pfsense - ipsec - ipv6 dual stack - kein ausgehender traffic

tom81

Well-Known Member
Hallo zusammen!

Ich stelle nun nach mehreren Jahren mal wieder eine Frage :) da ich seit einigen Tagen vollkommen ratlos bin.

Die Situation ist die folgende:

Als Router setze ich eine pfsense ein, und für die Ferneinwahl IPsec mit IKEv2, bisher lief auch alles gut. (Solange wir über IPv4 sprechen läuft auch noch alles gut)
In letzter Zeit tritt aber das Problem auf, dass ich mich zwar einwählen kann aber die pfsense mir keinerlei Antwort gibt. Das wiederum passiert nur, wenn mein Smartphone den Hotspot macht.
Auch hier ist nach einiger Recherche alles klar, IPv6 und DS Lite zu IPv4 ist schwierig bis unmöglich. Mein ISP macht aber grade ein Pilotprojekt mit einem Dual Stack IPv4+IPv6 also habe ich mich mal selbst als Tester vorgeschlagen und der pfsense ein Dual Stack WAN mit IPv6 verpasst, das funktioniert einwandfrei.

Jetzt könnte man doch erwarten, dass die Einwahl mit IPsec via IPv6 zu IPv6 das Problem mit DS Lite genauso löst, wie die Einwahl via IPv4 zu IPv4.
Dem ist aber nicht so :(

Die Daten gehen einfach nicht raus, obwohl die Einwahl einwandfrei Funktioniert und Pakete reinkommen. (unten via IPv4 funktioniert alles wie es soll)
connection.jpg


Hatte das Problem schon mal jemand?
Geht das überhaupt mit einem Hotspot via Smartphone (Der Mobilfunkanbieter ist übrigens Vodafone)?

Ich würde mich über Ideen und Denkanstöße sehr freuen :)

Vielen Dank fürs lesen :)
 

mr44er

moderater Moderator
Teammitglied
Reine Denkanstöße, nur als grobe Schnellschüsse zu verstehen:

Fehlt eine Regel der Firewall, dass dieser Client ins Netz reindarf und nicht nur die Verbindung aufbauen? Ich bin OPNsenseler, da gibts eine live-Ansicht von einprasselnden/ausprasselnden Verbindungen mit Filtermöglichkeit. Evtl. gibt das schon Aufschluss.
Die 192.168.178.147 deutet auf eine beteiligte Fritzbox hin. Evtl. IP-Kollision irgendwo?
Filtert/blockt die Fritzbox selber was weg? Das geschieht kommentarlos im Stillen, ggf. mal die Settings durchschauen.
Hast du die pfSense direkt am Netz oder noch was davor oder dahinter? Aus der Erinnerung heraus geht "Exposed Host" auf Fritzboxen mit ipv6 nicht immer wie gedacht und ich meine, manche FW war diesbezüglich sogar verbuggt.
Evtl. hilfreich: https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fritzbox/
 

tom81

Well-Known Member
Also IPv4 und Fritzbox schließe ich mal aus, das funktioniert ja. Was mich wundert ist, dass es sich bei IPv6 um die gleiche Verbindung handelt, nur ist da mein Smartphone der Router (Beide Verbindungen baue ich von meinem Notebook auf, mal im Fritzbox WLAN (IPv4-Vodafone), mal im Smartphone WLAN (IPv6-Vodafone)

Daraus ergeben sich zwei identische Tunnel:

Windows 10 ---> IPsec --> Smartphone-Hotspot(IPv6) ---> Internet -->pfsense (Dual Stack IPv6)-->IPSec-->LAN
Windows 10 ---> IPsec --> Fritzbox(IPv4) ---> Internet -->pfsense (Dual Stack IPv4)-->IPSec-->LAN (läuft ohne Probleme)

Ich checke gleich mal alle Firewall Einstellungen noch einmal durch, geloggt wird dazu nichts weiter.

Die Krux an der Geschichte, VPN brauche ich von unterwegs häufiger als via Fritzbox.
 

mark05

Well-Known Member
hi

wenn ich das richtig verstanden habe soll ein ipsec verbindung von
ds-lite -> ipv6 gemacht werden .

wenn man bedenkt das ds-lite eine carrier-grade nat lösung ist ,
die letzten endlich rfc1918 ip in eine ipv6 form verpacken ,
halte es für schwer bis unmöglich eine stabile ipsec verbindung
via ipv6 zu betreiben.

Holger
 

tom81

Well-Known Member
ds-lite -> IPv4, ist ja mein Problem gewesen.
Deshalb habe ich die Chance genutzt als man mir angeboten hat auf Seiten der pfsense mit public-IPv6 im Dual Stack zu testen.
(Diese Dinge werden in Zukunft nicht seltener genutzt werden :rolleyes:)

Ich bin auch gestern Abend noch ein wenig weiter gekommen...

1. Es ist wahrscheinlich die Firewall
2. Es könnte ein Bug sein (dann gibt es keine Lösung)

Zu 1.:

Wenn VLANs eingerichtet sind (auf meiner pfsense trifft es zu) wird laut einigen Foren der IPv6-IPsec Stack die öffentliche IPv6 Adresse in eine link-lokale umwandeln, das kann ich bestätigen. Die Öffentliche IPv6-Adresse der pfsense wird umgeschrieben und beginnt mit fe80:*** (Quelle: IPSec-Log)
--> Dann geht auf einem WAN-Interface Firewalltechnisch nichts mehr

Zu 2.:

Ohne VLANs wird die IPv6 Adresse nicht umgeschrieben, es bewegt sich aber trotzdem nichts.

Ich werde heute das ganze mal mit einer OPNSense testen und ggf. mit einem frischen FreeBSD, mal sehen was dabei raus kommt.
Denn die Ursache für das Verhalten könnte am Ende immer noch der Provider und RFC1918 sein, wie mark05 schon sagte...
 

mark05

Well-Known Member
hi

sobald ipv6 auf einem interface aktiviert wird , bekommt dieses eine link local addresse (fe80 ) das ist
bestandteil des ipv6 stack.

ipv6 addressen vom provider werden i.d.r per router advertisment verteilt , und wen das interface so
konfiguriert ist , setzt es selber die addresse , zusatzlich zur link local addresse.

somit wuerde ich mal ein problem in deiner konfiguration der pfsense firewall vermuten,

FreeBSD kann schon sehr lange mit ipv6 umgehen.

der Provider der IPv6 DualStack anbietet nutzt dafür ein Slaac , i.d.r.

Holger
 
Zuletzt bearbeitet:

tom81

Well-Known Member
Das macht die Sache in sich ja nicht Fehlerfrei. Heute weist mir die pfsense eine ipv6 Adresse nur an das Test-VLAN von gestern zu. Das Track Interface lässt sich nicht mehr ändern.

Aber bei mir hängt ja noch der Riesen-Bug aus der Version 2.5.0, wo man neben Wireguard auch versehentlich NAT auf Multi-WAN Konfigurationen "entfernt" hat. Das muss man dann auch erstmal wissen ;)

Sicher werde ich einen Fehler in der Firewall haben aber eben auch eine ganze Reihe an anderen seltsamen Effekten, die hier nicht so viele zu haben scheinen...
 

mr44er

moderater Moderator
Teammitglied
Das Track Interface lässt sich nicht mehr ändern.
Wenn das nicht penibel durchgeklickt wird und man schnell die configs ändert, knallt und kracht es. Das hängt auch damit zusammen, dass PPPoE ein pseudo-device ist, manchmal die ipv6-config nur via ipv4 angefordert werden kann und das mit tracking ein Gebilde in sich von zuvielen Abhängigkeiten ist.

Tracking muss auch nicht die richtige Wahl für deinen Anschluss sein. Es kommt auch darauf an, ob du dynamische Adressen bekommst oder ob dir ein fester Bereich zugeteilt wurde.

Ich würde mal zunächst schauen, ob und wie man da ipv6-only online kommt. Einfach um da Komplexität rauszunehmen. Dann schauen, ob man eine einfache Portfreigabe hinbekommt, ob das wirklich eine öffentlich geroutete ipv6 ist und ob das dann auch erreichbar ist.

Kleine Hilfsmittel:
 

mr44er

moderater Moderator
Teammitglied
Ein wenig Nachtrag:
Kann es die Sache mit reply-to sein? Aber Achtung, pfSense behandelt das anders als OPNsense und es macht nochmal einen Unterschied, ob man wirklich Multi-WAN (2+ Leitungen/Schnittstellen mit jeweils einem GW) hat vs. eine Leitung mit zwei GWs (ipv4/ipv6), eben dual stack.

Der mögliche Bug in Fritzboxen betraf oder betrifft die Kindersicherung. Müsstest du dich mal durch die release notes der jeweiligen Box quälen.
Hier noch eine neuere Anleitung mit vollständigen Screenshots, möglicherweise fällt dir noch was auf:
 
Oben