Discussion:
IPv6 woes (again)
(te oud om op te antwoorden)
rudi
2018-01-06 11:25:39 UTC
Permalink
Hallo,

Ik heb een soortgelijk probleem eerder gehad, maar re lijkt na
updating van PFsense (achter mijn Fritz 7369 v. 6.32) weer
een probleem met (ik denk de MTU op) IPv6.
ik hang aan dr14.d12.xs4all.net

Situatie:

xs4all - 7369 - PFsense (2.4.2) - intern netwerk

mijn pfsense krijgt netjes een prefix met dhcpv6 PD van de fritz, deze
prefix verdeel ik met "track interface" over een aantel interne interfaces.
so far so good, dan deel ik met ratvd via slaac de v6 nummers uit..

http://test-ipv6.com geeft mij een 10/10 ;-)
youtube werkt over v6 (only) prima, meeste v6 sites ook.
r.

Het probleem manifesteert zich dat sommige websites "niet werken".
of heel heel langzaam laden. Ook is het vaak (niet altijd) zo dat images
in de facebook (ios) app niet laden. Een typische niet werkende site
over v6 is bijv. www.tilaa.com, mijn vps provider, of
www.restaurantdejonker.nl

Zet ik v6 op de LAN interface van mijn pfsense uit lijkt het probleem
verdwenen. Het zit dus in v6.

NB Ik heb een allow-rule voor alle ICMP v6 types op mijn pfsense WAN
(en ook LAN) interface staan.

Dingen die ik al geprobeerd heb zijn

- verkleinen MTU op de fritz naar 1492 (was een eerdere oplossing)
- verkleinen MTU op pfsense zowel op WAN als op LAN

Ik ben al eens eerder aan het knutselen geweest, en het leek iets met
de PATH MTU discovery voor v6 te maken te hebben tussen mijn client
en de andere "kant", ergens. Ook had het te maken met de firmware of
settings van de edge-router bij xs.

Hebben mensen een soortgelijke setup (wel) werkend ? en hoe staat
dan eea ingesteld !?

Suggesties zijn van HARTE WELKOM

Rudi
Rob
2018-01-06 12:42:42 UTC
Permalink
Ik heb zo'n soort configuratie ergens draaien op het werk, in dit
geval een MikroTik router achter een Fritzbox, en dat werkt goed.

Ik heb daar op de WAN interface (die dus aan de Fritzbox LAN hangt)
de MTU op 1492 gezet, op de LAN gewoon 1500 en in de router de MSS
clipping workaround er in gezet (TCP MSS wordt naar beneden bijgesteld
voor SYN packets die door de router gaan). Dit zowel voor IPv4 als
voor IPv6.

Dit is wat de Fritzbox zelf ook doet. Eigenlijk zou het dus niet
nodig moeten zijn.

Hier thuis heb ik geen last van dit probleem omdat ik een Draytek 130
modem gebruik dus gewoon MTU 1500. (RFC4638)
Het wordt tijd dat ze bij AVM dat ook eens gaan implementeren.

Als je verder niks aan die Fritzbox hebt hangen zou je kunnen overwegen
die truuk te doen die laast op de andere newsgroup stond waardoor het
toch mogelijk is de Fritzbox als PPPoE relay te gebruiken en de PPPoE
verbinding dus vanuit je pfsense op te bouwen, dan sluit je weer wat
gedoe uit.
Miquel van Smoorenburg
2018-01-06 14:03:26 UTC
Permalink
Post by rudi
Dingen die ik al geprobeerd heb zijn
- verkleinen MTU op de fritz naar 1492 (was een eerdere oplossing)
- verkleinen MTU op pfsense zowel op WAN als op LAN
Van belang is dat de MTU op alle *clients* op 1492 staat voor IPv6.
Wat er tussenin zit (routers, switches) mogen best een hogere MTU hebben.

Als je clients rechtstreeks aan de Fritzbox hangen gaat dat vanzelf,
want in de IPv6 route-advertisements die de box uitstuurt zit
namelijk een MTU optie, en die staat op 1492. Clients pikken dat
op et voila.

Als je pfsense doos een prefix aanvraagt via DHCPv6 PD, dan zou
die MTU optie daar ook in moeten zitten (ik kan dat helaas niet
testen) en dan zou die dat ook weer door moeten geven in zn
eigen RA's naar de clients erachter. Ik vermoed dat daar iets
fout zit, of dat het gewoon niet geimplementeerd is.

Hier iemand met een vergelijkbaar probleem (en oplossing):
https://forum.pfsense.org/index.php?topic=127300.0

Mike.
rudi
2018-01-06 15:51:06 UTC
Permalink
Post by Miquel van Smoorenburg
Post by rudi
Dingen die ik al geprobeerd heb zijn
- verkleinen MTU op de fritz naar 1492 (was een eerdere oplossing)
- verkleinen MTU op pfsense zowel op WAN als op LAN
Van belang is dat de MTU op alle *clients* op 1492 staat voor IPv6.
Wat er tussenin zit (routers, switches) mogen best een hogere MTU hebben.
Als je clients rechtstreeks aan de Fritzbox hangen gaat dat vanzelf,
want in de IPv6 route-advertisements die de box uitstuurt zit
namelijk een MTU optie, en die staat op 1492. Clients pikken dat
op et voila.
Als je pfsense doos een prefix aanvraagt via DHCPv6 PD, dan zou
die MTU optie daar ook in moeten zitten (ik kan dat helaas niet
testen) en dan zou die dat ook weer door moeten geven in zn
eigen RA's naar de clients erachter. Ik vermoed dat daar iets
fout zit, of dat het gewoon niet geimplementeerd is.
https://forum.pfsense.org/index.php?topic=127300.0
Mike.
Bedankt voor de tip, ga even spitten.

Zal ook eens kijken of ik de DHCPv6 PD traffic kan "snoopen".
om te zien of er inderdaad 1492 als MTU wordt doorgegeven.

kan best dat inderdaad in pfsense eea niet helemaal volgens de
regeltjes implementeert :-)

R.
rudi
2018-04-18 06:48:42 UTC
Permalink
Post by rudi
Post by Miquel van Smoorenburg
Post by rudi
Dingen die ik al geprobeerd heb zijn
- verkleinen MTU op de fritz naar 1492 (was een eerdere oplossing)
- verkleinen MTU op pfsense zowel op WAN als op LAN
Van belang is dat de MTU op alle *clients* op 1492 staat voor IPv6.
Wat er tussenin zit (routers, switches) mogen best een hogere MTU hebben.
Als je clients rechtstreeks aan de Fritzbox hangen gaat dat vanzelf,
want in de IPv6 route-advertisements die de box uitstuurt zit
namelijk een MTU optie, en die staat op 1492. Clients pikken dat
op et voila.
Als je pfsense doos een prefix aanvraagt via DHCPv6 PD, dan zou
die MTU optie daar ook in moeten zitten (ik kan dat helaas niet
testen) en dan zou die dat ook weer door moeten geven in zn
eigen RA's naar de clients erachter. Ik vermoed dat daar iets
fout zit, of dat het gewoon niet geimplementeerd is.
https://forum.pfsense.org/index.php?topic=127300.0
Mike.
Bedankt voor de tip, ga even spitten.
Zal ook eens kijken of ik de DHCPv6 PD traffic kan "snoopen".
om te zien of er inderdaad 1492 als MTU wordt doorgegeven.
kan best dat inderdaad in pfsense eea niet helemaal volgens de
regeltjes implementeert :-)
R.
Lijkt erop dat als ik de WAN interface op 1492 zet rtavd ook 1492
adverteert naar de v6 clients. Alles lijkt nu te werken behalve een
vraamd gedrag bij het gebruik van facebook of instagram op voor-
namelijk ios devices.

Ik zie hierbij soms de foto's niet laden of maar een aantal foto's, ter-
wijl als ik direct (zonder pfsense) aan de fritz hang eea wel goed
gaat. Ik vremoed dat het een v6 issue is, en wellicht ook iets met
mtu dingen te maken heeft.

Heeft iemand hier (meer) ervaring mee ?

Het lijkt alleen bij instagram en facebook op te treden, en met een
tiener "in tha house" is dat (kennelijk) een must.

Rudi
Miquel van Smoorenburg
2018-04-18 09:16:13 UTC
Permalink
Post by rudi
Lijkt erop dat als ik de WAN interface op 1492 zet rtavd ook 1492
adverteert naar de v6 clients. Alles lijkt nu te werken behalve een
vraamd gedrag bij het gebruik van facebook of instagram op voor-
namelijk ios devices.
Ik zie hierbij soms de foto's niet laden of maar een aantal foto's, ter-
wijl als ik direct (zonder pfsense) aan de fritz hang eea wel goed
gaat. Ik vremoed dat het een v6 issue is, en wellicht ook iets met
mtu dingen te maken heeft.
Het kan best zijn dat IPv6 nu goed werkt, en dat dit wordt
veroorzaakt door IPv4 MTU issues. Voor IPv4 moet je pfsense
"TCP MSS clamping" doen. Bijvoorbeeld een MSS van 1452.

Mike.
Rudi
2018-04-18 10:57:59 UTC
Permalink
Post by Miquel van Smoorenburg
Post by rudi
Lijkt erop dat als ik de WAN interface op 1492 zet rtavd ook 1492
adverteert naar de v6 clients. Alles lijkt nu te werken behalve een
vraamd gedrag bij het gebruik van facebook of instagram op voor-
namelijk ios devices.
Ik zie hierbij soms de foto's niet laden of maar een aantal foto's, ter-
wijl als ik direct (zonder pfsense) aan de fritz hang eea wel goed
gaat. Ik vremoed dat het een v6 issue is, en wellicht ook iets met
mtu dingen te maken heeft.
Het kan best zijn dat IPv6 nu goed werkt, en dat dit wordt
veroorzaakt door IPv4 MTU issues. Voor IPv4 moet je pfsense
"TCP MSS clamping" doen. Bijvoorbeeld een MSS van 1452.
Mike.
Hmm, goeie !, ik ga dat eens proberen, vanavond.
R.

Loading...