Fastweb Ipv6 non funziona pfsense

napdj · 2022-09-15T09:50:17+00:00

Salve ragazzi, vi vorrei chiedere un aiuto.ho il mio server con pfsense caricato su con due connessione wan, una ftth fastweb su rete flashfiber con un media...

LATIITAY

federacco sul routing del Pfsense non posso impostare come default gateway IPV6 questa nuova interfaccia legata al tunnel GIF, e già mi sembra un problema...

Ecco effettivamente mancano le rotte ed altre cose... Prova a seguire questa guida https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.html#create-and-assign-the-gif-interface dal paragrafo linkato in poi (gli step precedenti si applicano ad HE, qui non serve ne' creare account ne' aprire ICMP echo).

Quando vai a configurare l'IP statico della LAN, con FW devi per forza riutilizzare 2001:b07:xxxx:xxxx::1/64, sperando che a BSD piaccia...

federacco Diciamo che mi sarebbe piaciuto di più trovare una soluzione con la configurazione 6RD che mi sembra meglio gestita da Pfsense, quindi voi dite che se posso impostare il campo 6RD IPv4 Prefix lenght a 32 ignorerebbe il mio IPv4 privato e potrebbe funzionare?

Potresti provare, si'... Brutto ma forse efficace, chissa'

federacco Sì chiaro, se avessi avuto una subnet più larga forse mi sarebbe convenuto attivare 6RD su Fritz e delegare una porzione al Pfsense sotto... non so se è corretto

Si', corretto.

federacco

Allora aggiornamenti, ho impostato la configurazione 6RD su WAN Pfsense come dicevamo, intero prefisso /64 e prefix lenght ipv4 a 32.
Poi ho impostato un'interfaccia lato LAN a cui mi interessa delegare la subnet ipv6 con l'opzione "Track interface" così come indicato qui https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.html#track-interface

Ora l'interfaccia in questione si è presa un indirizzo ipv6 (2001:b07:xxxx:xxxx::1) e il Pfsense ha creato da solo un gateway con indirizzo ipv6 (che però risulta offline), i client sotto l'interfaccia scelta si sono autoassegnati un ipv6 congruo tramite SLAAC (non ho dhcpv6 abilitato).

Nonostante apparentemente non funzioni nulla (il gateway è offline e i client non pingano su internet in ipv6), capisco che la cosa sta mezzo funzionando perchè con una cattura pacchetti lato wan vedo i miei ping di prova che sto facendo da internet (servizio web che pinga ipv6) verso l'ipv6 dell'interfaccia di Pfsense e anche verso l'ipv6 di un client sotto quell'interfaccia.

Ora devo perdere un po' di tempo a capire perchè Pfsense sembra non risponda e non ruoti questi pacchetti verso i client, a livello di policy firewall ho tutto any per ICMP e ICMPv6 su tutte le interfacce.

[cancellato] Provare però è facile, e come detto, dovresti controllare poi cosa c'è nei log - si avrebbero più informazioni.

Ho verificato e niente errori particolari nei log su questo aspetto, a questo punto visto il risultato direi che non fa questo controllo, non gli interessa che io abbia un ip privato sulla wan.

LATIITAY Ecco effettivamente mancano le rotte ed altre cose... Prova a seguire questa guida https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.html#create-and-assign-the-gif-interface dal paragrafo linkato in poi (gli step precedenti si applicano ad HE, qui non serve ne' creare account ne' aprire ICMP echo).

Perdonami ma per il momento non sono andato avanti con il tunnel GIF, dato che ora sembra andare con 6RD e la "forzatura" che mi avete consigliato, ciò non toglie che potrei provare dopo e farvi sapere...

[cancellato]

federacco quindi voi dite che se posso impostare il campo 6RD IPv4 Prefix lenght a 32 ignorerebbe il mio IPv4 privato e potrebbe funzionare?

Forse. Ma se fa comunque il check dell'IPv4 privato sulla WAN probabilmente no. Provare però è facile, e come detto, dovresti controllare poi cosa c'è nei log - si avrebbero più informazioni. Se fa il controllo solo sugli indirizzi RFC1918 si potrebbe provare ad ingannarlo usando una rete diversa sulla LAN fra Fritz e pfSense (es. quella riservata per il CG-NAT, che tanto non è ruotabile, e non andrebbe in conflitto con nulla), ma temo che lì potrebbe essere il Fritz a non accettare l'impostazione.

LATIITAY

[cancellato] cosa intendi per "check dell'IPv4 privato sulla WAN"? Chi dovrebbe farlo? Su Fastweb un check del genere andrebbe sempre disattivato a prescindere, perche' il loro gateway 6rd ha le rotte per raggiungere direttamente l'intera MAN di Fastweb, ed e' previsto che chi ha IP CGNAT usi quello per costruire la subnet 6rd, e assolutamente non l'IP pubblico... Poi qui questo caso non si applica avendo l'utente IP pubblico statico.

[cancellato] quella riservata per il CG-NAT, che tanto non è ruotabile, e non andrebbe in conflitto con nulla

Beh invece e' proprio quella usata da Fastweb da qualche anno sulle WAN CGNAT... Andandola a riutilizzare quindi perderebbe l'instradamento diretto verso la MAN di Fastweb. Utile quando serve raggiungere cose che si trovano dietro altre connessioni FW non aventi IP pubblico.

[cancellato] temo che lì potrebbe essere il Fritz a non accettare l'impostazione

E perche' mai non dovrebbe?

[cancellato]

LATIITAY cosa intendi per "check dell'IPv4 privato sulla WAN"? Chi dovrebbe farlo

pfSense almeno qualche versione fa controllava l'IPv4 associato, e dava errore se era privato. Non lo so se lo fa ancora o l'ignora quando la lunghezza del prefisso IPv4 è 32.

LATIITAY Andandola a riutilizzare quindi perderebbe l'instradamento diretto verso la MAN di Fastweb

Non credo che Fastweb da IP pubblico abbia delle rotte verso IP in CGNAT. Potrei sbagliarmi.

LATIITAY E perche' mai non dovrebbe?

Ho visto router consumatori che fanno check sugli indirizzi lato LAN e non accettano indirizzi non RFC1918. Per essere a prova di utonto, probabilmente.

LATIITAY

federacco dunque allora... Il gateway risultera' sempre offline se per verificarlo prova con ping, visto che non risponde al ping. Spero non sia questa la motivazione per cui non lo sta usando...

Pero' e' ottimo che vedi i pacchetti entrare da fuori, significa che almeno il FRITZ!Box non blocca il protocollo 41.

I pacchetti IPv6 in entrata da fuori, li vedi solo sniffando sulla WAN, o anche sulla LAN? Nel senso, pfSense li sta inoltrando oppure no?

Viceversa, i pacchetti dalla LAN verso internet, sniffando li vedi solo sulla LAN oppure compaiono anche sulla WAN?

federacco

LATIITAY ci hai azzeccato, infatti poi ho disabilitato il gateway monitoring e almeno l'indirizzo ipv6 del Pfsense ora è correttamente pingabile da fuori.
Anzi più correttamente ora ho impostato il gateway monitoring per pingare ip dns di Google in ipv6 e il gateway risulta correttamente up.

Il problema sembra di routing del Pfsense dei pacchetti che provengono dalla wan che non li gira verso l'interfaccia dove ho i client con ipv6 in SLAAC.

LATIITAY I pacchetti IPv6 in entrata da fuori, li vedi solo sniffando sulla WAN, o anche sulla LAN? Nel senso, pfSense li sta inoltrando oppure no?

Pfsense non li inoltra, i pacchetti li vedo solo sulla wan

LATIITAY Viceversa, i pacchetti dalla LAN verso internet, sniffando li vedi solo sulla LAN oppure compaiono anche sulla WAN?

Compaiono anche sulla wan, e sempre sulla wan vedo anche la risposta tornare da internet, Pfsense però non gira la risposta verso il client sorgente sull'interfaccia lan interna che avevo impostato su "Track interface" per ipv6.

Sto proseguendo con le prove....

LATIITAY

federacco dai almeno manca solo un pezzetto del problema da risolvere adesso 😃

Hai modo di stampare la tabella di routing IPv6? (cio' che in Linux si farebbe col comando ip -6 route show per dire...)

federacco

AGGIORNAMENTO: visto il palese problema di routing da internet verso i client sotto l'interfaccia LAN ho dovuto creare una rotta statica per dire che la rete 2001:b07:xxxx:xxxx::/64 si trova sotto LAN (interfaccia che ha già l'indirizzo ip 2001:b07:xxxx:xxxx::1 ..... non dovrebbe essere direttamente connessa??).

In pfSense questo vuol dire creare obbligatoriamente un gateway sull'interfaccia LAN e poi una rotta che ha come destinazione quel gateway.

Dalle prime prove sembra funzionare tutto correttamente!

EDIT: è vero che l'interfaccia LAN (impostata in modalità "Track interface") ha IP 2001:b07:xxxx:xxxx::1 ma anche l'interfaccia WAN sembra avere indirizzo IP 2001:b07:xxxx:xxxx:: (correttamente pingabile anche questo), forse per questo non è così scontato che sappia dove mandare i pacchetti senza la rotta statica....

Ma allora mi chiedo... se impostassi l'interfaccia LAN direttamente in 6RD? E lasciassi perdere sta cosa del "Track interface"? Ma forse sto dicendo cavolate e mi sto perdendo altro..

LATIITAY Hai modo di stampare la tabella di routing IPv6? (cio' che in Linux si farebbe col comando ip -6 route show per dire...)

Questa è con la mia rotta inserita:

LATIITAY

[cancellato] Non credo che Fastweb da IP pubblico abbia delle rotte verso IP in CGNAT. Potrei sbagliarmi.

Lo fa, ho avuto modo di controllare l'ultima volta il mese scorso da una linea business "dedicata" (una vecchia 100/100) e anche mesi fa dalla connessione (residenziale con IP statico) di un amico prima che cambiasse Operatore...

Occhio che se ricordo bene in uscita verso IP pubblici si esce sempre con il pubblico, tranne verso l'infra interna di FW (GW 6rd compreso 😅 ma non gli IP pubblici di altre linee FW), quindi puo' trarre in inganno. Ma poi si e' lo stesso raggiungibili sul privato CGNAT da tutta la rete FW.

[cancellato] Ho visto router consumatori che fanno check sugli indirizzi lato LAN e non accettano indirizzi non RFC1918. Per essere a prova di utonto, probabilmente.

Ah.

federacco AGGIORNAMENTO: visto il palese problema di routing da internet verso i client sotto l'interfaccia LAN ho dovuto creare una rotta statica per dire che la rete 2001:b07:xxxx:xxxx::/64 si trova sotto LAN (interfaccia che ha già l'indirizzo ip 2001:b07:xxxx:xxxx::1 ..... non dovrebbe essere direttamente connessa??).

In pfSense questo vuol dire creare obbligatoriamente un gateway sull'interfaccia LAN e poi una rotta che ha come destinazione quel gateway.

Ecco immaginavo mancasse tipo la rotta lato LAN... Vai a capire BSD 😅

federacco Dalle prime prove sembra funzionare tutto correttamente!

Daje 😃

LATIITAY

federacco Ma allora mi chiedo... se impostassi l'interfaccia LAN direttamente in 6RD?

Non credo funzionerebbe perche' a quel punto cercherebbe di contattare il gateway 6rd dalla LAN invece che dalla WAN... Credo eh

federacco Questa è con la mia rotta inserita:

Ecco, senza quella rotta e' normalissimo che non vada, pero' doverla inserire cosi' mi pare un po' una forzatura... E non mi tornano troppo le interfacce. Quali sono le impostazioni di IPv6 della LAN? Quale interfaccia e' la LAN? mvneta1.2?

federacco Altri clienti Fastweb che non hanno ip pubblico talvolta si presentavano verso di me direttamente con il loro ip privato sulla rete Fastweb

Ah, non so se questa cosa e' cambiata nel tempo, oppure se va un po' a caso...

federacco

Ho editato il messaggio sopra con qualche aggiunta.... comunque sì così sembra stia funzionando tutto correttamente e di questo vi ringrazio tanto!! Eddaje sì 🥳

LATIITAY Occhio che se ricordo bene in uscita verso IP pubblici si esce sempre con il pubblico, tranne verso l'infra interna di FW (GW 6rd compreso 😅 ma non gli IP pubblici di altre linee FW), quindi puo' trarre in inganno. Ma poi si e' lo stesso raggiungibili sul privato CGNAT da tutta la rete FW.

Proprio con pfSense mi è capitato di avere problemi su linee Fastweb con queste impostazioni attive di default sul lato WAN....

Altri clienti Fastweb che non hanno ip pubblico talvolta si presentavano verso di me direttamente con il loro ip privato sulla rete Fastweb e pfSense giustamente me li segava.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile