Ich habe derzeit noch einen ADSL-Anschluss der Telekom (sollte aber auch für VDSL etc. funktionieren, Feedback dazu willkommen ;-)), möchte aber statt eines Telekom Routers, mein über die Jahre lieb gewonnenes pfSense als Router Software einsetzen. Mein Hardware Setup sieht folgendermaßen aus:
Hardware:
- ADSL-Modem: Allnet ALL0333C
- Router: Igel U700C ThinClient + zusätzliche Intel Dualport Gigabit NIC PCI-X
Weiterhin setze ich voraus, dass ihr pfSense in der aktuellen Version schon installiert habt, sowie IPv4 Konnektivität vorhanden ist. Bei der Telekom ist dazu eine einfache PPPoE-Einwahlverbindung nötig.
Voraussetzungen/Vorarbeiten:
- pfSense in aktueller Version installiert (derzeit aktuell: pfSense 2.3.2)
- IPv4 Konnektivität bereits gegeben (idR. PPPoE)
An diesem Punkt waren nun folgende Schritte bei mir nötig, um an meinem Telekom ADSL Anschluss IPv6-Konnektivität herzustellen:
Durchführung:
- Prüfen ob unter. System -> Advanced -> Networking die Option „Allow IPv6“ aktiviert ist. Diese Option ist bei Neuinstallationen eigentlich standardmäßig aktiviert.
- Unter Interfaces -> WAN folgende Einstellungen vornehmen:
– IPv6 Configuration Type: DHCP6
– Request IPv6 prefix/information trough the IPv4connectivity link
– DHCPv6 Prefix Delegation Size: 56 Bit
– Send IPv6 prefix hint - Unter Interfaces -> LAN:
– IPv4 configuration type: static
– IPv6 configuration type: track interface
– IPv6 interface: WAN
– IPv6 prefix ID: 0
HINWEIS: solltet ihr beispielsweise eine zusätzliche Netzwerkschnittstelle als DMZ einsetzen, übernehmt ihr bis auf die IPv6 prefix ID alle einstellungen für OPT1 genauso, nur bei der IPv6 Prefix ID zählt ihr hoch: OPT1 ist dann IPv6 Prefix ID 1 etc.. - Unter Services -> DHCPv6 Server & RA:
– DHCPv6 Server deaktiviert lassen
– Router Mode: „Unmanaged – for Router Advertising with Stateless Autoconfig“ - Firewall-Regel erstellen um eingehenden ICMP-Verkehr auf der WAN-Schnittstelle zu erlauben (ICMP ist obligatorisch für IPv6):
- DSL Modem und pfSense sowie alle eure Clients neu starten.
Nun solltet ihr IPv4 und IPv6 Konnektivität im Dualstack Betrieb haben. Ihr könnte das stilecht testen, indem ihr guckt ob ihr die tanzende Schildkröte seht: www.kame.net
Es gibt außerdem diverse Testseiten im Internet, wo ihr eure IPv6 Konnektivität prüfen könnt. Hier zwei Beispiele:
Ergänzung: Zum Thema IPv6 ist auch die Podcast Folge Chaos Radio Express – Folge 197: IPv6 sehr zu empfehlen !
moerbst 
Vielen Dank für deinen Beitrag!
Ist bei der Firewall auch noch etwas zu berücksichtigen?
Hallo Sam !
Wenn du dich an den Betrag oben hältst, sollte alles funktionieren. Weitere Schritte waren bei mir nicht nötig.
Gutes Gelingen 😉
Hallo,
Danke für deinen Blog. So sieht mein Setup auch aus. Frage:
Hast du die selben Phänomene wie in diesen beiden Forenlinks beschrieben bei die festgestellt?
https://forum.pfsense.org/index.php?topic=119439.0
https://forum.pfsense.org/index.php?topic=119409.0
Gruß,
Marcel
Hi Marcel !
Die von dir beschriebenen Probleme sind bei mir nicht aufgetreten, allerdings verwende ich auch komplett andere Hardware an einem anderen Anschluss (in meinem Fall derzeit noch ein ADSL-Anschluss mit ~ 6 MBit).
Ich würde an deiner Stelle erstmal ein absolutes Standard Setup empfehlen, also ohne VLAN usw., einfach re0 und re1 und gucken ob du überhaupt erstmal IPv6-Konnektivität an der WAN-Schnittstelle bekommst. Du solltest also in der pfSense-Konsole überhaupt erstmal ein ping6 google.de hinbekommen. Klappt das bei dir ?
IPv6 funktioniert bei dem Setup schon. Auch das router advertisement in den VLANs ist kein Problem. Der Host kann im Anschluss IPv6 nutzen und auch damit ins Internet. Aber es fühlt sich durch die ständigen reconnects an, als hätte man eine 2 MBit Leitung …
Ich würde mal testweise nen Speedport/Fritzbox dran hängen um auszuschließen das der Anschluss selbst ein Problem hat. Ich hatte vor Kurzem Stabilitätsprobleme und hatte natürlich zuerst meinen Router im Verdacht. Als eine Fritzbox am gleichen Anschluss auch problematisches Verhalten zeigte, stellte sich heraus, dass die Kontakte und Drähte in der Telefondose nach 25 Jahren an der (feuchten) Bruchsteinwand im Wohnzimmer so oxidiert waren, das die Verbindungsqualität massiv gelitten hat. Der Telekomtechniker wechselte die TAE-Dose und schon läuft wieder alles schön stabil. Wäre ich auf Anhieb auch nicht drauf gekommen, dass es an der Dose liegen kann.
Danke für den Tip, da werde ich auch mal auf Ursachenforschung gehen. Oxidieren kann da nicht viel, da das Haus relativ neu ist. Aber an den Drähten kann ja trotzdem was nicht stimmen …
Hallo,
erst mal Danke für die Tolle Anleitung. Habe ipv6 am Laufen. Allerdings musste ich die Funktion „Only request an IPv6 prefix, do not request an IPv6 address“ einschalten, damit ist nicht jede Minute ein ipv6 reconnect bekomme.
Jetzt zu meiner Frage: Im LAN ohne Vlan Tag funktioniert alles.
Ich habe jedoch einige Vlans dort werden den Clients keine ipv6 Adresse zugeordnet. Eine Idee?
Dank dir für deinen Beitrag. Ich habe das heute bei meinem ALL-IP-ADSL+ 16MBit-Anschluss ausprobiert. Es hat sofort geklappt. Vielleicht zwei Ergänzungen, die den Vorgang erleichtern:
– Die Testseiten http://test-ipv6.com etc. erfordern, dass die Firewall IPv6 TCP auf
Port 80 auf dem LAN-Interface (oder ggf. auf OPT1 etc.). Ansonsten schlagen
die Tests fehl. Ich filtere restriktiv auch ausgehenden Verkehr und musste das
entsprechend konfigurieren. Entsprechend geht ein ping6 auch nur raus, wenn
ICMP für IPv6 auf dem LAN-Interface erlaubt ist.
– Ich verwende pfSense als Firewall/Router und brauchte keinen Reboot, weil ich
das LAN-Interface deaktiviert und anschließend wieder aktiviert habe
(entsprechend mit OPT1 etc.). Das WAN-Interface wird ohnehin nach
Umkonfiguration rauf- und runtergefahren. Das sollte so auf allen Routern klappen,
bei denen man Interfaces deaktivieren und anschließend wieder aktivieren kann.
Ich habe noch eine Frage, nachdem alles bei mir nun läuft. Unter Punkt 5 hast du ICMP für IPv4 und IPv6 freigegeben. Meiner Meinung nach reicht aber IPv6 only oder?
Ja ICMP für IPv6 freizugeben, sollte reichen.