raxxis990
May 09, 2021
view5592
view17
0
Goto Top

OPNsense IPv6 Verteilung in alle VLANs

GermanQuestionProtocolsNetworks
Hallo Leute


Aktuell beschäftige ich mich wieder mit meiner OPNsense VM .

Netzwerk Aufbau:

Fritzbox 6490 -> Cisco SG220-26P ->Vmware ESXI Host -> VM OPNsense


Nun bekomme ich von KDG ( Vodafone ) eine Öffentliche IPv4 und eine IPv6 Adresse zugewiesen.

unbenannt

Laut Online Monitor ein /62 aber unter Netzwerk IPv6 steht WAN /64?

ipv61
ipv62
ipv63

Die WAN Schnittstelle bekommt wie in der Übersicht eine IPv6 Adresse.
Überblick
ipv6 wan1
ipv6 wan2

Welchen IPv6 Konfigurationstype wähle dann Unter LAN sowie In den Andern VLAN´s?


Sodas jedes Gerät eine IPv6 von der OPNsense bekommt das auch Clients über v6 ins WWW Kommunizieren können.

Sowie das ich auch von Außerhalb über OpenVPN und IPSEC VPN mich per v6 Verbinden kann.

Alles andere siehe Bilder.


LG Nico
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 666547

Url: https://administrator.de/contentid/666547

Printed on: April 26, 2024 at 17:04 o'clock

17 Comments
Latest comment
Goto Top
Mitglied: 148121
148121 May 09, 2021, updated at May 10, 2021 at 11:37:44 (UTC)
Goto Top
Die LAN Interfaces stellst du dann auf Track IPv6 interface und gibst dann das WAN Interface an das getrackt werden soll. Zusätzlich die Prefix ID (Default 0) mit der man unterschiedliche 64er Netze auf die VLANs verteilen kann.

Intern versorgen sich dann die Clients entweder per unmanaged SLAAC mit den globalen Adressen des Prefixes oder du machst alternativ noch DHCPv6 (kann man bei manueller Config nach Bedarf anpassen inkl. RA Config)

Gruß w.
Member: aqui
aqui May 09, 2021 updated at 12:47:52 (UTC)
Goto Top
Laut Online Monitor ein /62 aber unter Netzwerk IPv6 steht WAN /64?
Lesen und verstehen was Prefix Delegation ist !! face-wink
Dein Router hat die 2a02:810a::2c:4835... /64 am WAN Port bekommen als öffentliche v6 IP.
Das /62er Netz bekommst du per PD zur freien Verteilung in deinem internen LAN als /64er Segmente.
Guckst du dazu auch hier:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Sprich deine "Prefixdelegationsgröße" ist falsch. Wenn dein Provider /62er Prefixe vergibt muss da natürlich auch ein 62 stehen.
Das lokale Interface hast du oben auch unterschlagen:
v6int
Member: raxxis990
raxxis990 May 10, 2021 at 11:02:13 (UTC)
Goto Top
wenn ich jetzt unter LAN Schnittstelle die Präfix ID 0 mache bekommt die schnittstelle eine ipv6 adresse und wenn ich jetzt VLAN 10 Schnittstelle Management die id 1 machen wil mit Track auf die WAN dann kommt immer


Die folgenden Eingabefehler wurden entdeckt:

Sie haben eine IPv6 Präfix-ID spezifiziert, die außerhalb des gültigen Bereichs liegt.
Member: lcer00
lcer00 May 10, 2021 at 11:08:55 (UTC)
Goto Top
Zitat von @raxxis990:

wenn ich jetzt unter LAN Schnittstelle die Präfix ID 0 mache bekommt die schnittstelle eine ipv6 adresse und wenn ich jetzt VLAN 10 Schnittstelle Management die id 1 machen wil mit Track auf die WAN dann kommt immer


Die folgenden Eingabefehler wurden entdeckt:
> 
> Sie haben eine IPv6 Präfix-ID spezifiziert, die außerhalb des gültigen Bereichs liegt.

hast Du:
Sprich deine "Prefixdelegationsgröße" ist falsch. Wenn dein Provider /62er Prefixe vergibt muss da natürlich auch ein 62 stehen.
beachtet?

Grüße

lcer
Member: raxxis990
raxxis990 May 10, 2021 at 11:22:14 (UTC)
Goto Top
Ja ...ob mit 64 oder 62 klappt aber nicht so richtig .


Das bekomme ich von KDG
fb1

WAN Sense
wan11

LAN sense
lan11

Übersicht WAN und LAN
x1
x2
Mitglied: 148121
148121 May 10, 2021 updated at 12:07:53 (UTC)
Goto Top
Der Präfix den du bekommst (62) ist schon zu groß. Du bräuchtest ein 60er oder noch kleineren Präfix denn sonst kann die Fritte aus Prinzip nur 4 64er Netze vergeben.
https://avm.de/service/fritzbox/fritzbox-3270/wissensdatenbank/publicati ...
Member: raxxis990
raxxis990 May 10, 2021 at 11:57:15 (UTC)
Goto Top
Ja und was kann ich ja jetzt machen das ich in allen VLANS ipv6 hab und nutzen kann wenn ich ipv6 schon habe . Habe es genauso gemacht wie in der Anleitung von avm und unter WAN der sense das 62er genommen . jetzt konnte ich LAN 0x0 VLAN 10 0x1 VALN 11 0x2 VLAN 12 0x3 und VLAN 12 0x4 als id ging nicht mehr .

Da es ein leihgerät ist kann ich auch kein anderes Netz Anfordern
Mitglied: 148121
148121 May 10, 2021 updated at 12:02:34 (UTC)
Goto Top
Einfach mal selbst nachrechnen/denken, bei einem 62er Präfix gibt es nur 4 64er Netze und damit auch keine 0x4 Präfix ID ...!!
https://forum.vodafone.de/t5/Archiv-Störungsmeldungen/Feste-IP-Opti ...
Member: lcer00
lcer00 May 10, 2021 at 12:21:36 (UTC)
Goto Top
Hallo,

nimm mal einen Subnetzrechner und rechne:
First Address	2a02:810a:1640:1a04:0000:0000:0000:0000
Last Address	2a02:810a:1640:1a07:ffff:ffff:ffff:ffff
Die IDs sind daher von 4 bis 7 möglich. probier mal die aus.
Falls das klappt, hast Du ein Problem, falls Du keine statische IP hast. Wenn Du nämlich als IP- Bereich 2a02:810a:1640:1a00::/62 bekommst, passen die IDs nicht.
First Address	2a02:810a:1640:1a00:0000:0000:0000:0000
Last Address	2a02:810a:1640:1a03:ffff:ffff:ffff:ffff

Das wäre dann ein Problem der OPNSense-Firmware, die dann offenbar nicht sauber mit ungraden-1-Bit-Präfixen umgehen kann.... Dann gingen halt nur /60 /56 /52 ... präfixe.

Grüße

lcer
Member: raxxis990
raxxis990 May 10, 2021 at 18:38:57 (UTC)
Goto Top
Und was eurer Meinung nach kann ich in meinem Fall machen?
Member: lcer00
lcer00 May 10, 2021 at 18:44:32 (UTC)
Goto Top
Hallo
Zitat von @raxxis990:

Und was eurer Meinung nach kann ich in meinem Fall machen?
Du kannst eventuell eine feste IP beantragen und die Netze dann statisch vergeben.

Grüße

lcer
Member: raxxis990
raxxis990 May 13, 2021 at 07:33:18 (UTC)
Goto Top
Ne geht leider als Privatkunde nicht . So KDG . Also gibt es keine andere Möglichkeit?
Member: aqui
aqui May 13, 2021 at 10:35:59 (UTC)
Goto Top
Und was eurer Meinung nach kann ich in meinem Fall machen?
pfSense verwenden. Die kann mit diesen Prefixes problemlos umgehen... face-wink
Member: lcer00
lcer00 May 13, 2021 at 12:01:25 (UTC)
Goto Top
Hallo,
Zitat von @aqui:

Und was eurer Meinung nach kann ich in meinem Fall machen?
pfSense verwenden. Die kann mit diesen Prefixes problemlos umgehen... face-wink
face-smile face-smile face-smile

Grüße

lcer
Member: raxxis990
raxxis990 May 13, 2021 at 13:54:03 (UTC)
Goto Top
So extra wegen dir habe ich jetzt Pfsense aufgesetzt und dort unter WAN gesagt /62 aber es passiert nix face-smile Im VLAN 10 kommt keine IPv6 Adresse an . Im VLAN interface auf der Sense ist Track auf WAN gestellt mit id 1 und LAN auf 0
pfsense
Mitglied: 148121
148121 May 13, 2021 updated at 15:42:46 (UTC)
Goto Top
Was sollte ne pfSense im Gegensatz zu ner OpnSense an dem Schluss ändern das man bei nem zugewiesenen 62er Prefix nicht mehr als 4 64er Netze rauspressen kann??? Das ist dann wohl ein Märchen von Tante Grete.
Einfach selbst mal nachrechnen min Jung. Es lassen sich nur 2 Bits ändern und zwar das erste und zweite. Ergo max. 4 unterschiedliche 64er Netze. Hast du mehr wirst du diese wohl zusammenlegen müssen.
Und falls du jetzt auf die Idee kommen "mach ich doch z.B. kleinere Netze z.B. ein 72er draus", geht nicht, SLAAC bspw. benötigt zwingend ein 64er Prefix für eine Selbstzuordnung einer Adresse.
Member: lcer00
lcer00 May 13, 2021 at 16:16:55 (UTC)
Goto Top
Hallo,
Zitat von @148121:

Was sollte ne pfSense im Gegensatz zu ner OpnSense an dem Schluss ändern das man bei nem zugewiesenen 62er Prefix nicht mehr als 4 64er Netze rauspressen kann??? Das ist dann wohl ein Märchen von Tante Grete.
Das hat hier keiner behauptet
Einfach selbst mal nachrechnen min Jung. Es lassen sich nur 2 Bits ändern und zwar das erste und zweite. Ergo max. 4 unterschiedliche 64er Netze. Hast du mehr wirst du diese wohl zusammenlegen müssen.
Es ging um die Frage, ob die prefix-ID angehängt oder addiert wird.

Grüße

lcer
GermanQuestionProtocolsNetworks