Statische Prefix modem-only met pFsense router

Volgens je eerste afbeelding ben je aan het proberen een tracert te doen vanaf zo'n ULA.  Ik zie daar als vertrekpunt

fc0x:xxxx:xxxx:xxxx::1 

In de praktijk kan dit niet werken tenzij je routing goed is ingesteld. Dat naar analogie van bijvoorbeeld een Private network 10.x.x.x in IPv4.

Dat was de basis voor het antwoord.

Een prefix toegekend door de provider zoals 2a02:1811:9cxx:9100: /56 waarbij de laatste 8 bits 00 (identifier)zijn

kan lokaal niet omgezet worden naar bijvoorbeeld  prefix 2a02:1811:9cxx:91ab: /56 want de eerste 64 bits worden toegekend door de provider. In tot nu toe heb ik geen weet van providers die meerdere subnets toekennen.

Dat is wel te omzeilen door prefix translation zoals voorgesteld in RFC 6296.

Maar dat gebruik je als intern IP adres niet uw publieke prefix. Dan doe je bij wijze van spreken aan NAT zoals bij IPv4.

Daarom ben ik er praktisch van overtuigd dat er iets mis is in uw routing. Bovendien vrees ik dat er geen enkele provider u zal kunnen/willen helpen met je interne configuratie.

Schiet niet op mij. Ik probeer enkel mee te denken waarom het misloopt.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

---

@Ofloo@  schreef:

Aan het antwoordt zie ik het tekort aan kennis, .. fc00::/7 wordt omgezet in een public adres uit de range toegewezen aan mij door telenet zie tcpdump

 

die fc0x die je ziet is interne trafiek vandaar dat ik de tcpdump op de router heb toegevoegd. De trace route in kwestie is vanaf mijn desktop. Dus nee ik heb er weinig aan want het antwoordt strijkt niet met de realiteit.

 

 

---

Ik heb een groot tekort aan kennis. Daarom wil ik bijleren. Maar in dit antwoord ontwaar ik een misverstand denk ik. Telenet kent maar 1 prefix toe, geen range zoals je zegt. IPv6 is samengesteld uit een prefix toegekend door de provider en een 64 bit blok die intern wordt toegekend via Slaac, DHCPv6 of whatever.

Dus elk intern fc00: /7 adres moet uiteindelijk terechtkomen op dat ene publieke prefix. Of als je wil op de enig mogelijke default gateway met prefix eindigend op 00.

Telenet heeft tenslotte niets te maken met je interne adressen buiten de prefix die altijd /56 is eindigend op 00.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

---

@Ofloo@  schreef:

Héél vervelend dat je geen quotes kan toevoegen.

---

Kan wél hoor. Gewoon even klikken op Aanhalen.

  Bjørn (sb) | Ere-Krak
 An angel led me when I was blind, I said 'Take me back, I've changed my mind.'  
    Vergeet niet om likes te geven en/of als oplossing te markeren.

---

@Ofloo@  schreef:

 

Men moet zich focusen op het probleem. In plaats van zomaar wat bul**bleep** uit te kramen.

 

---

Kunnen we het wel een beetje beschaafd houden? Op dit forum probeert men elkaar te helpen zonder enige tegemoetkoming, dus schelden is echt niet nodig.

  Bjørn (sb) | Ere-Krak
 An angel led me when I was blind, I said 'Take me back, I've changed my mind.'  
    Vergeet niet om likes te geven en/of als oplossing te markeren.

---

@sb@  schreef:

---

@Ofloo@  schreef:

Héél vervelend dat je geen quotes kan toevoegen.

---

Kan wél hoor. Gewoon even klikken op Aanhalen.

---

Het enige waar je moet op letten: je moet op de knop "Beantwoorden" drukken van de post die je wil quoten, dus niet noodzakelijk de laatste post. De knop "Aanhalen" refereert steeds naar de post waarvan je op "Beantwoorden" hebt geklikt.

   StefaanH | Krak
    De Gustibus et Coloribus non est disputandum.
      Vergeet niet om likes te geven en/of als oplossing te markeren.

---

@igvfer@  schreef:

---

@Ofloo@  schreef:

Aan het antwoordt zie ik het tekort aan kennis, .. fc00::/7 wordt omgezet in een public adres uit de range toegewezen aan mij door telenet zie tcpdump

 

die fc0x die je ziet is interne trafiek vandaar dat ik de tcpdump op de router heb toegevoegd. De trace route in kwestie is vanaf mijn desktop. Dus nee ik heb er weinig aan want het antwoordt strijkt niet met de realiteit.

