PFsense IPv6 - Was mache ich falsch ?
Hallo Leute,
nachdem ich in meiner letzten Frage festgestellt hatte, dass IPv6 mittlerweile ein fester Bestandteil von Netzwerken ist, möchte ich hier nochmals um Unterstützung bitten.
Vorab: Es handelt sich um ein Privates Netz / Keine Produktivnetz etc.
Zielsetzung: Aktivierung von IPv6 im lokalen Netzwerk und Internet.
ISP: Deutsche Telekom
Vorhandene Hardware:
- Zyxel VMG1312 (konfiguriert als reines Modem)
- Pfsense (APU2d4 Board)
-- > igb0 direkter Anschluss an das VMG
--> igb 1 Uplink zum lokalen Netzwerk (Vlan 20)
--> igb2 Uplink zum Gastnetzwerk (VLAN 50) und IOT Netzwerk (VLAN60)
Was habe ich bis jetzt gemacht:
- Use IPv4 connectivity as parent interface --> Angehakt
- DHCPv6 Prefix Delegation size == 56
- Send IPv6 prefix hint -> Angehakt
VLAN 20: fd39:xxxx:xxxx : : 1
VLAN 50: fd39:xxxx:xxxx : 8000 : : 1
Folgende EInstellungen wurden dafür vorgenommen:
- IPv6 Configuration Type : Static IPv6
- IPv6 address: fd39:xxxx:xxxx : : 1 /64
Prefix: 64
Router mode: Managed
Allow ANY -> ANY IPv6
Leider aber habe ich keine Verbindung via V6 ins Inet. Jeder "kompatibilitätstest" erkennt keine V6 Adresse bei mir.
Folgende ergebiss bekomme ich bei " tracert -6 google.de"
Langsam bin ich am Verzweifeln. Habt ihr vielleicht noch einen Anhaltspunkt, woran das liegen könnte?
Vielen Dank schon einmal im Voraus.
nachdem ich in meiner letzten Frage festgestellt hatte, dass IPv6 mittlerweile ein fester Bestandteil von Netzwerken ist, möchte ich hier nochmals um Unterstützung bitten.
Vorab: Es handelt sich um ein Privates Netz / Keine Produktivnetz etc.
Zielsetzung: Aktivierung von IPv6 im lokalen Netzwerk und Internet.
ISP: Deutsche Telekom
Vorhandene Hardware:
- Zyxel VMG1312 (konfiguriert als reines Modem)
- Pfsense (APU2d4 Board)
-- > igb0 direkter Anschluss an das VMG
--> igb 1 Uplink zum lokalen Netzwerk (Vlan 20)
--> igb2 Uplink zum Gastnetzwerk (VLAN 50) und IOT Netzwerk (VLAN60)
Was habe ich bis jetzt gemacht:
- 1. IPv6 traffic auf der Pfsense erlaubt (System -> Advanced -> Networking -> "Allow IPv6")
- 2. WAN Interface angepasst:
- Use IPv4 connectivity as parent interface --> Angehakt
- DHCPv6 Prefix Delegation size == 56
- Send IPv6 prefix hint -> Angehakt
- 3. Monitor IP des WAN_DHCP6 Interface angepasst auf : 2606:4700:4700::1111
- 4. Modem und Pfsense neugestartet.
- 5. Lokales LAN Interface angepasst.
VLAN 20: fd39:xxxx:xxxx : : 1
VLAN 50: fd39:xxxx:xxxx : 8000 : : 1
Folgende EInstellungen wurden dafür vorgenommen:
- IPv6 Configuration Type : Static IPv6
- IPv6 address: fd39:xxxx:xxxx : : 1 /64
- 6. DHCP v6 Server
Prefix: 64
Router mode: Managed
- 7. Firewall Regel Testweise umgestellt:
Allow ANY -> ANY IPv6
- 8. Unter Diagnostic -> Traceroute ein Test auf google.de gemacht.
