Ik zie dat mijn Usg dat ook doet 2 requests achter elkaar. Ik heb echter geen problemen. In de door @Joriz gedeelde config is dat ook terug te zien.
interface eth0.34 {
send ia-na 0;
request domain-name-servers, domain-name;
send rapid-commit;
send ia-pd 0;
script “/opt/vyatta/sbin/ubnt-dhcp6c-script”;
};
Ik gebruik ook een USG alleen met een gespoofde fritzbox macadres (te lui om aan te laten passen)
Maar heb dus geen issues. En verder volgens mij dezelfde config. Draai wel de laatste versie van alles van Unifi.
1 like
Het is denk ik sws niet de bedoeling dat je 2 ip adressen krijgt, dus zal je ook maar 1 range ontvangen.
Ik heb ook een USG, ik heb alleen de GUI-config van jouw screenshots gebruikt en verder niks. Doet het perfect hier. Ik heb ook -geen- spoofing van mac-addressen aanstaan.
Vandaag ook bericht gekregen dat native IPv6 is ingeschakeld op mijn verbinding. Wil je het relevante deel van je Edgerouter config delen? Dat helpt mij waarschijnlijk vlot op weg 
.
Bij deze de relevante config (alleen IPv6) voor mijn EdgeRouter 4. Ik heb inmiddels alleen nog Internet Only, dus geen bellen en IPTV meer. Dat betekent dat Internet nu untagged is en niet meer op Vlan 34 zit. Indien je nog bellen en/of IPTV hebt, moet je het dus even aanpassen.
Firewall (het gebruikelijke, behalve ICMPv6 and DHCPv6 op WAN6_LOCAL):
firewall {
ipv6-name WAN6_IN {
default-action drop
description "WAN6 to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
ipv6-name WAN6_LOCAL {
default-action drop
description "WAN6 to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
}
In eth3 zit een AON SFP waar de fiber van Tweak rechtstreeks op zit (dus zonder converter). Lan is eth0. 2a02:58 is de /32 van Tweak, xxyy:zz is wat Tweak mij heeft toegewezen als /56. “prefix-id :1” heb ik toegewezen op eth0, waar ik via SLAAC adressen uitgeef (dus 2a02:58:xxyy:zz01::/64) en als DNS server het IP adres van de EdgeRouter meegeef. Eth0 krijgt, via de PD config, met “prefix-id :1” en “host-address ::1”, dus 2a02:58:xxyy:zz01::1. Zelf negeer ik de DNS servers van Tweak (de “no-dns” optie), aangezien ik die van Quad9 gebruik.
Merk op: het lijkt erop dat de “no-dns” optie er alleen voor zorgt dat “/etc/resolv.conf” niet wordt aangepast. Ik zie met tcpdump in de DHCPv6 request nog wel steeds “option-request DNS-server DNS-search-list”.
Interfaces:
interfaces {
ethernet eth0 {
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
managed-flag false
max-interval 600
name-server 2a02:58:xxyy:zz01::1
other-config-flag false
prefix 2a02:58:xxyy:zz01::/64 {
autonomous-flag true
on-link-flag true
valid-lifetime 86400
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
}
ethernet eth3 {
dhcpv6-pd {
no-dns
pd 1 {
interface eth0 {
host-address ::1
no-dns
prefix-id :1
service dhcpv6-stateless
}
prefix-length 56
}
rapid-commit enable
}
firewall {
in {
ipv6-name WAN6_IN
}
local {
ipv6-name WAN6_LOCAL
}
}
}
Als DNS gebruik ik dus de resolvers van Quad9 en ik laat de web server ook op het IPv6 adres van eth0 luisteren:
service {
dns {
forwarding {
listen-on eth0
name-server 2620:fe::fe
name-server 2620:fe::9
}
}
gui {
listen-address 2a02:58:xxyy:zz01::1
}
}
Dan nog wat overige config. De “name-server” opties zorgen voor toevoeging aan “/etc/resolv.conf”. Voor de betere performance is het natuurlijk noodzakelijk om ook IPv6 traffic te offloaden. Tot slot heb ik nog een static mapping gemaakt, zodat ik in mijn browser de <ROUTERNAME>.<DOMAINNAME> kan intypen, aangezien clients de EdgeRouter als DNS server gebruiken. Ik heb ook een certificate geïnstalleerd van een eigen Root CA, waar die naam, alsmede de IPv4 en IPv6 adressen in zitten als SAN, zodat mijn browser niet piept ongeacht hoe ik met de EdgeRouter web server connect.
system {
name-server 2620:fe::fe
name-server 2620:fe::9
offload {
ipv6 {
bonding enable
forwarding enable
vlan enable
}
}
static-host-mapping {
host-name <ROUTERNAME>.<DOMAINNAME> {
inet 2a02:58:xxyy:zz01::1
}
}
}
Hopelijk heeft een ieder er wat aan.
Mike.
4 likes
Bedankt voor je reactie. Zelf heb ik ook de internet only variant. Met je config kan ik wel wat mee, vooral je eth3 config.
Welke optic gebruik je precies om je fiber op aan te sluiten?
Ik gebruik deze: Ubiquiti Networks UF-SM-1G-S SFP 1250Mbit/s 1550nm Single-mode netwerk transceiver module.
Je krijgt dan 2 SFPs, het gaat echter om de blauwe die je in de EdgeRouter moet doen (blauw heeft als TX 1310 nm en als RX 1550 nm).
Afhankelijk van hoe je fiber nu is aangesloten, heb je wellicht nog een andere fiber patch kabel nodig. Ik had hiervoor een Fritz!box, waar ook de fiber rechtstreeks in zat. Dat was echter een kabel met aan beide kanten een SC connector. De Ubiquiti SFP heeft een LC aansluiting en dus had ik een kabel nodig met aan één kant een SC connector en aan de andere kant een LC connector. Meer specifiek, het moet een kabel zijn met SC/APC (groen, de kant van het kastje van Tweak) en LC/UPC (blauw, de kant van de EdgeRouter), zoals bijvoorbeeld deze: Fiber Optic Cable SC/APC on LC/UPC Monomode Simplex, 9/125 μm, optical LSZH (3m)
Overigens, welke prefix Tweak me had toegewezen, wist ik niet nadat het geactiveerd was. Maar na de PD config op eth3, kon ik met ip addr show dev eth0 zien wat de prefix was en de rest van de config afmaken.
Succes,
Mike.
1 like
@johan Ik heb bevestiging gekregen dan de supportdesk dat IPv6 is ingeschakeld op mijn verbinding. Ik heb de benodigde aanpassingen gedaan aan de WAN interface van mijn Edgerouter (voorbeeld van @Morgoth ), maar krijg enkel een /128. Het lijkt erop dat mijn router via PD geen /56 prefix krijgt.
Kan het zijn dat er nog een aanpassing aan de Tweak kan nodig is?
De /128 krijg je op je ethernet verbinding naar Tweak (eth3 in mijn geval). Met mijn PD config moet je ff kijken op je LAN ethernet verbinding (eth0 in mijn geval). Het is dus niet zo dat je WAN interface een IPv6 adres krijgt in de /56 range.
Je kunt DHCPv6-pd debuggen met sudo tcpdump -vv -n -i eth3 '(udp port 546 and udp port 547)', waar eth3 je WAN interface is. In de request moet je ook de PD zien, als je config goed is.
De tcpdump is met name handig als je in een andere SSH sessie renew dhcpv6-pd interface eth3 doet (of release en dan renew).
2 likes
Bedankt voor de tips. Ga ik even testen.
Klopt helemaal. In de tcpdump output zie ik de via PD assigned /56 prefix terugkomen.
10:54:30.657544 IP6 (flowlabel 0x90fdb, hlim 1, next-header UDP (17) payload length: 109) fe80::<REDACTED>.546 > ff02::1:2.547: [udp sum ok] dhcp6 solicit (xid=293c08 (client-ID hwaddr/time type 1 time 689896450 7483c211a5a5) (IA_NA IAID:0 T1:0 T2:0) (rapid-commit) (elapsed-time 0) (option-request DNS-server DNS-search-list) (IA_PD IAID:1 T1:0 T2:0 (IA_PD-prefix ::/56 pltime:4294967295 vltime:4294967295)))
10:54:30.714550 IP6 (flowlabel 0x886a2, hlim 64, next-header UDP (17) payload length: 177) fe80::<REDACTED>.547 > fe80::<REDACTED>.546: [udp sum ok] dhcp6 reply (xid=293c08 (client-ID hwaddr/time type 1 time 689896450 7483c211a5a5) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:<REDACTED> pltime:1800 vltime:3600)) (rapid-commit) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2) (IA_PD IAID:1 T1:1000 T2:2000 (IA_PD-prefix 2a02:<REDACTED>::/56 pltime:1800 vltime:3600)))
De PD config doet feitelijk alleen maar een request voor een /56 prefix. Wat je er vervolgens mee doet is up to you. Als je in de PD config verder geen LAN interface configureert, dan gebeurt er dus niets vanzelf. Zoals gezegd, het heeft geen effect op je WAN interface.
Als je dus gebruik wilt maken van de /56 prefix, kun je dat automatisch doen op een LAN interface (met mijn config) of handmatig. Dat laatste heb ik niet getest, maar in mijn optiek is het ook veel handiger om de LAN interface automatisch te configureren, aangezien je het netwerk en het adres automatisch kunt laten instellen zoals jij dat zelf wil.
