OPNsense DHCP6 voor IPv6 in het LAN

Hoi allemaal,

Rond de jaarwisseling is IPv6 op mijn OPNsense in de war geraakt, en ik krijg het niet meer goed.

Via DHCP6 had ik statische toewijzingen / reserveringen doen voor een aantal servers, omdat ik niet voldoende van IPv6 weet om DNS met SLAAC of dynamische global adressen in te richten. Als dynamische toewijzing juist wel de way to go is, hoor ik dat ook graag (en ook graag een pointer voor zoektermen hoe ik het dan inricht).

Waar ik nu tegenaan loop, is dat ik op geen enkele manier meer IPv6 in mijn locale netwerk toegewezen krijg.

Er zwerft een handvol howto’s het Nederlandse net rond voor IPv6 op pfSense of OPNsense (ook hier op het forum), en wat meer op het internationale net met aanwijzingen voor buitenlandse ISP’s.

De algemene trend is: Het maakt niet zoveel uit, er zijn meerdere wegen naar Rome, en uiteindelijk werkt het meestal wel. Ik heb de afgelopen weken verschillende paden bewandeld, maar zonder succes (WAN : static IPv6, SLAAC, Track interface, DHCP6; in combinatie met aan de LAN-kant static IPv6, DHCPv6, SLAAC en Track interface). Ik heb de configuratie voorheen teruggezet naar een ‘known good’ configuratie, die toch ook niet good bleek; sindsdien is er een versie-upgrade overheen gegaan (22.x naar 23.y).

Soms krijg ik op OPNsense een IPv6 (met name wanneer ik het statisch inricht :stuck_out_tongue: ), soms resolved OPNsense ook de IPv6 als ik een ping vanaf die machine doe, maar gaan alle packets verloren. Op machines in het netwerk werkt het helemaal niet meer: wel een zelfbedacht locaal adres, maar geen routing.

Zou iemand die lokaal servers op IPv6 beschikbaar maakt, (screenshots van) z’n configuratie willen delen? Of willen helpen met een troubleshoot?

OPNsense draait nu nog ‘bare metal’, maar de rest van het huis is het gepiel een beetje zat en ik overweeg virtueel te gaan, om eenvoudiger te kunnen switchen tussen aangesloten routers/VMs (tussen werkende inrichting met IPv4 en troubleshoot-IPv6-met-onderbrekingen).

Bedankt voor het lezen van mijn eerste post op het forum!

Mij heeft bij het opzetten van ipv6 deze handleiding geholpen:
https://homenetworkguy.com/how-to/configure-ipv6-opnsense-with-isp-such-as-comcast-xfinity/

1 like

Hoi Ram,

Bedankt voor je reactie!

Bij welk deel van het opzetten van IPv6 heeft de handleiding jou geholpen? (Edit: Heb je nu zowel DHCP6 als statische adressen geconfigureerd, en werkt het?)

Zijn 2e stap wijkt af van wat ik tot dusver begreep en geadviseerd zag. Ik ga het zeker proberen op die manier, namelijk: geen /48 (zoals Freedom aanbied) of /64 (minimale grootte) prefix delegation aangeven, maar /60.

  • Mijn beleving: wat ik op de WAN interface aangeef is de inrichting van de DHCP6-client naar buiten toe. Ik wil graag een /48 prefix, zodat ik intern ruimte heb om prefixes uit te delen.
  • Zijn uitleg: neem maar een /60 prefix aan, dan houd je ruimte over voor prefixes op VLANs (je kan er dan meerdere aanvragen)

Wat heb jij gedaan?

Het is alweer een mooi tijdje terug dat ik over ging op ipv6 en heb ik wel iets gewijzigd toen ik over ging van ziggo naar freedom. Ik gebruik statische adressen ipv4 en ipv6

Interfaces Wan: heb ik delegation size 48

interfaces LAN → IPv6 Prefix ID : 1

Services - DHCPv6 - LAN: prefix delegation: 60

Router advertisements - LAN: managed

hopelijk helpt dat. Mocht je meer nodig hebben dan hoor ik het wel.

1 like

Bedankt! Ja, het helpt
 vooral in het versterken van mijn vermoeden dat mijn OPNsense gaar geraakt is.

Met IPv6 voor LAN op ‘track interface’ lukt het vanuit het netwerk naar buiten te pingen, maar websites via IPv6 bezoeken lukt niet (er lijkt geen firewall regel in de weg te zitten). Ik kan dan echter (zoals verwacht) geen DHCP6 service op de LAN-poort activeren, router advertisement kan ik ook niet inrichten.

Met een fixed IPv6 op de LAN-poort kan ik de DHCP6-service inrichten, ik krijg dan wel (globale) IPv6 maar geen default route uitgedeeld op de clients. Router advertisements kan ik wel inrichten, maar de service kan ik niet starten.

De docs van Netgate helpen een beetje, maar ik weet niet of die nog (volledig) relevant zijn voor OPNsense. De documentatie van OPNsense zelf erg summier op DHCP6-gebied, dat helpt ook niet echt :stuck_out_tongue:

Ik zie er wat tegenop om de regels en aliasses opnieuw in te richten, maar er zit weinig anders op dan ‘from scratch’ te beginnen denk ik.

Bedankt nogmaals voor je hulp!

misschien is er ook iets binnen opnsense: https://forum.opnsense.org/index.php?topic=32263.15

Hmm
 Zou kunnen. Ik probeer een nieuwe/lege firewall neer te zetten op een moment dat de rest van de familie daar geen last van heeft, om te testen of ik met een nieuw opgebouwde configuratie dezelfde problemen heb.

Als het dan niet optreedt, zou het kunnen dat de patch in dat topic ondertussen uitgerold is, maar dan kijk ik weer verder :wink:

2 likes

Gelukkig heb je al wat hulp gehad zie ik.

Zelfs met een /64 (2^64 adressen, of 18.446.744.073.709.551.616) zul je geen adresruimte tekort komen, de totale hoeveelheid IPv4 adressen is 2^32 (dat zijn al 4,3 miljard adressen). dan hou je op de aan jou gedelegeerde /48 nog 16 bits over om netwerk segmenten te definiëren, 65.536 stuks. :wink:

Terug on topic:

Lijkt erop dat er een bugje in OPNsense’s Pefix Delegation zit/zat.

Op de sites waar ik OPNsense als firewall draai heb ik daar geen last van gehad, omdat ik een andere (VM) server heb geconfigureerd voor DHCPv6, en de voor de firewall benodigde interface IP’s vast geconfigureerd heb.

In mijn geval gebruik ik als HyperVisor ProxmoxVE, al zijn er ook andere goede alternatieven.
Voor kritische toepassingen kun je dan altijd eerst een backup maken van de werkende VM, de VM updaten, en testen. Als de update (of welke wijziging dan ook die je zelf maakt) iets stuk maakt, ben je met de backup ook weer snel teruggerold naar een werkende configuratie.

Thuis staat overigens gewoon een Fritz!Box :wink:

Misschien ook nog iets anders: het IPv6 dat ik configureer onder de interface settings voor de LAN-poort, komt niet terug in de overview!

image

Het adres dat ik daar opgeef, had ik verwacht terug te zien onder de interne poort:

Ik heb het adres een paar keer opnieuw ingesteld. Ook als /128, mocht er iets raars in zitten dat er geen range/subnet verwacht worden voor de weergave in de overview. Niets.

Daarmee kan ik denk ik verklaren waarom de DHCP-server geen zin heeft, en zich er met een enkele log-regel vanaf maakt:

# tail -f /var/log/system/latest.log
[meta sequenceId="1"] /status_services.php: dhcpd_dhcp6_configure() found no suitable IPv6 address on lan

Voor de volledigheid: ifconfig geeft ook het geconfigureerde adres niet terug:

# ifconfig 
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: LANpoort (lan)
        options=82088<VLAN_MTU,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
        ether 90:1b:0e:47:96:9f
        inet6 fe80::921b:eff:fe47:969f%re0 prefixlen 64 scopeid 0x1
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Ik ben niet genoeg thuis in OPNsense om het configuratiebestand voor de interfaces terug te vinden, enig idee? Ik weet ook niet hoe het heet in *BSD, dat helpt ook niet


Ik draai nu ‘bare metal’ maar heb ondertussen een kleine Proxmox-machine opgetuigd om op een onbewaakt moment de twee te verwisselen en te kijken of met een nieuwe installatie en een volledig ‘schone’ configuratie het probleem ook optreedt.

Bedankt voor je aanvulling!

Probeer eens het vinkje bij “Use IPv4 connectivity” uit te zetten? Volgens mij is die enkel nodig op je WAN-interface, omdat het daar over PPPoE moet. Voor je andere interfaces is die niet nodig.

1 like

Ik gebruik in de interface settings geen static ipv6 op de WAN:

en op de LAN track inferface:


en dan met onderaan de optie [Allow manual adjustment of DHCPv6 and Router Advertisements ] aangezet:

en dan in [Router Advertisements] op managed en heb ik de ipv6leases daarna voorzien van een eigen fixed ipv6 adres en benaming. onder [ Services: DHCPv6: Leases] en dan klikken op het [+] teken.

1 like

Wow! Dat maakt inderdaad verschil!

Nu heb ik m’n IPv6 vermeld staan onder LAN bij de overview.

Ik had ondertussen de Proxmoxmachine met de VM er tussen gezet, en nog geen tijd gehad er verder in te duiken, maar voor vermelding van IPv6 op de LAN-interface maakt dat vinkje wel degelijk verschil: als ik hem aanzet, raak ik het IP kwijt.

Er was me eerder geen effect opgevallen van het in- of uitschakelen van het vinkje, en gokte dat het er mee te maken had of hij moet wachten op het tot stand komen van de IPv4-verbinding.

Bij de WAN-interface heb ik net zo goed geen verschil gemerkt, misschien dat het opkomen van de verbinding net wat langer duurt? Ik heb geen logs naast elkaar gelegd.

M’n router is nu verder helemaal blanco, en van verder inrichten komt er dit weekeind niet. Ik laat het resultaat in ieder geval weten!

Ok, dat kan ik ook nog proberen als het (ook na de aanvulling van @McD) nog niet lukt met een statisch IP op de LAN-poort.

Ik meen ergens (forums? documentatie? bugreports?) gelezen te hebben dat ‘allow manual adjustments’ geen stabiele functionaliteit is, maar als het werkt, is het het proberen waard :stuck_out_tongue:

Excuses voor de lange stilte. De weeĂ«n begonnen krap drie weken terug op gang te komen nadat ik de bare metal machine vervangen had door een VM op Proxmox: door herinrichting van het netwerk viel er op mijn ‘hoofd’-computer iets om waardoor ik om de haverklap (op die machine) geen netwerk had.

Nu dat opgelost is, is het oorspronkelijke probleem snel getackeld: DHCP6 werkt :partying_face:

Dat was dinsdag. Sindsdien lukt het me niet om een statische lease daadwerkelijk op een machine te krijgen. Geen-i-dee hoe het fout kan gaan. Het speelt op een container (met Debian 11) op Proxmox (7, dus ook Debian 11). De symptomen:

  • Statische inrichting in de container geeft het ingerichte IPv6 op de container (maar ik wil het aansturen via OPNSense, dus geen optie);
  • DHCP op de container en dynamische IPv6 in OPNSense geeft een werkend resultaat (maar ik wil een vast IPv6 vanwege DNS; liever geen DynDNS, ook omdat registratie van DHCP in DNS mij altijd flaky resultaten geeft);
  • DHCP op de container en een statische lease geeft in het OPNSense overzicht de juiste IPv6, maar op de container is een (willekeurig) IPv6 uit de range met dynamische adressen toegekend

Ik heb geprobeerd of de logging me verder hielp, maar daar blijkt (voor mij) ook niet veel uit :

<190>1 2023-03-17T21:45:30+01:00 routervm dhcpd 18008 - [meta sequenceId="245"] Advertise NA: address 2a10:3781:2d49:172:26:90:0:ad42 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 valid for 7200 seconds
<190>1 2023-03-17T21:45:31+01:00 routervm dhcpd 18008 - [meta sequenceId="248"] Reply NA: address 2a10:3781:2d49:172:26:90:0:ad42 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 valid for 7200 seconds
<190>1 2023-03-17T22:38:20+01:00 routervm dhcpd 50426 - [meta sequenceId="152"] Client 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 releases address 2a10:3781:2d49:172:26:90:0:ad42
<190>1 2023-03-17T22:38:33+01:00 routervm dhcpd 50426 - [meta sequenceId="155"] Advertise NA: address 2a10:3781:2d49:172:b2de:ebff:fe5a:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-17T22:38:34+01:00 routervm dhcpd 50426 - [meta sequenceId="158"] Reply NA: address 2a10:3781:2d49:172:b2de:ebff:fe5a:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-17T22:54:53+01:00 routervm dhcpd 63347 - [meta sequenceId="136"] Client 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 releases address 2a10:3781:2d49:172:26:90:0:ad42, which is not leased to it.
<190>1 2023-03-17T22:55:05+01:00 routervm dhcpd 63347 - [meta sequenceId="139"] Advertise NA: address 2a10:3781:2d49:172:26:3:104:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-17T22:55:06+01:00 routervm dhcpd 63347 - [meta sequenceId="146"] Reply NA: address 2a10:3781:2d49:172:26:3:104:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-17T22:57:30+01:00 routervm dhcpd 79182 - [meta sequenceId="162"] Client 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 releases address 2a10:3781:2d49:172:26:90:0:ad42, which is not leased to it.
<190>1 2023-03-17T22:57:43+01:00 routervm dhcpd 79182 - [meta sequenceId="165"] Advertise NA: address 2a10:3781:2d49:172:26:3:104:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-17T22:57:44+01:00 routervm dhcpd 79182 - [meta sequenceId="168"] Reply NA: address 2a10:3781:2d49:172:26:3:104:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static

De drie adressen eindigend op:

  • fe5a:2668 - SLAAC
  • 104:2668 - het gewenste adres
  • 0:ad42 - het toegewezen adres

Ik hoopte even een ongeldig adres bedacht/ingericht te hebben, maar niets wijst daarop (het werkt immers wel als ik het statisch inricht op de machine/container zelf). Er is ook geen botsing met de DHCP-range, want als ik probeer een statische lease te maken binnen die range, krijg ik een foutmelding.

Het lukt me wel om het SLAAC-adres als statische DHCP6-toewijzing in te richten, althans: dan komt de lease overeen met het IP van de doelmachine.

Initieel had ik:

  • WAN: DHCP6
  • LAN: statisch
  • de DHCP6-server op LAN heeft een subnetmask van 64 bits
  • Router advertisements geprobeerd met ‘assisted’ (geeft een IPv6 uit prefix+MAC, naast het DHCP en het locale adres) en met ‘managed’ (waarbij het SLAAC-adres achterwege blijft).

Aangepast naar:

  • WAN: DHCP6
  • LAN: track interface
  • Allow manual adjustments
  • de DHCP6-server op LAN heeft een subnetmask van 52 bits gekregen, met 61 voor prefix delegation (wat ik bij mijn weten niet gebruik/nodig heb)

@Ram Met track interface heb ik geen idee meer wat het IP van m’n router is, hoe vind je hem terug? Wat geef je op als gateway?

Bedankt voor het lezen van deze lap tekst. Als jullie een suggestie hebben, graag!

Nog een aanvulling: op een ander apparaat, een ‘regulier consumentenapparaat’, werkt het ook niet. Ik laat eerst een DHCP-adres toekennen, omdat ik geen idee heb hoe ik een geldige DUID kan bedenken.
Die lease gebruik ik dan om een statische toewijzing te maken.

Wat ik zie gebeuren, is dat het apparaat telkens weer hetzelfde (“dynamische”) DHCP-adres toegewezen krijgt/gebruikt, niet het adres wat ik geconfigureerd heb in de statische lease.

Op het apparaat heb ik geswitcht tussen DHCP en statisch IP, en IPv6 volledig uitgeschakeld en weer geactiveerd, maar het mag niet baten.

In het DHCP-log van OPNSense zie ik wel iets voorbijkomen wat verklaart waarom het verkeerde adres gebruikt wordt door de client, maar niet waarom OPNSense ermee aan de haal gaat:

<190>1 2023-03-18T12:07:18+01:00 vpoort.osba.nl dhcpd 75167 - [meta sequenceId="174"] Client 00:03:00:01:2c:3a:fd:82:3f:23 releases address 2a10:3781:2d49:a:26:90:0:201a
<190>1 2023-03-18T12:07:18+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="175"] Client 00:03:00:01:2c:3a:fd:82:3f:23 releases address 2a10:3781:2d49:a:26:90:0:201a
<190>1 2023-03-18T12:07:45+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="208"] Advertise NA: address 2a10:3781:2d49:a:26:10:1:201a to client with duid 00:03:00:01:2c:3a:fd:82:3f:23 iaid = -41795805 static
<190>1 2023-03-18T12:07:45+01:00 vpoort.osba.nl dhcpd 75167 - [meta sequenceId="209"] Advertise NA: address 2a10:3781:2d49:a:26:90:0:201a to client with duid 00:03:00:01:2c:3a:fd:82:3f:23 iaid = -41795805 valid for 7200 seconds
<190>1 2023-03-18T12:07:46+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="214"] Reply NA: address 2a10:3781:2d49:a:26:10:1:201a to client with duid 00:03:00:01:2c:3a:fd:82:3f:23 iaid = -41795805 static
<190>1 2023-03-18T12:07:46+01:00 vpoort.osba.nl dhcpd 75167 - [meta sequenceId="216"] Reply NA: address 2a10:3781:2d49:a:26:90:0:201a to client with duid 00:03:00:01:2c:3a:fd:82:3f:23 iaid = -41795805 valid for 7200 seconds

Je ziet telkens twee opeenvolgende sequenceId’s, eerst met het ‘goede’ (door mij gewenste) IP, daarna met het ‘verkeerde’ (initiĂ«le DHCP-adres).

Het lijkt alsof de zowel de statische als de dynamische lease uitgedeeld worden, waarbij OPNSense de statische vasthoud (in routing tables, sessie-overzichten, whatever) omdat statisch misschien voorrang heeft op dynamisch, terwijl de client de dynamische toewijzing gebruikt omdat dat de meest recente toewijzing is.

Een gevolg is dat de client niet bereikbaar is: het statische adres is client-side niet geconfigureerd, dus daar reageert hij niet op. Het dynamische is aan de kant van OPNSense niet ‘officieel’ geregistreerd, dus er wordt niet naar dat adres geforward of iets dergelijks. Het gevolg is in ieder geval dat die client enkel nog op IPv4 bereikbaar is.


edit - ik filterde het log telkens achteraf om te zien of zich iets raars voordeed waar ik een touw aan kon knopen. Nu ik het log een tijdje live (-f) volg, zie ik telkens setjes van dit stramien voorbijkomen:

<190>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="542"] Solicit message from fe80::b2de:ebff:fe5a:2668 port 546, transaction ID 0xA1C85E00
<190>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 75167 - [meta sequenceId="543"] Solicit message from fe80::b2de:ebff:fe5a:2668 port 546, transaction ID 0xA1C85E00
<190>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="544"] Advertise NA: address 2a10:3781:2d49:a:26:3:104:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 75167 - [meta sequenceId="545"] Advertise NA: address 2a10:3781:2d49:a:26:3:104:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="546"] Sending Advertise to fe80::b2de:ebff:fe5a:2668 port 546
<190>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 75167 - [meta sequenceId="547"] Sending Advertise to fe80::b2de:ebff:fe5a:2668 port 546
<187>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="548"] send_packet6: Permission denied
<187>1 2023-03-18T12:34:09+01:00 vpoort.osba.nl dhcpd 91505 - [meta sequenceId="549"] dhcpv6: send_packet6() sent -1 of 117 bytes

Er komt een verzoek binnen (sollicit), daar wordt een reactie op aangekondigd (advertise) en verstuurd op poort 546, maar dat mag niet. Er worden -1 van de 117 bytes verstuurd.

Leg ik dat naast het firewall-log (in de GUI), dan zie ik alleen maar groene ‘pass’ regeltjes als ik filter op poort 546.

ik heb de router met virtual ip een vast ipv6 gegeven:

Ah, smart :slight_smile: Ik had nog geen idee wat de virtuele IP’s deden.

Wat een verademing is posten hier op het forum ten opzichte van BBS van OPNsense trouwens! Ik ben nog geen steek verder, en heb m’n probleem ook daar geprobeerd te posten maar net als OPNsense zelf, heeft het forum daar een wat steilere leercurve.

By the way, het lukt me nog niet om statische leases uitgedeeld te krijgen in IPv6. Niet met SLAAC, niet met managed, niet met assisted en niet met unmanaged of router-only in router advertisement.

Als je een statische DHCP6 lease vastlegd, maak je dan enkel de reeds uitgedeelde dynamische lease statisch, of kun je net als bij IPv4 zelf een adres in de range opgeven?

Er zullen vast meerdere mogelijkheden zijn om het te doen. Ikzelf heb via Services - > DHCPv6 → leases
de devices die daar staan middels het " + " teken erachter voorzien van een static lease. Je kunt dan alles opvoeren wat je wilt, ook een ander ip dan de automatisch toegewezen.
mogelijk verschil tussen jouw en mijn config is dat ik denk dat je gebruik maakt van de standaard unbound dns. Ik heb die uit en gebruik (handmatig) Bind.
Zou verder niet moeten uitmaken voor dhcp leases alleen bij dns.

Hoi Ram, bedankt weer voor je reactie!

Ik gebruik inderdaad Unbound, en zou ook zeggen dat Bind niets met de DHCP te maken heeft.

Het frappante is dat gewoon DHCP6, dynamisch, wel werkt; als ik exact de lease overneem zoals OPNsense 'm bedacht heeft, dan werkt dat ook. Als ik echter een zelfgekozen IP (binnen het subnet, buiten de DHCP-range) kies, werkt het op verschillende manieren niet.

Ik heb zien gebeuren dat er een lease uitgedeeld werd, maar dat die ergens tegengehouden lijkt te worden (log hierboven);
ik heb zien gebeuren dat het leek of er twee DHCP-processen tegelijk afgetrapt waren, waarbij de ene de door mij ingestelde lease uitgaf, direct gevolgd (row-by-row in sequence number in het log) door een dynamische lease;
ik heb ook zien gebeuren dat er ondanks mijn statische IP, toch een andere dynamische IP voor dezelfde DUID uitgegeven werd.

Al met al kan ik er geen touw aan vastknopen.

Op welke versie van OPNsense zit je? Mijn initiele installatie was OK in 22.x, maar lijkt de klap van upgrade naar 23.y niet te boven gekomen te zijn. Dit is nu een schone installatie van 23.z, met de recenste updates.