Beantwoord

ipv6 via edgerouter achter experiabox

  • 28 maart 2021
  • 35 reacties
  • 368 keer bekeken

Hallo,

M’n experiabox geeft de aangesloten apparaten een ipv6 adres, dat gaat goed op de edgerouter maar ook op een laptop die ik direct in de experiabox prik. Het probleem wat ik heb is dat ik geen ipv6 adressen krijg op apparaten achter m’n edgerouter. Ik denk dat het mis gaat omdat ik de prefixes niet goed instel, maar ik weet niet wat die moeten of kunnen zijn. Het lukt niet met of zonder ipv6-dmz.

M’n experiabox meldt een WAN Prefix en een Assigned prefix:

Wan Prefix: 2A02:A450:XXXX::/64

Assigned Prefix: 2A02:A450:XXXX:1::/64

Het (hopelijk) relevante deel uit config.boot (firewall gelijk aan die van wjb uit het eigen router ipv experiabox topic, afdeling edgerouter x zonder telefonie) is dit:

interfaces {
ethernet eth0 {
address 192.168.2.250/24
description KPN
dhcpv6-pd {
pd 0 {
interface switch0 {
host-address ::1
prefix-id :1
service slaac
}
prefix-length /48
}
rapid-commit enable
}
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
speed auto
}
ethernet eth1 {
description Local1
duplex auto
speed auto
}
ethernet eth2 {
description Local2
duplex auto
speed auto
}
ethernet eth3 {
description Local3
duplex auto
speed auto
}
ethernet eth4 {
description Local4
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.113.249/24
description "Thuis netwerk"
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
switch-port {
interface eth1 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}

Ik heb verschillende combinaties geprobeerd van de prefix-length uit dhcpv6-pd{ } en prefix uit router-advert { }, maar de switch0 en de achterliggende apparaten krijgen geen ipv6 adres. De file /var/log/dhcp6c.log meldt in bovenstaand geval:

Mar/28/2021 23:28:14: client6_recvadvert: advertise contains NoAddrsAvail status

misschien is dat een hint..

Hopelijk kan iemand de vinger op de zere plek leggen.

alvast bedankt,

Gerben

icon

Beste antwoord door hmmsjan_2 10 april 2021, 17:45

Sorry, ik zag het laatste bericht te laat. Het modem  zoekt dus het werkstation en kan het niet vinden omdat het achter de ERX zit… Voor Linux zijn er “proxy ndp” services ontwikkeld, waar de tweede router zijn eigen MAC adres opstuurt namens alles wat erachter hangt, “Proxy NDP”, maar ik weet niet of de ERX dit kent. Behalve datgene wat je voor IPv6 juist niet wilt, NAT, zou ik niet weten hoe dit op te lossen. Dat opsplitsen in /80 netwerken, wat ik eerder schreef, helpt ook niet omdat in het modem zelf geen routes gezet kunnen worden. 

 

 

Bekijk origineel

35 reacties

Reputatie 7

Ik zal morgen eens rustig naar jouw config kijken.

Ik weet ook niet wat de consequenties zijn van het verkrijgen van een /48 prefix.

Heb je overigens wel eens overwogen om de Experia Box helemaal te vervangen door de ER-X?

Ik ben uitgegaan van een /48 prefix omdat ik tegenkwam dat KPN dit aan klanten uitdeelt, maar misschien krijg ik iets anders? De WAN- en Assigned-prefix lijken iets anders te beweren..

Heb je overigens wel eens overwogen om de Experia Box helemaal te vervangen door de ER-X?

Ik zit hier in het buitengebied aan de ADSL, dus heb ik m’n Experia Box nog wel nodig. Als ik over een jaar ofzo glas heb wil ik wel graag de ER-X inzetten als eerste apparaat na het glasvezel-modem.

Reputatie 7

Ik ben uitgegaan van een /48 prefix omdat ik tegenkwam dat KPN dit aan klanten uitdeelt, maar misschien krijg ik iets anders?

Aan de Experia Box wordt inderdaad een /48 prefix uitgedeeld maar de prefix die de EdgeRouter aan een achterliggende router uitgeeft zal mijns inziens even groot moeten zijn de prefix die door de EdgeRouter aan het (v)lan gegeven wordt en die is standaard /64.

 

Heb je overigens wel eens overwogen om de Experia Box helemaal te vervangen door de ER-X?

Ik zit hier in het buitengebied aan de ADSL, dus heb ik m’n Experia Box nog wel nodig.

Heb je Sneller Internet Buitengebied of alleen een ADSL aansluiting?

Heb je overigens wel eens overwogen om de Experia Box helemaal te vervangen door de ER-X?

Ik zit hier in het buitengebied aan de ADSL, dus heb ik m’n Experia Box nog wel nodig.

Heb je Sneller Internet Buitengebied of alleen een ADSL aansluiting?

Alleen ADSL, het is snel genoeg om niet in aanmerking te komen voor Sneller Internet Buitengebied (haal 37/7 ongeveer). Binnen ca. een jaar glasvezel via Glasdraad.

Reputatie 7

Heb je overigens wel eens overwogen om de Experia Box helemaal te vervangen door de ER-X?

Ik zit hier in het buitengebied aan de ADSL, dus heb ik m’n Experia Box nog wel nodig.

Heb je Sneller Internet Buitengebied of alleen een ADSL aansluiting?

Alleen ADSL, het is snel genoeg om niet in aanmerking te komen voor Sneller Internet Buitengebied (haal 37/7 ongeveer). Binnen ca. een jaar glasvezel via Glasdraad.

Dat is geen ADSL maar VDSL. Je zou dan dus ook een Zyxel VMG4005-B50A kunnen aanschaffen en deze als modem kunnen gebruiken. Maar of dat nog zinvol is ... 

Heb je overigens wel eens overwogen om de Experia Box helemaal te vervangen door de ER-X?

Ik zit hier in het buitengebied aan de ADSL, dus heb ik m’n Experia Box nog wel nodig.

Heb je Sneller Internet Buitengebied of alleen een ADSL aansluiting?

Alleen ADSL, het is snel genoeg om niet in aanmerking te komen voor Sneller Internet Buitengebied (haal 37/7 ongeveer). Binnen ca. een jaar glasvezel via Glasdraad.

Dat is geen ADSL maar VDSL. Je zou dan dus ook een Zyxel VMG4005-B50A kunnen aanschaffen en deze als modem kunnen gebruiken. Maar of dat nog zinvol is ... 

Ja ik bedoelde VDSL, sorry. De experiabox doet het verder prima, het is vooral de ER-X z’n ipv6 config die ik niet goed genoeg begrijp om in te stellen. Ik denk dat ik het liefst ipv6-DMZ instel op m’n experiabox, omdat ik dan meer mogelijkheden heb om mee te spelen op m’n ER-X. Zo staat het nu ook, en de ER-X krijgt ook een IPv6 adres, waarmee hij naar buiten kan pingen. Alleen de binnenkant van de ER-X wil niet.

Heeft er misschien iemand nog een tip over hoe ipv6 aan de praat te krijgen achter deze ER-X?

Reputatie 4
Badge +1

Ik heb hier een Experia box 10. Standaard deelt deze 2a02:n:n:1::/64 uit op Lan en Wifi.

Prefix delegatie geeft /56 prefixen, beginnend op 2a02:n:n:0100/56. Van hieruit kan eventueel weer opgespitst worden in /64 netwerken of VLAN’s 2a02:n:n:0100/64 tot 2a02:n:n:01ff/64.  De hele /48 ophalen zal dus niet werken, omdat de box 2a02:n:n:0 voor zichzelf gebruikt en 2a02:n:n:1 voor LAN/Wifi.

Probeer de /48 maar eens te vervangen door /56. Check in ieder geval  ook of de ER-X de correcte routings instelt.

 

 

 

M’n ER-X z’n eth0 (kant aan de experiabox) heeft inderdaad een 2a02:n:n:1:a:b:c:d/64 adres.

De dhcpv6-pd op eth0 staat nu op prefix-length /56, de switch0 config staat nog hetzelfde als in m’n eerste post.  Switch0 helaas nog geen ip6 adres:

admin@edgerouterx# ip -6 -br -c a
lo               UNKNOWN        ::1/128
itf0             UNKNOWN        fe80::7683:c2ff:fe0f:869c/64
eth0@itf0        UP             2a02:a450:n:1:a:b:c:d/64 fe80::7683:c2ff:fe0f:8697/64
eth1@itf0        UP             fe80::7683:c2ff:fe0f:8698/64
eth2@itf0        LOWERLAYERDOWN fe80::7683:c2ff:fe0f:8699/64
eth3@itf0        LOWERLAYERDOWN fe80::7683:c2ff:fe0f:869a/64
eth4@itf0        LOWERLAYERDOWN fe80::7683:c2ff:fe0f:869b/64
switch0@itf0     UP             fe80::7683:c2ff:fe0f:869c/64

Routings:

admin@edgerouterx# ip -6 ro|grep -v fe80
2a02:a450:n:1::/64 dev eth0 proto kernel metric 256 expires 259104sec pref medium
default dev eth0 proto zebra metric 1024 pref medium

Moet de config voor switch0 anders? Of die van dhcpv6-pd? Of allebei? Of kan het een firewall zijn die dingen tegenhoudt.. die staat voor wat betreft ipv6 op:

firewall {                                                                                                                                                                                                            
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN IPv6 naar LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 ICMP"
icmpv6 {
type echo-request
}
protocol ipv6-icmp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN IPv6 naar Router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 ICMP"
protocol ipv6-icmp
}
rule 40 {
action accept
description "Allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable

 

 

 

Reputatie 7

Ik heb hier een Experia box 10. Standaard deelt deze 2a02:n:n:1::/64 uit op Lan en Wifi.

Prefix delegatie geeft /56 prefixen, beginnend op 2a02:n:n:0100/56.

Weet je zeker dat de Experia Box /56 prefixen uitdeelt?

Heb je het zelf succesvol in gebruik?

Reputatie 4
Badge +1

Ik ken helaas de edge router niet, ik gebruik alleen Linux. De “Allow dhcpv6” poort 546 en poort 547 ziet er  zeer geruststellend uit… De logfiles zullen uitsluitsel moeten geven….

 

 

 

 

 

Reputatie 4
Badge +1

@wjb 

Altijd /56, blijkbaar anders dan bij fiber.

 

dhclient -6 -v -P -i bridge0
Internet Systems Consortium DHCP Client 4.4.2b1
Copyright 2004-2019 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
 
Listening on Socket/bridge0
Sending on   Socket/bridge0
PRC: Previous lease is devoid of active addresses.
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT:  X-- IA_PD 9c:c1:aa:5d
XMT:  | X-- Request renew in  +3600
XMT:  | X-- Request rebind in +5400
XMT: Solicit on bridge0, interval 1070ms.
RCV: Advertise message on bridge0 from fe80::b2ac:d2ff:fe57:410e.
RCV:  X-- Preference 7.
RCV:  X-- IA_PD 9c:c1:aa:5d
RCV:  | X-- starts 1618051417
RCV:  | X-- t1 - renew  +78294
RCV:  | X-- t2 - rebind +125271
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a02:nnnn:nnnn:100::/56
RCV:  | | | X-- Preferred lifetime 156589.
RCV:  | | | X-- Max lifetime 242989.
RCV:  X-- Server ID: 00:03:00:06:b0:ac:d2:57:41:0e
RCV:  Advertisement recorded.
PRC: Selecting best advertised lease.
PRC: Considering best lease.
PRC:  X-- Initial candidate 00:03:00:06:b0:ac:d2:57:41:0e (s: 10104, p: 7).
XMT: Forming Request, 0 ms elapsed.
XMT:  X-- IA_PD 9c:c1:aa:5d
XMT:  | X-- Requested renew  +3600
XMT:  | X-- Requested rebind +5400
XMT:  | | X-- IAPREFIX 2a02:nnnn:nnnn:100::/56
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  V IA_PD appended.
XMT: Request on bridge0, interval 960ms.
RCV: Reply message on bridge0 from fe80::b2ac:d2ff:fe57:410e.
RCV:  X-- IA_PD 9c:c1:aa:5d
RCV:  | X-- starts 1618051418
RCV:  | X-- t1 - renew  +78294
RCV:  | X-- t2 - rebind +125271
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a02:nnnn:nnnn:100::/56
RCV:  | | | X-- Preferred lifetime 156589.
RCV:  | | | X-- Max lifetime 242989.
RCV:  X-- Server ID: 00:03:00:06:b0:ac:d2:57:41:0e
PRC: Bound to lease 00:03:00:06:b0:ac:d2:57:41:0e.
Prefix BOUND6 old= new=2a02:nnnn:nnnn:100::/56
 

 

Reputatie 4
Badge +1

dhcp6c is ook beschikbaar op Linux. onderstaande  configuratie met “bridge0”  is WAN -> experia box LAN poort en “bridge1 = LAN2” zet IP 2a02:nnn:nnn:301::aaaa:bbbb:cccc:dddd/64 op bridge1. 

301 omdat 100 en 200 al gebruikt zijn, en sla-id=1.

 

 

# The followings are a sample configuration for requiring the "stateless"
# DHCPv6 service.
#interface ne0 {
#       information-only;
#};
 
 
# The followings are a sample configuration to be delegated an IPv6 prefix
# from an upstream service provider.  With this configuration dhcp6c will
# send solicit messages containing an IA_PD option, with an IAID 0, on to
# an upstream PPP link, ppp0.  After receiving some prefixes from a server,
# dhcp6c will then configure derived IPv6 prefixes with the SLA ID 1 on a
# local ethernet interface, ne0.  Note that the IAID for the id-assoc
# statement is 0 according to the default.
 
interface bridge0 {
        send ia-pd 0;
};
 
id-assoc pd {
        prefix-interface bridge1 {
                sla-id 1;
        };
};
                                                                                                                                                                                                                                                                                                                                                                                                                

 

Reputatie 7

@hmmsjan_2,

Dank je voor de log.

Dat zou betekenen dat het bij @Gerben Roest zou moeten als de prefix length bij de dhcpv6-pd -> pd -> 0 op /56 zou zetten.

Wel denk ik dat hij dan de prefix-id voor switch0 moet wijzigen door de dubbele punt aan het begin weg te halen.

Reputatie 7

@Gerben Roest heb je ook de default route voor IPv6 gedefinieerd?

in jouw geval moet de next-hop-interface op eth0 staan.

Bedankt voor het meedenken mensen, ik heb de prefix-length bij pd0 op /56 staan en voor switch0 → ipv6 → router-advert: prefix ::/64. De switch0 interface krijgt/neemt nog geen ipv6 adres, heb ook nog bij ipv6 geprobeerd: address  { autoconf } maar dat maakte geen verschil.  In de /var/log/dhcp6c.log wordt nog wel steeds geklaagd “client6_recvadvert: advertise contains NoAddrsAvail status”.

@wjb  : jep, staat op eth0

Reputatie 7

Kan je hier dan nog een keer jouw hele config.boot posten?

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN IPv6 naar LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 ICMP"
icmpv6 {
type echo-request
}
protocol ipv6-icmp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN IPv6 naar Router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 ICMP"
protocol ipv6-icmp
}
rule 40 {
action accept
description "Allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN naar LAN"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN naar Router"
rule 10 {
action accept
description "Allow established/related"
log disable
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.2.250/24
description KPN
dhcpv6-pd {
pd 0 {
interface switch0 {
host-address ::1
prefix-id 1
service slaac
}
prefix-length /56
}
rapid-commit enable
}
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
speed auto
}
ethernet eth1 {
description Local1
duplex auto
speed auto
}
ethernet eth2 {
description Local2
duplex auto
speed auto
}
ethernet eth3 {
description Local3
duplex auto
speed auto
}
ethernet eth4 {
description Local4
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.113.249/24
description "Thuis netwerk"
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
name-server 2a02:a47f:e000::53
name-server 2a02:a47f:e000::54
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 2592000
}
radvd-options "RDNSS 2a02:a47f:e000::53 2a02:a47f:e000::54 {};"
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
switch-port {
interface eth1 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
protocols {
igmp-proxy {
disable
}
static {
interface-route6 ::/0 {
next-hop-interface eth0 {
}
}
}
}
service {
dns {
forwarding {
cache-size 150
listen-on switch0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5000 {
description "WAN masquerade"
log disable
outbound-interface eth0
protocol all
source {
group {
}
}
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
analytics-handler {
send-analytics-report false
}
crash-handler {
send-crash-report false
}
domain-search {
domain thuis.intern
}
gateway-address 192.168.2.254
host-name edgerouterx
login {
user admin {
authentication {
encrypted-password <weggehaald wegens forum posting>
}
level admin
}
}
name-server 192.168.2.254
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Amsterdam
traffic-analysis {
dpi disable
export enable
}
}

Ik heb het hoofdstuk dhcp-server met z’n static mappings eruit gehaald.

Reputatie 7

Op basis van jouw configuratie zou ik eigenlijk verwachten dat switch0 twee IPv6 adressen zou laten zien.

Wel heb ik mijn vraagtekens bij het gateway-address 192.168.2.254.

192.168.2.254 is het adres van de experiabox v10a. Die staat qua ipv6 op:

Network → ipv6 → WAN IP → IPv6: Automatic

Network → ipv6 → WAN IP → DUID: <iets>

Network → ipv6 → IPv6 LAN setting: ULA Support: ja

Network → ipv6 → → DMZ: Enable IPv6 DMZ: uit

Reputatie 7

192.168.2.254 is het adres van de experiabox v10a.

Aha, je hebt een V10a i.p.v. een V10 (zonder a).

Dan is maar helemaal de vraag of DHCPv6 prefix delegation überhaupt wel werkt.

Reputatie 4
Badge +1

Experia box v10a: het verontrust me wat dat volgens een forum post van 11 maanden terug de v10a geen prefix delegation ondersteunt. Is dit inmiddels opgelost ??? Ik heb een V10.

 

Reputatie 7

Experia box v10a: het verontrust me wat dat volgens een forum post van 11 maanden terug de v10a geen prefix delegation ondersteunt. Is dit inmiddels opgelost ???

Het zou me helemaal niets verbazen als daar nog helemaal niet naar gekeken is en wellicht zelfs niet naar gekeken gaat worden. KPN vindt IPv6 eigenlijk helemaal niet interessant.

M’n experiabox zegt ongeveer elke 2 minuten in z’n system logs:
Apr 10 15:35:55 VRV9517 daemon.info dhcpd: Solicit message from fe80::7683:c2ff:fe0f:8697 port 546, transaction ID 0xB288B000
Apr 10 15:35:55 VRV9517 daemon.debug dhcpd: Unable to pick client address: no IPv6 pools on this shared network
Apr 10 15:35:55 VRV9517 daemon.debug dhcpd: Unable to pick client prefix: no IPv6 pools on this shared network
Apr 10 15:35:55 VRV9517 daemon.info dhcpd: Sending Advertise to fe80::7683:c2ff:fe0f:8697 port 546

 

Maar als m’n experiabox wel een ipv6 adres (door)geeft aan m’n ER-X, kan die dan niet op een of andere transparante manier andere adressen ook doorgeven aan de apparaten erachter?

Reageer