Fibra

Digi no direcciona IPv6 a mi router OPNsense correctamente

and125 ayer 14:53

⋮

Llevo algunos meses intentando hacer funcionar el IPv6 de Digi en OPNsense, pero sin éxito. Durante el camino he aprendido mucho acerca del funcionamiento de IPv6, pero sigue sin funcionar y creo que no es por mi culpa.

Configuración en OPNsense

El procedimiento que he seguido es:

Instalación limpia de OPNsense en una VM para trastear
Dejar todo por defecto, excepto cambiar net.inet6.ip6.dad_count a 10 (de lo contrario OPNsense pierde el bloque asignado)
Configurar la VLAN 20 y el PPPoE para IPv4
Ajustar DHCPv6 con los siguientes parámetros:

Use VLAN priority: [ ]
Configuration Mode: Basic
Prefix delegation size: 56
Request prefix only: [ x ]
Send prefix hint: [ x ]

El motivo para habilitar las últimas dos opciones son:

Digi me asigna un /128 para la WAN, el cual parece no funcionar, no puedo hacer pings a ningún sitio, así que pienso que sería buena idea desactivarlo, aunque no afecta en nada.
Inspeccionando los paquetes, si no se habilita "Send prefix hint", OPNsense no manda nada en el Request al server de Digi, y por ende, no recibe ni prefijo, ni IP, ni DNS.

Resultado

Una vez hecho esto, el router recibe su /56, y podemos decirle al LAN que coja un /64 para ella.

Si vamos al menú de Overview todo está correcto. Si vamos a un dispositivo en la LAN, este recibe su dirección IPv6 temporal y dinámica. Todo parece estar correcto.

Sin embargo, no se puede salir de la red local, ping6 LAN->Router funciona perfectamente, pero ping6 LAN->ipv6.google.com falla. En los logs del firewall se ve como los pings salen del router, pero nunca hay respuesta.

Ningún paquete IPv6 llega al Firewall

Desde fuera de la red (por ej. una conexión móvil con IPv6) hago ping hacia la dirección LAN del router 2a0c:5a85:7700:7100:bf74:12fe:ff4e:da92, sin embargo, en los logs del firewall no aparece nada.

Para comprobar que no estuviese loco, hago lo mismo hacia un OPNsense bajo Starlink, y efectivamente aparecen los pings llegando al firewall.

Traceroute al router con Digi

## Traceroute desde O2 (móvil con IPv6) hacia la dirección LAN del OPNsense con Digi
traceroute6 2a0c:5a85:7700:7100:bf74:12fe:ff4e:da92
traceroute6 to 2a0c:5a85:7700:7100:bf74:12fe:ff4e:da92 (2a0c:5a85:7700:7100:bf74:12fe:ff4e:da92) from 2a02:9130:fc08:ad44:2946:b36e:7c2e:7ece, 64 hops max, 28 byte packets
 1  2a02-9130-fc08-ad44-d4bd-d0a8-356b-b93c.red-2a02-9130.customerbam.ipv6.rima-tde.net  4.208 ms  4.198 ms  3.746 ms
 2  * * *
 3  2a02-9002-0002-f012-0000-0000-0000-0001.red-2a02-90.customer.ipv6.rima-tde.net  56.280 ms
    2a02-9002-0002-f011-0000-0000-0000-0001.red-2a02-90.customer.ipv6.rima-tde.net  54.986 ms
    2a02-9002-0002-f012-0000-0000-0000-0001.red-2a02-90.customer.ipv6.rima-tde.net  55.339 ms
 4  * * *
 5  2a02-9002-0400-0000-0000-0000-0000-0006.red-2a02-90.customer.ipv6.rima-tde.net  53.263 ms * * #### Red de Movistar
 6  2001:1498:1:84a::1  60.808 ms *
    2001:1498:1:82d::1  72.864 ms #### Red de Telxius (Telefonica Global)
 7  lag-18.ear1.mad2.sp.lumen.tech  66.656 ms  42.435 ms  38.159 ms
 8  2001:1900:5:2:2::6482  45.464 ms  62.086 ms  40.753 ms #### Red de Lumen
 9  *
    2a02:2f00:8700::b  73.048 ms
    2a02:2f00:8700::115  41.807 ms #### Red de Digi RO
10  * * *
11  * * *
12  * * *

Nunca llega al router, se queda en la red de Digi RO (AS8708)

El traceroute deja de avanzar, y en los logs del firewall no aparece nada.

Traceroute al router con Starlink (para comparar)

## Traceroute desde O2 (móvil con IPv6) hacia la dirección LAN del OPNsense con Starlink
traceroute6 2a0d:3344:237f:5d00:bf24:12fe:fd81:a015
traceroute6 to 2a0d:3344:237f:5d00:bf24:12fe:fd81:a015 (2a0d:3344:237f:5d00:bf24:12fe:fd81:a015) from 2a02:9130:fc08:ad44:2946:b36e:7c2e:7ece, 64 hops max, 28 byte packets
 1  2a02-9130-fc08-ad44-d4bd-d0a8-356b-b93c.red-2a02-9130.customerbam.ipv6.rima-tde.net  6.486 ms  3.373 ms  3.879 ms
 2  * * *
 3  2a02-9002-0002-f011-0000-0000-0000-0001.red-2a02-90.customer.ipv6.rima-tde.net  63.086 ms
    2a02-9002-0002-f012-0000-0000-0000-0001.red-2a02-90.customer.ipv6.rima-tde.net  26.236 ms
    2a02-9002-0002-f011-0000-0000-0000-0001.red-2a02-90.customer.ipv6.rima-tde.net  37.322 ms
 4  * * *
 5  *
    2a02-9002-0400-0000-0000-0000-0000-0006.red-2a02-90.customer.ipv6.rima-tde.net  53.618 ms *     #### Red de Movistar
 6  2001:1498:1:84a::1  67.526 ms  46.763 ms  38.039 ms
 7  * *
    2001:1498:1:84b::1  45.010 ms     #### Red de Telxius (Telefonica Global)
 8  * * *
 9  spacex-ic-372407.ip.twelve99-cust.net  58.076 ms * *
10  spacex-ic-372407.ip.twelve99-cust.net  47.457 ms  47.138 ms   #### Red de Arelion
    host.starlinkisp.net  41.798 ms
11  host.starlinkisp.net  64.573 ms
    host.starlinkisp.net  63.090 ms
    host.starlinkisp.net  40.315 ms
12  host.starlinkisp.net  41.194 ms *  44.994 ms
13  host.starlinkisp.net  36.988 ms *  60.423 ms   #### Red de Starlink
14  * * *
15  * * *

El traceroute deja de avanzar porque el firewall lo bloquea, pero aparecen los intentos.

Conclusión

Con estas pruebas concluyo que el problema se encuentra en el lado de Digi, ya que no está direccionando correctamente el bloque que te asigna su servidor. Quizá me estoy dejando algo y no me doy cuenta, si alguien se le ocurre algo sería de gran ayuda. Gracias!

Comparte

Ani0129 ayer 15:34

⋮

@and125

Tengo funcionando dos redes Digi en dos provincias distintas, con IPv4 e IPv6, sin ningún problema, o sea, revisa tu instalación. Yo no te puedo ayudar porque no sé nada de OPNsense. En una instalación tengo un router Digi Zte ZXHN H3600P en el que he tenido que ajustar el firewall, filtrado IPv6, ajustes de 'Port Forwarding', y los ajustes LAN IPv6. Y en la segunda instalación tengo un router Digi Huawei HG8147X6 con la configuración por defecto salvo los 'Forward Rules', del que cuelga otro router secundario Asus RT-BE92U que es el que gestiona todo y está configurado para manejar IPv6 e IPv4. Las dos redes que he citado están enlazadas sin ningún problema tanto por IPv4 como IPv6, usando siempre DNS que no son de Digi por lo que no tengo ningún filtrado de operador y funciona todo estupendamente. El único problema que he visto es que mis dominios duckdns a veces se resuelven como IPv4 y otras veces como IPv6, y no sé la razón, y es lo que me llevó a poner en marcha IPv6.

✖

and125 ayer 15:48

⋮

Hola, gracias por el comentario. Yo también he llegado a pensar que debe haber algún problema con mi instalación, pero dudo que sea el caso, ya que tengo una prácticamente idéntica sin problemas con Starlink, como se ve en la última captura.

