Vraag

Hoe IPv6 instellen op PFsense achter ER-X

  • 4 February 2021
  • 81 reacties
  • 4757 keer bekeken

Reputatie 1

Goedendag,

 

Ik probeer nu al een geruime tijd een IPv6 configuratie werkende te krijgen op mijn PFsense machine binnen mijn thuisnetwerk. Deze PFsense machine staat achter een ER-X die heel mooi de IPv6 adressen toegewezen krijgt.

Alleen nu wil ik via de PFsense machine ook al mijn VM’s van een IPv6 adres voorzien. Welke instellingen zou ik hiervoor moeten instellen, weet iemand dat toevallig? Want ik kan op het internet hier niet veel over vinden, althans niet een zelfde soort situatie. Mocht ik uiteraard tot een goed einde komen dan zal ik dit topic bijwerken met alle instellingen die ik heb doorgevoerd, om IPv6 ook op de tweede router/firewall (PFsense) werkende te krijgen binnen mijn netwerk.


Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

81 reacties

Reputatie 1

Ik heb inmiddels de volgende configuraties toegepast:

WAN:

  • IPv6 Configuration Type: DHCP6

DHCP6 Client Configuration:

  • Request only an IPv6 prefix: Check marked

  • DHCPv6 Prefix Delegation Size: 64

 

LAN:

  • IPv6 Configuration Type: Static

Static IPv6 Configuration:

  • IPv6 address: filled in my IPv6

  • Use IPv4 connectivity as parent interface: Check marked

Router Advertisements:

  • Router mode: Stateless DHCP

  • Router Priority: Normal

 

Nu is mijn vraag of dit de correcte configuratie toepassingen zijn binnen het KPN thuisnetwerk met IPv6. Met een PFsense firewall achter een ER-X.

Reputatie 7

Ik heb zelf hiermee geen ervaring maar theoretisch zou je op de lan poort een dhcpv6-pd moeten opzetten waarbij je per vlan een prefix definieert.

Die opzet zou dus soortgelijk moeten zijn aan de dhcpv6-pd op pppoe alleen nu niet met een /48 prefix maar met een /64 prefix. Je deelt dan /80 prefixes uit aan de vlans.

Reputatie 5
Badge +5

Beste Apollo,

Ik heb een DSL met Experia box 10 en sinds kort IPv6 (/64 prefix) op de aansluiting, ik kan alleen spreken uit ervaring met Linux en ken de PfSense niet.

 

DHCPv6 Prefix Delegation Size: 64     Levert KPN geen /48 met glasvezel? 

Als KPN daadwerkelijk een /64 prefix levert, moet de “ouderwetse” DHCP methode in de IPv6 variant gebruikt worden die IP addressen uitdeelt in bijv. /80 segmenten. Als KPN een /48 prefix levert kan stateless DHCP gebruikt worden waarbij de /48 prefix gesplitst wordt in /64 netwerken.

In geval van een /64 zou ook een bridge configuratie toegepast kunnen worden waarbij de /64 van KPN rechtstreeks aan alle netwerksegmenten wordt doorgegeven, maar ik weet niet of de PfSense dan voldoende toevoegt….

 

Succes!

 

 

 

 

Reputatie 7

DHCPv6 Prefix Delegation Size: 64     Levert KPN geen /48 met glasvezel? 

KPN levert inderdaad een /48 prefix, vandaar dat de prefix voor het LAN een /64 prefix is.

Het is best practice om een lager niveau een prefix te geven die 16 bits groter is. Vandaar ook dat ik aangeef om de prefixen op de pf-sense /80 prefixen te laten zijn.

 

P.S. Ook op VDSL levert KPN een /48 prefix.

Reputatie 1

Dank voor jullie antwoord, dit geeft mij iets meer inzicht in IPv6 en ook IPv6 binnen KPN.

Ik heb binnen PFsense deze configuraties toegepast:

Waarbij LAN, HOST01(VLAN), HOST02(VLAN) alle drie een /80 prefix hebben. De WAN interface heeft een /64 prefix, gezien op de ER-X de LAN poort ook een /64 prefix heeft. 
Ik heb dan ook binnen DHCPv6 een Prefix van /80 toegewezen aan iedere ‘lan/vlan’ en dan de betreffende range opgegeven.

 Bij RA heb ik dan Router mode: Assisted en Router piority: Normal.

 

Zijn er verder nog configuraties die moeten worden toegepast op de WAN/LAN interface? Zoals de volgende configuraties bijv.

Op WAN:

 

Op LAN:

 

Zodra dit een beetje is ‘uitgedokterd’ zal ik de main post van dit topic even aanpassen, zodat mensen die hier eventueel ook geen ervaring mee hebben hier ook iets mee kunnen doen.

Reputatie 5
Badge +5

Beste Apollo,

Dank zij wjb ben ik er achter dat ik minimaal een /56 prefix heb, mogelijk /48 op DSL, maar je hebt toch een goed geconfigureerde dhcp client nodig om de Experia box daarvan te overtuigen. I moet dus weer aan de studie. Ik zag dat je Pfsense kunt downloaden en in een virtuele machine stoppen, dus dat ga ik ook eens bekijken maar dat zal tijd kosten….

Wat ik me afvraag bij uw Lan configs: zitten die 1,2,3 en 4 niet buiten het /64 subnet? Moelijk te zien door de rode blokken.

Wat de door KPN aangeboden /48 betreft geen probleem, maar of de WAN configuratie met /64 subnet dit accepteert ?

Bij een /80 subnet zijn de laatste drie groepen vrij te kiezen, de “1” zou dus moeten blijven staan en de vijfde groep van links definieert dan het subnet, als ik het goed heb.

 

IP address      2a02:a44c:ffff:1::/80
type    GLOBAL-UNICAST
network 2a02:a44c:ffff:1::
Prefix length   80
network range   2a02:a44c:ffff:0001:0000:0000:0000:0000-
                               2a02:a44c:ffff:0001:0000:ffff:ffff:ffff
total IP addresses      281474976710656

 

Succes!

 

 

Reputatie 7

Dank zij wjb ben ik er achter dat ik minimaal een /56 prefix heb, mogelijk /48 op DSL ...

Iedere aansluiting van KPN waarop IPv6 actief is heeft een /48 prefix.

 

Wat @Apollo hier doet is een PFSense router achter zijn EdgeRouter X plaatsen.

De EdgeRouter heeft van KPN een /48 prefix ontvangen en is (conform best practices) zo geconfigureerd dat deze via DHCPv6 prefix delegation /64 prefixes uitdeelt aan (v)lans.

Zijn PFSense zit dus op een /64 prefix en als je deze dus m.b.v. DHCPv6 prefix delegation weer prefixes laat uitdelen aan de (v)lans achter de PFSense dan zorg je ervoor dat die (conform best pratices) /80 prefixes gaan krijgen.

Reputatie 1

Het enige probleem wat ik nu nog heb is dat de DHCPv6 server & RA geen IPv6 adressen uitdeeld aan mijn VM’s. Ik krijg namelijk nogsteeds een Link-Local adres (FE80) ook na een reboot.

 

Mis ik eventueel nog iets in de configuratie instellingen op de interfaces alswel de DHCPv6 server & RA?

Reputatie 7

Jouw PFSense deelt de IPv6 adressen uit aan de apparaten die op de PFSense aangesloten zijn. Doe je dat middels slaac of dhcpv6?

Mijn advies: Gebruik indien mogelijk slaac.

Reputatie 1

Jouw PFSense deelt de IPv6 adressen uit aan de apparaten die op de PFSense aangesloten zijn. Doe je dat middels slaac of dhcpv6?

Mijn advies: Gebruik indien mogelijk slaac.

 

Ehmm Ik heb op mijn LAN interface een statisch IP ingesteld en daarbij op de DHCPv6 & RA server de range ingevuld. Alleen bij RA heb je weer verschillende modussen, zie hieronder:

 

Ik heb tevens net SLAAC geprobeerd alleen dan krijg ik ook een Link Local Address.

Moet ik wellicht op de WAN iets aanpassen? Zie hieronder:

Misschien ergens een extra vinkje neerzetten bijv.?

Reputatie 7

Ik heb verder geen ervaring met PFSense.

Reputatie 1

Ik heb verder geen ervaring met PFSense.

Jammer, want ik kan hier verder ook geen tutorials over vinden op het internet. Alhoewel ik wel XS4ALL tutorials tegenkom, alleen deze zijn weer specifiek erop gericht dat de PFsense box direct aan KPN wordt gekoppeld i.p.v. dat het achter een router/modem staat.

Reputatie 5
Badge +5

Beste Apollo,

Ik heb pfsense in een virtuele machine gestopt, dat vraagt nog dagen studie…..

Binnen standaard netwerk “n:n:n:1/64” is het het gemakkelijkst om de WAN een vast adres te geven met netmask /128, de LANS moeten dan ook binnen netwerk “n:n:n:1” liggen. DHCP bereik van 0:0:0 tot ffff:ffff:fff,de  laatste drie blokken. Onderscheid tussen LAN interfaces in het vierde blok van rechts, netmask=/80.

 

Mogelijk alternatief: Prefix delegation.

! ! DHCPv6 vereist dat poorten 546/547 tcp/udp aan de WAN kant open staan.

Dan is de Experia box bereid om een /56 subnet door te geven met aan het einde van het netwerkblok :100/56 Dus inderdaad heb ik een /48 subnet, volgende router wordt :200::/56 enz. Ik weet niet of  dat op uw router ook functioneert, er is dhcp debugging, gebruikt programma is dhcp6c in de logs. 

DHCP krijgt in dit geval aan de WAN kant informatie hoe de LAN kant  geconfigureerd moet worden. PfSense gebruikt hiervoor “tracking” bij de interface configuratie, interface LAN volgt interface WAN betreffende het linkerdeel van het IP blok. Dan komen twee zeer ingewikkelde pagina’s hoe DHCP6 en router advertisements geconfigureerd moeten worden. Dat is onderwerp van vervolgstudie….

Let wel: dit zijn twee methodes: uitgaan van het standaard aangeboden /64 netwerk, en splitsen in /80 netwerken, of proberen de router een van de andere netwerken te ontfutselen en splitsen in /64 netwerken. SLAAC werkt alleen met /64, de /80 methode enkel dhcp.

Succes!

 

 

Reputatie 5
Badge +5

Nog een opmerking: De methode om een /64 subnet te splitsen in meerdere /80 subnetten werkt niet zonder meer onder Linux.  De experia box vraagt waar een client te vinden is, en kan die niet vinden omdat deze achter de router zit. Ik weet nog niet of daar binnen pfsense voorzieningen voor zijn (neighbour proxy). Netwerken ……...:2::, ………….:3:: gebruiken zoals in een screenshot hierboven werkt bij mij ook niet, het ….:1::64 netwerk dat de Experia box aanbiedt is echt :/64….

 

 

Reputatie 5
Badge +5

Werkt achter Experia box. Vraag is of prefix delegation werkt achter ERx.

 

WAN: DHCPv6, only request prefix, prefix delegation size = 56

DHCP6 Poorten openen aan WAN kant.

Zie DHCP logs of een prefix wordt toegewezen.

 

LAN en VLAN: IPv6 Configuration type = track interface

Track interface IPv6 interface =WAN

IPV6 Prefix ID = 0   , 1   , 2   … enz voor iedere interface

IPV6 adres wordt  2a02.xxxx.xxx.100::/64 voor if1, 20a2.xxxx.xxxx.101::/64 voor if2 enz.

Dan DHCP/SLAAC nog aan de praat zien te krijgen, dat heb ik nog niet gedaan.

 

Status/Interfaces: druk op “release wan” en “renew wan”: adres wordt op de if’s gezet.

 

Veel IPv6 geleerd, zowel Linux als PfSense. Ik hoop dat het u helpt.

Als echt alleen de /64 uit de ERx komt wordt het lastig, dan moet wellicht IPv6 nat gebruikt worden.

 

 

 

 

Reputatie 1

Werkt achter Experia box. Vraag is of prefix delegation werkt achter ERx.

 

WAN: DHCPv6, only request prefix, prefix delegation size = 56

DHCP6 Poorten openen aan WAN kant.

Zie DHCP logs of een prefix wordt toegewezen.

 

LAN en VLAN: IPv6 Configuration type = track interface

Track interface IPv6 interface =WAN

IPV6 Prefix ID = 0   , 1   , 2   … enz voor iedere interface

IPV6 adres wordt  2a02.xxxx.xxx.100::/64 voor if1, 20a2.xxxx.xxxx.101::/64 voor if2 enz.

Dan DHCP/SLAAC nog aan de praat zien te krijgen, dat heb ik nog niet gedaan.

 

Status/Interfaces: druk op “release wan” en “renew wan”: adres wordt op de if’s gezet.

 

Veel IPv6 geleerd, zowel Linux als PfSense. Ik hoop dat het u helpt.

Als echt alleen de /64 uit de ERx komt wordt het lastig, dan moet wellicht IPv6 nat gebruikt worden.

 

 

 

 

Bedankt voor je moeite die je hierin steekt, ik zal zelf ook mijn bevinden invoegen waar nodig.

Het is toch wel apart, dat er bijna geen tutorials zijn te vinden over hoe dit op te zetten binnen PFsense achter een modem/router. Laten wij dan de eersten zijn :) 

Zelfs de mensen op Netgate zelf snappen er niks van en geloven niet dat KPN een /48 uitdeelt. Want dat kan niet volgens hun, alleen een /64.

 

EDIT: Ik heb net de volgende configuratie toegepast:


WAN: DHCPv6, only request prefix, prefix delegation size = 56

DHCP6 Poorten openen aan WAN kant.

Zie DHCP logs of een prefix wordt toegewezen.


 

Alleen hierdoor krijg ik een link local adres op de interface WAN.

 

 

 

Reputatie 1

Ik heb het inmiddels wel werkende op de WAN, met je instellingen. De ER-X had wat moeite….

 

Inmiddels aangekomen bij de LAN zijde, hier krijg ik geen IPv6 adres op ook al doe ik het op  de volgende instellingen:

LAN en VLAN: IPv6 Configuration type = track interface

Track interface IPv6 interface =WAN

IPV6 Prefix ID = 0   , 1   , 2   … enz voor iedere interface

Er wordt geen IPv6 adres uitgegeven op de LAN zijde wat wel apart is… 

 

Wellicht dat ik WAN ook een statisch IP moet geven en de LAN netwerken ook en vanuit daar een DHCPv6 & RA op zetten…

 

Voor de WAN zijde klopt het overigens:

Daarop krijg ik nu een IPv6 Link Local, IPv6 adres en een IPv6 gateway adres. Dus die is nu uitgedokterd (Als het goed is).

Reputatie 1

Ik krijg op de 1 of andere manier geen IP adressen op mijn LAN interface...

 

Reputatie 7

Als je naar het screenshot kijkt in het openingsbericht van het topic "Gebruik een eigen router i.p.v. de Experia Box" dan zie je dat de (v)lans op mijn EdgeRouter 4 keurig voorzien zijn van iPv6 adressen.

Je ziet daar ook configuratiescripts voor de EdgeRouter X.

Leg de config.boot uit zo'n zip file eens naast jouw config.boot en kijk naar de verschillen.

Reputatie 5
Badge +5

Aan de WAN kant is een V6 adres niet nodig, de route kan het fe80 link-local adres gebruiken.  Met DHCP debug aan en herladen van WAN laat system logs/dhcp exact zien of een prefix doorgegeven wordt door de Experia. In PfSense moet je PD expliciet configureren, zag ik, dus dat zal in de ER-X ook wel moeten.

 

Succes!

Reputatie 5
Badge +5

@wjb: Het prefix-delegatie proces lijkt dus al uitgevoerd op de edge-router, dus PfSense moet het met een /64 doen? Wellicht dat daar het probleem ligt. DHCP6 server configuratie ??????

Onder Linux kreeg ik /80 subnetten niet aan de praat zonder een “neighbour proxy deamon” te hulp te roepen, maar ik heb een Experia box waar ik niets mee kan. Met controle over de Edge router zou het wel moeten kunnen, denk ik, door vier niet overlappende /80 op pfsense WAN,LAN,V1 en V2 te zetten. De Edge moet dan zo geconfigureerd worden dat WAN direct te bereiken is en de rest via WAN….  Op die manier zouden toch alle adressen bereikbaar moeten zijn zonder  NAT trucs…. Ik ben maar een leek op routing gebied, misschien zijn er nog andere trucs.. De Experia gaat in ieder geval op zoek naar systemen aan zijn eigen kabels/wifi en niet achter een router. Die “neighbour proxy daemon” heb ik niet gezien in pfsense, ook niet in de add-ons, maar ik kan me vergissen.

 

 

 

Reputatie 7

@wjb: Het prefix-delegatie proces lijkt dus al uitgevoerd op de edge-router, dus PfSense moet het met een /64 doen?

Je kunt de prefix lengte zelf instellen…

...dus als je een /56 prefix wilt toewijzen aan een (v)lan dan kan dat door een prefix ::/56 te definiëren.

Reputatie 1

Als je naar het screenshot kijkt in het openingsbericht van het topic "Gebruik een eigen router i.p.v. de Experia Box" dan zie je dat de (v)lans op mijn EdgeRouter 4 keurig voorzien zijn van iPv6 adressen.

Je ziet daar ook configuratiescripts voor de EdgeRouter X.

Leg de config.boot uit zo'n zip file eens naast jouw config.boot en kijk naar de verschillen.

Haha toevallig dat je dit zegt, had ik gisteravond inderdaad ook gedaan aangezien er flink wat dingen waren veranderd in de config. (Kon ook komen door stroomuitval die we hadden). Daarbij heb ik alle wijzigingen doorgevoerd die ook in het nieuwe script van toepassing waren.

 

Ik zal eens kijken of ik de /64 kan veranderen in een /56. Ben benieuwd of dit wat uithaald...

Reputatie 1

@wjb: Het prefix-delegatie proces lijkt dus al uitgevoerd op de edge-router, dus PfSense moet het met een /64 doen?

Je kunt de prefix lengte zelf instellen…

...dus als je een /56 prefix wilt toewijzen aan een (v)lan dan kan dat door een prefix ::/56 te definiëren.

Dit staat bij mij op de switch0 interface geconfigureerd. Zou dat het misschien kunnen wezen? Dat de ethernet poort waarop ik de PFsense machine heb aangesloten op de ER-X dat die ook in die ‘switch0’ config zit?

Reputatie 7

@wjb: Het prefix-delegatie proces lijkt dus al uitgevoerd op de edge-router, dus PfSense moet het met een /64 doen?

Je kunt de prefix lengte zelf instellen…

...dus als je een /56 prefix wilt toewijzen aan een (v)lan dan kan dat door een prefix ::/56 te definiëren.

Dit staat bij mij op de switch0 interface geconfigureerd. Zou dat het misschien kunnen wezen? Dat de ethernet poort waarop ik de PFsense machine heb aangesloten op de ER-X dat die ook in die ‘switch0’ config zit?

Dat klopt, die moet ook op switch0 staan.