117471
Sep 28, 2020, updated at Sep 29, 2020 at 06:40:24 (UTC)
928
2
0
Debian hinter pfSense: IPv4 vs. IPv6
Hallo,
ich lerne gerade IPv6.
Mein Aufbau: FRITZ!Box -> pfSense -> Debian-VMs
Es gibt zwei ULA-Netze:
Die pfSense verteilt via DHCP6 Adressen aus dem zweiten ULA-Netz an die Debian-VMs. Das funktioniert wunderbar - die Maschinen können sich untereinander über die lokalen ULA-Adressen (im Netz fd00:dddd:eeee:ffff::/64) erreichen. Die pfSense ist natürlich auch über dieses Netz erreichbar.
Wenn ich z.B. versuche, die FRITZ!Box anzupingen, funktioniert das nicht. Der Ping geht zwar auch an eine ULA-Adresse, allerdings (natürlich) im Netz fd00:aaaa:bbbb:cccc::/64
Dieses Netz ist ja durch die pfSense abgetrennt. Sprich: Mein Ping geht in die Hose.
Gibt es überhaupt einen "richtigen" Weg, das irgendwie gangbar zu machen ohne den Debian-VMs öffentliche IPv6-Adressen zu geben? Soweit ich richtig verstanden habe, gibt es bei IPv6 kein NAT...?!?
Gruß,
Jörg
ich lerne gerade IPv6.
Mein Aufbau: FRITZ!Box -> pfSense -> Debian-VMs
Es gibt zwei ULA-Netze:
- fd00:aaaa:bbbb:cccc::/64 wird von der FRITZ!Box verwaltet. Das ist das Netz zwischen FRITZ!Box und pfSense.
- fd00:dddd:eeee:ffff::/64 wird von der pfSense verwaltet. Das ist das Netz zwischen pfSense und Debian-VMs.
Die pfSense verteilt via DHCP6 Adressen aus dem zweiten ULA-Netz an die Debian-VMs. Das funktioniert wunderbar - die Maschinen können sich untereinander über die lokalen ULA-Adressen (im Netz fd00:dddd:eeee:ffff::/64) erreichen. Die pfSense ist natürlich auch über dieses Netz erreichbar.
Wenn ich z.B. versuche, die FRITZ!Box anzupingen, funktioniert das nicht. Der Ping geht zwar auch an eine ULA-Adresse, allerdings (natürlich) im Netz fd00:aaaa:bbbb:cccc::/64
Dieses Netz ist ja durch die pfSense abgetrennt. Sprich: Mein Ping geht in die Hose.
Gibt es überhaupt einen "richtigen" Weg, das irgendwie gangbar zu machen ohne den Debian-VMs öffentliche IPv6-Adressen zu geben? Soweit ich richtig verstanden habe, gibt es bei IPv6 kein NAT...?!?
Gruß,
Jörg
Please also mark the comments that contributed to the solution of the article
Content-Key: 608395
Url: https://administrator.de/contentid/608395
Printed on: April 25, 2024 at 21:04 o'clock
2 Comments
Latest comment
Das Problem sind deine ICMP Regeln am WAN Port. v6 Funktionen basieren auf einem erheblich größeren ICMP Anteil als v4 und du musst eine Menge ICMPs mehr freigeben als bei v4.
Welche IPv6 ICMP Typen du an der Firewall freigeben musst erklärt dir dieses Dokument auf den Seiten 5 und 6:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
Damit klappt der pfSense Ping dann fehlerfrei. Denke an die Advanced Settings in der pfSense das du dort den v6 Haken entsprechend setzen musst um die FW überhaupt v6 fähig zu machen.
Btw. Ein sehr guter Workshop zum Spielen mit IPv6 ist:
https://danrl.com/projects/ipv6-workshop/
Welche IPv6 ICMP Typen du an der Firewall freigeben musst erklärt dir dieses Dokument auf den Seiten 5 und 6:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
Damit klappt der pfSense Ping dann fehlerfrei. Denke an die Advanced Settings in der pfSense das du dort den v6 Haken entsprechend setzen musst um die FW überhaupt v6 fähig zu machen.
Btw. Ein sehr guter Workshop zum Spielen mit IPv6 ist:
https://danrl.com/projects/ipv6-workshop/