9
OPNsense - Wo finde ich die IPv6 Präfix Länge?
Hallo zusammen,
ich nutze zu Hause eine OPNsense. Mit der Umstellung auf Vodafone möchte ich gerne auch IPv6-Adressen in den LANs verwenden. Damit verbunden benötige ich die IPv6 Präfix Länge. Um auf dem WAN Interface auf der OPNsense den Parameter "Prefix delegation size" korrekt konfigurieren zu können.
Bei Verwendung einer Fritz!Box wird mir die Information direkt unter Internet -> Online Monitor angezeigt:
Bei der OPNsense habe ich bereits unter Lobby -> Dashboard geschaut. Zudem auch unter Interfaces -> Overview.
Wo finde ich die Information bei einer OPNsense?
Gruß,
Dani
ich nutze zu Hause eine OPNsense. Mit der Umstellung auf Vodafone möchte ich gerne auch IPv6-Adressen in den LANs verwenden. Damit verbunden benötige ich die IPv6 Präfix Länge. Um auf dem WAN Interface auf der OPNsense den Parameter "Prefix delegation size" korrekt konfigurieren zu können.
Bei Verwendung einer Fritz!Box wird mir die Information direkt unter Internet -> Online Monitor angezeigt:
Bei der OPNsense habe ich bereits unter Lobby -> Dashboard geschaut. Zudem auch unter Interfaces -> Overview.
Wo finde ich die Information bei einer OPNsense?
Gruß,
Dani
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670790
Url: https://administrator.de/forum/opnsense-wo-finde-ich-die-ipv6-praefix-laenge-670790.html
Ausgedruckt am: 11.03.2025 um 07:03 Uhr
9 Kommentare
Neuester Kommentar
Damit verbunden benötige ich die IPv6 Präfix Länge
Die Größe des Prefix am Client ist eh nur ein "hint" für den Server am Ende entscheidet der DHCPv6 Server welche Prefix-Größe du bekommst, ob er den "Hinweis" des Clients berücksichtigt ist also nicht zwingend gegeben, du bekommst dann eben das was der Server dir anbietet.Welche Prefix-Größe du zugewiesen bekommen hast, siehst du erst wenn du ein LAN-Interface auf TRACKING stellst und damit ein Prefix angefordert hast. Oder wie immer auch per Capture des DHCPv6 Traffics.
Gruß.
1
Moinsen,
naja, gemäß der Angaben der Fritzbox ein /56er (Telekom?)...
In der Fritzbox siehst du dann idR unter "Heimnetz > Netzwerk > Netzwerkeinstellungen > IP Adressen > IPv6" (wenn v6 denn aktiviert), dass sich die Fritzbox aus dem /56 dann bereits einige eigene /64er herausnimmt (für LAN, Gast LAN, WAN). Du kannst dann aber (ist ja noch groß genug) den "Rest" an die opn/pfsense delegieren...
Ich zb bekomme auch ein /56er, die Fritzbox nimmt sich wie o.g. einige /64er für sich und gibt dann ein /57er weiter an die Pfsense (hier) als "delegiert" (Größe wird in der opn/pfsense hinterlegt) > WAN Interface...
Das WAN Interface dann mit DHCP6, die anderen (LAN, VLANs) mit Track Interface. Ich gebe den VLANs noch eine Subnet ID mit (IPv6 bildet sich dann aus dem Präfix + Subnet ID (heißt in der pfsense "Präfix-ID) + host-Teil (per SLAAC hier).
Für die Subnetze hinter der pfsense je mit /64ern arbeiten sollte idR auch passen.
Hier bekommen dann die Geräte also:
- IPv4 Adresse
- globale IPv6 (aus dem o.g. Präfix usw)
- ULA IPv6 (weil sich das olle globale Präfix ja immer mal ändert...)
- linklocale IPv6
Läuft.
Hoffe bei dir dann auch.
naja, gemäß der Angaben der Fritzbox ein /56er (Telekom?)...
In der Fritzbox siehst du dann idR unter "Heimnetz > Netzwerk > Netzwerkeinstellungen > IP Adressen > IPv6" (wenn v6 denn aktiviert), dass sich die Fritzbox aus dem /56 dann bereits einige eigene /64er herausnimmt (für LAN, Gast LAN, WAN). Du kannst dann aber (ist ja noch groß genug) den "Rest" an die opn/pfsense delegieren...
Ich zb bekomme auch ein /56er, die Fritzbox nimmt sich wie o.g. einige /64er für sich und gibt dann ein /57er weiter an die Pfsense (hier) als "delegiert" (Größe wird in der opn/pfsense hinterlegt) > WAN Interface...
Das WAN Interface dann mit DHCP6, die anderen (LAN, VLANs) mit Track Interface. Ich gebe den VLANs noch eine Subnet ID mit (IPv6 bildet sich dann aus dem Präfix + Subnet ID (heißt in der pfsense "Präfix-ID) + host-Teil (per SLAAC hier).
Für die Subnetze hinter der pfsense je mit /64ern arbeiten sollte idR auch passen.
Hier bekommen dann die Geräte also:
- IPv4 Adresse
- globale IPv6 (aus dem o.g. Präfix usw)
- ULA IPv6 (weil sich das olle globale Präfix ja immer mal ändert...)
- linklocale IPv6
Läuft.
Hoffe bei dir dann auch.
Heyo,
ich gehe mal davon aus, dass du eine Router-Kaskade (Interwebz <-> FB <-> OPNsense <-> Endgeräte) umsetzen möchtest.
Dafür musst du zunächst in der Fritze den folgenden Punkt setzen:
Zu finden unter Heimnetz => Netzwerk => Tab Netzwerk-Einstellungen => Ganz unten Erweiterte Einstellungen ausklappen => IPv6-Einstellungen
In der OPNsense dann im WAN auf DHCPv6, Prefix Hint würd ich auf beispielsweise /62 (4 nutzbare Netze) oder /60 (16 nutzbare Netze) stellen, im Blick behalten, dass die FB selber 2 Netze benötigt (FB-LAN und FB-Gastnetz)
Hier mal beispielsweise meine Settings für das WAN-IF der Sense
Dann in der OPNsense das LAN-Interface für IPv6 auf TRACK stellen, als Parent WAN auswählen und eine Prefix-ID vergeben (beim ersten Netz optional)
Hierbei im Hinterkopf behalten, dass du bei einem delegierten Präfix von /62 als Prefix ID die Optionen 0-3 zur Verfügung stehen, bei /60 dann entsprechend 0-f.
Ich würde zusätzlich für mehr Kontrolle, beispielsweise für ein eingesetztes PiHole, PXE oder ähnliches, den Haken für die manuelle RA-Konfiguration setzen.
Hier als Beispiel meine LAN-Settings:
Nach dem Speichern ploppt unter den Services (manchmal braucht's einen Reload der Weboberfläche) den neuen Tab Router Advertisements.
Ich habe bei mir den DHCPv6 nicht im Einsatz, da mir die Optionen der RAs zurzeit noch ausreichen, entsprechend kann ich hier keine Erfahrungswerte beisteuern. Wenn du hinter der Sense keine zusätzlichen kaskadierten Netze nutzen möchtest, wirst du wahrscheinlich DHCPv6 auch vorerst nicht benötigen. RA sollte dann auch bei dir ausreichen.
Wenn du im OPNsense-LAN beispielsweise Android-Geräte nutzt, benötigst du zwingend die Router Advertisement-Konfiguration aufgrund von SLAAC.
Hier meine Konfiguration für SLAAC. Ist relativ unspannend. Die Sense ist das Default Gateway, also Haken rein. Dazu gibt's noch ne DNS-Konfig per SLAAC, also Flag Unmanaged und fertig.
