Toon posts:

[Pi-Hole] IPv6 verkeer gaat niet via Pi Hole

Pagina: 1
Acties:

Vraag


  • Kajel
  • Registratie: Oktober 2004
  • Laatst online: 18-03 23:12

Kajel

Development in Style

Topicstarter
Hallo allen!

Dankzij het uitstekende werk van @Coolhva draai ik al zo'n 2 jaar succesvol een USG Pro 4 icm KPN & IPTV. Nu heb ik vorige week mijn stokoude Synology DS214play ingewisseld voor een DS1621+. Daar kun je oa Docker op draaien dus ik ben allerhande zin en onzin aan het uitproberen in containers , gewoon omdat het kan.

Eén van de dingen die ik graag serieus zou willen draaien, is PiHole. Ik heb deze nu geinstalleerd in een Docker container op de NAS en in de USG bij de DHCP server van mijn 2 LAN netwerken ingesteld dat ze de NAS als DNS server moeten gebruiken.
Dat werkte tot op zekere hoogte, maar ik zag veel minder verkeer dan ik zou denken. Na wat zoekwerk kwam ik erachter dat IPv6 clients gewoon de Cloudflare servers gebruiken voor DNS. Logisch natuurlijk. Na wat zoeken in dit topic heb ik geleerd dat je dit op 2 manieren kunt oplossen:
  1. Je verwijdert de IPv6 nameservers en `radvd-options`
  2. Je stelt in de DHCP server ook een IPv6 server in met het IPv6 adres van je PiHole
Nou zou ik liever optie 2 toepassen, maar ik heb geen idee waar ik (a) het IPv6 van mijn NAS vindt en (b) hoe ik de NAS een statisch IPv6 adres geef.

Kan iemand mij helpen?

Alle reacties


  • Coolhva
  • Registratie: Juni 2003
  • Laatst online: 01-04 17:07

Coolhva

Dr. Zero Trust

Kajel schreef op dinsdag 18 januari 2022 @ 21:43:
Hallo allen!

Dankzij het uitstekende werk van @Coolhva draai ik al zo'n 2 jaar succesvol een USG Pro 4 icm KPN & IPTV. Nu heb ik vorige week mijn stokoude Synology DS214play ingewisseld voor een DS1621+. Daar kun je oa Docker op draaien dus ik ben allerhande zin en onzin aan het uitproberen in containers , gewoon omdat het kan.

Eén van de dingen die ik graag serieus zou willen draaien, is PiHole. Ik heb deze nu geinstalleerd in een Docker container op de NAS en in de USG bij de DHCP server van mijn 2 LAN netwerken ingesteld dat ze de NAS als DNS server moeten gebruiken.
Dat werkte tot op zekere hoogte, maar ik zag veel minder verkeer dan ik zou denken. Na wat zoekwerk kwam ik erachter dat IPv6 clients gewoon de Cloudflare servers gebruiken voor DNS. Logisch natuurlijk. Na wat zoeken in dit topic heb ik geleerd dat je dit op 2 manieren kunt oplossen:
  1. Je verwijdert de IPv6 nameservers en `radvd-options`
  2. Je stelt in de DHCP server ook een IPv6 server in met het IPv6 adres van je PiHole
Nou zou ik liever optie 2 toepassen, maar ik heb geen idee waar ik (a) het IPv6 van mijn NAS vindt en (b) hoe ik de NAS een statisch IPv6 adres geef.

Kan iemand mij helpen?
Ik heb eens goed gekeken naar je verzoek en er was een aanpassing nodig van de JSON om dit mogelijk te maken, namelijk het vast toekennen van een adres aan de LAN interface zodat je dit kan gebruiken voor IPv6 clients om een gateway op te geven.

https://github.com/coolhv...a1c2ec49bb801bddc8d7473df

Wat doet deze wijziging nou precies?

Op het moment dat de PPPoE sessie (over VLAN 6 over Ethernet 0) tot stand wordt gebracht zal de USG aan KPN vragen om uit het /48 subnet wat KPN voor jouw verbinding reserveert een /64 uit te geven wat bestaat uit het /48 subnet plus 0001. Dit subnet wordt doorgegeven aan Ethernet 1 (LAN) en op deze interface wordt een *dynamisch* adres toegevoegd uit de /48.

Een voorbeeld van mijn thuis setup:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
unifiadmin@HVA-USG-GW:~$ show interfaces ethernet eth1 
eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fc:ec:da:d6:fc:1e brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.1/24 brd 192.168.2.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 2a02:a455:984b:1::1/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 2a02:a455:984b:1:feec:daff:fed6:fc1e/64 scope global dynamic 
       valid_lft 2591526sec preferred_lft 604326sec
    inet6 fd39:f89e:63b0:43a8:feec:daff:fed6:fc1e/64 scope global dynamic 
       valid_lft 2591526sec preferred_lft 604326sec
    inet6 fe80::feec:daff:fed6:fc1e/64 scope link 
       valid_lft forever preferred_lft forever
    Description: LAN

    RX:  bytes    packets     errors    dropped    overrun      mcast
    120208616386  188001297          0      30996          0    4816163
    TX:  bytes    packets     errors    dropped    carrier collisions
    664967074668  539324983          0          0          0          0


Hier zie je twee dynamische adressen:
code:
1
2
inet6 2a02:a455:984b:1:feec:daff:fed6:fc1e/64 scope global dynamic
inet6 fd39:f89e:63b0:43a8:feec:daff:fed6:fc1e/64 scope global dynamic


Het adres wat begint met 2a02 is een unique global adres (wat op internet kan worden gebruikt) en het adres wat begint met fd is een unique local adres, wat intern (en over VPN verbindingen) kan worden gebruikt. Beide adressen zijn aangemaakt door de USG.

Je ziet ook een preferred IPv6 adres (dit is het adres wat sinds mijn laatste wijziging wordt toegevoegd op je interface) waar GEEN dynamic achter staat:
code:
1
inet6 2a02:a455:984b:1::1/64 scope global


Dit adres blijft dus altijd op de USG staan als de prefix vanuit KPN hetzelfde blijft, en zover ik weet is deze net zo vast als je ipv4 adres.

Als we dat adres voluit schrijven (2a02:a455:984b:0001:0000:0000:0000:0001/64) en dan nader bekijken dan kunnen we het zo opbouwen:

2a02:a455:984b:Dit is het /48 subnet wat KPN aan mij heeft toebedeeld.
0001:Dit is het eerste subnet wat via DHCPv6-PD wordt opgevraagd door de USG
0000:0000:0000:0001Dit is het adres wat ik in host-address heb opgegeven en wat dus wordt gegeven aan de USG
/64Dit is de grootte van het IPv6 netwerk, dat is standaard, voor clients, /64 zodat ze automatisch dynamische IP adressen kunnen genereren.


Nu dit geregeld is kan je een IPv6 adres kiezen uit de reeks (0000:0000:0000:0002, afgekort ::2 of iets anders) en deze als vast IPv6 adres in je NAS/PiHole/etc. configureren. Je kan het preferred IPv6 adres wat op eth1 op de USG staat wat eindigt met :1 gebruiken als default gateway.

Je kan daarna mijn json aanpassen en het IPv6 adres van je PiHole gebruiken om deze in plaats van de cloudflare IPv6 adressen te zetten. Wel zou ik eerst testen of de DNS server daadwerkelijk resolved op IPv6 adressen. Als je bijvoorbeeld Docker gebruikt dan moet je eerst zorgen dat IPv6 op Docker werkt.

  • Kajel
  • Registratie: Oktober 2004
  • Laatst online: 18-03 23:12

Kajel

Development in Style

Topicstarter
Coolhva schreef op woensdag 19 januari 2022 @ 16:26:
[...]
Ik heb eens goed gekeken naar je verzoek en er was een aanpassing nodig van de JSON om dit mogelijk te maken, namelijk het vast toekennen van een adres aan de LAN interface zodat je dit kan gebruiken voor IPv6 clients om een gateway op te geven.
Onwijs bedankt voor het uitzoek werk!
Hier zie je twee dynamische adressen:
code:
1
2
inet6 2a02:a455:984b:1:feec:daff:fed6:fc1e/64 scope global dynamic
inet6 fd39:f89e:63b0:43a8:feec:daff:fed6:fc1e/64 scope global dynamic


Het adres wat begint met 2a02 is een unique global adres (wat op internet kan worden gebruikt) en het adres wat begint met fd is een unique local adres, wat intern (en over VPN verbindingen) kan worden gebruikt. Beide adressen zijn aangemaakt door de USG.
Waarom zou je voor het aanmaken van een statisch IP voor PiHole geen Unique Local Address gebruiken? Als ik het goed begrijp zijn Unique Local Addresses feitelijk het IPv6 equivalent van private networks in IPv4 (192.168.x.x of 10.x.x.x). Dat is toch feitelijk wat je voor PiHole nodig hebt, of begrijp ik het nou verkeerd?
Je ziet ook een preferred IPv6 adres (dit is het adres wat sinds mijn laatste wijziging wordt toegevoegd op je interface) waar GEEN dynamic achter staat:
code:
1
inet6 2a02:a455:984b:1::1/64 scope global


Dit adres blijft dus altijd op de USG staan als de prefix vanuit KPN hetzelfde blijft, en zover ik weet is deze net zo vast als je ipv4 adres.

Als we dat adres voluit schrijven (2a02:a455:984b:0001:0000:0000:0000:0001/64) en dan nader bekijken dan kunnen we het zo opbouwen:

2a02:a455:984b:Dit is het /48 subnet wat KPN aan mij heeft toebedeeld.
0001:Dit is het eerste subnet wat via DHCPv6-PD wordt opgevraagd door de USG
0000:0000:0000:0001Dit is het adres wat ik in host-address heb opgegeven en wat dus wordt gegeven aan de USG
/64Dit is de grootte van het IPv6 netwerk, dat is standaard, voor clients, /64 zodat ze automatisch dynamische IP adressen kunnen genereren.


Nu dit geregeld is kan je een IPv6 adres kiezen uit de reeks (0000:0000:0000:0002, afgekort ::2 of iets anders) en deze als vast IPv6 adres in je NAS/PiHole/etc. configureren. Je kan het preferred IPv6 adres wat op eth1 op de USG staat wat eindigt met :1 gebruiken als default gateway.
Is dit dan feitelijk een Global Unicast Address? Dus zou je van buiten mijn netwerk dat adres kunnen bereiken als ik geen firewall zou hebben aanstaan? Voor zover ik begrijp heeft IPv6 geen NAT meer namelijk.

edit: en nog een vraag: kan iemand me toevallig vertellen hoe je in de config.gateway.json een statisch IPv6 adres toewijst aan een device (via mac adres). Dus vergelijkbaar met static-mapping voor IPv4 adressen?

[Voor 3% gewijzigd door Kajel op 19-01-2022 21:56]


  • Coolhva
  • Registratie: Juni 2003
  • Laatst online: 01-04 17:07

Coolhva

Dr. Zero Trust

Als je geen firewall aan hebt staan dan is het inderdaad bereikbaar vanaf het internet, unique local is in dit geval een betere oplossing.

https://community.ui.com/...40-4a00-a0b6-60311790276d

Bovenstaand een voorbeeld waar iemand een unique local instelt, dat zou je prima kunnen doen voor je interne apparaten.

Qua dhcp:

https://community.ui.com/...a4-4bc8-a344-de6786c5bd10

wel de full DHCP flag aanzetten in je RA!

[Voor 14% gewijzigd door Coolhva op 20-01-2022 08:46]


  • Kajel
  • Registratie: Oktober 2004
  • Laatst online: 18-03 23:12

Kajel

Development in Style

Topicstarter
Ik mis even iets. Die link gaat over het opzetten van static host mappings. Als ik je eerste link volg, dan kan ik apparaten een ULA geven. Mijn enige openstaande vraag is nu, hoe ik mijn PiHole een statisch IPv6 adres (ULA) kan geven (zodat die dus niet verandert)

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:14

nero355

ph34r my [WCG] Cows :P

Kajel schreef op donderdag 20 januari 2022 @ 23:08:
Ik mis even iets. Die link gaat over het opzetten van static host mappings. Als ik je eerste link volg, dan kan ik apparaten een ULA geven. Mijn enige openstaande vraag is nu, hoe ik mijn PiHole een statisch IPv6 adres (ULA) kan geven (zodat die dus niet verandert)
Lees effe dit : https://networkengineerin...ink-local-vs-unique-local
En dit : Wikipedia: Link-local address

Dan kom je er al gauw achter dat je gewoon dit kan doen : Dreamvoid in "Het grote IPv6 topic" ;)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • Kajel
  • Registratie: Oktober 2004
  • Laatst online: 18-03 23:12

Kajel

Development in Style

Topicstarter
Ik ken het verschil tussen Unique Local Addresses en Link-Local addresses. Maar ik begrijp niet wat de link die je deelt naar Het grote IPv6 topic te maken heeft met mijn vraag :) Die link gaat over DNS, wat gebruikt wordt om domain namen te resolven naar IP adressen en vice versa.

Het probleem wat ik probeer op te lossen is anders: gegeven dat ik IPv6 adressen kan geven aan clients in mijn netwerk (dan wel global adressen via prefix delegation, of ULAs), hoe zorg ik ervoor dat (bepaalde) clients altijd hetzelfde IPv6 adres krijgen?
Dat is iets wat met IPv4 heel makkelijk is uit te configureren in de DHCP server op mijn USG, maar ik weet niet hoe dat zit met IPv6

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:14

nero355

ph34r my [WCG] Cows :P

Kajel schreef op vrijdag 21 januari 2022 @ 18:13:
Ik ken het verschil tussen Unique Local Addresses en Link-Local addresses.
Maar ik begrijp niet wat de link die je deelt naar Het grote IPv6 topic te maken heeft met mijn vraag :)
Die link gaat over DNS, wat gebruikt wordt om domain namen te resolven naar IP adressen en vice versa.
Je vraagt letterlijk dit :
Kajel schreef op donderdag 20 januari 2022 @ 23:08:
Mijn enige openstaande vraag is nu, hoe ik mijn PiHole een statisch IPv6 adres (ULA) kan geven (zodat die dus niet verandert)
En daar geef ik je het antwoord via een alternatief op dus wat is het probleem precies :?
Het probleem wat ik probeer op te lossen is anders: gegeven dat ik IPv6 adressen kan geven aan clients in mijn netwerk (dan wel global adressen via prefix delegation, of ULAs), hoe zorg ik ervoor dat (bepaalde) clients altijd hetzelfde IPv6 adres krijgen?
Dat is iets wat met IPv4 heel makkelijk is uit te configureren in de DHCP server op mijn USG, maar ik weet niet hoe dat zit met IPv6
Voor zover ik weet zal je dat via de CLI moeten doen en dan de configuratie exporteren naar de welbekende config.JSON toestand en dat bestand vanuit je UniFi Controller naar je USG moeten Force Provisionen :)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


  • Kajel
  • Registratie: Oktober 2004
  • Laatst online: 18-03 23:12

Kajel

Development in Style

Topicstarter
Ik zie niet hoe dat linkje antwoord geeft op mijn vraag. Ik zou het waarderen als je dat uitlegt.

En ik snap dat je configuratie wijzigingen via de CLI kunt doen en die config vervolgens kunt dumpen en daarmee het bekende config.gateway.json kunt aanpassen. Maar de crux is natuurlijk welke CLI commandos dat zijn. Het is niet alsof Ubiquity heel duidelijke handleidingen voor dit soort dingen heeft en ik probeer dus te zoeken naar iemand die dit al eerder gedaan heeft.

[Voor 66% gewijzigd door Kajel op 21-01-2022 19:53]


  • nero355
  • Registratie: Februari 2002
  • Laatst online: 00:14

nero355

ph34r my [WCG] Cows :P

Kajel schreef op vrijdag 21 januari 2022 @ 19:51:
Ik zie niet hoe dat linkje antwoord geeft op mijn vraag. Ik zou het waarderen als je dat uitlegt.
Je zoekt een Static IPv6 address waarmee je al je Clients van een IPv6 DNS Server kan voorzien en de Link-Local address is daar prima voor geschikt! d:)b
En ik snap dat je configuratie wijzigingen via de CLI kunt doen en die config vervolgens kunt dumpen en daarmee het bekende config.gateway.json kunt aanpassen. Maar de crux is natuurlijk welke CLI commandos dat zijn.
Het is niet alsof Ubiquity heel duidelijke handleidingen voor dit soort dingen heeft en ik probeer dus te zoeken naar iemand die dit al eerder gedaan heeft.
In principe is de CLI gelijk aan die van de EdgeRouters dus kijk eens naar dit verhaal : https://community.ui.com/...86-4174-8fc9-940df72adebc

Ik doe hier niks met IPv6 dus ik heb geen kant en klare oplossing voor zoiets :)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee