EDGEROUTER X-SFP – Keine öffentliche IPv6-IP an den Clients

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Ergänzung ()

Code:
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        enable-default-log
        rule 3001 {
            action accept
            description "Allow neighbor advertisements"
            icmpv6 {
                type neighbor-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3002 {
            action accept
            description "Allow neighbor solicitation"
            icmpv6 {
                type neighbor-solicitation
            }
            protocol ipv6-icmp
        }
        rule 3003 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3004 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 3005 {
            action accept
            description "Allow router advertisements"
            icmpv6 {
                type router-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3006 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "packets to internet"
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "packets to internet"
    }
    receive-redirects disable
    send-redirects enable
    source-validation strict
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description WAN
        dhcpv6-pd {
            pd 0 {
                interface switch0 {
                    prefix-id 1
                }
                prefix-length 62
            }
            prefix-only
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                ipv6-name WANv6_OUT
                name WAN_OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description PC
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description SWITCH
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        description Local
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description AP
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth5 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description LAN
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                default-preference high
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server fe80::7683:c2ff:fefd:b26a
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
protocols {
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name ALTHIR-DHCP {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.111
                domain-name alt.hir
                lease 86400
                start 192.168.1.230 {
                    stop 192.168.1.250
                }
                static-mapping ..........
                }
                unifi-controller 192.168.1.111
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
            name-server 192.168.1.111
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    domain-name alt.hir
    host-name ALTHIR-EDGE
    login {
        user althir {
            authentication {
                encrypted-password ********
            }
            level admin
        }
    }
    name-server 192.168.1.111
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec enable
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Berlin
}
traffic-control {
    smart-queue QoS {
        upload {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 40mbit
        }
        wan-interface eth0
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9.5346345.201028.1647 */

so bekomme ich jetzt die /61 auf switch0 mit prefix only auf eth0
 
Zuletzt bearbeitet:

BoeserBrot

Lieutenant
Dabei seit
Juli 2005
Beiträge
517
Ich hab mal ein paar Anmerkungen gemacht:
Code:
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        enable-default-log
        rule 3001 {
            action accept
            description "Allow neighbor advertisements"
            icmpv6 {
                type neighbor-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3002 {
            action accept
            description "Allow neighbor solicitation"
            icmpv6 {
                type neighbor-solicitation
            }
            protocol ipv6-icmp
        }
        rule 3003 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3004 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 3005 {
            action accept
            description "Allow router advertisements"
            icmpv6 {
                type router-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3006 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "packets to internet"
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "packets to internet"
    }
    receive-redirects disable
    send-redirects enable
    source-validation strict
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description WAN
        dhcpv6-pd {
            pd 0 {
                interface switch0 {
                    host-address ::1 # Hat bei mir die Config zerschossen. Entfernen der Option hat geholfen.
                    prefix-id :0
                    service slaac # Diese Einstellung vertägt sich nicht mit den unten gemachten Einstellungen zu Router Advertisments. Entfernen hat geholfen.
                }
                prefix-length /62 # Welche Präfixlänge du bekommst, sagt dir dein ISP. 62 ist sehr klein, sollte also eigentlich funktionieren. Gängige Präfixlänge ist 56.
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                ipv6-name WANv6_OUT
                name WAN_OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description PC
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description SWITCH
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        description Local
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description AP
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth5 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description LAN
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                default-preference high
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server fe80::7683:c2ff:fefd:b26a
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000 # Warum so lange lifetime? Das heißt, dass deine Clients bei einem Reconnect deines Routers 30 Stunden die alte nicht mehr gültige Adresse behalten werden.
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    rule 1 {
        description *****
        forward-to {
            address 192.168.1.*****
            port *****
        }
        original-port ******
        protocol tcp
    }
    rule 2 {
        description ********
        forward-to {
            address 192.168.1.*****
            port *******
        }
        original-port ********
        protocol udp
    }
    rule 3 {
        description *********
        forward-to {
            address 192.168.1.***
            port ********
        }
        original-port ******
        protocol udp
    }
    rule 4 {
        description ******
        forward-to {
            address 192.168.1.***
            port *******
        }
        original-port ******
        protocol udp
    }
    rule 5 {
        description *******
        forward-to {
            address 192.168.1.***
            port 500
        }
        original-port 500
        protocol udp
    }
    rule 6 {
        description *********
        forward-to {
            address 192.168.1.***
            port *****
        }
        original-port *****
        protocol udp
    }
    rule 7 {
        description ""
        forward-to {
            address 192.168.1.***
            port ***
        }
        original-port ***
        protocol tcp_udp
    }
    wan-interface eth0
}
protocols {
    static {
        interface-route6 ::/0 {
            next-hop-interface eth0 {
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name ALTHIR-DHCP {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.111
                domain-name alt.hir
                lease 86400
                start 192.168.1.230 {
                    stop 192.168.1.250
                }
                static-mapping ALTHIR-AP {
                    ip-address 192.168.1.200
                    mac-address ********
                }
                static-mapping ALTHIR-Cloud {
                    ip-address 192.168.1.90
                    mac-address ********
                }
                static-mapping ALTHIR-PC {
                    ip-address 192.168.1.50
                    mac-address **********
                }
                static-mapping ALTHIR-PI {
                    ip-address 192.168.1.111
                    mac-address ***********
                }
                static-mapping ALTHIR-SWITCH {
                    ip-address 192.168.1.220
                    mac-address **********
                }
                static-mapping ALTHIR-TV {
                    ip-address 192.168.1.70
                    mac-address ********
                }
                static-mapping ALTHIR-iPhone {
                    ip-address 192.168.1.60
                    mac-address *********
                }
                unifi-controller 192.168.1.111
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
            name-server 192.168.1.111
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
            protocol all # Bitte hinzufügen.
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
    }
    unms {
        disable
    }
    upnp {
        listen-on switch0 {
            outbound-interface eth0
        }
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    domain-name alt.hir
    host-name ALTHIR-EDGE
    login {
        user althir {
            authentication {
                encrypted-password ****************
            }
            level admin
        }
    }
    name-server 192.168.1.111
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec disable
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Berlin
}
traffic-control {
    smart-queue QoS {
        upload {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 40mbit
        }
        wan-interface eth0
    }
}

Die statischen Routen würde ich so wie oben schon einmal von mir geschrieben reinschreiben auch für IPv4.
"set interfaces ethernet eth0 ipv6 enable" funktioniert nicht? Ich kann das nämlich nicht in der Config sehen.
Mein Kommentar beim Abschnitt NAT ist sehr kurz, damit du ihn nicht übersiehst, möchte ich hier noch kurz darauf hinweisen.

Nachdem du die Einstellungen vorgenommen hast und nach Neustart, was zeigt der Router bei "show interfaces"?
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Ich hab heute schon wieder knapp vier Stunden rumprobiert, ich vermute auch das trotz bridgemode die Fritbox richtig für DHCPv6-PD eingestellt sein muss.

Mache mich die nächsten Tage nochmal dran und gebe Feedback. /62er Prefix soll jedenfalls für ETH0 korrekt sein.... dann gibt er mir auf switch0 einen /61-Prefix, eth0 wird mit /128 korrekt angegeben.

genau ipv6 enable geht so nicht. Ich hab unter system ein ipv6 disable im configtree, der halt nicht gesetzt ist.

Ist das prefix only so wichtig?!
 

BoeserBrot

Lieutenant
Dabei seit
Juli 2005
Beiträge
517
Ach, du setzt die Einstellungen gar nicht per SSH? Da müsste der Befehl "set interfaces ethernet eth0 ipv6 enable" nämlich funktionieren.

Bei switch0 solltest du eigentlich ein \64-Präfix haben.

Was hast du denn bei der FritzBox eingestellt?

Prefix Only ist wichtig, weil der Edgerouter sonst ca. 50 % CPU dauerhaft für die Vergabe der IPv6-Adressen verwendet. Da du QoS benutzt, brauchst du die CPU-Ressourcen auf jeden Fall.
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Doch ich hab den Befehl auch per SSH probiert. Ging nicht. IPv6 läuft ja auch auf dem Edge in jeder Hinsicht, lokal kann ich auch lokale Clients über Ihre IPv6 anpingen. Die Clients bekommen die öffentliche IPv6 nicht...

Da hier und auch im Netz überall steht, das im Bridge-Mode die Settings irrelevant sind, hab ich mir darüber keine Gedanken gemacht...

so ist die FB6591 konfiguriert, bzw. diese Optionen habe ich. Konnte sonst nicht alle Screenshots machen
1608484368066.png


1608484779183.png


1608484790979.png


1608484804495.png

Ergänzung ()


Nachtrag: Mehr als das finde ich zu dem DHCPv6-PD nicht:
https://kabel.vodafone.de/hilfe_und...raefix-und-nicht-wie-angegeben-ein-56-praefix

Die Frage ist inwiefern das z.B. für mich im EX-UM NRW gilt.

Soll ich den mal den 56er Prefix probieren und schauen was dann auf switch0 angezeigt wird?

