Projectje IPv6 via EDPnet en pfSense(s)

[PowerToTheUsers]

Een lange post, maar hopelijk krijg ik hier een paar antwoorden of bevestigingen dat mijn veronderstellingen kloppen. De informatie rond IPv6, EDPnet, pfSense,... en de combinatie ervan is zo versnipperd on-line :/
Aangezien EDPnet al een tijdje IPv6-adressen uitdeelt, en pfSense 2.1 al een tijdje in beta zit, heb ik besloten om hierthuis ook een IPv6-setup te maken. Maar IPv6 is nog nieuw voor mij, dus komen er wel wat vragen naar boven... En mijn setup is niet zo simpel

Om een overzicht te geven van mijn huidige setup:
EDPnet -> sagem -> 192.168.1.x -> WAN 1 van pfSenseA (1.2.3)
andere WAN-link -> 192.168.2.x -> opt1 van pfSenseA (1.2.3)
Deze pfSenseA-box met versie 1.2.3 verdeelt nu intern een 5tal VLANs (laat ons die 192.168.10.x tot 192.168.15.x noemen).

Waar ik naartoe wil:
EDPnet -> sagem in bridge -> pfSenseB (2.0.1 beta) -> pfSenseA
andere WAN-link -> 192.168.2.x -> opt1 van pfSenseA
Die pfSenseA-box blijft dus als WAN-loadbalancer en als firewall tussen mijn interne VLANs. Mijn 2e WAN-link blijft voorlopig enkel IPv4, maar op termijn zal hier ook wel IPv6 over komen... Die pfSenseA-box blijft mijn WAN-loadbalancer, main firewall,... en zal op (vrij korte) termijn ook vervangen worden en geupgrade naar 2.1.

Het plan tot nu toe:
* Een BBox2 die hier ligt configureren om op te kunnen terugvallen
* IPv6 aanvinken in my.edpnet zoals beschreven in http://en.wiki.edpnet.be/index.php/Nati ... xDSL_users
* Mijn huidige Sagem in bridged mode zetten zoals beschreven in http://nl.wiki.edpnet.be/index.php/Sage ... ridge_mode.
* pfSenseB-box heeft 2 netwerkinterfaces:
-> nic1 is de WAN-interface (verbonden met LAN-connectie van sagem) type PPPoE, edpnet-username en password er in. En voor IPv6: DHCPv6?
-> nic2 is de LAN-interface, verbonden met pfSenseA (main firewall), met een fixed IPv4-adres.
* En dan van daar zien we wel hoe IPv6 verder geraakt tot op een client achter deze pfSenseB, en nadien tot op mijn main firewall, pfSenseA

Maar...
Op die Sagem heb ik nu een IP-adres, DHCP-server,... voor de range 192.168.1.x. Wat gebeurt hier mee als ik de PPPoE op mijn pfSenseB-box laat opbouwen? Ik neem aan dat die pfSenseB-box voor zijn LAN-interface niet dezelfde 192.168.1.x mag gebruiken? Of is dat geen probleem?

Via EDPnet krijg ik volgens http://en.wiki.edpnet.be/index.php/Nati ... xDSL_users en volgens wat ik zie als thuisgebruiker een /56 "IPv6 LAN prefix" en een /64 "IPv6 WAN prefix". Op die wiki-pagina is de LAN prefix 2a02:578:greyedout::/48 en de WAN-prefix 2a02:578:8401:greyedout::/64. Dus bij mij wordt dat dan bijvoorbeeld LAN prefix 2a02:5785678::/56 en de WAN-prefix 2a02:578:8401:5678:9abc::/64?
* Kan ik dan voor mijn verschillende interne VLANs die /56 opsplitsen en per VLAN een /64-adres gebruiken?
Bijvoorbeeld VLAN 1 wordt 2a02:5785678:1::/64, VLAN 2 wordt 2a02:5785678:2::/64,...
Of is die LAN prefix variabel? (Maar dan moet ik terug NATten als ik een "server" hierthuis intern hetzelfde IP wil laten houden, en NAT is net weg dankzij IPv6)
Of is er een andere reden waarom dit niet werkt?
* Dus met die voorbeeldgetallen krijgt die pfSenseB-box op zijn WAN-interface (via PPPoE, via DHCPv6) een adres uit de 2a02:578:8401:5678:9abc::/64-range, maar wat stel ik in op de LAN-kant? De volledige LAN /56, of gebruik ik daar één VLAN, dus een /64? En hoe zit het dan (op termijn) op mijn main firewall, pfSenseA: Die doet ook DHCP (op IPv4), dus die zal dan via DHCP of router adertisement per VLAN adressen in een /64-uitdelen?

Alvast bedankt voor de feedback, en de moeite om het te lezen ^^

[krisken]

Ikzelf draai pfsense (in combinatie met EDPnet) en ben tot de conclusie gekomen dat ipv6 alles behalve goed werkt icm edpnet.
Ik heb een fixed ip bij edpnet, en een extra iprange (/26). Toen ik heel de boel configureerde werkte alles (servers etc perfect bereikbaar). Echter na de configuratie van ipv6 kreeg ik netjes een ipv6+ipv4 adres, kon ik surfen maar...waren mijn servers onbereikbaar. Daarom dat ik ipv6 heb uitgeschakeld.

Binnenkort zal ik echter een nieuwe poging doen. Niet via pfsense, maar via routerboard.

[PowerToTheUsers]

Ikzelf draai pfsense (in combinatie met EDPnet) en ben tot de conclusie gekomen dat ipv6 alles behalve goed werkt icm edpnet.
Ik heb een fixed ip bij edpnet, en een extra iprange (/26). Toen ik heel de boel configureerde werkte alles (servers etc perfect bereikbaar). Echter na de configuratie van ipv6 kreeg ik netjes een ipv6+ipv4 adres, kon ik surfen maar...waren mijn servers onbereikbaar. Daarom dat ik ipv6 heb uitgeschakeld.

Binnenkort zal ik echter een nieuwe poging doen. Niet via pfsense, maar via routerboard.

En enig idee waar het probleem lag? Een te vroege beta-versie van pfSense 2.1?
Ik heb zelf maar één, variabel IPv4-adres van edpnet, daar behelp ik mij met NATting om een aantal zaken aan te bieden.

Via EDPnet krijg ik volgens http://en.wiki.edpnet.be/index.php/Nati ... xDSL_users en volgens wat ik zie als thuisgebruiker een /56 "IPv6 LAN prefix" en een /64 "IPv6 WAN prefix". Op die wiki-pagina is de LAN prefix 2a02:578:greyedout::/48 en de WAN-prefix 2a02:578:8401:greyedout::/64. Dus bij mij wordt dat dan bijvoorbeeld LAN prefix 2a02:5785678::/56 en de WAN-prefix 2a02:578:8401:5678:9abc::/64?
* Kan ik dan voor mijn verschillende interne VLANs die /56 opsplitsen en per VLAN een /64-adres gebruiken?
Bijvoorbeeld VLAN 1 wordt 2a02:5785678:1::/64, VLAN 2 wordt 2a02:5785678:2::/64,...
Of is die LAN prefix variabel? (Maar dan moet ik terug NATten als ik een "server" hierthuis intern hetzelfde IP wil laten houden, en NAT is net weg dankzij IPv6)
Of is er een andere reden waarom dit niet werkt?
* Dus met die voorbeeldgetallen krijgt die pfSenseB-box op zijn WAN-interface (via PPPoE, via DHCPv6) een adres uit de 2a02:578:8401:5678:9abc::/64-range, maar wat stel ik in op de LAN-kant? De volledige LAN /56, of gebruik ik daar één VLAN, dus een /64? En hoe zit het dan (op termijn) op mijn main firewall, pfSenseA: Die doet ook DHCP (op IPv4), dus die zal dan via DHCP of router adertisement per VLAN adressen in een /64-uitdelen?

Op my.edpnet krijg ik volgende gegevens te zien:

Code: Selecteer alles

IPv6 LAN prefix 	2a02:578:851d:100::/56
IPv6 WAN prefix 	-

Mijn pfSenseA kon de PPPoE-connectie opbouwen, en surfen via IPv4 was geen probleem.
Ook kreeg die een IPv6-adres, maar in de 2a02:578:8400:4f3::/64-range. Maar zoals je hierboven kan zien, verschijnt die dus niet in my.edpnet. Is dat normaal?
Surfen via IPv6 (of toch on-line IPv6-readiness-tests) faalden. Intern gebruikte ik een IP uit de 2a02:578:851d:/56-range via DHCPv6 en router advertisement.

[depeje]

Ik gebruik openwrt, en dt werkt zonder problemen zoals uitgelegd op de wiki van edpnet. Mijn wan prefix is wel iets wat begint met fe08:blabla. Ik heb geen fix ipv4.

[PowerToTheUsers]

Ik gebruik openwrt, en dt werkt zonder problemen zoals uitgelegd op de wiki van edpnet. Mijn wan prefix is wel iets wat begint met fe08:blabla. Ik heb geen fix ipv4.

Bedoel je fe80:: Da's link-local: http://en.wikipedia.org/wiki/Link-local_address#IPv6

[depeje]

Ik vind het ook een beetje bizar, maar het werkt zoals ik het wil. De wan interface van mijn router is via het internet niet benaderbaar, maar dat moet ook niet. Voor het volledige verhaal:

Code: Selecteer alles

root@quimbey:~# ifconfig br-lan
br-lan    Link encap:Ethernet  HWaddr 00:40:63:E1:64:03
          inet addr:192.168.1.253  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: 2a02:578:85a9:1:240:63ff:fee1:6403/64 Scope:Global
          inet6 addr: fe80::240:63ff:fee1:6403/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1452  Metric:1
          RX packets:192395917 errors:0 dropped:0 overruns:0 frame:0
          TX packets:192076820 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2492380730 (2.3 GiB)  TX bytes:1014963736 (967.9 MiB)
root@quimbey:~# ifconfig pppoe-wan
pppoe-wan Link encap:Point-to-Point Protocol
          inet addr:77.109.118.44  P-t-P:213.219.132.17  Mask:255.255.255.255
          inet6 addr: fe80::9437:e541:e06e:a89b/10 Scope:Link
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1452  Metric:1
          RX packets:33499785 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22592229 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:3116181350 (2.9 GiB)  TX bytes:755319727 (720.3 MiB)

Mijn server is zelfs berijkbaar via het internet: http://krusty.depeje.net. (ipv6 only)

[krisken]

Van zodra het RouterBoard hier is toegekomen, zal ik (hopelijk) ook via IPV6 werken!

Deze heb ik alvast toegewezen gekregen van EDPnet

IPv6 LAN prefix 2a02:578:4700::/48
IP address 2a024700:0000:0000:0000:0000:0000
type GLOBAL-UNICAST
network 2a02:578:4700::
Prefix length 48
Prefix address ffff:ffff:ffff:0000:0000:0000:0000:0000
address range 2a024700:0000:0000:0000:0000:0000-
2a024700:ffff:ffff:ffff:ffff:ffff
total IP addresses 1208925819614629174706176

compressed 2a02:578:4700::/48
integer ID 55838071358084491984605088365422837760
hexadecimal ID 0x2a020578470000000000000000000000
base 85 ID ck;M{ejJ9m{lY-A`&&_+
binary ID
ip6.arpa format 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.7.4.8.7.5.0.2.0.a.2.ip6.arpa.


IPv6 WAN prefix 2a02:578:8401:700::/64
IP address 2a0284010000:0000:0000:0000
type GLOBAL-UNICAST
network 2a02:578:8401:700::
Prefix length 64
Prefix address ffff:ffff:ffff:ffff:0000:0000:0000:0000
address range 2a0284010000:0000:0000:0000-
2a028401ffff:ffff:ffff:ffff
total IP addresses 18446744073709551616

compressed 2a02:578:8401:700::/64
integer ID 55838071376964319566092132274325684224
hexadecimal ID 0x2a020578840107000000000000000000
base 85 ID ck;M{wP5UMRS*$8Nt&hS
binary ID
ip6.arpa format 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.7.0.1.0.4.8.8.7.5.0.2.0.a.2.ip6.arpa.

[ubremoved_539]

Van zodra het RouterBoard hier is toegekomen, zal ik (hopelijk) ook via IPV6 werken!

Wat is er gebeurd met je pfSense setup ?

[krisken]

Niks niks, die draait hier nu nog altijd tot het routerboard toekomt. Het is gewoon zo dat de beta van PFSense de combinatie van een routed /26 ipv4 subnet en ipv6 niet ondersteund. Heb paar maand terug IPV6 willen toevoegen op mijn pfsense en hoewel alles correct was gedaan werd mijn subnet niet meer gerouteerd. Van zodra ik ipv6 heb uitgezet...wel. Beetje jammer!

[krisken]

Sinds een uurtje of 4 werken de servers hier zowel via IPv4 als IPv6 dankzij EDPnet en de know-how van Tim
Het verkeer van OpenWeb VDSL2 gaat nog steeds door de pfsense, maar vannacht hebben we een setup gemaakt waar een routerboard (Mikrotik RB2011L-RM) het verkeer van mijn EDPnet VDSL2 afhandelt. Om eerlijk te zijn : behalve een logicafoutje waar we naast zaten ging deze setup nog verbazend snel! En het verbruikt ook een pak minder dan de pfsense bak!

Eén van de komende dagen zal het routerboard dus ook het OpenWeb verkeer over zich heen krijgen. Maar aangezien ik daar geen IPv6 range heb gekregen zal dit zijn met een tunnel van HE.

Als je dus nog steeds je projectje wilt voortzetten met jouw EDPnet IPv6 range : gebruik routerboard! Goedkoop maar degelijk!

Met dank aan Tim Bracquez (Fusa) en Tom Pauwels (TopService) voor de hulp bij het instellen hiervan.

[ubremoved_539]

gebruik routerboard! Goedkoop maar degelijk!

Dat ik kisken daar nog reclame voor hoor maken Maar werkt inderdaad prima... ik heb m'n HE tunnel nu toch al wel enkele maanden actief zonder enig probleem.

Wel zorgen voor goede firewalling hé... zonder NAT ziet de wereld er op dat gebied helemaal anders uit !

[krisken]

Heb ik daar ooit enig slecht woord over gezegd?
Ben in contact gekomen met RB dankzij de kennis van Tom en Tim. Is een héél goeie router maar op dat moment was ik ook uiterst tevreden van PFSense. Eigenlijk ben ik er nog altijd héél tevreden van, maar IPv6 is nu eenmaal de toekomst en dat hebben ze bij PFSense nog niet goed door. En nu mijn provider mij IPv6 aanbied, ben ik moreel verplicht om dit toch te gebruiken hé Het is even wennen aan de interface maar als je het wat volgt zit alles nog vrij logisch in elkaar.

[billeman]

pfsense geeft inderdaad heel veel problemen met IPv6/PPPOE, heb het één keer aan het werk gekregen na een reboot, maar dan nam hij 100% CPU constant.

Dan via jullie vorige berichten terecht gekomen bij Mikrotik routeros, dat werkt helemaal probleemloos zelfs na reboots van Sagem en mikrotik (die ik trouwens als een ESXi VM Guest draai).

Ik moet zeggen dat mikrotik een openbaring voor mij is, zeer frappant voor mij dat ik een dure cisco router heb vervangen door een $29 kostende licentie voor routeros (omwille van performantieproblemen op de cisco, een bug die maar niet opgelost wordt op de oudere (ISR G1) routers - no CEF forwarding for IPV6 on dialer/pppoe interfaces).

Binnenkort zet ik een server in colocation, heb nu ook een oplossing om daar een firewall te kunnen draaien zonder dat ik een extra hardware box nodig heb

[Tim.Bracquez]

@billeman: Leuk dat je ook voor MikroTik bent gegaan, vergeet je backups van je configuration files niet, dit kan geautomatiseerd. Bv per mail: http://wiki.mikrotik.com/wiki/Automated ... il_backups

PS: Hier nog gratis ruimte in het DataCenter (oostkamp) om gewoon een RBtje (rack model te zetten) met wat 200GB dataverkeer en IPtje. Handig voor tunneltjes etc moest je het nodig hebben! Ook colo mogelijkheid voor servers.

[billeman]

Bedankt voor de heads-up, soms durf ik inderdaad wat te lang te wachten met backups van zaken, automatisch is inderdaad de enige manier dat dat niet vergeten wordt.

OT: Voor de colocation zal ik waarschijnlijk mijn server in Nederland plaatsen, bij leaseweb. In Belgie geen vergelijkbare prijs/service gevonden voor :
1 RU / 0,5 A
5 IP addresses
IPV6 enabled
1000 GB volume

50 EURO Setup + 35,10 EURO/maand met 12 maanden facturatie periode

[Tim.Bracquez]

@billeman: Ik lever je dat in Oostkamp voor die prijs Zelfs goedkoper dan leaseweb, ze rekenen met prijzen excl btw op de site...

[billeman]

Interessant ik zal je een prive email sturen

[billeman]

Toch nog even off-topic verder :

Ondertussen staat mijn server in colocation bij FUSA in DCO2

Zeer vriendelijke ontvangst / rondleiding / installatie / discussie met Tim en Kris, alles opgezet in minder dan 30 minuten

Kan dus deze service van harte aanraden !

[krisken]

Met dank En graag gedaan

[Trojan]

@Krisken, hoe goed werkt die routerboard, ik ben zelf aan het denken om deze te nemen. Ik veronderstel dat je ook routerOS gebruikt? Heb je de ipv6 configuratie via cli of gui gedaan?

[krisken]

Ik ben er uiterst tevreden van tot nu toe. IPv6 (de hele configuratie btw) is gebeurd via winbox.
Toestel dat je wenst te kopen heeft Tim thuis liggen. Is zowat dezelfde als wat ik heb (RB 2011L RM) maar met wifi erbij

[Trojan]

Enkel spijtig dat het 5xFE en 5xGbit is ipc 10xGbit.

Nu, ik zit niet bij edpnet, en ik wil een tunnel van sixxs gebruiken, gaat dat ook of zorgt dat voor problemen?

[krisken]

Meerdere gigabit poorten heb je bij de duurdere versies.
Op mijn ene RB hangt er een ipv6 tunnel aan van HE (mijn openweb lijn), zou dus prima moeten werken

[billeman]

Trojan,

Als je de software van mikrotik wilt testen, dan kan je dit gemakkelijk doen d.m.v. vmware (mag zelfs gewoon de vmware player zijn), en de x86 versie iso downloaden/installeren.

Als je dan nog een PC weet te vinden met minimum 2 NIC's dan is het helemaal tof

[Mathy]

Waar kan je die routerboards het best kopen?

[krisken]

Ik koop ze via Polen : https://www.interprojekt.com.pl/

[Trojan]

Trojan,

Als je de software van mikrotik wilt testen, dan kan je dit gemakkelijk doen d.m.v. vmware (mag zelfs gewoon de vmware player zijn), en de x86 versie iso downloaden/installeren.

Als je dan nog een PC weet te vinden met minimum 2 NIC's dan is het helemaal tof

Yeah, ik weet het, maar ik enorm lui. Ik zeg al een week dat ik eens werk moet maken van een nieuwe linux op te zetten met een ipv6 tunnel. Maar het komt er gewoon niet van.

Een pc met 2 nics heb ik spijtig genoeg niet meer, en vanwege stroomverbruik ga ik dat zelfs niet proberen.

[Mathy]

@krisken Amai, dat is wel een wereld van verschil met de prijzen in Belgische en Nederlandse webshops die ik al had opgezocht. Leveren ze snel?

Lijkt me ook beter om op mijn BTW-nr te kopen? Polen is blijkbaar 23% BTW, dus dan win ik 2% als ik het als particulier wil gebruiken

[ubremoved_539]

Enkel spijtig dat het 5xFE en 5xGbit is ipc 10xGbit.

Initieel wou ik ook genoeg poorten (heb een RB-450G met 5 x Gbit) maar uiteindelijk doe ik het gewoon via een managed switch en VLANs.

Nu, ik zit niet bij edpnet, en ik wil een tunnel van sixxs gebruiken, gaat dat ook of zorgt dat voor problemen?

Ik zit bij TN en m'n Routerbord doet m'n IPv6 tunnel naar HE (maar EDPnet/Sixxs zal ook wel werken).

[krisken]

Ze leveren vrij snel via FedEx (binnen de week)

[billeman]

@Trojan, ik zou niet echt twijfelen voor wat betreft Mikrotik zenne.

Ik ondersteun voor mijn werk + heb in mijn bezit een hoop cisco materiaal + Palo Alto NG FW materiaal, maar heb al een cisco vervangen door Mikrotik voor IPv6 PPOE bij EDPNET, en voor dit weekend is gepland de vervanging van de Palo Alto als internet front-end door Mikrotik omwille van slechte ondersteuning DHCP bij Palo Alto bij bv. VPN's.

Er zijn een hoop zaken waar mikrotik de zaken op een eigenzinnige maar *zeer* interessante manier doet, en tot nu toe 100% stabiel.

Die Cisco's en Palo Alto hebben mij al duizenden euro's gekost, maar toch ben ik enthousiaster van Mikrotik.

[EDIT] Disclaimer : tot nu toe vind ik de SWITCHES van Cisco nog altijd het beste

[EDIT2] Palo Alto FW komt wel als back-end van de mikrotik omdat de application visibility *wel* heel goed is.

[Trojan]

Ok, routerOS vm draait op ESXi 5.1 met 2 netwerkadapters.

Ik heb het standaard ip van ether1 al kunnen veranderen van 192.168.88.1 naar 192.168.1.250 zodat ik het op zen minst kan benaderen van mijn bestaand netwerk.
Op ether2 heb ik een PPPoE client geconfigureerd die naar belgacom gaat.

En nu mogen jullie helpen met de configuratie van mijn ipv6 tunnel naar sixxs, en op zen minst de basis rules voor de firewall (ook voor ipv4 pppoe, want ik denk dat daar standaard ook niets op staat).

edit: ik mis toch ergens iets. Ik heb voor het gemak ook maar een windows server 2012 vm'tje opgezet met 192.168.1.250 als gateway, maar hoe stel ik in dat er een brug is tussen ether1 en ether2 (lan en wan)?

[billeman]

op ESXi ? Da's al een goei begin, ik doe net hetzelfde

Standaard zal ROS een gewone router zijn, dus geen enkele filtering. Da's een bekke gevaarlijk
Je kan dus best in de IP en IPv6 / firewall menu's wat rules aanmaken voor de 'input chain' op je WAN kant. Input chain is traffic naar je mikrotik zelf.

Voor wat betreft IPv4, zal je een NAT rule moeten aanmaken, nl. een 'action' masquerade rule met out interface = WAN. Dat is dus de PAT / overload (in het geval je maar 1 IPv4 IP hebt)

Voor wat goeie video's : http://gregsowell.com/?page_id=951

Als je in evaluation draait, vergeet niet je VM af te zetten 's nachts, je hebt namelijk 24 uur *running time* eval.

[Edit] geeft sixxs geen voorbeeld config voor bepaalde types router ? By tunnelbroker doen ze dit

[Trojan]

Ik heb wel een guide gevonden voor mikrotik, maar die is enkel voor een static ipv4, niet voor een ayiya.

[ubremoved_539]

Dan schrijf je gewoon een script dat je IPv4 adres aanpast als je een nieuw krijgt.

Bij HE moet ik dit trouwens ook doorgeven.

[krisken]

Idd bij tunnelbroker heb je een duidelijke config : http://wiki.mikrotik.com/wiki/Setting_u ... nel_broker

[billeman]

@Trojan : ayiya is volgens mij niet ondersteund door mikrotik Staat in de feature requests.

Is een bekke een bummer voor u maar niet veel aan te doen momenteel vrees ik, zeker niet als uw IP adres om de zoveel uur veranderd.

[Trojan]

Ik heb het opgegeven en ben maar voor een ubuntu gegaan met aiccu en radvd.

Na veel gepruts en een verkeerde configuratie van de /48 is het toch gelukt met de default /64 subnet.

Ik kan nu perfect op ipv6 surfen. Enkel nog de firewall configureren.