Unitymedia Hilfe bei IPv6 PD Konfiguration auf Edgerouter 4 in Hessen

[carknue]

Ich habe meinen TP-Link AC5400 Router zum WiFi AP degradiert und möchte als Router den Edgerouter 4 einsetzten. Umbau hat soweit geklappt, zumindest mit IPv4 läuft alles . IPv6 geht allerdings gar nicht. Ich habe ein TC4400 Modem mit Giga Max Cable 1000 und Dual Stack gebucht. IPv6 Dual Stack lief auch mit dem TP-Link Router und dem TC4400, also liegt es nur am Edgerouter.

Beim Edgerouter scheitere ich an der Konfiguration. Im Wizard kann man bei Prefix Delegation nicht /59 auswählen, was für Hessen wohl der korrekte Wert ist. Ich kann da nur /64, /60, /56 oder /48 auswählen.

Vielleicht kann mir hier jemand weiterhelfen dabei...

 

[Edding]

Im Wizard kann man bei Prefix Delegation nicht /59 auswählen, was für Hessen wohl der korrekte Wert ist. Ich kann da nur /64, /60, /56 oder /48 auswählen.

Hast du die möglichkeit dort automatisch oder garnix auszuwählen ?das sollte reichen

 

[carknue]

Also bei der Prefix Länge muss was stehen, da kann man nix Löschen oder überschreiben. Man wird das sicherlich irgendwo manuell ändern können im Konfig Tree aber da blicke ich nicht durch.

 

[Edding]

hmm was passiert den, wenn du ein /60 anforderst ??
falls es nicht geht, was steht im dhcp6 log ?

 

[carknue]

Ich habe es jetzt im CLI die Länge auf /59 eingestellt und rebootet. Klappt aber auch nicht. dhcp6 log habe ich noch nicht gefunden. Hier mal meine Interface Config:

 

[carknue]

Dies ist der dhcp6 log:

 

[boba]

Bei Prefix Delegation definiert man meines Wissens die Länge des Prefix, das an nachgelagerte Router weitergegeben wird. Da oben an 2 Router (über eth1 und eth2) weitergegeben wird, muss das weitergegebene Prefix 1 bit kürzer sein als das vom übergeordneten Router angeforderte Prefix, um die beiden ipv6 Subnets adressieren zu können. Wird vom übergeordneten Router ein Prefix von /59 angefordert, kann man an 2 Subnets ein Prefix von /60 weitergeben. Oder an 4 Subnets ein Prefix von /61, oder an 8 Subnets ein Prefix von /62 und so weiter.

 

[Edding]

könntest mal versuche die ipv6 firewall testweise auszumachen und schauen ob es dann geht.
alternativ mal folgendes versuchen

edit firewall ipv6-name WANv6_IN
set rule 30 action accept
set rule 30 description "Allow ICMPv6"
set rule 30 protocol ipv6-icmp

 

[carknue]

Ob ich Prefix Länge 59 oder 60 einstelle, ändert nichts. Die Firewall rule 30 hat auch nichts geändert. "Enable acquisition of IPv6 address using stateless autoconfig" hat aber etwas bewirkt und zwar werden mir jetzt beim WAN interface eth0 auf dem Router unter der ipv4 Adresse auch 3 ipv6 Adresseen angezeigt. Aber kein Client im LAN bekommt eine ipv6 Adresse. Also dhcpv6 log unverändert

 

[carknue]

Ziemlich frustrierend ipv6 an Laufen zu bekommen. Habe viel gegoogelt und ausprobiert. Nix hat funktioniert. Kann doch irgendwie nicht sein.
Ich bekomme nur auf dem WAN Interfaces eth0 drei Ipv6 Adressen angezeigt. Wieso überhaupt 3? Der LAN Port eth1 bekommt nur eine ipv4.

Ping ipv6 funktioniert nicht -> unreachable



ipv6 route:


Hier meine Confg:

Spoiler: Config ER4

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
established disable
invalid enable
new disable
related disable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
protocol ipv6-icmp
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
icmpv6 {
type neighbor-solicitation
}
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
rule 50 {
action accept
description "Allow router advertisements"
icmpv6 {
type router-advertisement
}
protocol ipv6-icmp
}
rule 60 {
action accept
description "Allow neighbor advertisements"
icmpv6 {
type neighbor-advertisement
}
protocol ipv6-icmp
}
}
ipv6-name WANv6_OUT {
default-action accept
description "packets to internet"
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation strict
syn-cookies enable
}
interfaces {
ethernet eth0 {
address dhcp
description Internet
dhcpv6-pd {
pd 0 {
interface eth1 {
host-address ::dead:beef
no-dns
prefix-id :1
service slaac
}
prefix-length /59
}
prefix-only
rapid-commit enable
}
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
speed auto
}
ethernet eth1 {
address 192.168.1.1/24
description Local
duplex auto
ipv6 {
dup-addr-detect-transmits 1
}
speed auto
}
ethernet eth2 {
address 192.168.2.1/24
description "Local 2"
duplex auto
speed auto
}
ethernet eth3 {
duplex auto
speed auto
}
loopback lo {
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.38 {
stop 192.168.1.243
}
static-mapping Synology {
ip-address 192.168.1.131
mac-address
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 10000
listen-on eth1
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
outbound-interface eth0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
analytics-handler {
send-analytics-report false
}
crash-handler {
send-crash-report false
}
host-name EdgeRouter-4
login {

level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Berlin
}

 

[carknue]

Ich vermute, dass der Edgerouter letzte Woche falsche Ipv6 Adressen angefordert und auch bekommen hat. Auf der WAN Schnittstelle waren nur /64er Adressen und davon kann er ja nix mehr verteilen. Vielleicht kamen die auch noch aus dem TP-Link Router. Ipv6 hatte ich jetzt die ganze Woche überall deaktiviert und werde am WE einen neuen Versuch starten. Die Config müsste eigentlich passen jetzt. Sonst bleibt es dauerhaft deaktiviert.

 

[Edding]

Ja irgendwas stimmt da nicht die 2a02:908 ist von Vodafone und die 2a02:2102 ist Telefonica
Allerdings brauchts du auf der WAN auch adressen.
Versuch es doch mal im Forum von Ubiquiti

 

[carknue]

Ich finde leider nur Konfigurationen für Fritzboxen im Bridge Mode mit Edgerouter, keine einzige für ein TC4400 gefunden. Es läuft immer noch nicht. Oder muss da was am TC4400 eingestellt werden?

 

[WRFan]

Ich habe, glaube ich, das gleiche Problem. Vor ein Paar Tagen sind Änderungen am Vodafone-Netz in Hessen vorgenommen worden, seitdem laufen im internet Vodafone-Netz Router Advertisements mit Präfixen, die per SLAAC angekündigt werden. Folgendes sehe ich in Wireshark:

fe80::f27c:c701:30ab:fb4 -> ff02::1 ICMPv6 Router Advertisement

Flags: 0xc0, Managed address configuration, Other configuration, Prf (Default Router Preference): Medium
Router lifetime (s): 12
Reachable time (ms): 0
Retrans timer (ms): 0

ICMPv6 Option (Source link-layer address : f0:7c:c7:ab:0f:b4)
Type: Source link-layer address (1)
Link-layer address: JuniperN_ab:0f:b4 (f0:7c:c7:ab:0f:b4)

ICMPv6 Option (Prefix information : 2a02:3102:XXX:XXX::/64)
Type: Prefix information (3)
Prefix Length: 64
Flag: 0xc0, On-link flag(L), Autonomous address-configuration flag(A)
Valid Lifetime: 2592000
Preferred Lifetime: 604800
Prefix: 2a02:3102:XXX:XXX::

Insgesamt 3 RA-Server mit unterschiedlichen fe80: Link-local Adressen, verteilen 3 verschiedene Präfixe:

2a02:908:XXX:XXX
2a02:3102:XXX:XXX
2a02:3102:XXX:XXX

Dementsprechend habe ich auf der WAN-Netzwerkkarte (also die Karte, die direkt mit dem TC4400-Modem verbunden ist), 3 ipv6-Adressen und 3 Standardgateways (per SLAAC stateless zugewiesen):

ipconfig /all

IPv6-Adresse. . . . . . . . . . . : 2a02:908:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt)
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt)
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt)

Standardgateway . . . . . . . . . : fe80::XXX:XXX:XXX:XXX%4
fe80::XXX:XXX:XXX:XXX%4
fe80::XXX:XXX:XXX:XXX%4

Ich kann keine globale ipv6-Adresse anpingen, und was seltsam ist, kann ich die 3 Standardgateways ebenfalls nicht anpingen.

ping fe80::XXX:XXX:XXX:XXX
Zielhost nicht erreichbar.
Zeitüberschreitung der Anforderung.

DHCPv6 Präfix-Bezug geht ebenfalls nicht:

fe80::XXX:XXX:XXX:XXX (link-local Adresse der WAN-Netzwerke) -> ff02::1:2 Solicit XID

kriege keine Antwort. Die Standardgateways der Vodafone RA-Server ignorieren also alle Anfragen, pings, dhcpv6 etc.

Habe mal ein Ticket eröffnet, habe aber keine großen Hoffnungen, man kennt ja die Vodafone-Pappenheimer. Falls jemand was rausfindet, bitte posten.

 

[Edding]

TL;DQ

falls du eine pfsense oder opensense benutzt schau mal Hier

 

[WRFan]

falls du eine pfsense oder opensense benutzt

Nix dergleichen. Der Aufbau ist extrem einfach: Netwerkkarte des PC direkt per Lan-Kabel an das TC4400 angeschlossen, fertig. Keine Firewall, geblockt wird also nix. Router-Funktionen wie NAT, ipv6-Verteilung im Netzwerk per SLAAC mittels einer zweiten Netzwerkkarte lassen wir mal beiseite, das spielt keine Rolle, da ich ja noch nicht einmal die Gateways der 3 RA-Server im Vodafone-Netzwerk anpingen kann, dhcpv6 Solicit-Anfragen zwecks Präfix-Bezugs bleiben ebenfalls unbeantwortet. Ob Vodafone die Präfix-Verteilung komplett auf SLAAC umgestellt hat, oder zusätzlich auch Präfixbezug über dhcpv6 erlaubt, ist ebenfalls unklar, obwohl der "Managed address configuration" (Verwaltete Adresskonfiguration) flag in den Router Advertisements gesetzt ist (s. oben). Ebenfalls ist unklar, warum plötzlich drei RA-Server im Vodafone-Netzwerk laufen, früher gab es nur einen, und es wurde nur das Standard-Gateway angekündigt, während jetzt drei Präfixe mitverteilt werden, was wenig nutzt, solange die Standard-Gateways nicht reagieren.

2a02:XXX:XXX:XXX:XXX:XXX:XXX:XXX -> 2001:4860:4860::8888 ICMPv6 Echo (ping) request (no response found!)

Ethernet II, Src: Giga-Byt_08:XXX:XXX (18:XXX:XXX:XXX:XXX:XXX), Dst: JuniperN_ab:0f:b4 (f0:7c:c7:ab:0f:b4)
Type: IPv6 (0x86dd)
Internet Control Message Protocol v6
Type: Echo (ping) request (128)
[No response seen]

JuniperN -> Jupiter Networks? Vodafone hat wohl ihr System umgestellt, und zwar so, dass nix mehr funzt. Von Vodafone bekam ich eine E-Mail, in der behauptet wird, nach abgeschlossenen Wartungsarbeiten funktioniere alles wie gewohnt. Ich bin aber die Verteilung der Präfixe über SLAAC nicht "gewohnt", noch die Tatsache, dass die Gateways sich tot stellen. Weder gibt es Infos seitens Vodafone, WAS verändert worden ist, noch, wie der Kunde sein System anpassen soll.

 

[Edding]

die frage ist halt ob der DHCPv6 deines PC nicht auch das gleiche Problem hat wie der bei OpenSense/pfSense, mit der umstellung gehen diese nicht mehr.
Das was du da per slaac siehst ist einfach die adresse des WAN Interfaces.
Les dir das mal durch was ich dir dort gepostet hatte.

 

[Maurice]

@WRFan, Prefix Delegation per SLAAC gibt es nicht, das geht nur über DHCPv6. Die /64-Präfixe in den Router Advertisements dienen nur zur Autokonfiguration der WAN-Adresse. Wobei ich das bei Vodafone / UM in der Tat noch nicht gesehen habe. An meinem Anschluss enthalten die RAs kein Präfix, die WAN-Adresse bekommt man ebenfalls per DHCPv6 (wie schon seit jeher bei Unitymedia). Mehrere Default Router sind grundsätzlich möglich, ist bei mir aber auch nicht der Fall.
Schon möglich, dass Du das von @Edding erwähnte DHCPv6-Problem hast. Evtl. akzeptieren die Gateways nur Pakete von den per DHCPv6 vergebenen Adressen? Ist aber Spekulation.

Hast Du die Möglichkeit, vorübergehend mit einem anderen Router oder z. B. OpenWrt zu testen?

 

[WRFan]

Prefix Delegation per SLAAC gibt es nicht

Ja, vor dem 11. April gab es keine Präfix Delegation per SLAAC, da dienten die RAs nur zum Feststellen des Gateways, aber ab dem 11.4 werden Präfixe per SLAAC verteilt (s. meinen Beitrag oben), Folgendes in Wireshark:

ICMPv6 Option (Prefix information : 2a02:3102:XXX:XXX::/64) Type: Prefix information (3) Length: 4 (32 bytes) Prefix Length: 64 Flag: 0xc0, On-link flag(L), Autonomous address-configuration flag(A) Valid Lifetime: 2592000 Preferred Lifetime: 604800 Reserved Prefix: 2a02:3102:XXX:XXX::

Prefix: 2a02:3102:XXX:XXX::

Dementsprechend sehe ich auf meinem WAN-Interface die autokonfigurierten Adressen:

IPv6-Adresse. . . . . . . . . . . : 2a02:908:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt)
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt)
IPv6-Adresse. . . . . . . . . . . : 2a02:3102:XXX:XXX:XXX:XXX:XXX:XXX(Bevorzugt)

Damit kann ich aber nichts anfangen, weil ich die Gateways der RA-Server, die Router Advertisements verteilen, nicht anpingen kann. Wenn ich, wie früher (vor dem 11.4), per dhcpv6, versuche, einen Präfix zu beziehen, kriege ich keine Antwort.

Evtl. akzeptieren die Gateways nur Pakete

Man müsste doch die Gateways zumindest anpingen können? Vor dem 11.4 konnte ich das Gateway des RA-Servers immer anpingen, alle Pings wurden beantwortet, aber jetzt kriege ich nur "Zeitüberschreitung der Anforderung."

die frage ist halt ob der DHCPv6 deines PC nicht auch das gleiche Problem hat wie der bei OpenSense/pfSense

Ich glaube nicht, dass ich das gleiche Problem habe. Sofern ich verstehe, bestand dein Problem darin, dass der Vodafone-Server eine Reconfigure-Message sendet, mit der der wide-dhcpv6 Client nichts anfangen konnte. Soweit ich verstehe, besteht deine Lösung darin, die Reconfigure-Anfrage des Servers zu ignorieren:

https://patch-diff.githubusercontent.com/raw/opnsense/dhcp6c/pull/32.patch

Es scheint mir doch, dass es besser wäre, das Problem an der Wurzel zu packen, statt die Symptome zu fixen. Folgendes:

https://datatracker.ietf.org/doc/html/rfc8415#section-21.20

Reconfigure Accept Option
A client uses the Reconfigure Accept option to announce to the server whether the client is willing to accept Reconfigure messages
option-code OPTION_RECONF_ACCEPT (20).
option-len 0.

Ich habe das mal ausprobiert. Sieht in Wireshark folgendermaßen aus:

fe80::XXX:XXX:XXX:XXX -> ff02::1:2 DHCPv6 Solicit
Reconfigure Accept Option: Reconfigure Accept (20) Length: 0

Da wide-dhcpv6 dem Vodafone-Server mitteilt, dass er Reconfigure unterstützt, sendet Vodafones dhcpv6-Server Reconfigure messages. Beste Lösung wäre, dem Server gar nicht erst mitzuteilen, dass Reconfigure unterstützt wird, dazu sollte man eigentlich wide-dhcpv6 nicht neu kompilieren müssen, so eine Einstellung müsste in der config vorhanden sein. Ich habe ehrlich gesagt gar nicht gewußt, dass solche Reconfigure messages existieren, weder dhclient (dhcpv6 linux Client), noch dibbler (windows dhcpv6 client) verwenden es standardmäßig, obwohl man es zumindest unter Dibbler einschalten kann. Sollte aber keine Voraussetzung bei Vodafone sein, wenn kein "Reconfigure Accept" gesendet wird, sollte die gesamte Prozedur standardmäßig ablaufen (Solicit-Advertise-Request-Reply bei Präfix-Neubezug bzw. Confirm-Renew-Rebind bei Präfix-Refresh), ohne irgendwelche Reconfigure Messages.

Mein Problem ist jedoch, dass die Vodafone-Server (also eben die "fe80::" RA-Gateways, die unter "Standardgateway" aufgelistet werden, wenn man "ipconfig /all" unter Windows eingibt) auf dhcpv6-Anfragen ab dem 11. April GAR NICHT antwortet, weder mit "Reconfigure", noch mit "Advertise" Messages, egal, ob ich die "Reconfigure Accept" Option mitsende, oder nicht. Und auf Pings reagieren sie nicht.

 

[Maurice]

Prefix Delegation (via DHCPv6) und Prefix Information (in Router Advertisements) sind zweierlei. Die /64-Präfixe in den RAs kannst Du nicht im LAN verwenden, da sie ausdrücklich nicht an dich delegiert werden.

Wie auch immer: Dass die Gateways nicht auf Echo Requests reagieren und Du auch keine Antwort auf DHCPv6 Solicits erhältst spricht schon für ein grundsätzliches Problem. Evtl. gehen überhaupt keine Pakete raus? Modem hast Du sicher schon neu gestartet (wegen MAC-Filter / max-cpe)? Funktioniert denn IPv4 normal?

 

[WRFan]

Die /64-Präfixe in den RAs kannst Du nicht im LAN verwenden, da sie ausdrücklich nicht an dich delegiert werden.

Wozu werden sie dann in den RAs angekündigt? Wozu sind sie dann gut?

Habe hier was gefunden:

https://forum.vodafone.de/t5/Archiv-Internet-Geräte/Klarstellung-IPv6-unter-Bridge-Mode/td-p/2035680
https://forum.vodafone.de/t5/Archiv...pv6-im-Bridge-Modus-Fritzbox-3490/m-p/2023237

Im Bridge Mode (also als reines Kabelmodem) soll angeblich der Bezug von ipv6-Präfixen fehlschlagen? Ob das daran liegt? Ich habe aber Dual Stack (config: cust-own_100000_10000_ds_sip_wifi-on.bin), und per Gesetz darf mich Vodafone doch nicht zwingen, ihre Geräte zu nutzen? Bei uns (Hessen) wurde Glasfaser vor ein Paar Tagen verlegt, irgendwas haben sie verändert, aber aus den Telefontanten bei Vodafone kriegt man nix raus, sie haben null Peilung von nix.

Evtl. gehen überhaupt keine Pakete raus? Funktioniert denn IPv4 normal?

IPv4 geht, nur ipv6 nicht.

 

[Maurice]

Wozu werden sie dann in den RAs angekündigt? Wozu sind sie dann gut?

Nur für die Autokonfiguration der WAN-Adresse. Die kann man entweder per DHCPv6 vergeben (so macht Vodafone das an meinem Anschluss) oder eben per SLAAC (mit /64-Präfix und A-Flag in den RAs). Oder auch beides. Die Delegation eines Präfixes (für die Verwendung im eigenen LAN) funktioniert hingegen ausschließlich per DHCPv6.

Was Du da verlinkt hast ist über 2 Jahre alt und bezieht sich nicht auf das Ex-UM-Gebiet. Ob das außerhalb "unserer" Bundesländer immer noch so ist weiß ich nicht.

Ferndiagnose ist hier schwierig, da müssten sich Vodafone und / oder andere betroffene User melden.

 

[Bigmag07]

Hi , ich denke ich bin eben so von so einem Problem betroffen bloß bei einem IPv4 Anschluss, am 11.45 wurde irgend etwas umgestellt da mein Modem eine Reboot gemacht hatte gehen 11 Uhr . Seit dem erkennt mein Router keine Gültige ip4 Adresse mehr die vom Modem kommt , das komische aktiviere ich IP66 Protokoll läuft der Anschluss so irgend wie, aber keiner meiner Geräte lassen sich von Extern ansprechen.

 

[Maurice]

@Bigmag07 Das hört sich eher danach an, dass Du auf DS-Lite umgestellt wurdest. Das muss dein Router unterstützen und entsprechend konfiguriert sein. Externe Erreichbarkeit ist dann aber nur über IPv6 gegeben.
Falls Du Anspruch auf Dual Stack hast (Gigabit-Tarif, Power Upload oder Telefon Komfort) kannst Du dich kostenlos darauf umstellen lassen.

 

[Bigmag07]

Das ergibt halt keinen sinn da ip4 Only