pfSense am Anschluss der DeutschenGlasfaser bekommt keine IPv6 Konnektivität mehr

1. offizieller Beitrag

    Hallo liebe Mitglieder,

    ich habe ein für mich nicht mehr ganz begreifbares Problem. Wir nutzen für eine Schule seit Ende letzten Jahres einen Anschluss der Deutschen Glasfaser. An diesem hängt eine pfSense Installation (2.4.5-RELEASE (amd64)) für diverse Zwecke, u.a. auch VPN. Bisher hat das Ganze über die im Internet auffindbare 6rd Konfiguration sehr gut funktioniert. Die Glasfaser ist über den "eigenen Router" informiert und grundsätzlich geht (ging) der Anschluss auch (Bandbreite etc. alles ok)

    Eingestellt auf WAN ist:

    6rd Prefix 2A00:61E0::/32

    6rd Border relay 100.127.0.1

    6rd IPv4 Prefix length 8

    Seit ca. Mitte April bekomme ich keine Verbindung mehr über IPv6 zustande. Das automatisch berechnete IPv6 Gateway ist nicht pingbar (das IPv4 GW schon) Aus Verzweiflung habe ich eine Fritzbox an den Anschluss gesteckt und nach DGF Vorgabe konfiguriert. Hier klappt es mit IPv6. Interessanterweise kommt hierbei ein 2A00:6200:xxxx:xxxx / 56 Prefix um die Ecke. Ich weiß nun nicht ob die Fritzbox 6rd oder DHCPv6 macht, meine aber einen Haken bei 6rd gesehen zu haben.
    Mit der pfSense bekomme ich weder mit 6rd noch mit DHCPv6 eine IPv6 Verbindung. v4 geht einwandfrei.

    Eine Anfrage ist seit Freitag an die DGF raus. Leider noch unbeantwortet.

    Da die VPN-Sache gerade in der jetzigen Zeit natürlich äußerst wichtig ist habe ich mir gedacht, ich frage hier einmal nach. Vielleicht gibt es ja andere Nutzer, die ein ähnliches Problem bereits haben / hatten.

    Kann man der Fritzbox vielleicht irgendwie den Prefix / BR etc. entlocken? Bin für jeden Tip dankbar (erweiterte Linux Kenntnisse vorhanden)

    Danke & Grüße
    Andreas

    • Offizieller Beitrag

    Ob man der Fritzbox eine 6rd Konfiguration entlocken kann, ist mir nicht bekannt. 6rd ist in RFC 5969 definiert. Wenn 6rd verwendet wird, kann der Router die DHCPv4 Option 212 anfordern und der DHCP-Server schickt dann diese Option, die die 6rd Parameter enthält. Die könnte man dann z.B. einem Netzwerkmitschnitt des Verbindungsaufbaus entnehmen.

    Wahrscheinlicher ist, dass der Router DHCPv6 nutzen soll, aber aus irgendeinem Grund damit keine Adressen bekommt. Im Thread "Keine IPv6 im Neuausbaugebiet der Deutschen Glasfaser (kein 6rd, kein DHCPv6)" wurde bereits von einem solchen Fall berichtet. Dort wurde das Problem nach langem Hin und Her von Seiten der DG behoben.

    Nebenbemerkung: Ich denke, dass 2A00:6200:xxxx:xxxx / 56 ein Zahlendreher ist. Das zugewiesene Prefix müsste ein /56 aus 2A00:6020::/32 sein.

    Moin,

    den Thread habe ich gelesen. Da es hier aber darum ging, dass auch die Fritzbox keine Verbindung bekam, habe ich das nicht in Zusammenhang stellen wollen.


    Ich habe einen TCPDump (tcpdump -i xxx -nvv port 67 and port 68) mitlaufen lassen und habe dort beim v4 Handshake keine Option 212 entdeckt. Was ich nicht ganz verstanden habe, frage die pfSense die Option 212 automatisch ab wenn ich auf 6rd stelle oder muss ich das in den Advanced-Options erst aktivieren?

    Die Fritzbox bekommt es ja hin (siehe Anhang), also denke ich, dass ich etwas falsch eingestellt habe. Ich weiß nicht ob mir die DGF da diesbezüglich weiterhelfen kann. Offensichtlich scheint der Anschluss ja in Ordnung zu sein. Vielleicht hat jemand ein funktionierendes pfSense-DHCPv6 Beispiel, damit ich das vergleichen kann.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Es gibt unterschiedliche Fehler im Zusammenhang mit IPv6 an DG Anschlüssen. Neben totaler Funkstille wie im genannten Thread habe ich auch schon die Situation gesehen, dass ein Router keine Adressen bekommt und ein anderer Router am selben Anschluss problemlos IPv6 nutzen kann. Auch Routingfehler, wo der Router zwar Adressen bekommt, aber keine Pakete für diese Adressen den Router erreichen, sind mir vor Monaten mehrfach begegnet. In allen Fällen hat die DG den Anschluss zunächst für fehlerfrei erklärt. Ich schreibe das, weil man nicht davon ausgehen sollte, dass die Anschlüsse einwandfrei funktionieren, auch nicht wenn die DG das sagt. Es ist wichtig, Fehler im eigenen Verantwortungsbereich auszuschließen, aber dann muss man leider auch eine Fehlkonfiguration auf Anbieterseite in Betracht ziehen.

    Für mich sieht das nach einem DHCPv6 Anschluss aus. Sicher sagen kann man das, indem man die Fritzbox den Verbindungsaufbau aufzeichnen lässt. Wie das geht, wurde im anderen Thread kurz angesprochen.

    Danke schonmal für den Tip. Ich habe vorhin mal die Fritzbox angeschlossen und mit geschnitten. Ja die Vermutung war richtig, seit kurzem macht der Anschluss wohl DHCPv6. Die Fritzbox schickt einen Solicit und bekommt eine Reply darauf. Dort steht alles drin. Wenn ich die PFsense dran hänge sehe ich einen (mehrere) Solicit aber keine Antwort aus dem DG Netz. Muss ich nun etwas spezielles einstellen oder filtert die DG doch irgendwie auf eine bzw. die Fritzbox? Hab aber auch schon die Mac von der Fritzbox auf der PF eingetragen - das alleine hilft nicht.

    Was kann ich jetzt machen? Ich habe das DHCP so eingestellt wie hier beschrieben ( https://beechy.de/deutsche-glasfaser-ipv6-vs-pfsense/ ) Aber damit bekomme ich keine Antwort aus dem Netz. Bevor ich jetzt die DG mit der Frage nach MAC-Filter o.ä. konfrontiere, würde ich nur gerne wissen, ob DG mit DHCPv6 so wie in der verlinkten Anleitung auch funktioniert.

    • Offizieller Beitrag

    Meiner Erfahrung nach assoziieren die DG DHCPv6 Server die IPv6 Konfiguration mit dem (DHCPv6) "DHCP Unique Identifier" (DUID) des Clients. Wenn man den DUID in PfSense ändern kann, ist das einen Versuch wert. In den meisten Routern geht das nicht ohne große Klimmzüge. Der Wert wird beim ersten Start i.d.R. aus der MAC Adresse einer Ethernetschnittstelle gebildet (nicht notwendigerweise die, die als WAN-Port verwendet wird), und ändert sich dann später nicht mehr, auch wenn die MAC Adresse geändert wird.

    (Ohne Erfahrung mit pfSense: Der DUID wird angeblich in /var/db/dhcp6c_duid gespeichert und soll neu erzeugt werden, wenn diese Datei nicht existiert.)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Das mit der DUID habe ich versucht (ist änderbar), hat aber auch kein Erfolg gebracht. Ich warte mal auf die Antwort der DG. Ich hoffe es lässt sich einfach klären. Danke erstmal für die Unterstützung!

    Moin,

    die Fritzbox bekommt grundsätzlich erstmal per Router Advertisements eine IPv6 Adresse (/128 Prefix = 1 Adresse) zugeteilt. Das ist in deinem Screenshot die IPv6 Adresse 2a00:6020:1000:13:xxx...

    Hast du diese Adresse ebenfalls auf deinem WAN Interface? Falls nicht solltest du die Annahme von Router Advertisements + SLAAC auf dem WAN Interface aktivieren.

    Grundsätzlich scheint die DG die DHCPv6 Anfragen auf einer Link Local Adresse zu beantworten.

    Mir fallen jetzt zwei Sachen ein die zu dem Problem führen könnte:

    - Du hast Router Advertisements bereits an und die PFSense sendet die DHCPv6 Requests von der 2a00:6020:1000:13:xxx Adresse, die DG will aber die Anfragen zwingend von der Link Lokal Adresse (fe80::/8)

    - Du hast die Router Advertisements aus und die PFSense sendet die DHCPv6 Requests auf der Link Local. Die DG macht aber noch irgendeine merkwürdige Magic im Hintergrund, die zuvor ein Router Advertisement für die /128 Adresse benötigt, bevor sie dir per DHCPv6 mehr Adressen gibt.

    Einmal editiert, zuletzt von Waishon (4. Mai 2020 um 17:14)

    • Offizieller Beitrag
    Zitat von Waishon

    die Fritzbox bekommt grundsätzlich erstmal per Router Advertisements eine IPv6 Adresse (/128 Prefix = 1 Adresse) zugeteilt.

    Bist du sicher? Ich sehe keine Router Advertisements mit Präfix-Information, anhand derer sich mein Router eine Adresse zusammenbauen könnte. Hier werden die Adresse für den Router und das Präfix für das LAN per DHCPv6 zugeteilt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ne, sicher bin ich mir nicht. Nur macht die Telekom und Vodafone das so.

    Die DG scheint hier einen anderen Weg zu gehen. Du bekommst über DHCPv6 eine IPv6 Adresse und ein IPv6 Prefix per DHCPv6-PD.

    DHCPv6 teilt dir aber weder Default Gateway noch Subnetzmaske mit. In der Regel bekommt man das über ein Router Advertisement, in dem das Managed Flag für DHCPv6 aktiviert ist. Der Sender des RouterAdvertisments wird dein Default Gateway.

    Die DG hat im RouterAdvertisments für das Prefix vermutlich das Autoconfigure Flag deaktiviert, sodass ausschließlich DHCPv6 gemacht wird und kein SLAAC. Dennoch sollte man ein Router Advertisement bekommen.

    Dennoch sollte die DG auf DHCPv6 Solications auf Link Local antworten. Deswegen war die Vermutung, ob die DG bei sich irgendeine Magic macht, die zuvor eine RouterSolication benötigt, bevor sie per DHCPv6 auch Adressen raus gibt.

    Das kann lp24db aber auch ganz einfach überprüfen, indem man schaut ob bereits eine IPv6 Default Route im System hinterlegt wurde, und jetzt wirklich nur noch DHCPv6 fehlt, oder ob selbst die RouterAdvertisments nicht funktionieren.

    Da ich bisher noch keinen (Nachfragebündelung) DG Anschluss habe, kann ich das aber gerade leider nicht verifizieren :(

    • Offizieller Beitrag
    Zitat von Waishon

    Nur macht die Telekom und Vodafone das so.

    ^^ Du wirst noch viel Spaß haben, wenn du glaubst, die DG orientiere sich daran, was andere machen. ;)

    Hier ist, was ich sehe:

    Es werden Router Advertisements verschickt, aber ohne "managed address configuration flag" und ohne "other configuration flag". Diese RAs enthalten aber auch gar keine Präfix Information. Die sagen also "Hallo, ich bin ein Router", aber nicht wofür, und eigentlich bedeuten die, dass es kein DHCPv6 gibt. Später haben die RAs dann das "managed address configuration flag" gesetzt, aber weiterhin keine Präfix Information. Ob das daran liegt, dass im IPv4 DHCP Ablauf keine 6rd Konfiguration abgefragt wurde oder der Heimrouter einfach doch DHCPv6 Solicit schickt, ist das Geheimnis der DG.

    Das völlige Fehlen von Präfix-Informationen in den RAs bedeutet, dass alles durch den Router geschickt werden muss, der die RAs sendet. Ohne Präfix-Information gibt es außerdem kein "autonomous address-configuration flag", also auch keine SLAAC.

    Die DHCPv6 Antwort (Advertise), wenn sie denn kommt, enthält eine IPv6 Adresse mit Gültigkeitszeitraum, ein IPv6 Präfix mit Längenangabe und Gültigkeitszeitraum, und zwei DNS-Server-Adressen. Das muss der Heimrouter natürlich alles angefordert haben.

    ich hatte im Wireshark nur auf "dhcpv6" gefiltert. Gibt es noch andere Kommunikation, die interessant wäre? Auf der dhcp(v4) Ebene hatte ich schon mal geschaut, da war im DHCP Handshake nichts ipv6-verdächtig.

    RAs kommen ab und zu, aber da scheint die PFsense nicht darauf zu reagieren. Man kann die PFsense ja einstellen, dass sie nicht auf RAs wartet sondern direkt eine Anfrage absetzt. Was ja auffällt, die Fritzbox sendet gleich einen Sack von Request Options. Das scheint der ja irgendwie bekannt zu sein. Der Solicit der PFsense enthält dagegen praktisch keine Request Options.
    Wenn ich die nächsten Tage etwas Zeit dafür finde, schicke ich mal ein paar selbst gebaute Solicits ab, um zu schauen ab wann die DG antwortet. Stück für Stück den der Fritzbox nachbauen - aus purer Verzweiflung und Neugier

    übrigens: immer noch keine Antwort auf meine Anfrage (Email). Ich lass morgen mal die Hotline glühen.

    So sieht das RA der DG aus, ein Hauch von Nichts, wie @alfalfa es bereits beschrieben hat:

    Code
    00:00:00.000000 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::ff:fe00:10 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 32
        hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0ms, retrans timer 0ms
          source link-address option (1), length 8 (1): 02:00:00:00:00:10
            0x0000:  0200 0000 0010
          mtu option (5), length 8 (1):  1500
            0x0000:  0000 0000 05dc
  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ja, dann macht die DG wohl tatsächlich Black Magic :).

    Du könntest nochmal testen Rapid Commit an zu machen, das sendet die Fritzbox ebenfalls mit. Vielleicht kann der DHCPv6 Server der DG kein normalen 4 Wege Ablauf von DHCPv6 :).

    Außerdem wäre es noch ein Versuch wert die DUID der Fritzbox in der PFSense einzustellen. Hat die DG Ratelimiting oder beschränkt das auf eine DUID pro Anschluss? @alfalfa

    lp24db Könntest du vielleicht auch nochmal einen Dump schicken, was die PFSense aktuell sendet? Auch einfach aus Neugier, wo so die Unterschiede zwischen Fritze und PfSense sind?

    Einmal editiert, zuletzt von Waishon (6. Mai 2020 um 13:55)

    • Offizieller Beitrag

    Der DG DHCPv6 Server kann den vollen "solicit advertise request reply" Ablauf. Die DUID spielt eine Rolle, aber es sind mehrere Clients in kurzer Folge möglich. Die funktionieren dann sogar gleichzeitig, können allerdings nicht dauerhaft gleichzeitig online sein, und nach zu vielen verschiedenen Anfragen geht ein paar Stunden nichts mehr. Wenn man ein paar Router durchtestet, läuft man schon in dieses Limit.

    Hab gestern mit der Hotline telefoniert. Zitat: "klar Doku gibts, für die Fritzbox...." Nach meiner Nachfrage zu "technischen Details des Anschlusses", der Hinweis, das könne nur schriftlich angefragt werden. Die Telefonjoker wären hier technisch nicht informiert. Nachdem ich meinen Unmut über die mangelnden Informationen abgeladen hatte, hab ich dann aufgegeben.

    Später gegen Abend kam dann tatsächlich eine Mail auf meine Anfrage vom Samstag: "..klar Haben wir" Mit dem Link auf die Anleitung, wie man den Anschluss am Beispiel einer TATAAAA: Fritzbox einrichtet. Das musste ich erstmal verdauen, bevor ich mich darüber aufregen konnte. Ich hab mich in diesem Zustand nicht getraut auf die Mail zu antworten.
    Ja Fritzbox, total supi... Will ich aber halt nicht bzw. ist einfach keine Option.
    Kaskadieren möchte ich auch nicht, aber ich bin fast soweit das in Betracht zu ziehen. Finde ich technisch ziemlich mau und kann nur die allerletzte Option neben Kündigung sein.


    @alfalfa hatte nur am Samstag einmal kurz die Fritzbox dran. Wie schon gesagt, ich muss mal debuggen

    Waishon Der Solicit der PFsense ist recht dünn. Hab dann manuell noch einen mit rapid-commit ergänzt. In beiden Fällen keine Antwort.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich würde mal die Fritzbox direkt anschließen. Dort dann DHCPv6-PD aktivieren und dahinter dann die PfSense. Damit könntest du einmal prüfen, ob die PfSense grundsätzlich alles richtig macht und du von der Fritzbox zumindest eine Antwort bekommst. Klappt auch das nicht, hat evtl. die PFSense Installation eine Macke.

    Das wäre zumindest der nächste Debugging Schritt den ich machen würde. Damit kannst du vollständig ausschließen, das es an deiner DHCPv6-Client Einrichtung liegt.

    https://blog.veloc1ty.de/2019/05/26/pfs…ation-fritzbox/

    Edit: Ist das Absicht das dein Solicit weder eine IA_NA, noch eine IA_PD, noch irgendeine DHCP Option (außer Rapid Commit und Elapsed time) anfragt? Im Grunde schickst du aktuell einen DHCPv6 Solicit: "Hey, gib mir mal bitte gar nichts, und zwar schnell (Rapid Commit)" ;). Vielleicht antwortet der DHCPv6 Server schlicht nicht, wenn es auch keine Nachfrage gibt.

    Dein WAN Interface steht auf DHCP6 und du hast

    "DHCPv6 Prefix Delegation size" auf 56 gestellt?

    Mal einfach einen Laptop an den ONT angeschlossen und DHCPv6 aktiviert?

    Einmal editiert, zuletzt von Waishon (10. Mai 2020 um 18:05)

    • Offizieller Beitrag

    Hehe, das ist ein interessantes Gespräch, das die Geräte da führen: "Hallo, ich bin Router. Hier gibt's weder SLAAC noch DHCP." "An alle DHCP Server: Gebt mir nichts, aber zackzack."

    Wenn das die kompletten Solicits sind, dann passen die aber nicht zu der in der pfSense Anleitung verlinkten Konfiguration. Da kann man ohne "Advanced Configuration" nur einstellen, ob man zusätzlich zum Prafix auch noch eine einzelne Adresse haben will oder nicht.

    Ursächlich kam ich ja von 6rd, was von einem auf den anderen Tag nicht mehr funktionierte. Nach wie vor kann ich bei 6rd Konfiguration das zugeteilte Gateway nicht erreichen, was mir immer noch ein Rätsel ist. Privat als auch in der Schule.

    Aber DHCPv6 funktioniert nun doch. Ich konnte da erst wirklich dahinter steigen, seitdem ich meinen privaten Anschluss habe und ohne Beschränkung alle Option testen konnte. Leider war "die Lösung" nicht so ganz nahe liegend, da ich auch nach der Konfiguration von meinem (v)LAN als "Track Interface" keine Adresse bekam. Da ich an dieser Stelle meist wieder aufgegeben hatte, konnte ich auch nicht weiter kommen

    Nach etlichen Suchanfragen konnte ich ein Forenbeitrag bei Netgate (pfSense) finden. Hier wurde aufgrund einer anderen Frage darauf hingewiesen, dass man bei der Aktivierung von "Track Interfaces" immer die Kiste erstmal durchbooten soll. (Wie soll man darauf kommen?) In der normalen Doku findet man da kein Wort drüber. Dazu kommt, dass viele schreiben, man soll die RA intern auf "Managed" stellen. Das traf bei mir auch nicht zu. Erst bei "assisted" fing das Teil an konsequent Adressen zu delegieren.

    Letztendlich habe ich es aktuelle nicht mehr mitgeschnitten, aber es deckt sich mit euren, etwas verwunderten, Fragen. Es war nicht nachvollziehbar, warum hier eine "Nicht"-Kommunikation stattfindet. Was der Boot genau ändert, weiß ich bis heute auch noch nicht.

    Trotz stundenlangen Probierens und Podcast hören und Doku lesen, komme ich jetzt erst so langsam an den Punkt ansatzweise zu Verstehen, was da im Hintergrund eigentlich passiert. Die Fritzbox ist halt diesbezüglich eine Blackbox - Einschalten und geht halt. Warum interessiert auch 90% der Nutzer nicht.

    Insofern lag es nicht an der DG (sorry), sondern an meinem mangelhaften Verständnis von IPv6 und der nicht ganz transparenten pfSense.

    Für meinen ursächlichen Usecase, der VPN Verbindung für die Schule, verstehe ich trotzdem nicht, warum ich kein DHCPv6 an der pfSense nutzen kann ohne v6 Adressen ins LAN zu blasen. Ich will ja nur, dass die pfSense eine v6 Adresse erhält, damit der OpenVPN Server erreicht werden kann. Warum ich dafür erst Clients brauche, verstehe ich nicht. Evtl. muss ich doch auch dort nochmal den RA Mode ändern.

    Wahrscheinlich liegt es wieder am mangelnden KnowHow bzgl. ipv6, ich geb es ja zu. Ach, v4 war so einfach =)

    Ich danke euch für die Unterstützung.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Welcher FB ist implementiert? Die 5490?

    Das Ding ist schrecklich in halb- oder professionellen Umgebungen zu verwenden. Selbst nachdem Lösungen gefunden wurden, wurde die Leistung vom FB beeinträchtigt, auch wenn nichts zu tun war.

    Ich habe kürzlich den FB 5490 entfernt, um meinen Router direkt mit meinem Internetprovider (Dokom21) zu verbinden.

    Meine Combo bestand aus den folgenden Produkten von FS.com. Die Lieferung ist schnell, die Produktqualität ist wirklich gut und die Website ist schön zu bedienen.

    1. FS.com - Media Converter
    2. FS.com - SFP Module 1390TX/1490RX 20Km
    3. FS.com - Stecker
    4. FS.com - Kabel

    Ich würde dringend empfehlen, den FB vollständig zu entfernen und einen Medienkonverter oder eine SFP + PCIe-Karte zu verwenden, um pfSense "direkt" an die Glasfaser anzuschließen. Sie werden Leistungsverbesserungen sehen. Die FB bietet keinen echten Bridge-Modus, der aber unser Leben so viel einfacher machen würde.

    Ich habe über PPPoE auf IPv4 mit VLAN-Tagging eine Verbindung zu Dokom21 hergestellt. Das VLAN-Tagging muss auf eine bestimmte Art und Weise durchgeführt werden, ist aber nicht kompliziert. Die FB hat mir Arbeitstage gekostet und als die Teile von FS.com ankamen, war ich innerhalb von 10 Minuten fertig.

    Edouard.deBR

    Die Fritzbox war nur zu Testzwecken angeschlossen. Da es sich hier um einen GPON Anschluss handelt, kann man leider nicht einfach ein SFP Modul einstecken. Da gibt es leider noch nichts passendes auf dem Markt.

    Du hast also gezwungenermaßen immer den ONT des Providers dazwischen, der aber hoffentlich immer alles transparent auf Layer2 durchreicht.

    Das war aber hier gar nicht das Problem, sondern das die PfSense am ONT kein DHCPv6 machen wollte, was sich aber jetzt ja gelöst hat :)