Hallo zusammen,
vielleicht hat hier noch jemand eine Idee. Mir gehen meine inzwischen aus.
Ich habe auf einem N100 Proxmox in der aktuellen Version laufen und darauf u.a. eine OPNsense ( 24.7.11_2) installiert. Die macht die PPPoE Einwahl bei der Telekom.
Im Proxmox sind zwei Bridges angelegt:
vmbr0 mit der IPv4 Mgmt von Proxmox für das LAN Interface, gebunden an den ersten LAN Port.
vmbr1 ohne IP für PPPoE, gebunden an den vierten LAN Port (daran hängt das VDSL Modem)
Nach dem Start der OPNSense ist alles normal, aber irgendwann (der Zeitraum ist unterschiedlich) verabschiedet sich das IPv6. Dann hilft nur ein Reboot.
Vorher hatte ich das ohne Probleme auf einem Lenovo Tiny mit ESXi laufen, aber der wollte nicht mehr. (nur mit VLANs getrennt, da nur ein LAN-Port)
Was mich auch etwas wundert.
Frührer stand hier meine öffentliche IPv6 Adresse.
Danke und Gruß,
Klaus
Die muss da auch stehen. Habe zwar keine OPNsense, sondern pfsense, aber diesbezüglich gibt es da keinen Unterschied. Ohne weitere Infos kann ich da nur vermuten, aber ich gehe stark von einer nicht korrekten IPv6-Konfiguration aus.
Lies mal das hier: IPv6 for generic DSL dialup — OPNsense documentation und vergleiche deine Config mit den dort gemachten Angaben.
Die Konfig habe ich ja 1:1 übernommen. Die IPv6 Einstellungen stimmen:
WAN:
LAN
Eine Zeit lang funktioniert IPv6 ja auch, aber dann plötzlich nicht mehr.
Und irgendwie habe ich den Verdacht, dass das mit der Linux-Bridge im Proxmox zutun hat.
Achso, ich verstand deinen ersten Beitrag so, dass du auch nach dem Reboot immer nur eine IPv6-Link-Lokal-Adresse bekommst und nie eine öffentliche.
Meine pfsense läuft direkt als KVM-Client auf einem Debian-Host, also nicht Proxmox. Proxmox-Basis ist aber eben auch KVM. An einem Modem kann die Linux-Bridge im Proxmox ja keine IP-Adresse haben, jedenfalls nicht vom Modem bekommen und ich würde das am WAN-Interface auch gar nicht wollen.
Ich habe darum das NIC fürs Modem und PPPoE-Einwahl direkt durchgereicht an die VM mit der pfsense. Damit entfällt die Bridge am WAN-Interface vollständig und kann auch keine potentielle Fehlerquelle sein. Da Proxmox auf KVM basiert sollte es doch auch bei Proxmox möglich sein das so zu handhaben. Aber wie gesagt ich nutze kein Proxmox, weiß es daher nicht sicher.
Jein. Wenn ich mir die Statusseite anschaue, dann sehe ich da IPv6 Adressen.
Aber im Gateway Monitoring steht immer nur eine Link-Local-Adresse. Und unter ESXi stand da die öffentliche.
Ich habe jetzt mal die NIC direkt als PCI Device durchgereicht. Ändert aber auch nichts.
Okay, wenn das alles ist was du als Fehler betrachtest, dann kann ich dir einen Tag vor Weihnachten eine frohe Botschaft übermitteln.
Das ist nämlich kein Fehler, sondern normal.
Bei IPv6 hat das v6-Gateway immer eine Link-Local-Adresse. Die Gateway Monitoring-Adresse wiederum kann man ändern, jedenfalls bei der pfsense. Der Eintrag ist im Prinzip beliebig, sollte eine Adresse sein, die auf einen ping6 antwortet. Bei der pfsense ist sie per default identisch mit der Link-Local-Adresse des Gateways. Leider antwortet diese nicht immer auf einen ping6, weshalb das Gateway dann also offline angezeigt wird, was es aber nicht ist.
Mutmaßlich hast du also in der Vergangeheit bei dem alten Server diese Monitoring-Adresse mal geändert gehabt.
Nachtrag: In der pfsense steht zur Monitoring-Adresse das hier:
„Enter an alternative address here to be used to monitor the link. This is used for the quality RRD graphs as well as the load balancer entries. Use this if the gateway does not respond to ICMP echo requests (pings).“
Noch etwas fällt mir auf: die beiden Bildschirmfotos die du mitgeschickt hast im letzten Beitrag können nicht zur gleichen Zeit aufgenommen worden sein. Die IP-Adressen sind unterschiedlich. In der Konsole am WAN (pppoe1) hat es tatsächlich nur eine Link-Local. Aber das zu einem anderen Zeitping aufgenomme Bild von GUI zeigt eine gültige öffentliche v6-Adresse und die beiden LAN’s haben auch eine gültige v6-Präfix-Delegation erhalten.
Ist bei mir genauso ( eigene OPNSense-Hardware, KabelInternet mit vorgeschaltet FritzBox im BridgeModus ).
Allerdings wird die IPv6 WAN-IP mir beim ssh-Login auf die OPNSense direkt schon richtig angezeigt.
Ich hab etwas andere Einstellungen für IPv6 auf WAN - aber wie gesagt, nutze KabelInternet von Vodafone.
Probiere aber vielleicht mal aus:
- Use IPv4 connection: deaktivieren
- Request prefix only: deaktivieren
Auf keinen Fall! KabelInternet von Vodafone = DS-Lite. Telekom hat Dual Stack.
Die IPv4-Connection zu deaktivieren ist bei Dual Stack kontraproduktiv !!!
Ist offensichtlich nicht zum gleichen Zeitpunkt erstellt worden wie das Bild vom GUI, wo alles korrekt ist. Kann also bedeuten dass der Fehler da war, als das Bild vom ssh-Login auf die OPNSense gemacht wurde. Im Bild vom GUI der OPNSense gibt es ja eine gültige öffentlich IPv6 am WAN. Um Schlüsse zu ziehen müssten diese unmittelbar nacheinander aufgenommen worden sein.
Ich hab Dual-Stack bei Kabel-Internet von Vodafone und das schon seit zig Jahren.
Das ist schön und bei Altverträgen aus der Kabel Deutschland-Zeit wohl auch noch so.
In der pfsense ist das was bei der OPNsense einfach nur Use IPv4 connectivity heißt deutlich ausführlich und aussagekräftiger benannt. Nämlich als:
- Use IPv4 connectivity as parent interface - Request a IPv6 prefix/information through the IPv4 connectivity link
Daran sieht man, dass (aus historischen Gründen) die IPv4 connectivity erforderlich ist um den IPv6-Präfix anzufordern. Jedenfalls bei Dual Stack und PPPoE.
Ja, zwischen den Bildern liegt ein Reboot.
Jetzt gerade sieht es so aus:
Und
Testipv6.de und
wieistmeineip.de erkennen keine IPv6 Adresse.
Also GUI-Interface Status hast du eine gültige öffentlich IPv6-Adresse, die dir aber im ssh-Login nicht angezeigt wird.
Was passiert denn, wenn du in der shell der sense (über ssh) ein „ping6 www.google.com“ absendest? Du kannst auch noch ein „traceroute6 www.google.com“ versuchen. Was kommt da bei dir als Antwort?
Solange IPv6 läuft bekomme ich da Antworten. Irgendwann dann nicht mehr.
Das VLAN setzt das Zyxel Modem. Sonst würde die ganze Einwahl ja nicht funktionieren. Daran hat sich beim Umbau von ESXi auf Proxmox nichts geändert.
Vorher ging das Modem auf einen Port am Switch und dann als VLAN auf einen vSwitch im ESXi, jetzt geht es direkt auf eine NIC am HUNSN RJ42.
Ich habe die NIC ja jetzt auf PCI passthrough umkonfiguriert. Mal schauen, noch läuft IPv6.
Gut, eine potentielle Fehlerquelle in der sense weniger. Ist bei mir auch so, nur mit dem Unterschied Draytek Vigor 167 statt Zyxel und pfsense statt OPNsense.
Noch mal zu dem Verhalten wenn du irgendwann kein v6 mehr hast.
- passiert das eventuell nach der Zwangstrennung?
- kannst du die Zwangstrennung per CronJob auf eine feste Zeit verlegen?
Ich bin nicht bei Telekom sondern o2. Aber o2 macht alle 24h die Zwangstrennung. Bei der pfsense kann man unter PPPoE Configuration einen Custom reset konfigurieren. Bei mir hab ich den angelegt, jeden Morgen um genau 04:58 Uhr. So fallen zeitliche Zusammenhänge mit diesem Ereignis umgehend auf.
Weiß aber natürlich nicht ob die Telekom inzwischen auf eine Zwangstrennung verzichtet. Dann betrachte das als gegenstandslos.
Die Telekom trennt die Verbindung wenn überhaupt nur alle sechs Monate.
Wenn die Zwangstrennung als Ursache entfällt, dann vermute ich folgendes:
Eine stabile Bridge benötigt eine IP-Adresse. Ich habe bei mir am Host auch zwei Bridges für zwei der Netze im LAN. Als ich die eingerichtet habe, hatte ich es zunächst mit DHCP versucht und auch mal versucht die ohne IP-Adresse zu konfigurieren. Beides verursachte Probleme. Der Grund ist eigentlich auch logisch, denn DHCP steht ja erst zur Verfügung wenn auch der Client mit der sense gestartet ist, was ja naturgemäß etwas später ist als der Host.
Nun habe ich alle Bridges auf fester IPv4 (aus dem jeweiligen 192.168.x.x/24-Netz das die pfsense an dem Interface aufspannt) stehen und die Bridges laufen stabil. Bei einer Brindge am WAN-Interface geht das aber nicht. Welche IP-Adresse sollte die bekommen? Die Telekom gibt ja nur genau eine /32-Adresse und die bekommt via PPPoE die sense fürs WAN.
Vielleicht lag es ja wirklich an der Bridge. Warten wir es ab.
Aber dann müsste ja eigentlich die ganze Einwahl zusammenbrechen. IPv4 aber funktioniert ja problemlos weiter.
Gemerkt habe ich das immer sonntags, wenn die REWE App wieder gestreikt hat. Die meinte dann immer ich wäre offline. In Wahrheit war aber nur IPv6 weg, IPv4 lief, aber das kommt bei der App nicht an.
Das denke ich nicht. Die Bridge hat mit PPPoE ja nichts am Hut.
Erst der Abruf der IPv6-Adresse würde dann ja DHCPv6 Nutzen, was ein der Bridge bekanntes Protokoll ist und dann (hat die Bridge damit ein Problem) nicht weitergereicht wird.