nanomad nota che non mi va ancora su LAN, però riesco a fare ping verso IPv6 da pfSense stesso. Da nessuna parte vedo effettivamente il prefisso delegato scritto...

      itsmatteomanf ora non mi funziona più il ping. Sembra che sia tornato a non funzionare...

        • [cancellato]

        • Messaggio #10

        hai provato a spuntare "Request only an ipv6 prefix"?

          [cancellato] ho provato ad aprire completamente il firewall su IPv6, ho provato a disabilitare gli IP "fake" (che include il fe80::), ho spuntato quell'opzione.

          Riesco a fare ping verso il gateway (che ha la stessa latenza del gateway IPv4, quindi ha senso sia giusto), ma poi non funziona altro.

          Un ping verso IPv6 esterno:

          00:17:16.696738 IP6 fe80::e63a:6eff:fe2f:8bb2 > 2606:4700::6812:1f5e: ICMP6, echo request, seq 0, length 16
00:17:16.710108 IP6 fe80::f0:b3c > fe80::e63a:6eff:fe2f:8bb2: ICMP6, destination unreachable, beyond scope 2606:4700::6812:1f5e, source address fe80::e63a:6eff:fe2f:8bb2, length 64

              • [cancellato]

              • Messaggio #12
              • Modificato

              itsmatteomanf Gli indirizzi fe80::/10 sono "link local", non sono ruotabili, quindi è normale che un ping ad un indirizzo fuori dal segmento L2 fallisca.
              Devi usare uno degli indirizzi che ti vengono assegnati (entro il 2a02:29e0:108::/48 o 2a02:29e0:109::/48 direi, a guardare dalle descrizioni dei prefix) come sorgente altrimenti non andrai molto distante...

                  [cancellato] quello che viene elencato lì è l’indirizzo che mi viene dato un automatico nel DHCPv6, non l’ho scelto io. Io pingo un IP esterno, dall’IP dell’interfaccia che non scelgo io, mi risponde il gateway che non è routabile.

                  Una singola occasione mi ha dato il primo IP del mio range /56.

                      • [cancellato]

                      • Messaggio #14

                      itsmatteomanf Perché l'interfaccia ha solo indirizzi IP link local, ma il sorgente da cui fai partire il ping deve essere un indirizzo globally-routable 2000::/3.
                      Prova a specificare come sorgente del ping l'interfaccia interna della tua rete, quella dovrebbe prendere (e ridistribuire) una /64 dentro al range /56 delegato.

                          [cancellato] ci provo, ma comunque gradirei avere IPv6 anche dal firewall stesso, sia in uscita, ma soprattutto in entrata. A meno che usi gli IP delle interfacce locali, che però non mi quadra più di tanto.

                          Ma in alternativa non si può fare con IP statico, se si sa il gateway? Potrei provarci, in effetti.

                          edit messo un IP nel range, staticamente, ovviamente (no?) su una delle interfacce locali. Il ping non va lo stesso. Non c'è proprio risposta.

                          01:06:17.239403 IP6 2a02:29e0:xxxx:xx0a::1 > 2606:4700::6812:1e5e: ICMP6, echo request, seq 0, length 16

                              • [cancellato]

                              • Messaggio #16
                              • Modificato

                              itsmatteomanf I firewall, come qualunque altro apparato L3 multi-interfaccia, non hanno un IP, ne hanno svariati... almeno uno per interfaccia, o più come nel caso degli IPv6 dove avere almeno due indirizzi per if è normalissimo. Proprio per questo tutti permettono di scegliere l'interfaccia sorgente quando si fanno i test di connettività.

                              Per il tuo desiderio, la cosa che si dovrebbe fare con questo tipo di apparati è definire una interfaccia di loopback, che permette di raggiungere il dispositivo a prescindere dagli indirizzi punto-punto o punto-multipunto delle interfacce fisiche. Purtroppo Netgate non sembra pensarla così, quindi sarà da capire come impostare il source IP di default per le comunicazioni FW->WAN nel caso in cui il provider assegni solo indirizzi link local per la WAN. Taggo @hitech95 che con pfSense e un provider che assegna IPv6 (Sky) ci ha smanettato un bel po', magari ti può essere più d'aiuto.

                              EDIT: eh sì ok, ma le rotte? Nel senso, qual è il tuo default GW v6?

                                  [cancellato] I firewall, come qualunque altro apparato L3 multi-interfaccia, non hanno un IP, ne hanno svariati... almeno uno per interfaccia, o più come nel caso degli IPv6 dove avere almeno due indirizzi per if è normalissimo. Proprio per questo tutti permettono di scegliere l'interfaccia sorgente quando si fanno i test di connettività.

                                  D’accordo. Il mio era un modo per semplificare. Non le interfacce locali hanno firewall che blocca IP non locali. L’interfaccia WAN ha altre policy, quindi io gradirei un IP pubblico lì. Poi si può aggirare.

                                  [cancellato] eh sì ok, ma le rotte? Nel senso, qual è il tuo default GW v6?

                                  Quello dato dal DHCPv6 (il monitoraggio dice viene assegnato fe80::f0:b3d), che risponde anche via ping al monitoraggio interno di pfSense. Non devo definirlo io (non mi viene neanche comunicato da PF, per ovvie ragioni, altrimenti per che motivo avrei DHCP? A quel punto lo faccio statico e via).

                                        • [cancellato]

                                        • Messaggio #18
                                        • Modificato

                                        itsmatteomanf le interfacce locali hanno firewall che blocca IP non locali. L’interfaccia WAN ha altre policy, quindi io gradirei un IP pubblico lì. Poi si può aggirare.

                                        Gli IPv6 nel range 2000::/3 sono tutti pubblici, non esiste praticamente il concetto di "IP privato" e NAT in v6... cioè sì, esistono (ULA, fc00::/7 e NAT66) ma di fatto il loro uso è talmente particolare che non ha senso considerarlo.

                                        itsmatteomanf Quello dato dal DHCPv6

                                        Emmm... no, quello arriva dal RA (router advertisement), indipendentemente dal fatto che tu abbia indirizzo statico, link local, DHCP o SLAAC. Sì, IPv6 è una brutta bestia se lo prendi con la stessa mentalità di IPv4.

                                        Prova un traceroute, vediamo se ti prende la strada giusta.

                                        Ah, per i prefix... do per scontato che tu abbia letto la guida di PFSense, soprattutto per quanto riguarda le track interface, che le policy firewall consentano il traffico IPv6 e che il debug del DHCPv6 non ti dia più informazioni utili a capire cosa sta ricevendo dal provider. 😉

                                              [cancellato] Gli IPv6 nel range 2000::/3 sono tutti pubblici, non esiste praticamente il concetto di "IP privato" e NAT in v6... cioè sì, esistono (ULA, fc00::/7 e NAT66) ma di fatto il loro uso è talmente particolare che non ha senso considerarlo.

                                              Anche qui, ci siamo capiti, però nella LAN gli IP (tecnicamente pubblici) sono filtrati dal firewall. Quello della WAN non lo sarebbe.

                                              [cancellato] Prova un traceroute, vediamo se ti prende la strada giusta.

                                              Direi di si, ma poi non va oltre. Questo da LAN, ma anche qui, se faccio la track interface non ha un IP quindi parte da fe80::.

                                               1  * * *
 2  fe80::f0:b3d%pppoe0  14.213 ms !S  13.448 ms !S  13.236 ms !S

                                              L'altro problema qui è che con il RA non mi prende IP sui device se ho la track interface, prima almeno quello l'avevo se mettevo IP statico sulla if della LAN.

                                                    • [cancellato]

                                                    • Messaggio #20

                                                    itsmatteomanf Non deve andare via pppoe0, ma nativamente sull'interfaccia WAN.

                                                    Prova a togliere la spunta da "Request IPv6 prefix through the IPv4 connectivity link".

                                                        [cancellato] così facendo il gateway non mi risponde più… devi spuntare questa in questo caso perché almeno te ne venga assegnato uno, pur non rispondendo ai ping.

                                                        [cancellato] Request only an ipv6 prefix

                                                        Il ping va dall'interfaccia giusta, senza PPPoE, ma nessuna risposta.

                                                        PING6(56=40+8+8 bytes) fe80::e63a:6eff:fe2f:8bb3%em5 --> 2606:4700::6812:1f5e

--- 2606:4700::6812:1f5e ping6 statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

                                                        E...

                                                        There were error(s) loading the rules: /tmp/rules.debug:251: rule expands to no valid combination - The line in question reads [251]: pass in log quick on $WAN reply-to ( em5 fe80::f0:b3f ) inet6 proto ipv6-icmp from any to fe80::e63a:6eff:fe2f:8bb3%em5 tracker 1630591083 keep state label "USER_RULE"

                                                              • [cancellato]

                                                              • Messaggio #22

                                                              itsmatteomanf noi facciamo prefix delegation via dhcp. Devi configurare pfsense in modo che splitti, per esempio in /64 la rete e assegni ogni /64 ai dispositivi via dhcp. Entro qualche giorno usciranno guide per fritz e pianetafibra box. Su pfsense onestamente non saprei dirti non avendolo mai usato

                                                                  [cancellato] che è quello che stiamo cercando di fare... la domanda è, qual è il gateway che assegnate? Quello che mi arriva da DHCP/RA non sembra ruotare nulla.

                                                                    Aggiornamento:

                                                                    1. IPv6 sulla LAN sembra configurato correttamente.
                                                                    2. mi vengono assegnati IP nel range assegnatomi.
                                                                    3. riesco a fare ping all'interfaccia e vedo i pacchetti in uscita verso l'esterno.
                                                                    4. non ricevo alcuna risposta da questi ping e non vedo nemmeno la risposta che mi indicava prima.

                                                                    A questo punto vediamo se @hitech95 ha idee e se le guide che @[cancellato] pubblicherà per altri firewall chiariscono qualcosa...

                                                                      nanomad Altrimenti @LSan83 ci può dire come l'ha impostato su mikrotik

                                                                      Sto ancora testando la configurazione (funziona ma trovo ancora dei problemi che sto cercando di risolvere e sopratutto di capire dove sono: router, client o altro....). In ogni caso su Mikrotik 6.47.10 (l'ultima versione long term per la massima stabilità) al momento ho impostato così:

                                                                      1. La connessione PPPoE di default gestisce solo IPv4

                                                                      2. Creato un client DHCPv6 sopra la PPPoE per prendere il prefix /56 con prefix hint uguale alla classe ipv6 assegnata, aggiunta di "default route" con distanza 1 e richiesta di indirizzi DNSv6 (che non vengono affatto presi in automatico a differenza dei v4)

                                                                      3. Creazione di un pool di indirizzi xxyy::/64 per ognuna delle mie VLAN (dove xx è la classe /56 e yy la sottoclasse /64)

                                                                      4. Assegnazione di un indirizzo :xxyy::1/64 ad ognuna delle interfaccie principali delle VLAN dal relativo pool con impostato l'advertise per il RA (impostazioni ND di default)

                                                                      5. Aggiunta degli indirizzi DNSv6 all'elenco dei DNS (che è unico sotto il menu IPv4). I DNSv4 vengono gestiti dal gateway che tiene una cache delle richieste, i DNSv6 vengono direttamente inoltrati al server DNS ogni volta.

                                                                      6. Configurazione Firewall v6 di default già presente quando resetti il Mikrotik con il pacchetto ipv6 attivo (su ROS 6.4x.x è disattivo di default, attivandolo il firewall v6 non si popola, bisogna fare un reset completo del router).

                                                                          itsmatteomanf Metti lo screen della pagina con le rotte.

                                                                          Ocio a disabilitare i link local perchè benchè sconsigliato dal RIPE sono perfettamente validi come next-hop in IPv6, a patto di specificare l'interfaccia di uscita.

                                                                          Come vediamo nella config di LSan83 pianetafibra usa questa configurazione.

                                                                          itsmatteomanf Il ping va dall'interfaccia giusta, senza PPPoE, ma nessuna risposta.

                                                                          No, quella interfaccia non ha IP routabile e non può pingare (eccetto l'altro capo della P2P), il ping deve partire dalla lan (oppure devi dire al pfsense di pingare dall'interfaccia di LAN che ha IP pubblici)

                                                                          Questa è una conseguenza di aver lasciato il link di wan unnumbered

                                                                          LSan83 Creazione di un pool di indirizzi xxyy::/64 per ognuna delle mie VLAN (dove xx è la classe /56 e yy la sottoclasse /64)

                                                                          Se gli metti Pool Prefix Length 64 dovrebbe crearti lui i 256 pool /64 dalla tua /56 in automatico

                                                                                    edofullo Se gli metti Pool Prefix Length 64 dovrebbe crearti lui i 256 pool /64 dalla tua /56 in automatico

                                                                                    Si, ma da quel che ho capito (e potrei sbagliarmi) a quel punto mi fa creare un unico e solo "pool" da cui tutte le vlan attingono, visto che un secondo pool mi darebbe errore (una /64 è già inclusa nel pool /56).
                                                                                    Ed è esattamente la situazione della configurazione "base" da manuale... un solo pool creato in automatico dal client DHCPv6.
                                                                                    Mentre se mi imposto il /64 relativo alla singola VLAN, sono sicuro che quella vlan si prende quel /64 specifico.

                                                                                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                        P.I. IT16712091004 - info@fibraclick.it

                                                                                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile