[Ziggo] IPv6 pfsense en DHCPv6 voor interne hosts

dinsdag 30 november 2021 08:11

Acties:

0 Henk 'm!

Carina Nebula says hi!

Topicstarter

Als ik het goed begrijp heb ik een /56, laten we zeggen dat mijn WAN interface 2001:2d01:d010:0:101a:a120:1234:12ab toegewezen heeft gekregen (deze heb ik voor het voorbeeld zelf verzonnen). Ik kom dan op het volgende:

code:

Entered Value:   2001:2d01:d010:0:101a:a120:1234:12ab/56
Address Type:    Global Unicast - RIPE NCC
Expanded IPv6:   2001:2d01:d010:0000:101a:a120:1234:12ab/56
Minimized IPv6:  2001:2d01:d010::101a:a120:1234:12ab/56
Network 2001:    2d01:d010::/56
First Address:   2001:2d01:d010:0000:0000:0000:0000:0000
Last Address:    2001:2d01:d010:00ff:ffff:ffff:ffff:ffff

Ik kan in pfsense 2 dingen doen, dhcpv6 relay, waarbij ik een andere ipv6 server moet opgeven welke mij ipv6 adressen gaat uitdelen, of ik kan ik zelf een range verzinnen binnen deze first en last adressen reeks?

Wat is de juiste manier om dit nu te in te regelen?

Tweede vraag: mijn WAN gateway op IPv6 is een fe80 adres, dat is volgens mij een link local adres, dat klopt dan toch niet of wel?

woensdag 1 december 2021 12:55

back2basic

ik heb wat screenshots gemaakt van mijn instellingen gister.
configure-ipv6-for-ziggo-bridge-modems-on-pfsense/
als je geen subnet op je lan krijgt mis je waarschijnlijk de firewall regel om fe80::/10 toe te laten op je wan (udp)

[ Voor 1% gewijzigd door back2basic op 03-02-2023 19:15 . Reden: link changed ]

Mijn iRacing profiel

dinsdag 30 november 2021 08:14

Acties:

+2 Henk 'm!

Snow_King

Konijn is stoer!

Je hebt geen DHCPv6 nodig met IPv6 voor je LAN.

Je krijgt via DHCPv6 Prefix Delegation een /56 subnet naar je router toe gestuurd.

De eerste /64 configureer je (dynamisch!) op je LAN en daar zet je Router Advertisements aan. Vervolgens kunnen de hosts in jouw netwerk op basis van de uitgestuurde RA zichzelf configureren dmv SLAAC.

Dat je een fe80 adres (Link Local) ziet als gateway klopt helemaal, dat zal je ook op je clients zien in je LAN.

De stappen zijn dus:

- Verkrijgen een subnet van Ziggo via DHCPv6+PD
- Deze /56 gaat in een 'pool' binnen pfSense
- Pak de eerste /64 uit deze /56 en configureer die op je LAN

dinsdag 30 november 2021 08:53

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Topicstarter

Dank! dat was snel

.

Ik ga vanmiddag na mn werk eea uitzoeken, dan heb ik vast nog wel een vraag

.

dinsdag 30 november 2021 20:33

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Topicstarter

Snow_King schreef op dinsdag 30 november 2021 @ 08:14:
De eerste /64 configureer je (dynamisch!) op je LAN en daar zet je Router Advertisements aan.

Deze begrijp ik niet helemaal.

Volgens mijn eigen voorbeeld ipv6 zou de eerste /64 dit zijn:

code:

1 2	First Address 2001:2d01:d010:0000:0000:0000:0000:0000 Last Address 2001:2d01:d010:0000:ffff:ffff:ffff:ffff

Ik kan daar de eerste adres van pakken en configureren als IPv6 adres op mijn LAN interface, echter geef je aan dynamisch (met uitroepteken

). Bij dynamisch denk ik aan DHCPv6 maar dat werkt niet, LAN verkrijgt niet automatisch een ipv6.

Ik denk dat je missschien bedoelt dat ik het wel met de hand moet configureren, maar dat je wellicht iets anders met dynamisch bedoelt?

Overigens zie ik ook niet hoe ik op de LAN interface van pfSense router advertisement moet aanzetten? Die settings heb ik wel onder dhcpv6 maar die hoef ik niet meer te gebruiken toch?