2003:0:8600:9800::1 4.805 ms 4.852 ms 4.484 ms
2 * * *
3 2003:0:1304:8010::2 10.920 ms 11.325 ms 10.887 ms
4 2a00:1450:809e::1 14.340 ms
2a00:1450:80f8::1 11.369 ms
2a00:1450:808d::1 10.892 ms
5 2001:4860:0:1::1b36 10.026 ms
2001:4860:0:1::6fa 15.164 ms *
6 2001:4860:0:11e0::10 11.228 ms
2001:4860:0:11e1::e 14.405 ms *
7 2001:4860::8:0:cb93 14.958 ms 15.427 ms 14.957 ms
8 2607:f8b0:e000:8000::4 15.005 ms 14.924 ms 15.220 ms
9 2001:4860::1:0:cd13 14.687 ms * 16.253 ms
10 2001:4860:0:1::5fb 17.431 ms 17.494 ms 17.451 ms
11 2001:4860:0:1::5fb 17.210 ms
2a00:1450:400e:804::2003 17.436 ms
2001:4860:0:1::5fb 17.406 ms
- 9. Mein Rechner bekommt auch eine passende V6 Adresse zugewiesen.
Leider aber habe ich keine Verbindung via V6 ins Inet. Jeder "kompatibilitätstest" erkennt keine V6 Adresse bei mir.
Folgende ergebiss bekomme ich bei " tracert -6 google.de"
Routenverfolgung zu google.de [2a00:1450:400e:808::2003]
über maximal 30 Hops:
1 <1 ms <1 ms <1 ms sppfsense.home.nas [fd39:xxxx:xxxx::1]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.
8 * * * Zeitüberschreitung der Anforderung.
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 * * * Zeitüberschreitung der Anforderung.
13 * * * Zeitüberschreitung der Anforderung.
14 * * * Zeitüberschreitung der Anforderung.
15 * * * Zeitüberschreitung der Anforderung.
16 * * * Zeitüberschreitung der Anforderung.
Langsam bin ich am Verzweifeln. Habt ihr vielleicht noch einen Anhaltspunkt, woran das liegen könnte?
Vielen Dank schon einmal im Voraus.
Please also mark the comments that contributed to the solution of the article
Content-ID: 507207
Url: https://administrator.de/contentid/507207
Printed on: October 11, 2024 at 02:10 o'clock
13 Comments
Latest comment
Hier möchte ich gerne, einen DHCP Server erstellen, welcher mir dann verschiedene ULA Netzwerke bereitstellt.
Du hast da wohl noch ein grundlegendes Verständnisproblem von IPv6.Mit einer ULA (Unique Local Address) kann der Client nur Netzintern kommunizieren nicht nach extern, denn IPv6 kennt kein NAT wie bei IPv4. Du musst hier also deinen Clients eine globale IPv6 Adresse aus dem von der Delegöm dir delegierten Prefix zuweisen welches du ja am WAN Port anforderst.
WAN Interface Config
LAN Interface Config
DHCPv6 Server Settings
Im Status muss dir sowohl am LAN als auch am LAN Port eine globale IPv6 Adresse angezeigt werden, die am LAN kommt dann aus dem zugewiesenen globalen prefix.
Dann ziehen die Clients am LAN eine globale IPv6 aus dem Prefix-Pool und haben somit die Möglichkeit eine Verbindung über IPv6 ins Internet aufzubauen.
CW
Zitat von @mario89:
Wenn ich das nun richtig verstehe, so bekomme ich vom Provider ein /56 Netz bereitgestellt
Daraus müsste sich dann doch folgendes ergeben:
AAAA : BBBB: CCXX : XXXX : XXXX : XXXX : XXXX : XXXX
Nein da hast du falsch gezählt, bei einem /56er sieht das Prefix so ausWenn ich das nun richtig verstehe, so bekomme ich vom Provider ein /56 Netz bereitgestellt
Daraus müsste sich dann doch folgendes ergeben:
AAAA : BBBB: CCXX : XXXX : XXXX : XXXX : XXXX : XXXX
AAAA : BBBB: CCCC : DDXX : XXXX : XXXX : XXXX : XXXX
In diesem Netzbereich (mit X ) müsste ich mich nun doch frei bewegen können. Oder verstehe ich das falsch?
Richtig. Aus aus diesem Pool kannst du Adressen vergeben. Üblicherweise subnettet man aber diesen riesen Adressraum noch in kleinere Einheiten wie z.B. /62er für weitere interne Prefix-Delegation Prefixe oder /64er für die internen Subnetze.Wie kann ich denn nun ein weiteres Netz z.b. das Gestnetz seperat aufziehen?
Schau dir mal im DHCPv6 Server jeweils für jedes Netz den Range an, damit legst du fest von wo bis wo du Adressen du für das jeweilige Netz vergibst, bzw. legst das jeweilige Subnetz fest. Jedem Netz ein eigenes 64er Subnetz vergeben und schon hast du das Gewünschte.Hier mal etwas IPv6 Subnetting Basics einfach erklärt
Subnetting mit IPv6 anhand eines Beispiels
Hier mal ein Beispiel mit einer FritzBüx. Gleiches muss man auf dem Zyxel einstellen.
Wichtig ist das die Prefix Delegation weitergeleitet wird:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
https://avm.de/service/fritzbox/fritzbox-7360/wissensdatenbank/publicati ...
Analog bei einer OpnSense:
https://blog.friedlandreas.net/2018/12/opnsense-ipv6-hinter-einer-fritzb ...
Damit klappt es fehlerlos.
Sehr hilfreich für IPv6 Grundlagen ist wie immer:
https://danrl.com/projects/ipv6-workshop/
(P.S.: Für peinliche Fauxpas' in Thread Überschriften gibt es hier immer den "Bearbeiten" Button als Rettung ! )
Wichtig ist das die Prefix Delegation weitergeleitet wird:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
https://avm.de/service/fritzbox/fritzbox-7360/wissensdatenbank/publicati ...
Analog bei einer OpnSense:
https://blog.friedlandreas.net/2018/12/opnsense-ipv6-hinter-einer-fritzb ...
Damit klappt es fehlerlos.
Sehr hilfreich für IPv6 Grundlagen ist wie immer:
https://danrl.com/projects/ipv6-workshop/
(P.S.: Für peinliche Fauxpas' in Thread Überschriften gibt es hier immer den "Bearbeiten" Button als Rettung ! )
Zitat von @mario89:
Was mich jedoch wundert ist dass die CPU Auslastung nach aktivierung der V6 Funktion im Idle schon zu 50% Ausgelastet ist.
Oder habe ich da noch einen fehler drin?
Ja, ist nicht normal. Schau dir die Logs zur Performance und den einzelnen Prozessauslastungen an.Was mich jedoch wundert ist dass die CPU Auslastung nach aktivierung der V6 Funktion im Idle schon zu 50% Ausgelastet ist.
Oder habe ich da noch einen fehler drin?
Danke schon einmal im Voruas.
Da hängt irgendein PHP Prozess, analysiere weiter mit folgenden Methoden
https://docs.netgate.com/pfsense/en/latest/hardware/high-load-troublesho ...
Was du sonst noch an Modulen installiert und aktiv hast wissen wir hier ja nicht.
Und wie immer, Reboot tut gut.
https://docs.netgate.com/pfsense/en/latest/hardware/high-load-troublesho ...
Was du sonst noch an Modulen installiert und aktiv hast wissen wir hier ja nicht.
Und wie immer, Reboot tut gut.
Zitat von @mario89:
Aber habe aktuell immernoch ein Verständnissproblem mit dem zugeteilten Prefix ;) und der einteilung für die Interfaces IDs.
Verstanden habe ich soweit folgendes:
- ich bekommen ein /56 er Netz von der Telekom zugewiesen.
