EDGEROUTER X-SFP – Keine öffentliche IPv6-IP an den Clients

[Althir81]

Hallo Community,

ich habe mir als Vodafone geplagter Besitzer einer FRITZ!Box 6591 (7.13er Firmware) oben besagten EdgeRouter X-SFP (2.0.9er FW) zugelegt, mit UniFi AP (um den geht es aber nicht) Mir ist bewusst das der Router nicht das komplette Gigabit der Leitung schafft. Dafür habe ich das Netzwerk bzw. WAN lieber, ohne Probleme im Gebrauch. (Diverse Bugs der 7.13er Firmware u.a. VPN, usw.)

Nun zum Thema:
Die FB ist zum Modem degradiert. Nach einigen Testkonfigurationen, habe ich den Edge erstmal zurückgesetzt und nur den WAN+2LAN2 Wizard ausgeführt. Auf der FB, ist der DHCP für IPv4 deaktiviert. IPv6 DHCP ist auch deaktiviert, und die Option zum beziehen per SLAAC aktiv.

Den Pihole als DNS-Server, habe ich erstmal nicht konfiguriert. Wollte mit so wenig wie möglichen Fehlerquellen starten... Problem, ein IPv6-Ping funktioniert per SSH direkt auf dem Edge einwandfrei. Die Clients können keinen IPv6 Ping durchführen. Die DNS Auflösung klappt aber!

Daher nun meine Frage, ist es ggf. ein Firewall Problem, oder muss die FB doch als DHCPv6-Server dienen (hierzu AVM Support-Beitrag) ?

Alternativ kann es natürlich auch noch die Konfiguration des EDGE sein, hier habe ich schon diverse Settings aus dem Netz ausprobiert. (falsche Prefixe?! Hierzu Vodafone Angaben, mir ist aber nicht bewusst ob die Angaben auch für NRW im EX-UM Gebiet gelten.

Hat jemand eine Idee?

Danke & Gruß
Oliver

-----------------------------

Hardware
• FB6591 (7.13er FW) Port-X im Bridgemode zum EdgeRouter an Vodafone Kabel (1000/50 - DUAL STACK)
• EdgeRouter X-SFP (2.0.9er FW) (DHCP, Firewall IPv4/IPv6, DNS)
• Netgear GS308T 8-Port Managed Switch
• Raspberry PI 4b (UniFi Controller für AP) (Plex, PiHole)
• Synolgy NAS (OpenVPN, FileServer, Photostation)

Verkabelung / Interfaces / IPv6
Edgerouter:
– eth 0 = FB / WAN (Öffentliche IPv4 + öffentliche IPv6 mit /128er Prefix + verbindunglokale IPv6/64er Prefix)
– eth 1 = Desktop PC
– eth 2 = SWITCH >> NAS & PI & Samsung TV (Tizen)
– eth 3 = deaktiviert
– eth 4 = AP mit POE versorgt (meist 3-5 Clients aktiv)
– eth 5/sfp = deaktiviert
– switch0 = 192.168.1.1/24 + DHCPv6 aktiv und zeigt öffentliche IPv6 im /63er Prefix, sowie verb.lokale-IPv6 im /64er Prefix an

Windows 10 Client alles über DHCP
Eine Verbindungslokale IPv6 zieht er und das switch0 interface (auf dem EDGE) als IPv6-Gateway

Edge-Config (sanitized)

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description Internet
        dhcpv6-pd {
            pd 0 {
                interface switch0 {
                    host-address ::1
                    prefix-id :1
                    service slaac
                }
                prefix-length /60
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description ALTHIR-PC
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description ALTHIR-SWITCH
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        description Local
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description ALTHIR-AP
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth5 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        address dhcpv6
        description Local
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    rule 1 {
        description DSM
        forward-to {
            address 192.168.1.90
            port 5001
        }
        original-port 5001
        protocol tcp
    }
    rule 2 {
        description VPN
        forward-to {
            address 192.168.1.90
            port 1194
        }
        original-port 1194
        protocol udp
    }
    wan-interface eth0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name ALTHIR-DHCP {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.220 {
                    stop --------------
                }
                static-mapping ALTHIR-AP {
                    ip-address 192.168.1.200
                    mac-address --------------
                }
                static-mapping ALTHIR-Cloud {
                    ip-address 192.168.1.90
                    mac-address --------------
                }
                static-mapping ALTHIR-PC {
                    ip-address 192.168.1.50
                    mac-address --------------
                }
                static-mapping ALTHIR-PI {
                    ip-address 192.168.1.111
                    mac-address --------------
                }
                static-mapping ALTHIR-TV {
                    ip-address 192.168.1.70
                    mac-address --------------
                }
                static-mapping ALTHIR-iPhone {
                    ip-address 192.168.1.60
                    mac-address --------------
                }
                unifi-controller 192.168.1.111
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on LISTENONPORT
            listen-on switch0
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    host-name EdgeRouter-X-SFP-6-Port
    login {
        user althir {
            authentication {
                encrypted-password $5$kUgs9M3ehmRGMbwH$aV8lHRaQ/vqxNSlPMAP4QPu5vKFtiL0EwsWj/dLjEUD
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Berlin
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9.5346345.201028.1647 */

Ergänzung (10. Dezember 2020)

Nachtrag, da die IPv6-DNS Auflösung an dem Win10 Client funktioniert.... denke ich an ein Firewall / Routing Problem?!

 

[KWMM]

" Auf der FB, ist der DHCP für IPv4 deaktiviert. IPv6 DHCP ist auch deaktiviert, und die Option zum beziehen per SLAAC aktiv. "

Das hat im Modembetrieb oder Bridgemodus keinerlei Relevanz.

Bridgemodus ist kein Modembetrieb.

 

[Althir81]

" Auf der FB, ist der DHCP für IPv4 deaktiviert. IPv6 DHCP ist auch deaktiviert, und die Option zum beziehen per SLAAC aktiv. "

Das hat im Modembetrieb keinerlei Relevanz.

Bridgemodus ist kein Modembetrieb.

Hab den Abschnitt im ersten Beitrag durchgestrichen.

Okay, ist ja auch eigentlich klar. Wollte es jedenfalls der Vollständigkeit erwähnen.
Client-Ping IPv6 zum Edge klappt, Client-Ping IPv6 zu einer Domain nicht (DNS auflösung geht!)

 

[KWMM]

Client-Ping IPv6 zu einer Domain nicht

Zu einer oder zu allen ?

Und warum ist ein PING so relevant? ^^

 

[Althir81]

Edgerouter kann zu allen Domains pingen (SSH)
Client nicht, da klappt lediglich die Namensauflösung

Ich teste damit lediglich ob mein Client per IPv6 nach draußen kommt...
Ein IPv6 traceroute nach draußen kommt aber nicht zum Edge durch, meldet direkt Zeitüberschreitung beim ersten Hop. Client-IPv6 traceroute zum Edge klappt...

 

[KWMM]

Na dann weisst du doch wo der Hase feststeckt

 

[Althir81]

Wenn ich mich jetzt nicht total verrant habe, denke ich da an die Firewall oder ein Routing Problem....

Für mich sieht die Firewall in der Config korrekt aus, übersehe ich etwas?

Ergänzung vom vorherigen Beitrag:
Ein IPv6 traceroute nach draußen kommt aber nicht zum Edge durch, meldet direkt Zeitüberschreitung beim ersten Hop. Client-IPv6 traceroute zum Edge klappt...

Ergänzung (10. Dezember 2020)

Kann mir jemand die automatischen prefixe auf dem Edge als korrekt bestätigen?!

eth0 = öffentliche IPv6 mit /128er prefix
switch0 = öffentliche IPv6 mit /63er prefix

 

[Althir81]

mehr eingelesen... (https://danrl.com/projects/ipv6-workshop/Dan Lüdtke - IPv6-Workshop [Dritte Auflage].pdf)

128er prefix ist wohl falsch...

 

[Althir81]

huhu, ich glaub ich bin inzwischen total „verwirrt“.

vergesst einmal was ich zum Teil vermute. Kann mir jemand einen richtigen Denkanstoß geben?!

Gruß
Oliver

 

[BoeserBrot]

Der Router sollte mit eingeschaltetem Hardware-Offload durchaus mit Gigabit klarkommen.

Versuch mal folgendes für eth0:

default-route none
     dhcpv6-pd {
         no-dns
         pd 0 {
             interface switch0 {
                 prefix-id 1
             }
             prefix-length 56
         }
         prefix-only
         rapid-commit enable
     }
     firewall {
         in {
             ipv6-name WANv6_IN
             name WAN_IN
         }
         local {
             ipv6-name WANv6_LOCAL
             name WAN_LOCAL
         }
         out {
             ipv6-name WANv6_OUT
             name WAN_OUT
         }
     }
     ipv6 {
         address {
             autoconf
         }
         dup-addr-detect-transmits 1
         enable {
         }
     }
}

Für die Firewallregel WANv6_LOCAL:

ipv6-name WANv6_LOCAL {
     default-action drop
     description "packets from internet to gateway"
     rule 3001 {
         action accept
         description "Allow neighbor advertisements"
         icmpv6 {
             type neighbor-advertisement
         }
         protocol ipv6-icmp
     }
     rule 3002 {
         action accept
         description "Allow neighbor solicitation"
         icmpv6 {
             type neighbor-solicitation
         }
         protocol ipv6-icmp
     }
     rule 3003 {
         action accept
         description "allow established/related sessions"
         state {
             established enable
             invalid disable
             new disable
             related enable
         }
     }
     rule 3004 {
         action accept
         description "Allow DHCPv6"
         destination {
             port 546
         }
         protocol udp
         source {
             port 547
         }
     }
     rule 3005 {
         action accept
         description "Allow router advertisements"
         icmpv6 {
             type router-advertisement
         }
         protocol ipv6-icmp
     }
     rule 3006 {
         action drop
         description "drop invalid state"
         state {
             established disable
             invalid enable
             new disable
             related disable
         }
     }
}

Und für switch0:

ipv6 {
             dup-addr-detect-transmits 1
             router-advert {
                 cur-hop-limit 64
                 default-preference high
                 link-mtu 0
                 managed-flag false
                 max-interval 600
                 name-server **link-lokale IPv6-Adresse deines Routers an switch0**
                 other-config-flag false
                 prefix ::/64 {
                     autonomous-flag true
                     on-link-flag true
                     preferred-lifetime 80000
                     valid-lifetime 86400
                 }
                 reachable-time 0
                 retrans-timer 0
                 send-advert true
             }
         }

Und zuletzt:

 protocols {
     static {
         interface-route 0.0.0.0/0 {
             next-hop-interface eth0 {
                 distance 1
             }
         }
         interface-route6 ::/0 {
             next-hop-interface eth0 {
                 distance 1
             }
         }
     }
}

Nach setzen der Einstellungen im normalen Modus folgende Befehle:

disconnect interface eth0
connect interface eth0

 

[Althir81]

@BoeserBrot Super vielen lieben Dank! Werde das morgen Abend oder später in der Nacht noch durchgehen.

• Hardware-Offload aktiviere ich dann noch neben deinen Settings.

• Wie ist die sinnvollste Variante für den pi.hole? Einfach per DHCP an die Clients oder noch im Router hinterlegen? Habe den pihole mit unbound konfiguriert und TCPv6 funktioniert auch...

• name-server link-lokale IPv6-Adresse deines Routers an switch0 hier die verbindungslokale IPv6 der Interfaces switch0. Muss ich bei Switch0 zusätzlich zur IPv4-Range den DHCP für IPv6 aktivieren?

• gibt es gute Settings zum reduzieren der Latenz im Netzwerk?
• Macht es sinn den PC an eth1 von switch0 zu separieren?

Möchte halt auch QoS später nutzen und da macht der Edge dann wohl das Gigabit nicht mehr mit. Zumindestt mit meinem bisherigen Settings, inkl. hw-offload. In dem Zusammenhang IPSEC offload ja nein?

Melde mich dann spätestens morgen nach dem einstellen der Settings.

Danke und Gruß
Oliver

@BoeserBrot Wenn alles läuft spendier ich dir gerne eine Pizza per Lieferando :-)

 

[BoeserBrot]

Das mit dem Pi-hole musst du für dich entscheiden, aber grundsätzlich ist das wohl Geschmackssache, ob alle Geräte automatisch den DNS vom Pi-hole beziehen.

DHCPv6 musst du nicht mehr aktivieren. Das ist bei den obigen Einstellungen nicht nötig. Die Clients holen sich den Präfix per Prefix-Delegation über den Router vom Provider und suchen einen freien Interface-Identifier von sich aus, daraus setzen sie sich ihre IPv6-Adresse zusammen.
Die link-lokale IPv6-Adresse deines Routers an switch0 dürfte die im ersten Post gezeigte Adresse für das IPv6-Standardgateway sein. Die letzten drei Zeichen "%20" im Edgerouter bitte nicht mit eintragen. Das ist nur die Zone ID, welche lediglich für Windows interessant ist.

Zum Reduzieren der Latenz würde mir vor allem der Hardware-Offload einfallen.

In deinem Szenario ergibt es glaube ich keinen Sinn den Rechner an eth1 von switch0 zu trennen. Das würde voraussetzen, dass du noch ein weiteres Subnetz/VLAN einrichtest und entsprechende Firewall-Regeln festlegst. Wäre das für dich sinnvoll?

QoS geht meines Wissens nicht mit Hardware-Offload, das ist richtig. Wofür brauchst du denn QoS? Vielleicht kann man das anders regeln. Brauchst du IPSEC? Wenn nicht, dann gibt es keinen Grund das zu aktivieren, aber ich glaube es würde auch keine Nachteile bringen.

Danke für das Angebot mit der Pizza. 😬 Erstmal gucken ob es läuft.

 

[Althir81]

Okay, danke für die weiteren Infos. :-)

Mein Client ist halt an ETH1 da ETH2 zu einem Switch in einem anderen Raum führt. Dort ist dann NAS, pihole, ... Aber im switch0 Interface sind ja alle ETHx Interfaces drin.

QoS halt, falls der TV aus dem Internet streamt (Netflix, & Co.) und man zeitgleich am am Client zockt...

Bin gestern leider nicht mehr dazu gekommen, hoffe heute.
Gebe dann Feedback.

 

[Althir81]

@BoeserBrot Hi, bin leider erst jetzt dazu gekommen. Kann es sein das die Firewalregeln für WANv6_OUT fehlen?

Anbei mal meine Config mit deinem Input. Mit den Settings habe ich jedenfalls kein Internet weder über IPv4 noch IPv6.

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 3001 {
            action accept
            description "Allow neighbor advertisements"
            icmpv6 {
                type neighbor-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3002 {
            action accept
            description "Allow neighbor solicitation"
            icmpv6 {
                type neighbor-solicitation
            }
            protocol ipv6-icmp
        }
        rule 3003 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3004 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 3005 {
            action accept
            description "Allow router advertisements"
            icmpv6 {
                type router-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3006 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action drop
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_OUT {
        default-action drop
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description Internet
        dhcpv6-pd {
            pd 0 {
                interface switch0 {
                    host-address ::1
                    prefix-id :1
                    service slaac
                }
                prefix-length /56
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                ipv6-name WANv6_OUT
                name WAN_OUT
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description Local
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description Local
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        description Local
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description Local
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth5 {
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description Local
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                default-preference high
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server fe80::7683:c2ff:fefd:b26a
                other-config-flag false
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
protocols {
    static {
        interface-route 0.0.0.0/0 {
            next-hop-interface eth0 {
                distance 1
            }
        }
        interface-route6 ::/0 {
            next-hop-interface eth0 {
                distance 1
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.38 {
                    stop 192.168.1.243
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    host-name EdgeRouter-X-SFP-6-Port
    login {
        user althir {
            authentication {
                encrypted-password ******************************
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Berlin
}

Ergänzung (17. Dezember 2020)

PS: Das Enable (Zeile 32) für eth0 kann ich übrigens nicht zuordnen im Configtree

connect und disconnect eth0 ging über ssh auch nicht, invalid or unkown interfache eth0 (bin mir beim Wortlaut gerade nicht mehr sicher)

Ergänzung (17. Dezember 2020)

Durch die statischen Router geht mein IPv4 Zugriff aufs Internet nicht mehr... eth0 als nächster Hop klappt wohl nicht... Wie geschrieben ging auch connect und disconnect von eth0 nicht...

 

[BoeserBrot]

Router komplett neu starten hilft vielleicht. Was steht denn in der Übersicht in der GUI?

 

[Althir81]

Hab ich schon, eth0 ist immer invalid für connect / disconnect. Vermute deshalb klappen auch die STATIC Routes nicht.

WANv6_OUT muss ich nur so wie von dir angegeben einrichten?! Fehlen da nicht die Regeln?

Wenn ich für eth0 dhcpv6-pd prefix-only aktiviere verschwindet die öffentliche IPv6 / 128 und der router kann auch per SSH kein IPv6 mehr pingen...

Ich bin übrigens auf der 2.09 firmware mit dem X SFP

 

[Althir81]

Router komplett neu starten hilft vielleicht. Was steht denn in der Übersicht in der GUI?

@BoeserBrot was genau magst du wissen?

Gruß
Oliver

 

[Althir81]

Nachtrag: Also wenn ich eth0 auf prefix only stelle erhalte ich keine öffentliche IPv6 für eth0 und kann per SSH vom Edgerouter auch keinen IPv6 Ping durchführen. Sobald PREFIX-ONLY wieder entfernt ist, geht alles wieder.

switch0 bekommt nun inzwischen auch eine öffentliche IPv6 im /59er Bereich. Aber der Ping geht weiterhin von den Clients nicht raus... Denke da inzwischen lediglich an ein Firewall Problem, bzw. muss eine statische Route her?!

@BoeserBrot Danke schonmal für die Denkanstöße...

 

[BoeserBrot]

Ich habe gesehen, dass bei dir die default-action für WAN_OUT auf drop eingestellt ist. Mit der Einstellung kann dein Router nicht nach draußen kommunizieren. Hier einmal die vollständige Konfiguration meiner Firewall. Vielleicht probierst du es einfach damit aus. Spezielle Sachen wie VPN habe ich entfernt, so dass das für dich passen müsste.

firewall {
     all-ping enable
     broadcast-ping disable
     ipv6-name WANv6_IN {
         default-action drop
         description "packets from internet to intranet"
         rule 3001 {
             action accept
             description "allow established/related sessions"
             state {
                 established enable
                 invalid disable
                 new disable
                 related enable
             }
         }
         rule 3002 {
             action drop
             description "drop invalid state"
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     ipv6-name WANv6_LOCAL {
         default-action drop
         description "packets from internet to gateway"
         rule 3001 {
             action accept
             description "Allow neighbor advertisements"
             icmpv6 {
                 type neighbor-advertisement
             }
             protocol ipv6-icmp
         }
         rule 3002 {
             action accept
             description "Allow neighbor solicitation"
             icmpv6 {
                 type neighbor-solicitation
             }
             protocol ipv6-icmp
         }
         rule 3003 {
             action accept
             description "allow established/related sessions"
             state {
                 established enable
                 invalid disable
                 new disable
                 related enable
             }
         }
         rule 3004 {
             action accept
             description "Allow DHCPv6"
             destination {
                 port 546
             }
             protocol udp
             source {
                 port 547
             }
         }
         rule 3005 {
             action accept
             description "Allow router advertisements"
             icmpv6 {
                 type router-advertisement
             }
             protocol ipv6-icmp
         }
         rule 3006 {
             action drop
             description "drop invalid state"
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     ipv6-name WANv6_OUT {
         default-action accept
         description "packets to internet"
     }
     ipv6-receive-redirects disable
     ipv6-src-route disable
     ip-src-route disable
     log-martians enable
     }
     name WAN_IN {
         default-action drop
         description "packets from internet to intranet"
         rule 3001 {
             action accept
             description "allow established/related sessions"
             state {
                 established enable
                 invalid disable
                 new disable
                 related enable
             }
         }
         rule 3002 {
             action drop
             description "drop invalid state"
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     name WAN_LOCAL {
         default-action drop
         description "packets from internet to gateway"
         rule 3001 {
             action accept
             description "allow established/related sessions"
             state {
                 established enable
                 invalid disable
                 new disable
                 related enable
             }
         }
         rule 3002 {
             action drop
             description "drop invalid state"
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     name WAN_OUT {
         default-action accept
         description "packets to internet"
     }
     receive-redirects disable
     send-redirects enable
     source-validation strict
     syn-cookies enable
}

Dann bitte interfaces ethernet eth0 wie folgt ändern:

interfaces {
     ethernet eth0 {
         description WAN
         speed auto
         duplex auto
         address dhcp
         poe {
            output off
            }
         firewall {
             in {
                 ipv6-name WANv6_IN
                 name WAN_IN
             }
             local {
                 ipv6-name WANv6_LOCAL
                 name WAN_LOCAL
             }
             out {
                 ipv6-name WANv6_OUT
                 name WAN_OUT
             }
         }
         ipv6 {
                 address {
                     autoconf
                 }
                 dup-addr-detect-transmits 1
                 enable {
                 }
             }
         default-route none
         dhcpv6-pd {
                 pd 0 {
                     interface switch0 {
                         prefix-id 1
                     }
                     prefix-length 56
                 }
                 prefix-only
                 rapid-commit enable
             }
     }
}

Und switch0 wie folgt ändern:

interfaces {
     switch switch0 {
         address 192.168.1.1/24
         description LAN
         duplex auto
         ipv6 {
             dup-addr-detect-transmits 1
             router-advert {
                 cur-hop-limit 64
                 default-preference high
                 link-mtu 0
                 managed-flag false
                 max-interval 600
                 name-server fe80::7683:c2ff:fefd:b26a
                 other-config-flag false
                 prefix ::/64 {
                     autonomous-flag true
                     on-link-flag true
                     preferred-lifetime 86000
                     valid-lifetime 86400
                 }
                 reachable-time 0
                 retrans-timer 0
                 send-advert true
             }
         }
}

Nach den Änderungen kannst du mir gerne nochmal deine Config schicken, dann guck ich nochmal drüber ob alles stimmt.
Bei Änderungen der Config würde ich den Router ganz neu starten um sicher zu gehen, dass alles funktioniert.

Ergänzung (18. Dezember 2020)

PS: Das Enable (Zeile 32) für eth0 kann ich übrigens nicht zuordnen im Configtree

Der vollständige Befehl müsste heißen:
set interfaces ethernet eth0 ipv6 enable

 

[Althir81]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        enable-default-log
        rule 3001 {
            action accept
            description "Allow neighbor advertisements"
            icmpv6 {
                type neighbor-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3002 {
            action accept
            description "Allow neighbor solicitation"
            icmpv6 {
                type neighbor-solicitation
            }
            protocol ipv6-icmp
        }
        rule 3003 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3004 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 3005 {
            action accept
            description "Allow router advertisements"
            icmpv6 {
                type router-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3006 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "packets to internet"
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "packets to internet"
    }
    receive-redirects disable
    send-redirects enable
    source-validation strict
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description WAN
        dhcpv6-pd {
            pd 0 {
                interface switch0 {
                    prefix-id 1
                }
                prefix-length 56
            }
            prefix-only
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                ipv6-name WANv6_OUT
                name WAN_OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description Local
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description Local
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        description Local
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description Local
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth5 {
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description LAN
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                default-preference high
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server fe80::7683:c2ff:fefd:b26a
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    preferred-lifetime 86000
                    valid-lifetime 86400
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    rule 1 {
        description DSM
        forward-to {
            address 192.168.1.90
            port *****
        }
        original-port *****
        protocol tcp_udp
    }
    wan-interface eth0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.111
                domain-name alt.hir
                lease 86400
                start 192.168.1.150 {
                    stop 192.168.1.199
                }
                static-mapping Cloud {
                    ip-address 192.168.1.90
                    mac-address *********
                }
                static-mapping PC {
                    ip-address 192.168.1.50
                    mac-address ******
                }
                unifi-controller 192.168.1.111
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
            name-server 192.168.1.111
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    host-name EdgeRouter-X-SFP-6-Port
    login {
        user althir {
            authentication {
                encrypted-password ************
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Berlin
}

Das ist die Config, ich starte jetzt mal neu, mit prefix only hat wieder et0 und switch0 keine öffentliche ipv6 laut gui und im ssh... (ip addr show ....)

ich starte den router nun mal neu...
nope, geht leider nicht...

Gruß
Oliver

Ergänzung (19. Dezember 2020)

Mit der Config hab ich auf eth0 (2a02:...../128) und switch0(2a02:......./61) eine öffentliche ipv6...
prefix eth0 auf 62 resultiert in /128
prefix switch0 auf ::/64 resultiert in /61

Ein ping geht weiterhin nicht durch...

static route kein thema mehr?

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        enable-default-log
        rule 3001 {
            action accept
            description "Allow neighbor advertisements"
            icmpv6 {
                type neighbor-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3002 {
            action accept
            description "Allow neighbor solicitation"
            icmpv6 {
                type neighbor-solicitation
            }
            protocol ipv6-icmp
        }
        rule 3003 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3004 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 3005 {
            action accept
            description "Allow router advertisements"
            icmpv6 {
                type router-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3006 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "packets to internet"
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "packets to internet"
    }
    receive-redirects disable
    send-redirects enable
    source-validation strict
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description WAN
        dhcpv6-pd {
            pd 0 {
                interface switch0 {
                    host-address ::1
                    prefix-id :0
                    service slaac
                }
                prefix-length /62
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                ipv6-name WANv6_OUT
                name WAN_OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description PC
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description SWITCH
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        description Local
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description AP
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth5 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description LAN
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                default-preference high
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server fe80::7683:c2ff:fefd:b26a
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    rule 1 {
        description *****
        forward-to {
            address 192.168.1.*****
            port *****
        }
        original-port ******
        protocol tcp
    }
    rule 2 {
        description ********
        forward-to {
            address 192.168.1.*****
            port *******
        }
        original-port ********
        protocol udp
    }
    rule 3 {
        description *********
        forward-to {
            address 192.168.1.***
            port ********
        }
        original-port ******
        protocol udp
    }
    rule 4 {
        description ******
        forward-to {
            address 192.168.1.***
            port *******
        }
        original-port ******
        protocol udp
    }
    rule 5 {
        description *******
        forward-to {
            address 192.168.1.***
            port 500
        }
        original-port 500
        protocol udp
    }
    rule 6 {
        description *********
        forward-to {
            address 192.168.1.***
            port *****
        }
        original-port *****
        protocol udp
    }
    rule 7 {
        description ""
        forward-to {
            address 192.168.1.***
            port ***
        }
        original-port ***
        protocol tcp_udp
    }
    wan-interface eth0
}
protocols {
    static {
        interface-route6 ::/0 {
            next-hop-interface eth0 {
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name ALTHIR-DHCP {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.111
                domain-name alt.hir
                lease 86400
                start 192.168.1.230 {
                    stop 192.168.1.250
                }
                static-mapping ALTHIR-AP {
                    ip-address 192.168.1.200
                    mac-address ********
                }
                static-mapping ALTHIR-Cloud {
                    ip-address 192.168.1.90
                    mac-address ********
                }
                static-mapping ALTHIR-PC {
                    ip-address 192.168.1.50
                    mac-address **********
                }
                static-mapping ALTHIR-PI {
                    ip-address 192.168.1.111
                    mac-address ***********
                }
                static-mapping ALTHIR-SWITCH {
                    ip-address 192.168.1.220
                    mac-address **********
                }
                static-mapping ALTHIR-TV {
                    ip-address 192.168.1.70
                    mac-address ********
                }
                static-mapping ALTHIR-iPhone {
                    ip-address 192.168.1.60
                    mac-address *********
                }
                unifi-controller 192.168.1.111
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
            name-server 192.168.1.111
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
    }
    unms {
        disable
    }
    upnp {
        listen-on switch0 {
            outbound-interface eth0
        }
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    domain-name alt.hir
    host-name ALTHIR-EDGE
    login {
        user althir {
            authentication {
                encrypted-password ****************
            }
            level admin
        }
    }
    name-server 192.168.1.111
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec disable
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Berlin
}
traffic-control {
    smart-queue QoS {
        upload {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 40mbit
        }
        wan-interface eth0
    }
}