De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

IPv6 op de CV8560E (E-router)

Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 28
On a roll... Nice talking to you! Tien op tien! Follow the reader, reader!

Hah, ik denk dat ik zelfs een bugje in pfSense gevonden heb.

Bij verder testen merkte ik dat ik wel een IPv6 overal had, maar geen connectiviteit. Ik kon bijvoorbeeld geen DNS lookup doen naar Google's IPv6 DNS.

 

Check mijn pfSense firewall logs, en ik zie de IPv6 traffiek gedropt worden door de "Default block all IPv6" rule, die de impliciete laatste rule is als je geen andere hits hebt. Nu, pfSense heeft een default "Allow LAN IPv6 to any" rule, en die was actief, maar de rule engine kon blijkbaar dus niet matchen?

 

Als je die default rule bekijkt, zie je dat die target op source: "<interfacename>_net", wat een interne variabele is die normaal automatisch moet opgevuld worden met de subnets assigned aan die poort. IPv4 heeft dezelfde rule en gebruikt dezelfde variabele.

 

Ik disablede en enablede ff een bestaande random rule, klikte apply waardoor alle rules refreshen, en voila, plots was mijn IPv6 connectiviteit daar terug.

 

Mijn theorie : bij PD duurt het ff vooralleer de interne interface zijn IPv6 adres krijgt, en voor een of andere reden wordt die variabele niet refreshed. Ff morrelen met rules forceert een full refresh, en dan was die variabele wel correct ingevuld.

 

Ik ga nog eens kijken of ik dit kan herproduceren, of dat ik hier gewoon pech had met een timing issue binnen pfSense.

0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 101
De volle 100! Jij bent af! Topicwurm! Een bus vol!

Ik zal morgen nog eens de Mikrotik uittesten, met daaraan meerdere netwerken (/60 delegated ipv6 prefixes). Als ik de Mikrotik samen met de Fritzbox aan de E-router hang gaat er toch iets fout. Ze ontvangen beide een verschillende /60 prefix voor hun achterliggende LAN port, maar ik had geen werkende connectiviteit meer van achter de Fritzbox. Ik heb het verder niet intensief onderzocht; het was spielerei, en is een setup die in de toekomst toch niet mogelijk zal zijn als de PD prefix vergroot wordt naar /57.

Dan zul je wel één router moeten gebruiken, en daar achter verder kunnen verdelen.

 

Voor het moment werkt IPv6 zeer stabiel, met de noodzakelijke renews elke 12 uur. Hpelijk kan er snel een permanente fix gevonden worden, die iedereen beschikbaar gesteld wordt via een standaard config.

 



Meten is weten. Gissen is missen.
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 101
De volle 100! Jij bent af! Topicwurm! Een bus vol!

@RMO  schreef:

meer zelfs, ik denk dat pfSense zelfs maximum 16 subnetten kan definiëren voor PD auto assign, als ik de GUI zie

image.png

"0 to f"

en een /60 geeft je dus net die 16 subnetten. Die tekst lijkt echter statische tekst, niet dat pfSense dat afgleid heeft uit de PD.


Eén van de 16 (0) zal nodig zijn voor het netwerk tussen de CV8560E en de pfSense als ik het goed heb, wat betekent dat je er 15 (1 t/m F) beschikbaar hebt voor PD naar achterliggende LAN's.



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 35
Tien op tien! Jij bent af! Say what?! Nice talking to you!

@RMO  schreef:

Hah, ik denk dat ik zelfs een bugje in pfSense gevonden heb.

Bij verder testen merkte ik dat ik wel een IPv6 overal had, maar geen connectiviteit. Ik kon bijvoorbeeld geen DNS lookup doen naar Google's IPv6 DNS.

 

Check mijn pfSense firewall logs, en ik zie de IPv6 traffiek gedropt worden door de "Default block all IPv6" rule, die de impliciete laatste rule is als je geen andere hits hebt. Nu, pfSense heeft een default "Allow LAN IPv6 to any" rule, en die was actief, maar de rule engine kon blijkbaar dus niet matchen?


Heb je het vinkje aan staan onder System > Advanced > Networking > Allow IPv6? Die zorgt voor het al dan niet blokkeren van ipv6.

 


@RMO  schreef:
en een /60 geeft je dus net die 16 subnetten. Die tekst lijkt echter statische tekst, niet dat pfSense dat afgleid heeft uit de PD.

Jawel, pfsense leidt dit af van de track interface. Als de WAN op /56 staat kan je 0 tot FF invullen en wordt ook de tekst in pfsense daarop aangepast. Dit is dus niet statisch.

 

 

 

0 Likes
Beantwoorden
Highlighted
Experienced Meerweter
Berichten: 124
Al 25 duimen! BINGO! De volle 100! Topicvreter!

Telenet zou in feite de specifieke E-router design (zoals door @Steven-E hier op 05-06-2020 12:06 beschreven) moeten mededelen aan gebruikers die een eigen router achter CV8560E zetten. Persoonlijk was dit mijn eerste Telenet connectie, en, ik dacht gewoon dat er een modem (zoals besteld) geinstalleerd was, en, dat het vast IPv6 /56 prefix helemaal onder eigen beheer was. Maar de CV8560E is dus MAC pass-through voor IPv4, en router voor IPv6 (ook als 'bridging' is ingesteld). Een vraag blijft of de CV8560E, al dan niet, als modem-only geconfigureerd kan worden (en, zo ja, waarom Telenet dan daar niet voor kiest voor gebruikers met eigen router). Een andere vraag blijft waarom precies sommige (weliswaar minderheid) gebruikers, zelfs met stateless configuratie, geen problemen hebben. Ik heb, hoe dan ook, veel duidelijkheid verkregen dankzij deze Netweters thread en heb de theorie en RFCs voor SLAAC, IPv6 PD en DHCPv6 (en IPv6 ND) bij deze gelegenheid grondig moeten doornemen om de specialisten hier te kunnen volgen. Ik denk nu, moest ik destijds, bij  CV8560E installatie, geweten hebben wat in nu weet (samen, natuurlijk, en niet zonder, de specifieke design details, zoals, meerbepaald de extra /60 delegatie), dan had ik met OpenWRT misschien toch tot de minderheid kunnen behoren die geen problemen ondervond. Maar, in mijn geval, werd de CV8560E vrij snel door de CV7160E vervangen. Nog een opmerking: voor CV8560E 'router' kon in 'Mijn Telenet' het DUID veld niet gewijzigd worden voor vast IP adres optie (het was gebaseerd op een der CV8560E MAC adressen, het WAN MAC adres), maar voor CV7160E 'modem' kan zulks wijzigen wel. Achteraf bekeken is dit evident: in het eerste geval is het de CV8560E 'router' die het /56 prefix onderhandelt, en in het tweede geval is het de eigen 'router'. Maar, destijds was dit alleen al voor mij een vreemd raadsel (en de oplossing werd me niet via 'business' support verduidelijkt). Zie ook mijn allereerste Netweters, Telenet n00b, post: https://www.netweters.be/t5/Instellingen-software-hardware/DUID-veranderen/m-p/89009

... zoals je daar leest had ik er toen geen informatie over, en er benul van, dat de CV8560E IPv6 provisioning L3 routing (niet L1 modem, of L2 bridging) was.

 

{*niet* 'like'-en aub}
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 28
On a roll... Nice talking to you! Tien op tien! Follow the reader, reader!

@Arnie  schreef:


Eén van de 16 (0) zal nodig zijn voor het netwerk tussen de CV8560E en de pfSense als ik het goed heb, wat betekent dat je er 15 (1 t/m F) beschikbaar hebt voor PD naar achterliggende LAN's.


Nee, naast de IA-PD request voor de /60 doet pfSense ook een IA-NA request voor een stateful address, en krijgt daardoor een /128 die disjunct is van die /60, maar wel binnen de /56 valt die de E-router toegekend krijgt.

EDIT: die /128 valt dus gewoon binnen hetzelfde subnet die de E-router uitdeelt op zijn gewone LAN poorten.

image.png

0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 28
On a roll... Nice talking to you! Tien op tien! Follow the reader, reader!

@VinzzB  schreef:


Heb je het vinkje aan staan onder System > Advanced > Networking > Allow IPv6? Die zorgt voor het al dan niet blokkeren van ipv6.

 



Tuurlijk, ik werk al lang met private IPv6 ranges, zonder dat vinkje ging ook dat niet gewerkt hebben.

 


@VinzzB  schreef:


Jawel, pfsense leidt dit af van de track interface. Als de WAN op /56 staat kan je 0 tot FF invullen en wordt ook de tekst in pfsense daarop aangepast. Dit is dus niet statisch.

 


good to know! thx

Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 28
On a roll... Nice talking to you! Tien op tien! Follow the reader, reader!

(I know, 3 replies na elkaar, maar de web GUI maakt het quoten van verschillende posts niet bepaald makkelijk)

 

@NofanTasi 
Een klein diagramma en woordje uitleg kan idd geen kwaad. Ik heb ook redelijk wat bijgeleerd over IPv6 in alle troubleshooting en testing. Learning by doing!


Nu, ik blijf de setup van de E-Router wel heel goed vinden (op voorwaarde dat alles werkt). Beetje best of both worlds. Bij mij hangt die in de garage en heeft die bijvoorbeeld rechtstreeks de LAN van mijn PV omvormer erop aangesloten, die dan een IP krijgt in de default 192.168.0.0/24 range. In een andere LAN poort zit dan mijn HomeLAB met zijn eigen pfSense en subnetten daarachter. Ik kan er mijn ding mee doen, en moest ik mijn huis verkopen, dan moet de volgende eigenaar niet plots een andere router/modem gaan halen bij Telenet, wat wss wel het geval zou zijn moest ik de modem-only variant hebben.

WiFi vanuit de garage is ook pointless voor mij, te ver, heb een apart AP in de living staan, dus dat de HGW geen WiFi heeft is absoluut geen issue. Voor "gewone" klanten, die kunnen de HGW gebruiken net zoals elke andere telenet router/modem combo, geävanceerde klanten kunnen dan hun eigen materiaal erachter zetten en ff de MAC ingeven in Mijn Telenet voor passthrough. Low barrier, gets the job done. Ik heb zelfs geen issue dat de huidige PD "maar" een /60 is, 16 subnetten is genoeg, zelfs voor mijn HomeLAB.

Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 101
De volle 100! Jij bent af! Topicwurm! Een bus vol!

Ik heb aan mijn Fritzbox een gast-netwerk geactiveerd. Ook deze ontvangt keurig een prefix. Onderstaand een overzicht van de adressen:

dsl   inet6 addr: 2a02:18xx:xxx:xx00:xxxx:xxxx:xxxx:xxxx/64 Scope:Global
lan   inet6 addr: 2a02:18xx:xxx:xx10:xxxx:xxxx:xxxx:xxxx/64 Scope:Global
guest inet6 addr: 2a02:18xx:xxx:xx11:xxxx:xxxx:xxxx:xxxx/64 Scope:Global

Aan de interface namen is goed te zien dat de Fritzbox router familie ontwikkeld is vanuit de dsl wereld. Mijn model (4040) heeft geen dsl, maar een eth WAN port. Toch heet die intern:Alles dsl.

 

Alles werkt stabiel.



Meten is weten. Gissen is missen.
Beantwoorden
Highlighted
Professional Veelweter
Berichten: 398
Lees je nog iets anders? ;-) Waar zijn die handjes? WOW! Klasse!

@RMO  schreef:

Nee, naast de IA-PD request voor de /60 doet pfSense ook een IA-NA request voor een stateful address, en krijgt daardoor een /128 die disjunct is van die /60, maar wel binnen de /56 valt die de E-router toegekend krijgt.

EDIT: die /128 valt dus gewoon binnen hetzelfde subnet die de E-router uitdeelt op zijn gewone LAN poorten.


Ja, dat is normaal hé. Voor de E-router is de WAN poort van jouw eigen router gewoon een client op zijn LAN, zoals alle andere apparaten op de LAN poorten.

Net zoals jouw router een intern IPv4 adres krijgt op zijn WAN vanuit het zelfde subnet als de gewone LAN poorten (tenzij Max passtrough).

 

0 Likes
Beantwoorden
Highlighted
Professional Veelweter
Berichten: 398
Lees je nog iets anders? ;-) Waar zijn die handjes? WOW! Klasse!

@Suzy  schreef:

Een nadeel van deze tijdelijke workaround is dat je geen wijzigingen meer mag uitvoeren via Mijn Telenet eens in orde gebracht voor je. Want wijzigingen op Mijn Telenet zorgen ervoor dat de setting die ze aanpassen terug naar de vorige waarde gaat. Dus als je de workaround wil testen, moet je hier rekening mee houden. Het is namelijk niet de bedoeling om deze aanpassing achterliggend steeds opnieuw uit te voeren. 


Dat bevestigt dus wat ik al eerder vermoedde:

De "fix" is geen software update, maar gewoon een instelling.

Vandaar dat deze "verloren" gaat als je via "Mijn Telenet" wijzigen aanbrengt: dan worden de oude IPv6 instellingen terug gepusht.

0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 101
De volle 100! Jij bent af! Topicwurm! Een bus vol!

@philippe_d  schreef:


Ja, dat is normaal hé. Voor de E-router is de WAN poort van jouw eigen router gewoon een client op zijn LAN, zoals alle andere apparaten op de LAN poorten.

Net zoals jouw router een intern IPv4 adres krijgt op zijn WAN vanuit het zelfde subnet als de gewone LAN poorten (tenzij Max passtrough).

 


Precies, dat bedoelde ik. Een /56 prefix laat zich verdelen in 16 /60 prefixes, zoals je een /24 ipv4 netwerk kunt opdelen in 4 /26 netwerken (of 8 /27 enz.).

Van de 16 /60 prefix's zal er één nodig zijn voor het Telenet-LAN. De overige 15 kunnen theoretisch via Prefix Delegation aangeboden worden aan de router om te gebruiken voor achterliggende LAN's.

De E-router beantwoord PD requests nu met fixed size /60 prefixes. De length-hint als optie in het request wordt genegeerd (wat perfect mag natuurlijk, het is enkel maar een hint).

 

Ik begreep dat het de bedoeling is om in de toekomst niet 16 /60 prefixes te gebruiken, maar 2 /57 prefixes. 1 komt dan het LAN toe, de andere kun je via PD op je router ontvangen en zelf onderverdelen aan verschillende achterliggende LAN's.



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 28
On a roll... Nice talking to you! Tien op tien! Follow the reader, reader!

Voor de geïnteresseerden, ik heb de "quirks/bugs" die ik in pfSense gevonden heb icm met IPv6 PD ff op de Netgate forums gezwierd

https://forum.netgate.com/topic/154856/multiple-ipv6-bugs-quirks-in-pfsense

 

Dit zijn geen Telenet issues, maar pfSense issues 🙂

Beantwoorden
Highlighted
Professional Beetjesweter
Berichten: 7
Alles op zijn plek! Mooi, mooi! Follow the reader, reader! Hey, jij weer! :-)

Zelf heb ik ook pfSense als router/firewall draaien. Voorlopig heb ik alles wat IPv6 gerelateerd is uitgeschakeld. Maar ik ben zeker geïnteresseerd in een overzicht van alle settings die bv RMO heeft gezet om de setup correct werkende te krijgen. Ik ben nog een n00b als het op networking aankomt.

Alvast bedankt.

0 Likes
Beantwoorden
Highlighted
Professional Bijna Allesweter
Berichten: 962
Een mailpaal! Boek alvast het Sportpaleis! Jij #DTV. Goed bezig! Ongelooflijk (maar waar)!

@GuyDB  schreef:

Zelf heb ik ook pfSense als router/firewall draaien. Voorlopig heb ik alles wat IPv6 gerelateerd is uitgeschakeld. Maar ik ben zeker geïnteresseerd in een overzicht van alle settings die bv RMO heeft gezet om de setup correct werkende te krijgen. Ik ben nog een n00b als het op networking aankomt.

Alvast bedankt.


Hey @GuyDB ,

 

Arnie en RMO zijn, in samenwerking met Telenet, een specifieke configuratie (DHCPv6 stateful ipv stateless) aan het testen waarmee Prefix Delegation eindelijk werkt op de CV8560E router.

Zolang die niet algemeen wordt uitgerold naar iedereen heeft het geen zin om te testen, want je zal geen prefix krijgen. Dus nog effe geduld 😉 


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden