birdyb
Goto Top

Dual-WAN mit pfSense, IPv6 und dynamischen Prefixes

Hallo zusammen,

ich bräuchte bitte mal eure Hilfe bei folgendem Sachverhalt:
Gegeben ist eine pfSense in der aktuellsten Version auf einer Protecli-Firewall.
Die pfSense ist mit zwei WAN-Interfaces konfiguriert:
WAN1 - Verbunden per Starlink
WAN2 - Verbunden mit einem 5G-Router
Beide Interfaces bekommen sowohl eine IPv4-Adresse, als auch in IPv6-Subnet zugewiesen.

Auf der IPv4-Ebene funktioniert das Failover mit NAT problemlos.

Nach meinen rudimentären IPv6-Kenntnissen, müsste ich für ein Failover im IPv6-Bereich intern Adressen aus einem ULA-Segment vergeben und diese dann per nPt für die jeweiligen WAN-Interfaces übersetzen.
In der nPt-Konfiguration müsste ich dafür allerdings die Subnetze konkret angeben. Das funktioniert aber leider nicht, da diese hin und wieder wechseln.

Gibt es da einen Weg den ich bisher übersehen habe?

Danke und beste Grüße

Content-ID: 1772119595

Url: https://administrator.de/forum/dual-wan-mit-pfsense-ipv6-und-dynamischen-prefixes-1772119595.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

aqui
aqui 12.06.2024 aktualisiert um 13:12:43 Uhr
Goto Top
Bei "nPT" scheiterte leider auch die Wikipedia... 🤔
Warum wechseln bei dir statisch konfigurierte v6 Netze?? Normal ja nicht üblich.
Den rudimentären v6 Kenntnissen kann man immer mit etwas kostenloser Lektüre auf die Sprünge helfen. face-wink
https://danrl.com/ipv6/
BirdyB
BirdyB 12.06.2024 um 13:55:48 Uhr
Goto Top
Zitat von @aqui:

Bei "nPT" scheiterte leider auch die Wikipedia... 🤔
https://docs.netgate.com/pfsense/en/latest/nat/npt.html
Warum wechseln bei dir statisch konfigurierte v6 Netze?? Normal ja nicht üblich.
Die sind ja nicht statisch, sondern werden vom Provider dynamisch zugewiesen.
AFAIK bieten weder Starlink noch die Telekom bei normalen Handykarten ein statisches Prefix an.
Den rudimentären v6 Kenntnissen kann man immer mit etwas kostenloser Lektüre auf die Sprünge helfen. face-wink
https://danrl.com/ipv6/
Danke für den Link
aqui
Lösung aqui 12.06.2024, aktualisiert am 13.06.2024 um 09:05:51 Uhr
Goto Top
Die sind ja nicht statisch, sondern werden vom Provider dynamisch zugewiesen.
Dann klappt das natürlich nicht. Du kannst dir ja nicht wechselweise v6 Prefixes intern zuweisen lassen die der jeweils andere Provider nicht routet.
Verwende intern statische ULA Netzwerk Adressen und mache das bei v6 ungeliebte und unschöne NAT. Quasi also das gleiche Verfahren wie v4...
AFAIK bieten weder Starlink noch die Telekom bei normalen Handykarten ein statisches Prefix an.
In teuren Business Verträgen schon...
13034433319
13034433319 12.06.2024 aktualisiert um 14:14:17 Uhr
Goto Top
Wenn du bei den Clients eh keine eingehenden IPv6 Verbindungen erwartest, NATe einfach sämtlichen IPv6 Traffic auf die öffentliche IPv6-Adressen am jeweiligen WAN, dann jucken die internen IPv6 Adressen nicht, ist zwar nicht so schön und widerspricht dem Gedanken von IPv6, funktioniert aber auch im Failoverfall.
Bei dynamischen Prefixes bräuchtest du wohl ein Skript was bei einem Failover den Prefix des alten Interfaces per RA mit einer PreferredLifeTime auf 0 setzt und dann das neue Prefix per RA im LAN propagiert, eine deartige Funktion bietet die Sense halt nicht von Haus aus.

Gruß.
C.R.S.
C.R.S. 13.06.2024 um 20:02:44 Uhr
Goto Top
Hallo,

Du musst das Präfix nicht konkret angeben. Für eine dynamische NPT-Destination kannst Du z.B. ::/56 eingeben.

Grüße
Richard
BirdyB
BirdyB 14.06.2024 um 10:14:41 Uhr
Goto Top
Ich habe es jetzt mit NAT statt nPT gelöst.
Vielleicht probiere ich bei Gelegenheit nochmal den Tipp von C.R.S. aus.
C.R.S.
C.R.S. 29.07.2024 um 14:33:24 Uhr
Goto Top
Korrektur, da ein Bekannter gerade dasselbe Problem hatte: ::/56 funktioniert wohl nicht, sondern es müssen alle /64-Netze einzeln auf ::/64 übersetzt werden. Außerdem ist zumindest ein Interface mit Adressvergabe per Tracking erforderlich, sonst wird die NAT-Regel nicht erneuert nach einer Zwangstrennung.