Folglich sieht mein Netz dann wie folgt aus:
Die beiden XX sind doch jetzt die ID, welche ich in den einzelnen Netzwerkkarten einstellen kann ?
Ich mach mal ein fiktives Beispiel:Aber habe aktuell immernoch ein Verständnissproblem mit dem zugeteilten Prefix ;) und der einteilung für die Interfaces IDs.
Verstanden habe ich soweit folgendes:
- ich bekommen ein /56 er Netz von der Telekom zugewiesen.
Folglich sieht mein Netz dann wie folgt aus:
AAAA : BBBB: CCCC : DDXX : XXXX : XXXX : XXXX : XXXX
Die beiden XX sind doch jetzt die ID, welche ich in den einzelnen Netzwerkkarten einstellen kann ?
Prefix von der Telekom zugewiesen:
2003:f:15:ab00::/56
Bedeutet jetzt das, alles inklusive ab fix ist. Nun willst du ja 64er Netze intern verteilen. d.h. du füllst jetzt quasi mit der ID die beiden 00 auf. Die beiden nullen können jeweils Werte von 0-F annehmen, also bspw. HEX 0F was Dezimal 15 entsprechen würde. Du kannst mit der "ID" also 256 64er-Subnetze auf deine Interfaces verteilen. Die Clients bekommen dann intern ein 64er Prefix zugewiesen das sich aus dem 56er Prefix der Telekom und der benutzerdefinierten InterfaceID (8Bit) zusammensetzt. Jetzt klar?
-> Wenn ich jetzt aber eine andere ID als 0 dort eingebe, bekomme ich zwar eine IP Adresse habe, aber kein Zugang zum Internet.
Wird die ID hier geändert, erst mal reboot. Das Ändern der ID sollte sich dann auf dem jeweiligen Interface zeigenWeiterhin wundert mich ein wenig, dass die Adressen von den Interface früher als "geplant" abweichen. Die Netzwerkkarten Übernehmen die Adresse nur bis:
Das ist dann entweder ein Fehler deiner Config, oder du bekommst doch eine andere Prefixgröße zugewiesen (bei Privatanschlüssen eher unwahrscheinlich, dort ist bei der TCom 56er üblich.AAAA : BBBB: CCXX : XXXX : XXXX : XXXX : XXXX : XXXX
Das erklärt dann auch das die Clients dann nicht aus deinem Netz mit den Adressen raus kommen wenn sie ein Prefix benutzen der einem anderen Teilnehmer zugewiesen wurde.
Die Adressen sind vollkommen I.O. Noch als Hinweis: Die zugewiesene einzelne Adresse am WAN muss nicht aus dem zu dir delegierten Netz stammen die kann und ist meist eine völlig andere!
LAN und Opt bekommen ein eindeutiges Prefix
2002:f3:9c40:45::/56
Und zugewiesene ID stimmt ebenfalls.
Das du an dem einen Port kein Netz hast kann ganz andere Ursachen haben . Geh einfach strickt nach Ausschlussprinzip vor. Ipconfig am Client, DNS Server, tracert, usw. und sofort, das übliche Prozedere das müssen wir dir hier hoffentlich nicht auch noch beibringen?
Ich bin hier jetzt raus.
Les dich einfach noch weiter ein, macht üblicherweise mehr Sinn ...
Viel Erfolg.
Ciao.
LAN und Opt bekommen ein eindeutiges Prefix
2002:f3:9c40:45::/56
Und zugewiesene ID stimmt ebenfalls.
Das du an dem einen Port kein Netz hast kann ganz andere Ursachen haben . Geh einfach strickt nach Ausschlussprinzip vor. Ipconfig am Client, DNS Server, tracert, usw. und sofort, das übliche Prozedere das müssen wir dir hier hoffentlich nicht auch noch beibringen?
Ich bin hier jetzt raus.
Les dich einfach noch weiter ein, macht üblicherweise mehr Sinn ...
Viel Erfolg.
Ciao.