mario89
Goto Top

PFsense IPv6 - Was mache ich falsch ?

Hallo Leute,

nachdem ich in meiner letzten Frage festgestellt hatte, dass IPv6 mittlerweile ein fester Bestandteil von Netzwerken ist, möchte ich hier nochmals um Unterstützung bitten.

Vorab: Es handelt sich um ein Privates Netz / Keine Produktivnetz etc.

Zielsetzung: Aktivierung von IPv6 im lokalen Netzwerk und Internet.
ISP: Deutsche Telekom

Vorhandene Hardware:
- Zyxel VMG1312 (konfiguriert als reines Modem)
- Pfsense (APU2d4 Board)
-- > igb0 direkter Anschluss an das VMG
--> igb 1 Uplink zum lokalen Netzwerk (Vlan 20)
--> igb2 Uplink zum Gastnetzwerk (VLAN 50) und IOT Netzwerk (VLAN60)

Was habe ich bis jetzt gemacht:


  • 1. IPv6 traffic auf der Pfsense erlaubt (System -> Advanced -> Networking -> "Allow IPv6")

  • 2. WAN Interface angepasst:
- IPv6 Configuration : DHCP6
- Use IPv4 connectivity as parent interface --> Angehakt
- DHCPv6 Prefix Delegation size == 56
- Send IPv6 prefix hint -> Angehakt

  • 3. Monitor IP des WAN_DHCP6 Interface angepasst auf : 2606:4700:4700::1111

  • 4. Modem und Pfsense neugestartet.
=> Im Dashboard ist nun bei WAN eine V6 Adresse beginnend mit 2003: .. zu sehen.

  • 5. Lokales LAN Interface angepasst.
- Hier möchte ich gerne, einen DHCP Server erstellen, welcher mir dann verschiedene ULA Netzwerke bereitstellt.
VLAN 20: fd39:xxxx:xxxx : : 1
VLAN 50: fd39:xxxx:xxxx : 8000 : : 1

Folgende EInstellungen wurden dafür vorgenommen:
- IPv6 Configuration Type : Static IPv6
- IPv6 address: fd39:xxxx:xxxx : : 1 /64

  • 6. DHCP v6 Server
Range: fd39:xxxx:xxxx : : 1000 to fd39:xxxx:xxxx : : 2000
Prefix: 64

Router mode: Managed

  • 7. Firewall Regel Testweise umgestellt:

Allow ANY -> ANY IPv6

  • 8. Unter Diagnostic -> Traceroute ein Test auf google.de gemacht.
Ergebnis:
 2003:0:8600:9800::1  4.805 ms  4.852 ms  4.484 ms
 2  * * *
 3  2003:0:1304:8010::2  10.920 ms  11.325 ms  10.887 ms
 4  2a00:1450:809e::1  14.340 ms
    2a00:1450:80f8::1  11.369 ms
    2a00:1450:808d::1  10.892 ms
 5  2001:4860:0:1::1b36  10.026 ms
    2001:4860:0:1::6fa  15.164 ms *
 6  2001:4860:0:11e0::10  11.228 ms
    2001:4860:0:11e1::e  14.405 ms *
 7  2001:4860::8:0:cb93  14.958 ms  15.427 ms  14.957 ms
 8  2607:f8b0:e000:8000::4  15.005 ms  14.924 ms  15.220 ms
 9  2001:4860::1:0:cd13  14.687 ms *  16.253 ms
10  2001:4860:0:1::5fb  17.431 ms  17.494 ms  17.451 ms
11  2001:4860:0:1::5fb  17.210 ms
    2a00:1450:400e:804::2003  17.436 ms
    2001:4860:0:1::5fb  17.406 ms

  • 9. Mein Rechner bekommt auch eine passende V6 Adresse zugewiesen.
z.b: fd39:xxxx:xxxx : : 1e13

Leider aber habe ich keine Verbindung via V6 ins Inet. Jeder "kompatibilitätstest" erkennt keine V6 Adresse bei mir.

Folgende ergebiss bekomme ich bei " tracert -6 google.de"

Routenverfolgung zu google.de [2a00:1450:400e:808::2003]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  sppfsense.home.nas [fd39:xxxx:xxxx::1]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *        *     Zeitüberschreitung der Anforderung.
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13     *        *        *     Zeitüberschreitung der Anforderung.
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.


Langsam bin ich am Verzweifeln. Habt ihr vielleicht noch einen Anhaltspunkt, woran das liegen könnte?


Vielen Dank schon einmal im Voraus.