PS: Die preferred-lifetime ist ausversehen so lange gewesen...
 
Zuletzt bearbeitet:

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
hey ja die Miet Fritzbox kann den Bridge-Modus in NRW. (Ex Unitymedia)
Wie sollte ich die Fritzbox den einstellen?! Mal unabhängig vom Bridgemodus...

In meine Frirtzbox habe ich keinen "exposed-host" bei mir ist der Bridgemodus der auf den Lanports 2-4 aktivierbar ist.
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Jedenfalls bekomme ich mit der letzten config bei abruf eines 62er Prefixes auf eth0 /128 und auf switch0 /61er IPv6 prefixe...

/64 er auf switch0 bekomme ich mit /59er auf eth0

nun läuft es.... clients bekommen eine öffentliche IPv6!!!
wir quatschen morgen mal über die pizza :-)
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Hier meine nun erstmal finale Config. Ggf. hast du noch Anmerkungen.
Achja und die routes unter protokoll muss ich für ipv4 definitiv weglassen, da hab ich dann keinen ipv4 traffic mehr... ipv6 scheint dennoch mit der route zu gehen...


Abschließende Fragen:
• Wie sollte / würdest du einen pihole integrieren? Meiner läuft für ipv4 und ipv6. Soll ich ihn direkt als Nameserver im Edge hinterlegen?! 1x unter System und unter services - dns ?! er wird bisher nur per DHCP verteilt.
• Kann ich die ICMP IPv6 Konfiguration irgendwie testen?! Finde nur eine Seite und da kommt not tested am Ende.

Danke & Gruß
Oliver

Code:
config/
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "packets from internet to gateway"
        enable-default-log
        rule 3001 {
            action accept
            description "Allow neighbor advertisements"
            icmpv6 {
                type neighbor-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3002 {
            action accept
            description "Allow neighbor solicitation"
            icmpv6 {
                type neighbor-solicitation
            }
            protocol ipv6-icmp
        }
        rule 3003 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3004 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
        rule 3005 {
            action accept
            description "Allow router advertisements"
            icmpv6 {
                type router-advertisement
            }
            protocol ipv6-icmp
        }
        rule 3006 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "packets to internet"
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from internet to intranet"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "allow established/related sessions"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 3001 {
            action accept
            description "allow established/related sessions"
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3002 {
            action drop
            description "drop invalid state"
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3003 {
            action accept
            description openVPN
            destination {
                port 1194
            }
            log disable
            protocol udp
        }
    }
    name WAN_OUT {
        default-action accept
        description "packets to internet"
    }
    receive-redirects disable
    send-redirects enable
    source-validation strict
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        description WAN
        dhcpv6-pd {
            pd 0 {
                interface switch0 {
                    prefix-id :0
                }
                prefix-length /59
            }
            prefix-only
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                ipv6-name WANv6_OUT
                name WAN_OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        description PC
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description SWITCH
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        description Local
        disable
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        description AP
        duplex auto
        poe {
            output 24v
        }
        speed auto
    }
    ethernet eth5 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description Local
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                default-preference high
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server fe80::7683:c2ff:fefd:b26a
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    preferred-lifetime 80000
                    valid-lifetime 86400
                }
                radvd-options "RDNSS fe80::ca32:fe32:68a3:8a7c {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    rule 1 {
        description DSM
        forward-to {

        protocol tcp
    }
    rule 2 {
        description VPN
        forward-to {

        protocol tcp_udp
    }
    rule 3 {
        description VPN
        forward-to {

        protocol tcp_udp
    }
    rule 4 {
        description VPN
        forward-to {

        protocol tcp_udp
    }
    rule 5 {
        description VPN
        forward-to {
        protocol tcp_udp
    }
    wan-interface eth0
}
protocols {
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.111
                domain-name alt.hir
                lease 86400
                start 192.168.1.225 {
                    stop 192.168.1.254
                }
                static-mapping AP {
                    ip-address 192.168.1.200
                    mac-address ******
                }
                static-mapping CLOUD {
                    ip-address 192.168.1.90
                    mac-address *********
                }
                static-mapping LAPTOP {
                    ip-address 192.168.1.55
                    mac-address *********
                }
                static-mapping PC {
                    ip-address 192.168.1.50
                    mac-address ********
                }
                static-mapping SWITCH {
                    ip-address 192.168.1.210
                    mac-address *******
                }
                static-mapping TV {
                    ip-address 192.168.1.70
                    mac-address 
                }
                static-mapping iPhone {
                    ip-address 192.168.1.60
                    mac-address 
                    }
                unifi-controller 192.168.1.111
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on switch0
            system
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    host-name ALTHIR-EDGE
    ipv6 {
        disable
    }
    login {
        user althir {
            authentication {
                encrypted-password $5$kUgs9M3ehmRGMbwH$aV8lHRaQ/vqxNSlPMAP4QPu5vKFtiL0EwsWj/dLjEUD
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec enable
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Berlin
}
traffic-control {
    smart-queue QoS {
        upload {
            ecn enable
            flows 1024
            fq-quantum 1514
            limit 10240
            rate 40mbit
        }
        wan-interface eth0
    }
}
 

BoeserBrot

Lieutenant
Dabei seit
Juli 2005
Beiträge
517
Gut, dass es funktioniert, dann scheint dein Provider wohl ein Präfix von 59 an die Kunden zu verteilen.
Das ist ja schon komisch, dass mit statischer Route kein IPv4-Verkehr mehr zustande kommt. Da habe ich keine Erkärung für, aber wenn es so funktioniert, dann ist ja auch gut.

Wenn der Pi-hole direkt für alle Geräte funktionieren soll, dann verteilst du ihn am besten über DHCP und die Router Advertisements. Sonst würde der EdgeRouter die DNS-Anfragen entgegen nehmen, weiterleiten an den Pi-hole und die Antwort per DNS-Forwarding an die Clients leiten. Das ist nützlich, wenn einfach ein Remote-Server eingestellt ist, der nicht in deinem lokalen Netzwerk ist, weil dann der DNS-Cache des EdgeRouters die Anfragen nach draußen reduzieren kann. In deinem Fall wäre das DNS-Forwarding aber nur ein weiteres Geräte, dass die Laufzeit der Anfragen erhöht, weil Pi-hole wohl selber auch einen DNS-Cache verwendet.
Über DHCP weißt du wie du den DNS verteilst per IPv4, bei IPv6 geht das wie folgt:
set interfaces ethernet eth0 no-dns
set interfaces ethernet eth0 name-server none
set interfaces switch switch0 ipv6 router-advert name-server IPv6-Adresse des Pi-holes

Noch etwas zu preferred-lifetime und valid-lifetime in den IPv6-Einstellungen von Switch0. Jetzt wo alles funktioniert würde ich beide auf 660 setzen. Falls du einen Ausfall der Internetverbindung hast und dann eine neue öffentiche IP und ein neues Präfix bekommst, kann es sein, dass die Clients erstmal nicht mehr über IPv6 ins Internet kommen. Die Einstellung valid-lifetime 86400 sagt den Clients, dass das Präfix, welches sie bezogen haben 86400 Sekunden lang gültig ist, wenn es nicht durch ein Router-Advertisement erneuert wird. Im Falle eines neuen Präfixes bei Internetausfall heißt das, dass die Clients zwei Präfixe haben: Ein Präfix vor dem Ausfall, welches langsam abläuft, weil es nun nicht mehr erneuert wird, und nicht mehr für neue Verbindungen genutzt werden kann und das neue Präfix, welches für neue Verbindungen genutzt werden kann. Leider bevorzugen die Clients das alte Präfix und nutzen das neue Präfix erst, wenn das alte abgelaufen ist.
Bei anderen Routern für Privatanwender wird im Falle eines neuen öffentlichen Präfix den Clients direkt mitgeteilt, dass ihr altes Präfix nicht mehr gültig ist. Der EdgeRouter macht das leider nicht, so dass die Einstellung wie oben gesetzt werden sollte. Ich schätze, dass der EdgeRouter sonst in Umgebungen eingesetzt wird, in welchen statische öffentliche IPs die Regel sind und daher kein Bedarf für die Funktion besteht.
Falls dein Provider bei Ausfall der Verbindung kein neues Präfix zuweisen sollte, sondern immer das gleiche Präfix an dich verteilt, dann kann die Einstellung so bleiben.

Laut Firewall-Einstellungen sollte ICMP für IPv6 am Router funktionierten. Gibt es denn Probleme damit?
Ergänzung ()

"set interfaces switch switch0 ipv6 address autoconf" ist eigentlich nicht nötig.
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Hey Danke, in Ordnung also

1. trage ich den pihole nur per DHCP ein, und an keinen der zwei stellen als Nameserver im Edge ;-)
3. Lifetime hab ich reduziert, schadet ja am Ende nicht oder ist das erhöhe CPU-Last, die bemerkbar ist?
3. autoconf entfernt
4. auf dem pihole läuft auch unbound, macht es dennoch sinn das die anfragen als 2nd dns an den edge gesendet werden?

hab wie gesagt nur eine IPv6 Website gefunden die ICMP testen soll, aber da kommt halt "not tested" raus... Kennst du noch eine andere Site dafür? (https://ipv6-test.com/)

Probleme gibt es keine, wollte es nur überprüfen.

Dann mach ich mich jetzt mal an den Unifi AP, da eigentlich nur den Edge als DHCP Relay eintragen oder?!

Gruß
Oliver
 

BoeserBrot

Lieutenant
Dabei seit
Juli 2005
Beiträge
517
Zu 2.: Das sollte sich nicht merkbar auf die CPU auswirken. Ich habe hier ein USG mit ungefähr 30 Clients im Einsatz und da ist nichts von zu merken.

Zu 4.: Dazu kann ich aus dem Stegreif nichts sagen.

Beim Unifi-AP musst du eigentlich kein DHCP-Relay eintragen, sondern "none" einstellen bei DHCP, wenn du ein Netzwerk anlegst.

ICMP für IPv6 kannst du schlecht mit deinem eigenen Rechner testen, weil dein Router alle ICMP-Anfragen an dein internes Netzwerk blockt laut Firewall.
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Zu 2.: Das sollte sich nicht merkbar auf die CPU auswirken. Ich habe hier ein USG mit ungefähr 30 Clients im Einsatz und da ist nichts von zu merken.

Zu 4.: Dazu kann ich aus dem Stegreif nichts sagen.

Beim Unifi-AP musst du eigentlich kein DHCP-Relay eintragen, sondern "none" einstellen bei DHCP, wenn du ein Netzwerk anlegst.

ICMP für IPv6 kannst du schlecht mit deinem eigenen Rechner testen, weil dein Router alle ICMP-Anfragen an dein internes Netzwerk blockt laut Firewall.

@BoeserBrot Hi, so der erste Stress ist vorbei. Heute Abend setz ich mich nochmal dran.
Danke für die Infos. Werde den dhcp im AP dann rausnehmen.

mir ist jedenfalls aufgefallen das beim zocken mein Ping gut 8-15ms niedriger ist als mit der alten Config im Edge. Freut mich 😬

schreib mir mal ne PN wegen deiner Pizza 😬😊
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Noch ein Entrag zum pihole, ich habe diesen jetzt noch einmal neukonfiguriert.

Er gibt dann im Pihole die öffentliche IPv6 des Geräts an, ich habe im Edge die Verbindungslokale IPv6 des Raspberrys angegeben. Macht doch so mehr Sinn oder?!

Danke & Gruß
Oliver
 

BoeserBrot

Lieutenant
Dabei seit
Juli 2005
Beiträge
517
Ja, die verbindungslokale Adresse ergibt mehr Sinn, schließlich kann sich die globale Adresse auch verändern, wenn dein Provider das Präfix erneuert.

Danke nochmal für das Angebot mit der Pizza, aber leider gibt es bei mir im Ort kein Lieferando. Ich bin ich einfach froh, wenn ich helfen konnte, daher lehne ich dankend ab.
Ich habe bei mir sehr lange rumprobieren müssen um den EdgeRouter für IPv6 zu konfigurieren. Ist doch super, wenn ich dir die Zeit erspart habe und vielleicht auch noch andere hier mitlesen um ihren Router zu konfigurieren. ☺
 

Althir81

Lieutenant
Ersteller dieses Themas
Dabei seit
Dez. 2002
Beiträge
514
Ja, die verbindungslokale Adresse ergibt mehr Sinn, schließlich kann sich die globale Adresse auch verändern, wenn dein Provider das Präfix erneuert.

Danke nochmal für das Angebot mit der Pizza, aber leider gibt es bei mir im Ort kein Lieferando. Ich bin ich einfach froh, wenn ich helfen konnte, daher lehne ich dankend ab.
Ich habe bei mir sehr lange rumprobieren müssen um den EdgeRouter für IPv6 zu konfigurieren. Ist doch super, wenn ich dir die Zeit erspart habe und vielleicht auch noch andere hier mitlesen um ihren Router zu konfigurieren. ☺

Danke nochmals, ja ich überlege gerade zwei VLANs zu realisieren, einmal für Friends und einmal für IOT. Meine ersten Versuche, waren soweit erfolgreich doch hin und wieder verlieren die Smarthome-Devices die Verbindung. Wenn ich im IOT-WIFI bin, laufen sie tadellos.

mdns reflector, repeater soweit durch probiert..., dns listenports auch konfiguriert.
Aber bastel nebenbei auch noch an meinem pi ^^

Gruß
Olivver
 
Top