123201
Nov 08, 2020, updated at 11:58:24 (UTC)
6063
14
0
Router Advertisement bei OpnSense
Hi 
Ich zerbreche mir aktuell hier den Kopf.
Ich habe eine opnsense als Router daheim für mein Heimnetz. Soweit funktioniert alles. Nur habe ich das Problem, dass manche Clients keine IPv6 GW vom RA mitbekommen. Ich habe vom ISP ein statisches 56 Präfix, welches ich über Track Interface an LAN weitergebe.
Ich habe den DHCP v6 für das komplette 64er Netz auf LAN laufen. Der RA Modus ist bei mir auf Assisted gestellt.
Nun weis ich nicht mehr weiter, warum manche Clients (vermehrt Windows) keine IPv6 GW bekommen. Eine globale Adresse erhalten diese aber.
Hier ein Screenshot vom RA:
Hier habe ich eine Frage: Bei RA Interface kann ich zwischen "LAN (static)" und "LAN (dynamic)" wählen.
Was ist hier der Unterschied? In der opnsense und pfsense Doku finde ich dazu leider nichts...
Hier der DHCP:
Hier das LAN Interface:
Auf LAN habe ich wie schon gesagt ein 64er Netz, welches der DHCP v6 komplett verwendet bis auf die ersten 6 Adressen.
EDIT: Wenn ich die Clients jeweils ca. 10 Min laufen lasse im Netzwerk haben diese irgenwann eine Gateway. Das ist recht lästig, da viele Anwendungen dann auf v4 bleiben und nicht auf v6 wechseln, wenn dieses verfügbar ist.
Vielen Dank im Voraus für die Antworten!
Maxi
Ich zerbreche mir aktuell hier den Kopf.
Ich habe eine opnsense als Router daheim für mein Heimnetz. Soweit funktioniert alles. Nur habe ich das Problem, dass manche Clients keine IPv6 GW vom RA mitbekommen. Ich habe vom ISP ein statisches 56 Präfix, welches ich über Track Interface an LAN weitergebe.
Ich habe den DHCP v6 für das komplette 64er Netz auf LAN laufen. Der RA Modus ist bei mir auf Assisted gestellt.
Nun weis ich nicht mehr weiter, warum manche Clients (vermehrt Windows) keine IPv6 GW bekommen. Eine globale Adresse erhalten diese aber.
Hier ein Screenshot vom RA:
Hier habe ich eine Frage: Bei RA Interface kann ich zwischen "LAN (static)" und "LAN (dynamic)" wählen.
Was ist hier der Unterschied? In der opnsense und pfsense Doku finde ich dazu leider nichts...
Hier der DHCP:
Hier das LAN Interface:
Auf LAN habe ich wie schon gesagt ein 64er Netz, welches der DHCP v6 komplett verwendet bis auf die ersten 6 Adressen.
EDIT: Wenn ich die Clients jeweils ca. 10 Min laufen lasse im Netzwerk haben diese irgenwann eine Gateway. Das ist recht lästig, da viele Anwendungen dann auf v4 bleiben und nicht auf v6 wechseln, wenn dieses verfügbar ist.
Vielen Dank im Voraus für die Antworten!
Maxi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 620571
Url: https://administrator.de/contentid/620571
Printed on: May 7, 2024 at 09:05 o'clock
14 Comments
Latest comment
Hallo,
was willst Du denn machen? DHCP oder RA?
Für beides gleichzeitig sehe ich irgendwie keinen Sinn?!?
Gruß,
Jörg
was willst Du denn machen? DHCP oder RA?
Für beides gleichzeitig sehe ich irgendwie keinen Sinn?!?
Gruß,
Jörg
Hi
Ehrlich gesagt beides gleichzeitig. Da die Android Geräte keinen DHCPv6 unterstützen ich aber DHCPv6 benötige um darüber Geräten feste Adressen zuweisen kann ohne dass ich diese im Gerät manuell eintragen muss.
