Vraag


Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
Na het een tijd te hebben laten rusten ben ik wederom aan het proberen om IPv6-connectiviteit goed werkend te krijgen in mijn netwerk. En dan met name IPv6 connectiviteit naar buiten toe. Na het Freedom forum en enkele andere bronnen te hebben geraadpleegd ben ik erg dichtbij, denk ik. Maar ik ben er helaas nog niet helemaal.

Het doel
Ik heb een /48 blok van Freedom gekregen. Laten we dit voor het gemak noteren als 2a10:1:1/48. Ik heb een 6-tal VLANs in mijn netwerk, onder meer IoT, Prive, Admin (Management). Elk VLAN krijgt zijn eigen blokje van dit blok. Admin krijgt 2a10:1:1:10, Prive 2a10:1:1:20, enzovoorts. Voor nu heb ik IPv6 alleen op het Admin VLAN ingesteld om te testen. De andere VLANs gaan over zodra ik het werkend heb op dit eerste VLAN.

Stand van zaken
IPv4-connectiviteit via Freedom is overigens gewoon in orde op alle VLANs. Mijn netwerk draait voor nu prima op IPv4. Dual-stack is echter wel een wens.

Hardware en fysieke aansluiting
Freedom glasvezel via 10Gbit/s over CAT7 naar een Netgear MS510TXPP. Het VLAN6 gaat over een 10Gbit/s fiber naar de router: Netgate 7100 draaiend op pfSense+ 23.01. IPv4 gaat over dit zelfde lijntje en dit werkt goed. IPv6 heeft een jaar terug connectiviteit gehad, maar ik kreeg het niet werkend (dns issues) op alle devices in huis. Vandaar dat het op een laag pitje is gezet. Wat ik hiermee duidelijk wil maken is dat IPv6 connectiviteit geen hinder ondervindt van de weg die de data moet afleggen via de glasvezel in huis, de Netgear switch, etcetera. We moeten het echt zoeken in de instellingen van mijn Router.

Wat heb ik al geprobeerd
Ik heb natuurlijk al gegoogled op 'freedom ipv6 pfsense' en kwam deze thread tegen. Ik heb hier helaas geen oplossing gevonden voor het gebrek aan connectiviteit. Ook zijn er andere fora doorzocht alsmede de Freedom infopagina voor instellingen en de Netgate documenten. Daar komt helaas niets uit wat me tot een oplossing heeft gebracht.

Ik ben blijven hangen op de volgende settings

Algemeen
Afbeeldingslocatie: https://tweakers.net/i/NQipeHRMAVRDoBUQc13czA5evN4=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/QaamdXvcEfO1I1yfZ96B4nJg.jpg?f=user_large

WAN-instellingen
Afbeeldingslocatie: https://tweakers.net/i/WlZ2NICIT1DA647_LVl4c_-mc0s=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/qAGUovrUTPC9CaiaMXLsmolc.jpg?f=user_large

LAN-instellingen
Afbeeldingslocatie: https://tweakers.net/i/QMiF98q9HJ0A2c6RmCxZ3YICoIY=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/GGfNdrRZal1V0vjRNS901AmN.jpg?f=user_large

DHCPv6-instellingen
Afbeeldingslocatie: https://tweakers.net/i/t9uwI_Po1nIyle_2Cs2-9z3odrc=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/GOsbWwsHfqqoVH79qWCgJohX.jpg?f=user_large

RA-instellingen
Afbeeldingslocatie: https://tweakers.net/i/JTW5_i_sstk6OzULHKJf69XHO7M=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/fSE8nUTO65PuzVLxD3m5oG46.jpg?f=user_large


Het resultaat tot zover
Ik heb op apparaten op het Admin-VLAN een IPv6 adres in de juiste range. Ik kan pingen naar het IPv6 adres dat de router van dit VLAN heeft toegewezen gekregen. Ik heb ook een link-local adres en een link-local gateway. Ik heb geen échte std-gateway en ik kan niet via IPv6 naar buiten communiceren.
Afbeeldingslocatie: https://tweakers.net/i/fTQTTQ2ml9-lFWG_3b_8m9sOkvk=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/kwbmDrWAMD4VKLIOXdks32Bq.jpg?f=user_large

Als ik een pingtest doe in pfSense, kan ik ook niet naar buiten pingen. Opvallend is dat ik wel DNS heb, want als ik wil pingen naar freedom.nl vanaf pfSense, dan zoekt hij wel het juiste IPv6-adres erbij:
Afbeeldingslocatie: https://tweakers.net/i/QJtyunF_YQIfhajyrrLK9VmTSrc=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/9K6Vwe6aIf7EmYgo4005jTid.jpg?f=user_large

Ik ben natuurlijk, in een staat van 'ik ga ook maar wat proberen' alle Router Advertisement opties gaan testen: Managed, Unmanaged, Router only, etc. dit maakt geen verschil. Ik krijg intern andere IP-adressen toegewezen, ook in de juiste range, maar ook daarmee géén communicatie naar buiten. Voor nu staat het dus weer op managed.

Wie heeft ervaring met pfSense en/of ervaring met IPv6 in een dergelijk relatief complexe omgeving en kan mij goed adviseren over hoe ik dit werkend kan krijgen?

Alle reacties


Acties:
  • 0 Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 07:51

jurroen

Security en privacy geek

blurryilluzion schreef op woensdag 8 maart 2023 @ 23:19:
Na het een tijd te hebben laten rusten ben ik wederom
Ik heb een /48 blok van Freedom gekregen.
Jezus. Dat gaat ook echt nergens over. Waarom zou je miljoenen adressen geven aan een thuisgebruiker |:(

Maar goed, ontopic. Wat is je firewall ruleset op de desbetreffende interfaces?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry


Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
jurroen schreef op woensdag 8 maart 2023 @ 23:48:
[...]


Jezus. Dat gaat ook echt nergens over. Waarom zou je miljoenen adressen geven aan een thuisgebruiker |:(

Maar goed, ontopic. Wat is je firewall ruleset op de desbetreffende interfaces?
Hele goeie vraag. Nu zijn er adressen zat natuurlijk, in IPv6.

Voor IPv6 staat alles momenteel open, puur om te voorkomen dat de firewall roet in het eten gooit. Dit wordt - zodra IPv6 werkt - natuurlijk netjes beperkt op de juiste wijze.

[ Voor 7% gewijzigd door blurryilluzion op 08-03-2023 23:52 ]


Acties:
  • +1 Henk 'm!

  • M2M
  • Registratie: Juli 2006
  • Laatst online: 06-07 23:36

M2M

medicijnman

Ben ik correct in de aanname dat een ipv6 /48 blok overeen komt met 1,208,925,819,614,629,174,706,176 adressen? Hoeveel RPI's denk je aan te sluiten?

-_-


Acties:
  • +2 Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 07:51

jurroen

Security en privacy geek

blurryilluzion schreef op woensdag 8 maart 2023 @ 23:51:
[...]

Voor IPv6 staat alles momenteel open, puur om te voorkomen dat de firewall roet in het eten gooit. Dit wordt - zodra IPv6 werkt - natuurlijk netjes beperkt op de juiste wijze.
Zet de IPv6 Prefix ID op de LAN interface eens op 1 (ipv 10) en probeer dan vanaf je pfSense doos een v6 adres te pingen?
M2M schreef op woensdag 8 maart 2023 @ 23:55:
Ben ik correct in de aanname dat een ipv6 /48 blok overeen komt met 1,208,925,819,614,629,174,706,176 adressen? Hoeveel RPI's denk je aan te sluiten?
Daar kiest TS niet voor, providers delen die dingen uit alsof hun leven er vanaf hangt. Stelletje idioten.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry


Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
M2M schreef op woensdag 8 maart 2023 @ 23:55:
Ben ik correct in de aanname dat een ipv6 /48 blok overeen komt met 1,208,925,819,614,629,174,706,176 adressen? Hoeveel RPI's denk je aan te sluiten?
Ik heb het aantal mogelijke devices niet gecheckt dus ik wil best meegaan in je aanname. Ik heb helaas niet de tijd om voor elk adres een RPI in te richten. :P

Ik neem aan dat je begrijpt dat mijn insteek niet is om m’n blok te vullen. Ik wil gewoon graag de VLANs elk op een eigen ‘subnet’ hebben. Of dat nu gesplitst wordt in het 48 segment of bij /60 is voor mij niet relevant, en voor mijn vraag bovendien ook niet.

Als je me met goed advies kan helpen om het werkend te krijgen, heel graag. Zo niet; toch bedankt voor je inbreng. :P

Acties:
  • +1 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
jurroen schreef op donderdag 9 maart 2023 @ 00:03:
Zet de IPv6 Prefix ID op de LAN interface eens op 1 (ipv 10) en probeer dan vanaf je pfSense doos een v6 adres te pingen?
Ik ga dit morgen doen en laat je de uitkomst weten. Thanks!

