IPv6 fällt immer wieder aus

m-electronics · 5. Januar 2025 um 18:43

Das stimmt nicht. Es kann auch bei beiden etwas falsch konfiguriert sein. Aber deswegen mal mit tcpdump auf einem Linux-Host im LAN schauen, ob überhaupt Router Advertisements gesendet werden.

neelix8200 · 5. Januar 2025 um 18:45

Ich würde gerne eine Stufe tiefer ansetzen und schauen, ob meine Interfaces in Proxmox richtig sind.
Wie sehen bei euch da die Einstellungen aus?

The_eagle · 5. Januar 2025 um 18:46

Ja, du hast es auch erwähnt. Aber (zumindest für mich) nicht deutlich genug. Ich war weiterhin davon ausgegangen das du OPNsense hast und nicht nebenbei zum Testen noch die pfsense. Aber wenn beide das gleiche Problem haben, dann könnte es wohl doch am Host oder dessen Konfiguration liegen.

m-electronics · 5. Januar 2025 um 18:47

Ich sage ja schon die ganze Zeit, tcpdump…

neelix8200 · 5. Januar 2025 um 18:53

Die Linux VM für Docker, die eigentlich im OPT Netz hängen sollte, bekommt IP-Adressen und Router aus dem LAN-Netz zugewiesen.
Da stimmt ja schon was mit den Interfaces nicht, aber „sehe“ keinen Fehler.

The_eagle · 5. Januar 2025 um 18:59

Ich werd mich für heute Abend ausklinken. Morgen gern wieder, aber vielleicht findet sich ja vorher noch der Grund des Übels.

m-electronics · 5. Januar 2025 um 18:59

Vielleicht die interfaces vertauscht auf der OPNsense in der Zuweisung?

neelix8200 · 5. Januar 2025 um 19:09

Ne, die habe ich jetzt schon dreimal kontrolliert. Die passt.

Aber vllt. siehst Du hier ja den Fehler:
Ich habe unter Netzwerk eine Bridge mit folgenden Einstellungen angelegt:

Über die dort vergebene IP kann ich den Host im LAN-Netzwerk erreichen.
Dann habe ich in der OPNSense VM Netzwerkkarten angelegt:
Das ist LAN (untagged auf die Bridge)

Und für OPT1 (tagged mit VLAN ID 138 auf die Bridge):

Die Linux VM hat folgende Einstellungen für die Netzwerkkarte:

Den Haken bei „Firewall“ hatte ich gerade mal testweise gesetzt, sorgt aber dafür, dass die VM gar keine IPs (weder V4 noch V6) erhält. Der nützt mir also schon mal nichts.

m-electronics · 5. Januar 2025 um 19:13

Und das ist auch nicht richtig, solange keine FW-Regeln konfiguriert sind auf dem Proxmox müsste auch das gehen…
Aber besser wieder rausnehmen, verkompliziert nur die Sache. Aber doch, das passt alles so…

neelix8200 · 5. Januar 2025 um 19:48

So. Nachdem ich jetzt alle Interfaces nochmal angefasst und neu gespeichert habe, stimmt die IP-Vergabe bisher.

Mal schauen, wie das in ein paar Stunden bzw. morgen aussieht.

m-electronics · 5. Januar 2025 um 19:55

Und sonst doch mal tcpdump laufen lassen?!

neelix8200 · 5. Januar 2025 um 20:31

Was würde ich da sehen?
Ggf. dass falsche Prefixes verteilt werden. Aber nicht warum.

Und wenn SLAAC nicht funktionieren würde, hätte ich ja jetzt auch keine IPv6 Adressen und Routen.

m-electronics · 5. Januar 2025 um 20:34

Das ursprüngliche Fehlerbild ist doch, dass nach ein paar Stunden die V6-Addressen wieder von den Geräten verschwinden? Oder einfach nur nicht mehr funktionieren?

neelix8200 · 5. Januar 2025 um 20:38

Verschwinden nein, aber es gibt /gab keine Verbindung mehr über IPv6.

Wenn ich das das nächste Mal feststelle, werde ich mal genau schauen, welches Prefix das Endgerät verwendet und welches auf dem Interface der OPNSense aktiv ist.

m-electronics · 5. Januar 2025 um 20:45

Und dann mal schauen mit einem Traceroute, bis wohin der Ping noch geht.

The_eagle · 6. Januar 2025 um 15:51

Auch auf die Gefahr hin, dir @neelix8200 auf den Keks zu gehen. Ich komme nicht davon los, dass du keine Router Advisements hast. Ohne die kann deine IPv6-Konfiguration in LAN und OPT eigentlich nicht richtig funktionieren. Mangels OPNsense kann ich leider nicht nachvollziehen welche Voraussetzungen erfüllt werden müssen, um die Option zur Konfiguration von Router Advisements sichtbar zu machen. Was ich aber sagen kann, ist, dass selbst eine relativ „dumme“ FritzBox diese Router Advisements hat, auch wenn die dort nicht so genannt werden.

In der Fritte ist das zusammengefasst mit der DHCPv6-Server im Heimnetz -Konfiguration, wobei das eigentlich nicht ganz richtig benannt ist. Aber das ist wohl dem durchschnittlichen IT-Wissensstand der durchschnittlichen Kundschaft von AVM geschuldet, dass man es so nennt. Denn DHCPv6-Server im Heimnetz und die folgenden drei Optionen konfigurieren auch SLAAC. Denn wenn man die ersten beiden Optionen wählt, dann weist der DHCPv6-Server keine vollständige IPv6-Adresse zu. Die gibt es per SLAAC.
Aber egal. Wen bei dir keine Router Advisements vorhanden sind, dann können den Clients im LAN oder OPT keine entsprechende Infos bekannt gegeben werden, wenn z.B sich nach der Zwangstrennung der IPv6-Präfix geändert hat. Jedenfalls habe ich keine Idee wie das sonst gehen sollte.

Edit:
Ich habe testwise für mein WLAN eben mal kurz die Router Advisements deaktviert, die WLAN-Verbindung am Notebook getrennt, wieder neu hergestellt und dann ein ifconfig ausgeführt. So sieht das nun aus ohne die Router Advisements:

User@Aspire-A514-54:~$ ifconfig
wlp2s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.102.9  netmask 255.255.255.224  broadcast 192.168.102.31
        inet6 fe80::8518:19e4:c09d:8ef7  prefixlen 64  scopeid 0x20<link>
        ether 74:4c:a1:7a:b3:df  txqueuelen 1000  (Ethernet)
        RX packets 652246  bytes 723487324 (723.4 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 609287  bytes 503373577 (503.3 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Mit aktvierten Router Advisements hingegen so:

User@Aspire-A514-54:~$ ifconfig
wlp2s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.102.9  netmask 255.255.255.224  broadcast 192.168.102.31
        inet6 zzzz:xxx:yyyy:f401:b6fd:8f86:15ce:5e64  prefixlen 64  scopeid 0x0<global>
        inet6 zzzz:xxx:yyyy:f401:9f8e:6267:53a6:9923  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::778d:9837:5cab:ff52  prefixlen 64  scopeid 0x20<link>
        ether 74:4c:a1:7a:b3:df  txqueuelen 1000  (Ethernet)
        RX packets 652495  bytes 723596157 (723.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 609560  bytes 503420114 (503.4 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Du siehst ohne Router Advisements habe ich nur eine Link-Local-Adresse bekommen, mit hingegen auch zum Präfix passende öffentliche Adressen.

m-electronics · 6. Januar 2025 um 16:44

Das mit der FB stimmt so halb. Es ist wieder seltsam, dass es immer DHPv6 heißt… Weil entweder SLAAC-Addresse oder DHCPv6-Address (Unmanaged oder Managed (Assisted geht auch noch, aber ich glaube nicht bei der FB))
Bzgl. der Sichtbarkeit der Einstellungen: Es muss auf einem Interface außer dem WAN eine V6 konfiguriert sein.
Aber das mit den RAs kann eigentlich nicht sein, dann würde er ja nie Addressen kriegen?

The_eagle · 6. Januar 2025 um 17:14

So ist es. Die Fitten haben auf jeden Fall immer auch SLAAC aktiv, sonst könnten Android- und ChromeOS-Geräte keine IPv6-Adressen beziehen. Beide GoogleOS haben keinen DHCPv6-Client. können daher nur SLAAC.
Übersetzen in pfsense würd ich die drei Optionen der Fritten in Router Only, Unmanaged und Assisted. Nicht zu geben scheint es Managed und Stateless DHCP.

Das ist genau die Frage. Vielleicht sind nach einem Neustart ja öffentliche IPv6-Adressen zumindest am LAN- und OPT-Interface selbst vorhanden und man könnte auch RA konfigurieren. Wenn man dann aber kein RA konfiguriert, dann wissen die Clients davon nichts. Und Teil der Fehlerbeschreibung ist j auch noch, dass IPv6 irgendwann weg fällt. Nach dem Wegfall würde dann womöglich auch die Option zur Konfiguration von RA verschwinden.
Alles schwer zu beurteilen aus der Ferne.

m-electronics · 6. Januar 2025 um 17:44

Aber wenn das nie eingeschaltet wäre, dann würden die Geräte ja niemals Addressen bekommen und nicht nur irgendwann nicht mehr bzw. irgendwann geht es nicht mehr.

neelix8200 · 6. Januar 2025 um 19:08

So. Ein Update.
Bisher hält sich mein IPv6 stabil. Keine Ahnung wieso.