Ein mit Sicherheit umstrittener Punkt ist jetzt das Thema Freigaben. Die Sense ist eine Firewall, entsprechend kann sie die nachgelagerten Netze per se erstmal schützen. Jetzt gibt's 2 Optionen, wie du Freigaben handlen kannst:
- Entweder du gibst in der FB eine Sammelfreigabe für alle delegierten Netze an (gibt's in der FB in dem Geräteeintrag einen eigenen Haken für)
- Oder du musst jede Freigabe sowohl in der Fritze, als auch in der Sense konfigurieren. Sicherheit +, aber auch mehr Arbeit.
Wichtig: Selbst wenn du die FB-Firewall für die delegierten Netze freischaltest, ist das WAN-IF der Sense selber weiterhin durch die FB-FW geschützt. Da gibt's einen seperaten Eintrag, das Gerät als Exposed Host freizugeben.
Auch wichtig: Im IPv6 ist alles, was mit 2xxx: oder 3xxx: anfängt, tendenziell öffentlich erreichbar. Bitte vermeide also, in der FB das delegierte Netz komplett freizugeben und dann in der Sense eine Allow_Any_to_Any-Regel von WAN zu LAN zu konfigurieren... Sollte selbstverständlich sein, der Sicherheit halber möcht ich's aber trotzdem nochmal betonen.
Viel Spaß beim Sensen!
ich gehe mal davon aus, dass du eine Router-Kaskade (Interwebz <-> FB <-> OPNsense <-> Endgeräte) umsetzen möchtest.
Dafür musst du zunächst in der Fritze den folgenden Punkt setzen:
Zu finden unter Heimnetz => Netzwerk => Tab Netzwerk-Einstellungen => Ganz unten Erweiterte Einstellungen ausklappen => IPv6-Einstellungen
In der OPNsense dann im WAN auf DHCPv6, Prefix Hint würd ich auf beispielsweise /62 (4 nutzbare Netze) oder /60 (16 nutzbare Netze) stellen, im Blick behalten, dass die FB selber 2 Netze benötigt (FB-LAN und FB-Gastnetz)
Hier mal beispielsweise meine Settings für das WAN-IF der Sense
Dann in der OPNsense das LAN-Interface für IPv6 auf TRACK stellen, als Parent WAN auswählen und eine Prefix-ID vergeben (beim ersten Netz optional)
Hierbei im Hinterkopf behalten, dass du bei einem delegierten Präfix von /62 als Prefix ID die Optionen 0-3 zur Verfügung stehen, bei /60 dann entsprechend 0-f.
Ich würde zusätzlich für mehr Kontrolle, beispielsweise für ein eingesetztes PiHole, PXE oder ähnliches, den Haken für die manuelle RA-Konfiguration setzen.
Hier als Beispiel meine LAN-Settings:
Nach dem Speichern ploppt unter den Services (manchmal braucht's einen Reload der Weboberfläche) den neuen Tab Router Advertisements.
Ich habe bei mir den DHCPv6 nicht im Einsatz, da mir die Optionen der RAs zurzeit noch ausreichen, entsprechend kann ich hier keine Erfahrungswerte beisteuern. Wenn du hinter der Sense keine zusätzlichen kaskadierten Netze nutzen möchtest, wirst du wahrscheinlich DHCPv6 auch vorerst nicht benötigen. RA sollte dann auch bei dir ausreichen.
Wenn du im OPNsense-LAN beispielsweise Android-Geräte nutzt, benötigst du zwingend die Router Advertisement-Konfiguration aufgrund von SLAAC.
Hier meine Konfiguration für SLAAC. Ist relativ unspannend. Die Sense ist das Default Gateway, also Haken rein. Dazu gibt's noch ne DNS-Konfig per SLAAC, also Flag Unmanaged und fertig.
Ein mit Sicherheit umstrittener Punkt ist jetzt das Thema Freigaben. Die Sense ist eine Firewall, entsprechend kann sie die nachgelagerten Netze per se erstmal schützen. Jetzt gibt's 2 Optionen, wie du Freigaben handlen kannst:
- Entweder du gibst in der FB eine Sammelfreigabe für alle delegierten Netze an (gibt's in der FB in dem Geräteeintrag einen eigenen Haken für)
- Oder du musst jede Freigabe sowohl in der Fritze, als auch in der Sense konfigurieren. Sicherheit +, aber auch mehr Arbeit.
Wichtig: Selbst wenn du die FB-Firewall für die delegierten Netze freischaltest, ist das WAN-IF der Sense selber weiterhin durch die FB-FW geschützt. Da gibt's einen seperaten Eintrag, das Gerät als Exposed Host freizugeben.
Auch wichtig: Im IPv6 ist alles, was mit 2xxx: oder 3xxx: anfängt, tendenziell öffentlich erreichbar. Bitte vermeide also, in der FB das delegierte Netz komplett freizugeben und dann in der Sense eine Allow_Any_to_Any-Regel von WAN zu LAN zu konfigurieren... Sollte selbstverständlich sein, der Sicherheit halber möcht ich's aber trotzdem nochmal betonen.
Viel Spaß beim Sensen!
Sofern keine kaskadierte Fritzbox davor ist (nur Modem etc. am WAN) ein Beispiel mit direktem WAN Port und einer /62er Prefix Delegation. (DHCPv6 Client)
In der Übersicht am WAN Port und Vergrößerungsglas ist das was du suchst. (Siehe Kommentar unten)
Works as designed... 😉
In der Übersicht am WAN Port und Vergrößerungsglas ist das was du suchst. (Siehe Kommentar unten)
Works as designed... 😉
Hallo @aqui,
@helarion
@the.other
@151183
Gruß,
Dani
Gruß,
Dani
Sofern keine kaskadierte Fritzbox davor ist (nur Modem etc. am WAN)
so ist es. Modem -> OPNsense. ein Beispiel mit direktem WAN Port und einer /62er Prefix Delegation. (DHCPv6 Client)
Wenn ich als Router eine Fritz!Box habe, sehe ich das an der beschriebene Stelle. Wo sehe ich diese Info bei OPNsense, wenn keine Fritz!Box vorhanden ist? Weil die Größe variiert von ISP zu ISP. Sogarteilweise innerhalb eines ISP.@helarion
ich gehe mal davon aus, dass du eine Router-Kaskade (Interwebz <-> FB <-> OPNsense <-> Endgeräte) umsetzen möchtest.
Nein, möchte ich nicht.In der OPNsense dann im WAN auf DHCPv6, Prefix Hint würd ich auf beispielsweise /62 (4 nutzbare Netze) oder /60 (16 nutzbare Netze) stellen
Und genau das ist die Frage. Wo sehe ich die Information, welche Prefix Length mir der Provider zu teilt?@the.other
naja, gemäß der Angaben der Fritzbox ein /56er (Telekom?)...
Nein, ist kein DTAG Anschluss. Abgesehen davon verwende ich an meinem Anschluss keine Fritz!Box mehr, sondern eine OPNsense in Kombination mit einem Modem. In diesem Fall habe ich die Info vorher noch auf der Fritz!Box gesichert. Wenn mein ISP aber das Design seines IPv6 Netzes vornimmt, kann sich die Präfix Länge jederzeit auch wieder ändern.@151183
Welche Prefix-Größe du zugewiesen bekommen hast, siehst du erst wenn du ein LAN-Interface auf TRACKING stellst und damit ein Prefix angefordert hast. Oder wie immer auch per Capture des DHCPv6 Traffics.
Auf den LAN Interfaces habe ich immer ein /64. Das ist auch so in Ordnung. Mir geht es in dieser Frage um den Parameter "Prefix delegation size" auf den WAN Interface. Und den muss ich doch vorab korrekt konfigurieren, damit die LAN Interface entsprechende Subnetze erhalten können.Gruß,
Dani
Gruß,
Dani
Und den muss ich doch vorab korrekt konfigurieren, damit die LAN Interface entsprechende Subnetze erhalten können.
Nein nicht zwingend, wie gesagt das ist nur ein "Hint" an dem DHCPv6 Server, wenn du den nicht sendest (Haken für "Hint senden" entfernen) bekommst du den Prefix den der Provider vorsieht automatisch. Aber auch wenn du bspw. einen ungültigen Hint eintragen würdest (z.B. /48 statt vom Provider ein /56er vorgesehen) ignorieren das die meisten DHCPv6 Server und geben dir dann den den der Provider als Prefix vorgesehen hat.Das was der Provider vergibt zeigt dir jederzeit auch ein fixer Mitschnitt der DHCPv6 Frames am WAN via Packet Capture oder tcpdump ....
https://docs.opnsense.org/manual/diagnostics_interfaces.html
1
Dank deiner Antworten habe ich dann jetzt auch begriffen, dass die Fritze da quasi nur testweise drangehangen hat.
Sorry, stand bei mir wohl einer auf der Faser :D
@Dani
In deinem Screenshot von der Fritze, IPv6-Prefix, steht: Du erhältst ein /56.
Die Information, die du suchst, findest du in der OPNsense (Version 24.7.12) unter
Interfaces => Overview => Lupen-Symbol beim WAN => "Dynamic IPv6 prefix received" (oder resp. deutsche Übersetzung)
Ich würde tatsächlich jetzt stumpf empfehlen, bei dem Prefix Hint im DHCPv6 im WAN mal 56 einzutragen, das Ganze anzuwenden und schauen, was zurückkam.
Sorry, stand bei mir wohl einer auf der Faser :D
@Dani
Wo sehe ich die Information, welche Prefix Length mir der Provider zu teilt?
In deinem Screenshot von der Fritze, IPv6-Prefix, steht: Du erhältst ein /56.
Die Information, die du suchst, findest du in der OPNsense (Version 24.7.12) unter
Interfaces => Overview => Lupen-Symbol beim WAN => "Dynamic IPv6 prefix received" (oder resp. deutsche Übersetzung)
Ich würde tatsächlich jetzt stumpf empfehlen, bei dem Prefix Hint im DHCPv6 im WAN mal 56 einzutragen, das Ganze anzuwenden und schauen, was zurückkam.
1
Moin,
Ah... da habe ich nicht drauf geklickt. Danach habe ich gesucht. Danke dir.
Gruß,
Dani
Die Information, die du suchst, findest du in der OPNsense (Version 24.7.12) unter
Interfaces => Overview => Lupen-Symbol beim WAN => "Dynamic IPv6 prefix received" (oder resp. deutsche Übersetzung)Ah... da habe ich nicht drauf geklickt. Danach habe ich gesucht. Danke dir.
In deinem Screenshot von der Fritze, IPv6-Prefix, steht: Du erhältst ein /56.
Gut beobachtet. In dem Fall ist es einfach ein Referenz Screenshot von einer beliebigen Fritz!Box. Ich weiß nicht mal wo die steht. Ich würde tatsächlich jetzt stumpf empfehlen, bei dem Prefix Hint im DHCPv6 im WAN mal 56 einzutragen, das Ganze anzuwenden und schauen, was zurückkam.
Bringt in diesem Fall nichts. Der ISP vergibt in diesem Fall immer die gleiche Größe. Egal was ich eintrage.Gruß,
Dani
Bringt in diesem Fall nichts. Der ISP vergibt in diesem Fall immer die gleiche Größe. Egal was ich eintrage.
Deshalb ist es auch nur ein Hint wie Kollege @151183 oben schon schrieb. 
Die Prefix Übersicht bei der Fritzbox sieht man gleich beim Login ins WebGUI im Dasboard der Internet Verbindung.