Alvast bedankt!

woensdag 1 december 2021 01:52

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

InflatableMouse schreef op dinsdag 30 november 2021 @ 20:33:
[...] echter geef je aan dynamisch (met uitroepteken ). Bij dynamisch denk ik aan DHCPv6 maar dat werkt niet, LAN verkrijgt niet automatisch een ipv6...

Met dynamisch wordt hier bedoeld dat de NIC zelf een suffix genereert. Bijvoorbeeld het default link-local address is FE80::0123:4567:89AB:CDEF waarbij het gedeelte achter "FE80::" een bewerking is van het mac-address van de NIC. Datzelfde gedeelte zet je ook achter de prefix die je van dhcp-pd hebt gekregen

...
Volgens mijn eigen voorbeeld ipv6 zou de eerste /64 dit zijn:
code:
1
2
First Address   2001:2d01:d010:0000:0000:0000:0000:0000
Last Address    2001:2d01:d010:0000:ffff:ffff:ffff:ffff

Dat is niet het eerste subnet, dat is het nulde subnet. Denk dat je router die graag wil gebruiken op zijn LAN

QnJhaGlld2FoaWV3YQ==

woensdag 1 december 2021 08:18

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Topicstarter

Ah ja, zo dan:

code:

1 2	First Address 2001:2d01:d010:0001:0000:0000:0000:0000 Last Address 2001:2d01:d010:0001:ffff:ffff:ffff:ffff

Brahiewahiewa schreef op woensdag 1 december 2021 @ 01:52:
Met dynamisch wordt hier bedoeld dat de NIC zelf een suffix genereert.

Ik heb geen idee hoe ik dat moet instellen op de LAN interface. Welke 'IPv6 Configuration Type' moet ik dan kiezen? Tracking lijkt nog het meeste te doen ... die pakt wel een willekeurig subnet.

Snow_king gaf aan dat ik op de LAN interface router advertisement aan moest zetten, maar die optie heb ik niet (of ik zie het niet).

Ik heb uiteraard al gezocht, er is best veel over te vinden maar de info is ook allemaal een beetje verschillend en lijkt vaak toegespitst op een specieke provider/modem type (van amerikaanse isp's).

Dank voor de hulp!

woensdag 1 december 2021 09:18

Acties:

+1 Henk 'm!

StaticZ

Tracking interface zorgt er inderdaar voor dat adressen via SLAAC (Router advertisements) worden uitgedeeld.
Daar heb je als het goed is ook een optie "IPv6 prefix id" met deze optie bepaal je het subnet.

[ Voor 6% gewijzigd door StaticZ op 01-12-2021 09:22 ]

woensdag 1 december 2021 09:20

Acties:

0 Henk 'm!

Anoniem: 30722

Hoewel de dhcp cliënt voor IPv6 al jaren draait, nog nooit een adres en prefix gekregen van ziggo 😕 had gehoopt dat hij er vandaag wel zou zijn, maar nog niets hier. 😢

woensdag 1 december 2021 09:27

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Topicstarter

StaticZ schreef op woensdag 1 december 2021 @ 09:18:
Tracking interface zorgt er inderdaar voor dat adressen via SLAAC (Router advertisements) worden uitgedeeld.
Daar heb je als het goed is ook een optie "IPv6 prefix id" met deze optie bepaal je het subnet.

Oke, thanks!

Die prefix ID kan ik van 0 tot 0 instellen

. Ik zie wel dat mijn LAN interface een ipv6 adres heeft gekregen in subnet 2001:xxx:xxx:b000:xyz, niet in 0 of 1, dus (pfsense geeft aan dat prefix 0 'automatic' is, dus dat klopt wel dan denk ik).

Mijn clients krijgen nog steeds geen ipv6 adres. Nu kunnen er meerdere dingen aan de hand zijn, ik heb tijdelijk een firewall rule op LAN aangemaakt die alles van ipv6 any protocol doorlaat dat van LAN net afkomt, als het eenmaal werkt kan ik dat weer dichtzetten en specifiek zaken weer toelaten.

woensdag 1 december 2021 09:39

Acties:

0 Henk 'm!

StaticZ

Zie https://docs.netgate.com/...faces/configure-ipv6.html

Als jij een /56 krijgt toegewezen heb jij subnet 00 t/m FF tot je beschikking.
Zit zelf bij KPN en krijg een /48 waar ik dus de beschikking heb van 0000 t/m FFFF.

woensdag 1 december 2021 11:51

Acties:

+1 Henk 'm!

Snow_King

Konijn is stoer!

InflatableMouse schreef op dinsdag 30 november 2021 @ 20:33:
[...]

Deze begrijp ik niet helemaal.

Volgens mijn eigen voorbeeld ipv6 zou de eerste /64 dit zijn:
code:
1
2
First Address   2001:2d01:d010:0000:0000:0000:0000:0000
Last Address    2001:2d01:d010:0000:ffff:ffff:ffff:ffff
Ik kan daar de eerste adres van pakken en configureren als IPv6 adres op mijn LAN interface, echter geef je aan dynamisch (met uitroepteken ). Bij dynamisch denk ik aan DHCPv6 maar dat werkt niet, LAN verkrijgt niet automatisch een ipv6.

Ik denk dat je missschien bedoelt dat ik het wel met de hand moet configureren, maar dat je wellicht iets anders met dynamisch bedoelt?

Wat ik met dynamisch bedoel:

- Van Ziggo krijg je een /56 via PD
- Je wil niet op je LAN interface static een IPv6 adres zetten omdat je prefix KAN wijzigen
- Je wil daarom je LAN interface dynamisch op basis van de prefix die je krijgt de eerste /64 toewijzen die je krijgt uit de /56

Hoe dit binnen pfSense precies allemaal werkt weet ik niet, ik werk niet vaak met pfSense.

Dit kan dus interface tracking heten of iets in die richting. Het komt er in ieder geval op neer dat het IPv6 adres (en subnet) wat je LAN interface heeft dynamisch is.

woensdag 1 december 2021 12:55

Acties:

Beste antwoord ✓
+3 Henk 'm!

back2basic

ik heb wat screenshots gemaakt van mijn instellingen gister.
configure-ipv6-for-ziggo-bridge-modems-on-pfsense/
als je geen subnet op je lan krijgt mis je waarschijnlijk de firewall regel om fe80::/10 toe te laten op je wan (udp)

[ Voor 1% gewijzigd door back2basic op 03-02-2023 19:15 . Reden: link changed ]

Mijn iRacing profiel

woensdag 1 december 2021 13:00

Acties:

+1 Henk 'm!

Snow_King

Konijn is stoer!

back2basic schreef op woensdag 1 december 2021 @ 12:55:
ik heb wat screenshots gemaakt van mijn instellingen gister.
configure-ipv6-for-ziggo-bridge-modems-on-pfsense/
als je geen subnet op je lan krijgt mis je waarschijnlijk de firewall regel om fe80::/10 toe te laten op je wan (upd)

Ja, het beste is om Link-Local verkeer sowieso ICMPv6 en UDP verkeer toe te staan.

Maar ik zie het in de screenshots nu wat @InflatableMouse moet doen:

- Interface tracking aan op LAN en daar de WAN tracken
- Prefix ID 0 of 1 gebruiken

Dan moet het al gaan werken.

woensdag 1 december 2021 13:06

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Topicstarter

Super tof @back2basic, dank je wel!

@Snow_King en de rest, jullie uiteraard ook heel erg bedankt voor de hulp!

woensdag 1 december 2021 14:48

Acties:

0 Henk 'm!

Snow_King

Konijn is stoer!

InflatableMouse schreef op woensdag 1 december 2021 @ 13:06:
Super tof @back2basic, dank je wel!

@Snow_King en de rest, jullie uiteraard ook heel erg bedankt voor de hulp!

Graag gedaan!

Denk er nog wel aan dat je ICMPv6 toe staat bij INPUT en FORWARD in je firewalls.

Het beste is om met IPv6 het ICMP verkeer zo min mogelijk in de weg te zitten.

woensdag 1 december 2021 21:06

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Topicstarter

Alles lijkt goed te werken op zich. Een nadeel wel met deze setup is dat ipv6 adressen die op deze manier worden toebedeeld aan clients niet geregistreerd worden in unbound.

