Ik probeer nu al een geruime tijd een IPv6 configuratie werkende te krijgen op mijn PFsense machine binnen mijn thuisnetwerk. Deze PFsense machine staat achter een ER-X die heel mooi de IPv6 adressen toegewezen krijgt.
Alleen nu wil ik via de PFsense machine ook al mijn VM’s van een IPv6 adres voorzien. Welke instellingen zou ik hiervoor moeten instellen, weet iemand dat toevallig? Want ik kan op het internet hier niet veel over vinden, althans niet een zelfde soort situatie. Mocht ik uiteraard tot een goed einde komen dan zal ik dit topic bijwerken met alle instellingen die ik heb doorgevoerd, om IPv6 ook op de tweede router/firewall (PFsense) werkende te krijgen binnen mijn netwerk.
Bladzijde 3 / 4
Ik zat me inderdaad al een beetje in te lezen over ‘routing’ op de Edgerouter x alleen merk op dat het nog niet veelvoudig wordt ondersteund...
Ik ervaar geen problemen met multi(v)lan routering op mijn EdgeRouter 4.
Als ik een trace route doe vanaf een device in mijn zakelijke vlan naar een device in mijn privé lan of andersom dan blijft de route netjes intern.
Schijnbaar is het adres wat ook in de ‘cmd screenshot’ staat een B-BRAS IPv6 adres? 2001:67c:2502:f100::2:38
Ookal ping ik de LAN interface van PFsense zelf dan krijg dit ook.
Maar wanneer ik de WAN zijde ping dan heb ik dit niet. Dus dan ligt het aan PFsense heb ik het idee…
Misschien een route6 opzetten vanaf 2a02:a44c:xxxx:1::1/56(/64) naar 2a02:a44c:xxxx:101::1/64
Want zo’n route kan ik nergens vinden namelijk of zou die zo gedefinieerd zijn ::0/0
Want zo’n route kan ik nergens vinden namelijk of zou die zo gedefinieerd zijn ::0/0
De ::0/0 route is de default route die gekozen wordt als geen enkele andere route voldoet.
Je hoeft naast de ::0/0 nooit een andere route te definiëren voor hetzelfde pad.
Misschien een route6 opzetten vanaf 2a02:a44c:xxxx:1::1/56(/64) naar 2a02:a44c:xxxx:101::1/64
Ik neem aan dat je niet 2a02:a44c:xxxx:1::1/56 bedoelt maar 2a02:a44c:xxxx:1/56.
Want zo’n route kan ik nergens vinden namelijk of zou die zo gedefinieerd zijn ::0/0
De ::0/0 route is de default route die gekozen wordt als geen enkele andere route voldoet.
Je hoeft naast de ::0/0 nooit een andere route te definiëren voor hetzelfde pad.
Misschien een route6 opzetten vanaf 2a02:a44c:xxxx:1::1/56(/64) naar 2a02:a44c:xxxx:101::1/64
Ik neem aan dat je niet 2a02:a44c:xxxx:1::1/56 bedoelt maar 2a02:a44c:xxxx:1/56.
Als ik 2a02:a44c:xxxx:1/56 doe dan krijg ik een overlap met LAN 2a02:a44c:xxxx:101::1/64 en ik krijg een TTL Expired in Transit...
bij 2a02:a44c:xxxx:1::1/64 heb ik dit dan weer niet…
EDIT:
Ik heb toch nog het idee dat dit wat raar aan het doen is:
Want als ik een 2a02:a44c:xxxx:1/56 aan de WAN zijde van PFsense toewijs dan kan dit.
Alleen op de LAN zijde krijg ik dan een conflict met 2a02:a44c:xxxx:101::1/64
Ik ga het anders doen, ik koppel ETH3 waarop PFsense is verbonden los van Switch0 en ik ga daar alles op toewijzen
Dus een IPv6 /56 subnet uit de /48 prefix en een IPv4 range
Kijken of dit wel werkt… Heb namelijk het idee dat het probleem nogsteeds bij de ER-X zit.,..
Ik heb het hier even gechekt: een PC op adres ….:1::/64 gaat via een …..:0::/64 adres naar :300::/64
Netwerk “0” is blijkbaar de experia box zelf. Er gaat niets naar buiten.
De WAN kant van de PfSense zit gewoon op het …..:1::/64 netwerk net zoals alle andere systemen. De prefix delegatie via DHCP zet de Pfsense LAN aansluitingen in het :/64 netwerk. Het is de taak van de DHCP server in de ER-X om een route naar :/64 te zetten via het link-local fe80 adres van PfSense WAN, anders gaat de communicatie het internet op. Is de ER-X een Linux systeem waar je via SSH in kunt kijken? Het commando “ip -6 route show” laat alle ip6 routes zien. Of heeft de web interface mogelijkheden om die te bekijken? Zijn er logs die info geven? Het is wel zaak dat de WAN op DHCP staat, een vast adres gaat niet werken, omdat dat de DHCP server in de ER-X geen opdracht krijgt routes te zetten! Het is lastig info te vinden, de meeste thuisgebruikers zullen blij zijn als de eerste router werkt….
succes!
Ik heb denk ik al een vermoeden in wat het kan wezen en dan is het met name dat ik niet goed heb gekeken.
Ik heb nu de volgende configuraties toegepast.
Ik heb de Poort die gebruikt wordt voor de PFsense firewall losgekoppeld van switch0 en heb deze apart op eth2 staan. Hierop heb ik direct de prefix gedefinieerd ::/56 en heb daarbij een statisch IPv6 adres uit die /56 prefix op de poort gezet zoals hieronder is te zien:
Vervolgens heb ik op de pfsense WAN het volgende IP-adres toegepast
2a02:a44c:xxxx:200::2/56
Op de LAN poorten van PFsense zal ik dan respectievelijke 2a02:a44c:xxxx:201::x/64 etc op ga zetten.
Alleen op de 1 of andere manier zegt hij dat hij overlapt en ik kan zo 1 2 3 niet zien waardoor dat komt. Ik heb een vermoeden omdat :200 :201 een zelfde soort subnet hebben?
Maar ik word er een beetje gek van, want soms dan begrijp ik er werkelijk helemaal niks meer van.
Hebben jullie eventueel betere alternatieve tooltjes die dit wat beter kunnen berekenen?
Beste Apollo,
2a02:a44c:xxxx:201::x/64 valt binnen 2a02:a44c:xxxx:200::2/56
Het /56 subnet bevat xxxx:0200 tot xxx:02ff, dus hier is overlap.
Ik heb ook een tijd zitten kijken van hoe werkt dit is vredesnaam allemaal, maar gebruik maken van prefix delegatie is totaal iets anders dan wat bij IPv4 gebeurt. Ik weet niet of het werkt om her en der IPv6 adressen te definieren. Bij IPv4 gebruik je NAT en dan kun je aan de LAN kant doen wat je wilt, het netwerk ziet alleen het WAN IPv4 adres. Bij IPv6, waar ieder adres in principe globaal te bereiken is voor zover niet gehinderd door firewall, is routing cruciaal. De DHCP aan de WAN kant haalt een IP adres op voor WAN, precies zoals bij IPV4, maar geeft ook prefixen door voor de LAN kant. En zet dus een route in de ERx als het goed is… Bij mij zijn die direct zichtbaar in de interface status. Rest correcte routing in de ERx.
Succes!
Bij IPv6, waar ieder adres in principe globaal te bereiken is voor zover niet gehinderd door firewall, is routing cruciaal.
Gelukkig is er bij IPv6 ook gewoon sprake van een firewall op de router en kunnen IPv6 adressen op het thuisnetwerk niet benaderd worden zonder rules in de firewall die dat toestaan.
Een tweede "veiligheidsmechanisme" is dat veel devices naar buiten communiceren met een tijdelijk IPv6 adres dat maar voor korte duur bestaat. Zo bewaken ze hun eigen identiteit doordat het adres waarmee ze zichtbaar zijn kort daarna al niet meer bestaat.
2a02:a44c:xxxx:201::x/64 valt binnen 2a02:a44c:xxxx:200::2/56
Het /56 subnet bevat xxxx:0200 tot xxx:02ff, dus hier is overlap.
Dat is waarom ik denk dat je er verstandig aan doet om subnetten allemaal /64 te laten zijn maar wel een prefix delegation te doen o.b.v. /56.
Last resort om een werkend systeem te krijgen: zet de WAN op DHCP of vast en de LAN’s op bijv.
fc00:1::1/64, fc00:2::1/64, fc00:3::1/64. Configureer DHCP en SLAAC, firewall.
(“fc00::/7” is de 10.0.0.0 van ip4, alleen iets meer adressen..)
En een Hybrid Outbound NAT met als extra drie regels fc00:n::/64 naar WAN.
Werkt, maar we zijn terug bij de IPv4 methode, dus aan de buitenkant maar 1 adres en port forwarding nodig. Ik vond nog een recente discussie op het netgate forum over routeren van een /64, maar de algemene reacties zijn toch: neem een betere internet provider. (waarbij in dit geval de provider de ER-X is, niet KPN!!! ). De oplossing, Neighbour discovery proxy, waarbij de router zich meldt aan de WAN kant namens de clients aan de LAN kant, is er helaas (nog) niet in pfsense. Het is wel een erg armoedige oplossing, als ik een ER-X had i.p.v. een Experia box zou ik eerst proberen /80 subnetten binnen de :1::/64 te maken met dedicated routing in de ER-X, als de prefix delegation dus echt niet werkt...
Succes!
Bij IPv6, waar ieder adres in principe globaal te bereiken is voor zover niet gehinderd door firewall, is routing cruciaal.
Gelukkig is er bij IPv6 ook gewoon sprake van een firewall op de router en kunnen IPv6 adressen op het thuisnetwerk niet benaderd worden zonder rules in de firewall die dat toestaan.
Een tweede "veiligheidsmechanisme" is dat veel devices naar buiten communiceren met een tijdelijk IPv6 adres dat maar voor korte duur bestaat. Zo bewaken ze hun eigen identiteit doordat het adres waarmee ze zichtbaar zijn kort daarna al niet meer bestaat.
2a02:a44c:xxxx:201::x/64 valt binnen 2a02:a44c:xxxx:200::2/56
Het /56 subnet bevat xxxx:0200 tot xxx:02ff, dus hier is overlap.
Dat is waarom ik denk dat je er verstandig aan doet om subnetten allemaal /64 te laten zijn maar wel een prefix delegation te doen o.b.v. /56.
Ik denk inderdaad dat ik die /64 moeten laten staan die uit de /48 prefix wordt gehaald. Want die overrule je niet heb ik het idee. Zie onderstaande screenshot:
Ik heb een statisch /56 subnet toegewezen en vervolgens de ER-X gereboot maar dat /64 subnet blijft als maar terugkomen….
Dus het is voor mij weer terug naar de teken tafel om te kijken hoe ik dit het beste kan oplossen…
Wellicht kan ik het nu wel oplossen als hoe WJB het in het begin van dit topic aangaf. een /64 vanuit de ER-X en dan /80’s op de LAN zijde van Pfsense. Met de kennis die ik nu heb kan ik dat misschien ook nog proberen.
Nieuwe opzet:
ETH3 (PFsense netwerk):
IPv4: 192.168.3.254
IPv6: 2a02:a44c:xxxx:2::1/64
PFsense WAN:
IPv4: 192.168.3.5
IPv6: 2a02:a44c:xxxx:2::2/64
LAN (1):
IPv4: (hoeft niet benoemd te worden werkt al)
IPv6: 2a02:a44c:xxxx:2::1::1/80
Alleen hier zegt die dus overlap en dat begrijp ik niet helemaal want dat zou niet zo moeten zijn lijkt mij?
Of zal ik op de LAN interface het volgende IP adres moeten zetten:
IPv6: 2a02:a44c:xxxx:3::1/64 (Lijkt mij dat dit niet kan…?)
Het enige wat mij nog echt dwarszit is die overlaps, daar heb ik best wel wat moeite mee op de 1 of andere manier. Of ik denk te moeilijk...
Heeft iemand tijd om mij uit te leggen waarom bepaalde adressen overlappen en hoe ik dit kan oplossen?
Op mijn PFsense WAN heb ik 2a02:a44c:xxxx:2/56 geconfigureerd. Op mijn ER-X staat :1/56
Als ik dan de LAN zijde wil configureren met 2a02:a44c:xxxx:101::1/64 dan zegt PFsense dat die overlapt, maar ik snap niet hoe? Want het zijn toch verschillende subnets? Hoe zou ik dit eventueel op kunnen lossen? Wellicht heeft iemand een ‘jip en janneke’ voorbeeld?
xxxx.0100::2/56 kijkt 56 bits vanaf links, de 01 van de 0100 hoort bij het netwerk ID.
xxxx.0101::2/64 heeft dezelde 01, en ligt dus binnen hetzelde netwerk waardoor pfsense protesteert.
Overigens: ik ben bang dat het op deze manier niet gaat lukken, er is op het internet veel wanhoop en weinig oplossing te vinden. De prefix delegatie is een fraaie oplossing, je configureert tegelijkertijd downstream en zet de juiste routes upstream, maar dat moet goed geimplementeerd zijn, en de Edge router functioneert dus correct als DHCP-PD client maar ik heb twijfels of hij ook als DHCP-PD server werkt. Ik hou me ook aanbevolen voor uitleg hoe die prefix delegatie bij KPN werkt. Als je bij glasvezel je prefixen moet opvragen via de PPPOE link, bemoeit zich daar dan een router buitenshuis mee? Is de Experia box nu echt een DHCP-PD server of een DHCP-relay?
Blijft over om het met handwerk te doen: een /56 naar buiten op de EdgeX, /64 aan de PfSense LAN’s en handmatig de routes configureren in EdgeX. Dan moet het perfect werken. Zonder de EdgeX te vertellen wat er aan de LAN kant van Pfsense hangt gaat het, vrees ik, niet lukken, althans voor zover mijn kennis rijkt. Er zijn wat programma’s voor datacenters waar routers info uitwisselen, maar dat gaat mijn pet ver te boven….
...en de Edge router functioneert dus correct als DHCP-PD client maar ik heb twijfels of hij ook als DHCP-PD server werkt.
Natuurlijk werkt hij ook als DHCPv6-PD server die configureer je namelijk op de EdgeRouter.
Ik hou me ook aanbevolen voor uitleg hoe die prefix delegatie bij KPN werkt. Als je bij glasvezel je prefixen moet opvragen via de PPPOE link, bemoeit zich daar dan een router buitenshuis mee? Is de Experia box nu echt een DHCP-PD server of een DHCP-relay?
De router (Experia Box of andere) verkrijgt via DHCPv6 een /48 prefix en dat is het enige.
De opsplitsing van dat /48 in kleinere segmenten geschiedt door de DHCPv6-PD functionaliteit op de router en daar vindt uiteraard geen verdere gegevensuitwisseling bij plaats met een router buitenshuis.
@wjb : Ik heb hier helaas geen EdgeX en geen fiber, en ben bezig met IPv6 te bestuderen. Ik zie regelmatig switch0 voorbij komen, volgens documentatie een level2 switch configureerbaar naar andere poorten.
Als je switch0 koppelt aan de fiber aansluiting, zit je dan niet als het ware parallel aan de fiber kant van de router? m.a.w. als je de Pfsense configureert zoals ik het hier op de Experia heb gedaan, krijg je een IPv6 adres en een /56 netwerk, en je hebt gewoon zoveel /64 netwerken als je wilt zonder verder iets met de Edge router te maken te hebben? … Of zie ik het verkeerd? … Qua IPv6 zit je dan als het ware in parallelschakeling met de Edge in plaats van in serie…
Een ander probleem is dan uiteraard, als je maar 1 IPv4 WAN adres hebt, dan moet Pfsense weer achter de Edge…..
Met vriendelijke groeten,
Ik heb hier helaas geen EdgeX en geen fiber, en ben bezig met IPv6 te bestuderen. Ik zie regelmatig switch0 voorbij komen, volgens documentatie een level2 switch configureerbaar naar andere poorten.
Als je switch0 koppelt aan de fiber aansluiting, zit je dan niet als het ware parallel aan de fiber kant van de router?
Met switch0 worden de LAN poorten samengevoegd, de WAN poort is uiteraard niet in switch0 opgenomen.
m.a.w. als je de Pfsense configureert zoals ik het hier op de Experia heb gedaan, krijg je een IPv6 adres en een /56 netwerk, en je hebt gewoon zoveel /64 netwerken als je wilt zonder verder iets met de Edge router te maken te hebben? … Of zie ik het verkeerd? … Qua IPv6 zit je dan als het ware in parallelschakeling met de Edge in plaats van in serie…
Een ander probleem is dan uiteraard, als je maar 1 IPv4 WAN adres hebt, dan moet Pfsense weer achter de Edge…..
De PFSense staat bij @Apollo in het LAN van de EdgeRouter. Dus niet parallel aan de EdgeRouter maar achter de EdgeRouter.
...en de Edge router functioneert dus correct als DHCP-PD client maar ik heb twijfels of hij ook als DHCP-PD server werkt.
Natuurlijk werkt hij ook als DHCPv6-PD server die configureer je namelijk op de EdgeRouter.
Ik hou me ook aanbevolen voor uitleg hoe die prefix delegatie bij KPN werkt. Als je bij glasvezel je prefixen moet opvragen via de PPPOE link, bemoeit zich daar dan een router buitenshuis mee? Is de Experia box nu echt een DHCP-PD server of een DHCP-relay?
De router (Experia Box of andere) verkrijgt via DHCPv6 een /48 prefix en dat is het enige.
De opsplitsing van dat /48 in kleinere segmenten geschiedt door de DHCPv6-PD functionaliteit op de router en daar vindt uiteraard geen verdere gegevensuitwisseling bij plaats met een router buitenshuis.
Hetgeen wat mij best wel verward is dat wanneer ik de prefix aanpas in de ER-X van ::/64 naar ::/56 dat dat dit dan niet op de interface veranderd. Ik blijf dan 2a02:a44c:xxxx:1::1/64 zien ook na een restart.
Nu heb ik de eth3 interface losgekoppeld van switch0 en dit een eigen prefix gedelegeerd, namelijk ::/56 (2a02:a44c:xxxx:1/56). vervolgens heb ik op de WAN zijde van pfsense 2a02:a44c:xxxx:2/56 geconfigureerd. Deze kan ik beide pingen vanaf mijn eigen PC dus dit werkt.
Nu heb ik op de LAN interface 2a02:a44c:xxxx:200::1/56 geconfigureerd, dit werkte op het eerste gezicht niet.
Dus heb ik een ipv6 route aangemaakt:
met het volgende commando:
set protocols static route6 '::/0' next-hop '2a02:a44c:xxxx:100::2'
vervolgens weer geprobeerd de LAN interface te pingen en dit werkte nu wel.
Ik moet hier wel bij vertellen dat ik de WAN interface een statisch IPv6 adres heb toegewezen, ik heb hier dus geen gebruik gemaakt van DHCP6.
EDIT: In feite is het nu opgelost, althans het probleem dat ik heb. Alleen vind het nogsteeds apart dat de ER-X dit niet aanpast, ook al vult die het op naar ::/64?
Alleen vind het nogsteeds apart dat de ER-X dit niet aanpast, ook al vult die het op naar ::/64?
Het is ook, zoals eerder aangegeven, best practice om /64 subnetten te gebruiken.
Dus heb ik een ipv6 route aangemaakt:
met het volgende commando:
set protocols static route6 '::/0' next-hop '2a02:a44c:xxxx:100::2'
Kan je dan niet beter een route naar de next-hop-interface <WAN poort PFSense> maken, dan ben je onafhankelijk van het gebruikte IPv6 adres.
Alleen vind het nogsteeds apart dat de ER-X dit niet aanpast, ook al vult die het op naar ::/64?
Het is ook, zoals eerder aangegeven, best practice om /64 subnetten te gebruiken.
Dus heb ik een ipv6 route aangemaakt:
met het volgende commando:
set protocols static route6 '::/0' next-hop '2a02:a44c:xxxx:100::2'
Kan je dan niet beter een route naar de next-hop-interface <WAN poort PFSense> maken, dan ben je onafhankelijk van het gebruikte IPv6 adres.
Dit zou ik inderdaad kunnen doen, goede tip zal ik direct even uitproberen :)
@wjb. Dank voor het antwoord, ik moet nog eens verder studeren.
@appollo: de route ziet er wat griezelig uit, betekent dit niet dat het hele ipv6 internet naar pfsense gaat?
Niet gehinderd door enige kennis van EdgeX zou ik de ::/0 vervangen door 2a02:a44c:xxxx:200::/56 ….
@appollo: de route ziet er wat griezelig uit, betekent dit niet dat het hele ipv6 internet naar pfsense gaat?
Die route staat, neem ik aan, ingesteld op de PFSense en dat betekent dat de IPv6 route richting Internet vanuit de PFSense naar de EdgeRouter gelegd wordt en dat is uiteraard de bedoeling.
@appollo: de route ziet er wat griezelig uit, betekent dit niet dat het hele ipv6 internet naar pfsense gaat?
Die route staat, neem ik aan, ingesteld op de PFSense en dat betekent dat de IPv6 route richting Internet vanuit de PFSense naar de EdgeRouter gelegd wordt en dat is uiteraard de bedoeling.
Ik heb de route6 aangepast op de ER-X van ::/0 naar 2a02:a44c:xxxx:200::/56
Dit werkt ook ‘gelukkig’, dus dan is denk ik dit topic opgelost. Het liefst pas ik het hoofdbericht van dit topic nog even aan met de oplossing. Alleen dat kan niet meer schijnbaar… :(
Als je die route op de ER-X had ingesteld dan moet je inderdaad niet ::0/0 gebruiken maar zoals @hmmsjan_2 aangeeft de prefix van de subnetten die op de PFSense te vinden zijn.
Als je die route op de ER-X had ingesteld dan moet je inderdaad niet ::0/0 gebruiken maar zoals @hmmsjan_2 aangeeft de prefix van de subnetten die op de PFSense te vinden zijn.
Ik heb de route6 nu correct toegepast en je ziet ook uit het onderstaande dat het zou moeten kloppen:
Is die screenshot van jouw PFSense?
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.