Fastweb Ipv6 non funziona pfsense

federacco Io sul lato WAN del Pfsense specifico manualmente il prefisso ipv6 assegnatomi da Fastweb 2001:b07:xxxx:xxxx::/64

OK - la documentazione di pfSense non è molto chiara perché ha come esempio un prefisso /32 e richiedendo poi la lunghezza del prefisso IPv4 non capisco se calcola lui o meno il prefisso completo 6RD. Perché nel primo caso funziona anche con connessioni con IPv4 dinamico, nel secondo no - però così dipende dal conoscere l'IP pubblico. Comunque immagino che tu abbia IP statico con Fastweb. Hai controllato se segnala qualche errore nei log?

Edit: ho trovato un vecchio post sui forum di pfSense dove effettivamente ai tempi faceva un check sull'IPv4 dell'interfaccia per verificare se l'IP è pubblico o privato. Se lo rileva ancora dovrebbe scriverlo nei log.

LATIITAY Questo e' sbagliato, perche' non va impostato direttamente sull'interfaccia WAN.

Come detto sopra, pfSense ha direttamente supporto per 6RD nella configurazione di una interfaccia. Cosa faccia poi dietro le quinte non lo so. Giusta l'osservazione sul protocollo 41 - ci sarebbe da fare una cattura tcpdumo sul pfSense per vedere se passa, io credo di sì, ma non si sia mai.

[cancellato] non si puo' impostare 6rd a meno che non si procuri un modem che funga da bridge e faccia quindi fare DHCP sulla WAN "vera" di Fastweb direttamente al pfSense. I FRITZ!Box che io sappia non si possono impostare in bridge, e infatti ha detto che lo sta usando con NAT 1:1 (immagino con l'IP del pfSense in DMZ). Cio' non passa i parametri 6rd (perche' vengono dal DHCP) e cmq sarebbero sbagliati (perche' per calcolare la subnet IPv6 viene fatto esplicito riferimento all'IPv4 rilasciato dal DHCPv4, e quindi si farebbe riferimento all'IP sbagliato, cioe' quello locale tra i due apparati, e non quello lato Fastweb [non necessariamente pubblico, puo' essere anche CGNAT]). Purtroppo i modem bridge, seppur piu' "stupidi" dei modem-router "completi", costano paradossalmente troppo di piu', perche' il mercato li vede e li prezza come prodotti di nicchia... E i modem open source "riadattabili" (Lantiq VRX200) non supportano il 35b (grazie mille, Intel se solo non si fossero comprati la povera Lantiq, i VRX500 avrebbero avuto anch'essi driver open source...).

Resta cmq il fatto che 6rd e' "solo" un'autoconfigurazione via DHCPv4 di un tunnel 6in4 (ossia il protocollo 41)... Quindi, impostandolo a mano come 6in4, e sperando che il "NAT 1:1" del modem passi il protocollo 41 senza problemi, allora dovrebbe funzionare.

LATIITAY

La configurazione 6RD di pfSense non credo passi per DHCP. C'è una ferrature request per OPNSense (https://github.com/opnsense/core/issues/2540). Chissà se accetta 32 nella dimensione del prefisso IPv4 per prendere quello IPv6 così com'è.

Non so sia nemmeno possibile tentare di farla tentando di configurare IPv6 via DHCP, anche se c'è la possibilità di eseguire uno script quando si riceve la risposta. Non ho idea se Fastweb accetti quella richiesta.

LATIITAY se solo non si fossero comprati la povera Lantiq

L'hanno già rivenduta. ora devi chiedere a MaxLinear.

LATIITAY Quindi, impostandolo a mano come 6in4,

Non so se puoi impostare da UI pfSense per 6in4. Si può fare da GIF.

[cancellato] se 6rd di pfSense non usa DHCP, allora lo chiamano 6rd ma non e' 6rd...

Con Fastweb se si e' collegati in bridge allora funziona secondo standard (con i parametri passati da DHCP), anche sul FRITZ!Box connesso direttamente infatti funziona semplicemente attivandolo.

[cancellato] L'hanno già rivenduta. ora devi chiedere a MaxLinear.

Beh, non li conosco, ma peggio di Intel non credano possano essere. VRX500 closed source resta colpa di Intel, cmq.

[cancellato] Non so se puoi impostare da UI pfSense per 6in4. Si può fare da GIF.

Si', l'astrazione usata da pfSense pare essere "GIF", ho aggiornato il mio post iniziale.

LATIITAY se 6rd di pfSense non usa DHCP, allora lo chiamano 6rd ma non e' 6rd...

La RFC di 6RD non richiede obbligatoriamente DHCP per la configurazione - vedi al paragrafo 7.1. È uno dei metodi possibili, ed ovviamente comodo. Comunque vedo che è un'opzione della richiesta IPv4, e quindi non funzionerebbe comunque perché la richiesta IPv4 la farebbe al massimo sulla LAN del Fritz e non otterrebbe comunque i dati necessari per configurare 6rd.

Vedo che nella opzione DHCP un IPv4MaskLen di 32 è valido. Io proverei nel 6rd di pfSense ad impostarlo a 32 (c'è nella combo) e mettere l'intero prefisso marcato come /64. Però se fa il check sull'IP privato...

[cancellato] gia', non funzionerebbe

LATIITAY Cio' non passa i parametri 6rd (perche' vengono dal DHCP) e cmq sarebbero sbagliati (perche' per calcolare la subnet IPv6 viene fatto esplicito riferimento all'IPv4 rilasciato dal DHCPv4, e quindi si farebbe riferimento all'IP sbagliato, cioe' quello locale tra i due apparati, e non quello lato Fastweb [non necessariamente pubblico, puo' essere anche CGNAT]).

Ma non funzionerebbe nemmeno ignorando il DHCP e configurandolo a mano, a meno di forzare abomini tipo IPv4MaskLen a 32 che farebbe ignorare l'IPv4... Ma a quel punto, basta usare 6in4/GIF...

[cancellato] Vedo che nella opzione DHCP un IPv4MaskLen di 32 è valido. Io proverei nel 6rd di pfSense ad impostarlo a 32 (c'è nella combo) e mettere l'intero prefisso marcato come /64.

Ok whatever ma io la trovo cmq una forzatura forzata e illogica...

Ragazzi innanzitutto grazie per l'aiuto, vi ho seguito con fatica....
Quindi ho capito che 6RD per funzionare correttamente deve essere impostato su un'interfaccia che sia a layer2 con Fastweb perchè deve ricevere alcuni parametri obbligatoriamente via DHCP, cosa che nel mio caso non puo' avvenire essendoci il Fritz di mezzo che non può essere impostato in modalità bridge (vi confermo che ho un NAT1:1 o "DMZ" come la si vuole chiamare del mio ip pubblico Fastweb statico verso l'ip lato WAN del Pfsense, la classica punto-punto).

A questo punto ho appena provato al volo la configurazione consigliata da @LATIITAY con il tunnel GIF.... Non ci ho fatto ancora varie prove ma primo impatto mi pare che non funzioni, inoltre già una cosa che noto è che sul routing del Pfsense non posso impostare come default gateway IPV6 questa nuova interfaccia legata al tunnel GIF, e già mi sembra un problema...

Diciamo che mi sarebbe piaciuto di più trovare una soluzione con la configurazione 6RD che mi sembra meglio gestita da Pfsense, quindi voi dite che se posso impostare il campo 6RD IPv4 Prefix lenght a 32 ignorerebbe il mio IPv4 privato e potrebbe funzionare?

Questo lo potrei fare:

LATIITAY Occhio che e' disponibile solo una /64, quindi non potresti creare piu' "sottoreti" volendo rispettare gli standard alla lettera (e senza usare NATv6)...

Sì chiaro, se avessi avuto una subnet più larga forse mi sarebbe convenuto attivare 6RD su Fritz e delegare una porzione al Pfsense sotto... non so se è corretto

[cancellato] Comunque immagino che tu abbia IP statico con Fastweb.

Confermo

federacco sul routing del Pfsense non posso impostare come default gateway IPV6 questa nuova interfaccia legata al tunnel GIF, e già mi sembra un problema...

Ecco effettivamente mancano le rotte ed altre cose... Prova a seguire questa guida https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.html#create-and-assign-the-gif-interface dal paragrafo linkato in poi (gli step precedenti si applicano ad HE, qui non serve ne' creare account ne' aprire ICMP echo).

Quando vai a configurare l'IP statico della LAN, con FW devi per forza riutilizzare 2001:b07:xxxx:xxxx::1/64, sperando che a BSD piaccia...

federacco Diciamo che mi sarebbe piaciuto di più trovare una soluzione con la configurazione 6RD che mi sembra meglio gestita da Pfsense, quindi voi dite che se posso impostare il campo 6RD IPv4 Prefix lenght a 32 ignorerebbe il mio IPv4 privato e potrebbe funzionare?

Potresti provare, si'... Brutto ma forse efficace, chissa'

federacco Sì chiaro, se avessi avuto una subnet più larga forse mi sarebbe convenuto attivare 6RD su Fritz e delegare una porzione al Pfsense sotto... non so se è corretto

Si', corretto.