• [cancellato]

  • Messaggio #20

itsmatteomanf Non deve andare via pppoe0, ma nativamente sull'interfaccia WAN.

Prova a togliere la spunta da "Request IPv6 prefix through the IPv4 connectivity link".

      [cancellato] così facendo il gateway non mi risponde più… devi spuntare questa in questo caso perché almeno te ne venga assegnato uno, pur non rispondendo ai ping.

      [cancellato] Request only an ipv6 prefix

      Il ping va dall'interfaccia giusta, senza PPPoE, ma nessuna risposta.

      PING6(56=40+8+8 bytes) fe80::e63a:6eff:fe2f:8bb3%em5 --> 2606:4700::6812:1f5e

--- 2606:4700::6812:1f5e ping6 statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

      E...

      There were error(s) loading the rules: /tmp/rules.debug:251: rule expands to no valid combination - The line in question reads [251]: pass in log quick on $WAN reply-to ( em5 fe80::f0:b3f ) inet6 proto ipv6-icmp from any to fe80::e63a:6eff:fe2f:8bb3%em5 tracker 1630591083 keep state label "USER_RULE"

            • [cancellato]

            • Messaggio #22

            itsmatteomanf noi facciamo prefix delegation via dhcp. Devi configurare pfsense in modo che splitti, per esempio in /64 la rete e assegni ogni /64 ai dispositivi via dhcp. Entro qualche giorno usciranno guide per fritz e pianetafibra box. Su pfsense onestamente non saprei dirti non avendolo mai usato

                [cancellato] che è quello che stiamo cercando di fare... la domanda è, qual è il gateway che assegnate? Quello che mi arriva da DHCP/RA non sembra ruotare nulla.

                  Aggiornamento:

                  1. IPv6 sulla LAN sembra configurato correttamente.
                  2. mi vengono assegnati IP nel range assegnatomi.
                  3. riesco a fare ping all'interfaccia e vedo i pacchetti in uscita verso l'esterno.
                  4. non ricevo alcuna risposta da questi ping e non vedo nemmeno la risposta che mi indicava prima.

                  A questo punto vediamo se @hitech95 ha idee e se le guide che @[cancellato] pubblicherà per altri firewall chiariscono qualcosa...

                    nanomad Altrimenti @LSan83 ci può dire come l'ha impostato su mikrotik

                    Sto ancora testando la configurazione (funziona ma trovo ancora dei problemi che sto cercando di risolvere e sopratutto di capire dove sono: router, client o altro....). In ogni caso su Mikrotik 6.47.10 (l'ultima versione long term per la massima stabilità) al momento ho impostato così:

                    1. La connessione PPPoE di default gestisce solo IPv4

                    2. Creato un client DHCPv6 sopra la PPPoE per prendere il prefix /56 con prefix hint uguale alla classe ipv6 assegnata, aggiunta di "default route" con distanza 1 e richiesta di indirizzi DNSv6 (che non vengono affatto presi in automatico a differenza dei v4)

                    3. Creazione di un pool di indirizzi xxyy::/64 per ognuna delle mie VLAN (dove xx è la classe /56 e yy la sottoclasse /64)

                    4. Assegnazione di un indirizzo :xxyy::1/64 ad ognuna delle interfaccie principali delle VLAN dal relativo pool con impostato l'advertise per il RA (impostazioni ND di default)

                    5. Aggiunta degli indirizzi DNSv6 all'elenco dei DNS (che è unico sotto il menu IPv4). I DNSv4 vengono gestiti dal gateway che tiene una cache delle richieste, i DNSv6 vengono direttamente inoltrati al server DNS ogni volta.

                    6. Configurazione Firewall v6 di default già presente quando resetti il Mikrotik con il pacchetto ipv6 attivo (su ROS 6.4x.x è disattivo di default, attivandolo il firewall v6 non si popola, bisogna fare un reset completo del router).

                        itsmatteomanf Metti lo screen della pagina con le rotte.

                        Ocio a disabilitare i link local perchè benchè sconsigliato dal RIPE sono perfettamente validi come next-hop in IPv6, a patto di specificare l'interfaccia di uscita.

                        Come vediamo nella config di LSan83 pianetafibra usa questa configurazione.

                        itsmatteomanf Il ping va dall'interfaccia giusta, senza PPPoE, ma nessuna risposta.

                        No, quella interfaccia non ha IP routabile e non può pingare (eccetto l'altro capo della P2P), il ping deve partire dalla lan (oppure devi dire al pfsense di pingare dall'interfaccia di LAN che ha IP pubblici)

                        Questa è una conseguenza di aver lasciato il link di wan unnumbered

                        LSan83 Creazione di un pool di indirizzi xxyy::/64 per ognuna delle mie VLAN (dove xx è la classe /56 e yy la sottoclasse /64)

                        Se gli metti Pool Prefix Length 64 dovrebbe crearti lui i 256 pool /64 dalla tua /56 in automatico

                                  edofullo Se gli metti Pool Prefix Length 64 dovrebbe crearti lui i 256 pool /64 dalla tua /56 in automatico

                                  Si, ma da quel che ho capito (e potrei sbagliarmi) a quel punto mi fa creare un unico e solo "pool" da cui tutte le vlan attingono, visto che un secondo pool mi darebbe errore (una /64 è già inclusa nel pool /56).
                                  Ed è esattamente la situazione della configurazione "base" da manuale... un solo pool creato in automatico dal client DHCPv6.
                                  Mentre se mi imposto il /64 relativo alla singola VLAN, sono sicuro che quella vlan si prende quel /64 specifico.

                                      LSan83 Si, ma da quel che ho capito (e potrei sbagliarmi) a quel punto mi fa creare un unico e solo "pool" da cui tutte le vlan attingono, visto che un secondo pool mi darebbe errore (una /64 è già inclusa nel pool /56)

                                      In teoria dovrebbe crearti 256 pool, poi quando vai a mettere l'IP alla VLAN gli metti il campo 'from pool' e ti compila lui il prefisso, non dovrebbe cambiare.

                                      In teoria... poi TIM delega della /64 quindi non ho mai provato.

                                        LSan83 con prefix hint uguale alla classe ipv6 assegnata

                                        Questo su pfSense non so se si può fare... il campo per scriverlo non c'è, si può segnare solo che è un /56.

                                        il resto è ok, i DNSv6 li avevo già, le LAN se segno track interface non funzionano, ma probabilmente perché non ricevono mai il range corretto su cui fare il tracking.

                                        edofullo Metti lo screen della pagina con le rotte.

                                        Ho sotto quella della LAN con il /64 assegnatole, ma non è il default.

                                        Io non ho disabilitato i next-hop con il link-local, lo usa, ma poi non viene ruotato fuori e non fa nulla. Io al gateway di PF arrivo, ma ovviamente non essendomi assegnato un IP routabile, poi non va da nessuna parte. Ma se anche forzo l'IP routabile sull'interfaccia LAN e pingo da quella, non fa nulla.

                                        // da WAN
PING6(56=40+8+8 bytes) fe80::e63a:6eff:fe2f:8bb2%pppoe0 --> fe80::f0:b47%pppoe0
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=0 hlim=64 time=13.399 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=1 hlim=64 time=13.231 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=2 hlim=64 time=13.249 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=3 hlim=64 time=13.368 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=4 hlim=64 time=13.359 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=5 hlim=64 time=13.258 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=6 hlim=64 time=13.354 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=7 hlim=64 time=13.451 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=8 hlim=64 time=13.374 ms
16 bytes from fe80::f0:b47%pppoe0, icmp_seq=9 hlim=64 time=12.996 ms

--- fe80::f0:b47%pppoe0 ping6 statistics ---
10 packets transmitted, 10 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 12.996/13.304/13.451/0.123 ms
                                        // da LAN con IP assegnato
PING6(56=40+8+8 bytes) 2a02:29e0:109:xx0a::1 --> fe80::f0:b47%pppoe0

--- fe80::f0:b47%pppoe0 ping6 statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss

                                        Sembra quasi ci sia un errore di configurazione lato server che non mi assegna il range giusto, ma mi trovo in difficoltà a dubitare di @[cancellato]. Hai altri clienti sullo stesso BRAS con IPv6 attivo e funzionante? Dubito, dato che l'hai configurato apposta per me...

                                        Potrei provare a tentare la configurazione con FRITZ!Box così da bypassare errori miei nel pfSense, ma sarà nel pomeriggio e comunque non ci sono poi tante impostazioni da mettere.

                                              itsmatteomanf ma poi non viene ruotato fuori e non fa nulla

                                              Questo è corretto così

                                              itsmatteomanf PING6(56=40+8+8 bytes) 2a02:29e0:109:xx0a::1 --> fe80::f0:b47%pppoe0

                                              Anche questo è corretto così

                                              itsmatteomanf DHCPv6 funziona vero? Prova a distribuire una /64 alla lan e da uno dei dispositivi nella LAN fare il ping (verso 2001:4860:4860::8888) e fare un tcpdump sulla pppoe, vediamo cosa esce e se gli IP sono corretti.

                                                      edofullo Questo è corretto così

                                                      SI si certo, ma infatti poi provo dalla LAN e non fa nulla nemmeno lì.

                                                      edofullo tcpdump

                                                      Vedo solo le echo request in uscita e vedo anche le risposte del monitoraggio di default di pfSense al gateway.

                                                      11:47:57.461278 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59543, length 9
11:47:57.670733 IP6 2a02:29e0:109:xx0a:88a9:16ca:xxxx:c088 > 2606:4700::6812:1e5e: ICMP6, echo request, seq 2139, length 16
11:47:57.706061 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59544, length 9
11:47:57.719040 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59544, length 9
11:47:57.959101 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59545, length 9
11:47:57.972783 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59545, length 9
11:47:58.220815 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59546, length 9
11:47:58.234074 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59546, length 9
11:47:58.476636 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59547, length 9
11:47:58.489832 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59547, length 9
11:47:58.673207 IP6 2a02:29e0:109:xx0a:88a9:16ca:xxxx:xxxx > 2606:4700::6812:1e5e: ICMP6, echo request, seq 2140, length 16
11:47:58.727828 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59548, length 9
11:47:58.741038 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59548, length 9
11:47:58.983600 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59549, length 9
11:47:58.997065 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59549, length 9
11:47:59.239367 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59550, length 9
11:47:59.253060 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59550, length 9
11:47:59.505963 IP6 fe80::e63a:6eff:fe2f:8bb2 > fe80::f0:b47: ICMP6, echo request, seq 59551, length 9
11:47:59.519576 IP6 fe80::f0:b47 > fe80::e63a:6eff:fe2f:8bb2: ICMP6, echo reply, seq 59551, length 9
11:47:59.680566 IP6 2a02:29e0:109:xx0a:88a9:16ca:xxxx:xxxx > 2606:4700::6812:1e5e: ICMP6, echo request, seq 2141, length 16

                                                            itsmatteomanf Se il prefisso è corretto mi sembra ok... non so.

                                                            Al massimo puoi provare a pingare un host su cui puoi fare tcpdump per vedere se il problema è nell'andata o nel ritorno.

                                                                edofullo dopo provo a pingare il mio server che ha pfSense anch’esso, ma virtualizzato, con IPv6 funzionante…

                                                                L’unica differenza dalla configurazione che dite voi è che l’interfaccia LAN non è track, ma non posso perché secondo me non mi viene proprio assegnata.

                                                                Anche perché con la stessa configurazione una volta mi ha funzionato (credo fosse su richiedi un IP anche, ma prendeva solo la prima /64 del range sulla WAN) e lì i ping andavano.

                                                                    itsmatteomanf Come ultimo test proverei il Fritz, se anche così non va mi sa che c'è qualche problema a monte.

                                                                      FUNZIONA!

                                                                      Ho provato con FRITZ!Box ed è andato al primo colpo, cosa che mi ha stupito. A questo punto ho provato a cliccare a caso sulle varie opzioni e, cliccando su Do not wait for a RA, anche se richiesta principalmente da chi non usa PPPoE, che PF invece usa, ora riesco a fare ping verso l'esterno.

                                                                      Configurazione definitiva:

                                                                      Sarebbe ora curioso perché viene richiesta quell'opzione e come faccio a prendere un IP pubblico sulla WAN con pfSense?

                                                                        itsmatteomanf Volevo suggerirti di aggiungere quell'opzione perché ho avuto anche io lo stesso problema con Aruba su pfSense. Anche Aruba a quanto pare non manda RA, ed è stato un problema anche sul Keenetic dove ho dovuto inserire a mano il default gateway, altrimenti il router prendeva la subnet e distribuiva il prefisso nella LAN ma non pushava il gateway ai client (che quindi navigavano solo in v4).
                                                                        Visto che c'è @[cancellato] vorrei chiedere perché non vengono inviati i RA, visto che io pensavo fosse un problema solo di Aruba, ma magari è diffuso tra chi distribuisce la v6 in PPPoE.

                                                                            • [cancellato]

                                                                            • Messaggio #38

                                                                            fl4co Probabilmente perché su PPPoE non hai bisogno dei router advertisement, tanto non è che hai scelta su dove puoi andare, è una punto-punto...

                                                                            Stesso motivo per il quale in v4 non vi viene mandato un "default gateway", ma se guardate le routing table la destination è l'interfaccia stessa. Tra l'altro, la PPPoE è un tunnel L3, quindi non ti servono neanche tutte le complicazioni di ARP e Neighbor Discovery.
                                                                            Retaggio di "cose" che nascono dai tempi delle connessioni seriali e cavi null-modem.

                                                                                [cancellato] Ho capito, però in questo modo IPv6 è "rotto" di default... Sul Keenetic appunto sono dovuto intervenire manualmente da CLI e anche pfSense non funziona correttamente (anche io come OP non sono riuscito ad assegnare un indirizzo al router). Bene che Fritz funzioni, si vede che usano un workaround.

                                                                                Anche su OpenWrt il gateway viene aggiunto automaticamente, ai tempi scrissi a Keenetic facendo presente la questione ma mi risposero che loro seguono il protocollo ed è l'ISP a dover mandare l'RA, e che OpenWrt usava un workaround non ortodosso...

                                                                                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                    P.I. IT16712091004 - info@fibraclick.it

                                                                                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile