pfsense und duckdns

[blurrrr]

Najo, im Zweifel würde ich einfach mal wieder sagen: In die Logs schauen (ggf. Loglevel = debug). Von irgendwas müssen die ständigen Wechsel ja ausgelöst werden... Wenn es via DHCP läuft, ggf. auch mal den Haken bei Relinquish reinmachen, dann sagt die pfSense der Box auch nochmal Bescheid, dass die IP weggeschmissen wurde (wenn es soweit ist, ist eigentlich schon irgendwas faul, aber wer weiss...).

 

[the other]

Moinsen @Barungar,
mein "ebenfalls" bezog sich darauf, dass du vorher berichtet hattest, dass DU auch eine Fritzbox vpr der opnsense hast. Dass der TE KEINE Fritzbox hat, weiß ich. Und ja, wenn da nicht nur irgendein Kabel für nen Wackler und das häufige Gewechsel der IP sorgt, dann vermute ich ebenfalls, dass die einfach gestrickte VF Box die Ursache ist. Das war ja ganz zu Beginn schon mal die Frage, ob dieser sehr simple Router da ggf. überfordert ist bzw. Dinge unsauber implementiert.

 

[Fidibus]

von Kabel bis zur VF Box selber

Das wird sich morgen/übermorgen erledigen.
Durch die geplante Verwendung der USV-Überspannungseinrichtung für GBit-LAN nach der VF-Box (vorher geht nicht, ist ja Kabel) werde ich alles sozusagen auch noch einmal Grundresetten, da ich dann auch die Geräte auf die USV legen werde.

In die Logs schauen (ggf. Loglevel = debug).

Werde ich versuchen...

 

[Fidibus]

In die Logs schauen

gesagt, getan.


Das wären die Auszüge, wo etwas passiert ist.

 

[Fidibus]

Bisschen mit dem Log experimentiert: Fazit, seit 14.11. scheint alles richtig zu sein.
Es ist immer die selbe Adresse:

Also, was zum Teufel läuft da schief?

 

[Fidibus]

Moin,
zuerst das Gute: DynDNS in meiner Konfiguration funktioniert.
Folgendes verstehe ich noch nicht:
Das WAN IF wechselt die Adressen (am Ende :9C36 oder :CD47):

Es sind immer nur diese beiden IP's.
Aktuell funktioniert es trotz dieser Konstellation:


Muss ich das verstehen?

 

[Barungar]

Ein Interface kann bei IPv6 beliebig viele Adressen haben; folgendes wäre z.B. bei ein denkbares Szenario:

• eine LLA auf EUI64-Basis (SLAAC)
• eine ULA - falls per RADV ein Präfix verteilt wird
• eine GA auf EUI64-Basis (SLAAC)
• eine GA auf Basis von Privacy Extensions
• eine GA auf DHCPv6-Basis

In Deinem Fall sieht es für mich so aus, als ob Dein Interface "pendelt". Wie genau kann ich aus der Ferne nicht sagen. Denkbar ist, dass es zwei GA hat. Eine DHCPv6 GA und eine SLAAC GA. Entweder hat es die beide zur gleichen Zeit und nur die Anzeige in der pfsense entscheidet sich mal die eine oder die andere anzuzeigen. Oder war es gibt kurze DHCPv6-Aussetzer, wo dann die SLAAC zum Zug kommt.

Die IPv6 GA ::9c36 ist die vom DHCPv6-Server zugeteilte IPv6. Und die ::cd47 sieht verdammt nach einer GA auf SLAAC (EUI64-Basis) aus. Ganz genau kann ich das beides nicht sagen, weil ich ja nur die anonymisierten IPv6 habe. Aber ich entsinne mich, in einem älteren Post von Dir auch die MAC-Adresse Deiner pfsense gesehen zu haben und die endete auch auf 21:CD:47

Demnach müsste die SLAAC IPv6 ungefähr so aussehen (ich kenne nicht die ganze MAC, daher mit Lücken) ::66xx:xxFF:FE21:CD47
In einer OPNsense kann ich alle IPv6 eines Interfaces sehen, wenn ich mir das Interface (Interfaces --> Overview --> [WAN]) genau anschaue.

Es wäre daher von Dir mal zu klären, wieviele IPv6 das WAN-Interface denn nun wirklich hat und ob es die DHCPv6 und die SLAAC vielleicht sogar gleichzeitig hat und nur eben manchmal die eine oder die anderen angezeigt wird.

P.S.: Und ich bin weiterhin der Meinung ("ceterum censeo", dass sich viele Herausforderungen der Anwender sehr viel schneller hier lösen ließen, wenn nicht immer alle IPv4/IPv6 anonymisiert wären. Dann könnte man CGNAT, DS-Lite, DHCPv6, AutoIP usw. sofort erkennen und käme schneller zur Lösung.

 

[Fidibus]

Moin,
nach ein paar Tagen beobachten und Diskussion mit @Barungar erhärtet sich mein Verdacht, dass ein Update in Richtung DuckDNS nicht ordnungsgemäß funktioniert.
Mein WAN-IF pendelt zwischen 2 möglichen Adressen (bisher).
Tritt eine Änderung ein (ich habe heute die Vodafone_Box rebootet), wird DuckDNS nicht aktualisiert.
Im Log tritt nur einmal täglich ein Updateprozess auf, immer 01:01:01 Uhr.
Ich hätte ein deutlich häufigeres Update in Richtung DuckDNS erwartet.
Ich bin gespannt, ob zumindest heute nacht der Prozess dann zumindest DuckDNS aktualisiert.
Aktuell ist mein letzter Change bei DuckDNS 4 Tage her. Meine IP hat sich aber inzwischen mindestens 2 mal geändert. Der VPN-Zugriff funktioniert also immer nur dann, wenn das WAN-IF zufällig wieder die bei DuckDNS hinterlegte hat.
Hat jemand eine Idee?

 

[blurrrr]

Also "theoretisch" sollte sich das automagisch bei einem IP-Wechsel ändern. Falls nicht (und vermutlich läuft eh etwas wie ddclient oder so unter der Haube), sollte es auch die Möglichkeit geben, dass in bestimmten Intervallen geprüft wird (z.B. 5 Minuten), ob sich die WAN-Adresse geändert hat.

Ansonsten könnte man auch überlegen (wobei das schon eher "naja" ist), ob man die DynDNS-Aktualisierung ggf. auf ein anderes Gerät legt (welches ebenfalls 24/7 läuft).

 

[Fidibus]

sollte es auch die Möglichkeit geben, dass in bestimmten Intervallen geprüft wird (z.B. 5 Minuten), ob sich die WAN-Adresse geändert hat.

Wo wäre das zu suchen?
Dein 2. Vorschlag löst bei mir ehr wenig Begeisterung aus...

 

[the other]

Moinsen,
aber wenn doch das WAN Interface selber pendelt (so hab ich es bisher verstanden), dann ist das Problem doch nicht unbedingt das DynDNS, sondern das Pendeln...oder steh ich gerade im Wald?
Von Anfang an war es ja auch eine Vermutung, ob und wie die VodafoneBox (als Quelle der IP für die dranhängende pfsense) da ihre Arbeit tut. Ich würde daher eher interpretieren:
die pfsense gibt dir selbst in den logs unerklärlich pendelnde IPs an...dann ist es doch entweder die pfsense selber, die da spinnt, oder (imho wahrscheinlicher) der vorgelagerte Router...ich lasse mich aber gerne eines Besseren belehren.

 

[blurrrr]

Wo wäre das zu suchen?

Vermutlich irgendwo in der WebGUI... Wenn da nix ist, müsste man sich ggf. mal die Config anschauen. Dort sollte man dann (theoretisch) ggf. auch noch umstellen können, ob als Wert die Interface-IP genommen wird, oder ob ein Webdienst diesbezüglich angefragt wird. Dürfte dann ggf. irgendwas in diese Richtung hier sein:

run_daemon="true"
daemon_interval="60"

+

use=if vs. use=web

Hab aber keine Ahnung, ob das noch immer so ist und ob die *sense das so implementiert hat, oder anders, oder ob ggf. etwas ganz anderes genutzt wird. Da sollte die Doku dazu aber weiterhelfen

 

[Fidibus]

Also - ich verstehe da ja nicht so viel von - ich würde erwarten, dass wenn sich die IP an der pfsense (WAN-IF) ändert, da wird das an DuckDNS gemeldet. Erst einmal egal, warum das wechselt. Ist ja auch nicht laufend, sondern ehr so alle 3 Tage.
Weiterhin finde ich im Allgemeinen, dass die Aktualisierung alle 24h nur läuft eben auch komisch.
In der GUI sehe ich nicht wirklich was, aber vielleicht verstehe ich die Einträge nicht - ich habe direkt von DuckDNS für pfsense die Konfigurationsanleitung befolgt.