Aún así, he vuelto a conectar el router de Digi (H3600P) ahora mismo para comprobar y efectivamente, no pilla IPv6 y está dentro de CG-NAT (aunque pago por Conexión Plus), no parece ir muy fino todo esto. Seguro que reiniciandolo todo un par de veces vuelve a pillar IPv6, pero para mí que debería ir siempre, no cuando le de la gana :D

✖

Ani0129 ayer 16:17

⋮

parece que tu router H3600P está conectado a CG-NAT pero sólo en IPv4 … no sé qué decirte … esto no debería ser ningún problema para IPv6 pero es que tu router no está recibiendo asignaciones IPv6 en GUA, Prefix y DNSv6, cosa que el mío sí lo hace … ¡resuelve esto primero!

tengo la costumbre desde siempre, de mantener los routers que suministra el operador, y si pongo un router adicional, lo hago conectándolo al router del operador, así me puedo quejar si el router del operador deja de funcionar o si no funciona IPv6 o si no obtienes una IP pública como parece ser tu caso ; el incremento de ping de 1ms y el port forwarding adicional no me importan gran cosa

✖

and125 ayer 16:24

⋮

Sí, después de unos reinicios recibe las cosas que debe. Eso que comentas de poner un router detrás de otro; cómo lo haces para recibir un prefijo en el segundo router? Se puede delegar un, por ejemplo, /60 a otro router aguas abajo del de Digi? He visto una configuración así con los FritzBox.

✖

Ani0129 ayer 16:41

⋮

✖

and125 ayer 18:45

⋮

p1n0 ayer 17:52

⋮

En mi caso tengo configurado varias redes IPv6 con Digi, Starlink y O2 (beta) con OpenWrt. En todas tengo un servidor OpenVPN en el router para conectarme a la red desde el exterior. Y he visto que para acceder desde fuera tanto en Digi como en O2 tengo que usar IPs del prefijo delegado. Sin embargo, con Starlink es al revés. Las IPv6 asignadas del prefijo delegado no son accesibles desde el exterior y tengo que acceder usando la IPv6 asignada en la wan6.

✖

and125 ayer 18:42

⋮

Que raro lo de Starlink, yo lo tengo de la siguiente manera:

Router de Starlink en modo puente → Router con OPNsense (WAN: 2a0d:3344:2000:2e49:a:b:c::/64) (PD: 2a0d:3344:258f:7e00::/56)

Del /56 saco una /64 → (LAN: 2a0d:3344:258f:7e00::/64)

En Proxmox tengo un LXC con Debian y Docker para wg-easy y el ddns a cloudflare. El contenedor recibe una IPv6 por SLAAC. (IP del contenedor: 2a0d:3344:258f:7e00:x:y:z/64). En Cloudflare solo le habilito un AAAA para que no intente conectarse por IPv4 porque está detras de CG-NAT.

Luego en el firewall dejo pasar el trafico del puerto 51820 (WireGuard) al LXC.

Siempre que esté en una red con IPv6 (móvil con O2, porque se niegan a activarmela en la fibra) se conecta sin problemas.

En O2 no te funciona la IPv6 que le asignan al router por SLAAC? A mí me deja hacer pings desde ella (aunque se nieguen a darme un prefijo)

✖

p1n0 ayer 22:20

⋮

Pues en mi caso en Starlink no funciona y lo tengo muy similar. El router Starlink en modo puente y el router con OpenWrt donde en la WAN6 tengo una /64 con su PD /56. Y donde en la LAN saco una /64. Tal cual.

Tanto a la IP de la WAN6 como la IP de la LAN puedo hacer ping desde el exterior, pero el puerto UDP 1194 para OpenVPN solo lo alcanzo con la IP de la WAN. Evidentemente en mi firewall tengo una regla permitiendo el puerto.

En el caso de O2 y Digi, tengo exactamente la misma configuración que con Starlink e igual, recibo una /64 con su PD /56 en la WAN6 y saco una /64 en la LAN. Con la misma configuración de firewall que Starlink. Alcanzo las IPv6 de WAN6 y LAN desde el exterior con un ping pero al puerto del VPN UDP 1194 solo me puedo conectar con la IP de la LAN.

Yo sospecho que en el caso de Starlink habrá algún firewall que bloquea el puerto. No he probado con otros de momento.