Fastweb Ipv6 non funziona pfsense

BrianFurious · 15 set 2022

edofullo In caso contrario disattivalo e basta, se ti serve IPv6 fai un ISP che lo supporti nativamente.

Chi sono quelli che lo supportano?

Hhandymenny · 15 set 2022

BrianFurious trovi tutto qui: Stato di IPv6 in Italia

DDark-Vex · 15 set 2022

edofullo L'unica cosa che mi viene in mente è provare a vedere se con il fastgate va tutto bene, in caso positivo provare a intercettare i dati del dhcp per vedere se i parametri del tunnel sono cambiati.

mi sa che ci hai preso.. per curiosità ho disattivato il tunnel di HE e riprovato quello di Fastweb ed non funziona nemmeno a me.. provando invece con il fastgate funziona

gandalf2016 · 15 set 2022

Dark-Vex cambiato endpoint o configurazione ?

Nnapdj · 16 set 2022

edofullo come faccio a intercettare i dati del dhcp del fastgate?ho l'askey

DDark-Vex · 16 set 2022

gandalf2016 se riesco a sbloccare nuovamente il fastgate ti dico, al momento ti posso dire che dalla macchina Linux dove tiro su il tunnel se mi metto con tcpdump a filtrare per protocollo 41 e l'endpoint vedo i pacchetti uscire e non mi torna indietro nessuna risposta. nmap purtroppo non è d'aiuto perchè non è in grado di capire per il protocollo 41 se la porta è open e/o filtered

Nnapdj · 17 set 2022

Dark-Vex hai novità per caso?sei riuscito a sbloccare il fastgate?

DDark-Vex · 18 set 2022

napdj non sono ancora riuscito a sbloccarlo, non mi accettava la DHCP Offer.. Riguardando il dump del traffico mi sono accorto che la DHCP Discover la fa sulla VLAN 835 che non avevo impostato riproverò con calma in settimana configurando la VLAN sul DHCP server

DDark-Vex · 21 set 2022

gandalf2016 ho controllato, la configurazione è sempre 6rd e anche l'endpoint è sempre 81.208.50.214, nel mio caso quindi avrò sbagliato io qualcosa

Nnapdj · 21 set 2022

Dark-Vex è lo stesso endpoint che ho io configurato su pfsense e che ha sempre funzionato

DDark-Vex · 21 set 2022

napdj è lo stesso endpoint che ho sempre usato anch'io su Sophos XG e una VM Linux dietro al Fastgate.. e non funziona più. Se faccio fare il tunnel6rd al Fastgate o al Keenetic Hero DSL (che mi sono procurato da poco) IPv6 funziona

Nnapdj · 22 set 2022

Dark-Vex secondo te cosa può essere successo

Nnapdj · 25 set 2022

adesso rifunziona.senza aver mosso un dito.bohh

federacco · 8 dic 2022

Ciao,

mi sapreste indicare quali sono i parametri corretti da impostare su Pfsense per ipv6 Fastweb via 6RD?
Io ho firewall Pfsense in cascata al Fritzbox 7510 con solito nat 1:1 dell'ipv4 pubblico su wan del Pfsense...
Ovviamente non ho attivato 6RD su Fritzbox (se lo attivo comunque funziona regolarmente), non riesco a trovare però la giusta impostazione per far funzionare 6RD direttamente su Pfsense.

L'endpoint 81.208.50.214 di solito risponde al ping? Perchè io non lo pingo. Non vorrei che il mio endpoint 6RD fosse diverso.

Grazie in anticipo!

[cancellato] · 8 dic 2022

Se non sbaglio 6RD usa tutto o parte dell'IPv4 WAN della CPE nel creare il prefisso IPv6 da usare - con un router in cascata sarà creato a partire da un indirizzo privato e immagino non possa funzionare - finirebbe per creare prefissi duplicati.

federacco · 9 dic 2022

[cancellato] Ok ti seguo... purtroppo sono poco informato in materia ipv6 e soprattutto sul protocollo 6RD (motivo per cui mi sarebbe piaciuto cominciare a "sperimentare" un pò...).

Io sul lato WAN del Pfsense specifico manualmente il prefisso ipv6 assegnatomi da Fastweb 2001:b07:xxxx:xxxx::/64 che dovrebbe essere comprensivo anche della parte ricavata dall'ipv4 pubblico (i 2 gruppi a destra), quindi mi aspetto che il Pfsense non debba fare ulteriori calcoli... altrimenti, come giustamente dicevi, questi calcoli sarebbero sbagliati visto che sulla wan ho un mio ipv4 privato.

Non so se questo ragionamento che faccio è corretto, probabilmente mi potrei sbagliare proprio su questo punto.... effettivamente chiunque ho letto che è riuscito ad impostare 6RD su Pfsense mi pare di capire che ha una linea FTTH che gli permette di avere pubblico direttamente sul firewall, io purtroppo sono vincolato dall'avere un modem VDSL2 35b (ho preso il Fritz almeno per togliere quell'abominio di Fastgate!) e per il momento dovrò essere sempre in cascata.

LLATIITAY · 9 dic 2022

federacco ciao, se il router connesso direttamente a Fastweb permette il passaggio del protocollo 41, allora e' fattibile. L'endpoint non risponde al ping ed e' unico. In questa situazione NON va configurato come tunnel 6rd ma come 6in4 (come se fosse un classico tunnel di Hurricane Electric per intenderci), che pfSense chiama Generic tunnel InterFace (GIF): https://docs.netgate.com/pfsense/en/latest/interfaces/gif.html

Basta configurare a mano i due parametri (endpoint IPv4 e subnet IPv6) che con 6rd verrebbero configurati in automatico dal DHCPv4, e appunto se il router passa il protocollo 41 (non e' scontato ma neanche cosi' improbabile), tutto funzionera'.