Volgens mij zou ik met de hand een DHCPv6 server moeten kunnen opzetten met een van de /64 subnets binnen die /56.

Ik had op zich ipv6 al werkend binnen mijn eigen netwerk met een zelf verzonnen ipv6 subnet dat naar buiten toe geblokkeerd werd (ziggo had sowieso nog geen ipv6) en dat werkte intern allemaal. Ik heb meerdere netwerken (vlans met vlan tagging) en elk hun eigen ip4 en ip6 subnets waartussen ik verkeer kon toestaan (of niet

). DIt was in principe allemaal opgezet puur ter lering en vermaak.

Ik zou dit zelfde eigenlijk wel terug willen, maar dan met /64 binnen de range van Ziggo, zodat ze ook ermee naar buiten kunnen. Voornamelijk zodat ik kan zien welke clients welk ipv6 adres krijgen en deze ook in unbound/dns geregistreerd worden.

Ik heb al even wat geprobeerd door LAN op fixed ipv6 te zetten en DHCPv6 te configureren gelijk aan wat ik had maar met een blokje binnen die /64. Ik heb RA op managed gezet (waar deze ook op stond met mijn oude ipv6 range).

Echter, clients blijven nu ip's krijgen uit de oude pool van toen de LAN interface op tracking stond.

Tips of ideeen wat hier dan nu nog verkeerd gaat?

Oke ik was ongeduldig, het werkt wel ik moest alleen wat langer wachten

. Ik krijg ipv6 adressen van de pfsense dhcpv6 nu. Moet nog even testen of het ook allemaal goed werkt nu.

[ Voor 6% gewijzigd door InflatableMouse op 01-12-2021 21:12 ]

donderdag 2 december 2021 14:42

Acties:

0 Henk 'm!

EraYaN

Hier komt hij nog steeds niet veel verder dan "Sending solicit" van dhcp6c en komt er gewoon niets terug van Ziggo.

if(!awesome){awesome=true;}

donderdag 2 december 2021 14:50

Acties:

0 Henk 'm!

Snow_King

Konijn is stoer!

InflatableMouse schreef op woensdag 1 december 2021 @ 21:06:
Alles lijkt goed te werken op zich. Een nadeel wel met deze setup is dat ipv6 adressen die op deze manier worden toebedeeld aan clients niet geregistreerd worden in unbound.

Volgens mij zou ik met de hand een DHCPv6 server moeten kunnen opzetten met een van de /64 subnets binnen die /56.

Ik had op zich ipv6 al werkend binnen mijn eigen netwerk met een zelf verzonnen ipv6 subnet dat naar buiten toe geblokkeerd werd (ziggo had sowieso nog geen ipv6) en dat werkte intern allemaal. Ik heb meerdere netwerken (vlans met vlan tagging) en elk hun eigen ip4 en ip6 subnets waartussen ik verkeer kon toestaan (of niet ). DIt was in principe allemaal opgezet puur ter lering en vermaak.

Ik zou dit zelfde eigenlijk wel terug willen, maar dan met /64 binnen de range van Ziggo, zodat ze ook ermee naar buiten kunnen. Voornamelijk zodat ik kan zien welke clients welk ipv6 adres krijgen en deze ook in unbound/dns geregistreerd worden.

Ik heb al even wat geprobeerd door LAN op fixed ipv6 te zetten en DHCPv6 te configureren gelijk aan wat ik had maar met een blokje binnen die /64. Ik heb RA op managed gezet (waar deze ook op stond met mijn oude ipv6 range).

Echter, clients blijven nu ip's krijgen uit de oude pool van toen de LAN interface op tracking stond.

Tips of ideeen wat hier dan nu nog verkeerd gaat?

Oke ik was ongeduldig, het werkt wel ik moest alleen wat langer wachten . Ik krijg ipv6 adressen van de pfsense dhcpv6 nu. Moet nog even testen of het ook allemaal goed werkt nu.

Houdt er wel rekening mee dat DHCPv6 niet altijd goed werkt. Android telefoons doen er bijvoorbeeld niets mee.

Router Advertisements en SLAAC wel.

RA heb je overigens altijd nog nodig, want via DHCPv6 zullen clients nooit hun gateway leren.

RA + DHCPv6 kan prima naast elkaar, want de client kan via DHCPv6 gewoon nog extra opties vragen die hij via RA niet gekregen heeft.

Wat betreft je verschillende netwerken: Gewoon elk VLAN een andere /64 prefix uit je /56 toewijzen. Je hebt er 256, dus meer dan voldoende!

EraYaN schreef op donderdag 2 december 2021 @ 14:42:
Hier komt hij nog steeds niet veel verder dan "Sending solicit" van dhcp6c en komt er gewoon niets terug van Ziggo.

Wellicht staat het in jouw regio (nog) niet aan?

[ Voor 6% gewijzigd door Snow_King op 02-12-2021 14:50 ]

donderdag 2 december 2021 14:55

Acties:

0 Henk 'm!

EraYaN

Wellicht staat het in jouw regio (nog) niet aan?

Ze hebben me wel gewoon vrolijk een brief gestuurd. Dus je zou toch zeggen dat het dan zou moeten werken. Misschien herpakt het zich nog, de firmware build van m'n modem is 23 Apr 2020 (STF0.76.13.02) dus tenzij ze echt heel ver van te voren dit bedacht hebben moet er potentieel nog een update door heen voor die Technicolor.

if(!awesome){awesome=true;}

vrijdag 3 december 2021 14:06

Acties:

0 Henk 'm!

guid0o

Living life

back2basic schreef op woensdag 1 december 2021 @ 12:55:
ik heb wat screenshots gemaakt van mijn instellingen gister.
configure-ipv6-for-ziggo-bridge-modems-on-pfsense/
als je geen subnet op je lan krijgt mis je waarschijnlijk de firewall regel om fe80::/10 toe te laten op je wan (udp)

Dankjewel voor het artikel! Hier werkte het bijna, ik moest alleen pfsense een keer opnieuw opstarten voordat mijn LAN interface een ipv6 adres kreeg.

vrijdag 3 december 2021 16:10

Acties:

0 Henk 'm!

Jay-B

EraYaN schreef op donderdag 2 december 2021 @ 14:55:
[...]

Ze hebben me wel gewoon vrolijk een brief gestuurd. Dus je zou toch zeggen dat het dan zou moeten werken. Misschien herpakt het zich nog, de firmware build van m'n modem is 23 Apr 2020 (STF0.76.13.02) dus tenzij ze echt heel ver van te voren dit bedacht hebben moet er potentieel nog een update door heen voor die Technicolor.

De technicolor krijgt geen IPv6 in bridge modus. Je moet minimaal een Connectbox hebben.

zaterdag 4 december 2021 14:14

Acties:

0 Henk 'm!

EraYaN

Jay-B schreef op vrijdag 3 december 2021 @ 16:10:
[...]

De technicolor krijgt geen IPv6 in bridge modus. Je moet minimaal een Connectbox hebben.

Dat verklaart een hoop, jammer dat ze dat dan weer niet in de brief hadden gezet.

if(!awesome){awesome=true;}

zaterdag 4 december 2021 18:45

Acties:

0 Henk 'm!

BSeB

Bedankt, met behulp van dit topic vandaag pfsense aangepast.
Werkt nu als een zonnetje!

Wel even pfsense rebooten alvorens het werkt op je LAN (indien je nog geen ipv6 had)

zondag 5 december 2021 15:32

Acties:

0 Henk 'm!

Fermion

Bestaat ergens een informatie pagina waaruit je kunt opmaken of jouw internet aansluiting uit het UPC of Ziggo gebied is ingedeeld?

zaterdag 19 februari 2022 10:25

Acties:

0 Henk 'm!

InflatableMouse

Carina Nebula says hi!

Topicstarter

back2basic schreef op woensdag 1 december 2021 @ 12:55:
ik heb wat screenshots gemaakt van mijn instellingen gister.
configure-ipv6-for-ziggo-bridge-modems-on-pfsense/
als je geen subnet op je lan krijgt mis je waarschijnlijk de firewall regel om fe80::/10 toe te laten op je wan (udp)

Hey, ik wilde je artikeltje nog even nalezen maar je screenshots werken niet meer? Bestaat er een kans dat die nog even terug kunnen komen?

Tx!

Vraag

Beste antwoord (via InflatableMouse op 01-12-2021 13:06)

Alle reacties