VDSL ipvsh mit pfsense

Hallo Zusammen

Ich betreibe schon lange erfolgreich eine pfsense Firewall an meinem Swisscom VDSL Anschluss. Die Firewall ist an einer Vigor 165 Bridge von DrayTek angeschlossen.

Bisher hatte ich immer nur ipv4 aktiv auf dem WAN interface. Da Swisscom nun den Rollout von Dualstack abgeschlossen hat, würde ich gerne auch ipv6 aktivieren. Kriege jedoch aktuell keine ipv6 adresse auf dem WAN interface.

Habe testweise meine IB2 angeschlossen und da kann ich ipv6 aktivieren und Verbindungstyp steht auf dualstack somit scheint der Anschluss in ordnung.

Hat jemand bereits so eine Konfiguration am laufen und kennt die korrekten Einstellungen für das Interface in der pfsense Firewall?

Dieser Beitrag ist in Deutsch

@macaholic

Im Internet habe ich diese Anleitung gefunden, evtl hilft sie:

  1. Überprüfe, ob IPv6 auf dem WAN-Interface der pfsense Firewall aktiviert ist. Gehe dazu zu “Interfaces” > “WAN” und stelle sicher, dass “IPv6 Configuration Type” auf “DHCP6” oder “SLAAC” eingestellt ist.

  2. Stelle sicher, dass die Firewall eine gültige IPv6-Adresse vom Swisscom-Netzwerk erhalten hat. Gehe dazu zu “Status” > “Interfaces” und suchen nach dem WAN-Interface. Wenn eine IPv6-Adresse angezeigt wird, bedeutet dies, dass die Firewall eine gültige IPv6-Adresse erhalten hat.

  3. Überprüfe, ob die Firewall über eine Firewall-Regel für IPv6-Datenverkehr verfügt. Gehe dazu zu “Firewall” > “Rules” und suche nach einer Regel für das WAN-Interface. Stelle sicher, dass die Regel für IPv6-Datenverkehr konfiguriert ist und dass sie nicht blockiert wird.

  4. Stelle sicher, dass das LAN-Interface der Firewall für IPv6 konfiguriert ist. Gehe dazu zu “Interfaces” > “LAN” und stelle sicher, dass “IPv6 Configuration Type” auf “Track Interface” oder “DHCP6” eingestellt ist.

Dieser Beitrag ist in Deutsch

@macaholic schrieb:

Hat jemand bereits so eine Konfiguration am laufen und kennt die korrekten Einstellungen für das Interface in der pfsense Firewall?

Hallo @macaholic

gib doch oben im Suchfeld mal pfsense ein.

So erhälst du schnell eine Übersicht, wer eine pfsense im Einsatz hat (und mit etwas Glück auch bereits eine konkrete Lösung zu deinem Problem) 😉

Dieser Beitrag ist in Deutsch

@hed

Ich scheitere leider schon bei Punkt 2. Das WAN Interface ist auf SLAAC gestellt aber ich erhalte vom Swisscom Neztwerk keine IP zugewiesen.

Wenn diese Konfiguration ausreichen sollte, wird dann aber wohl etwas auf der Bridge nicht ganz passen.

@kaetho

Habe schon gesucht aber konnte noch nichts zu pfsense im zusammenhang mit DualStack finden.

Dieser Beitrag ist in Deutsch

Werner

@macaholic

Ist auf der pfsense ipv6 aktiviert?

Systems => Advanced => Networking

AB70C188-1B5C-48CF-9C7D-2E087974AC65.jpeg

Dieser Beitrag ist in Deutsch

    @“x”#234740Danke für den Link habe ich mal durchgeschaut aber ausser das Problem am Schluss mit den NDP Tables habe ich nicht viel neues gesehen. Das habe ich zwischenzeitlich geprüft meine Bridge erscheint nicht in der NDP Tabelle auf der pfsense, soweit also gut.

    @“x”#226505Ja ipv6 ist aktiv in den Einstellungen.

