Smart Business Connect: pfSense und IPv6 wie /48 nutzen?

Zu diesem Punkt:

"Ich bin "etwas" erstaunt, dass Swisscom für KMU-Kunden im Bereich IPv6 so wenig offizielles herausgibt und ich dann auf third-party Seiten infos zusammenklauben muss."

Das dürfte wohl auch auf Grund der kaum vorhandenen Nachfrage sein. Egal ob Grosskonzerne, KMU oder Privatkunden, IPv6 ist da grossmehrheitlich zumindest in der Schweiz kein Thema.  Ich habe z.B. bis jetzt noch nie in einer Ausschreibung von Kunden für Projekte im Bereich Netzwerke/UCC/VoIP etwas von IPv6 als "Muss-Kriterium" gelesen. 

Es funktioniert immer noch so wie beschrieben.

Wo stehst du an? Liefere sonst mal Screenshots von dem was bisher erreicht wurde.

---

@hed  schrieb:

Zu diesem Punkt:

 

"Ich bin "etwas" erstaunt, dass Swisscom für KMU-Kunden im Bereich IPv6 so wenig offizielles herausgibt und ich dann auf third-party Seiten infos zusammenklauben muss."

 

Das dürfte wohl auch auf Grund der kaum vorhandenen Nachfrage sein. Egal ob Grosskonzerne, KMU oder Privatkunden, IPv6 ist da grossmehrheitlich zumindest in der Schweiz kein Thema.  Ich habe z.B. bis jetzt noch nie in einer Ausschreibung von Kunden für Projekte im Bereich Netzwerke/UCC/VoIP etwas von IPv6 als "Muss-Kriterium" gelesen. 

---

Da kann ich dir beipflichten. IPv4 ist bei allen Admins etabliert und wird auch mehrheitlich verstanden. NATing ist zudem eine sehr beliebte Geschichte und viele glauben an den ach so grossen Gewinn an Sicherheit. Bevor kein Zwang für IPv6 besteht, wird auch niemand freiwillig migrieren. 

@Teiyeschu74 : Welche Hardware verwendest du als pfSense Appliance? Hast du auch Tipps für Privathaushalte? Bis jetzt habe ich gute Erfahrungen mit dem Supermicro 5018D-FN8T gemacht. Bei pfSense erzielt man auch mit aktiviertem Snort IPS noch Gigabit-Durchsatz. Der U1-Server ist aber auf Grund seiner Lüfter alles anderes als heimtauglich und der WAF ziemlich gering. Bin mittlerweile auf eine Ubiquiti Dream Machine (normal, keine Pro) umgestiegen. Auch hier wird erstaunlicherweise 940 Mbit/s Durchsatz erreicht mit sämtlichen Regeln aktiv.  

Hallo zusammen

Gut zu hören, dass die Anweisungen von Tux0ne noch funktionieren sollten. Ich habe etwas versucht zu recherchieren, wie ich auf pfSense prüfen könnte, ob und wenn ja, was für eine IPv6 Delegation ich erhalte. Ich habe auch noch nicht "enorme" Erfahrungen mit IPv6.

Ich bin mal einer dieser Admins, die IPv6 möchten, nicht weil es "cool" ist, sondern, weil ich einfach nicht mehr ewig zusehen mag, wie wir uns mit NAT und Co. immer mehr v4-Krücken ins Haus holen.

Bisher hatte ich allerdings mit ISPs zu tun, wo IPv6 halt "einfach funktioniert" und man beim jeweiligen Support auch merkte, dass man einigermassen ready ist. Es wirkt nicht so, als würde seitens Swisscom besonders viel daran setzt, wenn ich 3 Jahre später immer noch nur Tux0ne's Blogpost finde. 😉

Anbei die Screenshots der WAN-Seite und eines LAN-Interfaces. Der DMZ-Port geht über den Coreswitch, über VLAN 200, darum ist das auf der pfSense als lagg.200 sichtbar. Ich habe auch mal das Clustering aus der Gleichung genommen, siehe weiter unten, kein Unterschied.

Zuerst die IB 2.0:

IB 2.0 Network Basic settingsIB 2.0 Firewall

Dann zum WAN der pfSense:

pfSense WAN (1)

pfSense WAN (2)

pfSense WAN (3)

Zum Schluss eines der LAN interfaces, welches tracken sollte (weil ich es statisch schonmal nicht hingekriegt habe):

pfSense LAN (1)

pfSense LAN (2)

Ich habe sogar temporär eine any to any permit any IPv6 Regel auf der WAN-Seite gemacht, um zu schauen, ob die Prefix Delegation dadurch blockiert würde (Tux0ne erwähnt ja etwas dazu bei sich).