 

 

---

Ik heb een groot tekort aan kennis. Daarom wil ik bijleren. Maar in dit antwoord ontwaar ik een misverstand denk ik. Telenet kent maar 1 prefix toe, geen range zoals je zegt. IPv6 is samengesteld uit een prefix toegekend door de provider en een 64 bit blok die intern wordt toegekend via Slaac, DHCPv6 of whatever.

Dus elk intern fc00: /7 adres moet uiteindelijk terechtkomen op dat ene publieke prefix. Of als je wil op de enig mogelijke default gateway met prefix eindigend op 00.

Telenet heeft tenslotte niets te maken met je interne adressen buiten de prefix die altijd /56 is eindigend op 00.

---

Dus je hebt je LAN interface en je hebt een WAN interface, .. in mijn geval heb ik verschillende lan interfaces, om bv iot van mobile en desktops te scheiden, enz.

STATIC WAN: vtnet0 server public ip

DYNAMIC WAN: vtnet1 client public ip

PRIVATE:  vtnet3 = desktops laptops non-routable ip

PUBLIC: vtnet2 non-routable ip

MOBILE:  vtnet9 non-routable ip

.... enz.

Bv PUBLIC zijn dns webserver smtp enz.

Als ik dan een dns query doe gaat dat van PRIVATE naar PUBLIC en hoef ik mijn IPv6 helemaal niet om te zetten naar een routable IPv6 dan kan ik gewoon fc00::/7 range gebruiken.

Pas als trafiek vtnet0 en vtnet1 verlaat moet ik het IPv6 van fc00::/7 omzetten naar een IPv6 dat telenet mij toewijst.

Dus als ik een trace route doe tot mijn router is het fc0x:: vanaf het de één van de 2 wan interfaces buiten gaat moet het omgezet worden.

Dns is ook dubbele zone dus als ik intern een dns query doe krijg ik een ander resultaat dan dat ik dat van buiten doe. Op deze manier kan ik bv ook advertenties filteren.

'k Kan ook bepaalde services van het internet afscheiden door ze helemaal niet door te laten naar het internet.

Bv imap moet enkel bereikbaar zijn via VPN en intranet, dus de smtp staat publiek maar de imap server niet. Dit zijn keuzes die je maakt.

Dus:

Als ik dan tcpdump -ni vtnet0 doe  en ik zie de trafiek naar buiten gaan weet ik gewoon dat mijn routing werkt. En aangezien ik een IP buiten mijn IPv6 prefix kan bereiken lijkt het mij onwaarschijnlijk dat er iets intern mis is.

Dus bv fc01:abce:f001:/64 wordt omgezet naar een 2a02:1807:361x:ff::/64, voor Private en bv voor public fc01:abce:f002:/64 wordt omgezet naar een 2a02:1807:361x:fe::/64

Het grote voordeel van deze opzet is:

ik krijg een /48 range van he.net

ik krijg een /56 range van telenet

ik krijg een /48 van eender wie bv 6to4

Zonder dat ik in mijn client/server netwerk iets hoef aan tepassen kan ik gewoon op de router zeggen als het deze interface verlaat map deze range uit fc00::/7 naar deze prefix. Die ik van Telenet gekregen heb, werkt die link niet failover naar die andere prefix. Enz

En dit kan bv ook met IPv4 neem bv een FON wifi netwerk en gebruik deze als failover als telenet niet werkt. Dat werkt nooit als je routable IPv4 en IPv6 gebruikt. Want routing van NAT gebeurd pas als de trafiek de interface WAN verlaat.

En je kan nog veel meer bv

Als jij en je buren je connecties delen zou je bv op piek momenten wanneer jij veel trafiek genereerd mee de lijn van je buren kunnen gebruiken door verschillende gateways te maken. Of ze dit graag lezen bij telenet laat ik heel even terzijde en dit staat los van het feit dat je IPv6 of IPv4 gebruikt, het is gewoon de manier van werken.

Een tijd geleden had ik een FON access point gekocht dan kreeg ik gratis toegang tot FON omdat ik FON deel, dat wil dus zeggen dat ik van zowel Proximus gebruik kon maken als van het Telenet netwerk. Maar door de opzet die ik gebuik kan dit sumultaan zonder dat ik mijn netwerk hoef aan tepassen. De clients merken dit niet eens op. Je zegt gewoon deze trafiek langs daar die trafiek langs daar, je maakt gateway groups en je stelt failovers in.

En nu zelfs wanneer telenet IPv6 voor mij niet werkt kan ik zeggen ok gebruik dan he.net. Zonder dat ik héél men netwerk moet herconfigureren.

Nu denk ik dat ik mee ben met de opzet van uw netwerk. Nu probeer ik nog uw probleem te begrijpen van wat er nu niet en wel werkt. Connectie naar buiten via de tunnel en prefix van HE.net lukt maar niet via de Telenet IPv6 prefix. Of ben ik weeral helemaal mis.

