pfsense und duckdns

[Fidibus]

Moin,
langsam macht es keinen Spaß mehr .
Hier ist der Weg beschrieben, der die letzten 2 Tage jeweils von temporärem Erfolg gekrönt war.
Es geht um den Betrieb eines VPN-Servers über DuckDNS.
Unmittelbar nach dem Einrichten funktioniert alles.
Am nächsten Tag nicht mehr.
Stand heute:
IPv6-Adresse des WAN-IF der pfsense ist noch wie gestern.
DuckDNS zeigt die IP auch an, changed 20h ago
Dynamic DNS cached IP auf der pfsense ist grün
Regelwerk zu gestern unverändert

Ping geht nicht mehr, VPN natürlich dann auch nicht.
Ich habe verbose logging im Dyn DNS Client eingeschaltet, finde aber das Geloggt nicht.

Ich verstehe aktuell schon nicht, warum ping nicht geht und meine FW eine deny loggt.

 

[Fidibus]

Ich könnte ko.....
Ich habe NICHTS gemacht. Nach 5 oder 6 Ping-Versuchen und springen zwischen verschiedenen Tabs in der pfsense - geht es wieder.
Das ist kein Zustand, wo kann ich ansetzen?

 

[Fidibus]

Also, Zeiträume geht/geht nicht sind sehr eng.
Vor einer Stunde geht, jetzt geht nicht.
Ping:

Regelwerk

WAN-Adresse ist aktuell die im duckdns angezeigte und auch richtige, da der Ping ja bei mir ankommt.
Es muss was ganz einfaches sein...

 

[Fidibus]

Die IPv6 Adresse des WAN hat sich wieder geändert.
DuckDNS hat nicht aktualisiert.
Es scheint kurioserweise eine nicht aktuelle Anzeige in Zusammenhang mit der Funktion das Fehlersuchen zu erschweren.
Beispiel: Funktion geht schon nicht, das Nachziehen der angezeigten WAN-Adresse in der Übersicht scheint zeitversetzt.
WAN-Adress im Regelwerk scheint sich gar nicht zu aktualisieren.

 

[Barungar]

Also dreht es sich vermutlich doch um eine "nicht saubere" Adressänderung bzw. Anzeige?!
Dafür spricht auch Deine Aussage, nach dem "Einrichten geht es", aber "später"/"am nächsten Tag" dann nicht.

Könnte es sein, dass die pfsense bei einem Präfix-Wechsel die alte Adresse nicht "sofort verwirft", sondern diese erst noch mal "deprecated" behält und dann in Folge nicht unmittelbar das DynDNS ändetr? (spekulativ! - ich kenne pfsense nicht)

 

[Fidibus]

Ich geb gleich auf.
Nach einem Reboot hat das WAN wieder die urprüngliche Adresse und es geht wieder.

 

[Barungar]

Woher bezieht die pfsense die WAN IPv6?
Vom Provider direkt oder von einem vorgelagerten Router?
Ist die WAN IPv6 eine SLAAC oder eine DHCPv6?

 

[Fidibus]

Woher bezieht die pfsense die WAN IPv6?

Von der Vodafone-Box.

Ist die WAN IPv6 eine SLAAC oder eine DHCPv6?

Ich muss erst mal googlen, was das ist

 

[Fidibus]

Ich bin verwirrt:
Oben: Aus der Vodafonebox, unten pfsense

Es gibt auf der VF-Box nur einen konfigurierbaren DHCP IPv4 Server.

 

[Barungar]

SLAAC ... Stateless Address Autoconfiguration - das Gerät erzeugt sich eigenständig eine IPv6, in dem es das vom Router kommunizierte Präfix verwendet und denn (meist) mittels EUI64 aus einer MAC einen Interface-Anteil bestimmt (außer es wird gewürfelt bei Privacy Extentions).

DHCPv6 - das Gerät erhält vom Router (DHCPv6-Server) eine vollständig IPv6 bestehtend aus Präfix + Interfaceanteil zugewiesen.

 

[Barungar]

Wenn ich Deine anonymisierten Screenshots in Post #9 und Post #3 vergleiche habe ich aber schon irgendwie ein Problem.

Deine Vodafone-Box sagt in Post #9, dass die pfsense die MAC 64:xxxxxx:21:cd:47 hat und die LLA fe80:xxxxx:e21:cd47. Damit die die LLA nach EUI64 erzeugt worden. Bei der IPv6 (in Post #3) ist aber am Ende c36 zu sehen. So ganz passt das nicht... da muss noch was sein.

Zumindest ist das kein durchgängiges SLAAC mit EUI64... eventuell doch DHCPv6? Oder noch was anderes? Da fehlen mir auf jeden Fall die konkrten Informationen zum Szenario.

Edit: Ich sehe gerade, dass in der Vodafone-Box (Post #9) unten auch nochmal 2a02:xxxxx c36 auftaucht... eventuell doch DHCPv6?! Zumindest kann man nun dann doch recht sicher SLAAC mit EUI64 ausschließen.

 

[Fidibus]

Genau diese Differenz entscheidet über Gehen oder Nichtgehen - und bisher sind es nur dies beiden Adresse, die vorkommen.

da muss noch was sein.

Wo kann ich nachsehen - nur so ungefähr die Richtung.
Die VF-Box und pfsense sind peer2peer verbunden.

 

[Fidibus]

Wäre es eine Option, hier eine "feste" Mac einzutragen?

 

[Barungar]

Ich persönlich habe keine Erfahrung und keinen Zugriff auf eine Vodafone-Box und/oder eine pfsense.
Es wäre daher erst einmal herauszufinden, woher diese IPv6 der pfsense kommt.
Aus der Ferne kann ich nur sagen, dass es keine SLAAC mit EUI64 ist - was "normaler Standard" wäre und so arbeiten auch meine FritzBox mit der OPNsense zusammen. Die OPNsense erzeugt sich per SLAAC+EUI64 ihre IPv6.

 

[Barungar]

Wäre es eine Option, hier eine "feste" Mac einzutragen?
Anhang anzeigen 5712

Brauchst Du nicht... Du hast da oben doch schon die Antwort... Deine pfsense macht DHCPv6

Somit entscheidet die Vodafone-Box welche IPv6 Deine pfsense erhält - zumindest gehe ich mal davon aus, dass die Vodafone-Box einen "sauberen, komplett implementierten" DHCPv6-Server enthält.

Bliebe die Frage: Kommt es eventuell zwischen den beiden da zu Missverständnissen? Wie lange ist die Lease Time der Vodafone-Box für die IPv6-Leases?

Alternativ... stell das Interface der pfsense auf SLAAC... dann hast Du eine "stabilen" Hostanteile nach EUI64. Weil der dann aus der (festen) MAC berechnet wird. Ahhh... wobei das Interface auf SLAAC zu stellen ist eventuell nicht so prickelnd, wenn Du ein delegiertes Präfix per IA_PD anfordest, dafür braucht es DHCPv6. Machst Du das?

 

[Fidibus]

dass die Vodafone-Box einen "sauberen, komplett implementierten" DHCPv6-Server enthält.

Den kann ich aber nicht so sehen, wie den für IPv4.
Trägt das zur Erhellung des Problems bei?

Aus der VF-Box, das LAN-IF, also Anschluss für pfsense WAN-IF.

 

[Barungar]

Nee, leider nicht wirklich... Das "Problem" hier, und da ist die FritzBox nicht wirklich besser, ist, dass die DHCPv6-Implementationen in den Home-Routern eher doch sehr rudimentär sind.

Im Gegensatz zu DHCPv4, wo man in der FritzBox z.B. noch statisches DHCPv4 einstellen kann und somit Clients eine bestimmte DHCPv4 Adresse zuweisen kann und vorallem auch in der FritzBox sehen kann, welche DHCP-Adressen an welche Clients verteilt sind; ist das bei DHCPv6 leider nicht drin.

Im DHCPv6 lässt die FritzBox es auch nicht zu z.B. statische DHCPv6-Leases zu erstellen. In der FritzBox kann man für DHCPv6 maximal konfigurieren,

• ob IA_NA gemacht wird
• ob IA_PD gemacht wird
• welche Priorität der DHCPv6-Server hat

Immer und nicht abschaltbar ist, dass die DHCPv6 other options (z.B. der DNS-Server) verteilt werden.

Ich vermute, bei de Vodafone-Box ist es ähnlich spartanisch, was man im DHCPv6 machen kann.
Fakt ist, wenn die pfsense auf DHCPv6 läuft, dann ist die Vodafone Box, die die ddafür zuständig ist, wann/welche/wielange eine IPv6 der pfsense gegeben wird.

 

[Fidibus]

Ist hier irgendwas ersichtlich, was helfend beitragen könnte?

 

[the other]

Moinsen,
hm, seltsam, seltsam...
Hier ist vor der pfsense ebenfalls eine Fritzbox, das WAN Interface der pfsense bekommt per DHCPv6 ihre IPv6 GUA. Das klappt hier seit Monaten ohne Auffälligkeiten.
Ich finde merkwürdig, dass sich deine pfsense so oft neue Adressen holt / bekommt...das war ja teilweise im halbstunden Takt, wenn ich es richtig deute...hattest du da manuell etwas ausgelöst? Anosnten hab ich spontan an ein nicht korrekt sitzendes LAN Kabel gedacht (Wackelkontakt, schwupps, Verbindung weg, neue IPv6, aber auch dann wäre es ja seltsam, dass die VF Box so kurzfristig wieder neue IPv6 verteilt...).
Ich tippe daher auf irgendwas VOR der pfsense (von Kabel bis zur VF Box selber).

 

[Barungar]

pfsense ebenfalls eine Fritzbox

Da ist das EBENFALLS das "Problem", @Fidibus "leidet" unter einer Vodafone-Box, keiner FritzBox (die haben Du und ich, wobei ich eine OPNsense hab).

Aus der Ferne würde ich sagen, gibt es da scheinbar hin und wieder ein IA_NA-Missverständnist zwischen der pfsense und der Vodafone-Box.