Acties:
  • 0 Henk 'm!

  • Mijzelf
  • Registratie: September 2004
  • Niet online
Ik *denk* dat je het vinkje bij 'Request only an IPv6 prefix' moet weghalen.

Acties:
  • 0 Henk 'm!

  • StaticZ
  • Registratie: September 2000
  • Laatst online: 08:55
Ipv4 DNS server kan ook AAAA records terug geven.
Heb je wel een default IPv6 route naar Freedom?

Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
jurroen schreef op donderdag 9 maart 2023 @ 00:03:
Zet de IPv6 Prefix ID op de LAN interface eens op 1 (ipv 10) en probeer dan vanaf je pfSense doos een v6 adres te pingen?
Gisteravond omgezet in de router en vanochtend even de tijd genomen voor een ping en tracert op de pc.

De situatie is identiek aan voorheen:
- Ik krijg een IP-adres, een link-local adres, de gateway is alleen link-local.
- Ik kan pingen naar het IP-adres dat de 'router' in het admin VLAN heeft.
- Een tracert -6 naar freedom.nl geeft na hop 1 (router IP van het VLAN) aan '2 Destination net unreachable.'

Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
Mijzelf schreef op donderdag 9 maart 2023 @ 11:16:
Ik *denk* dat je het vinkje bij 'Request only an IPv6 prefix' moet weghalen.
Dit had ik al eens geprobeerd, puur omdat het logisch klinkt dat je meer wil dan alleen een prefix. Dit hielp helaas niet.

Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
StaticZ schreef op donderdag 9 maart 2023 @ 13:17:
Ipv4 DNS server kan ook AAAA records terug geven.
Heb je wel een default IPv6 route naar Freedom?
Thanks voor je reactie! Ik moet bekennen dat ik niet weet hoe ik dit moet checken in pfSense. Ik weet wel dat ik hem niet zelf bewust heb toegevoegd. Ik moet zeggen dat ik dit een jaar terug, toen het los van DNS wel werkte, ook geen route heb toegevoegd zelf.

Ik ga uitzoeken hoe ik dit kan vinden en kom er op terug. Thanks!

Acties:
  • 0 Henk 'm!

  • StaticZ
  • Registratie: September 2000
  • Laatst online: 08:55
Geen pfSense hier maar OPNsense.
Volgens Netgate moet je bij Diagnostics > Routes zijn.

Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
StaticZ schreef op donderdag 9 maart 2023 @ 13:26:
Geen pfSense hier maar OPNsense.
Volgens Netgate moet je bij Diagnostics > Routes zijn.
Even vooraf; I'm in over my head here. Ben op een punt dat ik niet zeker weet welke informatie belangrijk is, of zelfs relevant.

Ik heb routes gevonden en iets valt me op.
Ik heb een IPv6 Route voor 2a10-xxxx-xxxx.connected.by.freedominter.net. Die route gaat over Gateway link#44.
Als ik bij IPv4 Routes kijk, dan is link#44 gekoppeld aan lokale destinations 192.168.10.0/24 en 192.168.10.1. Dat is mijn Admin VLAN subnet. Dit lijkt mij niet logisch.. right?

Acties:
  • 0 Henk 'm!

  • StaticZ
  • Registratie: September 2000
  • Laatst online: 08:55
Die link#44 is is je link op pfSense en is voor IPv6 en 4 hetzelfde dit klopt.
In deze tabel is geen default route voor IPv4 en IPv6 te vinden?

In OPNsense vind ik de volgende routes bij KPN.
ipv6 default fe80::1251:72ff:fe23:3288%pppoe0 UGS NaN 1500 pppoe0 wan
ipv4 default 195.190.228.50 UGS NaN 1500 pppoe0 wan

Kijk ook eens bij gateway monitoring, schakel dit uit en kijk of pfSense dan aanneemt dat de gateway "always up" is.

[ Voor 15% gewijzigd door StaticZ op 09-03-2023 14:03 ]


Acties:
  • 0 Henk 'm!

  • Groentjuh
  • Registratie: September 2011
  • Laatst online: 22:11
De IPv6 range van jouw admin VLAN moet toch naar jouw admin VLAN.

Je moet op zoek naar de default route of opzoek naar alles dat je wan poort uit gestuurd wordt.

Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
StaticZ schreef op donderdag 9 maart 2023 @ 13:59:
Die link#44 is is je link op pfSense en is voor IPv6 en 4 hetzelfde dit klopt.
In deze tabel is geen default route voor IPv4 en IPv6 te vinden?

In OPNsense vind ik de volgende routes bij KPN.
ipv6 default fe80::1251:72ff:fe23:3288%pppoe0 UGS NaN 1500 pppoe0 wan
ipv4 default 195.190.228.50 UGS NaN 1500 pppoe0 wan

Kijk ook eens bij gateway monitoring, schakel dit uit en kijk of pfSense dan aanneemt dat de gateway "always up" is.
Er is géén default route voor IPv6. Die is er wel voor IPv4.

Acties:
  • 0 Henk 'm!

  • StaticZ
  • Registratie: September 2000
  • Laatst online: 08:55
Probeer eerst eens die IPv6 gateway down te halen en weer up te brengen.
Schakel ook even gateway monitoring uit.
Kijk of die default IPv6 route terug komt.

En anders via ssh route -6 add default <gw address>

Acties:
  • 0 Henk 'm!

  • The Genie
  • Registratie: April 2000
  • Laatst online: 03-07 17:23
Probeer eens op de Freedom PPOE interface en de parent interface (waarschijnlijk WAN) de MTU op 1508 te zetten.

Destijds ook een poos mee bezig geweest en dat was toen voor mij de oplossing

PPPOE heeft namelijk wat extra overhead

Acties:
  • 0 Henk 'm!

  • blurryilluzion
  • Registratie: November 2009
  • Laatst online: 04-07 13:55
Hey allemaal.

Ik heb uiteindelijk besloten om het geheel iets grondiger aan te pakken.

Waar voorheen mijn Ziggo lijn direct met pfSense verbonden was (UTP) en Freedom via een fiber 'backbone' (VLAN ID 6, tagged), door een Netgear MS510TXPP switch via UTP naar de fiber endpoint ging, heb ik dit nu omgedraaid. Dus de Ziggo lijn gaat via de backbone, en er ligt een 10Gbit UTP direct tussen de router en de fiber endpoint.

Hoewel de switch goed staat ingesteld voelde ik toch de behoefte om die uit te sluiten. KISS.

Verder heb ik de volgende settings in gebruik:
- De 10Gbit Interface (ix1) is enabled, IPv4 en IPv6 configuration type: none, MTU 1512 (1500 door PPPoE ( 8 ) en VLAN ( 4 ) == 1512).
- Over die interface loopt VLAN 6 (ix1.6), die nieuwe interface heet nu 'WAN'.
- Die WAN interface is ingesteld zoals in de topic start te zien is in de screenshot 'WAN-instellingen'. De MTU staat daar op 1500.
- Door het creeren van die PPP verbinding ontstaat er in het menu Interfaces, PPPs een nieuwe PPP configuratie. Die heb ik geopend en daar heb ik, onder Advanced, de MTU op 1508 gezet.
- De DHCP6-server en Router advertisements zijn ongewijzigd t.o.v. de topic start.

De gateways waarin bij IPv6 'track interface' wordt ingesteld krijgen nu een geldig publiek IPv6-adres. De clients in het netwerk echter nog niet. Om dit werkend te krijgen is een firewall rule nodig:
Interface: Gateway 10
Source: Gateway 10 NETWERK
Dest.: Gateway 10 ADDRESS
IPv6, UDP, 53. (DNS dus)
PASS

Kortom: nu werkt IPv6.

Wel zijn er twee dingen om rekening mee te houden:
1. In de overzichten krijgt de Freedom interface (WAN) netjes een publiek IPv4 adres, maar het IPv6-adres is link-local. Dit zal best logisch zijn, maar is wel verwarrend tijdens het troubleshooten.
2. De WAN komt - zo lijkt het - eerder online dan de LAN interfaces. De LAN interfaces krijgen dus na een reboot van de router geen IPv6-adres en IPv6 werkt dan ook niet in de betreffende subnets. Het opnieuw opslaan (en daarmee herstarten) van de PPPoE verbinding lost dit probleem op.

Hoewel ik mijn router niet regelmatig hoef te herstarten is dit toch wel een vervelend puntje en daarvoor ben ik nog zoekende naar een oplossing.

Ik ben er inmiddels echter voor 99% en ik wil jullie bedanken voor de hulp die hierbij geboden is!
Pagina: 1