In elk geval zal je bij de Telenet helpdesk geen hulp moeten verwachten, daarvoor moet je bij specialisten zijn die dan ook nog thuis zijn in de configuratie van uw Pfsense.

Uw opzet zit in de hogere moeilijkheidsgraad die zelfs in veel bedrijven niet wordt toegepast voor zover ze al overgeschakeld zijn naar IPv6.

Sorry dat ik niet echt kan helpen. Niettegenstaande ik soms de dingen niet echt ken heb ik al veel mensen kunnen helpen door hun probleem te analyseren en de juiste vragen te stellen en soms domme suggesties te geven.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

Klopt, enkel is het zo dat de prefix van telenet soms wel werkt, volgens mij zit er nog steeds een probleem bij telenet. Netwerken is niet echt nieuw voor mij, .. natuurlijk misschien zie ik iets over het hoofd je weet maar nooit.

Maar het feit dat ik via de prefix die telenet mij toewijst toch naar buiten geraak wijst erop dat het probleem niet bij mij zit maar elders, anders zou het gewoon niet werken. Nu werkt het in heel specifieke gevallen wel.

Dit IPv6 "2a02:1800:2:4020::1" ligt buiten mijn netwerk, ligt buiten mijn prefix en ik kan het bereiken via de prefix die telenet mij toewijst , dit is het eerste IPv6 dat ik tegen kom buiten mijn netwerk normaal zou ik zeggen de "gateway". Van wege die rede denk ik dat men eens moet kijken wat er daar gebeurd. 'k Neem aan dat 2a02:1800:2:4020::1 een router is? Dus voor mij stop mijn trafiek daar en dus daar gaat het mis.

De eerste keer dat je een dergelijke prefix tegenkomt is volgens mij in uw router/firewall.

Voor zover ik het mij kan voorstellen is dit de route:

interne prefix + interface ID(fc00: enzovoort) --> NPTv6 Translator --> externe prefix + interface ID (zijnde een default Gateway). Ik veronderstel dat aan de WAN kant van een router, naar analogie met IPv4, er een IPadres is zijnde prefix (toegekend door telenet) + interface ID of is dit enkel aan de LAN zijde. Ik heb echt geen ervaring met routers en ik kan het ook niet uittesten omdat ik een HGW heb.

Ik ben ondertussen verschillende dingen aan het opzoeken geweest en merkte dat deze toepassing normaal gezien uitgaat van een /48 prefix en dat bij random omzetting van een prefix /56, zoals Telenet gebruikt, de bits 49 tot 56 op 0 (nul) worden gezet. Dus ik veronderstel als je dit manueel toepast je er ook voor moet zorgen dat je interne prefix er zo uitziet fc00:xxxx:xxxx:00XX waarbij XX dan alles kan zijn tussen 00 en ff. en als je strikt volgens het boekje werkt zou het fdxx:xxxx:xxxx:00xx moeten zijn.

Loopt er daar niets mis?

Hoe je dit allemaal configureert in PFsense heb ik totaal geen idee.

In elk geval succes met de zoektocht.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

Nee, 'k heb al geprobeert het op 00 te zetten zonder resultaat. Maar toch bedankt voor de suggestie.

Dus per /64 netwerk doe ik een opzetting bv:

2a02:1807:160x::/64 fc0x:1::/64

2a02:1807:160x:1::/64 fc0x:2::/64

2a02:1807:160x:2::/64 fc0x:3::/64

bv: 2a02:181f:1:a1::1 is nog een IPv6 dat ik gewoon kan bereiken, via mijn prefix

tcpdump met echo reply:

06:03:39.136144 IP6 2a02:1807:361x:xx:xxxx:xxxx:xxxx:xxxx > 2a02:181f:1:a1::1: ICMP6, echo request, seq 33001, length 24
06:03:39.150964 IP6 2a02:181f:1:a1::1 > 2a02:1807:361x:xx:xxxx:xxxx:xxxx:xxxx: ICMP6, echo reply, seq 33001, length 24
06:03:39.236701 IP6 2a02:1807:361x:xx:xxxx:xxxx:xxxx:xxxx > 2a02:181f:1:a1::1: ICMP6, echo request, seq 33002, length 24
06:03:39.249950 IP6 2a02:181f:1:a1::1 > 2a02:1807:361x:xx:xxxx:xxxx:xxxx:xxxx: ICMP6, echo reply, seq 33002, length 24

Dit bewijst eigenlijk dat het aan mijn zijde werkt anders zou ik dit niet kunnen doen.

nog bewijs dat het gewoon bij telenet ligt:

desktop (fc0x:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx)                                 2018-07-22T06:17:07+0200
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                Packets               Pings
 Host                                                         Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. fc0x:xxxx:xxxx:xxxx::1                                     0.0%    27    0.5   0.4   0.3   0.6   0.1
 2. ???
 3. 2a02:1800:2:586b::4                                       34.6%    26   17.3  19.8  11.3  78.9  16.2
 4. 2a02:1800:2:586b::4                                        0.0%    26   27.6  23.4  13.5  50.2   7.7
    2a02:181f:1:21:4447:40d3:82b3:c0b5
 5. 2a02:181f:1:21:4447:40d3:82b3:c0b5                        64.0%    26   24.5  29.6  19.4  70.6  15.6
 6. ???

nog bewijs dat het bewoon bij hun ligt nog reeksen die ik kan bereiken:

desktop (fc0x:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx)                                 2018-07-22T06:20:02+0200
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                Packets               Pings
 Host                                                         Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. fc0x:xxxx:xxxx:xxxx::1                                     0.0%    20    0.4   0.4   0.3   0.5   0.1
 2. ???
 3. ???
 4. 2a02:1800:2:2144::4                                       36.8%    20   17.3  20.2  12.3  83.8  20.1
 5. 2a02:1800:2:2144::4                                        0.0%    20   16.8  19.4  11.9  27.0   4.0
    2a02:181f:1:165:6c78:35bb:6de6:f6db
 6. 2a02:181f:1:165:6c78:35bb:6de6:f6db                       60.0%    20   24.0  21.9  17.9  26.5   3.0
 7. ???

traceroutes naar 

2a02:1810:414:6000:62e3:27ff:feed:e255

2a02:1810:422:d200:211:32ff:fe64:44b1

2a02:1810:2f16:8900:211:32ff:fe3d:fd39

zie bovenstaande traceroutes

'k kan het eindpunt niet bereiken maar zie al die punten ter tussen in mijn trace routes die ik kan bereiken !? Er is routing naar een deel van het telenet netwerk.

Het feit dat dit kan wil zeggen dat het probleem bij telenet ligt. Ergens op een bgp wordt komt een route niet goed door of zo. Maar het zit in het Telenet netwerk zelf.

Ik ben nog eens aan het rondneuzen geweest en ik zie uw opzet zo:

2 providers die elk een prefix geven:

bvb. Telenet 2a02:1811:9c82:9100::/56 met 1 subnet toegewezen zijnde 00.

en dan HE.net 2a05:1900:8b56:0000::/48 met x aantal subnetten aan u toegewezen.

Als de providers u de subnetten niet toewijzen kan je ze ook niet gebruiken. Een IP adres met prefix 2a:02:1811:9c82:91ff zal nooit gevonden worden.

Intern zal je router een default gateway hebben in de zin van fe80::1020:3040:5060:000a = link local adres.

Omgezet naar je intern adres wordt dit dan fc00:1020:3040:001a:1020:3040:5060:000a als je vertrekt van subnet A.

Extern wordt dit (via  Telenet) 2a02:1811:9c82:9100:1020:3040:5060:000a (subnet A)

Voor elk van je interne netwerken zou dit hetzelfde moeten zijn als je via Telenet gaat.

Voor subnet B wordt dit (vermoedelijk) 2a02:1811:9c82:9100:1020:3040:5060:000b

Dus voor alle drie de netwerken dezelfde prefix. Zie de groene lijnen op het schema.

Voor HE.net kan je misschien 1 op 1 werken afhankelijk van het subnet dat je gebruikt. Default gateway is altijd dezelfde host ID. (vet gedrukt).

Ik denk dat je 3 netwerken altijd naar dezelfde prefix moeten omgezet worden in het geval van telenet

fc00:1020:3040:001a::/56 <--->2a02:1811:9c82:9100::56

fc00:1020:3040:001b::/56 <--->2a02:1811:9c82:9100::56

 fc00:1020:3040:001c::/56 <--->2a02:1811:9c82:9100::56

Voor HE.net is het misschien zo:

fc00:1020:3040:001a::/56 <--->2a05:1900:8b56:000a::56

 fc00:1020:3040:001b::/56 <--->2a05:1900:8b56:000b::56

fc00:1020:3040:001c::/56 <--->2a05:1900:8b56:000c::56

IP adressen en prefixen zijn willekeurig gekozen.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

Mijn desktop gebruikt prefix 37 en prefix 00 heb ik getest werkt ook niet. En bij he.net gebruik ik ook geen 00

zo prefix 0 en het werkt niet.

'k Denk wel niet dat je een /48 naar een /56 kan mappen. 'k Doe dat in blokken van /64