OPNsense DHCP6 voor IPv6 in het LAN

Ram · 20 maart 2023 om 20:32

ik gebruik de laatste versie:
OPNsense 23.1.3_4-amd64
FreeBSD 13.1-RELEASE-p7
OpenSSL 1.1.1t 7 Feb 2023

en op https://ipv6-test.com/
krijg je wel een test-uitslag dat alles werkt? (ook ICMP?)

Daarnaast is het zo dat als je de huidig automatisch toegewezen ip aanpast in de static ip die pas bij de nieuwe lease verwerkt is. Wat gebeurt er als je dit doet bij bijv een mobieletelefoon op wifi, daarna static ip, wifi uit en na tussen pose weer aan om een eerdere lease vernieuwing soort van te " forceren" gaat het dan wel goed?

wankel · 24 maart 2023 om 00:01

Hoi Ram,

Bedankt voor je geduldige hulp!

Mooi is dat, die IPv6-testsites:

Initieel gebruikte ik whatismyipv6.com, met ipv6.whatismyipv6.com als ipv6-only check. Die gaf me telkens ‘IPv6 werkt niet’ (vorige maand)
Totdat ik een keer test-ipv6.com gebruikte. Toen bleek dat ipv6.whatismyipv6.com kapot was (of ze hebben mij geblokkeerd wegens semi-DoS). Op test-ipv6.com krijgt m’n verbinding 10 van 10 punten.
Van jou krijg ik ipv6-test.com geadviseerd. Die gaat veel dieper, en geeft (alleen) ICMP als ‘filtered’. Zou dus een probleem kunnen zijn.

Afgelopen week had ik m’n LAN weer terug op een statisch IPv6 gezet. Nu net heb ik het weer omgezet naar ‘track interface’, met een virtual IP zoals je aangaf (waarom op WAN, ipv LAN, trouwens?) : het virtuel IP werkt

Statische leases nog niet. M’n score op ipv6-test.com is ook achteruitgegaan:

tegenover test-ipv6.com, die wel geloofd dat ik verbinding heb:

Logging aan OPNsense- en client-kant laat zien dat OPNsense wel de door mij bedachte lease uitdeelt, maar iets gaat niet goed.

OPNsense:

<190>1 2023-03-24T00:40:09+01:00 vpoort.osba.nl dhcpd 61731 - [meta sequenceId="108"] Solicit message from fe80::b2de:ebff:fe5a:2668 port 546, transaction ID 0xA1C85E00
<190>1 2023-03-24T00:40:09+01:00 vpoort.osba.nl dhcpd 61731 - [meta sequenceId="109"] Advertise NA: address 2a10:3781:2d49:f:26:3:104:2668 to client with duid 00:01:00:01:28:c1:5c:be:b0:de:eb:5a:26:68 iaid = -346413464 static
<190>1 2023-03-24T00:40:09+01:00 vpoort.osba.nl dhcpd 61731 - [meta sequenceId="110"] Sending Advertise to fe80::b2de:ebff:fe5a:2668 port 546
<190>1 2023-03-24T00:40:10+01:00 vpoort.osba.nl dhcpd 61731 - [meta sequenceId="111"] Solicit message from fe80::b2de:ebff:fe5a:2668 port 546, transaction ID 0xFD681900

Client-kant:

Mar 23 23:40:03 online dhclient[186984]: XMT: Solicit on eth0, interval 1070ms.
Mar 23 23:40:04 online dhclient[186984]: XMT: Solicit on eth0, interval 2240ms.
Mar 23 23:40:06 online dhclient[186984]: XMT: Solicit on eth0, interval 4320ms.
Mar 23 23:40:09 online dhclient[175]: XMT: Solicit on eth0, interval 131830ms.
Mar 23 23:40:10 online dhclient[186984]: XMT: Solicit on eth0, interval 8370ms.
M

De timestamps schelen een paar seconden, maar het zijn (tail -f) de blokjes die volgens mij bij elkaar horen. De client blijft hangen in dhclient -6 eth0 ; ik krijg enkel een lokaal (fe80) adres.

