OpenWRT AP Konfiguration hinter VF Station (DNS/IPv6)

[jan2ooo]

Hallo liebe Community.

Meine Eltern hatten seit Ewigkeiten DSL an einer Fritzbox, dahinter lief problemlos ein TP Link Archer C7 mit OpenWRT als Access Point. Am AP sind diverse Geräte per LAN angeschlossen und er stellt das WLAN zur Verfügung. Der AP hat eine fixe (v4) IP Adresse, DHCP Server war die Fritzbox für alle weiteren Geräte.

Nun wurde die Fritzbox gegen eine Vodafone Station und DSL gegen Kabel getauscht. Ich habe nun eigentlich nur die IP des AP an das Modem angepasst (vorher 192.168.178.1/192.168.178.2; nun 192.168.0.1/192.168.0.2) und gehofft, dass es einfach so weiter läuft. Tut es auch fast. Mit meinem Smartphone habe ich aber das Problem, dass z.B. bei Twitter keine Vorschaubilder geladen werden. Ich vermute ein Problem mit der DNS Auflösung mit IPv6. Leider raffe ich nicht, wie ich den AP konfigurieren muss, um das zu korrigieren. Im Moment kann ich in den Interface Settings keine IPv6 Adressen konfigurieren. Oder macht es Sinn, IPv6 am AP komplett zu deaktivieren? Falls ja, wie?

VF Station > Switch > AP > WLAN/weitere LAN Clients

Vodafone Station:

• 192.168.0.1 bzw. die "IPv6 Link Local Addr" vom Modem
  
• DHCP Server
• WLAN deaktiviert
• passiver Switch mit LAN1 verbunden (1Gb)

Access Point:

• hängt am Switch
  
• IPv4: 192.168.0.2
  
• Custom DNS: 192.168.0.1/9.9.9.9
  
• Gateway: 192.168.0.1
• keine IPv6 Adresse bzw. Konfiguration möglich (Interfaces » lan)
  
• kein DHCP Server
• stellt WLAN zur Verfügung
  
• hängt per LAN am Switch, am AP sind weitere Geräte per LAN angeschlossen (TV, VF Kabel Receiver)

Vielen Dank euch!

 

[Bob.Dig]

Welche Version von OpenWRT?

 

[norKoeri]

DSL an einer Fritzbox

Welcher Internet-Anbieter war das; war dort IPv6 bereits aktiv?

IPv6 am AP komplett zu deaktivieren? Falls ja, wie?

Kennst Du die Anleitung Dump-AP? Wenn Du Schritt 4 beherzigst, dann müsste der TP-Link nicht mehr IPv6-Router spielen. Wenn es das nicht war, müssen wir im Netz schauen/mitschneiden, was genau passiert.

Vodafone Station

Was passiert, wenn Du OpenWrt abklemmst und direkt über die Vodafone Station gehst?

Vodafone Station

Alternativ könntest Du die die Vodafone Station auch in den Bridge-Modus und OpenWrt als Router verwenden.

 

[jan2ooo]

Welche Version von OpenWRT?

23.05.2

Welcher Internet-Anbieter war das; war dort IPv6 bereits aktiv?

o2. Ich glaube kein IPv6.

Kennst Du die Anleitung Dump-AP? Wenn Du Schritt 4 beherzigst, dann müsste der TP-Link nicht mehr IPv6-Router spielen. Wenn es das nicht war, müssen wir im Netz schauen/mitschneiden, was genau passiert.

Habe ich quasi so umgesetzt, Step 4 aber tatsächlich nicht. Hat aber leider auch nicht geholfen.

Was passiert, wenn Du OpenWrt abklemmst und direkt über die Vodafone Station gehst?

Habe das WLAN der VF Station mal aktiviert und mich damit verbunden. Gleiches Ergebnis! Videos auf Twitter laden ewig nicht, die Sendungen in der Post&DHL App werden nicht angezeigt.

Was aber geht: einen IPv6 Ping mit den Diagnosetools im VF Router. Das geht mit OpenWRT nicht.

OpenWRT:

PING heise.de (2a02:2e0:3fe:1001:302::): 56 data bytes
ping6: sendto: Network unreachable

Vodafone Station:

Also der VF Router kann es pingen, OpenWRT nicht (IPv4 geht, v6 nicht), mein Mobiltelefon kann es auch nicht. Ein Ping über die IP funktioniert, über die Domain nicht. Daher denke ich, dass es am DNS Server (der VF Station) liegt und der DNS Service nicht an die IPv6 Clients durchgereicht wird? Mein Mobiltelefon scheint eine IPv6 Adresse zugewiesen zu bekommen, sowohl über die VF Station, als auch über den AP.

Edit: habe im AP nun noch weitere IPv6 DNS Server eingetragen (2001:1608:10:25::1c04:b12f/2606:4700:4700::1111), aber ohne Erfolg..

 

[norKoeri]

Habe ich quasi so umgesetzt

Dann lieber nochmal von Vorne beginnen, „quasi“ gibt es bei OpenWrt nicht wirklich. Ansonsten müssten wir mittels Wireshark überprüfen, in welchem Zustand Dein OpenWrt aktuell ist. Können wir OpenWrt erstmal komplett weglassen?

einen IPv6 Ping mit den Diagnosetools im VF Router.

Das hilft uns wenig, weil der eine andere WAN-IPv6 haben könnte. Wenn Du einen Computer an die Vodafone Station anschließt, vorher den OpenWrt entfernen, kannst Du einen Ping von dem Computer aus absetzen, über die IP und über die Domain?

 

[hildefeuer]

Also wenn das OpenWRT verbogen ist, warum kein resett machen?
Dann hat man den Auslieferungszustand.
Dann IP anpassen.
Dann dchp ausschalten.
Dann ipv6 testen.
Dann wan Port zu LAN Port konfigurieren.
Wenn alles läuft sichern in File.
Man kann auch eine Sicherung mit wan aufheben, für alle Fälle. Weil kompliziert wan wieder einzurichten.

 

[jan2ooo]

Das hilft uns wenig, weil der eine andere WAN-IPv6 haben könnte. Wenn Du einen Computer an die Vodafone Station anschließt, vorher den OpenWrt entfernen, kannst Du einen Ping von dem Computer aus absetzen, über die IP und über die Domain?

Reciht das per WLAN? Habe nur mein MacBook hier und keinen LAN Adapter.

Also wenn das OpenWRT verbogen ist, warum kein resett machen?
Dann hat man den Auslieferungszustand.
Dann IP anpassen.
Dann dchp ausschalten.
Dann ipv6 testen.
Dann wan Port zu LAN Port konfigurieren.
Wenn alles läuft sichern in File.
Man kann auch eine Sicherung mit wan aufheben, für alle Fälle. Weil kompliziert wan wieder einzurichten.

Reset ist theoretisch kein Problem, so lang das WLAN (SSID, Key) am Ende wieder identisch sind. Aber ich fürchte für die Ersteinrichtung benötige ich ebenfalls LAN. Gibt es eine gute Anleitung für die optimale Einrichtung als (dumb) AP?

Edit: Habe das noch gefunden: https://forum.openwrt.org/t/ipv6-doesnt-work/172975/2 Leider blicke ich nicht alles, bzw. das finale Fazit fehlt dort, oder?

 

[norKoeri]

Reciht das per WLAN?

Ja, wenn Du vorher das WLAN der Vodafone Station wieder anschaltest, also bitte ohne OpenWrt.

 

[jan2ooo]

So. Habe den TP Link abgeklemmt und mich mit dem WLAN der VF Station verbunden. Leider das gleiche Ergebnis
Dann scheint es an der Vodafone Box zu liegen und an meinem Client (Xiaomi Poco X3) sind die Auswirkungen nur sehr deutlich, weil alle anderen Client über IPv4 laufen? Ich finde leider keine Funktion um den DHCP Lease Routerseitig zu reseten? Auch eine deaktivierte Firewall in der VF Station scheint nichts zu ändern.

 

[norKoeri]

Was genau ist das Ergebnis: Klappt DNS? Und dann klappt „nur“ die eigentliche IPv6-Verbindung nicht? In dem Fall müssten wir nochmal mittels Wireshark mitschneiden, also ob Dir Vodafone wirklich ein nicht-routebares IPv6-Präfix gibt. Falls ja, kannst Du mit dem Paket-Mitschnitt Dich bei Vodafone durchsetzen – mehr als melden kannst Du das dort nicht. Was Du noch probieren könntest über mehrere Stunden, also über Nacht die Vodafone Station mal auslassen. Vielleicht bekommt Dein IPv6-Präfix dann jemand anderes.

 

[jan2ooo]

Was genau ist das Ergebnis: Klappt DNS?

Habe Ping Tools auf dem Smartphone installiert. Ping auf heise.de geht nicht, DNS Lookup schon. Ping scheint per IPv6 zu erfolgen, DNS Lookup per IPv4. Kann das sein? Mein Xiaomi hat eine IPv6 Adresse bekommne.

 

[norKoeri]

Das kannst Du selbst bestimmen, indem Du die DNS-Anfrage auf A = IPv4 oder AAAA = IPv6 machst. Und dann direkt die Resultat-IP-Adresse pingst.

Xiaomi

Kein gutes Test-Gerät. Xiaomi bastelt mir zuviel.
Bitte irgendwas Bewährtes wie iOS, macOS, Windows, UNIX, Linux.

 

[jan2ooo]

Also der DNS Checker auf dem Xiaomi funktioniert mit A und AAAA. Der Ping nur mit IPv4 Adresse, die IPv6 ist nicht pingbar.
Habe andere Geräte, aber so wie ich das sehe, haben die alle keine IPv6 Adresse vom Router bekommen 🤔

 

[norKoeri]

Xiaomi ist wie geschildert kein guter Test. Wenn kein anderes Gerät eine IPv6 erzeugen konnte, dann mal in der Vodafone Station schauen, irgendwo in Status (?), ob überhaupt ein IPv6-Präfix zugeordnet wurde. Falls nicht, bist Du vielleicht noch auf einem alten Tarif noch mit öffentlicher IPv4. Und dann macht das Xiaomi einfach nur Murks. @Engaged hatte die Tage einen ähnlichen Fall. Und ich meine wir hatten noch einen Fall vor eins/zwei Wochen.

 

[Engaged]

Bei mir schlug der IPv6 Test alle paar Stunden fehl seitdem ich meine fritzbox 4060 in Betrieb genommen habe.
Wenn ich das richtig gesehen habe war es nur auf mein redmi Note 12 pro 5g, obwohl wir hier alle im Haushalt redmi Geräte haben.
Mein Problem hat sich aber gestern Nachmittag erledigt mit einem Update von MIUI auf HyperOS, seitdem funktioniert wieder alles normal wie es aussieht, langzeittest steht aus.

 

[jan2ooo]

Danke euch!

Am MacBook verläuft der IPv6 Test positiv, am Xiaomi nicht. Beide Geräte sind via WLAN mit der VF Station verbunden.
Also scheint es doch am Telefon zu liegen? Dann verwundert mich nur, dass es auch via OpenWRT (mit den Diagnose Tools) nicht funktioniert hat.

P.S. Über den OpenWRT Router funktioniert der Test am MacBook auch. Habe ihn nun wieder als AP im Netzwerk.

 

[norKoeri]

Dann verwundert mich nur, dass es auch via OpenWRT (mit den Diagnose Tools) nicht funktioniert hat.

Müsste man schauen, was für eine IPv6-Adresse sich OpenWrt erzeugt hat. Ab Werk will OpenWrt ein ganzes Präfix und daraus eine Adresse ableiten. Das geht nicht, weil die Vodafone Station kein DHCPv6-Präfix-Delegation (IA_PD) kann. Aber ich vermute eher, dass in Deinem OpenWrt jetzt IPv6 ganz aus ist, also auch SLAAC. Das kannst Du über die /etc/sysctl.conf wieder einschalten:

net.ipv6.conf.br-lan.forwarding = 0
net.ipv6.conf.br-lan.accept_ra = 1

Hier hauten die letzten 20 Jahre an Spaghetti-Code-System-Architektur rein; OpenWrt ist super als Internet-Router aber schrecklich als reiner WLAN-Access-Point. Aber, aber wenn OpenWrt nur einen WLAN-Access-Point spielen soll, ist egal, ob OpenWrt selbst IPv6 hat.

scheint es doch am Telefon zu liegen?

Müsste man wirklich die Pakete mitschneiden, was los. Willst Du den Weg gehen? Xiaomi scheint den Bug zu kennen und entweder explizit oder implizit in neuen Firmwares behoben zu haben – wäre trotzdem interessant, was genau los ist, denn mein Xiaomi bockt hier nicht.

 

[ookee]

Aber ich vermute eher, dass in Deinem OpenWrt jetzt IPv6 ganz aus ist, also auch SLAAC. Das kannst Du über die /etc/sysctl.conf wieder einschalten:

Dafür muss man nicht an die /etc/sysctl.conf ran, das geht auch über die reguläre Netzwerkkonfiguration.

Dazu ein neues Interface lan6 anlegen, und als Device @lan angeben (d.h. es soll ein Alias des bestehenden LAN-Interfaces sein). Als Protokoll dann "DHCPv6 client" auswählen und die Anforderung eines Präfixes deaktivieren (über die Option "Request IPv6-prefix of length"). Damit ist sowohl SLAAC, als auch der Bezug einer einzelnen Adresse per DHCPv6 aktiviert (letzteres könnte man noch abstellen, wenn man auch "Request IPv6-address" deaktiviert)

Sieht dann in der /etc/config/network so aus:

config interface 'lan6'
        option proto 'dhcpv6'
        option device '@lan'
        option reqaddress 'try' # oder 'none'
        option reqprefix 'no'

 

[norKoeri]

Ja, das sind die Schritte aus dem dump AP. Ich mag odhcp6c für einen AP einfach nicht.

 

[cbase24]

Nun wurde die Fritzbox gegen eine Vodafone Station und DSL gegen Kabel getauscht.

Das habe ich auch gemacht und bekam nur mit Windows Clients via DHCPv6 eine globale IPv6 Adresse von der Vodafone Station zugewiesen (eine /128) und mit Android Clients aber keine (da Android nur via SLAAC eine IPv6 beziehen koennen). Es geht mit der Vodafone Station aber trotzdem, obwohl sie keine IPv6-Delegation ohne den Bridge-Modus macht, was ich hier auch nicht benoetige.

Die Loesung ist mit OpenWRT all dies hier nicht zu machen:

• Designated Master
• DHCPv6 Relay
• IPv6 Delegation
• DHCPv6 Server (odhcpd, dnsmasq und firewall daemons sind bei mir disabled!)

Sondern mit OpewRT ausschliesslich den "RA Service" im "relay mode" betreiben.

Der eigentliche Trick ist danach die Vodafone Station 1x neu zu starten, denn wenn die OpenWRT vorher einmal "Designated Master" war, funtioniert SLAAC nicht korrekt. Es geht also alles erst nach dem finalen Vodafone Station Neustart.

In den Screenshots wird die lan (br-lan) config von mir gezeigt. Das OpenWRT Interface, welches im LAN-Port der Vodafonestation haengt, hat also jetzt die notwendig /64 Ipv6 per SLAAC bekommen (das ist eigentlich nicht intuitiv, denn die config sagt ja " option reqaddress 'none' " ;-) ) und alles was man mit der br-lan verbindet (z.B. ein OpenWRT WLAN) funktioniert dann ebenfalls mit /64 via SLAAC. Das DHCPv6 (Vodafone Station vergibt hier nur /128 Adressen), ist also komplett jetzt bei mir abgeklemmt.

Wer noch fragen hat, bitte hier melden.