Da fallen mir ja gleich mehrere Gründe ein.
- Die IP ist nicht richtig eingerichtet
- Die Route ist nicht richtig eingerichtet
- Die Firewall ist nicht richtig eingerichtet
- der vHost des HTTP Servers ist nicht richtig eingerichtet
Was davon kannst du ausschließen? Bitte mit konkreter Beschreibung, warum du es ausschließt.
Was sich mir nicht erschließt: Wie kommst du darauf, dass der Nameserver Einfluss auf die Erreichbarkeit einer IPv6 Adresse von außen haben könnte? Bist du sicher, du weißt, was du da vorhast?
Entsprechend gegoogelt hast du schon? "pfsense ipv6"
Da gibt es ja dann schon etliche Beiträge zu den Fallstricken.
Kannst du von der pfsense denn erfolgreich IPv6 nach außen kommunizieren? Also z.B. 2a09:: anpingen?
Also entweder ist die IPv6 noch nicht richtig eingerichtet oder die Firewall noch nicht richtig eingestellt.
Ich hab hier eine opnsense laufen mit extra IPv6-Netz für die Server im LAN. Funktioniert einwandfrei.
Die pfSense bekommt Ihre WAN-IP nicht über DHCP/DHCPv6 vom Provider?
Wenn DHCPv6 und oder SLAAC nicht funktioniert, ist ICMPv6 und damit NDP gestört. pfSense sollte das normalerweise durchlassen.
Welche Internetverbindung kommt hier zum Einsatz?
Kann es sein, dass Dein Modem oder der Router ICMPv6 nicht durchlässt?
Ich hatte das so verstanden, dass pfSense hier auf einem netcup Server läuft und per Wireguard einen Tunnel nach Hause etabliert, um dort Serverdienste verfügbar zu machen. Vielleicht, um DS-Lite oder CGNAT Einschränkungen zu umgehen.
Ich hab zu Hause eine opnsense in meinen Test-VMs, die den Internetzugang für diese Test-VMs realisiert. Mit Prefix-Delegation vom heimischen Hauptrouter und allem Zip und Zap. Auch der Zugriff übers WAN Interface ist kein Problem, wenn man die Firewall entsprechend einstellt.
Alles anzeigenDa fallen mir ja gleich mehrere Gründe ein.
- Die IP ist nicht richtig eingerichtet
- Die Route ist nicht richtig eingerichtet
- Die Firewall ist nicht richtig eingerichtet
- der vHost des HTTP Servers ist nicht richtig eingerichtet
Was davon kannst du ausschließen? Bitte mit konkreter Beschreibung, warum du es ausschließt.
Was sich mir nicht erschließt: Wie kommst du darauf, dass der Nameserver Einfluss auf die Erreichbarkeit einer IPv6 Adresse von außen haben könnte? Bist du sicher, du weißt, was du da vorhast?
meine Herausforderung liegt genau hier bei den Punkten 1-4.
Früher habe ich iptables verwendet, aber pfSense ist ziemlich umfangreich, und ich finde es etwas gewöhnungsbedürftig.
Konkurrenzanbieter schreibt: "Zuweisung einer Primären IPv6 erfordert manuelle Konfigurationsschritte", da wird auch nameserver erwähnt, kam leider nicht weiter.
Entsprechend gegoogelt hast du schon? "pfsense ipv6"
Da gibt es ja dann schon etliche Beiträge zu den Fallstricken.
Ja sicher doch, hab Spaßeshalber sogar ChatGPT penetriert 
, kein Erfolg.
Kannst du von der pfsense denn erfolgreich IPv6 nach außen kommunizieren? Also z.B. 2a09:: anpingen?
Also entweder ist die IPv6 noch nicht richtig eingerichtet oder die Firewall noch nicht richtig eingestellt.
Ich hab hier eine opnsense laufen mit extra IPv6-Netz für die Server im LAN. Funktioniert einwandfrei.
Ping geht :
meineIPv6 --> 2a09::
16 bytes from 2a09::, icmp_seq=0 hlim=58 time=5.756 ms
--- 2a09:: ping6 statistics ---
1 packets transmitted, 1 packets received, 0.0% packet los
_______________
Google.com auch:
_______________
meineIPv6 --> 2a00:1450:4001:813::200e
16 bytes from 2a00:1450:4001:813::200e, icmp_seq=0 hlim=116 time=5.426 ms
--- google.com ping6 statistics ---
1 packets transmitted, 1 packets received, 0.0% packet lossAlso raus komme ich, von außen gehts nicht, (100% packet loss)
So muss ich doch auch auf dei WebUI von pfSense kommen oder? https://[meineIPv6]:PORT
Wenn meine IPv6 "xxxx:xxx:xxxx:474f::/64" lautet ist die IP "xxxx:xxx:xxxx:474f::1" also /128 ist das korrekt?
So muss ich doch auch auf die WebUI von pfSense kommen oder? https://[meineIPv6]:PORT
Nicht mit https. 
So muss ich doch auch auf dei WebUI von pfSense kommen oder? https://[meineIPv6]:PORT
Nicht von außen. Du musst anfänglich natürlich über das LAN Interface auf die pfsense zugreifen. Nach der Installation ist das WAN Interface natürlich abgeschottet durch die Firewall. Das sollte auch tunlichst so bleiben, um Angriffe zu vermeiden. Testweise kann man das in der Firewall kurz aufmachen, aber das ist kein Zustand für mehr als ein paar Sekunden.
Du musst also übers LAN zugreifen. Oben im Screenshot sieht man ja ein konfiguriertes LAN Interface. Darüber sollte es gehen. Das scheint ja auch zu klappen, wie solltest du sonst die Screenshots gemacht haben.
pfSense und OPNsense sind in der Tat gewöhnungsbedürftig, schalten aber alles frei, was Du brauchst, damit es funktioniert.
Für alles andere reichen Stift und Papier und etwas nachdenken, was eigentlich das Ziel ist.
Ein paar Tips:
1. NDP/ICMPv6 ist die Grundlage dafür, dass SLAAC und DHCPv6 funktionieren. Du wirst in der Regel nur SLAAC benötigen. Bei manueller Konfiguration muss NDP dennoch funktionieren. Wikipedia hat einen guten Artikel dazu.
2. Die Firewall der pfSense macht von Haus aus sonst alles zu. Ohne freischaltende Regel wird es nicht gehen. Egal was.
3. IPv6 basiert auf klassischem Routing. Anders als für IPv4 wirst Du in aller Regel daher keine NAT-Rules dafür brauchen, sondern nur sauberes Subnetting, Routing und input-output-Regeln.
Wenn Du von innen nach draußen tracerouten und pingen kannst, liegt Dein Problem nicht darin, dass IPv6 nicht funktioniert, sondern entweder darin, dass der Router den zugewiesenen Prefix nicht routet, sondern nur auf einer der IPs davon lauscht (kleineren Prefix einem Interface zuweisen oder virtuelle IP nützen) oder eben darin, dass das auf das oder zum nachgelagerte(n) Inferface nicht geroutet wird (Prefix size und oder Gateway, eventuell Tippfehler) oder eine Regel fehlt, die den Zugriff ermöglicht.h
Hinsichtlich Zugriff aufs Webinterface von Außen: Wenn Deine andere IP fix ist, kannst Du dafür ja eine Regel aufmachen. Ansonsten hilft ssh-tunneling oder eine ssh-reverse connection.
Oben im Screenshot halte ich die v6 Subnetzmaske von /128 als auch die v4 Subnetzmaske von 255.255.255.255 für falsch.
Woher kommt die IP, mit der du da im Moment arbeitest? Die scheint nicht zugewiesen zu sein.
Hat zwar nichts mit deinem Problem zu tun, aber bist du sicher, dass hier die Subnetmask richtig ist? Ist die nicht normalerweise 255.255.252.0?
Edit: Mist, frank_m war schneller. 
Alles anzeigenEin paar Tips:
1. NDP/ICMPv6 ist die Grundlage dafür, dass SLAAC und DHCPv6 funktionieren. Du wirst in der Regel nur SLAAC benötigen. Bei manueller Konfiguration muss NDP dennoch funktionieren. Wikipedia hat einen guten Artikel dazu.
2. Die Firewall der pfSense macht von Haus aus sonst alles zu. Ohne freischaltende Regel wird es nicht gehen. Egal was.
3. IPv6 basiert auf klassischem Routing. Anders als für IPv4 wirst Du in aller Regel daher keine NAT-Rules dafür brauchen, sondern nur sauberes Subnetting, Routing und input-output-Regeln.
Wenn Du von innen nach draußen tracerouten und pingen kannst, liegt Dein Problem nicht darin, dass IPv6 nicht funktioniert, sondern entweder darin, dass der Router den zugewiesenen Prefix nicht routet, sondern nur auf einer der IPs davon lauscht (kleineren Prefix einem Interface zuweisen oder virtuelle IP nützen) oder eben darin, dass das auf das oder zum nachgelagerte(n) Inferface nicht geroutet wird (Prefix size und oder Gateway, eventuell Tippfehler) oder eine Regel fehlt, die den Zugriff ermöglicht.h
Hinsichtlich Zugriff aufs Webinterface von Außen: Wenn Deine andere IP fix ist, kannst Du dafür ja eine Regel aufmachen. Ansonsten hilft ssh-tunneling oder eine ssh-reverse connection.
Werde ich es mir naturlich anschauen, das wird ein Spass. 
Die pfSense bekommt Ihre WAN-IP nicht über DHCP/DHCPv6 vom Provider?
Wenn DHCPv6 und oder SLAAC nicht funktioniert, ist ICMPv6 und damit NDP gestört. pfSense sollte das normalerweise durchlassen.
Welche Internetverbindung kommt hier zum Einsatz?
Kann es sein, dass Dein Modem oder der Router ICMPv6 nicht durchlässt?
Ja genau, nur IPv4 ging Automatisch über DHCP, und bei der Subnetmask 255.255.255.255 hab ich nicht herumgeschraubt, steht seit installation da.
wenn das ip ist xxxx:xxx:xxxx:474f::/64 was ist dann die feste ip? so xxxx:xxx:xxxx:474f::1 /128
Ja genau, nur IPv4 ging Automatisch über DHCP, und bei der Subnetmask 255.255.255.255 hab ich nicht herumgeschraubt, steht seit installation da.
wenn das ip ist xxxx:xxx:xxxx:474f::/64 was ist dann die feste ip? so xxxx:xxx:xxxx:474f::1 /128
Eine Subnetzmaske von 255.255.255.255 oder /32 ist eine einzelne IP-Adresse. Bei Funkfeuer benützen wir das in Verbindung mit OLSR...
Im LAN, etwa dem eines Hostingproviders ist das unüblich, weil es sich dort um Broadcastnetze handelt. Üblich sind dort normalerweise 255.255.255.0 (/24) bis 255.255.252.0 (/22). Im Fall von netcup siehst Du die Subnetzmaske im Servercontrolpanel.
Bei IPv6 ist ein Prefix von /128, also eine einzige IPv6-Adresse weniger tragisch. Du bekommst aber bei netcup einen Prefix von /64. Ich würde da entweder die von SLAAC/DHCP erhaltenen Werte benützen ODER statisch konfigurieren. Statisch bekäme das WAN dann bspw. 2001:db8:cafe:beef::feed/128, während ich eine virtuelle IP-Adresse/ einen IP-Alias von 2001:db8:cafe:beef::/64 auf ein anderes Interface oder das loopback interface legen kann.
Edit: Beide Ubuntu Server lassen sich über IPv6 anpingen, schade um pfSense
Und wie sehen die Adressen da aus? Vor allem die Subnetzmasken?
Und wie sehen die Adressen da aus? Vor allem die Subnetzmasken?
Fremd-Hoster -> IPv4 /32 und IPv6 /64.
Hab ein drittes Fork der pfSense entdeckt (Installation läuft bereits) https://dynfi.com/de
Mal sehen.
Dann merke dir die IP Konfiguration der Ubuntu Installation (Adresse, Routen, DNS) und sorge dafür, dass es unter pfSense genauso aussieht.
