FritzBox Cable im BridgeModus + OPNSense dahinter mit IPv6

Hallo,

nutzt einer von euch die Konstellation:

  • Vodafone Kabelinternet
  • FritzBox Cable im BridgeModus
  • OPNSense

Ich bräuchte mal die IPv6 Setting ( Screenshoots ) von der FritzBox und der OPNSense, wenn das bei einem funktioniert.

Ich habe immer wieder Probleme mit IPv6, u.a. auch mit IPV64,net

Evtl. fängst bitte mal damit an was du bereits eingestellt hast. Kommt denn das IPv6 Netz durch? Klappt sporadisch oder klappt nur manchmal?

Screenshots wären auch ok.

1 Like

Ich konnte das Problem gestern deutlich eingrenzen, es ist die OPNSense selber, die keine IPv6 Verbindung aufbaut. warum weiss ich allerdings noch nicht.

FritzBox IPv6 - BridgeModus auf LAN2, daran hängt die OPNSense direkt

OPNSense:

WAN. IPv6. per DHCPv6, /59 Prefix

Services: Router Advertisements für alle VLAN aktiv, verteile. fd00-Adressen ( funktioniert aller problemlos

DHCPv6-Server pro aktiv, verteilt die öffentlichen v6 Adressen aus jeweils einem /64 Netz - das funktioniert auch problemlos.
Client nutzen IPv6

Nur auf der Shell der OPNSense bekomem ich keien v6 Verbindung:

dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out

Im Vergleich dazu von meinem MacBook:
dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
2a02:8071:6310:1442:a8a8:5bd0:8676:ebb4

das geht auch aus anderen VLAN von z.b. meinen Linux-Servern.

Mal ein Update:

Problem ist erkannt, die OPNSense bekommt am WAN-Interface neben einer /128 Adresse noch ein /64 Netz zugewiesen - kein Ahnung was Vodafone da reitet.

Dei OPNSense nimmt aber das /64 als IPv6 Adresse an und das bringt die Probleme.

Gibt zwei mögliche Lösungen:

  • ich schaffe es Vodafone zu überzeugen, das zu ändern - ich hab da meine Zweifel
  • die Deutsche Glasfaser startet gerade bei uns eine Nachfragebündelung, ich hoffe, das unsere Strasse doch noch dazu kommen, bisher ist die nicht vorgesehen.

Alternative: Telekom-DSL mit max. 175 MBit/s, wäre ein deutlicher Rückschritt zu GBit-Kabel

Das ist normal.
Man bekommt ein /64 Netz, weil bei IPv6 alle Geräte ihre eigene öffentliche IP-Adresse haben. Aus diesem Netz bekommen die Geräte dann Adressen zugewiesen.
Das ist fast überall so und gehört dazu bei IPv6.

Was im Normalfall ja auch Sinn macht.

Nur die OPNSense kommt damit nicht klar, nimmt das /64 als Interface-Adresse und ignoriert die /128 komplett.
Damit ich von der OPNSense selber keine Verbindung über IPv6, ergo kann ich auch keine IPv6 Adressen bei DynDNS updaten. Macht aber auch bei Firmware-Updates Problem, ich muss schon auf „Prefer to use IPv4 even if IPv6 is available“ umstellen.

Mal sehen ob ich auf dem Github von OPNSense mehr Infos noch rausbekommen, notfalls mache ich mal ein Ticket auf.

1 Like

Hallo,

falls es interessiert, das Problem ist die OPNSense, das Problem ist der Internetprovider.

Die OPNSense nutzt auf dem WAN-Interface die /64 Adresse als Source-Adresse für alle IPv6 Verbindungen rausgehend. Dies wird aber vom Provider ( Vodafone Kabel NRW ). verworfen, nicht geroutet oder sonstwas,
Nutze ich als Source-IP die /128 Adresse, die das WAN-Interface auch bekommt, funktioniert das ganez problemlos ( kann man mit. "ping6 -S . testen )

Hinter der OPNsense im LAN ist das kein Problem, da hier IPv6-Adresse aus dem Prefixdelegation genutzt werden.

Test mit einem MacBook direkt am BridgePort der Fritzbox kamen zu dem selben Ergebniss, /64 geht nicht, /128-Adresse geht.

Test bei einem Bekannten mit ner OPNSense aber einem anderen Provider funktionierten einwandfrei auch mit der /64 Adresse.

Jetzt liegt das Problem bei Vodafone, aber da mache ich mir kaum Hoffnung, von denen eine vernünftige Antwort zu bekommen geschweige den ein Lösung.
Bleibt nur zu hoffen, das ab Januar bei unser FTTH ausgebaut wird.

Kurzer Update:

Ich hab etwas rumgescriptet und mir was zusammen gebastelt, welches nun alle ipv64-Domains von mir alle 15min aktualisiert, wenn sich die WAN-IP-Adresse geändert hat, auch für IPv6.

Bisher läuft das fehlerfrei durch.

Ich muss nur noch die andere Richtung testen, die Erreichbarkeit der IPv6 Adresse überhaupt gegeben ist.