Vervolgens kun je de /56 indelen zoals je wilt, bijvoorbeeld een andere /64 op een andere interface/vlan. In mijn geval heb ik nog een downstream firewall voor de kids, dus heb ik een /60 (2a02:58:xxyy:zz80::/60) bedacht in de /56 reeks die ik naar het IPv6 adres van de firewall routeer. Op de firewall kan ik /64 netwerken configureren op de Vlans, zoals 81::/64, 82::/64, etc.
Alles werkt hier nu met native IPv6 . Heb de 6RD tunnel verwijderd en de nieuwe prefixen op de interne poorten en VLANs gezet. Bedankt voor de tips 
.
1 like
Hoi hoi!
Ook ik doe graag mee met de IPv6 native beta, dit is het enige wat ik nog mis sinds m’n overstap van XS4ALL!
Hoe kan ik me aanmelden?
Ik ben enorm tevreden met deze ipv6 test. Zelfs mijn TV is nu stabieler, wat vreemd is want die draait 100% op een intern ipv4 net met specifieke vlan/router waarden
Ik heb nu sinds 4 dagen native IPv6, en het is absoluut stabiel, snel, en ontzettend fijn tov de 6RD tunnel die ik de afgelopen jaren gebruikte. Lang op gewacht, maar erg blij mee!
Ik zou ook graag met native ipv6 willen experimenteren.
Alvast bedankt, Rick
Ik zit helaas nog steeds met het probleem dat specifiek inkomende verkeer periodiek niet aankomt bij mijn Ubiquiti USG 3 router over IPv6. Ik heb helaas nog niet de oorzaak kunnen achterhalen.
Het volgende constateer ik:
- Elke 15 minuten heb ik de verbinding weer terug bij dhcp6 renew van dhcp6c proces
- De verbinding heb ik ook weer direct terug na handmatige dhcp6 renew op de USG3 router
- Verbinding van inkomende verkeer richting USG3 router valt eigenlijk altijd binnen de 15 minuten weg wat zorgt voor een flinke hik van vele minuten.
- Hoe lang het wegvallen duurt lijkt mede afhankelijk van hoeveelheid (IGMP?) verkeer. Ik houd mijn verbinding nu ‘stabieler’ door maar veel data rond te pompen
- Via tcpdump op de USG3 router zie je tijdens zo’n onderbreking gewoon nog verkeer naar buiten gaan
- Verkeer komt tijdens de onderbrekingen niet terug. tcpdump in promiscuous mode laat dat niet zien
- De USG3 hardware offloading uitzetten haalt het probleem niet weg.
- Tijdens de hik blijft de routing tabel in de USG3 gewoon overeind die met ‘show ipv6 route’ toont.
- ICMPv6 verkeer (ping/traceroute) komt tijdens de hiks vanuit lokale LAN gewoon bij externe server uit bij Surfnet met tcpdump kijkende aan de externe kant.
Dat laatste vind ik vooral opvallend. Dit betekent eigenlijk dat de router perfect verkeer kan afhandelen. Iedergeval constant uitgaand.
Concreet ziet mijn router dus periodiek geheel geen inkomende verkeer. Dus ook zonder hardware offloading.
Mijn vermoeden als oorzaken zijn:
- Zeer vreemde software configuratie bug, issue met Vyatta of hardware bug met inkomende verkeer in de USG3
- Er is toch meer een vreemde route/verkeer bug gaande op de Wijk switches van Tweak in mijn nabije omgeving
Wat ik nog wil/kan doen:
- IPsec offloading uitschakelen op USG3. Gebruik ik toch niet
- Zyxel afstoffen en kijken of die het wel goed met IPv6 doet
- Een kale Ubuntu pc direct aan de Genexis glasomzetter hangen en dan op VLAN 34 met gespoofed MAC gaan Wiresharken om te kijken of dat nog wat oplevert
Ik ben zeer benieuwd of iemand anders (in omgeving Enschede) vergelijkbaar gedrag is opgevallen met Ubiquiti apparatuur.
Deze details van mijn USG3 zijn wellicht nog handig:
admin@USG:$ show ubnt offload
IP offload module : loaded
IPv4
forwarding: enabled
vlan : enabled
pppoe : enabled
gre : enabled
IPv6
forwarding: enabled
vlan : enabled
pppoe : disabled
IPSec offload module: loaded
Traffic Analysis :
IPv4
forwarding: enabled
vlan : enabled
pppoe : enabled
gre : enabled
export : disabled
dpi : enabled
IPSec offload module: loaded
admin@USG:$ show version
Version: v4.4.56
Build ID: 5449062
Build on: 10/20/21 08:31
Copyright: 2012-2020 Ubiquiti, Inc.
HW model: UniFi-Gateway-3
Wat je ook nog kan doen: Alle configuratie uit de USG halen, behalve de default vlan’s als je internet+TV+Bellen hebt (via de json) en de ip6 configs alleen via de GUI ingesteld. Kijken of het dan stabiel is.
Iets anders pingen, misschien debug je wel de verkeerde kant. Google lijkt stabiel bij iedereen.