Gelöst: pfsense: IPv6-Verbindungsabbrüche

HSC0 · ‎22.09.2018

Ich habe einen Kabel-Vertrag mit fester IPv4-Adresse und festem IPv6-Präfix (/56).
Ich betreibe an meinem Anschluss eine pfsense-Box mit Version 2.4.3-RELEASE-p1 (amd64).
Der Kabel-Router läuft im Bridge-Mode.
In der pfsense habe ich im WAN-Interface DHCP und DHCP6 aktiviert und frage für IPv6 ein /56-Präfix an.

Das funktioniert alles, ich erhalte meine IPv4-Adresse, mein IPv6-Präfix und kann im LAN /64-Adressen verteilen.
Das Problem ist, dass zwar die IPv4-Konnektivität immer funktioniert, aber die Verbindung von IPv6 immer nach ziemlich genau 2:04 Minuten abbricht.
Um die Verbindung wiederherzustellen, muss ich die Verbindung des WAN-Interfaces mit Release und Renew neu aufbauen, wonach ich dann wieder 2:04 Minuten IPv6-Adressen erreichen
kann, bevor die Verbindung wieder mit "No Route to Host" beim Ping abbricht.
Dieses Verhalten tritt mit einem frisch aufgesetzten pfsense auf, sodass ich ausschließen kann, dass das Problem an von mir getroffenen Veränderungen der Einstellungen liegt.

Ist jemanden dieses Verhalten bekannt und was kann ich tun, um es zu beseitigen?

HSC0 · ‎24.09.2018

Zusammenfassung: Es scheint sich um einen Bug in pfsense zu handeln. Die Standard-Route verschwindet auch bei Standardeinstellungen regelmäßig ohne erkennbaren Grund. Nach dem Erstellen einer statischen Route erscheint in den Routen auch wieder die Standard-Route und verschwindet auch nach Löschen der statischen Route bis zum nächsten Neustart nicht mehr. Danach tritt dasselbe Problem wieder auf. Danke an reneromann für die kompetente Unterstützung bei der Eingrenzung des Fehlers. Thema kann mit schlechtem Workaround geschlossen werden.

Lösung in ursprünglichem Beitrag anzeigen

HSC0 · ‎22.09.2018

Ein Auszug vom WAN-Interface der pfsense, wenn der Abbruch auftritt, sowie ein paar Screenshots aus dem pfsense Webinterface:

16 bytes from 2a00:1450:4005:800::2003, icmp_seq=108 hlim=55 time=12.657 ms
16 bytes from 2a00:1450:4005:800::2003, icmp_seq=109 hlim=55 time=14.015 ms
16 bytes from 2a00:1450:4005:800::2003, icmp_seq=110 hlim=55 time=18.065 ms
16 bytes from 2a00:1450:4005:800::2003, icmp_seq=111 hlim=55 time=14.062 ms
16 bytes from 2a00:1450:4005:800::2003, icmp_seq=112 hlim=55 time=13.467 ms
16 bytes from 2a00:1450:4005:800::2003, icmp_seq=113 hlim=55 time=13.048 ms
16 bytes from 2a00:1450:4005:800::2003, icmp_seq=114 hlim=55 time=22.161 ms
ping6: wrote google.de 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote google.de 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote google.de 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote google.de 16 chars, ret=-1
^C
--- google.de ping6 statistics ---
133 packets transmitted, 115 packets received, 13.5% packet loss
round-trip min/avg/max/std-dev = 12.000/17.819/171.691/15.045 ms

HSC0 · ‎22.09.2018

Angehängt hier der Status des WAN-Interfaces

reneromann · ‎22.09.2018

Das hört sich so an, als würde der IPv6-Lease am WAN-Interface auslaufen...

Schau doch mal nach der Lease Time der IPv6 am WAN-Interface -und- ob pfsense rechtzeitig genug ein Renew des Leases anfordert und was dabei zurückkommt...

HSC0 · ‎22.09.2018

Moin reneromann,

so tief stecke ich in pfsense und BSD leider nicht drin.

Kannst du mir sagen, wo ich diese Information am besten herbekommen kann?

reneromann · ‎22.09.2018

@HSC0@ schrieb:
Moin reneromann,

so tief stecke ich in pfsense und BSD leider nicht drin.
Kannst du mir sagen, wo ich diese Information am besten herbekommen kann?

Ganz ehrlich: Dann lass es lieber sein und hol dir einen Endkundenrouter...

Du wirst mit pfsense und OpenBSD mit der Einstellung leider nicht weit kommen - und ich befürchte sogar, dass du dir damit eher in's eigene Knie schießt, weil du wichtige Sicherheitseinstellungen nicht richtig vorgenommen hast.

HSC0 · ‎22.09.2018

Ich möchte hier ungerne aufgeben. Meine pfsense ist abgesehen von diesem Problem wunderbar konfiguriert und macht genau das, was sie soll. Ich glaube nur, dass dieses Problem abseits des Webinterfaces zu lösen ist und damit habe ich bisher kaum Berührungspunkte gehabt. Es wäre super, wenn du dein Wissen mit mir teilen könntest.

reneromann · ‎22.09.2018

Mein Ansatzpunkt wäre in dem Fall, dass ich per Wireshark schauen würde, was unten drunter auf dem WAN-Interface passiert...

Und ja, es kann (und es wird) durchaus so sein, dass du dafür an die Konsole musst...

HSC0 · ‎22.09.2018

Ich habe einen Mitschnitt erstellt, Beginn vor Aufbau der Verbindung, bis kurz nach Abbruch. Auf dem WAN-Interface findet der einzige DHCPv6-Traffic beim Beziehen der IPv6-Adresse und des Präfix statt. Ein Renew scheint dort innerhalb der Zeit nicht angefordert zu werden.

reneromann · ‎22.09.2018

Schau mal in die Lease-Zeit vom Reply rein.