Fastweb Ipv6 non funziona pfsense

federacco Io sul lato WAN del Pfsense specifico manualmente il prefisso ipv6 assegnatomi da Fastweb 2001:b07:xxxx:xxxx::/64

OK - la documentazione di pfSense non è molto chiara perché ha come esempio un prefisso /32 e richiedendo poi la lunghezza del prefisso IPv4 non capisco se calcola lui o meno il prefisso completo 6RD. Perché nel primo caso funziona anche con connessioni con IPv4 dinamico, nel secondo no - però così dipende dal conoscere l'IP pubblico. Comunque immagino che tu abbia IP statico con Fastweb. Hai controllato se segnala qualche errore nei log?

Edit: ho trovato un vecchio post sui forum di pfSense dove effettivamente ai tempi faceva un check sull'IPv4 dell'interfaccia per verificare se l'IP è pubblico o privato. Se lo rileva ancora dovrebbe scriverlo nei log.

LATIITAY Questo e' sbagliato, perche' non va impostato direttamente sull'interfaccia WAN.

Come detto sopra, pfSense ha direttamente supporto per 6RD nella configurazione di una interfaccia. Cosa faccia poi dietro le quinte non lo so. Giusta l'osservazione sul protocollo 41 - ci sarebbe da fare una cattura tcpdumo sul pfSense per vedere se passa, io credo di sì, ma non si sia mai.

[cancellato] non si puo' impostare 6rd a meno che non si procuri un modem che funga da bridge e faccia quindi fare DHCP sulla WAN "vera" di Fastweb direttamente al pfSense. I FRITZ!Box che io sappia non si possono impostare in bridge, e infatti ha detto che lo sta usando con NAT 1:1 (immagino con l'IP del pfSense in DMZ). Cio' non passa i parametri 6rd (perche' vengono dal DHCP) e cmq sarebbero sbagliati (perche' per calcolare la subnet IPv6 viene fatto esplicito riferimento all'IPv4 rilasciato dal DHCPv4, e quindi si farebbe riferimento all'IP sbagliato, cioe' quello locale tra i due apparati, e non quello lato Fastweb [non necessariamente pubblico, puo' essere anche CGNAT]). Purtroppo i modem bridge, seppur piu' "stupidi" dei modem-router "completi", costano paradossalmente troppo di piu', perche' il mercato li vede e li prezza come prodotti di nicchia... E i modem open source "riadattabili" (Lantiq VRX200) non supportano il 35b (grazie mille, Intel se solo non si fossero comprati la povera Lantiq, i VRX500 avrebbero avuto anch'essi driver open source...).

Resta cmq il fatto che 6rd e' "solo" un'autoconfigurazione via DHCPv4 di un tunnel 6in4 (ossia il protocollo 41)... Quindi, impostandolo a mano come 6in4, e sperando che il "NAT 1:1" del modem passi il protocollo 41 senza problemi, allora dovrebbe funzionare.

LATIITAY

La configurazione 6RD di pfSense non credo passi per DHCP. C'è una ferrature request per OPNSense (https://github.com/opnsense/core/issues/2540). Chissà se accetta 32 nella dimensione del prefisso IPv4 per prendere quello IPv6 così com'è.

Non so sia nemmeno possibile tentare di farla tentando di configurare IPv6 via DHCP, anche se c'è la possibilità di eseguire uno script quando si riceve la risposta. Non ho idea se Fastweb accetti quella richiesta.

LATIITAY se solo non si fossero comprati la povera Lantiq

L'hanno già rivenduta. ora devi chiedere a MaxLinear.

LATIITAY Quindi, impostandolo a mano come 6in4,

Non so se puoi impostare da UI pfSense per 6in4. Si può fare da GIF.

[cancellato] se 6rd di pfSense non usa DHCP, allora lo chiamano 6rd ma non e' 6rd...

Con Fastweb se si e' collegati in bridge allora funziona secondo standard (con i parametri passati da DHCP), anche sul FRITZ!Box connesso direttamente infatti funziona semplicemente attivandolo.

[cancellato] L'hanno già rivenduta. ora devi chiedere a MaxLinear.

Beh, non li conosco, ma peggio di Intel non credano possano essere. VRX500 closed source resta colpa di Intel, cmq.

[cancellato] Non so se puoi impostare da UI pfSense per 6in4. Si può fare da GIF.

Si', l'astrazione usata da pfSense pare essere "GIF", ho aggiornato il mio post iniziale.

LATIITAY se 6rd di pfSense non usa DHCP, allora lo chiamano 6rd ma non e' 6rd...

La RFC di 6RD non richiede obbligatoriamente DHCP per la configurazione - vedi al paragrafo 7.1. È uno dei metodi possibili, ed ovviamente comodo. Comunque vedo che è un'opzione della richiesta IPv4, e quindi non funzionerebbe comunque perché la richiesta IPv4 la farebbe al massimo sulla LAN del Fritz e non otterrebbe comunque i dati necessari per configurare 6rd.

Vedo che nella opzione DHCP un IPv4MaskLen di 32 è valido. Io proverei nel 6rd di pfSense ad impostarlo a 32 (c'è nella combo) e mettere l'intero prefisso marcato come /64. Però se fa il check sull'IP privato...

[cancellato] gia', non funzionerebbe

LATIITAY Cio' non passa i parametri 6rd (perche' vengono dal DHCP) e cmq sarebbero sbagliati (perche' per calcolare la subnet IPv6 viene fatto esplicito riferimento all'IPv4 rilasciato dal DHCPv4, e quindi si farebbe riferimento all'IP sbagliato, cioe' quello locale tra i due apparati, e non quello lato Fastweb [non necessariamente pubblico, puo' essere anche CGNAT]).

Ma non funzionerebbe nemmeno ignorando il DHCP e configurandolo a mano, a meno di forzare abomini tipo IPv4MaskLen a 32 che farebbe ignorare l'IPv4... Ma a quel punto, basta usare 6in4/GIF...

[cancellato] Vedo che nella opzione DHCP un IPv4MaskLen di 32 è valido. Io proverei nel 6rd di pfSense ad impostarlo a 32 (c'è nella combo) e mettere l'intero prefisso marcato come /64.

Ok whatever ma io la trovo cmq una forzatura forzata e illogica...

Ragazzi innanzitutto grazie per l'aiuto, vi ho seguito con fatica....
Quindi ho capito che 6RD per funzionare correttamente deve essere impostato su un'interfaccia che sia a layer2 con Fastweb perchè deve ricevere alcuni parametri obbligatoriamente via DHCP, cosa che nel mio caso non puo' avvenire essendoci il Fritz di mezzo che non può essere impostato in modalità bridge (vi confermo che ho un NAT1:1 o "DMZ" come la si vuole chiamare del mio ip pubblico Fastweb statico verso l'ip lato WAN del Pfsense, la classica punto-punto).

A questo punto ho appena provato al volo la configurazione consigliata da @LATIITAY con il tunnel GIF.... Non ci ho fatto ancora varie prove ma primo impatto mi pare che non funzioni, inoltre già una cosa che noto è che sul routing del Pfsense non posso impostare come default gateway IPV6 questa nuova interfaccia legata al tunnel GIF, e già mi sembra un problema...

Diciamo che mi sarebbe piaciuto di più trovare una soluzione con la configurazione 6RD che mi sembra meglio gestita da Pfsense, quindi voi dite che se posso impostare il campo 6RD IPv4 Prefix lenght a 32 ignorerebbe il mio IPv4 privato e potrebbe funzionare?

Questo lo potrei fare:

LATIITAY Occhio che e' disponibile solo una /64, quindi non potresti creare piu' "sottoreti" volendo rispettare gli standard alla lettera (e senza usare NATv6)...

Sì chiaro, se avessi avuto una subnet più larga forse mi sarebbe convenuto attivare 6RD su Fritz e delegare una porzione al Pfsense sotto... non so se è corretto

[cancellato] Comunque immagino che tu abbia IP statico con Fastweb.

Confermo

federacco sul routing del Pfsense non posso impostare come default gateway IPV6 questa nuova interfaccia legata al tunnel GIF, e già mi sembra un problema...

Ecco effettivamente mancano le rotte ed altre cose... Prova a seguire questa guida https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.html#create-and-assign-the-gif-interface dal paragrafo linkato in poi (gli step precedenti si applicano ad HE, qui non serve ne' creare account ne' aprire ICMP echo).

Quando vai a configurare l'IP statico della LAN, con FW devi per forza riutilizzare 2001:b07:xxxx:xxxx::1/64, sperando che a BSD piaccia...

federacco Diciamo che mi sarebbe piaciuto di più trovare una soluzione con la configurazione 6RD che mi sembra meglio gestita da Pfsense, quindi voi dite che se posso impostare il campo 6RD IPv4 Prefix lenght a 32 ignorerebbe il mio IPv4 privato e potrebbe funzionare?

Potresti provare, si'... Brutto ma forse efficace, chissa'

federacco Sì chiaro, se avessi avuto una subnet più larga forse mi sarebbe convenuto attivare 6RD su Fritz e delegare una porzione al Pfsense sotto... non so se è corretto

Si', corretto.

Allora aggiornamenti, ho impostato la configurazione 6RD su WAN Pfsense come dicevamo, intero prefisso /64 e prefix lenght ipv4 a 32.
Poi ho impostato un'interfaccia lato LAN a cui mi interessa delegare la subnet ipv6 con l'opzione "Track interface" così come indicato qui https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.html#track-interface

Ora l'interfaccia in questione si è presa un indirizzo ipv6 (2001:b07:xxxx:xxxx::1) e il Pfsense ha creato da solo un gateway con indirizzo ipv6 (che però risulta offline), i client sotto l'interfaccia scelta si sono autoassegnati un ipv6 congruo tramite SLAAC (non ho dhcpv6 abilitato).

