.B. heise.de anpinge, geht das grundsätzlich über IPv6 raus (auch auf dem pi-Hole).
Was mich allerdings etwas fuchsig macht ist, dass ich via pi-Hole nicht die IPv6-Server von Quad9 befragen kann. Die Option ist ausgegraut was vermutlich damit zu tun hat, dass in der /etc/pihole/serverVars.conf keine IPv6-Adresse steht. Nur - welche (statische!) Adresse sollte ich dort eintragen?
In meinem grenzenlosen Spieltrieb habe ich jetzt auf der Fritz!Box ein ULA-Präfix forciert und das ULA fest eingestellt. Hier, so sieht das aus:
Ich habe jetzt gehofft, dass auf dem pi-Hole und den nachgelagerten Geräten eine Adresse aus dem fd00:: Präfix erscheint, die dort dann als statisch annehmen kann. Aber dem ist (natürlich?) nicht so?!?
Liebe Grüße,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 562649
Url: https://administrator.de/contentid/562649
Printed on: April 18, 2024 at 17:04 o'clock
6 Comments
Latest comment
Moin moin,
warum nutzt du nicht eines der Features von pfSense um Werbung und Tracking zu unterdrücken?
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
MfG
warum nutzt du nicht eines der Features von pfSense um Werbung und Tracking zu unterdrücken?
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
MfG
Bist du sicher, dass pfSense ein 63er-Subnetz weiterreicht? Das wäre ja größer als das ursprünglich zugewiesene.
Falls du /65 meintest: unterhalb von /64 funktioniert die Autokonfiguration nicht. Also entweder musst du dein gesamtes Prefix durchreichen oder über die Fritzbox explizit ein größeres Prefix anfragen (Internet -> Zugangsdaten -> IPv6 -> Verbindungseinstellungen). Üblich sind oft Prefixe der Länge /56 oder auch /60.
:wq
Falls du /65 meintest: unterhalb von /64 funktioniert die Autokonfiguration nicht. Also entweder musst du dein gesamtes Prefix durchreichen oder über die Fritzbox explizit ein größeres Prefix anfragen (Internet -> Zugangsdaten -> IPv6 -> Verbindungseinstellungen). Üblich sind oft Prefixe der Länge /56 oder auch /60.
:wq
Hallo,
die Zugangsdaten werden provisioniert. Es handelt sich um eine Fritz!Box 6360 von Vodafone ehemals Kabel Deutschland mit proprietärer Firmware.
Vom Provider erhalte ich laut Verbindungsinformationen ein /62 Subnetz.
Die o.g. Konfiguration habe ich jetzt verworfen - zum Einen hat sich die SD-Karte zerlegt so dass ich alles neu konfiguriert habe, zum Anderen werde ich zukünftig auf den Pi-Hole verzichten.
Da ich immer noch ziemlich unsicher bin
würde ich meine gesamte Konfiguration gerne noch einmal hinterfragen und hänge hier alles (relevante) an.
WAN und LAN:
DCHP:
Die Fritz!Box:
Vielleicht bekomme ich ein Feedback von Dir?
Danke und liebe Grüße aus Bremen,
Jörg
die Zugangsdaten werden provisioniert. Es handelt sich um eine Fritz!Box 6360 von Vodafone ehemals Kabel Deutschland mit proprietärer Firmware.
Vom Provider erhalte ich laut Verbindungsinformationen ein /62 Subnetz.
Die o.g. Konfiguration habe ich jetzt verworfen - zum Einen hat sich die SD-Karte zerlegt so dass ich alles neu konfiguriert habe, zum Anderen werde ich zukünftig auf den Pi-Hole verzichten.
Da ich immer noch ziemlich unsicher bin
würde ich meine gesamte Konfiguration gerne noch einmal hinterfragen und hänge hier alles (relevante) an.WAN und LAN:
DCHP:
Die Fritz!Box:
Vielleicht bekomme ich ein Feedback von Dir?
Danke und liebe Grüße aus Bremen,
Jörg
Hallo!
Leider habe ich mit pfSense (noch) keine Erfahrung, da ich derzeit noch OpenWRT im Einsatz habe, aber dort läuft es so:
Eigenes Interface WAN6 als "DHCPv6 Client" in derselben Firewall-Zone (quasi ein Alias für WAN). Dafür ist im eigentlichen WAN-Interface die IPv6 Assignment-Length disabled. Bei pfSense ist das wohl eher das getrackte Interface, das scheint mir zu passen.
Auf jeden Fall sind die Einstellungen der Fritzbox korrekt, so viel kann ich schon mal sagen.
Müsstest du nicht den Haken "Enable DHCPv6 server on interface LAN" setzen? Sonst sehe ich mit meinem laienhaften Verständnis von pfSense erstmal keine offensichtlichen Fehlkonfigurationen.
:wq
Leider habe ich mit pfSense (noch) keine Erfahrung, da ich derzeit noch OpenWRT im Einsatz habe, aber dort läuft es so:
Eigenes Interface WAN6 als "DHCPv6 Client" in derselben Firewall-Zone (quasi ein Alias für WAN). Dafür ist im eigentlichen WAN-Interface die IPv6 Assignment-Length disabled. Bei pfSense ist das wohl eher das getrackte Interface, das scheint mir zu passen.
Auf jeden Fall sind die Einstellungen der Fritzbox korrekt, so viel kann ich schon mal sagen.
Müsstest du nicht den Haken "Enable DHCPv6 server on interface LAN" setzen? Sonst sehe ich mit meinem laienhaften Verständnis von pfSense erstmal keine offensichtlichen Fehlkonfigurationen.
:wq
Hallo,
ich meine, das wäre dann ein eigener Server auf der pfSense. Zum Beispiel für ULA-Adressen?!?
Mir geht es in erster Linie um die Netzgröße(n), das Präfix usw.
Gruß,
Jörg
ich meine, das wäre dann ein eigener Server auf der pfSense. Zum Beispiel für ULA-Adressen?!?
Mir geht es in erster Linie um die Netzgröße(n), das Präfix usw.
Gruß,
Jörg
Ah, bislang hielt ich dafür einen DHCPv6 für erforderlich... Du siehst, dass auch ich nicht sonderlich viel Erfahrung auf diesem Gebiet habe. 
Also, wenn das Prefix nur über das RA verteilt werden soll, würde ich vermuten, dass du das Subnetz definieren musst (auf deiner vierten Grafik). Oder am Router Mode musst du noch was ändern.
Ja, da verließen sie ihn.
Ich hätte den DHCPv6 genommen, aber jetzt hab ich bei mir auch wieder was zum Rumspielen, vielen Dank auch!
:wq
EDIT:
Habe in OpenWRT den DHCPv6 ausgeschaltet und das Präfix wird tatsächlich über das Router Advertisement verteilt. Again what learned!
EDIT 2:
Nach diesem Artikel hätte ich den Router Mode auf "Unmanaged" gestellt.
Also, wenn das Prefix nur über das RA verteilt werden soll, würde ich vermuten, dass du das Subnetz definieren musst (auf deiner vierten Grafik). Oder am Router Mode musst du noch was ändern.
Ja, da verließen sie ihn.
Ich hätte den DHCPv6 genommen, aber jetzt hab ich bei mir auch wieder was zum Rumspielen, vielen Dank auch!
:wq
EDIT:
Habe in OpenWRT den DHCPv6 ausgeschaltet und das Präfix wird tatsächlich über das Router Advertisement verteilt. Again what learned!
EDIT 2:
Nach diesem Artikel hätte ich den Router Mode auf "Unmanaged" gestellt.