    Dieser Beitrag ist in Deutsch

    @macaholic
    Kannst du mal Interfaces/WAN und Services/DHCPv6 Server & RA als Screenshot hier hochladen.

    Dieser Beitrag ist in Deutsch

    @mabu1 hier die aktuelle Konfiguration des WAN Interfaces. DHCPv6 Server ist aktuell nicht aktiv. Kann ich auch gar nicht aktivieren da ich keine ipv6 adresse auf einem interface habe.

    macaholic_0-1679315666467.png

    macaholic_1-1679315719815.png

    Dieser Beitrag ist in Deutsch

    @macaholic: Ich hatte mal eine längliche Diskussion bezüglich IPV6 und Fritzboxen angezettelt. Die Hypothese ist, dass ich damals mit einer alten IB (Fritzbox “hinter” IB) IPv6 deaktiviert hatte, nach der Freigabe der SIP Credentials die IB entsorgt hab und nun wieder eine IB bräuchte um v6 auf meinem Anschluss zu aktivieren.

    Vielleicht hast du ein ähnlich gelagertes Problem?

    Äs Grüessli

    Andiroid

    👽

    Dieser Beitrag ist in Deutsch

    @“x”#297727Ja das Problem hatte ich zuerst auch. Ich habe aber zum Glück meine IB noch im Lager und konnte nach etwas hin und her mit dem Swisscom Support damit auch ipv6 aktivieren (da gibts wohl Limitierungen in verbindung mit dem Internet Booster welcher mir mal ungefragt zugesendet wurde).

    Mit der IB am Anschluss ist ipv6 aktiv und funktioniert wie erwartet. Aber eben leider nicht mit der pfsense 😕

    Dieser Beitrag ist in Deutsch

    @macaholic

    Für die Tests mit Vigor Bridge und pfsense hast du den Booster aber nicht in Betrieb, oder?

    Dieser Beitrag ist in Deutsch

    @hed nein der Booster war gar nie im einsatz bei mir. Habe die IB ja normalerweise gar nie im Betrieb und ohne die macht das ding ja nichts. Musste es aber durch den Swisscom Suport ganz aus meiner Anschlusskonfig rausnehmen lassen vorher hats nicht mal mit der IB geklappt.

    Dieser Beitrag ist in Deutsch
    • hed gefällt das.
    8 Tage später

    @macaholic

    Hast du mal mit iIPv6 Configuration Type DHCP6 und der Option

    Request only an IPv6 prefix X Only request an IPv6 prefix, do not request an IPv6 address

    und/oder

    Send IPv6 prefix hint X Send an IPv6 prefix hint to indicate the desired prefix size for delegation

    versucht eine Prefix zu bekommen?

    Dieser Beitrag ist in Deutsch
    8 Tage später

    @macaholic

    Wie ging es in dieser Sache weiter?

    Ich habe heute auch versucht IPv6 auf meiner PFsense mit Zyxel Bridge zu aktivieren. Aber leider ohne Erfolg.

    Eine alte IB Standart habe ich ebenfalls noch rausgesucht, Firmware aktualisiert und dort erfolgreich IPv6 aktiviert und die DualStack Konfig als aktiv sehen können.

    Auf der Pfsense habe ich das WAN interface auf DHCPv6 Client mit verschiedenen weiteren Optionen versucht. Jedoch ohne Erfolg.