In pratica:

Parent interface: l'interfaccia verso il FRITZ!Box
GIF Remote Address: 81.208.50.214
GIF tunnel local address: 2001:b07:xxxx:xxxx::1 (calcolato in base all'IP WAN ottenuto dal FRITZ!Box sulla rete FW, pubblico o CGNAT che sia)
GIF tunnel remote address: 2001:b07:51d0:32d6::1 (e' 81.208.50.214 )
GIF Tunnel Subnet: 64
ECN Friendly Behavior: on
Outer Source Filtering: on

E poi configuri questa nuova interfaccia nel resto di pfSense (routing, firewall, etc) come configureresti normalmente una WAN.

federacco Io sul lato WAN del Pfsense specifico manualmente il prefisso ipv6 assegnatomi da Fastweb

Questo e' sbagliato, perche' non va impostato direttamente sull'interfaccia WAN non potendo usare 6rd "direttamente". Bisogna prima creare un tunnel 6in4, con endpoint 81.208.50.214, e poi impostare su questa nuova interfaccia quell'indirizzo v6 (o meglio, 2001:b07:xxxx:xxxx::1/64 come indirizzo, nota l'1). Gateway e' l'intero tunnel essendo layer3, in BSD credo si imposti ripetendo l'IP stesso dell'interfaccia, quindi 2001:b07:xxxx:xxxx::1 insomma, oppure impostando il "remote address" (fittizio perche' appunto layer3, ma 2001:b07:51d0:32d6::1 e' un valore realistico per FW). Occhio che e' disponibile solo una /64, quindi non potresti creare piu' "sottoreti" volendo rispettare gli standard alla lettera (e senza usare NATv6)...

[cancellato] · 9 dic 2022

federacco Io sul lato WAN del Pfsense specifico manualmente il prefisso ipv6 assegnatomi da Fastweb 2001:b07:xxxx:xxxx::/64

OK - la documentazione di pfSense non è molto chiara perché ha come esempio un prefisso /32 e richiedendo poi la lunghezza del prefisso IPv4 non capisco se calcola lui o meno il prefisso completo 6RD. Perché nel primo caso funziona anche con connessioni con IPv4 dinamico, nel secondo no - però così dipende dal conoscere l'IP pubblico. Comunque immagino che tu abbia IP statico con Fastweb. Hai controllato se segnala qualche errore nei log?

Edit: ho trovato un vecchio post sui forum di pfSense dove effettivamente ai tempi faceva un check sull'IPv4 dell'interfaccia per verificare se l'IP è pubblico o privato. Se lo rileva ancora dovrebbe scriverlo nei log.

LATIITAY Questo e' sbagliato, perche' non va impostato direttamente sull'interfaccia WAN.

Come detto sopra, pfSense ha direttamente supporto per 6RD nella configurazione di una interfaccia. Cosa faccia poi dietro le quinte non lo so. Giusta l'osservazione sul protocollo 41 - ci sarebbe da fare una cattura tcpdumo sul pfSense per vedere se passa, io credo di sì, ma non si sia mai.

LLATIITAY · 9 dic 2022

[cancellato] non si puo' impostare 6rd a meno che non si procuri un modem che funga da bridge e faccia quindi fare DHCP sulla WAN "vera" di Fastweb direttamente al pfSense. I FRITZ!Box che io sappia non si possono impostare in bridge, e infatti ha detto che lo sta usando con NAT 1:1 (immagino con l'IP del pfSense in DMZ). Cio' non passa i parametri 6rd (perche' vengono dal DHCP) e cmq sarebbero sbagliati (perche' per calcolare la subnet IPv6 viene fatto esplicito riferimento all'IPv4 rilasciato dal DHCPv4, e quindi si farebbe riferimento all'IP sbagliato, cioe' quello locale tra i due apparati, e non quello lato Fastweb [non necessariamente pubblico, puo' essere anche CGNAT]). Purtroppo i modem bridge, seppur piu' "stupidi" dei modem-router "completi", costano paradossalmente troppo di piu', perche' il mercato li vede e li prezza come prodotti di nicchia... E i modem open source "riadattabili" (Lantiq VRX200) non supportano il 35b (grazie mille, Intel se solo non si fossero comprati la povera Lantiq, i VRX500 avrebbero avuto anch'essi driver open source...).

Resta cmq il fatto che 6rd e' "solo" un'autoconfigurazione via DHCPv4 di un tunnel 6in4 (ossia il protocollo 41)... Quindi, impostandolo a mano come 6in4, e sperando che il "NAT 1:1" del modem passi il protocollo 41 senza problemi, allora dovrebbe funzionare.

[cancellato] · 9 dic 2022

LATIITAY

La configurazione 6RD di pfSense non credo passi per DHCP. C'è una ferrature request per OPNSense (https://github.com/opnsense/core/issues/2540). Chissà se accetta 32 nella dimensione del prefisso IPv4 per prendere quello IPv6 così com'è.

Non so sia nemmeno possibile tentare di farla tentando di configurare IPv6 via DHCP, anche se c'è la possibilità di eseguire uno script quando si riceve la risposta. Non ho idea se Fastweb accetti quella richiesta.

LATIITAY se solo non si fossero comprati la povera Lantiq

L'hanno già rivenduta. ora devi chiedere a MaxLinear.

LATIITAY Quindi, impostandolo a mano come 6in4,

~~Non so se puoi impostare da UI pfSense per 6in4.~~ Si può fare da GIF.