PfSense internet werkt, TV niet

Ik denk dat ook de LAN IPv6 Configuration Type op DHCPv6 moet staan maar dat er vervolgens geen DHCPv6 server gebruikt wordt voor het LAN en de juiste Router mode bij Router Advertisements.

Ook als LAN IPv6 op DHCP6 zet dan krijg ik hier LAN niet te zien.

Eerst had ik LAN IPv6 dus op Track Interface staan. En dan staan wel LAN op die DHCP6 server en RA pagina. (Zie begin post)

Ik heb alles weer even teruggezet op de begin stand dus conform die handleiding.

En dat is tot nu toe de enige manier hoe ik het IPv6 subnet zie binnen. Clients krijgen dan nog steeds geen juiste IPv6 adres maar subnet komt in ieder geval binnen.

Weet je zeker dat dit niet toch the way to go is maar dat er een ergens een foutje staat (vinkje) staat?

Kijk zoals ik eerder liet zien, dan komt subnet ook hier binnen:

Dan hoop ik dat @Wopper binnenkort zal reageren.

Ik ben echter van mening dat je eigenlijk geen DHCPv6 server voor jouw LAN zou moeten gebruiken maar slaac en dat betekent dat het vinkje “Enable DHCPv6 server on interface LAN” uit zou moeten zijn en dat bij de Router Advertisements de juiste “Router mode” gekozen moet worden.

Ik ben nog steeds benieuwd welke optie je in die dropdown hebt.

Ik had het topic nog niet gespot. Dank voor de tag. Het is een beetje mysterieus hoe de mix tussen DHCPv6 en RA (2e tab) is. In de RA flags zit ook een managed parameter die de combinatie van DHCPv6 bepaald.

(Het is mij maar op 1 methode gelukt om ook mijn eigen IPv6 dns uit te delen.)
 

Als je de prefix ziet op de IPv6 LAN interface dan is dat alvast gelukt. Ik heb deze week een beurs voor mijn werk en alleen mobiel bij mij. 
 

Je kunt vast pingen naar IPv6 vanaf pfsense kernel?
 

De RA instellingen staan bij mij op Managed  denk dat je die nog even moet activeren.

Je moet ook geen slaac aan de WAN zijde gebruiken maar aan de LAN zijde.

De WAN zijde blijft DHCPv6.

O 🤦🏼. 

Die optie aan of uit?

Kan je het eerst eens bouwen volgend de guide zonder typos 😉

Android staat/stond bekend om hun brakke IPv6 implementatie. Wil je ook eens een Windows cliënt testen naast een Android cliënt als je test?

RA staat op Managed, ik heb de Prefix even op 106 gezet. En zie hier, de prefix komt mee.

Pingen gaat ook goed:

Hier komt prefix niet mee. Weet niet of dat wel zou moeten?

https://docs.netgate.com/pfsense/en/latest/services/dhcp/ipv6.html
 

Heb je de guides ook doorgenomen?

DHCPv6 does not provide gateway information. Router Advertisementsinform hosts on the network about available routers. DHCPv6 is for other host configuration such as DNS, delegation, and so on
 

Hier staat iets over de samenwerking tussen beide componenten wjb 
 

Ik heb hem ook wel eens moeten rebooten om de RA config goed te laden. Kan je eens testen met het herstarten van de service rechtsboven of een reboot?

@Operations8 wil je eens laten zien wat je cliënt nu krijgt aan IP informatie?

FE80 is alleen lokaal, noem het simpel gezegd: discovery. Daarmee kan je niet het internet op. 
 

En je pf LAN interface onder diagnostics? Wat laat die zien?

Ik reboot na elke test poging / aanpassing

Ik heb op mijn EdgeRouter managed juist uit staan immers managed impliceert dat er een DHCPv6 server voor het netwerk actief moet zijn en dat is nu net wat je niet wilt met slaac.

In de radvd-options vermeld ik de te gebruiken IPv6 DNS server nogmaals. Deze wordt bij een router advertisement meegegeven zodat zonder een DHCPv6 server de cliënts toch voorzien kunnen worden van de te gebruiken IPv6 DNS server(s).

Met Android heb je assisted nodig ipv managed. 
 

Many operating systems such as Windows, macOS, FreeBSD, Linux, and their cousins contain DHCPv6 clients that are capable of obtaining addresses as expected via DHCPv6. Some lightweight or mobile operating systems such as Android do not contain a DHCPv6 client and will only function on a local segment with IPv6 using SLAAC.

Geen grappen over tikfouten he 🤣

Het werkt nu :) Op 1 ding na.. bij IPv6 moet je ook ICMP allowen toch? (Is een RFC over) echter als ik ipv6 icmp any (icmp optie) doe dan krijg ik op ipv6-test.com een 18/20. Hij geeft aan dat ICMP filtered is. Maar ik kan het niet meer open zetten toch? Sterker nog je zou niet alle ICMP opties nodig moeten  hebben.

Wil ik alleen nog dit geheel even via Adguard laten lopen en dan is het klaar :)

Deze bedoelde je?

@Operations8 wil je eens laten zien wat je cliënt nu krijgt aan IP informatie?

 

FE80 is alleen lokaal, noem het simpel gezegd: discovery. Daarmee kan je niet het internet op. 
 

En je pf LAN interface onder diagnostics? Wat laat die zien?

Geen grappen over tikfouten he 🤣

Het werkt niet. Op 1 ding na.. bij IPv6 moet je ook ICMP allowen toch? (Is een RFC over) echter als ik ipv6 icmp any (icmp optie) doe dan krijg ik op ipv6-test.com een 18/20. Hij geeft aan dat ICMP filtered is. Maar ik kan het niet meer open zetten toch? Sterker nog je zou niet alle ICMP opties nodig moeten  hebben.

 

Wil ik alleen nog dit geheel even via Adguard laten lopen en dan is het klaar :)

 

Deze bedoelde je?

 

werkt niet of wel?

In je screenshot zijn juist de begin getallen niet leesbaar is het fe80 of met een 2?

Die ICMP test moet je negeren, ik heb ook 18/20. Wat nodig is voor IPv6 regelt pfsense aL voor je met hidden rules. 

Owh en als je bereid bent van adguard af te stappen kan pfblockerNG het binnen pfsense ook voor je. 
 

Om het adres van adguard mee te geven;

Provide DNS configuration via radvd Wel aanvinken en dan bij DNS1 het IPv6 adres van adguard plakken. 

Heb altijd PFBlocker gebruikt. Sinds paar maanden adguard op mijn HASS vind ik prettiger.

@Operations8 wil je eens laten zien wat je cliënt nu krijgt aan IP informatie?

 

FE80 is alleen lokaal, noem het simpel gezegd: discovery. Daarmee kan je niet het internet op. 
 

En je pf LAN interface onder diagnostics? Wat laat die zien?

Geen grappen over tikfouten he 🤣

Het werkt niet. Op 1 ding na.. bij IPv6 moet je ook ICMP allowen toch? (Is een RFC over) echter als ik ipv6 icmp any (icmp optie) doe dan krijg ik op ipv6-test.com een 18/20. Hij geeft aan dat ICMP filtered is. Maar ik kan het niet meer open zetten toch? Sterker nog je zou niet alle ICMP opties nodig moeten  hebben.

 

Wil ik alleen nog dit geheel even via Adguard laten lopen en dan is het klaar :)

 

Deze bedoelde je?

 

werkt niet of wel?

In je screenshot zijn juist de begin getallen niet leesbaar is het fe80 of met een 2?

 

Die ICMP test moet je negeren, ik heb ook 18/20. Wat nodig is voor IPv6 regelt pfsense aL voor je met hidden rules. 

Excuus het werkt WEL. IPv6 begint met 2a.

Wederom dank aan @wjb , @Wopper en @Nick83 !!!

Ik zal gaan proberen ook een mooie bijdrage te leveren aan dit forum :)

Voor Android kan je ook prima “Unmanaged” gebruiken en ik zou dat persoonlijk ook doen, dan loopt de toewijzing van IPv6 dus altijd via SLAAC en is er geen DHCPv6 server benodigd.

Je kunt eenvoudig 20 uit 20 halen door op de firewall van de router inkomend open te stellen voor ipv6-icmp echo-requests en dit ook te doen in de firewalls van de aangesloten cliënts.

Met Android heb je assisted nodig ipv managed. 

Voor Android kan je ook prima “Unmanaged” gebruiken en ik zou dat persoonlijk ook doen, dan loopt de toewijzing van IPv6 dus via SLAAC en is er geen DHCPv6 server benodigd.

 

Die ICMP test moet je negeren, ik heb ook 18/20. Wat nodig is voor IPv6 regelt pfsense aL voor je met hidden rules. 

Je kunt eenvoudig 20 uit 20 halen door op de firewall van de router inkomend open te stellen voor ipv6-icmp echo-requests en dit ook te doen in de firewalls van de aangesloten cliënts.

 

 

Wannneer ik SLAAC kies dan is het RA menu (waar ik nu managed kies) niet beschikbaar. Of bedoel je dat niet? Ik kan nu wel unmanaged kiezen eventueel. Zolang ik Track Interface gebruik (Ipv6 LAN) is het RA menu beschikbaar. Maar heeft unmanaged kiezen dan geen gevolgen voor mijn Windows of Linux machines ?

En wanneer ik SLAAC kies zie ik het subnet ook niet binnen komen.

Ik heb IPv6 icmp op de floating firewall geprobeerd en op elke los (WAN, LAN etc) toch kom ik niet boven de 18/20 uit. Blijft zeggen filtered.

Dat bedoel ik inderdaad niet. Ik heb het over op "Unmanaged" zetten de "Router mode" bij "Router Advertisements" en het vinkje weghalen bij "Enable DHCPv6 server on interface LAN".

In mijn DHCPv6 OS heb ik liever DHCPv6 omwille van de kortere adressen. Met SLAAC heb je soms ineens 3 adressen waar forward je dan naar toe vanuit ha proxy? Met DHCPv6 is het voor mij overzichtelijker en qua adressen ook compacter. 
 

Ik hecht geen waarde aan die 20/20 score. Ben niet van plan om extra rules te activeren om daar van 18 naar 20 te stijgen. Waar het mijn om ging is dat pfsense de noodzakelijke IPv6 rules voor ICMPv6 packet to big etc wel doorlaat. Het kan inderdaad wel wel als je echt die score wilt halen👌

Uiteraard altijd naar het permanente IPv6 adres dat o.b.v. IPv6 prefix en MAC adres door het apparaat zelf gegenereerd is. Dit IPv6 adres zal altijd hetzelfde zolang de IPv6 prefix niet wijzigt en die wijzigt bij KPN in principe nooit. De andere IPv6 adressen zijn tijdelijke IPv6 adressen die alleen voor uitgaande communicatie gebruikt worden en die zijn voor jouw privacy tijdens het browsen op Internet. Als jij over een kwartier een site opnieuw bezoek dan zal je nieuw tijdelijk IPv6 adres hebben.

Router mode en router advertisements heb ik niet / kan ik niet vinden. Waar zou dat moeten zitten?

Dit "Enable DHCPv6 server on interface LAN" vinkje staat bij mij onder "DHCPv6 en RA" menu. En dat menu is niet enabled als ik SLAAC kies.