Qualcuno sa esattamente come configurare IPv6 su PianetaFibra Air (o FTTC) su pfSense? Credo di perdermi qualche configurazione da qualche parte...
@[cancellato] mi ha abilitato IPv6 e so il prefisso che ho.
RISOLTO. Link guida: Configurare pfsense con connettività PianetaFibra AIR
Configurare pfsense con connettività PianetaFibra FTTC (Fibra Mista Rame) o FTTH
Tiro ad indovinare, per come la farei su FTTH:
Dopodichè lato LAN gli dici di segurie la WAN per IPv6 e gli dai un prefix ID (es. 0)
nanomad che è come facevo io, allora. Mi viene dato solo un IP nel range fe80::, e da errore di configurazione quando gli dico di seguire l'interfaccia perché l'IP della WAN è in quel range.
itsmatteomanf Hai provato abilitando l'opzione "Use IPv4 Connectivity as Parent Interface"? Visto che c'è PPPoE
Altrimenti @LSan83 ci può dire come l'ha impostato su mikrotik
nanomad Hai provato
Si, non aveva funzionato più di una volta... ma ora si, anche se però da pfSense non mi fa fare ping verso IPv6 e attivando DHCPv6 sulle interfacce LAN non mi viene distribuito nessun IP.
nanomad Request only an IPv6 Prefix
Provando a disattivare questo ha preso IP anche pfSense.
Ah ok, sulle FTTH il default gateway è fatto su link-local per quello ti avevo detto di attivarlo (quindi via DHCP ti viene delegata la subnet v6 pura).
Su PPPoE probabilmente non è così. Ci ricaptioli le opzioni usate?
nanomad nota che non mi va ancora su LAN, però riesco a fare ping verso IPv6 da pfSense stesso. Da nessuna parte vedo effettivamente il prefisso delegato scritto...
itsmatteomanf ora non mi funziona più il ping. Sembra che sia tornato a non funzionare...
hai provato a spuntare "Request only an ipv6 prefix"?
[cancellato] ho provato ad aprire completamente il firewall su IPv6, ho provato a disabilitare gli IP "fake" (che include il fe80::), ho spuntato quell'opzione.
Riesco a fare ping verso il gateway (che ha la stessa latenza del gateway IPv4, quindi ha senso sia giusto), ma poi non funziona altro.
Un ping verso IPv6 esterno:
00:17:16.696738 IP6 fe80::e63a:6eff:fe2f:8bb2 > 2606:4700::6812:1f5e: ICMP6, echo request, seq 0, length 16
00:17:16.710108 IP6 fe80::f0:b3c > fe80::e63a:6eff:fe2f:8bb2: ICMP6, destination unreachable, beyond scope 2606:4700::6812:1f5e, source address fe80::e63a:6eff:fe2f:8bb2, length 64itsmatteomanf Gli indirizzi fe80::/10 sono "link local", non sono ruotabili, quindi è normale che un ping ad un indirizzo fuori dal segmento L2 fallisca.
Devi usare uno degli indirizzi che ti vengono assegnati (entro il 2a02:29e0:108::/48 o 2a02:29e0:109::/48 direi, a guardare dalle descrizioni dei prefix) come sorgente altrimenti non andrai molto distante...
[cancellato] quello che viene elencato lì è l’indirizzo che mi viene dato un automatico nel DHCPv6, non l’ho scelto io. Io pingo un IP esterno, dall’IP dell’interfaccia che non scelgo io, mi risponde il gateway che non è routabile.
Una singola occasione mi ha dato il primo IP del mio range /56.
itsmatteomanf Perché l'interfaccia ha solo indirizzi IP link local, ma il sorgente da cui fai partire il ping deve essere un indirizzo globally-routable 2000::/3.
Prova a specificare come sorgente del ping l'interfaccia interna della tua rete, quella dovrebbe prendere (e ridistribuire) una /64 dentro al range /56 delegato.
[cancellato] ci provo, ma comunque gradirei avere IPv6 anche dal firewall stesso, sia in uscita, ma soprattutto in entrata. A meno che usi gli IP delle interfacce locali, che però non mi quadra più di tanto.
Ma in alternativa non si può fare con IP statico, se si sa il gateway? Potrei provarci, in effetti.
edit messo un IP nel range, staticamente, ovviamente (no?) su una delle interfacce locali. Il ping non va lo stesso. Non c'è proprio risposta.
01:06:17.239403 IP6 2a02:29e0:xxxx:xx0a::1 > 2606:4700::6812:1e5e: ICMP6, echo request, seq 0, length 16itsmatteomanf I firewall, come qualunque altro apparato L3 multi-interfaccia, non hanno un IP, ne hanno svariati... almeno uno per interfaccia, o più come nel caso degli IPv6 dove avere almeno due indirizzi per if è normalissimo. Proprio per questo tutti permettono di scegliere l'interfaccia sorgente quando si fanno i test di connettività.
Per il tuo desiderio, la cosa che si dovrebbe fare con questo tipo di apparati è definire una interfaccia di loopback, che permette di raggiungere il dispositivo a prescindere dagli indirizzi punto-punto o punto-multipunto delle interfacce fisiche. Purtroppo Netgate non sembra pensarla così, quindi sarà da capire come impostare il source IP di default per le comunicazioni FW->WAN nel caso in cui il provider assegni solo indirizzi link local per la WAN. Taggo @hitech95 che con pfSense e un provider che assegna IPv6 (Sky) ci ha smanettato un bel po', magari ti può essere più d'aiuto.
EDIT: eh sì ok, ma le rotte? Nel senso, qual è il tuo default GW v6?
[cancellato] I firewall, come qualunque altro apparato L3 multi-interfaccia, non hanno un IP, ne hanno svariati... almeno uno per interfaccia, o più come nel caso degli IPv6 dove avere almeno due indirizzi per if è normalissimo. Proprio per questo tutti permettono di scegliere l'interfaccia sorgente quando si fanno i test di connettività.
D’accordo. Il mio era un modo per semplificare. Non le interfacce locali hanno firewall che blocca IP non locali. L’interfaccia WAN ha altre policy, quindi io gradirei un IP pubblico lì. Poi si può aggirare.
[cancellato] eh sì ok, ma le rotte? Nel senso, qual è il tuo default GW v6?
Quello dato dal DHCPv6 (il monitoraggio dice viene assegnato fe80::f0:b3d), che risponde anche via ping al monitoraggio interno di pfSense. Non devo definirlo io (non mi viene neanche comunicato da PF, per ovvie ragioni, altrimenti per che motivo avrei DHCP? A quel punto lo faccio statico e via).
itsmatteomanf le interfacce locali hanno firewall che blocca IP non locali. L’interfaccia WAN ha altre policy, quindi io gradirei un IP pubblico lì. Poi si può aggirare.
Gli IPv6 nel range 2000::/3 sono tutti pubblici, non esiste praticamente il concetto di "IP privato" e NAT in v6... cioè sì, esistono (ULA, fc00::/7 e NAT66) ma di fatto il loro uso è talmente particolare che non ha senso considerarlo.
itsmatteomanf Quello dato dal DHCPv6
Emmm... no, quello arriva dal RA (router advertisement), indipendentemente dal fatto che tu abbia indirizzo statico, link local, DHCP o SLAAC. Sì, IPv6 è una brutta bestia se lo prendi con la stessa mentalità di IPv4.
Prova un traceroute, vediamo se ti prende la strada giusta.
Ah, per i prefix... do per scontato che tu abbia letto la guida di PFSense, soprattutto per quanto riguarda le track interface, che le policy firewall consentano il traffico IPv6 e che il debug del DHCPv6 non ti dia più informazioni utili a capire cosa sta ricevendo dal provider. 
[cancellato] Gli IPv6 nel range 2000::/3 sono tutti pubblici, non esiste praticamente il concetto di "IP privato" e NAT in v6... cioè sì, esistono (ULA, fc00::/7 e NAT66) ma di fatto il loro uso è talmente particolare che non ha senso considerarlo.
Anche qui, ci siamo capiti, però nella LAN gli IP (tecnicamente pubblici) sono filtrati dal firewall. Quello della WAN non lo sarebbe.
[cancellato] Prova un traceroute, vediamo se ti prende la strada giusta.
Direi di si, ma poi non va oltre. Questo da LAN, ma anche qui, se faccio la track interface non ha un IP quindi parte da fe80::.
1 * * *
2 fe80::f0:b3d%pppoe0 14.213 ms !S 13.448 ms !S 13.236 ms !SL'altro problema qui è che con il RA non mi prende IP sui device se ho la track interface, prima almeno quello l'avevo se mettevo IP statico sulla if della LAN.
itsmatteomanf Non deve andare via pppoe0, ma nativamente sull'interfaccia WAN.
Prova a togliere la spunta da "Request IPv6 prefix through the IPv4 connectivity link".
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile