Native IPv6

@em_gerber 

Hatte tatsächlich IPv6 noch nicht aktiviert, habe das heute gemacht und IPv4 läuft wieder via Zyxel.

Es war mir auch möglich einmal eine IPv6 Adresse zu beziehen, mittlerweile aber nicht mehr.

Sollte es mir bei der WAN Verbindung eine IPv6 anzeigen? Das schaffte ich aber nie dort ist immer der Ipv6 local Link.

Bei Lan hat es mir aber einmal eine andere Ip angezeigt.

Die hat so angefangen: 2a02:1210:8880 kann das sein?

Ich vermute, dass etwas an den Firewall regeln oder an den IPv6 nicht korrekt ist.

EDIT:

Das lag daran, dass ich die "Advanced Configuration" aktiviert hatte bei IPv6 aber nichts eingetragen hatte.

Aber warum habe ich bei WAN noch den local Link?

Muss ich das ganze für IPv6 noch frisch pairen bei der Swisscom?

Hat noch irgendwie jemand eine Idee?

Ich habe so ziemlich alle Einstellungen durchgetestet. Natürlich wären Printscreens von euren Einstellungen super.  Was muss ich bei den Firewall Rules einstellen? Ich habe alles geöffnet aber da passiert nichts. Ich sehe Verbindungen vom Client auf eine IPv6 Adresse. Ich kann vom Client auch DNS abfragen machen zumindest löst er es korrekt auf. Irgendwie scheint etwas zu funktionieren.

Trotzdem beim Surfen im Browser und google Ipv6 DNS pingen geht nicht.

Hallo @gnome2018
Hast du zwischenzeitlich eine Lösung zu deinem Anliegen gefunden?
Lass es uns wissen, damit auch andere Nutzer von deinem Wissen profitieren.

Liebe Grüsse, Raphael

@RaphaelG 

Ich bin leider noch nicht weiter. Meine Fragen sind noch immer und ich habe ausnahmslos alle Register gezogen in dieser Thematik. Würde mich aber bedanken wenn du im Core Netzwerkteam nachfragen könntest. 

Gerne kann ich auch weitere Printscreens liefern oder testen. Es hat für mich eigentlich kein Stress trotzdem würde ich es gerne abschliessen und confirmen das es geht.

Intern kann ich von PC zu PC pingen via IPv6. Am besten wäre es wenn ich ein paar Screenshots habe von allen Einstellungen auf der Pfsense.

Wichtig wäre einmal zu wissen ob:

• 2a02:1210:88ab:1500 <-- Eine IPv6 Range der Swisscom ist und dass an die Kunden verteilt wird?
• Muss man keine DNS Einstellungen eingeben?
• DHCPv6 Server deaktiviert sein müssen <- Sind bei mir deaktiviert
• Muss / sollte ich beim WAN interface hinter meinem Zyxel Router eine IPv6 Adresse erhalten oder nur direkt auf den interfaces?
• Wenn die Ipv6 korrekt verteilt werden auf die Endgeräte die erhalten bei mir auch IPv6 Adressen, warum kann ich von diesen nicht nach aussen pingen

Hallo @gnome2018

In einem früheren Post habe ich mal geschrieben dass mein IPv6 auf einer pfSense hinter einer Zyxel Bridge an einem xgspon Anschluss funktioniert. Das ist aber im Moment nicht der Fall. Zu deinen Fragen:

- 2a02:1210:88ab:1500 <-- Eine IPv6 Range der Swisscom ist und dass an die Kunden verteilt wird? Korrekt, ist ein offizieller Kunden IP Range.

- Muss man keine DNS Einstellungen eingeben? Versuch z.B. von der pfSense mal ping6 google.com. Wenn dir da dann eine v6 Adresse aufgelöst wird, ist das ok so.

- DHCPv6 Server deaktiviert sein müssen <- Sind bei mir deaktiviert. Korrekt, RA sollte in den meisten Fällen genügen.

- Muss / sollte ich beim WAN interface hinter meinem Zyxel Router eine IPv6 Adresse erhalten oder nur direkt auf den interfaces? Link-local genügt, sprich eine fe80: auf dem WAN Interface, keine öffentliche Adresse benötigt.

- Wenn die Ipv6 korrekt verteilt werden auf die Endgeräte die erhalten bei mir auch IPv6 Adressen, warum kann ich von diesen nicht nach aussen pingen? Genau dieses Problem habe ich zurzeit auch. Ich habe mal versucht von einem anderen, funktionierenden IPv6 Hosts (nicht an meinen Internet Anschluss) meinen IPv6 Host zu erreichen. Ich sehe die ICMP echo request und auch die ICMP echo reply auf dem Host sowie auf dem WAN Interface der pfSense. Auf der Zyxel Bridge kann ich leider nicht tracen, es sieht so aus als fehlt mir die Berechtigung einen tcpdump zu machen.

Ich werde bei Gelegenheit versuchen einen Trace auf dem Netz-Element (FAN) zu kriegen.

@em_gerber 

Vielen Dank für die Antworten. Das sieht in diesem Fall bei dir genau gleich aus wie bei mir.

Ich kann von der Pfsense egal von welchem Interface nichts anpingen. Habe so ziemlich alle durchgetestet.

PING6(56=40+8+8 bytes) 2a02:1210:XXXX:XXXX:XXX:XXXX:XXXX:XXX --> 2001:4860:4860::8888
ping6: wrote 2001:4860:4860::8888 16 chars, ret=-1
ping6: wrote 2001:4860:4860::8888 16 chars, ret=-1
ping6: wrote 2001:4860:4860::8888 16 chars, ret=-1

--- 2001:4860:4860::8888 ping6 statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Auch alle Ipv6 Testwebseiten waren immer negativ.

Ich habe einmal auf der Pfsense IPv6 Paket Captures gemacht und verschiedene Pings abgesetzt. Aber irgendwie kann man wohl damit nicht viel anfangen. Ich sende sie dir via Mail zu.

Zeigt pfsense das IPv6 Gateway als online an?

@Tux0ne 

Ja,  bei mir wird das IPv6 Gateway als online angezeigt.

@em_gerber 

Konntest/durftest du bereits etwas Zeit investieren? Kann ich noch etwas zur Unterstützung bieten?

@gnome2018

Unterstützung brauche ich erstmals keine, danke.

Wirklich viel Zeit konnte ich aber noch nicht investieren. Folgende Aussage kann ich machen:

Wenn ich RA Assisted im LAN aktiviere, erhalten die Clients eine IPv6 Adresse zugewiesen. Wenn ich einen ICMP von extern auf einen Client mache, sehe ich auf dem Client ICMP echo request & ICMP echo reply. Ebenfalls sehe ich die selben ICMP messages auf dem WAN Interface der Firewall. Auf dem Zyxel Gerät kann ich leider keinen tcpdump machen, vermutlich fehlt mir da die Berechtigung. Auf dem xAN, im Swisscom Netz, sehe ich nur die ICMP echo requests, nicht aber die replies. Ich habe nun ein Ticket bei Zyxel aufgemacht um die Bridge debuggen zu können.

Ich konnte mein IPv6 Problem nun lösen. Das Problem wurde mit einer neuen Firmware für den Zyxel AX7501-B0 gelöst (V5.17(ABPC.2)D0_20220707). Mit der alten Firmware präsentierte sich die Bridge immer in der NDP Table der Firewall, was dazu führte, dass die ICMP echo replies an die Firewall zurückgeschickt wurden (Layer 2). Mit der neuen Firmware ist die Bridge nicht mehr in der NDP Table und die replies werden direkt an das Swisscom Netzelement geschickt (L2).

Vorwort:

Swisscom schreibt am 04.09.2022, Geschichte und zwar kann ich bestätigen dass es keinen Router Zwang gibt. Dieser Meilenstein müsste noch auf der Webseite eingetragen werden.

Hiermit kann ich offiziell bestätigen, dass es möglich ist an einem Swisscom Glasfaser Anschluss mit XGS-PON einen eigenen Router anzuschliessen.  Es müssen diverse Voraussetzungen geben sein und man muss entsprechende Hardware kaufen. Auch ist es möglich Swisscom TV hinter dem eigenen Router/Firewall zu betreiben (Live und Replay).

Allgemeiner Teil:

Es gibt einige Voraussetzungen und natürlich diverse Einstellungen welche gemacht werden müssen damit das obige Vorhaben auch gelingt. Grundsätzlich gilt aber folgendes.

Voraussetzungen:

• Zyxel AX7501-B0
• XGS-PON Anschluss Swisscom
• Software Firewall (Pfsense / OpenSense)

Es könnten unter Umständen später noch weitere Geräte dazu kommen. Mein Test beschränkt sich auf den Zyxel AX7501-B0.

https://www.swisscom.ch/dam/swisscom/en/ws/documents/E_BBCS-Documents/e_bbcs_supporting-documentprov...

Es ist damit auch möglich Swisscom / Blue TV im Live und Replay zu betreiben. Der AX7501-B0 ist wie ein Modem sobald er im Bridge Modus ist. Man kann auf diesen auch nicht mehr zugreifen. Die externe IP-Adresse wird direkt an die eigene Firewall (Pfsense / OpenSense) weitergeben. Es ist auch möglich IPv6 Native im Dualstack zu verwenden dafür muss jedoch zumindest der AX7501-B0 mindestens die Firmware: V5.17(ABPC.2)D0_20220707 haben.

Ich muss dazu sagen, dass mich das gesamte Unterfangen mehrere Tage Zeit gekostet hat und ich daran 6 Monate gearbeitet habe. Das war nur möglich da ich 2 Internetanschlüsse habe und somit alles funktionierte. Das Vorhaben funktioniert auch mit einem KMU Anschluss.

Danksagungen:

@RaphaelG 

Siehe meine Worte oben. Bitte entsprechend den Support schulen ;).

@em_gerber 

Danke für deine Hilfe!

English

For people who live in TI, VS, VD, GE, NE, JU, FR:

It is possible to get Swisscom TV (Replay and Live) working on a fiber XGS-PON connection.

It is also possible to use IPv6 native Dual-Stack and use your own Firewall software (Pfsense or OpenSense, for example).

Schlusswort:

Dieser Thread ist gelöst. This thread has been solved.