Vraag

Hoe IPv6 instellen op PFsense achter ER-X

  • 4 February 2021
  • 81 reacties
  • 1918 keer bekeken


Toon eerste bericht

81 reacties

Reputatie 1

@hmmsjan_2 Krijgt de LAN interface op jouw PFsense wel een IPv6 adres toegewezen naast een Link Local adres? Bij mij niet namelijk…

 

Waar ik overigens ook wel nieuwsgierig naar ben is wat voor IPv6 adres ik heb toegewezen gekregen van KPN. Dat is wel jammer dat je dat niet in 1 oogopslag kan zien op de ER-X…

 

In feite zou ik op de WAN poort van PFsense ook een statisch IP kunnen definieren uit het LAN subnet: 2a02:a44c:xxxx:1::2/64 

En dan op de LAN interface: 2a02:a44c:xxxx:2::1/64 kunnen zetten. Althans zo zou ik denken…

 

Reputatie 7

 Waar ik overigens ook wel nieuwsgierig naar ben is wat voor IPv6 adres ik heb toegewezen gekregen van KPN.

Je hebt geen IPv6 adres toegewezen gekregen van KPN maar een /48 prefix.

Als jij een IPv6 adres op jouw WAN poort zou willen dan moet je die zelf instellen.

Dat heeft echter weinig zin want je gaat jouw EdgeRouter toch niet extern beschikbaar stellen.

 

En dan op de LAN interface: 2a02:a44c:xxxx:2::1/64 kunnen zetten. Althans zo zou ik denken…

Dat is iets te kort door de bocht. Het IPv6 subnet achter de PFSense moet passen binnen het subnet aan de WAN zijde. De eerste 64 bits moeten dus overeenkomen.

Als jij een /56 subnet aan de WAN zijde plaatst dan kan je achter de PFSense een /64 subnet gebruiken waarvan de eerste 56 bits overeenkomen.

Reputatie 1

 Waar ik overigens ook wel nieuwsgierig naar ben is wat voor IPv6 adres ik heb toegewezen gekregen van KPN.

Je hebt geen IPv6 adres toegewezen gekregen van KPN maar een /48 prefix.

Als jij een IPv6 adres op jouw WAN poort zou willen dan moet je die zelf instellen.

Dat heeft echter weinig zin want je gaat jouw EdgeRouter toch niet extern beschikbaar stellen.

Aha dat is dan begrepen, ik zou misschien enige services op IPv6 willen benaderen binnen mijn PFsense omgeving maar dit gaat dan buiten de ER-X om denk ik. 

Reputatie 7

Aha dat is dan begrepen, ik zou misschien enige services op IPv6 willen benaderen binnen mijn PFsense omgeving maar dit gaat dan buiten de ER-X om denk ik. 

Dat doe je dan op het IPv6 adres van het apparaat waar die service op draait, niet die van de ER-X.

Wel zal je dan uiteraard de IPv6 firewall op de ER-X en PFSense open moeten stellen zodat deze dergelijk van buitenafkomend verkeer toestaat.

 

Kijk trouwens ook nog even naar de aanvulling van mijn vorige bericht.

Reputatie 1

Aha dat is dan begrepen, ik zou misschien enige services op IPv6 willen benaderen binnen mijn PFsense omgeving maar dit gaat dan buiten de ER-X om denk ik. 

Dat doe je dan op het IPv6 adres van het apparaat waar die service op draait, niet die van de ER-X.

Wel zal je dan uiteraard de IPv6 firewall op de ER-X en PFSense open moeten stellen zodat deze dergelijk van buitenafkomend verkeer toestaat.

 

Kijk trouwens ook nog even naar de aanvulling van mijn vorige bericht.

 

Bedankt voor de toelichting dit zal ik zeker even goed tot me nemen :)

 

Maar als ik het goed begrijp krijgen wij dus het volgende adres als /48 toegewezen vanuit KPN:

2a02:a44c:xxxx::/48 

En vanuit dit adres worden dan weer /64 adresjes gemaakt, althans op de ER-X in dit geval?

Reputatie 7

Maar als ik het goed begrijp krijgen wij dus het volgende adres als /48 toegewezen vanuit KPN:

2a02:a44c:xxxx::/48 

Dat is geen IPv6 adres maar een IPv6 prefix.

En vanuit dit adres worden dan weer /64 adresjes gemaakt, althans op de ER-X in dit geval?

Dat is afhankelijk van hoe jij de prefix lengte hebt ingesteld op jouw ER-X.

Als jij geen :://64 prefix adverteert maar ://56 dan zal er dus /56 prefix gebruikt worden op de interface. 

Let op: In het bovenstaande voorbeeld is dit de IPv6 router-advert instelling op de eth2 poort.

In jouw geval zou dat dus switch0 zijn.

Als je een /56 prefix gaat gebruiken, vergeet dan niet de achterliggende instellingen mee te nemen.

Reputatie 1

Maar als ik het goed begrijp krijgen wij dus het volgende adres als /48 toegewezen vanuit KPN:

2a02:a44c:xxxx::/48 

Dat is geen IPv6 adres maar een IPv6 prefix.

En vanuit dit adres worden dan weer /64 adresjes gemaakt, althans op de ER-X in dit geval?

Dat is afhankelijk van hoe jij de prefix lengte hebt ingesteld op jouw ER-X.

Als jij geen :://64 prefix adverteert maar ://56 dan zal er dus /56 prefix gebruikt worden op de interface. 

 

 

Aha dan begint het bij mij wel wat duidelijker te worden nu.

Dan heb ik het al even berekend met een tooltje maar dan kan ik inderdaad vanuit die /64 die op LAN wordt aangewezen geen nieuwe /64 subnetten meer aanmaken. Met een /56 kan ik er 256 /64 subnetten aanmaken.

Dus dan kom je op het volgende uit.

KPN → 2a02:a44c:xxxx::/48 (Subnet level 1)

ER-X → 2a02:a44c:xxxx:0100::/56 (Subnet level 2)

PFsense → 2a02:a44c:xxxx:0101::/64 (Subnet level 3)

Allemaal wel bijna dezelfde notering namelijk: 2a02:a44c:xxxx:1::x

 

Als ik het goed begrijp dan zou dit dus zo moeten kloppen of zit ik ernaast?

 

EDIT:

Hoe bedoel je de achterliggende instellingen? Bedoel je de instelling op de ER-X die hieraan gewaagd zijn?

Reputatie 7

De PFsense zou 2a02:a44c:xxxx:0101::/64 als subnet moeten krijgen.

 

Hoe bedoel je de achterliggende instellingen? Bedoel je de instelling op de ER-X die hieraan gewaagd zijn?

 

Reputatie 1

De PFsense zou 2a02:a44c:xxxx:0101::/64 als subnet moeten krijgen.

Ja klopt inderdaad, zal het even aanpassen :)

Reputatie 1

Apart ook al heb ik de instelling zoals hierboven en de prefix aangepast naar ::/56. Alsnog blijft de LAN interface op /64 staan. moet ik cur-hop-limit misschien ook aanpassen?

 

 

Reputatie 7

Ik kan me heel goed voorstellen dat de EdgeRouter even opnieuw opgestart moet worden bij het wijzigen van de IPv6 prefix.

De cur-hop-limit heeft hier niets mee van doen.

Kan je eens screenshots posten van wat je ingesteld hebt en wat je te zien krijgt in de dashboard.

Uiteraard wel jouw publieke IPv4 adres en het derde blok van IPv6 adressen wegpoetsen.

Reputatie 1

Ik kan me heel goed voorstellen dat de EdgeRouter even opnieuw opgestart moet worden bij het wijzigen van de IPv6 prefix.

De cur-hop-limit heeft hier niets mee van doen.

Kan je eens screenshots posten van wat je ingesteld hebt en wat je te zien krijgt in de dashboard.

Uiteraard wel jouw publieke IPv4 adres en het derde blok van IPv6 adressen wegpoetsen.

Ik heb de ER-X gereboot, alleen krijg het alsnog. Hieronder de screenshots:

 

 

 

Ik heb overigens de valid-lifetime direct overgenomen van de voorheen gedefinieerde /64

Reputatie 1

Heb nu ook de valid-lifetime aangepast naar 86400 en gereboot alleen dit gaf ook geen resultaat

Wel apart… Wellicht de UTP kabel vanuit de NTU loskoppelen en aankoppelen (Ik noem maar wat).

Reputatie 1

In de config.boot staat het ook veranderd naar ::/56 Dus hij zou het moeten doen..

Reputatie 7

Als ik de documentatie lees lijkt het dat subnetten eigenlijk altijd gebaseerd op /48, /64 en /80 gemaakt worden waarbij de voorkeur uitgaat naar /64 subnetten.

Je kunt wel een /56 prefix definiëren maar ik begrijp dat je dan de prefix ID nog altijd moet baseren op een /64 subnet. Dat betekent dat je dan i.p.v. 1 prefix ID 100 zou moeten gebruiken.

Het enige wat je dan met zo'n /56 subnet bereikt is dat je op een onderliggende router toch weer 255 (01 - FF) /64 subnetten kunt gebruiken.

Reputatie 1

Als ik de documentatie lees lijkt het dat subnetten eigenlijk altijd gebaseerd op /48, /64 en /80 gemaakt worden waarbij de voorkeur uitgaat naar /64 subnetten.

Je kunt wel een /56 prefix definiëren maar ik begrijp dat je dan de prefix ID nog altijd moet baseren op een /64 subnet. Dat betekent dat je dan i.p.v. 1 prefix ID 100 zou moeten gebruiken.

Het enige wat je dan met zo'n /56 subnet bereikt is dat je op een onderliggende router toch weer 255 (01 - FF) /64 subnetten kunt gebruiken.

Dus als ik het goed begrijp dan wordt het /56 subnet nu wel gebruikt alleen wordt er standaard een /64 gebruikt?

Want als ik vanuit die /48 prefix een /64 netwerk haal dan kan ik verder niet meer nieuwe /64 of dergelijke netwerken aanmaken. Ditzelfde geldt voor /80 netwerken, die kan ik niet uit een /64 netwerk meer maken als ik http://www.gestioip.net/ mag geloven.. althans deze zijn ‘grijs’ gemarkeerd.

Reputatie 7

Dus als ik het goed begrijp dan wordt het /56 subnet nu wel gebruikt alleen wordt er standaard een /64 gebruikt?

Daar lijkt het wel op.

Op de ER-X wordt het /56 aangevuld met 8 bits (allemaal 0) tot één /64 subnet.

ER-X: 2a02:a44c:xxxx:01/56 -> 2a02:a44c:xxxx:0100/64

PFSense: 2a02:a44c:xxxx:0101::/64 t/m 2a02:a44c:xxxx:01FF::/64

Reputatie 1

Dus als ik het goed begrijp dan wordt het /56 subnet nu wel gebruikt alleen wordt er standaard een /64 gebruikt?

Daar lijkt het wel op.

Op de ER-X wordt het /56 aangevuld met 8 bits (allemaal 0) tot één /64 subnet.

ER-X: 2a02:a44c:xxxx:01/56 -> 2a02:a44c:xxxx:0100/64

PFSense: 2a02:a44c:xxxx:0101::/64 t/m 2a02:a44c:xxxx:01FF::/64

Ik ga dit gelijk even testen :)

Reputatie 1

YES! het werkt, nu denk ik alleen nog de juiste RA configuratie denk ik. Althans de VM’s binnen mijn LAB achter de PFsense krijgen nu een IPv6 adres uitgedeeld uit het betreffende VLAN.

Ik dacht eerst hoe komt die bij :102 i.p.v. :0102 maar dat is een IPv6 dingetje schijnbaar

Reputatie 1

YES! het werkt, nu denk ik alleen nog de juiste RA configuratie denk ik. Althans de VM’s binnen mijn LAB achter de PFsense krijgen nu een IPv6 adres uitgedeeld uit het betreffende VLAN.

Ik dacht eerst hoe komt die bij :102 i.p.v. :0102 maar dat is een IPv6 dingetje schijnbaar

Nu komt er een andere error tevoorschijn. Als ik vanaf mijn PC wat in het 192.168.2.x/2a02:a44c:xxxx:1::x/64 netwerk zit wil pingen naar een machine achter de PFsense dan krijg ik ‘TTL Expired in transit’ nu weet ik dat dit schijnbaar een routing loop zou kunnen wezen, maar bij mij komt dan niet binnen waar dit zou kunnen zijn... 

Reputatie 4
Badge +2

Vraag van lang terug: De toegewezen adressen worden getoond, dus je ziet meteen of het gewerkt heeft.

De 102 i.p.v 0102: Dat is inderdaad een IPv6 dingetje: voorlopende nullen mag je weglaten.

En alle “0000” mag je weglaten zolang als de notatie eenduidig is. fc00::1 is dus een correct 128 bit adres, fc00::1::1 niet.

Prefix is geen enkel probleem, ieder getal tussen 1 en 128  is goed. Stappen van 16 is wel prettig, dat is precies een 4-getal segment. Officieel zijn de 1e 64 bit netwerk, het tweede deel client. Daarop is SLAAC gebaseerd: als een client een prefix <64 toegestuurd krijgt, wordt het rechterdeel berekend uit MAC adres, een complexer algoritme  of random. Het is absoluut niet verboden om /80 te maken. SLAAC werkt dan niet, maar DHCP wel mits overeenkomende DHCP ranges. Als KPN toch een /48 voor je reserveert, kun je van ieder netwerk een /64 maken, dat is het meest overzichtelijk. TTL zou ik niet weten, traceroute proberen?

 

 

 

Reputatie 1

Het plaatje hierboven laat een tracert (traceroute) zien naar 2a02:a44c:xxxx:102::1/64 (PFsense LAN). Op de 1 of andere manier heb ik het idee dat het komt door: 

2001:67c:2502:f100::2:38

Ik heb ook geen idee wat dat voor IPv6 adres is, wellicht van KPN zelf?

Reputatie 4
Badge +2

Waar deze server staat weet ik ook niet, maar in ieder geval buiten de deur. Een PC die op het …..:1::/64 netwerk hangt, zal als routing tabel ...0001::/64 koppelen aan zijn LAN of WLAN interface, de rest gaat via de router naar buiten. Die router is dan waarschijnlijk de edge router. Als het goed is weet deze dank zij zijn DHCP server dat hij met  ...:01nn::/56  naar de pfsense router toe moet, maar dat gebeurt blijkbaar niet. De 2001… stuurt de paketten dus per omgaande retour afzender en de loop via internet is rond.

Werkt de DHCP server niet correct, dan zou in de Edge route aparte regels opgenomen moet worden om 

2a02….:0001::/64 naar device LAN

2a02...:0100::/56 via fe80:xxxx device LAN

met fe80:xxxx het pfsense WAN link-local adres. 

Meest specifieke route heeft hoogste prioriteit.

Helaas wordt die “0100” door DHCP uitgegeven en kan dus veranderen….

Hopelijk kan wjb hier bij assisteren.

Succes

Reputatie 1

Waar deze server staat weet ik ook niet, maar in ieder geval buiten de deur. Een PC die op het …..:1::/64 netwerk hangt, zal als routing tabel ...0001::/64 koppelen aan zijn LAN of WLAN interface, de rest gaat via de router naar buiten. Die router is dan waarschijnlijk de edge router. Als het goed is weet deze dank zij zijn DHCP server dat hij met  ...:01nn::/56  naar de pfsense router toe moet, maar dat gebeurt blijkbaar niet. De 2001… stuurt de paketten dus per omgaande retour afzender en de loop via internet is rond.

Werkt de DHCP server niet correct, dan zou in de Edge route aparte regels opgenomen moet worden om 

2a02….:0001::/64 naar device LAN

2a02...:0100::/56 via fe80:xxxx device LAN

met fe80:xxxx het pfsense WAN link-local adres. 

Meest specifieke route heeft hoogste prioriteit.

Helaas wordt die “0100” door DHCP uitgegeven en kan dus veranderen….

Hopelijk kan wjb hier bij assisteren.

Succes

Ik zat me inderdaad al een beetje in te lezen over ‘routing’ op de Edgerouter x alleen merk op dat het nog niet veelvoudig wordt ondersteund...

Reputatie 7

Ik zat me inderdaad al een beetje in te lezen over ‘routing’ op de Edgerouter x alleen merk op dat het nog niet veelvoudig wordt ondersteund...

Ik ervaar geen problemen met multi(v)lan routering op mijn EdgeRouter 4.

Als ik een trace route doe vanaf een device in mijn zakelijke vlan naar een device in mijn privé lan of andersom dan blijft de route netjes intern.

Reageer