    Dieser Beitrag ist in Deutsch

    Nur ein IPv6-Präfix anfordern = aktiviert

    Größe der DHCPv6-Präfixdelegierung = 58

    IPv6-Präfixhinweis senden = deaktivieren

    Warten Sie nicht auf ein RA = aktiviert
    5. April 21:33:13dhcp6c72448Skript „/var/etc/dhcp6c_wan_dhcp6withoutra_script.sh“ beendet
    5. April 21:33:13dhcp6c73166dhcp6c erneuern, keine Änderung – Update auf igb0 wird umgangen
    5. April 21:33:13dhcp6c72448führt /var/etc/dhcp6c_wan_dhcp6withoutra_script.shaus
    5. April 21:33:13dhcp6c72448Statuscode für PD-0: Erfolg
    5. April 21:33:13dhcp6c72448Aktualisieren Sie ein Präfix 2a02:1210:2a8a:3600::/56 pltime=7200, vltime=21600
    5. April 21:33:13dhcp6c72448Aktualisieren Sie eine IA: PD-0
    5. April 21:33:13dhcp6c72448dhcp6c INFO empfangen
    5. April 21:33:13dhcp6c72448Statuscode: Erfolg
    5. April 21:33:13dhcp6c72448Statuscode der DHCP-Option abrufen, Länge 9
    5. April 21:33:13dhcp6c72448IA_PD-Präfix: 2a02:1210:2a8a:3600::/56 pltime=7200 vltime=21600
    5. April 21:33:13dhcp6c72448DHCP-Option IA_PD-Präfix abrufen, Länge 25
    5. April 21:33:13dhcp6c72448IA_PD: ID=0, T1=3600, T2=5760
    5. April 21:33:13dhcp6c72448Holen Sie sich die DHCP-Option IA_PD, Länge 54
    5. April 21:33:13dhcp6c72448DUID: fe:80:00:00:00:00:00:00:02:00:5e:ff:fe:00:01:2c
    5. April 21:33:13dhcp6c72448Holen Sie sich die Server-ID der DHCP-Option, Länge 16
    5. April 21:33:13dhcp6c72448DUID: 00:01:00:01:2b:c0:58:9b:00:0d:b9:42:69:a8
    5. April 21:33:13dhcp6c72448Client-ID der DHCP-Option abrufen, Länge 14
    5. April 21:33:13dhcp6c72448Antwort von fe80::200:5eff:fe00:12c%igb0 auf igb0erhalten
    5. April 21:33:13dhcp6c72448Erneuerung an ff02::1:2%igb0senden
    Originalsprache (Englisch) anzeigen

    @tohil

    Bin momentan in den Ferien, werde mich danach wieder mit diesem Thema befassen.

    Dieser Beitrag ist in Deutsch

    @macaholic

    Ich hab es hinbekommen…

    WAN-Schnittstelle:

    IPv6-Konfigurationstyp = DHCP6

    Nur ein IPv6-Präfix anfordern = ja

    Größe der DHCPv6-Präfixdelegierung = 62

    IPv6-Präfixhinweis senden = Nein

    Warten Sie nicht auf ein RA = ja

    DHCPv6-Server und RA

    DHCPv6-Server

    DHCPv6-Server = DHCPv6-Server im Schnittstellen-LAN aktivieren

    Subnetz = Delegiertes Präfix: WAN/0 (2a02:1210:2a8b:f300::/62)

    Bereich =::ffff:ffff:ffff:0000 -::ffff:ffff:ffff:ffff

    Router-Werbung

    Router-Modus = Unterstützt

    Firewall-Regeln

    LAN-Schnittstelle: IPv6 Beliebiges Proto, Quell-LAN-Netz, Ziel beliebig, zulassen

    Originalsprache (Englisch) anzeigen
    13 Tage später

    Hallo @macaholic

    Konntest du inzwischen das Feedback von tohil prüfen und konnte es dich bei der Lösung unterstützen? Sollte dem so sein freuen wir uns wenn du den Kommentar als Lösung markierst oder sonst weitere Details teilst.

    Dieser Beitrag ist in Deutsch

    @tohil

    Danke für den Tipp, scheine ich noch nicht ganz hinzubekommen. Kannst du mir sagen was du bei deinem LAN interface als ipv6 Verbindungstyp eingestellt hast?

    Noch eine Frage in die Runde müsste die prefix delegation size nicht auch höher möglich sein als nur /62?

    Dieser Beitrag ist in Deutsch
    • Werner hat auf diesen Beitrag geantwortet.