Nonostante apparentemente non funzioni nulla (il gateway è offline e i client non pingano su internet in ipv6), capisco che la cosa sta mezzo funzionando perchè con una cattura pacchetti lato wan vedo i miei ping di prova che sto facendo da internet (servizio web che pinga ipv6) verso l'ipv6 dell'interfaccia di Pfsense e anche verso l'ipv6 di un client sotto quell'interfaccia.

Ora devo perdere un po' di tempo a capire perchè Pfsense sembra non risponda e non ruoti questi pacchetti verso i client, a livello di policy firewall ho tutto any per ICMP e ICMPv6 su tutte le interfacce.

[cancellato] Provare però è facile, e come detto, dovresti controllare poi cosa c'è nei log - si avrebbero più informazioni.

Ho verificato e niente errori particolari nei log su questo aspetto, a questo punto visto il risultato direi che non fa questo controllo, non gli interessa che io abbia un ip privato sulla wan.

LATIITAY Ecco effettivamente mancano le rotte ed altre cose... Prova a seguire questa guida https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.html#create-and-assign-the-gif-interface dal paragrafo linkato in poi (gli step precedenti si applicano ad HE, qui non serve ne' creare account ne' aprire ICMP echo).

Perdonami ma per il momento non sono andato avanti con il tunnel GIF, dato che ora sembra andare con 6RD e la "forzatura" che mi avete consigliato, ciò non toglie che potrei provare dopo e farvi sapere...

AGGIORNAMENTO: visto il palese problema di routing da internet verso i client sotto l'interfaccia LAN ho dovuto creare una rotta statica per dire che la rete 2001:b07:xxxx:xxxx::/64 si trova sotto LAN (interfaccia che ha già l'indirizzo ip 2001:b07:xxxx:xxxx::1 ..... non dovrebbe essere direttamente connessa??).

In pfSense questo vuol dire creare obbligatoriamente un gateway sull'interfaccia LAN e poi una rotta che ha come destinazione quel gateway.

Dalle prime prove sembra funzionare tutto correttamente!

EDIT: è vero che l'interfaccia LAN (impostata in modalità "Track interface") ha IP 2001:b07:xxxx:xxxx::1 ma anche l'interfaccia WAN sembra avere indirizzo IP 2001:b07:xxxx:xxxx:: (correttamente pingabile anche questo), forse per questo non è così scontato che sappia dove mandare i pacchetti senza la rotta statica....

Ma allora mi chiedo... se impostassi l'interfaccia LAN direttamente in 6RD? E lasciassi perdere sta cosa del "Track interface"? Ma forse sto dicendo cavolate e mi sto perdendo altro..

LATIITAY Hai modo di stampare la tabella di routing IPv6? (cio' che in Linux si farebbe col comando ip -6 route show per dire...)

Questa è con la mia rotta inserita:

[cancellato] Non credo che Fastweb da IP pubblico abbia delle rotte verso IP in CGNAT. Potrei sbagliarmi.

Lo fa, ho avuto modo di controllare l'ultima volta il mese scorso da una linea business "dedicata" (una vecchia 100/100) e anche mesi fa dalla connessione (residenziale con IP statico) di un amico prima che cambiasse Operatore...

Occhio che se ricordo bene in uscita verso IP pubblici si esce sempre con il pubblico, tranne verso l'infra interna di FW (GW 6rd compreso ma non gli IP pubblici di altre linee FW), quindi puo' trarre in inganno. Ma poi si e' lo stesso raggiungibili sul privato CGNAT da tutta la rete FW.

[cancellato] Ho visto router consumatori che fanno check sugli indirizzi lato LAN e non accettano indirizzi non RFC1918. Per essere a prova di utonto, probabilmente.

Ah.

federacco AGGIORNAMENTO: visto il palese problema di routing da internet verso i client sotto l'interfaccia LAN ho dovuto creare una rotta statica per dire che la rete 2001:b07:xxxx:xxxx::/64 si trova sotto LAN (interfaccia che ha già l'indirizzo ip 2001:b07:xxxx:xxxx::1 ..... non dovrebbe essere direttamente connessa??).

In pfSense questo vuol dire creare obbligatoriamente un gateway sull'interfaccia LAN e poi una rotta che ha come destinazione quel gateway.

Ecco immaginavo mancasse tipo la rotta lato LAN... Vai a capire BSD

federacco Dalle prime prove sembra funzionare tutto correttamente!

Daje

federacco Ma allora mi chiedo... se impostassi l'interfaccia LAN direttamente in 6RD?

Non credo funzionerebbe perche' a quel punto cercherebbe di contattare il gateway 6rd dalla LAN invece che dalla WAN... Credo eh

federacco Questa è con la mia rotta inserita:

Ecco, senza quella rotta e' normalissimo che non vada, pero' doverla inserire cosi' mi pare un po' una forzatura... E non mi tornano troppo le interfacce. Quali sono le impostazioni di IPv6 della LAN? Quale interfaccia e' la LAN? mvneta1.2?

federacco Altri clienti Fastweb che non hanno ip pubblico talvolta si presentavano verso di me direttamente con il loro ip privato sulla rete Fastweb

Ah, non so se questa cosa e' cambiata nel tempo, oppure se va un po' a caso...