Ich habe das Ziel auf die diese Firewall(selbst) gesetzt anstatt *, leider wird der Ping weiterhin nicht beantwortet. Dass er außerhalb des Netzes kommen muss ist klar, teste ich entweder mobil (ipV6 aktiviert) oder über einen Onlineservice wie das Ping-Tool von ipv64.net, welches ja auch außerhalb ist.
So ein mieses OS nutze ich übrigens auch nicht, seit 30 Jahren Apple ;-), ich weiß aber nicht ob du das für besser befindest als Windows ;-).
Ich habe testweise meine Fritz!Box gerade wieder angesteckt, dort zeigen mir die ipChecker eine V6 an und sie ist pingbar. Es muss also irgendein blöder Configfehler von mir sein den ich ums verrecken nicht finde oder versteh.
Bzgl des Interface:
Klar, den Adressbereich hab ich natürlich angelegt. Vorher auch schon.
Man kann den Tunnel jedoch auch noch einem Interface zuweisen, das meinte ich damit:
Ich darf jetzt keine weiteren Antworten mehr verfassen, man hat als neue User anscheinend ein Limit, erst morgen wieder
Vielleicht fällt dir noch irgendwas ein, schonmal viel Dank für deine Hilfe!!
Alles ist besser als Windows.
Ja, anders ist es nicht zu erklären. Und solange nicht einmal ping6 geht brauchen wir bei Wireguard auch nicht zu suchen.
Bei mir sieht die Interfaces → WAN (pppoe0) so aus:
Ich habe (wie für Telekom, O2 und andere große ISP empfohlen) ein Häkchen bei Request only an IPv6 prefix. Dennoch habe ich eine IPv6-Adresse am WAN und bekomme ein /56er-Präfix zugewiesen. Ich glaube aber dass bei dir das mit dem /56er-Präfix nicht passt. Versuch es mal nacheinander mit einem /64er und einem /62er-Präfix. Und teste beides mit dem Häkchen bei Request only an IPv6 prefix.
Auch clever wäre es auch, die Fritte nochmals anzuschließen und dort unter Internet → Online-Monitor nachzusehen, welchen Präfix die Fritte bekommen hat. Das steht da nämlich in der letzten Zeile im Bereich IPv6, wenn Präfixe zugewiesen werden.
Zudem, das sieht man an der Ipv4-Adresse in deinem WAN-Status hast du CGNAT. Du hast eine IPv4-Adresse aus dem 100.64.0.0/10-Subnet, was definitiv CGNAT bedeutet. Ich dagegen habe DualStack.
1 „Gefällt mir“
@The_eagle, Vielen Dank nochmal für deine Hilfe!
Lösung:
Es war unter Routing/Gateways kein IPv6 Gateway konfiguriert!
Ich dachte das passiert automatisch, analog zu V4, und habe es nie geprüft.
V6-Gateway eingerichtet, alles geht, inkl. WireGuard.
Noch eine Ergänzung: Ping6 geht auf dem WAN tatsächlich nur, wenn ICMP für V6 mit Ziel WAN-Address zumindest für „Echorequest“ auf Pass steht. Sonst ist das WAN nicht pingbar von extern!
Viele Grüße!
Vorgabe ist bei ICMP dort unter „ICMP Subtypes“ eigentlich sogar „any“.
System / Routing / Gateways → Default gateway → Default gateway IPv6 ist per default eigentlich „Automatic“.
Bist du dir sicher, dass das bei dir nicht so war? Könnte es sein, dass du da was verstellt hast wegen der fe80-Adresse des IPv6-Gateway, über die du dich gestern gewundert hattest?
J
Stand auch auf Automatic und steht noch immer auf Automatic, aber in der Liste der Gateways war keines für ipv6. Nur eines für v4 über pppoe. Es konnte also keines automatisch ausgewählt werden weil keins angelegt.
Ich habe dann einfach eins mit v6 angelegt und als Gateway-Adresse die unter Status->Interfaces->Wan hinterlegte v6-Gateway-Adresse (fe80:…) hinterlegt, damit ging es.
Warum da keines automatisch angelegt wurde würde mich sehr interessieren. In den Gateways habe ich noch nie vorher herumgefuhrwerkt.
Ist das fe80:… wan denn das korrekte Gateway oder gibt es in der Regel noch ein vom Provider mitgeteiltes für v6?
„WAN“ habe ich neu angelegt…
Ja, hatte ich dir gestern auch schon mal bestätigt. Sinnvoll ändern/ergänzen kann man da nur die Monitor IP. Eine geeignete Monitor IP findest du raus indem du eine Shell in der pfsense öffnest und dort z.B. ein traceroute6 auf google.com anstößt.
[2.7.2-RELEASE][admin@pfSense.localdomain]/root: traceroute6 google.com
traceroute6 to google.com (2a00:1450:4001:830::200e) from 2a02:3100:720a:cf01:6526:ff:fee9:562a, 64 hops max, 28 byte packets
1 2a02:3001::20a 8.297 ms 8.202 ms 8.148 ms
Die IPv6-Adresse, die da dann in Zeile 1 der hops angezeigt wird, ist eine gute Monitor IP.
Vermutlich irgendwas bei der Erstkonfiguration übersehen oder ausgelassen. Im Vergleich zu meiner pfsense fehlt dir da auch noch der schwarze Ball als Symbol für Default Gateway. Du hast den nur beim WAN_PPPOE (IPv4). Bei mir ist der auch neben WAN_DHCP6 (IPv6) und weist das Gateway somit als default für allen IPv6-Traffic aus. Frag mich jetzt aber nicht wie du den da hinbekommst.
Ich hab das nie manuell konfiguriert, mit Ausnahme der Monitor IP. Hat man da keine Monitor IP ist die Monitor IP die IP des Gateways. Da bekommt man aber keine Antwort auf pings (ICMP). Unter Status / Gateways wird das IPv6-Gateway dann jedoch permanent als offline gelistet. Daher braucht es eben jene externe Monitor IP, die v6-Pings beantwortet.
