Bei der Installation eines USG-Pro-4 an einem Dual Stack Anschlusses (Public IPv4 / IPv6 Adresse) ist mir im Unifi Controller aufgefallen, dass der Unifi Security Gateway durchweg eine hohe Auslastung (40-60%) hat. Dies fand ich sehr eigenartig, denn es lief kein Verkehr und ebenso QoS, DPI und IPS/IDS waren noch abgeschaltet. Auch das Aktivieren des Hardware Offloadings brachte keine Besserung.
Das Problem
Daraufhin habe ich mich per CLI auf den Router geschaltet und mit dem Befehl ‚top‘ die Prozessliste aufgerufen, um festzustellen was diese hohe Auslastung beim Unifi Security Gateway auslöst sobald IPv6 aktiviert wird. Dort sah ich das der Prozess ‚dhcpv6-pd-respo‘ durchweg oben stand und entsprechende CPU Leistung eingefordert hat. Ein Blick in die System Messages mittels ‚cat /var/log/messages‘ offenbarte dann was schief lief. Der Prozess erwartete IA_NA Informationen von meinem ISP und bekam sie nicht. Deshalb rief er ständig einen neuen Prozess zum Abruf auf.
Die Konfiguration erfolgt eigentlich über den Unifi Controller. Leider sind die Einstellungen sehr limitiert. Ein Blick auf der CLI mittels ’show configuration commands‘ zeigte mir, dass eine entscheidende Konfigurationszeile fehlte.
.... set interfaces ethernet eth2 pppoe 0 dhcpv6-pd no-dns set interfaces ethernet eth2 pppoe 0 dhcpv6-pd pd 0 interface eth0 prefix-id 42 set interfaces ethernet eth2 pppoe 0 dhcpv6-pd pd 0 prefix-length 56 set interfaces ethernet eth2 pppoe 0 dhcpv6-pd rapid-commit enable ....
Die Lösung
Ich muss der Konfiguration hinzufügen, dass ich lediglich den Prefix übermittelt bekomme und keine weiteren Informationen oder Address Zuweisungen. Dies erfolgt mit
configure set interfaces ethernet eth2 pppoe 0 dhcpv6-pd prefix-only commit;save;exit
Bei Bedarf ist natürlich das Interface anzupassen. Anschließend fiel die Auslastung direkt ab und das Problem war gelöst.
Um das Ganze persistent zu machen ist natürlich die Erstellung eines JSON Files notwendig oder das Hinzufügen zum bestehenden JSON File. Wie das funktioniert findet ihr hier. Ansonsten verschwindet diese Änderung sobald der Unifi Controller das nächste mal die Konfiguration provisioniert.
Wenn du dich für weitere Best Practices interessierst schau doch mal in die weiteren Beiträge hinein. Die EdgeRouter Konfigurationen funktionieren i.d.R. auch auf einem Unifi Security Gateway und müssen dann zusätzlich als JSON verpackt werden.
Und für alle Leidgeplagten mit einer USG, die wie ich einen NetCologne Anschluss nutzen über ein DrayTek Modem und nicht wissen, warum es nicht geht die ganzen Anleitungen im Internet denen sei gesagt:
set interfaces ethernet eth0 vif 7 pppoe 2 dhcpv6-pd prefix-only
Damit ist es endlich erledigt !
Das gilt dann wohl für VDSL Bitstream, bei dem Daten und Voice auf VLAN 7 laufen. Wenn die VLANs aber getrennt sind, wie bei VDSL auf 10 (Daten) und 20 (Voice), welches Kommando wäre dann das richtig? Oder muss man es für beide VLANs ausführen?
Das Beispiel von Adamazing hat bei mir geklappt, wenn ich
set interfaces ethernet eth2 pppoe 0 dhcpv6-pd prefix-only
durch
set interfaces ethernet eth0 pppoe 0 dhcpv6-pd prefix-only
ersetzte, da mein WAN Interface eth0 heißt.
Das hängt erstmal davon ab, auf welchen VLANs IPv6 angeboten wird. Es gilt mindestens für das Daten VLAN (Bei einem Dual Stack Anschluss).
set interfaces ethernet eth2 vif 10 pppoe 0 dhcpv6-pd prefix-only
Wenn die Voice Plattform deines Providers ebenfalls IPv6 unterstützt – Ich glaube aber nicht, dass dir Voice mit IPv6 angeboten wird. Die IPTV Plattform der DTAG ist z.B. ebenfalls IPv4 only und man erhält seine IPv4 via DHCP.