De client is een Debian 11 container op Proxmox 7, maar dat lijkt me niet van invloed.

Heb nog een idee? Is het nodig expliciet een firewallregel aan te maken om ICMP toe te laten, voordat statische IPv6 gaat werken (dynamisch kan ik me nog voorstellen, als mijn ‘lokale’ netwerk gebruik maakt van de DHCP-server van Freedom).

Ram · 24 maart 2023 om 07:59

ICMP zou heel goed een oorzaak kunnen zijn. IPv6 schijnt erg te leunen op ICMP. Nadat ik een aantal allow rules had opgesteld is het bij mij goed gaan werken. Ik las op andere forums dat sommige alles toestaan. Ik heb een andere aanpak gevolgd en een beperkte selectie toegelaten en dat werkt bij mij prima:
ICMP destination unreachable, time exceeded, parameter problem, echo request en echo reply.
zie onder firewall → rules - > wan:

subbink · 24 maart 2023 om 15:18

Laat dat schijnt maar weg. Als niet de juiste ICMP pakketten doorgelaten worden, dan werkt IPv6 niet.

wankel · 21 april 2023 om 22:01

Hoi mensen,

Sorry dat ik een tijd niets heb laten horen.

In de tussentijd heeft het - even - gewerkt, voor een paar clients.

Afgelopen week wilde ik onderzoeken waarom andere clients niet het bedachte IPv6 toegewezen kregen, zag ik dat geen van de clients meer een IPv6 toegewezen kreeg.

Ik heb de door @Ram voorgestelde regels toegevoegd
test-ipv6.com gaf daarna een positief resultaat
met het juiste DUID lukte het ook voor een paar clients een ‘zelfbedacht’ IPv6 uit te delen
voor sommige clients lukte het nog niet
in de tussentijd een switch verplaatst, en de in-de-buurt-van-de-router benodigde poorten ondergebracht in een nieuw geplaatste NIC-kaart in de router (dus een bridge ipv enkele LAN-poort)
op een moment erachter gekomen dat IPv6 weggevallen was
nu realiseer ik me dat de firewall rules aangebracht waren op de LAN-poort, maar dat ik die niet opnieuw aangemaakt heb op de LAN-bridge/switch

ICMP zal nu weer in de war zijn, want in het dhcpd-log zie ik:

<190>1 2023-04-21T23:35:28+02:00 vpoort.osba.nl dhcpd 609 - [meta sequenceId="117"] Solicit message from fe80::225:90ff:fe37:b6f9 port 546, transaction ID 0x1B6CA900
<190>1 2023-04-21T23:35:28+02:00 vpoort.osba.nl dhcpd 609 - [meta sequenceId="118"] Advertise NA: address 2a10:3781:2e49:172:26:78:10:b6f9 to client with duid 00:01:00:01:2b:7a:2b:11:00:25:90:37:b6:f9 iaid = -1875396871 static
<190>1 2023-04-21T23:35:28+02:00 vpoort.osba.nl dhcpd 609 - [meta sequenceId="119"] Sending Advertise to fe80::225:90ff:fe37:b6f9 port 546
<187>1 2023-04-21T23:35:28+02:00 vpoort.osba.nl dhcpd 609 - [meta sequenceId="120"] send_packet6: No route to host
<187>1 2023-04-21T23:35:28+02:00 vpoort.osba.nl dhcpd 609 - [meta sequenceId="121"] dhcpv6: send_packet6() sent -1 of 114 bytes

… waarbij meet name No route to host van belang is. Het lukt me dan ook niet om met ping6 vanaf de router die client te pingen (maar ‘natuurlijk’ wel over IPv4).

Wordt, alweer, vervolgd.

Bedankt voor jullie hupl!

Ram · 23 april 2023 om 05:31

ik ben inmiddels overgegaan naar, naast static ipv4, ook static ipv6. Ik zag dat windows en android devices met track interface en een static aangemaakte ip vaak niet werkte bij die apparaten. Nu met static ipv6 op LAN gaat dit wel goed. ik heb een /118 gekozen en heb je meer dan 1000 IP’s, meer dan voldoende voor mijn situatie: