Discussion:
PD voor v6 naar pfsense
(te oud om op te antwoorden)
Rudi
2015-12-18 15:48:08 UTC
Permalink
Hallo !

IK heb vandaag maar eens besloten eea te upgraden, mijn FB(7360) naar
6.30 en tegelijk dan maar pfsense die er achter hangt naar 2.2.5. Omdat
je met 6.30 niet routing regels in de debug.cfg kan zetten (iets waar
ik eerder mijn v6 mee werkend had) maar eens het prefix-delegation
myserie aangepakt...

Edoch ZONDER succes nog.

Mijn situatie is dat ik achter mijn pfsense een 6-tal /64 netwerken
(als fixed netwerken op verschillende interfaces (interfaces hebben dus
een statisch ip#, geen "tracking interfaces" in pfsense dus.) heb muit
mijn /48 van xs4all. die wil ik dus vanuit mijn FB gedelegeerd hebben
naar pfsense.

MIjn volgende vraag is nu wat is een werkende config, ofwel: hoe stel
ik mijn Fritz in ?
ik heb nu: Derive global address using the assigned prefix voor het
IPv6 adres, verder DHCPv6 Rapid commit, Allow IPv6 prefixes announced
by other IPv6 routers in the home network,Assign DNS server, prefix
(IA_PD) and IPv6 address (IA_NA).

nu zet ik in mijn pfsense op de WAN interface DHCP6(client)aan voor het
adres, en voeg ik als advanced optie ia-pd 0, ia-na 0 toe...

Wat ik nu zie is dat mijn WAN een v6 adres krijgt in mijn /48, echter
er lijkt geen correcte (default) gaeway te zijn (moet ik die instellen
(waar), of hoort die netjes door de FB gegenereerd te worden), verder:
hoe geef ik aan welke subnetten ik wil, (is pfsense zo slim dat ie dat
zelf weet uit de netwerken die op interfaces gedefinieerd staan, en
vervolgens die aan de FB "vraagt") of krijg ik (automagisch) van mijn
fritz de hele /48 ??

Ik heb het nog niet werkend gehad in deze setup, wel bij het statisch
routeren (wat niet meer kan in 6.30)

Heeft iemand deze zelfde setup wel werkend (FB 6.30 + pfsense 2.2.5) !?

Iedere hint is welkom, ik heb nog niet echt de finesses van PD door kennelijk.

Rudi
Rob
2015-12-18 15:55:39 UTC
Permalink
Post by Rudi
Iedere hint is welkom, ik heb nog niet echt de finesses van PD door kennelijk.
Ik heb zelf andere spullen (en bij mij werkt het wel), maar ik begreep
dat er ergens een bug is waardoor je alleen laag genummerde netwerken
in je /48 kunt gebruiken. Als je gewoon 0,1,2,3,4,5 voor je 6 subnetten
gebruikt moet het werken, maar als je willekeurige 16-bit nummers
gekozen hebt werkt het niet (of werkte het niet).
Maarten Carels
2015-12-19 14:27:15 UTC
Permalink
Post by Rob
Post by Rudi
Iedere hint is welkom, ik heb nog niet echt de finesses van PD door kennelijk.
Ik heb zelf andere spullen (en bij mij werkt het wel), maar ik begreep
dat er ergens een bug is waardoor je alleen laag genummerde netwerken
in je /48 kunt gebruiken. Als je gewoon 0,1,2,3,4,5 voor je 6 subnetten
gebruikt moet het werken, maar als je willekeurige 16-bit nummers
gekozen hebt werkt het niet (of werkte het niet).
Klopt. Je *MOET* via dhcp-pd doen (= je device vraagt om een prefix). De
fritz deelt alleen uit de eerste /56 van je range uit.

--maarten
Rudi
2015-12-21 10:20:46 UTC
Permalink
Post by Maarten Carels
Post by Rob
Post by Rudi
Iedere hint is welkom, ik heb nog niet echt de finesses van PD door kennelijk.
Ik heb zelf andere spullen (en bij mij werkt het wel), maar ik begreep
dat er ergens een bug is waardoor je alleen laag genummerde netwerken
in je /48 kunt gebruiken. Als je gewoon 0,1,2,3,4,5 voor je 6 subnetten
gebruikt moet het werken, maar als je willekeurige 16-bit nummers
gekozen hebt werkt het niet (of werkte het niet).
Klopt. Je *MOET* via dhcp-pd doen (= je device vraagt om een prefix). De
fritz deelt alleen uit de eerste /56 van je range uit.
--maarten
Thanks, maarten,

Okee, betekent dit dat als je om een prefix vraagt je *altijd* de
eerste /56 (en altijd een /56) krijgt ? oftewel, je kan niet om
meerdere prefixen vragen ?
Ik heb het nu werkend met een (1) prefix (heb PD 4 gekozen) ...
maar de volgende lijkt het niet te doen, maar dat kan ook aan mij liggen :-)

Nog even verder kijken ....

Rudi
hda
2015-12-21 22:10:36 UTC
Permalink
Post by Rudi
Post by Maarten Carels
Post by Rob
Post by Rudi
Iedere hint is welkom, ik heb nog niet echt de finesses van PD door kennelijk.
Ik heb zelf andere spullen (en bij mij werkt het wel), maar ik begreep
dat er ergens een bug is waardoor je alleen laag genummerde netwerken
in je /48 kunt gebruiken. Als je gewoon 0,1,2,3,4,5 voor je 6 subnetten
gebruikt moet het werken, maar als je willekeurige 16-bit nummers
gekozen hebt werkt het niet (of werkte het niet).
Klopt. Je *MOET* via dhcp-pd doen (= je device vraagt om een prefix). De
fritz deelt alleen uit de eerste /56 van je range uit.
--maarten
Nog even verder kijken ....
XS4All levert de prefix /48 voor de FB.

Met pfSense kan je max. (de /56 blijkt effectief 127 subnets) van de
FB vragen met dhcp6(PD) van pfSense-WAN. Je zou dus ook een /64 (1
subnet voor 1 LAN) kunnen vragen (Track Interface). Elk LAN heeft een
eigen uniek subnet, een /64 prefix nodig.
Welke subnet waarde(n) je krijgt toegewezen van de FB lijkt niet
beinvloedbaar. Mijn ervaring is dat je niet een static pfSense-LAN kan
confgureren met een door jou gekozen subnet nummer. FB managed dat.

Als je Static LAN wil uitdelen of met pfSense DHCP6-Server werken, dan
de PPPoE direct op XS4ALL zetten voor de /48.
Maarten Carels
2015-12-28 11:51:25 UTC
Permalink
Post by Rudi
Post by Maarten Carels
Post by Rob
Post by Rudi
Iedere hint is welkom, ik heb nog niet echt de finesses van PD door kennelijk.
Ik heb zelf andere spullen (en bij mij werkt het wel), maar ik begreep
dat er ergens een bug is waardoor je alleen laag genummerde netwerken
in je /48 kunt gebruiken. Als je gewoon 0,1,2,3,4,5 voor je 6 subnetten
gebruikt moet het werken, maar als je willekeurige 16-bit nummers
gekozen hebt werkt het niet (of werkte het niet).
Klopt. Je *MOET* via dhcp-pd doen (= je device vraagt om een prefix). De
fritz deelt alleen uit de eerste /56 van je range uit.
--maarten
Thanks, maarten,
Okee, betekent dit dat als je om een prefix vraagt je *altijd* de
eerste /56 (en altijd een /56) krijgt ? oftewel, je kan niet om
meerdere prefixen vragen ?
Nee, dat betekent het niet, en dat zei ik ook niet.

Je device vraagt om een prefix (en geeft daarbij aan 'ik wil eigenlijk
een /zoveel), de fritz geeft je een prefix uit de eerste /56 die hij
heeft. Omdat een aantal waarvan al gebruikt zijn (0, 1 en 2) krijg je
hoogstens een /57 (default is een /62 geloof ik).

Als je een enkel device hebt waarmee je 6 netten doorrouteert, vraag je
dus iets dat groot genoeg is (/61 of zo), en die krijg je, netjes uit je
eerste /56.
Anders heb je 6 devices die een prefix vragen, ook geen probleem (mits
het allemaal in die eerste /56 past).

Maar, de essentie is dat je niet zelf iets kan verzinnen, maar via
dhcp-pd *MOET* vragen. DHCP-PD is ook de manier waarop je fritz de
prefix van de XS4ALL BRAS krijgt.

Ik heb ooit eens (als test) vier fritzen achter elkaar gezet, waarbij
ieder netjes een prefix vroeg aan de bovenliggende. Werkte zonder
problemen.

Enige dat wel mist, is de mogelijkheid om poorten in zo'n gedelegeerde
prefix open te zetten (dat betekent dat alle van buiten bereikbare
services achter de box moeten zitten die direct aan je lijn hangt).
Post by Rudi
Ik heb het nu werkend met een (1) prefix (heb PD 4 gekozen) ...
maar de volgende lijkt het niet te doen, maar dat kan ook aan mij liggen :-)
Niet zelf een prefix kiezen, maar er netjes om vragen. En controleer
even of je de dhcpv6 server in de fritz goed hebt staan (Home
Network->Network Settings->IPv6 Addresses, en daar 'Enable DHCPv6 server
in the FRITZ!Box for the home network' en 'Assign DNS server, prefix
(IA_PD) and IPv6 address (IA_NA)'

--maarten
Rob
2015-12-28 12:29:10 UTC
Permalink
Post by Maarten Carels
Maar, de essentie is dat je niet zelf iets kan verzinnen, maar via
dhcp-pd *MOET* vragen. DHCP-PD is ook de manier waarop je fritz de
prefix van de XS4ALL BRAS krijgt.
Heeft dhcp-pd, net als gewoon dhcp, niet de mogelijkheid om bij de
aanvraag een nummer te suggereren wat de server kan geven als het
vrij is? Kan dat gewoon niet of heeft de Fritzbox server daar geen
zin in?

In mijn MikroTik is dit probleem er overigens ook. Ik kan per interface
aangeven of hij een IPv6 prefix moet krijgen en hoe lang die moet zijn
(default /62 maar ik zet er altijd /64 in) en die worden keurig met
dhcp-pd aangevraagd en krijgen de netwerken 0,1,2 etc, maar ik kan niet
opgeven in welke volgorde dat moet gebeuren, die volgorde is vastgelegd
op grond van interface soort en nummer.
Als ik een extra netwerk van IPv6 voorzie dan kan alles opschuiven.
Niet iets wat je wilt als je vaste adressen aan systemen wilt hangen...