Ehrlich gesagt beides gleichzeitig. Da die Android Geräte keinen DHCPv6 unterstützen ich aber DHCPv6 benötige um darüber Geräten feste Adressen zuweisen kann ohne dass ich diese im Gerät manuell eintragen muss.
Hallo,
Ich sehe da dennoch keinen Sinn. Bzw. ich würde einen sehen, wenn Du via DHCP ein anderes Netz verteilst als am getrackten Interface geliefert wird (z.B. ein ULA-Netz, um bei dynamisch zugewiesenen Netzen statische IPv6-Adressen vergeben zu können).
Hier eine Beschreibung, wie ich das immer mache: IPv6: pfSense hinter FRITZ!Box 6360 (Kabel Deutschland)
Da gehe ich zwar auf eine pfSense ein, das Szenario sollte sich aber auch problemlos auf eine OpenSense projizieren lassen. Mit der Konfiguration bekommt jedes Gerät hinter der pfSense eine Adresse aus dem Netz der FRITZ!Box.
Gruß,
Jörg
Zitat von @123201:
Ehrlich gesagt beides gleichzeitig. Da die Android Geräte keinen DHCPv6 unterstützen ich aber DHCPv6 benötige um darüber Geräten feste Adressen zuweisen kann ohne dass ich diese im Gerät manuell eintragen muss.
Ehrlich gesagt beides gleichzeitig. Da die Android Geräte keinen DHCPv6 unterstützen ich aber DHCPv6 benötige um darüber Geräten feste Adressen zuweisen kann ohne dass ich diese im Gerät manuell eintragen muss.
Ich sehe da dennoch keinen Sinn. Bzw. ich würde einen sehen, wenn Du via DHCP ein anderes Netz verteilst als am getrackten Interface geliefert wird (z.B. ein ULA-Netz, um bei dynamisch zugewiesenen Netzen statische IPv6-Adressen vergeben zu können).
Hier eine Beschreibung, wie ich das immer mache: IPv6: pfSense hinter FRITZ!Box 6360 (Kabel Deutschland)
Da gehe ich zwar auf eine pfSense ein, das Szenario sollte sich aber auch problemlos auf eine OpenSense projizieren lassen. Mit der Konfiguration bekommt jedes Gerät hinter der pfSense eine Adresse aus dem Netz der FRITZ!Box.
Gruß,
Jörg
Hi
Habe ein TC4400 als eigenes Modem an WAN hängen. Ich bekomme von Vodafone einen 56er Präfix delegiert wovon ich Uber track Interfaxe den ersten 64er Präfix auf LAN konfiguriere.
Um auf meine Frage zurück zu kommen: Liegt das an diesem Paralellbetrieb? Soweit ich weiß macht das jede FRITZ!Box so.
Maxi
Habe ein TC4400 als eigenes Modem an WAN hängen. Ich bekomme von Vodafone einen 56er Präfix delegiert wovon ich Uber track Interfaxe den ersten 64er Präfix auf LAN konfiguriere.
Um auf meine Frage zurück zu kommen: Liegt das an diesem Paralellbetrieb? Soweit ich weiß macht das jede FRITZ!Box so.
Maxi
Hast du in der OPNsense eine Firewallregel angelegt, die Traffic unter folgenden Bedingungen auf dem LAN-Interface akzeptiert?
Protokoll: ICMPv6
ICMPv6-Typ: 133
Hoplimit: 255 (optional)
Quell-Adresse: fe80::/10
Ziel-Adresse: fe80::/10
Damit erlaubst du auf der OPNsense eingehende Router-Solicitations. Ein Client fragt darüber nach verfügbaren IPv6-RA und bekommt darauf dann antwort. Lässt die Firewall das aber nicht rein, kann der RA auf der OPNsense das natürlich nicht hören und dann bekommst du nur im üblichen RA-Intervall ein Router-Advertisement.
Protokoll: ICMPv6
ICMPv6-Typ: 133
Hoplimit: 255 (optional)
Quell-Adresse: fe80::/10
Ziel-Adresse: fe80::/10
Damit erlaubst du auf der OPNsense eingehende Router-Solicitations. Ein Client fragt darüber nach verfügbaren IPv6-RA und bekommt darauf dann antwort. Lässt die Firewall das aber nicht rein, kann der RA auf der OPNsense das natürlich nicht hören und dann bekommst du nur im üblichen RA-Intervall ein Router-Advertisement.
Hi,
habe im LAN eig (noch) einen kompletten Freischein.
Hier:
habe im LAN eig (noch) einen kompletten Freischein.
Hier:
Habt ihr hier noch einen Vorschlag? 
Maxi
Maxi
Was hast du denn da für einen Switch im Einsatz? Kann der IGMPv3 und macht da eventuell Probleme?
Hallo,
Ja. Wie ich bereits schrieb: Auf die Mischkonfiguration DHCPv6 / RA verzichten und das RA vernünftig durchkonfigurieren.
Aber leider weißt Du ja offenbar alles besser und somit ist es vollkommen ausgeschlossen, dass Du ein funktionierendes IPv6-Setup erreichst. Tut mir leid
Gruß,
Jörg
Zitat von @123201:
Habt ihr hier noch einen Vorschlag?
Habt ihr hier noch einen Vorschlag?
Ja. Wie ich bereits schrieb: Auf die Mischkonfiguration DHCPv6 / RA verzichten und das RA vernünftig durchkonfigurieren.
Aber leider weißt Du ja offenbar alles besser und somit ist es vollkommen ausgeschlossen, dass Du ein funktionierendes IPv6-Setup erreichst. Tut mir leid
Gruß,
Jörg
Zitat von @117471:
Ja. Wie ich bereits schrieb: Auf die Mischkonfiguration DHCPv6 / RA verzichten und das RA vernünftig durchkonfigurieren.
Ja. Wie ich bereits schrieb: Auf die Mischkonfiguration DHCPv6 / RA verzichten und das RA vernünftig durchkonfigurieren.
Du kannst nicht auf RA verzichten, weil du per DHCPv6 keine Gateway-Adresse mitgeben kannst!
Würdest du also auf nur RA setzen, kannst du keine Stateful-Autoconfiguration machen. Würdest du nur auf DHCPv6 setzen, hättest du zwar Adressen, aber keine Routen. Geht also, wenn man Stateful-Autoconfig haben will, nur mit beiden Mechanismen zusammen.
Da im RA jedoch das Managed- und OtherConfig-Flag gesetzt sind, werden Clients angewiesen nicht selbst Adressen zu generieren sondern diese und weitere Informationen per DHCPv6 zu beziehen und lediglich die Routen sowie den OnLink-Status einzelner Präfixe vom RA zu nehmen.
An sich ist das ein durchaus supportetes Netzwerkdesign.
Und davon mal ganz abgesehen ist ein Mischbetrieb im Standard explizit vorgesehen:
RFC3315 von Juli 2003, § 3:
DHCP is one vehicle to perform stateful autoconfiguration.
Compatibility with stateless address autoconfiguration is a design requirement of DHCP.
DHCP is one vehicle to perform stateful autoconfiguration.
Compatibility with stateless address autoconfiguration is a design requirement of DHCP.
Ich vermute aktuell wie gesagt, dass da eventuell ein Switch mit IGMPv3-Fähigkeit im Netzwerk steckt, der die Router-Solicitation-Anfragen der Clients nicht an die OPNsense weitergibt, weil diese nicht die passende Multicast-Gruppe per Join zu sich geholt hat.
Hier könnte man zumindest mal testweise IGMP-Fähigkeiten und generell Multicast-Filterungen auf dem Switch, sofern er das kann, abschalten und gucken, ob es besser wird.
Hallo,
Deswegen schrieb ich ja, er solle auf das DHCPv6 und nicht auf das RA verzichten.