Da sollte die Doku dazu aber weiterhelfen

Die Doku von Netgate hat mir noch nie einen Mehrwert gebracht, da ich immer nur die Erklärung der Parameter lese.

 

[Barungar]

die pfsense gibt dir selbst in den logs unerklärlich pendelnde IPs an...

Was das Pendeln der IPv6 angeht, so kann ich aus der Diskussion mit @Fidibus das Folgende berichten.

Die Vodafone-Box macht grundsätzlich DHCPv6, hierüber erhält das WAN-Interface der pfsense von Fidibus dann auch seine IPv6. Diese DHCPv6-Adresse wird dann auch regelmäßig in den DynDNS AAAA-Record übernommen.

Nach einer unbekannten Zeit x wird diese DHCPv6-Adresse auf dem WAN-Interface der pfsense jedoch durch eine SLAAC-Adresse ersetzt. Bei dieser Änderung der IPv6 wird der DynDNS AAAA-Record jedoch in der Regel nicht aktualisiert.

Es ändert sich dann von einem konsistenten Zustand DHCPv6-Adresse aktiv und in DynDNS AAAA-Record zu einer Situation SLAAC-Adresse aktiv und DynDNS immer noch auf DHCPv6-Adresse.

Ich mutmaße, dass die obengenannte "unbekannte Zeit x" in Zusammenhang mit dem Ablauf der Lease-Time für die DHCPv6-Adresse steht. Aber das konnten wir noch nicht abschließend ergründen. Es sieht aber so aus, dass wenn man "hart" einen neuen DHCPv6-Vorgang initiiert die pfsense erstmal eine DHCPv6-Addresse bekommt.

Die offenen Fragen wären also:

• Wieso bekommen Vodafone-Box und pfsense scheinbar kein DHCPv6-Renew hin?
• Warum bekommt der DynDNS-Demon auf der pfsense die Adressänderung nicht mit?

 

[blurrrr]

Wieso bekommen Vodafone-Box und pfsense scheinbar kein DHCPv6-Renew hin?

Ich fand die Einstellung ja schon komisch, aber nun scheint es ja irgendwie einen Grund zu bekommen:

Wenn es via DHCP läuft, ggf. auch mal den Haken bei Relinquish reinmachen, dann sagt die pfSense der Box auch nochmal Bescheid, dass die IP weggeschmissen wurde (wenn es soweit ist, ist eigentlich schon irgendwas faul, aber wer weiss...).

Damit vllt mal testen?

 

[Fidibus]

Damit vllt mal testen?

Ich bin heute nicht am Gerät, danke für deinen Hinweis - ich werde da mal schauen.

 

[Fidibus]

den Haken bei Relinquish

Wo finde ich den? Bei Eigenschaften WAN-IF nicht.

 

[blurrrr]

Öhm.... dann evtl. auch nur bei Status (da wo es auch den Reconnect-Button gibt), bin da nicht so im Thema, aber irgendwo gab es da mal irgendwas Wenn es allerdings nur beim Reconnect-Button ist, ist das natürlich irgendwo witzlos.

EDIT: Btw...

Ich mutmaße, dass die obengenannte "unbekannte Zeit x" in Zusammenhang mit dem Ablauf der Lease-Time für die DHCPv6-Adresse steht. Aber das konnten wir noch nicht abschließend ergründen. Es sieht aber so aus, dass wenn man "hart" einen neuen DHCPv6-Vorgang initiiert die pfsense erstmal eine DHCPv6-Addresse bekommt.

Eventuell mal Lease-Time auf 60min setzen? Ist nicht schön, aber wenn es hilft derlei Probleme zu vermeiden...

 

[Fidibus]

Eventuell mal Lease-Time auf 60min setzen?

Lease-Time sollte aauf dem Server zu setzen sein - richtig?
Auf der VF-Box habe ich keinerlei Option einen DHCPv6 zu konfigurieren.
Auf dem WAN-IF der pfsense habe ich keine Lease Time gefunden.

 

[Barungar]

Die Lease Time wird auf dem DHCP-Server aka der Vodafone-Box gesetzt.