Wel kun je in een MikroTik gewoon firewall rules instellen hoe je ze
wilt hebben.
MM
2015-12-28 15:29:14 UTC
Permalink
Post by Rob
Post by Maarten Carels
Maar, de essentie is dat je niet zelf iets kan verzinnen, maar via
dhcp-pd *MOET* vragen. DHCP-PD is ook de manier waarop je fritz de
prefix van de XS4ALL BRAS krijgt.
Heeft dhcp-pd, net als gewoon dhcp, niet de mogelijkheid om bij de
aanvraag een nummer te suggereren wat de server kan geven als het
vrij is? Kan dat gewoon niet of heeft de Fritzbox server daar geen
zin in?
In mijn MikroTik is dit probleem er overigens ook. Ik kan per interface
aangeven of hij een IPv6 prefix moet krijgen en hoe lang die moet zijn
(default /62 maar ik zet er altijd /64 in) en die worden keurig met
dhcp-pd aangevraagd en krijgen de netwerken 0,1,2 etc, maar ik kan niet
opgeven in welke volgorde dat moet gebeuren, die volgorde is vastgelegd
op grond van interface soort en nummer.
Als ik een extra netwerk van IPv6 voorzie dan kan alles opschuiven.
Niet iets wat je wilt als je vaste adressen aan systemen wilt hangen...
Wel kun je in een MikroTik gewoon firewall rules instellen hoe je ze
wilt hebben.
Op mijn Mikrotik zie ik bij adressen:

2001:981:xxx:0:1::1/64 voor pppoe Xs4all
2001:981:xxx:0:2::1/64 voor uplink naar switch (Master ethernet 2)

Die kan ik wel veranderen en zoals Rob schreef het het nummeren van de
netwerken aan de hand op welke netwerkpoort het adres zit.

Zo eigenwijs geweest om statisch ook te gebruiken en zo gebruik ik
2001:981:xxxx::xx ook voor een server.

De firewall is niet zo uitgebreid als voor IPv4 maar toereikend waar ik
zelfs Layer 7 filtering gebruik om functies van de fritz.box te
dupliceren die ik miste.

Als ik onder IPv6 routers kijk dan zie ik een automatisch aangemaakt
doel adres 2001:981:xxx::/48 die niet bereikbaar is. Staat ook niet in
de ND. Ik kan dat adres niet veranderen of verwijderen.
Daaronder staat wederom 2001:981:xxx maar met 64 erachter en die is wel
bereikbaar via de uplink-switch (Master ethernet 2) gateway.

Het werkt allemaal en ik moet er nog eens goed induiken.
Rob
2015-12-28 15:54:54 UTC
Permalink
Post by MM
Post by Rob
Post by Maarten Carels
Maar, de essentie is dat je niet zelf iets kan verzinnen, maar via
dhcp-pd *MOET* vragen. DHCP-PD is ook de manier waarop je fritz de
prefix van de XS4ALL BRAS krijgt.
Heeft dhcp-pd, net als gewoon dhcp, niet de mogelijkheid om bij de
aanvraag een nummer te suggereren wat de server kan geven als het
vrij is? Kan dat gewoon niet of heeft de Fritzbox server daar geen
zin in?
In mijn MikroTik is dit probleem er overigens ook. Ik kan per interface
aangeven of hij een IPv6 prefix moet krijgen en hoe lang die moet zijn
(default /62 maar ik zet er altijd /64 in) en die worden keurig met
dhcp-pd aangevraagd en krijgen de netwerken 0,1,2 etc, maar ik kan niet
opgeven in welke volgorde dat moet gebeuren, die volgorde is vastgelegd
op grond van interface soort en nummer.
Als ik een extra netwerk van IPv6 voorzie dan kan alles opschuiven.
Niet iets wat je wilt als je vaste adressen aan systemen wilt hangen...
Wel kun je in een MikroTik gewoon firewall rules instellen hoe je ze
wilt hebben.
2001:981:xxx:0:1::1/64 voor pppoe Xs4all
2001:981:xxx:0:2::1/64 voor uplink naar switch (Master ethernet 2)
Dat kan niet kloppen... wellicht heb je er in zitten editen?
Het heeft niet veel zin die xxx daar neer te zetten trouwens
want iedereen kan toch zo zien wat daar moet staan.
Post by MM
Die kan ik wel veranderen en zoals Rob schreef het het nummeren van de
netwerken aan de hand op welke netwerkpoort het adres zit.
Ik heb geen adres aan de pppoe interface gehangen omdat ik de router
toch niet van buitenaf wil benaderen, maar ik heb wel aparte ranges
op mijn LAN en gasten netwerk en ik heb niet in de hand welke daarvan
0 is en welke 1. Ik heb een enhancement request ingediend om zelf de
volgorde te kunnen instellen waarin de interfaces hun adres aanvragen.
MM
2015-12-28 16:44:48 UTC
Permalink
knip
Post by Rob
Post by MM
2001:981:xxx:0:1::1/64 voor pppoe Xs4all
2001:981:xxx:0:2::1/64 voor uplink naar switch (Master ethernet 2)
Dat kan niet kloppen... wellicht heb je er in zitten editen?
Het heeft niet veel zin die xxx daar neer te zetten trouwens
want iedereen kan toch zo zien wat daar moet staan.
Ik wil dat de adressen namelijk niet "plain" in groups.google staan.

Ik zie al waarom ik die twee adressen heb staan. Deze worden zo te zien
gegenereerd door de Lanbridge wat ook in het commentaar daarboven staat
in de tabel.
hja
2015-12-28 19:35:08 UTC
Permalink
Post by Rob
Post by MM
Post by Rob
Post by Maarten Carels
Maar, de essentie is dat je niet zelf iets kan verzinnen, maar via
dhcp-pd *MOET* vragen. DHCP-PD is ook de manier waarop je fritz de
prefix van de XS4ALL BRAS krijgt.
Heeft dhcp-pd, net als gewoon dhcp, niet de mogelijkheid om bij de
aanvraag een nummer te suggereren wat de server kan geven als het
vrij is? Kan dat gewoon niet of heeft de Fritzbox server daar geen
zin in?
In mijn MikroTik is dit probleem er overigens ook. Ik kan per interface
aangeven of hij een IPv6 prefix moet krijgen en hoe lang die moet zijn
(default /62 maar ik zet er altijd /64 in) en die worden keurig met
dhcp-pd aangevraagd en krijgen de netwerken 0,1,2 etc, maar ik kan niet
opgeven in welke volgorde dat moet gebeuren, die volgorde is vastgelegd
op grond van interface soort en nummer.
Als ik een extra netwerk van IPv6 voorzie dan kan alles opschuiven.
Niet iets wat je wilt als je vaste adressen aan systemen wilt hangen...
Wel kun je in een MikroTik gewoon firewall rules instellen hoe je ze
wilt hebben.
2001:981:xxx:0:1::1/64 voor pppoe Xs4all
2001:981:xxx:0:2::1/64 voor uplink naar switch (Master ethernet 2)
Dat kan niet kloppen... wellicht heb je er in zitten editen?
Het heeft niet veel zin die xxx daar neer te zetten trouwens
want iedereen kan toch zo zien wat daar moet staan.
Post by MM
Die kan ik wel veranderen en zoals Rob schreef het het nummeren van de
netwerken aan de hand op welke netwerkpoort het adres zit.
Ik heb geen adres aan de pppoe interface gehangen omdat ik de router
toch niet van buitenaf wil benaderen, maar ik heb wel aparte ranges
op mijn LAN en gasten netwerk en ik heb niet in de hand welke daarvan
0 is en welke 1. Ik heb een enhancement request ingediend om zelf de
volgorde te kunnen instellen waarin de interfaces hun adres aanvragen.
Vandaag even met pfsense lopen spelen. Als ik het goed begrijp kun je
voor verschillende netwerken (lan, gasten, e.d.) een andere prefix kiezen
binnen het /48 segment. dus bijvoorbeeld x /56 segmenten.
Die prefix kun je dan met pfsense wel forceren.

Ik moet erbij zeggen dat ik het systeem niet werkend kreeg mede dankzij
de ongelovelijk trage pfsense. De interface is leuk, maar hoeveel hardware
heb je nodig voor een simpele filtering router met 100Mbps?

Bedoel je met het forceren van de volgorde dat je bijvoorbeeld de eerste
pc's op het netwerk als admin extra rechten wil toekennen?

Met vriendelijke groet,
Huub
Rob
2015-12-28 21:14:59 UTC
Permalink
Post by hja
Bedoel je met het forceren van de volgorde dat je bijvoorbeeld de eerste
pc's op het netwerk als admin extra rechten wil toekennen?
Nee ik bedoel dat als ik PC's op mijn LAN een vast adres geef wat ik
op internet in DNS zet, ik het niet leuk vind als dat adres verandert
omdat ik bijvoorbeeld een extra WiFi interface aanmaak die deze prefix
pakt en mijn LAN een hoger laat uitkomen.

En dat kan gebeuren want ze worden zo te zien op alfabetische volgorde
uitgedeeld dus een bridge interface krijgt eerder een adres dan een
ethernet interface.
Arnold
2015-12-26 11:46:32 UTC
Permalink
Post by Maarten Carels
Post by Rob
Post by Rudi
Iedere hint is welkom, ik heb nog niet echt de finesses van PD door kennelijk.
Ik heb zelf andere spullen (en bij mij werkt het wel), maar ik begreep
dat er ergens een bug is waardoor je alleen laag genummerde netwerken
in je /48 kunt gebruiken. Als je gewoon 0,1,2,3,4,5 voor je 6
subnetten gebruikt moet het werken, maar als je willekeurige 16-bit
nummers gekozen hebt werkt het niet (of werkte het niet).
Klopt. Je *MOET* via dhcp-pd doen (= je device vraagt om een prefix). De
Zit het aanmaken ven statische IPv6 routes ook nog ergens in de planning
bij AVM? Nu ze die telnetserver hebben afgesloten is de behoefte aan
enkele basisinstellingen (firewall, routing) groter dan ooit!

Op zich zou ik geen probleem hebben zelf een losse modem te kopen, maar
met de nauwe band KPN - VVDSL - XS4ALL - AVM is dat ook steeds minder een
optie als ik alles zo lees.
Post by Maarten Carels
fritz deelt alleen uit de eerste /56 van je range uit.
Ik val met mijn statische configuratie buiten die range, dus ik houd het
voorlopig nog maar gewoon op de F/W waarin telnet nog wel werkt...

Arnold
Maarten Carels
2015-12-28 11:51:25 UTC
Permalink
[...]
Post by Arnold
Post by Maarten Carels
fritz deelt alleen uit de eerste /56 van je range uit.
Ik val met mijn statische configuratie buiten die range, dus ik houd het
voorlopig nog maar gewoon op de F/W waarin telnet nog wel werkt...
Niet statisch doen, maar netjes DHCP-PD (zie andere post in deze draad)

--maarten
Arnold
2016-01-02 13:34:51 UTC
Permalink
Post by Maarten Carels
[...]
Post by Arnold
Post by Maarten Carels
fritz deelt alleen uit de eerste /56 van je range uit.
Ik val met mijn statische configuratie buiten die range, dus ik houd
het voorlopig nog maar gewoon op de F/W waarin telnet nog wel werkt...
Niet statisch doen, maar netjes DHCP-PD (zie andere post in deze draad)
Ik zie er het voordeel niet van (ook in je andere post niet). Hooguit
omdat de F!B tegenwoordig niet anders kan. Ik heb het nu statisch goed
voor elkaar (ook omdat de F!B dit eerder helemaal niet kon). Maar,
begrijp ik goed dat AVM niet meer van plan is om een grafische interface
te maken rond 'ip -6 route add ...'?

Bij een dynamische config vraag ik me wel af hoe het bijv. zit met de
volgende twee zaken.

- Als m'n DSL er een keer uit ligt of de F!B is onbereikbaar, gaat dan
ook m'n hele interne netwerk plat? Mede daarom heb ik m'n eerste machine
na de F!B statisch en de rest via SLAAC.

- Kan ik erop rekenen dat de F!B iedere keer dezelfde subnets aan
bepaalde clients gaat uitdelen (zoals IPv4 DHCP en IPv6 RA - autoconfig
doen op basis van ethernet adres)? Ik zie anders problemen met
* firewall
* radvd config
* interne DNS
* NFS exports

Kan iemand hier wat over zeggen? Als dit problemen geeft, steek ik m'n
tijd liever in Freetz ;-)

Arnold
Rob
2016-01-02 15:54:06 UTC
Permalink
Post by Arnold
Ik zie er het voordeel niet van (ook in je andere post niet).
Het voordeel is dat upstream routers kunnen overstappen op het alleen
doorgeven van wat jij expliciet aangeeft te willen hebben, ipv je hele
/48. Daarmee worden bepaalde attacks lastiger gemaakt.

(hoewel het natuurlijk pas echt zoden aan de dijk zet als je veel minder
dan een /64 zou routeren)
Arnold
2016-01-02 20:19:25 UTC
Permalink
Post by Rob
Post by Arnold
Ik zie er het voordeel niet van (ook in je andere post niet).
(Ging over voordeel DHCP-PD boven mijn huidige statische routing in F!B.)
Post by Rob
Het voordeel is dat upstream routers kunnen overstappen op het alleen
doorgeven van wat jij expliciet aangeeft te willen hebben, ipv je hele
/48. Daarmee worden bepaalde attacks lastiger gemaakt.
OK, maar geeft de F!B dat met DHCP-PD dan ook door aan XS4ALL? In de F!B
heb ik nu met 'ip -6 route add ...' alleen de /64 subnets opgegeven die
ik gebruik (en zou ook /120 kunnen zijn). Bij de F!B stopt het nu dus al
voor mij. Als de F!B het ook upstream doorgeeft wat 'ie downstream
uitgeeft, zou dat idd een voordeel zijn (met je opmerking hieronder dat
't dan wel kleiner moet dan /64).

M'n vragen rond firewall, intern DNS, NFS exports en zorgen rond de
bruikbaarheid van m'n interne netwerk zonder (connectie met) F!B zijn
hiermee nog niet minder ;-)
Post by Rob
(hoewel het natuurlijk pas echt zoden aan de dijk zet als je veel minder
dan een /64 zou routeren)
Inderdaad. Mijn subnets zouden in principe best /120 kunnen zijn. Maar
dan moet je volgens mij wel statisch werken bij de nodes. Dan maakt een
dynamisch stukje DHCP-PD ertussen, het alleen maar gecompliceerder en
pleit dit, wat configureren betreft, juist tegen PD, toch?

Arnold
Rob
2016-01-02 21:16:29 UTC
Permalink
Post by Arnold
Post by Rob
Post by Arnold
Ik zie er het voordeel niet van (ook in je andere post niet).
(Ging over voordeel DHCP-PD boven mijn huidige statische routing in F!B.)
Post by Rob
Het voordeel is dat upstream routers kunnen overstappen op het alleen
doorgeven van wat jij expliciet aangeeft te willen hebben, ipv je hele
/48. Daarmee worden bepaalde attacks lastiger gemaakt.
OK, maar geeft de F!B dat met DHCP-PD dan ook door aan XS4ALL?
Ik ken de implementatie in de Fritzbox niet maar dit is zeker mogelijk.
Mijn MikroTik doet dit zo te zien wel.
Post by Arnold
In de F!B
heb ik nu met 'ip -6 route add ...' alleen de /64 subnets opgegeven die
ik gebruik (en zou ook /120 kunnen zijn). Bij de F!B stopt het nu dus al
voor mij. Als de F!B het ook upstream doorgeeft wat 'ie downstream
uitgeeft, zou dat idd een voordeel zijn (met je opmerking hieronder dat
't dan wel kleiner moet dan /64).
Ik weet niet of dit bij statische routes ook gebeurt.
De XS4ALL mensen zullen hier ongetwijfeld meer over kunnen zeggen, en
ook of het overwogen wordt om prefixes die niet met DHCP-PD zijn aangevraagd
gewoon niet meer te routeren.
(waarvan ik dacht dat het al ingevoerd was, maar kennelijk nog niet)
Post by Arnold
M'n vragen rond firewall, intern DNS, NFS exports en zorgen rond de
bruikbaarheid van m'n interne netwerk zonder (connectie met) F!B zijn
hiermee nog niet minder ;-)
Meestal zit er ook een FE80 prefix op je interne interface die zou
moeten werken zonder externe verbinding, maar je hebt dan wellicht
geen kloppende DNS entries meer, zeker als je niet de DNS van de Fritzbox
gebruikt.
Post by Arnold
Post by Rob
(hoewel het natuurlijk pas echt zoden aan de dijk zet als je veel minder
dan een /64 zou routeren)
Inderdaad. Mijn subnets zouden in principe best /120 kunnen zijn. Maar
dan moet je volgens mij wel statisch werken bij de nodes. Dan maakt een
dynamisch stukje DHCP-PD ertussen, het alleen maar gecompliceerder en
pleit dit, wat configureren betreft, juist tegen PD, toch?
Het is altijd een touwtrekkerij tussen de onrealistische voorstanders
van /64 netwerken en SLAAC en de praktische voorstanders van /120 netwerken
en statische configuratie dan wel DHCPv6...
Maarten Carels
2016-01-04 09:57:48 UTC
Permalink
Arnold <***@hacktic.nl> wrote:
[...]
Post by Arnold
OK, maar geeft de F!B dat met DHCP-PD dan ook door aan XS4ALL? In de F!B
heb ik nu met 'ip -6 route add ...' alleen de /64 subnets opgegeven die
ik gebruik (en zou ook /120 kunnen zijn). Bij de F!B stopt het nu dus al
voor mij. Als de F!B het ook upstream doorgeeft wat 'ie downstream
uitgeeft, zou dat idd een voordeel zijn (met je opmerking hieronder dat
't dan wel kleiner moet dan /64).
Is veel simpeler dan dat.
Je fritzbox (of wat dan ook) vraagt een prefix via DHCP-PD aan de BRAS.
Dat gebeurt als de PPP onderhandelingen compleet zijn.
De BRAS geeft je jouw /48, en zorgt dat die /48 naar jou gerouteerd
wordt. Welke /48 je krijgt zegt de RADIUS server waar de BRAS
tegenaanleutert (ook je (ene) ipv4 adres wordt door de RADIUS
toegekend).
RADIUS leunt op een database, daarin staan je IP gegevens (wordt bedacht
ergens in het traject van het bestellen van de lijn).

Wat er aan jouw kant precies met die toegekende prefix gebeurt wordt
door jouw router bedacht. In het geval van een Fritzbox is dat:
prefix:0:: hier wordt prefix::1 gebruikt voor de buitenkant
prefix:1:: komt op je LAN
prefix:2:: is voor je 'gasten net'
prefix:3-ff:: beschikbaar voor allocatie met dhcp-pd
prefix:100-ffff:: onbruikbaar
[...]
Post by Arnold
Inderdaad. Mijn subnets zouden in principe best /120 kunnen zijn. Maar
dan moet je volgens mij wel statisch werken bij de nodes. Dan maakt een
dynamisch stukje DHCP-PD ertussen, het alleen maar gecompliceerder en
pleit dit, wat configureren betreft, juist tegen PD, toch?
Een /120 (eigenlijk alles anders dan /64) maakt SLAAC onmogelijk,
inderdaad is dan ofwel dhcpv6 of handmatig configureren wat je moet
doen.
In een thuisnetwerk is er in principe geen reden om dat te doen.
Het lijkt erop dat in ieder geval Android devices geen DHCPv6 willen
doen.

In een Fritzbox heb je overigens met prefixen die je met dhcp-pd
delegeert overigens niet de mogelijkheid om die van buiten bereikbaar te
maken (portforwarding voor ipv6 werkt alleen in prefix:1::/64). Is als
wens bij AVM neergelegd.

Hopelijk kom je hiermee verder

--maarten
Rob
2016-01-04 12:02:10 UTC
Permalink
Post by Maarten Carels
Is veel simpeler dan dat.
Je fritzbox (of wat dan ook) vraagt een prefix via DHCP-PD aan de BRAS.
Dat gebeurt als de PPP onderhandelingen compleet zijn.
De BRAS geeft je jouw /48, en zorgt dat die /48 naar jou gerouteerd
wordt.
En er zijn ook geen plannen om dat te veranderen?
Wat heeft het voor zin om moeilijk te doen met DHCP-PD aan de LAN kant
als de Fritzbox toch al de hele /48 krijgt?

Ik verkeerde in de veronderstelling dat het plan was om de subnetten
die aan de LAN kant worden aangevraagd bij XS4ALL naar de lijn te
routeren en de rest niet.
Arnold
2016-01-04 20:07:52 UTC
Permalink
Post by Rob
Post by Maarten Carels
Is veel simpeler dan dat.
Je fritzbox (of wat dan ook) vraagt een prefix via DHCP-PD aan de BRAS.
Dat gebeurt als de PPP onderhandelingen compleet zijn.
De BRAS geeft je jouw /48, en zorgt dat die /48 naar jou gerouteerd
wordt.
En er zijn ook geen plannen om dat te veranderen?
Wat heeft het voor zin om moeilijk te doen met DHCP-PD aan de LAN kant
als de Fritzbox toch al de hele /48 krijgt?
Dan hoeft AVM geen grafische schil te bouwen rond 'ip -6 route
add ...' (hoewel dat nooit veel werk kan zijn aangezien ze zo'n soort
inteface voor IPv4 wel hebben. Met het afsluiten van toegang tot de
command line bij de nieuwere versies (geen telnet meet en ook geen ssh of
zo) is dit de enige optie om ueberhaupt nog iets met een subnet achter
een F!B te kunnen doen.

Uit de reacties van Maarten begrijp ik tenminste dat men bij AVM niet
werkt aan (en vanuit XS4ALL niet aandringt op) het statisch routen naar
subnets met een F!B.
Post by Rob
Ik verkeerde in de veronderstelling dat het plan was om de subnetten die
aan de LAN kant worden aangevraagd bij XS4ALL naar de lijn te routeren
en de rest niet.
Aangezien jouw argument het enige kleine voordeel zou kunnen zijn en ik
weinig heb gezien over de nadelen (in mijn geval), vrees ik me toch maar
eens in Freetz te moeten verdiepen. Op zich ook wel leuk als ik er maar
tijd voor had. Voorlopig heb ik nog geen vectoring, dus ik kan 't
upgraden van m'n firmware nog even uitstellen.

Arnold
Arnold
2016-01-04 22:09:47 UTC
Permalink
Post by Maarten Carels
[...]
Post by Arnold
OK, maar geeft de F!B dat met DHCP-PD dan ook door aan XS4ALL? In de
F!B heb ik nu met 'ip -6 route add ...' alleen de /64 subnets opgegeven
die ik gebruik (en zou ook /120 kunnen zijn). Bij de F!B stopt het nu
dus al voor mij. Als de F!B het ook upstream doorgeeft wat 'ie
downstream uitgeeft, zou dat idd een voordeel zijn (met je opmerking
hieronder dat 't dan wel kleiner moet dan /64).
Is veel simpeler dan dat.
Je fritzbox (of wat dan ook) vraagt een prefix via DHCP-PD aan de BRAS.
Dat gebeurt als de PPP onderhandelingen compleet zijn.
De BRAS geeft je jouw /48, en zorgt dat die /48 naar jou gerouteerd
wordt.
OK, het voordeel van Rob met /120's vervalt dus als mogelijk (en tot nu
toe enige) voordeel ;-)
Post by Maarten Carels
Wat er aan jouw kant precies met die toegekende prefix gebeurt wordt
Als ik de discussies in xs4all.adsl een beetje volg, heb ik met vvdsl
(gepland: Q2 2016) weinig andere opties dan de F!B als router, toch?
Post by Maarten Carels
Post by Arnold
Inderdaad. Mijn subnets zouden in principe best /120 kunnen zijn. Maar
dan moet je volgens mij wel statisch werken bij de nodes. Dan maakt een
dynamisch stukje DHCP-PD ertussen, het alleen maar gecompliceerder en
pleit dit, wat configureren betreft, juist tegen PD, toch?
Een /120 (eigenlijk alles anders dan /64) maakt SLAAC onmogelijk,
inderdaad is dan ofwel dhcpv6 of handmatig configureren wat je moet
doen.
In een thuisnetwerk is er in principe geen reden om dat te doen.
Ik zie voor mezelf ook niet direct de noodzaak over te stappen op /120
subnets aangezien de F!B nieuwe connecties naar de subnets toch al niet
kan doorlaten.
Post by Maarten Carels
Het lijkt erop dat in ieder geval Android devices geen DHCPv6 willen
doen.
Dit helpt ook niet echt om me te overtuigen dat DHCPv6-PD zo handig is ;-)
Post by Maarten Carels
In een Fritzbox heb je overigens met prefixen die je met dhcp-pd
delegeert overigens niet de mogelijkheid om die van buiten bereikbaar te
maken
Dat is helaas niet anders voor de statische 'ip -6 route add ...' variant
(ook niet door de config files in /var/flash te editen).
Post by Maarten Carels
(portforwarding voor ipv6 werkt alleen in prefix:1::/64). Is als
wens bij AVM neergelegd.
Waarom zou je naar andere subnets dan prefix:1::/64 willen? Je kunt
immers moeilijk een externe DNS naar een dynamisch (DHCP-PD) subnet laten
resolven.

Volgens mij zou je juist met deze wens van jullie *ook* statische routing
van subnets willen (wat ik dus ook graag wil). Zie ik nu iets heel erg
over het hoofd, of is dit wellicht een onderdeel van jullie wens?
Post by Maarten Carels
Hopelijk kom je hiermee verder
Ja, dankjewel (en Rob ook). Ik begrijp dat het bij upgraden naar hogere
firmware versies (zonder telnet) zeer gecompliceerd wordt als ik meerdere
interne subnets wil (zou dan alleen via DHCP-PD van Fritzbox kunnen),
waarbij ik *ook* wil dat 't hele zaakje blijft draaien zonder internet of
fritzbox (vereist configuratie zonder DHCP-PD van Fritzbox). Met mijn
wensen
- die subnets beperkt via een firewall met elkaar te laten praten,
- NFS-toegang te reguleren op IP-basis (via file 'exports') en
- interne machines via een interne DNS van namen te voorzien,
wordt 't allemaal nog een slag gecompliceerder. Met statische subnets en
SLAAC (=vaste globale IP-adressen per interface) is dit allemaal vrij
eenvoudig en onafhankelijk van elkaar te configureren.

Telnet toevoegen via freetz (ook veel gedoe) lijkt me nog de handigste
optie.

Arnold
hda
2016-01-04 22:43:26 UTC
Permalink
Post by Arnold
Telnet toevoegen via freetz (ook veel gedoe) lijkt me nog de handigste
optie.
En de goedkoopste ;-) Plat alternatief: DTv130 -> [Mikrotik || pfSense
|| Linux] PPPoE/DHCP-PD on WAN -> Static LAN's routeren naar keuze
voor de Static-serverhosts of DHCP6-clients (of SLAAC-ers).
Rob
2016-01-05 08:39:06 UTC
Permalink
Post by Arnold
Als ik de discussies in xs4all.adsl een beetje volg, heb ik met vvdsl
(gepland: Q2 2016) weinig andere opties dan de F!B als router, toch?
Ik werk zelf met een Draytek Vigor 130 modem en een MikroTik router.
De Draytek bridged PPPoE en dit wordt getermineerd door de MikroTik.
Dit werkt goed, zelfs op MTU 1500 wat de Fritzbox nog steeds niet kan.
(daar is de MTU beperkt tot 1492 door de PPPoE header)
Maarten Carels
2016-01-05 10:18:42 UTC
Permalink
Post by Rob
Post by Arnold
Als ik de discussies in xs4all.adsl een beetje volg, heb ik met vvdsl
(gepland: Q2 2016) weinig andere opties dan de F!B als router, toch?
Ik werk zelf met een Draytek Vigor 130 modem en een MikroTik router.
De Draytek bridged PPPoE en dit wordt getermineerd door de MikroTik.
Dit werkt goed, zelfs op MTU 1500 wat de Fritzbox nog steeds niet kan.
(daar is de MTU beperkt tot 1492 door de PPPoE header)
Ik zie in een van de laatste beta's voor de 7490 een pppoe-passthrough
optie, mogelijk wordt daarmee dat mogelijk.

Daarnaast zijn we al een tijdje bezig om AVM te overtuigen om RFC-4638
te implementeren, daarmee wordt een 1500 byte MTU *OVER* de ppp sessie
mogelijk. In de beta die ik draai zit het al, alleen werkt net nog niet
compleet.

In de praktijk worden nieuwe dingen eerst op het topmodel
geimplementeerd (7490), daarna druppelt dat door naar de andere
modellen.

--maarten
Rob
2016-01-05 12:23:56 UTC
Permalink
Post by Maarten Carels
Daarnaast zijn we al een tijdje bezig om AVM te overtuigen om RFC-4638
te implementeren, daarmee wordt een 1500 byte MTU *OVER* de ppp sessie
mogelijk. In de beta die ik draai zit het al, alleen werkt net nog niet
compleet.
In jullie infrastructuur is RFC-4638 niet eens nodig, als de PPPoE
client zich net als jullie routers niet houdt aan de standaard om zonder
RFC-4638 geen grotere MTU dan 1492 toe te staan en de ethernet laag heeft
nog wat ruimte in de max MTU dan werkt het gewoon.
(dwz PPP zegt gewoon MTU 1500 en MRU 1500 ondanks dat er geen RFC-4638
option onderhandeld is)

Dit was tot de 6.33.3 software ook de manier waarop het in de MikroTik
werkte, maar die hebben nu ook RFC-4638 wat ook eerst 2 keer niet goed
werkte.
Rhialto
2016-02-08 08:12:37 UTC
Permalink
Post by Rob
Ik heb zelf andere spullen (en bij mij werkt het wel), maar ik begreep
dat er ergens een bug is waardoor je alleen laag genummerde netwerken
in je /48 kunt gebruiken. Als je gewoon 0,1,2,3,4,5 voor je 6 subnetten
gebruikt moet het werken, maar als je willekeurige 16-bit nummers
gekozen hebt werkt het niet (of werkte het niet).
Interessant genoeg krijg ik ...:00FC: als subnet toegewezen.

Ik gebruik dhcpcd met dit toegevoegd aan de min of meer default config:

# disable routing solicitation and default routes
noipv6rs
nogateway

interface re0
noipv4

interface re1
# enable routing solicitation get the default IPv6 route
ipv6rs
# also the default IPv4 route will go here
gateway
# request an IPv6 address
ia_na 1
# get a /64 and assign it to re0
ia_pd 2 re0/0

-Olaf.
--
___ Olaf 'Rhialto' Seibert -- The Doctor: No, 'eureka' is Greek for
\X/ rhialto/at/xs4all.nl -- 'this bath is too hot.'
Miquel van Smoorenburg
2015-12-18 16:01:00 UTC
Permalink
Post by Rudi
Mijn situatie is dat ik achter mijn pfsense een 6-tal /64 netwerken
(als fixed netwerken op verschillende interfaces (interfaces hebben dus
een statisch ip#, geen "tracking interfaces" in pfsense dus.) heb muit
mijn /48 van xs4all. die wil ik dus vanuit mijn FB gedelegeerd hebben
naar pfsense.
Je moet DHCPv6 Prefix Delegation gebruiken.
Post by Rudi
MIjn volgende vraag is nu wat is een werkende config, ofwel: hoe stel
ik mijn Fritz in ?
ik heb nu: Derive global address using the assigned prefix voor het
IPv6 adres, verder DHCPv6 Rapid commit, Allow IPv6 prefixes announced
by other IPv6 routers in the home network,Assign DNS server, prefix
(IA_PD) and IPv6 address (IA_NA).
nu zet ik in mijn pfsense op de WAN interface DHCP6(client)aan voor het
adres, en voeg ik als advanced optie ia-pd 0, ia-na 0 toe...
IA-PD moet dus aangezet worden op de client (PD == Prefix Delegation).
Post by Rudi
Wat ik nu zie is dat mijn WAN een v6 adres krijgt in mijn /48, echter
Die krijg je gewoon uit de /64 die op je LAN zit (LAN aan de
fritzboxkant, wat jij WAN noemt op je pfsense doos). Dat gaat
via SLAAC. Daar wordt ook een gateway meegegeven via
de Router-Advertisement (RA). Dat moet de pfsense doos zelf
oppakken, de Fritzbox stuurt dat al.

Vervolgens moet die doos via PD bv een /60 aanvragen, of
meerdere /64s, de fritzbox routeert die prefixes dan
naar de aanvrager.

Er wel eea over te vinden als je googled, bv
http://theosquest.com/2014/08/28/ipv6-with-comcast-and-pfsense/

Mike.
hda
2015-12-18 19:43:59 UTC
Permalink
Post by Rudi
Iedere hint is welkom,
pfSense forum ;-)

Als je ruim vrijheid in config wil hebben (DHCP6server en RA), neem
dan PPPoE en DHCP6(c) connect met WAN pfSensebox (DSL via een Draytek
120 of 130).

Met de FB ertussen kan wel, maar is een PITA. Subnet delegatie en
inbound/outbound is niet vrij. TrackInterface LAN, dubbel router etc.
Loading...