Japp.
Das mag sein. Dennoch halte ich es für absolut sinnlos, RA und DHCPv6 - wie hier geplant - parallel auf einem Subnetz zu fahren. Was ich mir vorstellen könnte, wären zwei Subnetze: Ein Subnetz für RA und ein Subnetz für DHCPv6 (...mit entsprechend gesetzten Routen).
Wobei sich mir wie gesagt immer noch nicht der Sinn einer derartigen Konfiguration erschließt. Es spricht nichts dagegen, dass die Geräte hinter der OpenSense per RA Adressen beziehen und eben *keine* Stateful Autokonfiguration machen -> Keep it simple, stupid...
Gruß,
Jörg
Zitat von @LordGurke:
Du kannst nicht auf RA verzichten, weil du per DHCPv6 keine Gateway-Adresse mitgeben kannst!
Du kannst nicht auf RA verzichten, weil du per DHCPv6 keine Gateway-Adresse mitgeben kannst!
Deswegen schrieb ich ja, er solle auf das DHCPv6 und nicht auf das RA verzichten.
Würdest du also auf nur RA setzen, kannst du keine Stateful-Autoconfiguration machen.
Japp.
An sich ist das ein durchaus supportetes Netzwerkdesign.
Das mag sein. Dennoch halte ich es für absolut sinnlos, RA und DHCPv6 - wie hier geplant - parallel auf einem Subnetz zu fahren. Was ich mir vorstellen könnte, wären zwei Subnetze: Ein Subnetz für RA und ein Subnetz für DHCPv6 (...mit entsprechend gesetzten Routen).
Wobei sich mir wie gesagt immer noch nicht der Sinn einer derartigen Konfiguration erschließt. Es spricht nichts dagegen, dass die Geräte hinter der OpenSense per RA Adressen beziehen und eben *keine* Stateful Autokonfiguration machen -> Keep it simple, stupid...
Gruß,
Jörg
Hi,
es lag an den intervallen vom RA. Diese waren auf 600 Sekunden gestellt. Ich habe diese nun runter auf 5-10 Sekunden gestellt. Nun klappt alles.
Wenn ich alles besser wissen würde, dann würde ich ja nicht fragen. Tut mir leid, falls das falsch rüber gekommen ist.
Vielen Dank für eure Hilfe!
Maxi
es lag an den intervallen vom RA. Diese waren auf 600 Sekunden gestellt. Ich habe diese nun runter auf 5-10 Sekunden gestellt. Nun klappt alles.
Wenn ich alles besser wissen würde, dann würde ich ja nicht fragen. Tut mir leid, falls das falsch rüber gekommen ist.
Vielen Dank für eure Hilfe!
Maxi
Falls dich die genaue Antwort zu deiner Frage noch Interessiert, auch wenn du für dich eine Lösung gefunden hast, es gibt in opnSense beim Router Advertisement einen kleinen Bug.
radvd stops announcing IPv6 prefix.
Diesen kannst du wie folgt beheben, in der Console von opnSense gibst du den Befehl dieser spielt den dazugehörigen Patch ein.
Das ganze würde ich allerdings auch nur als Übergangslösung bezeichnen, da auch der Patch bei mir nicht 100% Stabil läuft.
Wenn man aber über einen Cronjob den radvd dienst einmal in der Nacht Neustartet geht es.
Mario
radvd stops announcing IPv6 prefix.
Diesen kannst du wie folgt beheben, in der Console von opnSense gibst du den Befehl
opnsense-patch 9a4a908Das ganze würde ich allerdings auch nur als Übergangslösung bezeichnen, da auch der Patch bei mir nicht 100% Stabil läuft.
Wenn man aber über einen Cronjob den radvd dienst einmal in der Nacht Neustartet geht es.
Mario
Hi,
danke für die Rückmeldung!
Ich werde es mir mal ansehen.
Maxi
danke für die Rückmeldung!
Ich werde es mir mal ansehen.
Maxi
