Hallo zusammen, weiss jemand ob man in naher Zukunft native IPv6 von SC bekommen kann (privat) für mehr als ein /64 ohne 6RD Tunnel zu verwenden (Ich würde gerne mein Heimnetz in zwei kleine Netze trennen) Gibts alternative Vorschläge/ Ideen? Danke

Funktioniert jetzt auch bei mir. Setup IB3 (Firmware version 12.02.48) dahinter ein opnsense Router. Setup ist relativ einfach. Auf der IB 3 zeigts unter den Diagnose Optionen IPv6 type: DualStack IPv6 prefix: xxxxx/56 Unter den Netzwerk Settings IPv6 enablen plus den Haken bei “activate ipv6 prefex delegation”. Bei “LAN delegated prefix” steht bei mir ein /60 Auf Opensense das: WAN Interface für DHCPv6 konfigurieren !! Prefix delegation size hatte ich gedacht wäre /60. Funktioniert bei mir nicht, ich muss da ein /62 wählen Die anderen INterfaces sind dann “Track Interfaces”, Prefix ID mit 0 starten bis 3 (beim /62) Anschliessend sollten eigentlich auf der Dashboard Seite eure Interfaces mit IPv6 Adressen bestückt sein. Frage in die Runde: Bekommt ihr auch nur ein /62 (4 Netze), warum kann ich nicht das ganze /60 nutzen? Ideen? Danke an der Stelle auch fürs mittleiden die letzen 5 Jahre und eure Kommentare 😉

Dieser Anfrage würde ich mich anschliessen - und ebenfalls gerne eine Antwort darauf erhalten.

@dhellas , @scn altes leidiges Thema bei Swisscom, eher in ferner Zukunft. Sonst auf Business wechseln. Vielleicht kann @Anonym oder @Tux0ne mal was dazu sagen.

6rd-IPv6-Adressen gelten als “equivalent to native IPv6” (RFC5969), da aus Endgerätesicht das End-to-End-Prinzip gewahrt wird und die resultierenden IPs weltweit routbar sind. Kleine Nachteile von 6rd sind z.B. die reduzierte MTU und die theoretische Möglichkeit einer wechselnden öffentlichen IPv4-Adresse des Routers und dadurch auch eine Änderung des IPv6-Prefixes. In der Praxis hat sich 6rd als erfreulich guter Kompromiss erwiesen. Die von Swisscom umgesetzte 6rd-Umgebung weist jedem Kunden ein /60er-Prefix zu, dh. es bleiben 4 Bits für die individuelle Erstellung von max. 16 /64er-Netzen übrig. Dies ist zwar weniger als die in RFC6177 empfohlene Grösse eines /56er-Blocks (womit 256 Netze möglich wären), aber entsprechend dem aktuellen Verbreitungsstand von IPv6 ist das immerhin schon mal ein brauchbarer Anfang. Mit den Internet-Boxen kann man derzeit ausschliesslich das erste der sechzehn /64er-Prefixes nutzen. Auch statische IPv6-Routen kann man keine einrichten. Solange nur wenige Nutzer nach solchen Features fragen, wird Swisscom wohl auch nichts in diese Richtung weiterentwickeln. Es ist aber mit einer gesunden Portion Fachwissen und/oder Lernmotivation absolut möglich, auf eigenes Risko mit einem alternativen Router z.B. unter OpenWRT/LEDE/DD-WRT/VyOS/whatever eine entsprechende Unterteilung seines Heimnetzwerkes vorzunehmen.

IPv6: Wir sind in einer Übergangsphase. In 2018 wird mehr passieren zu dem Thema. Es gibt aber auch keinen Druck.

@Anonym schrieb: IPv6: Wir sind in einer Übergangsphase. In 2018 wird mehr passieren zu dem Thema. Es gibt aber auch keinen Druck. Hallo GuidoT Dann brauchen wir momentan IPv6 gar nicht aktivieren gruss ballu

Hallo Guido Gibt es dazu schon ein Statusupdate? Vielen Dank Gruss Alitai

Die Kollegen vom Netz arbeiten daran, unser Netzwerk Ende zu Ende IPv6 - fähig zu machen. Das ist sehr komplex und wir müssen aufpassen, dass nicht plötzlich etwas kaputt geht. Dann geht nichts mehr (in der Schweiz). Router können das theoretisch schon, es fehlt aber noch eine Funktion, um die Art von IPv6 (native vs. Tunnel, etc) automatisch zu erkennen. Wird Anfang 2019 entwickelt. Sollte in R10.2 der Internet-Boxen kommen. Alle Angaben wie immer ohne Gewähr. Es kann sich immer noch vieles ändern.

Erstaunlich. Das Netz von SME ist sicher etwa zu 90% das Selbe und da geht bisher in dieser Hinsicht zumindest nichts kaputt. Welche Prefix Länge bekommen die Privatkunden zugewiesen?

Hallo, und ich entschuldige mich im Voraus, da ich Google translate verwende, um mein Deutsch zu schreiben! Ich habe gerade eine Internet Box Plus eingerichtet und stoße auf diese Einschränkung, bei der es so aussieht, als ob eine / 60 angeboten wird. Ich kann nur den Verkehr von der ersten zugewiesenen / 64 routen und ich brauche mehr als eine / 64 in meinem Haus. Es scheint auch, die Präfix-Unterdelegation nicht zu unterstützen. Ich sehe eine Firmware 10.2. Haben wir eine Ahnung, wann dies heraus sein wird?

@MCFH : wie du richtig festgestellt hast, kannst du auch mit der neusten Firmware auf der Internetbox nur das erste von 16 möglichen /64er-Netzen benutzen. Ebenso sind Prefix Delegation oder statische IPv6-Routen derzeit nicht implementiert. Wahrscheinlich ist im Moment auch keinerlei Nachfrage danach vorhanden. Das ist zwar schade, aber irgendwie auch nachvollziehbar dass diesbezüglich nicht gross entwickelt wird.

Native IPv6

Tux0ne

Wenn /60 delegiert wird man aber nur /62 bezieht, dann wäre das ein Fehler. Also nicht normal. Falsch in der Software dieser Internetz Büchsen….

gnome2018

scn
Wie hast du es genau eingestellt?

IPv4 und IPv6 auf Pfsense:

Ich erhalte so eine IPv6 Adresse: fe80::20b:XXXXXXXX das ist aber keine richtige IPv6 Adresse.

Ich habe einen Zyxel AX7501-B0 als Bridge. IPv4 funktioniert und auch Live und Replay TV.

mabu1

@gnome2018

fe:: ist der v6 Link Local. Hast du diese Adresse aus dem Dashboard / Gateways?

Schau mal in über Status / Interfaces nach, ob wirklich keine v6 zugewiesen wird.

gnome2018

mabu1

Ja da habe ich die her…. das ist wie du sagst der v6 link local.

Ich erhalten also noch keine IPv6.

mabu1

gnome2018

Was sag dein System Logs, DHCP?

Versuch es mal zuerst mit einem /62 und anschliessend mit prefix hint. pfSenseIPV6DHCP

pfSenseIPV6DHCP

gnome2018

@mabu1

Hat leider nicht geklappt keine Änderung mit deinen Einstellungen.

Hast du das bei dir auch?

Hier sieht es nicht so schlecht aus?

Ich habe jeweils mit “Release WAN” unter Interfaces gearbeitet nicht mit einem Restart bei den diesen Tests.

mabu1

@gnome2018

Nein, ich habe das bei mir nicht. Bei mir läuft das über DSL und PPPoE bei einem anderen Provider (BBCS).

Hast du IPV6 in der pfSense aktiviert? Findest du über System/Advanced Tab:Networking / Allow IPv6

Hier noch einen Hinweis auf das Problem aus deinem Log: https://forum.netgate.com/topic/130805/default-ipv6-deny-rule-in-system-logs-even-tho-default-is-pass/4?lang=de

Mal sehen ob @Tux0ne sich hier einbringen möchte.

gnome2018

@mabu1

Alles klar, ist ein wenig anderes Setup.

Ja IPv6 ist dort aktiviert. Hoffentlich hat noch jemand eine gute Idee?

Tux0ne

Ja gut ich will mal nicht so sein. Von mögen kann aber nicht die Rede sein 😅

Only request an IPv6 Prefix mit 56 beim WAN.

Und bei den LAN Interfaces Track Interface WAN mit der ID die man möchte.

WAN Interface release / renew oder reboot.

Das sollte es sein wenn Swisscom da nicht was sonderbares macht.

gnome2018

@Tux0ne

Bis jetzt leider noch kein Erfolg.

Den DHCPv6 Server habe ich ausgeschaltet für eine Testrunde

Hat das jemand hier eingestellt?

dhcp6c Ausgabe mit Debug aktiv:

Networking:

Damit auf der Firewall etwas anderes erhalten als eine fe80::20b:XXXXX Ipv6 muss ich da noch zuerst Firewall Rules Setzen?