Content-Key: 507207

Url: https://administrator.de/contentid/507207

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: 141575
141575 21.10.2019 aktualisiert um 20:18:55 Uhr
Goto Top
Hier möchte ich gerne, einen DHCP Server erstellen, welcher mir dann verschiedene ULA Netzwerke bereitstellt.
Du hast da wohl noch ein grundlegendes Verständnisproblem von IPv6.
Mit einer ULA (Unique Local Address) kann der Client nur Netzintern kommunizieren nicht nach extern, denn IPv6 kennt kein NAT wie bei IPv4. Du musst hier also deinen Clients eine globale IPv6 Adresse aus dem von der Delegöm dir delegierten Prefix zuweisen welches du ja am WAN Port anforderst.

WAN Interface Config

screenshot

LAN Interface Config

screenshot

screenshot


DHCPv6 Server Settings

screenshot

screenshot

Im Status muss dir sowohl am LAN als auch am LAN Port eine globale IPv6 Adresse angezeigt werden, die am LAN kommt dann aus dem zugewiesenen globalen prefix.

screenshot

Dann ziehen die Clients am LAN eine globale IPv6 aus dem Prefix-Pool und haben somit die Möglichkeit eine Verbindung über IPv6 ins Internet aufzubauen.

CW
Mitglied: mario89
mario89 21.10.2019 um 21:09:52 Uhr
Goto Top
Wow vielen dank .

Nun funktioniert endlich alles. Allerdings musste ich den Haken bei : Use IPv4 connectivity as parent interface drin lassen.

Sonst hatte ich keine Adresse zugewiesen bekommen.


Das mit dem NAT hatte ich volkommen falsch verstanden. War hier auch in der V4 Welt. Danke für diesen Hinweis.

Aber so ganz verstehe ich die Adressierung noch nicht.

Eine normale IPv6 Adresse sieht doch wie folgt aus:
AAAA : BBBB : CCCC : DDDD : EEEE : FFFF : GGGG : HHHH

Wenn ich das nun richtig verstehe, so bekomme ich vom Provider ein /56 Netz bereitgestellt

Daraus müsste sich dann doch folgendes ergeben:
AAAA : BBBB: CCXX : XXXX : XXXX : XXXX : XXXX : XXXX

In diesem Netzbereich (mit X ) müsste ich mich nun doch frei bewegen können. Oder verstehe ich das falsch?
Wie kann ich denn nun ein weiteres Netz z.b. das Gestnetz seperat aufziehen?
Wenn ich in dem Gastnetz die gleichen Einstellungen vergebe, so bekomme ich eine Fehlermeldung, dass die ID schon vergeben wurde.
=> Setzte ich die ID nun auf 1 so bekomme ich keine Ip Adresse zugewiesen.

Danke schon einmal im Voraus.
Mitglied: 141575
141575 21.10.2019 aktualisiert um 22:42:12 Uhr
Goto Top
Zitat von @mario89:

Wenn ich das nun richtig verstehe, so bekomme ich vom Provider ein /56 Netz bereitgestellt

Daraus müsste sich dann doch folgendes ergeben:
AAAA : BBBB: CCXX : XXXX : XXXX : XXXX : XXXX : XXXX
Nein da hast du falsch gezählt, bei einem /56er sieht das Prefix so aus
AAAA : BBBB: CCCC : DDXX : XXXX : XXXX : XXXX : XXXX

In diesem Netzbereich (mit X ) müsste ich mich nun doch frei bewegen können. Oder verstehe ich das falsch?
Richtig. Aus aus diesem Pool kannst du Adressen vergeben. Üblicherweise subnettet man aber diesen riesen Adressraum noch in kleinere Einheiten wie z.B. /62er für weitere interne Prefix-Delegation Prefixe oder /64er für die internen Subnetze.
Wie kann ich denn nun ein weiteres Netz z.b. das Gestnetz seperat aufziehen?
Schau dir mal im DHCPv6 Server jeweils für jedes Netz den Range an, damit legst du fest von wo bis wo du Adressen du für das jeweilige Netz vergibst, bzw. legst das jeweilige Subnetz fest. Jedem Netz ein eigenes 64er Subnetz vergeben und schon hast du das Gewünschte.

Hier mal etwas IPv6 Subnetting Basics einfach erklärt
Subnetting mit IPv6 anhand eines Beispiels
Mitglied: aqui
aqui 22.10.2019 aktualisiert um 12:05:08 Uhr
Goto Top
Hier mal ein Beispiel mit einer FritzBüx. Gleiches muss man auf dem Zyxel einstellen.
Wichtig ist das die Prefix Delegation weitergeleitet wird:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
https://avm.de/service/fritzbox/fritzbox-7360/wissensdatenbank/publicati ...
Analog bei einer OpnSense:
https://blog.friedlandreas.net/2018/12/opnsense-ipv6-hinter-einer-fritzb ...
Damit klappt es fehlerlos.

Sehr hilfreich für IPv6 Grundlagen ist wie immer:
https://danrl.com/projects/ipv6-workshop/

(P.S.: Für peinliche Fauxpas' in Thread Überschriften gibt es hier immer den "Bearbeiten" Button als Rettung ! face-wink )
Mitglied: mario89
mario89 23.10.2019 um 17:43:02 Uhr
Goto Top
Vielen Dank für die Rückmeldung.

Was mich jedoch wundert ist dass die CPU Auslastung nach aktivierung der V6 Funktion im Idle schon zu 50% Ausgelastet ist.

Oder habe ich da noch einen fehler drin?


Danke schon einmal im Voruas.
Mitglied: 141575
141575 23.10.2019 aktualisiert um 18:35:40 Uhr
Goto Top
Zitat von @mario89:

Was mich jedoch wundert ist dass die CPU Auslastung nach aktivierung der V6 Funktion im Idle schon zu 50% Ausgelastet ist.

Oder habe ich da noch einen fehler drin?
Ja, ist nicht normal. Schau dir die Logs zur Performance und den einzelnen Prozessauslastungen an.

Danke schon einmal im Voruas.
Bitte.
Mitglied: mario89
mario89 23.10.2019 aktualisiert um 18:43:03 Uhr
Goto Top
Zitat von @141575:

Ja, ist nicht normal. Schau dir die Logs zur Performance und den einzelnen Prozessauslastungen an.


Folgendes konnte ich aus (top) entnehmen:
8069 root          1  79    0  8820K  5152K CPU2    2   0:02 100.59% pfctl
79302 root          1  52    0   103M 42512K piperd  3   1:11  30.07% php-fpm

last pid: 83466;  load averages:  1.38,  1.67,  1.78    up 0+01:23:02  18:42:03
67 processes:  3 running, 64 sleeping
CPU: 20.5% user,  0.0% nice, 19.8% system, 18.2% interrupt, 41.5% idle
Mem: 158M Active, 78M Inact, 261M Wired, 42M Buf, 3417M Free
Swap: 3881M Total, 3881M Free

Wobei ich aber nicht genau deuten kann was bei dem Prozess die AUslastung so hochtreibt.
Mitglied: 141575
141575 24.10.2019 aktualisiert um 10:24:43 Uhr
Goto Top
Da hängt irgendein PHP Prozess, analysiere weiter mit folgenden Methoden
https://docs.netgate.com/pfsense/en/latest/hardware/high-load-troublesho ...
Was du sonst noch an Modulen installiert und aktiv hast wissen wir hier ja nicht.

Und wie immer, Reboot tut gut.
Mitglied: mario89
mario89 24.10.2019 um 11:59:40 Uhr
Goto Top
Hatte die Box mal komplett von Netz genommen. Jetzt scheint es sich gebessert zu haben.

Aber habe aktuell immernoch ein Verständnissproblem mit dem zugeteilten Prefix ;) und der einteilung für die Interfaces IDs.

Verstanden habe ich soweit folgendes:
- ich bekommen ein /56 er Netz von der Telekom zugewiesen.

Folglich sieht mein Netz dann wie folgt aus:
AAAA : BBBB: CCCC : DDXX : XXXX : XXXX : XXXX : XXXX

Die beiden XX sind doch jetzt die ID, welche ich in den einzelnen Netzwerkkarten einstellen kann ?
-> Wenn ich jetzt aber eine andere ID als 0 dort eingebe, bekomme ich zwar eine IP Adresse habe, aber kein Zugang zum Internet.

Weiterhin wundert mich ein wenig, dass die Adressen von den Interface früher als "geplant" abweichen. Die Netzwerkkarten Übernehmen die Adresse nur bis:
AAAA : BBBB: CCXX : XXXX : XXXX : XXXX : XXXX : XXXX

Danke schon einmal im VOraus.
Mitglied: 141575
141575 24.10.2019 aktualisiert um 13:32:19 Uhr
Goto Top
Zitat von @mario89:
Aber habe aktuell immernoch ein Verständnissproblem mit dem zugeteilten Prefix ;) und der einteilung für die Interfaces IDs.

Verstanden habe ich soweit folgendes:
- ich bekommen ein /56 er Netz von der Telekom zugewiesen.

Folglich sieht mein Netz dann wie folgt aus:
AAAA : BBBB: CCCC : DDXX : XXXX : XXXX : XXXX : XXXX

Die beiden XX sind doch jetzt die ID, welche ich in den einzelnen Netzwerkkarten einstellen kann ?
Ich mach mal ein fiktives Beispiel:

Prefix von der Telekom zugewiesen:
2003:f:15:ab00::/56
Bedeutet jetzt das, alles inklusive ab fix ist. Nun willst du ja 64er Netze intern verteilen. d.h. du füllst jetzt quasi mit der ID die beiden 00 auf. Die beiden nullen können jeweils Werte von 0-F annehmen, also bspw. HEX 0F was Dezimal 15 entsprechen würde. Du kannst mit der "ID" also 256 64er-Subnetze auf deine Interfaces verteilen. Die Clients bekommen dann intern ein 64er Prefix zugewiesen das sich aus dem 56er Prefix der Telekom und der benutzerdefinierten InterfaceID (8Bit) zusammensetzt. Jetzt klar?

-> Wenn ich jetzt aber eine andere ID als 0 dort eingebe, bekomme ich zwar eine IP Adresse habe, aber kein Zugang zum Internet.
Wird die ID hier geändert, erst mal reboot. Das Ändern der ID sollte sich dann auf dem jeweiligen Interface zeigen

Weiterhin wundert mich ein wenig, dass die Adressen von den Interface früher als "geplant" abweichen. Die Netzwerkkarten Übernehmen die Adresse nur bis:
AAAA : BBBB: CCXX : XXXX : XXXX : XXXX : XXXX : XXXX
Das ist dann entweder ein Fehler deiner Config, oder du bekommst doch eine andere Prefixgröße zugewiesen (bei Privatanschlüssen eher unwahrscheinlich, dort ist bei der TCom 56er üblich.
Das erklärt dann auch das die Clients dann nicht aus deinem Netz mit den Adressen raus kommen wenn sie ein Prefix benutzen der einem anderen Teilnehmer zugewiesen wurde.
Mitglied: mario89
mario89 24.10.2019 um 18:34:57 Uhr
Goto Top
Hey,

also habe gerade mal direkt in der Sense nachgeschaut:

Adressen als Beispeil:

WAN: 2002:f3:9ccc:4000::

LAN: 2002:f3:9c40:4500::

OPT: 2002:f3:9c40:4501::

Bei Lan ist die "ID" in der Pfsense auf 0 eingestellt. => Zugriff ins Inet

Bei OPT ist die "ID" in der Pfsense auf 1 eingestellt. => Kein Zugriff ins Inet
Mitglied: 141575
141575 24.10.2019 aktualisiert um 22:11:08 Uhr
Goto Top
Die Adressen sind vollkommen I.O. Noch als Hinweis: Die zugewiesene einzelne Adresse am WAN muss nicht aus dem zu dir delegierten Netz stammen die kann und ist meist eine völlig andere!
LAN und Opt bekommen ein eindeutiges Prefix
2002:f3:9c40:45::/56
Und zugewiesene ID stimmt ebenfalls.

Das du an dem einen Port kein Netz hast kann ganz andere Ursachen haben . Geh einfach strickt nach Ausschlussprinzip vor. Ipconfig am Client, DNS Server, tracert, usw. und sofort, das übliche Prozedere das müssen wir dir hier hoffentlich nicht auch noch beibringen?

Ich bin hier jetzt raus.
Les dich einfach noch weiter ein, macht üblicherweise mehr Sinn ...

Viel Erfolg.
Ciao.
Mitglied: mario89
mario89 24.10.2019 um 22:38:49 Uhr
Goto Top
Hallo,

vielen Dank für deine Geduld und Unterstützung. Ich bitte auch zu Entschuldigen, dass ich die Adressen nicht deuten konnte.

Zitat von @141575:

Das du an dem einen Port kein Netz hast kann ganz andere Ursachen haben . Geh einfach strickt nach Ausschlussprinzip vor. Ipconfig am Client, DNS Server, tracert, usw. und sofort, das übliche Prozedere das müssen wir dir hier hoffentlich nicht auch noch beibringen?


Ja ich hoffe dass ich hier weiterkomme. Wollte hier ja niemanden unnötig belästigen.

Danke für die Unterstützung