birdyb
Goto Top

Dual-WAN mit pfSense, IPv6 und dynamischen Prefixes

Hallo zusammen,

ich bräuchte bitte mal eure Hilfe bei folgendem Sachverhalt:
Gegeben ist eine pfSense in der aktuellsten Version auf einer Protecli-Firewall.
Die pfSense ist mit zwei WAN-Interfaces konfiguriert:
WAN1 - Verbunden per Starlink
WAN2 - Verbunden mit einem 5G-Router
Beide Interfaces bekommen sowohl eine IPv4-Adresse, als auch in IPv6-Subnet zugewiesen.

Auf der IPv4-Ebene funktioniert das Failover mit NAT problemlos.

Nach meinen rudimentären IPv6-Kenntnissen, müsste ich für ein Failover im IPv6-Bereich intern Adressen aus einem ULA-Segment vergeben und diese dann per nPt für die jeweiligen WAN-Interfaces übersetzen.
In der nPt-Konfiguration müsste ich dafür allerdings die Subnetze konkret angeben. Das funktioniert aber leider nicht, da diese hin und wieder wechseln.

Gibt es da einen Weg den ich bisher übersehen habe?

Danke und beste Grüße

Content-Key: 1772119595

Url: https://administrator.de/contentid/1772119595

Printed on: July 20, 2024 at 06:07 o'clock

Member: aqui
aqui Jun 12, 2024 updated at 11:12:43 (UTC)
Goto Top
Bei "nPT" scheiterte leider auch die Wikipedia... ­čĄö
Warum wechseln bei dir statisch konfigurierte v6 Netze?? Normal ja nicht üblich.
Den rudimentären v6 Kenntnissen kann man immer mit etwas kostenloser Lektüre auf die Sprünge helfen. face-wink
https://danrl.com/ipv6/
Member: BirdyB
BirdyB Jun 12, 2024 at 11:55:48 (UTC)
Goto Top
Zitat von @aqui:

Bei "nPT" scheiterte leider auch die Wikipedia... ­čĄö
https://docs.netgate.com/pfsense/en/latest/nat/npt.html
Warum wechseln bei dir statisch konfigurierte v6 Netze?? Normal ja nicht üblich.
Die sind ja nicht statisch, sondern werden vom Provider dynamisch zugewiesen.
AFAIK bieten weder Starlink noch die Telekom bei normalen Handykarten ein statisches Prefix an.
Den rudimentären v6 Kenntnissen kann man immer mit etwas kostenloser Lektüre auf die Sprünge helfen. face-wink
https://danrl.com/ipv6/
Danke für den Link
Member: aqui
Solution aqui Jun 12, 2024, updated at Jun 13, 2024 at 07:05:51 (UTC)
Goto Top
Die sind ja nicht statisch, sondern werden vom Provider dynamisch zugewiesen.
Dann klappt das natürlich nicht. Du kannst dir ja nicht wechselweise v6 Prefixes intern zuweisen lassen die der jeweils andere Provider nicht routet.
Verwende intern statische ULA Netzwerk Adressen und mache das bei v6 ungeliebte und unschöne NAT. Quasi also das gleiche Verfahren wie v4...
AFAIK bieten weder Starlink noch die Telekom bei normalen Handykarten ein statisches Prefix an.
In teuren Business Verträgen schon...
Mitglied: 13034433319
13034433319 Jun 12, 2024 updated at 12:14:17 (UTC)
Goto Top
Wenn du bei den Clients eh keine eingehenden IPv6 Verbindungen erwartest, NATe einfach sämtlichen IPv6 Traffic auf die öffentliche IPv6-Adressen am jeweiligen WAN, dann jucken die internen IPv6 Adressen nicht, ist zwar nicht so schön und widerspricht dem Gedanken von IPv6, funktioniert aber auch im Failoverfall.
Bei dynamischen Prefixes bräuchtest du wohl ein Skript was bei einem Failover den Prefix des alten Interfaces per RA mit einer PreferredLifeTime auf 0 setzt und dann das neue Prefix per RA im LAN propagiert, eine deartige Funktion bietet die Sense halt nicht von Haus aus.

Gruß.
Member: C.R.S.
C.R.S. Jun 13, 2024 at 18:02:44 (UTC)
Goto Top
Hallo,

Du musst das Präfix nicht konkret angeben. Für eine dynamische NPT-Destination kannst Du z.B. ::/56 eingeben.

Grüße
Richard
Member: BirdyB
BirdyB Jun 14, 2024 at 08:14:41 (UTC)
Goto Top
Ich habe es jetzt mit NAT statt nPT gelöst.
Vielleicht probiere ich bei Gelegenheit nochmal den Tipp von C.R.S. aus.