[pfsense] problemi e configurazione avanzata ipv6

Ccrc-error-79 · 23 mag 2023

ciao a tutti,

vorrei attivare l'ipv6 su pfsense ma premetto che sono quasi a zero in materia e ho un paio di problemini...

L'ISP (Pianetafibra) mi da una sottorete /56.

Attualmente in pfsense ho una lan e 4 vlan:

principale - gestione proxmox, switch, ecc
vlan 200 - computer
vlan 107 - iot, telefoni ecc
vlan 250 - gaming
vlan 170 - test

ho seguito la guida link qua sul forum in modo da attivare ipv6 - per ora - solo sulla vlan 170.

Apparentemente sembra tutto ok, però pingo google: ping6 2001:4860:4860::8888 mi da no route to host idem se provo a navigare.

Questo è quello che ho fatto:

Configurato la wan ipv6 su dhcp6, impostato il prefix a 56 e spuntato le checkbox indicate nella guida.

Nella configurazione della rete 170 ho aggiunto ipv6 "statico" e come indirizzo ho messo quello /56 dato dall'isp al quale ho aggiunto AA::254 / 64.
In questo modo dovrei aver creato il mio gateway e impostato la sottorete a /64.

Quindi ho attivato il dhcpv6 sulla vlan 170 (AA in hex) con range da: ispAA::1000 a ispAA::5000 e impostato il RA su "Assisted" e impostato la checkbox per il dns.

Per evitare menate (visto che sono in test) sul firewall per la rete 170 ho aperto tutto mettendo: pass, ipv6, any, vlan 170 net -> any

il pc riceve come router l'ip del router (che però è il link local che ho sulla wan, boh ) e tre indirizzi ipv6, uno dal dhcpv6 e 2 dallo slaac(? ) ma come anticipato non naviga.

E questo è il primo problema.

Il secondo invece credo sia più complicato.

Sulla rete v4 ho alcuni dispositivi (per esempio gli interruttori shelly e altra roba domotica) che hanno ip statico (impostato da pfsense).

Posso fare la stessa cosa sul v6 non usando però gli indirizzi sopra ma quelli di una rete interna tipo: fe00:ecc:ecc::/64?

Mi spiego meglio.
Quello che vorrei fare, è impostare il dhcpv6 in modo che distribuisca solo indirizzi ipv6 interni e usare lo slaac per creare indirizzi temporanei (con scadenza e rinnovo breve 3-4 ore) da dare ai dispositivi per accedere ad internet.

E' possibile farlo?

Perchè se si, in questo modo se dovessi cambiare operatore o se pianetafibra dovesse per qualche motivo cambiarmi il prefisso non dovrei mettermi li a cambiare tutte le assegnazioni statiche.

Sto cercando info online ma trovo solo guide cisco con comandi a terminale per il loro hw e non so come "adattarle" per pfsense

grazie in anticipo

mark129 · 23 mag 2023

crc-error-79 Perchè se si, in questo modo se dovessi cambiare operatore o se pianetafibra dovesse per qualche motivo cambiarmi il prefisso non dovrei mettermi li a cambiare tutte le assegnazioni statiche.

A sentimento non credo che sia la strada giusta (quanto hai detto di proporti) ma in ogni caso a me sembra un lavoro per NPTv6 (e ULA)

https://docs.netgate.com/pfsense/en/latest/nat/npt.html

@edofullo che ne pensi?

Ccrc-error-79 · 23 mag 2023

grazie per la risposta,

nella configurazione del RA ho visto che si può assegnare più subnet, la butto li da completo ignorante (che ha letto qua e la e cerca di unire i punti).

Se imposto la vlan170 solo su indirizzi ula (gateway nella definizione e nel dhcpv6) e nella conf del RA aggiungo la subnet che mi da l'isp?
Poi potrei creare un gateway per la rete 170 slaac.. no?

E' molto semplificata ma potrebbe essere una idea?

[cancellato] · 23 mag 2023

crc-error-79 Nella configurazione della rete 170 ho aggiunto ipv6 "statico" e come indirizzo ho messo quello /56 dato dall'isp al quale ho aggiunto AA::254 / 64.

No, devi usare un Track Interface e dirgli quale parte del prefisso usare: https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.html#track-interface

crc-error-79 Posso fare la stessa cosa sul v6 non usando però gli indirizzi sopra ma quelli di una rete interna

Puoi usare un prefisso ULA, te ne scegli uno random nell'intervallo assegnato. Con pfSense si può fare anche Network Prefix Translation per connetterli direttamente a internet. Non sono sicuro che i dispositivi possano usare DHCPv6 e RA/SLAAC in contemporanea, ma è possibile assegnare più IPv6 ad un dispositivo.

crc-error-79 Perchè se si, in questo modo se dovessi cambiare operatore o se pianetafibra dovesse per qualche motivo cambiarmi il prefisso non dovrei mettermi li a cambiare tutte le assegnazioni statiche.

La questione del renumbering è un problema di IPv6 e il motivo per il quale gli ISP dovrebbero assegnare prefissi statici, ma se cambi ISP il problema rimane.

crc-error-79 Sto cercando info online ma trovo solo guide cisco con comandi a terminale per il loro hw e non so come "adattarle" per pfsense

Sono due mondi completamente diversi, in termini di configurazione.

Ccrc-error-79 · 23 mag 2023

[cancellato] No, devi usare un Track Interface e dirgli quale parte del prefisso usare: https://docs.netgate.com/pfsense/en/latest/interfaces/configure-ipv6.html#track-interface

[EDIT] ho trovato l'opzione ma non posso usarla perchè Pianetafibra mi da un linklocal sulla wan

Ok dopo mi cerco qualche doc che approfondisca.. non riesco a trovare l'opzione dove abilitarla / configurarla
Nella guida "ufficiale" di pianetafibra però non ne parla..
dice di configurare la wan così:

e la lan così

ma è come se non "aggancia" il gateway alla wan..

[cancellato] Puoi usare un prefisso ULA, te ne scegli uno random nell'intervallo assegnato. Con pfSense si può fare anche Network Prefix Translation per connetterli direttamente a internet. Non sono sicuro che i dispositivi possano usare DHCPv6 e RA/SLAAC in contemporanea, ma è possibile assegnare più IPv6 ad un dispositivo.

Tanto che sono alla frutta ho chiesto pure a chatgpt se posso aver 2 reti (dhcp e slaac) e mi ha detto di si.. però spesso inventa
Vorrei evitare di usare il nat o simile (da quello che ho capito del npt) per l'ipv6..
Preferivo avere le 2 reti, una per internet l'altra per utilizzo solo locale, così anche a livello di firewall credo siano molto più facilmente gestibili

[cancellato] Sono due mondi completamente diversi, in termini di configurazione.

Infatti, pensavo di trovare concetti simili e poi "applicarli" a pfsense ma nada..

[cancellato] · 23 mag 2023

crc-error-79 dice di configurare la wan così:

La WAN sì, va in DHCPv6. Sono le LAN che devi configurare come track interface (assegnandogli come parent la WAN) così che a ognuna sia assegnato un prefisso /64 preso dal /56 assegnato alla WAN. In questo modo è tutto dinamico.

crc-error-79 ma è come se non "aggancia" il gateway alla wan..

Ma in System > Routing il gateway IPv6 lo vedi?

crc-error-79 se posso aver 2 reti (dhcp e slaac) e mi ha detto di si.

Sì, puoi anche usare i due sistemi contemporaneamente - non so se i dispositivi possono ottenere contemporaneamente indirizzi e dall'uno e dall'altro sulla stessa rete.

Ccrc-error-79 · 23 mag 2023

[cancellato] La WAN sì, va in DHCPv6. Sono le LAN che devi configurare come track interface (assegnandogli come parent la WAN) così che a ognuna sia assegnato un prefisso /64 preso dal /56 assegnato alla WAN. In questo modo è tutto dinamico.

posso provare ma non credo che funzioni.. sulla wan ho una link-local vedi:

se uso track credo prenderei il /56 di quella link local invece l'ipv6 che PF mi da è pubblico ed è:

quindi il mio gateway deve essere appoggiato a quest'ultima rete.. non so esattamente come funziona ma nella guida che ho linkato nel primo post dice di fare così..

[cancellato] Ma in System > Routing il gateway IPv6 lo vedi?

Si è appoggiato sulla locallink che mi da l'isp (almeno credo)

Adesso sto facendo un po' di prove e ho messo l'ip dell'isp nel gateway e nel dhcpv6 della rete e lo slaac configurato per il local link

[cancellato] Sì, puoi anche usare i due sistemi contemporaneamente - non so se i dispositivi possono ottenere contemporaneamente indirizzi e dall'uno e dall'altro sulla stessa rete.

credo di si.. non so come si fa a dirgli quale usare però..

i primi 2 sono sulla stessa subnet dell'isp ma non so chi li genera, il terzo è il local link che mi genera lo slaac mentre il quarto (in azzurro) è quello creato dal dhcp con range da ::1000 a :2000

[cancellato] · 23 mag 2023

crc-error-79 posso provare ma non credo che funzioni.. sulla wan ho una link-local vedi:

Sì, ma non ha importanza, quello che importa è la delega del prefisso. In IPv6 l'IP che ha l'interfaccia e il prefisso che è assegnato al router sono due cose separate, sono entrambi assegnati via DHCP ma con parametri separati. Ci sono vari modi per assegnare un iPv6 alla WAN, PF usa la versione "unnumbered".

La track interface va a prendersi i prefissi da quello delegato, non dall'IP assegnato alla WAN - purché la delega avvenga correttamente.

Puoi anche configurarla staticamente, se però PF ti cambia il prefisso devi poi intervenire a mano. Assicurati che il prefisso usato sia corretto.

crc-error-79 Si è appoggiato sulla locallink che mi da l'isp (almeno credo)

Sì, è corretto, se l'IP della WAN è local-link può "parlare" solo con altri indirizzi local-link.

crc-error-79 i primi 2 sono sulla stessa subnet dell'isp ma non so chi li genera,

Li genera per motivi di privacy l'OS (https://apple.stackexchange.com/questions/371612/autoconf-temporary-ipv6-address)

crc-error-79 era, il terzo è il local link che mi genera lo slaac

No, il local-link viene generato prima perché serve per far funzionare RA, ottenere il prefisso, e quindi usare SLAAC per generare l'indirizzo globale.

Un PC è possibile che generi diversi IPv6, dispositivi IoT non è detto.

Ccrc-error-79 · 23 mag 2023

[cancellato]

Ok, ho risolto il primo dei 2 problemi.. su pfsense era tutto ok, dovevo disattivare l'ipv4 su macos, sia sulla wifi (quella che sto usando con la vlan test) che sulla rete cablata (appoggiata alla rete di gestione con accesso al router), lo sapevo che era una stupidata del genere, di solito è sempre una checkbox da attivare e disattivare per risolvere tutto

Adesso sono sul forum usando l'ipv6 temporaneo che credo genera osx, non viene usato quello del dhcp.

domani provo ad invertire le parti, cioè a dire al dhcp di usare gli indirizzi ULA e allo slaac quelli dell'isp.

Ps. off topic: ma è normale che solo pochissimi siti funzionino col v6?
duckduck, amazon, apple.com, e molti altri non li prende, arrivo qua su google e youtube.

è un problema del mio resolver dns oppure è normale?

[cancellato] · 23 mag 2023

crc-error-79 dovevo disattivare l'ipv4 su macos

Di solito è possibile impostare la priorità - ad esempio su Windows se attivo IPv6 di default dà la priorità a questo ma è possibile cambiarla.

crc-error-79 ma è normale che solo pochissimi siti funzionino col v6?

Sì, Mi sembra strano Apple e Amazon... ma non ho mai provato.

walt · 23 mag 2023

crc-error-79 duckduck, amazon, apple.com, e molti altri non li prende

In generale mi risulta che IPv6 non sia ancora molto diffuso in esercizio nonostante sia un protocollo più che maggiorenne...comunque da linea Dimensione tra i tre citati soltanto apple.com risponde in IPv6:

root@test:~# ping -c 4 apple.com
PING apple.com(icloud.com (2620:149:af0::10)) 56 data bytes
64 bytes from apple.com (2620:149:af0::10): icmp_seq=1 ttl=57 time=15.6 ms
64 bytes from icloud.com (2620:149:af0::10): icmp_seq=2 ttl=57 time=15.8 ms
64 bytes from apple.com (2620:149:af0::10): icmp_seq=3 ttl=57 time=15.7 ms
64 bytes from icloud.com (2620:149:af0::10): icmp_seq=4 ttl=57 time=15.6 ms

--- apple.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 15.554/15.644/15.754/0.086 ms

Ccrc-error-79 · 23 mag 2023

[cancellato]

con osx non saprei.. ho guardato nelle opzioni ma l'unica è disattivare..

Si amazon non mi va, mentre su apple.it o .com ci arrivo ma solo se passo da una ricerca google.. boh.

Vabbè son già andato OT, domani riprovo a sistemare il secondo problema (e nel frattempo controllo se il temporary address mi cambia)

grazie a tutti per il supporto a domani