Aktuell sieht es per ifconfig so aus:

WAN:

lagg0.200: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
ether f8:f2:1e:82:x:x
inet6 fe80::faf2:1eff:x:x%lagg0.200 prefixlen 64 scopeid 0xe
inet 146.4.x.x netmask 0xffffffe0 broadcast 146.4.x.x
inet 146.4.x.x netmask 0xffffffe0 broadcast 146.4.x.x vhid 1
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: active
vlan: 200 vlanpcp: 0 parent interface: lagg0
carp: MASTER vhid 1 advbase 1 advskew 0
groups: vlan

Das eine Interface, welches aktuell tracken würde

lagg0.12: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
ether f8:f2:1e:82:x:x
inet 172.30.12.2 netmask 0xffffff00 broadcast 172.30.12.255
inet 172.30.12.1 netmask 0xffffffff broadcast 172.30.12.1 vhid 5
inet6 fe80::1:1%lagg0.12 prefixlen 64 scopeid 0xd
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: active
vlan: 12 vlanpcp: 0 parent interface: lagg0
carp: MASTER vhid 5 advbase 1 advskew 0
groups: vlan

Ich habe mal das HA-Setup entfernt (Backups sei dank und das ganze ist jetzt noch nicht produktiv), das CARP/HA Setup scheint nicht das Problem zu sein. Gleiche Optionen, gleiches Resultat. IPv4 tut ja auchtiptop, egal ob mit oder ohne CARP.

Wenn ich irgendwie mehr Infos beisteuern kann, noch so gerne. Die Antworten vom KMU-Support, wie man offiziell mehr als 2 /64 (also LAN/DMZ) nutzen  kann, sind nämlich: "Wir haben noch keine grossen IPv6 Ressourcen im Support".

@hed Ist keine heimtaugliche Hardware, das sind zwei Dell R340. In diesem Fall gibts ein Rack, der Lärmpegel ein untergeordnetes Problem. Die PCEngines APU2 sind wohl etwas schmalbrüstig für 1Gbit/s (unter pfSense), ich würde wohl etwas in Richtung der low-end Atom C3000 nehmen, der Verbrauch dürfte etwas niedriger als das erwähnte Xeon D 1500 board sein = weniger Lärm.

Mein Mustersetup ist anders aber es sollte mit folgenden Anpassungen auch funktionieren.

Dein WAN Interface hast du auf statisch gesetzt und nicht via DHCP? Gibt es einen Grund dazu?

Wenn du das auf DHCP schaltest, bekommst du da auf dem WAN Interface die erste nutzbare IP aus deinem Subnet. Die anderen kann man dann als Virtual IP nutzen.

Jedenfalls hat die Anpassung auf statisch zur Folge, dass die Einstellungen von IPv6 auch angepasst werden müssen.

• Use IPv4 connectivity as parent interface
  Request a IPv6 prefix/information through the IPv4 connectivity link --> NICHT aktivieren bei statischer Legacy IPv4
• entity Association Statement
  Non-Temporary Address Allocation

  id-assoc na ID

  IPv6 address

  pltime

  vltime
  Prefix Delegation

  id-assoc pd ID. --> diff zu mir. Noch 0en einsetzen, evtl fakultativ aber funktioniert so sicher

Ah mir ist klar wieso du das Legacy Interface auf statisch gesetzt hast. Das macht mit HA natürlich Sinn.

Da IPv6 nach diesen Anpassungen rennt, wirst du für HA den Prefixbezug pro Instanz dann für Carp auf /56 stellen müssen. Vermute ich. Habe ich auch noch nie gemacht. Wird aber so sein 😂

Hoi Tux0ne

Moment, wenn ich mal temporär (um mal den HA-faktor auszuklammern) auf dem master alles auf dynamisch stelle und folgende Optionen setze, kriegt das WAN immerhin eine gültige IPv6-Adresse. In deinem Artikel erwähnst du ia-pd 0, ia-na 0, nicht aber id-assoc na ID (= 0) und id-assoc pd ID (=0) wie hier im Thread.

(Ich kenne die Bedeutung all dieser Optionen nicht, ich muss wohl selber noch genauer lesen, was die alles machen)

Das tracking interface auf VLAN 12 kriegt dann aber immer noch keine IPv6-Adresse ausser eine link-local. Nunja, aber da du ja erwähnst - und ich das gem. pfSense Doku auch weiss - muss ich ja wegen HA statisch adressieren: Was müsste ich in dem Fall machen?

Ich frage mich nur, wie das jemand so herausfinden kann? Stundenlang pröbeln, oder irgend gute Kontakte zu Swisscom haben ("Insiderwissen")? Öffentlich habe ich den Eindruck, findet man einfach nichts handfestes von Swisscom. Ja, die Suchmaschinen habe ich bemüht, bekomme etwas Selbstzweifel.

Ja, bei all den prefix delegation Optionen habe ich Nachholbedarf, I know. Bei anderen ISPs hatte ich min. eine  Routermodell als Referenzconfig. Von da ausgehend, kann man es meistens für das eigene Setup ableiten, aber bei Swisscom irgendwie nix, nada, niente.

Von Swisscom gibt es glaube ich nichts schriftliches. Es ist in dem Sinne ja auch kein Swisscom Thema.

Sie sagen einfach das der Präfix Bezug über DHCP6 PD erfolgt.

Wie das dann auf dem jeweiligen Router aussieht, muss jeder selber herausfinden.

Das habe ich anhand Beispielen anderer Provider also ergoogelt. Der Centro Business hatte aber noch einen Bug, dass nach einigen MB der IPv6 Traffic einfach blockiert wurde, obwohl alles gut aussah. In diesem Zusammenhang hatte ich mit Martin Gysi von Swisscom Kontakt (beschränkt weil ich glaube er hat anderes zu tun). Ich habe ich selber angeschrieben, weil wie du sagst es ja bei Swisscom 0 Support dazu gibt...

Der Bug wurde dann mal behoben als, dass er dann als solcher von ihm erkannt wurde. Ich kam ja nicht darauf weil man den Fehler ja immer bei sich selber sucht. Er hatte das Problem aber auch auf einem Linux Router.
In diesem Zusammenhang erwähnte er dann mal noch das man einen 52 Präfix beziehen kann im LAN des Centro Business. Auch dazu haben sie keine Anleitungen zu pfsense. Es gab mal noch ein Doku mit einer Zywall, dass ist aber 0 anwendbar für pfsense.

Also es war neben dem Studio von dhcp6.conf und Forum Recherchen schlussendlich auch try and error, wobei die meiste Zeit eigentlich der Centro Business das Problem war. Bei den spezifischen Einstellungen der pfsense gibt es ja einige Erfahrungen im Internet mit Century Link uä. (Also das es da auch Probleme gib/gab 🙂 )

Wenn du jetzt auf dem WAN eine IPv6 hast (mit SLAAC bezieht das die pfsense im Hintergrund), kannst du nun mal einen LAN Port statisch konfigurieren: 2a02:12xx:xxxx:1yyy::1/64.

In meinem Setup muss es ein 1000er /64 Präfix sein. Das ist auch so eine Eigenheit weil der /52 Präfix ja so lautet 2a02:12xx:xxxx:1::/52.

2a02:12xx:xxxx:0::/52 braucht ja der Centro Business selber für seine zwei /64 Netze die er anbietet. 

Frag mich nicht mit welchen anderen Einstellungen man da 2-f nutzen könnte und ob das überhaupt geht. Man hat ja damit immerhin mehr als 999 (wegen hex 😅 4096 ) /64 zur Verfügung. Und das bei einem sehr spezifischen Setup mit dem CB der noch das Swisscom Internet Backup kann. Wenn man direkt den /48 bezieht (Firewall direkt als Access Router) kann man natürlich alles nutzen und das Setup ist auch einfacher.

Und ja, es läuft so seit 3 Jahren sehr gut.

Pardon die lange Wartezeit, ich musste mir die letzten Tage die Sache nochmals etwas durch den Kopf gehen lassen und etwas testen. Ich bin zwar kein Fan des CB 2.0, aber bei einem Business-Anschluss mag ich etwas weniger Basteln = die Box akzeptiere ich mal so. 😉

Ich glaube bei einer statischen Delegierung wie bei einem Smart Business Connect eine noch einfachere und mit CARP kompatible Lösung gefunden zu haben, die auf der pfSense Seite eine (fast?) noch einfachere Konfiguration ermöglicht. - Die ersten paar /64 scheinen zu funktionieren...

• DMZ Modus am CB 2.0 aktiv
• pfSense(n) müssen, (bei zwei via einen Switch) auf Port 1 des CB 2.0 gehen
• Wenn wir die Standardsettings der DMZ nutzen, konfiguriere ich de WAN der ersten pfSense z.B. die :1::12/64 auf der zweiten die :1::13/64 und richte die :1:10/64 als CARP virtual IP ein
• Als v6-Standardgateway habe ich :1::1/64 zum CB 2.0 definiert.
• Auf dem CB 2.0 richte ich eine statische Route über das ganze /48 zur CARP IP :1::10/64 ein
• Beide pfSensen sollten von sich immer noch IPv6 funktionierend haben. (für Updates des jeweils passiven nodes)
• Auf den internen Interfaces der pfSense kann ich nun damit beginnen /64's an jeweilige Interfaces zu konfigurieren, bei mir ist dann immer :2/64 und :3/64 für die pfSensen und :1/64 für die virtual IP reserviert.
• Dann reichte ich noch das Router Advertisement ein - et voilà scheint zu klappen, die Clients würfeln sich eine v6-Adresse im jeweiligen VLAN.

Ich habe auch das failover ein paar mal getestet, scheint auch zu klappen. Vorsichtige Freude... 🙂

So muss ich mich nicht um die Sonderoptionen für v6 prefix delegation kümmern. Auf das erste ::/64 kann ich LAN-seitig gut verzichten. Realistisch betrachtet werde ich wohl kaum auf über 20 /64 Netze kommen. Selbst wenn ich mal beginnen sollte Subnetze innerhalb von Containerhosts zu bauen, ich sehe für meinen Zweck nicht, wie ich die 65k /64 Netze eines /48 irgendwie alle "verbrennen" könnte. 😉

Eine Einschränkung habe ich vom Swisscom Support noch erfahren: Internet Backup sei derzeit v4 only, da würde IPv6 noch nicht möglich sein auf dem mobilen Pfad. Internet Backup ist eingeplant, aber der entsprechende Stick noch nicht vorhanden, ich kann es also nicht nicht bestätigen.

Hoffentlich hilft das auch anderen.