Posts by perryflynn

    Diese Worte fassen gefühlt komplett zusammen warum sich IPv6 allgemein so schwer tut. IPv4 ist einfach und sind alle gewohnt und der Mensch ist ein Gewohnheitstier und so weiter. An vielen Ecken und Kanten müsste man Zeug umstellen, anders denken, mehr konfigurieren, ... da haben dann viele keinen Bock drauf.

    Das ist ja nur die halbe Wahrheit. Mein Zeug funktioniert einfach nicht, solange das IPv6 Prefix dynamisch ist. Und auf jeden Client/Server jetzt nen DynDNS Client zu packen ist IMHO Wahnsinn.

    Wenns ohne Spieltrieb auch geht kannste Dir auch die Lampen von IKEA Tradfri holen.


    Da funktionieren Dimmer und Lampen auch ohne eine IP-Bridge.


    Man kann aber auch entweder die hauseigene Bridge oder einen beliebigen Zigbee Stick (zB Conbee II) zum Einbinden in Home Assistent und ähnliches benutzen. MQTT ist dafür nicht unbedingt notwenig.

    die beiden Slave-DNS nach sehr kurzer Zeit die Zonen nciht mehr 'haben wollen' ...

    und somit die Zonen aus dem DNS verschwinden?

    Das hängt vom expire Parameter im SOA der Zone ab. Ich hab den auf 2 oder 4 wochen (weiß nicht ausm kopf) stehen. Wenn ichs nicht schaffe meinen master innerhalb von zwei Wochen wieder online zu kriegen werden die Slaves bei meinem DNS Provider die Zonen verwerfen und die Denic die Domain als "kaputt" markieren.

    Ist die OpenSense Firewall nicht letztlich iptables basiert?

    Nope, FreeBSD. Ist ein Fork von pfSense. Kein iptables.


    Da bei iptables die Reihenfolge der Regeln ja wichtig ist, würde ich jetzt erwarten, dass der Router einmal den kompletten Regelsatz löscht und alle Regeln neu anlegt und dabei das neue Prefix beachtet.

    Genau das fehlt da noch. Offenes Issue auf GitHub, soweit ich sehe. Hatte gehofft dass es da was eleganteres gibt. Weil kann ja eigentlich nicht sein, dass sowas essentielles zurecht gehackt werden muss.


    kann man sich auch auf Basis eines Scriptes selber was bauen.

    Wenns gar nicht anders geht muss ich das wohl... Baue dann einfach nen Hook in meinen DynDNS Update Mechanismus rein, der auch das entsprechende IPSet in der Firewall aktualisiert...


    Die komplette IP Vergabe kann automatisch ablaufen. Aber für die Firewall muss sich wieder jeder Router Hersteller was eigenes ausdenken. Absurd.

    eigentlich sollte heutzutage jede firewall ipv6 koennen

    Kann die Firewall ja auch. Nur das absolut dynamische Zuweisen von IPs verwirrt mich. Ich verstehe halt nicht wie ich damit Firewall Regeln für einen einzelnen Client machen soll, ohne den in ein separates VLAN zu stecken.


    Das mein DNS auch die AAAA Records vom DHCP mitgeteilt bekommt lässt sich bestimmt auch einstellen, nicht das Problem. Hilft aber bei den Firewall Regeln nicht wirklich.

    für Clients sollte man parallel SLAAC (-> Router Advertisments in pfSense/opnsense, type assisted) und DHCPv6 für das gleiche Subnetz einrichten

    Schau ich mir mal an, aber so wie es aussieht können alle Clients auf die es ankommt DHCPv6, von daher wird es wahrscheinlich nicht notwendig sein.


    sprich du kannst intern die ULA (Unique Local Adressen) vergeben, und nach außen hin auf den dynamischen Prefix mappen

    Das klingt ziemlich abgedreht. Und irgendwie nach NAT.


    ULAs selbst werde ich mir mal anschauen, um lokal ein fixes Prefix zu haben. Aber das mappen auf dynamische Prefixes scheint noch nicht von OPNSense (sie bitten um helfende Hände beim implementieren des Features) unterstützt zu sein. Und es ist NAT, was unsexy ist.


    das kann ja heute schon jede Fritzbox

    Auf Interface-Level kann OPNSense das auch. Nur gibt es halt keine Möglichkeit die Firewall Regeln für eine einzelne IPv6 Adresse zu aktualisieren, wenn sich der Prefix ändert.



    Bin fast versucht das ganze über die OPNSense/DynDNS API abzufackeln und bei einem Prefix Change via Script die Firewall Regeln/Aliases und die DNS Einträge zu aktualisieren. Denn in meinem Fall geht es um einen einzelnen Reverse Proxy, der die Dienste nach außen exposed.


    Oder ich lass es einfach ganz, mache IPv6 nur für Clients und der Rest bleibt v4-only.

    Moin!


    Nach 2-3 fehlgeschlagenen Versuchen meinem Router an einem Deutsche Telekom Anschluss IPv6 beizubringen habe ich das Thema vor ein paar Jahren in die Ecke geschmissen, es mit Benzin überschüttet und angezündet. Heute habe ich es noch mal Versucht und mit folgender Anleitung klappte es auf Anhieb. Schon fast zu einfach. Bin jetzt also auch im Club der IPv6 na(t)?ives.


    Jetzt stellt sich mir eine Frage:


    Ich habe hier Zuhause diverse VLANs und einen Server der auch Dienste fürs Internet bereit stellt.


    Wenn alles via DHCPv6 dynamisch konfiguriert wird, wie konfiguriere ich das in der Firewall? Regeln auf Interface Level würden ja alle Clients im VLAN betreffen, und einzelne IPv6 Adressen funktionieren ja nicht, da dynamisch.


    Ich habe einen DNS Primary welcher auch DynDNS kann und eine Firewall die mit DNS Names statt IPs arbeiten kann. Ist das die einzige Option?


    Finde das irgendwie gruselig... <X