Ergänzung:

Wie gesagt ich habe einen Zyxel Bridge im Einsatz via P2MP. Ich bin mir nicht sicher ob ich beim Zyxel auch etwas einstellen muss für Ipv6 und Bridge, das habe ich damals nicht genau angeschaut.

Es sieht immer etwa gleich aus im Log. Weitere Inputs sind herzlich Willkommen.

Tux0ne

Ja du musst RA auf dem LAN Interface aktivieren, kannst assisted verwenden.
Zum Beginn auf dem LAN Interface mal eine Regel die IPv6 generell erlaubt erstellen.

Dann zeig mal noch wie das LAN Interface konfiguriert ist.

Zudem würde ich nach einem refresh des WAN Interfaces schauen, ob du irgendwelche Meldungen findest das Port 546/547 blockiert wurde. Dann kannst du diese zB mit der easy rule aus dem log direkt aktivieren.

Stellt sich auch die Frage ob natives IPv6 schon aktiviert ist an deinem access. Weiss nicht ob das generell nun schon so ist. Kannst es ja mal prüfen indem du den originalen Plastikrouter der Swisscom anschliesst.

gnome2018

Tux0ne

Hier noch das Lan Interface.

Ergänzung:
Also die IB 3 wieder anhängen davor habe ich ein wenig Angst. Die muss ich ja dann wieder neu registrieren im Center danach wird das wieder eine Prozedur um den Zyxel zum laufen zu bringen.

Ich habe mal den Support angerufen, leider keine konkrete Hilfe. Er wusste auch nicht ob an alle Ipv6 bereits ausgeliefert werden. Normal meinte er schon, andere haben eine Ipv6 Adresse. Da ich natürlich ziemlich speziell unterwegs bin und er nichts sehen kann. Es hat sich aber nicht so angehört als könnte man etwas aktivieren.

Witzig: Er meinte evtl. wäre auch MyServices etwas, ich kann mir da kaum vorstellen dass da jemand sitzt und Erfahrung mit IPv6 und Pfsense hat. Dann übe ich besser noch einmal und schaue ob ich sonst woher eine Info oder Idee herbekomme.

Log:

Bis jetzt nichts gefunden für die beiden Ports.

em_gerber

@“x”#1120532Wichtig ist dass du bevor du den Zyxel sowie die pfSense anschliesst mit dem Swisscom-Eigenen Router IPv6 aktiviert hast. Ich habe genau das selbe Setup wie du, Zyxel AX7501-B0 dahinter eine Netgate Firewall. Dies an einem XGSPON P2MP Anschluss. IPv6 funktioniert bei mir. Gemäss deinen Screenshots ist mein Setup gleich aufgebaut.

Wenn du den debug auf dem WAN IPv6 aktivierst solltest du den /56 Prefix im DHCP Log sehen (Filtern nach Process dhcp6c).

gnome2018

@em_gerber

Hatte tatsächlich IPv6 noch nicht aktiviert, habe das heute gemacht und IPv4 läuft wieder via Zyxel.

Es war mir auch möglich einmal eine IPv6 Adresse zu beziehen, mittlerweile aber nicht mehr.

Sollte es mir bei der WAN Verbindung eine IPv6 anzeigen? Das schaffte ich aber nie dort ist immer der Ipv6 local Link.

Bei Lan hat es mir aber einmal eine andere Ip angezeigt.

Die hat so angefangen: 2a02:1210:8880 kann das sein?

Ich vermute, dass etwas an den Firewall regeln oder an den IPv6 nicht korrekt ist.

EDIT:

Das lag daran, dass ich die “Advanced Configuration” aktiviert hatte bei IPv6 aber nichts eingetragen hatte.

Aber warum habe ich bei WAN noch den local Link?

Muss ich das ganze für IPv6 noch frisch pairen bei der Swisscom?

gnome2018

Hat noch irgendwie jemand eine Idee?

Ich habe so ziemlich alle Einstellungen durchgetestet. Natürlich wären Printscreens von euren Einstellungen super. Was muss ich bei den Firewall Rules einstellen? Ich habe alles geöffnet aber da passiert nichts. Ich sehe Verbindungen vom Client auf eine IPv6 Adresse. Ich kann vom Client auch DNS abfragen machen zumindest löst er es korrekt auf. Irgendwie scheint etwas zu funktionieren.

Trotzdem beim Surfen im Browser und google Ipv6 DNS pingen geht nicht.

RaphaelG

Hallo @gnome2018
Hast du zwischenzeitlich eine Lösung zu deinem Anliegen gefunden?
Lass es uns wissen, damit auch andere Nutzer von deinem Wissen profitieren.

Liebe Grüsse, Raphael

gnome2018

@RaphaelG

Ich bin leider noch nicht weiter. Meine Fragen sind noch immer und ich habe ausnahmslos alle Register gezogen in dieser Thematik. Würde mich aber bedanken wenn du im Core Netzwerkteam nachfragen könntest.

Gerne kann ich auch weitere Printscreens liefern oder testen. Es hat für mich eigentlich kein Stress trotzdem würde ich es gerne abschliessen und confirmen das es geht.

Intern kann ich von PC zu PC pingen via IPv6. Am besten wäre es wenn ich ein paar Screenshots habe von allen Einstellungen auf der Pfsense.

Wichtig wäre einmal zu wissen ob:

2a02:1210:88ab:1500 <– Eine IPv6 Range der Swisscom ist und dass an die Kunden verteilt wird?
Muss man keine DNS Einstellungen eingeben?
DHCPv6 Server deaktiviert sein müssen <- Sind bei mir deaktiviert
Muss / sollte ich beim WAN interface hinter meinem Zyxel Router eine IPv6 Adresse erhalten oder nur direkt auf den interfaces?
Wenn die Ipv6 korrekt verteilt werden auf die Endgeräte die erhalten bei mir auch IPv6 Adressen, warum kann ich von diesen nicht nach aussen pingen

em_gerber

Hallo @gnome2018

In einem früheren Post habe ich mal geschrieben dass mein IPv6 auf einer pfSense hinter einer Zyxel Bridge an einem xgspon Anschluss funktioniert. Das ist aber im Moment nicht der Fall. Zu deinen Fragen:

- 2a02:1210:88ab:1500 <– Eine IPv6 Range der Swisscom ist und dass an die Kunden verteilt wird? Korrekt, ist ein offizieller Kunden IP Range.

- Muss man keine DNS Einstellungen eingeben? Versuch z.B. von der pfSense mal ping6 google.com. Wenn dir da dann eine v6 Adresse aufgelöst wird, ist das ok so.

- DHCPv6 Server deaktiviert sein müssen <- Sind bei mir deaktiviert. Korrekt, RA sollte in den meisten Fällen genügen.

- Muss / sollte ich beim WAN interface hinter meinem Zyxel Router eine IPv6 Adresse erhalten oder nur direkt auf den interfaces? Link-local genügt, sprich eine fe80: auf dem WAN Interface, keine öffentliche Adresse benötigt.

- Wenn die Ipv6 korrekt verteilt werden auf die Endgeräte die erhalten bei mir auch IPv6 Adressen, warum kann ich von diesen nicht nach aussen pingen? Genau dieses Problem habe ich zurzeit auch. Ich habe mal versucht von einem anderen, funktionierenden IPv6 Hosts (nicht an meinen Internet Anschluss) meinen IPv6 Host zu erreichen. Ich sehe die ICMP echo request und auch die ICMP echo reply auf dem Host sowie auf dem WAN Interface der pfSense. Auf der Zyxel Bridge kann ich leider nicht tracen, es sieht so aus als fehlt mir die Berechtigung einen tcpdump zu machen.

Ich werde bei Gelegenheit versuchen einen Trace auf dem Netz-Element (FAN) zu kriegen.

gnome2018

@em_gerber

Vielen Dank für die Antworten. Das sieht in diesem Fall bei dir genau gleich aus wie bei mir.

Ich kann von der Pfsense egal von welchem Interface nichts anpingen. Habe so ziemlich alle durchgetestet.

PING6(56=40+8+8 bytes) 2a02:1210:XXXX:XXXX:XXX:XXXX:XXXX:XXX --> 2001:4860:4860::8888
ping6: wrote 2001:4860:4860::8888 16 chars, ret=-1
ping6: wrote 2001:4860:4860::8888 16 chars, ret=-1
ping6: wrote 2001:4860:4860::8888 16 chars, ret=-1

--- 2001:4860:4860::8888 ping6 statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Auch alle Ipv6 Testwebseiten waren immer negativ.

Ich habe einmal auf der Pfsense IPv6 Paket Captures gemacht und verschiedene Pings abgesetzt. Aber irgendwie kann man wohl damit nicht viel anfangen. Ich sende sie dir via Mail zu.

Tux0ne

Zeigt pfsense das IPv6 Gateway als online an?

« Vorherige Seite Nächste Seite »