IPv6 im Heimnetz - gibt es einen Königsweg?

Mitglied: Simaryp

Simaryp (Level 1) - Jetzt verbinden

19.03.2021 um 08:54 Uhr, 901 Aufrufe, 19 Kommentare

Ich richte gerade Privat mein erstes komplexeres Netzwerk ein, bestehend aus einem OPNsense Router, zwei Mikrotik Switchen und einem TP-Link AP. Die Clients sind bunt gemischt, Linux, Windows, Android, embedded etc. Ich will verschiedene VLANs haben mit ausgewähltem Verkehr zwischen den VLANs und ich will per Wireguard VPN Verbindungen von Außerhalb aufbauen können, um meine Dienste wie zu Hause zu nutzen und meine Internetnutzung im Hotel o.ä. zu sichern.

Auf Basis von IPv4 habe ich glaube ich genug von den Problemen und Aufgaben verstanden, um da los zulegen und mich in die Details zu stürzen. Großes Kopfzerbrechen macht mir aber IPv6. Ich könnte das natürlich einfach wie bisher deaktivieren, aber wirklich nachhaltig ist die Lösung nicht. Besser wäre es, ich bekäme voll Funktionsfähiges Dual Stack auch zu hause hin.

Bei der Recherche zeigt sich aber, dass es da einen Ratten### an Problemen und Herausforderungen gibt.

Das meiste davon ist darauf zurückzuführen, dass ich nicht davon ausgehen kann, ein statisches Präfix zu bekommen und somit meine IPv6 Adressen sich ohne mein zu tun ändern können.
Deswegen kann ich dann die FW-Regeln zwischen den VLANs nicht richtig definieren. Ich habe vermutlich Probleme meine Geräte mit FQDN in unbound zu registrieren etc. Unschön ist auch, dass Android kein DHCPv6 kann. Deswegen fällt das als Lösungsansatz vermutlich schon aus.

Ich hatte eine erste Idee, einfach die Regeln nur für IPv4 genau auszutüfteln und für IPv6 stumpf zu sagen, Traffic ins Internet wird erlaubt, Traffic von außen wird gedroppt. Zwischen den VLANs wird alles geblockt. Dann könnten die Clients jeweils mit IPv6 ins Internet, wenn das möglich ist und der restliche Kram würde per IPv4 laufen.
Ich habe aber dann gesagt bekommen, das würde Probleme machen, wenn ich in einem Hotel mit nur IPv6 wäre und mich per Wireguard über IPv6 mit meinem Router verbinde und dann innerhalb mit dem Heimnetzwerk über IPv4 rede. Da könnte Traffic aus dem Tunnel leaken. Es wäre besser, wenn ich außen eine IPv6 habe, dann auch innerhalb IPv6 zu nutzen und vice versa.

Eine andere Idee wäre evtl. NTPv6 einzurichten. Wenn ich es richtig verstehe, könnte ich dann im Prinzip Konzepte aus der IPv4 Welt übernehmen. Ich habe mein privates IPv6 Netzwerk mit festen Adressen, für die ich Regeln aufstellen kann. Wenn jemand nach draußen sprechen will, managed der Router das irgendwie. Das irgendwie zeigt schon, dass ich noch nicht genau weiß, wie das funktioniert. Da gibt es dann auch gleich wieder Fragen, inwiweit man die Probleme von IPv4 erbt. Adresskonflikte bei VPN etc.

Mein Ziel wäre es, dass ich den Router und das VPN so konfiguriert bekomme, dass ich für meine Kommunikation in den verschiedenen Configs (Samba, Clientsoftware etc.) einfach nur noch den FQDN angebe. Und wenn ich im Netzwerk bin oder über VPN verbunden bin, dann geht das einfach. Die Details IPv4/6 hängen dann einfach davon ab, wie die Kommunikationspartner angebunden sind, ich brauche mir deswegen aber dann keinen Kopf mehr machen. An sich denke ich mir, das müsste doch möglich sein. Ich sehe bloß gerade nicht, wie ich das erreiche.
Mitglied: aqui
19.03.2021 um 10:38 Uhr
dass ich nicht davon ausgehen kann, ein statisches Präfix zu bekommen
Bei den meisten Dual Stack Providern kann man das formlos beantragen. Das wäre doch der allererste Schritt zu einer vernünftigen Lösung.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
19.03.2021, aktualisiert um 11:30 Uhr
Das meiste davon ist darauf zurückzuführen, dass ich nicht davon ausgehen kann, ein statisches Präfix zu bekommen und somit meine IPv6 Adressen sich ohne mein zu tun ändern können.
Na und wozu ein statisches Prefix? Das braucht es doch für die Firewall gar nicht. Via TrackInterface bekommen die VLANs das dynamische globale Prefix automatisch zugewiesen und die Firewall-Regeln basieren dann auf dem jeweiligen VLAN-Interface welches das Prefix inkludiert ... Du brauchst dich also nicht darum kümmern wenn sich das Prefix ändert ...

Gruß SK
Bitte warten ..
Mitglied: Simaryp
19.03.2021 um 11:49 Uhr
@aqui Ich kann natürlich bei meinem Provider anfragen. Aber auch wenn ich das statisch bekommen sollte, hat es den Nachteil, dass wenn alles darauf ausgelegt ist, das System zusammen bricht, wenn sich daran was ändert.

@147669
Angenommen ich habe in VLAN 1 Rechner A und in VLAN 2 Rechner B. Wenn ich jetzt eine Regel anlegen möchte, dass das einzige erlaubte Routing zwischen 1 und 2 die Abfrage von Rechner A an Rechner B über Port xy ist. Dann muss ich doch für diese Regel die IPs von A und B kennen.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
19.03.2021, aktualisiert um 12:02 Uhr
Zitat von @Simaryp:
@147669
Angenommen ich habe in VLAN 1 Rechner A und in VLAN 2 Rechner B. Wenn ich jetzt eine Regel anlegen möchte, dass das einzige erlaubte Routing zwischen 1 und 2 die Abfrage von Rechner A an Rechner B über Port xy ist. Dann muss ich doch für diese Regel die IPs von A und B kennen.
Nicht wirklich, auch das kannst du über Aliase abfackeln die man beim Update des Prefixes automatisch aktualisiert, und bei solchen in Frage kommenden Clients setzt man dann gleich EUI64, das sich die IPv6 aus der MAC Adresse zusamensetzt. PREFIX + EUI64 dann kennst du die IP und die Firewall-Regeln bleiben gleich da sie auf dem Alias basieren. Möglichkeiten gibt es da einige. Dafür ist es ja ne pfSense das kannst du ja scripten was das Zeug hält ;-) face-wink
Bitte warten ..
Mitglied: Simaryp
19.03.2021 um 12:13 Uhr
Beziehen sich deine Aussagen allgemein auf IPv6 oder auch auf die Umsetzung in OPNsense?

Ich habe dazu noch unter anderem das hier gefunden.
https://forum.opnsense.org/index.php?topic=9773.msg44620#msg44620

Wenn ich es richtig absehe, bedeutet das, ich kann in OPNsense Aliase anlegen, die sich auf die MAC Adresse des Geräts beziehen. Ich kann dann in der Firewall die IPv6 Regeln (und auch IPv4, dann wäre es agnostisch) über diese Aliase definieren und allen sonstigen Traffic dazwischen blocken. Bekomme ich eine neue IP spielt das für die Filterregeln keine Rolle, weil dies indirekt über die MAC Adressen definiert ist. Stimmt das so?

Wenn ich aber mein Samba Share oder meinen Medienserver statt über die IP und statisches Routing über server.localdomain erreichen möchte, dann muss ich ja auch sicherstellen, dass die IP in unbound aktualisiert wird. Ist das ein Problem?
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
19.03.2021 um 12:40 Uhr
Zitat von @Simaryp:

Beziehen sich deine Aussagen allgemein auf IPv6 oder auch auf die Umsetzung in OPNsense?
Beides.
Wenn ich es richtig absehe, bedeutet das, ich kann in OPNsense Aliase anlegen, die sich auf die MAC Adresse des Geräts beziehen.
Jepp
Ich kann dann in der Firewall die IPv6 Regeln (und auch IPv4, dann wäre es agnostisch) über diese Aliase definieren und allen sonstigen Traffic dazwischen blocken. Bekomme ich eine neue IP spielt das für die Filterregeln keine Rolle, weil dies indirekt über die MAC Adressen definiert ist. Stimmt das so?
Jepp.
Wenn ich aber mein Samba Share oder meinen Medienserver statt über die IP und statisches Routing über server.localdomain erreichen möchte, dann muss ich ja auch sicherstellen, dass die IP in unbound aktualisiert wird. Ist das ein Problem?
Nein, kannst du ja gleich miterledigen.
Bitte warten ..
Mitglied: Simaryp
19.03.2021 um 13:05 Uhr
Und wie ist das, wenn ich mich von außen einwähle?
Mein Verständnis ist, ich bekomme vom Wireguard dann eine (bzw. zwei) IPs für meinen Roadwarrior für das interne Netz.
Ich weiß nicht, ob die MAC Adresse dann sichtbar ist und OPNsense dann weiß, welcher Alias für den Roadwarrior gilt.

Hast du einen Link oder einen Hinweis, wo ich Infos bekomme, wie ich das in OPNsense richtig umsetze?
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
19.03.2021, aktualisiert um 16:18 Uhr
Zitat von @Simaryp:

Und wie ist das, wenn ich mich von außen einwähle?
Mein Verständnis ist, ich bekomme vom Wireguard dann eine (bzw. zwei) IPs für meinen Roadwarrior für das interne Netz.
Ich weiß nicht, ob die MAC Adresse dann sichtbar ist und OPNsense dann weiß, welcher Alias für den Roadwarrior gilt.
Die MAC brauchst du bei Wireguard nicht denn bei Wireguard musst du die internen IPs für die Clients sowieso manuell vergeben, sie bleiben also immer gleich, außer du willst den Wireguard Clients eine öffentliche statt einer Unique Local IPv6 verpassen, das erfordert dann etwas mehr Scripting-Aufwand.
Bitte warten ..
Mitglied: Simaryp
19.03.2021 um 17:31 Uhr
Aber mit einer ULA kann ich ja dann nicht ins Internet oder? Also braucht der Roadwarrior dann doch eine IPv6 mit dem globalen Prefix.

Das mit den mehreren Adressen pro Device habe ich auch noch nicht verstanden. Vielleicht ist ja auch das eine Lösung, dass ich die ganzen internen Regeln über ULAs mache, falls man diese fest vorgeben kann. Und dann die anderen Adressen nur mit den Standardregeln.
Aber ich habe das hier gefunden. https://forum.opnsense.org/index.php?topic=15529.0 Das wäre so ziemlich die Idee, aber die geht wohl wegen eines Bugs in OPNsense nicht.
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
19.03.2021, aktualisiert um 17:48 Uhr
Zitat von @Simaryp:

Aber mit einer ULA kann ich ja dann nicht ins Internet oder?
Nein.
Also braucht der Roadwarrior dann doch eine IPv6 mit dem globalen Prefix.
Wenn du mit dem das IPv6 Internet besuchen willst dann ja ansonsten nicht, er kann ja auch mit seiner IPv4 ins Netz wenn das reicht.

Das mit den mehreren Adressen pro Device habe ich auch noch nicht verstanden.
Ein Client kann problemlos mehrere IPv6 Adressen haben, der Client pickt sich die passende für die jeweilige Ausgabe raus, das ist kein Problem sondern das ist der Normalfall bei IPv6.
Lies dir doch einfach mal die IPv6 Grundlagen in Ruhe durch dann kommst du auch schneller dahinter.
Vielleicht ist ja auch das eine Lösung, dass ich die ganzen internen Regeln über ULAs mache, falls man diese fest vorgeben kann.
Selbstverständlich kannst du das mit ULAs machen das ist auch meist üblich, aber wenn die Clients das IPv6 Internet besuchen wollen brauchen sie nunmal auch eine globale Adresse.
Bitte warten ..
Mitglied: Simaryp
19.03.2021 um 18:14 Uhr
Und bekommt er die öffentliche dann automatisch zusätzlich? Ich hatte wie gesagt, schon mal die Aussage erhalten, dass es gut wäre, überall Dual Stack zu haben, damit ich nicht zum Beispiel IPv4 durch IPv6 oder vice versa tunnele.
Wenn die Aussage so nicht stimmt, ändert das natürlich einiges. Weil dann gibt es ja gar keine zwingende Notwendigkeit alle Regeln auch mit v6 abzubilden.

Wenn ich den Thread dort richtig verstanden habe, kann ich es aktuell bei OPNsense nicht mit ULAs lösen.

Wie gesagt, ich bin gar nicht festgefahren, wie ich das umsetze. Ich habe auch kein Problem damit, dass IPv6 teilweise andere Konzepte nutzt. Wie im Ausgangspost geschrieben geht es mir um eine Lösung zu finden, die die Anforderungen erfüllt. Geräte ansprechen können über FQDN, Regeln für den Zugang zum Internet und vom Internet rein, Regeln des Traffics zwischen den VLANs auf Device und Port Level, sichere Kommunikation über Wireguard und Nutzung meiner Heimdienste egal ob IPv4 oder v6, Nutzung meines unbound DNS Servers, Umsetzbarkeit mit OPNsense.

Ich dachte ursprünglich, dass sei wirklich ziemlich langweiliger Standardusecase. Aber ich finde leider wenig dazu, wie ich das umsetzen kann. Ich finde mehr Berichte über Probleme als Lösungen. Ich dachte erst das hier https://homenetworkguy.com/how-to/configure-ipv6-opnsense-with-isp-such- ... sei ganz hilfreich. Aber mit Android ist das mit DHCPv6 eher schwierig. Außerdem wird komplett die Umsetzung von inter-VLAN Routing ausgeklammert.
Bitte warten ..
Mitglied: aqui
19.03.2021, aktualisiert um 18:42 Uhr
Der Knackpunkt sind die wechselnden Prefixes die du als Consumer immer bekommst. Bei einem einfachen Consumer Anschluss gehen die Provider davon aus das der Kunde nur ein einziges lokales LAN hat. Welche v6 IP das hat ist dann Wumpe.
Ein etwas anspruchsvolleres bzw. segmentiertes v6 Netz dahinter erfordert üblicherweise einen festen v6 Prefix sofern du Traffic granular regeln willst. Den Prefix bekommt man auch in der Regel bei allen Providern ohne großen Aufwand. Mit dynmaischen Prefixes kannst du dann nur über die Alias Namen der Firewall filtern. Ala "vlanx_net" darf nicht zu "vlany_net". Sowie du aber Adress spezifisch wirst, wirds schwierig weil Firewalls eben nicht von dynamischen Netz Adressen ausgehen. Es gibt Hersteller die diese dynamischen Prefixe über Aliases weiterreichen aber ob die OPNsense sowas supportet kann ich nicht sagen.
Bitte warten ..
Mitglied: Simaryp
19.03.2021 um 20:33 Uhr
Oh man, ich bin gerade fassungslos.Ich bin easybell Kunde und ich habe damit ne Telekomleitung. Ich dachte ich hätte automatisch Dual Stack. Hatte ich damals bei 1&1 auch. Ich wollte gerade mal kurz IPv6 in der aktuellen Fritzbox aktvieren und schauen, wie lang das Präfix ist und ob es statisch ist....
Ich bekomme gar kein IPv6 :O.

So macht das natürlich gerade nicht viel Sinn weiter viel Energie rein zu stecken. Ist aber super unbefriedigend. Sollte ich mal wieder reisen können und bekomme nur IPv6, dann bin ich ja erst mal aufgeschmissen.

Ein bisschen reizt es mich auch zum Kabelanschluss zu wechseln. Wenn die liefern, was sie versprechen, gibt es jetzt hier 1000Mbit/s down und 50Mbit/s up. Da bräuchte ich wiederum aber unbedingt eine funktionierende v6 Konfiguration zu Hause, weil die ja nur DSlight haben.
Bitte warten ..
Mitglied: Visucius
20.03.2021, aktualisiert um 01:14 Uhr
Du scheinst mir der erste, der eine IPv4 für “Roadwarrior" als Problem ansieht. Die meisten Leute prügeln sich um ne IPv4 zu bekommen - gerade und immer wegen ner VPN-Verbindung.

... ein Glück, dass die alle nicht reisen ;-) face-wink
Bitte warten ..
Mitglied: 147669
147669 (Level 1)
20.03.2021, aktualisiert um 07:37 Uhr
Sollte ich mal wieder reisen können und bekomme nur IPv6, dann bin ich ja erst mal aufgeschmissen.
Zeig mir mal einen Provider der nur via IPv6 anbindet, administrator.de und viele andere die noch IPv4 only angebunden sind wären für dich dort ohne zusätzliche Maßnahmen nicht erreichbar, das wird wohl kaum ein Provider zum jetzigen Zeitpunkt riskieren, die haben alle zumindest noch ein CGN auf IPv4!
Außerdem, und wenn es sowas gäbe, lässt sich IPv4 auch problemlos innerhalb eines IPv6 Tunnels benutzen.
Also irgendwie scheinst du da noch einen Knoten im Hirn zu haben was IPv6 betrifft, hier läuft das schon Jahrelang im Dualstack und Probleme wie du sie schilderst kenne ich ehrlich gesagt nicht 🙃.
Bevor du also weiter so tun rätst würde ich dir mal empfehlen ein IPv6 Testnetz aufzusetzen und dich darin mal diesbezüglich auszutoben, das bringt mehr als sich davor zu drücken, so schwer ist das ganze nämlich nicht wenn man es dann mal geschnallt hat 😉. Dann ist der größte Unterschied die 6 hinter dem v.
Bitte warten ..
Mitglied: Simaryp
20.03.2021 um 12:01 Uhr
Seit 2019 sind die IPv4 Adressen ja aus. Ich habe gehört, dass es in anderen Ecken der Welt, mittlerweile eher IPv6 gibt als IPv4. Angenommen ich geh auf Dienstreise nach China, dann steh ich eventuell doof da. Und insbesondere dort, will ich VPN haben.
Das Ende von IPv4 wurde zwar schon tausendmal prophezeit und es geht momentan immer noch, aber anders als bei den Zeugen, wird das Ende wohl tatsächlich irgendwann kommen.

Das ich da nen Knoten im Kopf hab, mag durchaus sein. Ich wollte das halt alles gerne einigermaßen sicher durch konfigurieren, bevor ich das scharf schalte. Schon alleine deswegen, um Downtime zu Hause klein zu halten.

Da ich momentan ja gar keine IPv6 bekomme, ist es mit dem aktuellen Provider eh alles Mumpitz. Laut Aussage vom easybell Support haben die noch nicht mal Pläne, wann sie auf Dual Stack wechseln.

Ich werde meinen Router jetzt erst mal ohne v6 weiter einrichten. Und das nach hinten schieben. Wenn ich es richtig verstanden habe, sind die Defaultregeln ja auch erst mal sicher und wenn ich mal v6 zusätzlich bekomme, kann ich das dann auch im laufenden Betrieb einrichten. Wenn ich dann die Rechner alle im Netz habe und versuche mal per v6 zu Pingen über den FQDN, werde ich ja sehen, ob das klappt.

Wenn ich aber unter anderem den letzten Post hier lese https://github.com/opnsense/core/issues/2544, dann sieht es für mich schon so aus, dass es da reale Probleme in der Umsetzung gibt, die zum Teil gerade erst behoben werden.
Bitte warten ..
Mitglied: Simaryp
20.03.2021 um 12:03 Uhr
Naja, das liegt daran, dass man in Europa sehr sicher ne v4 bekommt, beziehungsweise, dass man aus nem DSlight Netzwerk heraus auch sein VPN mit v4 erreicht. Aber sobald du nur eine v6 erhältst, hast du das gleiche Problem bloß anders herum.

Ich wollte halt alles gleich so konfigurieren, dass es mir egal sein kann, was ich irgendwo bekomme.
Bitte warten ..
Mitglied: Lochkartenstanzer
20.03.2021 um 13:02 Uhr
Zitat von @Simaryp:

Angenommen ich geh auf Dienstreise nach China, dann steh ich eventuell doof da. Und insbesondere dort, will ich VPN haben.

Viel Glück. Das ist dort stark reglementiert! Da stehst Du vermutlich doof da, weil da u.U. gar kein VPN fuktioniert

lks
Bitte warten ..
Mitglied: Windows10Gegner
20.03.2021, aktualisiert um 18:28 Uhr
Nimm einen IPv6-Tunnel, bietet he.net kostenlos an und auf Anfrage auch größere Netze als /64, damit man jedem vlan mit Endgeräten ein /64 zuweisen kann, damit EUI64 tut.
https://tunnelbroker.net/
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Off Topic
Microsoft und der (leidige) Datenschutz
Franz-Josef-IIVor 1 TagAllgemeinOff Topic18 Kommentare

Hello Ich möchte vorausschicken, daß ich rein prinzipiell nichts gegen Microsoft habe, eher gegen die US-amerikanische Politik 😊 Microsoft bietet die Datenverarbeitung in der ...

Off Topic
32 bit Problem
brammerVor 1 TagAllgemeinOff Topic9 Kommentare

Hallo, also das ist mal ein Problem das ich auch haben möchte eine Aktie ist mehr Wert als das die Börsensoftware darstellen kann. brammer

Hardware
Thin- oder Zero-Client für RDP und Dual-Monitor im LAN gesucht
FestplattenaufzieherVor 1 TagFrageHardware9 Kommentare

Hallo, Kurzfassung meiner Frage: Ich suche Thin/Zero-Clients (4 Stück) mit Dual-Monitor-Unterstützung für den RDP-Zugriff auf PCs in einem LAN - idealerweise lautlos und relativ ...

Windows Server
Lizenzen für Virtualisierungshost
TakworianVor 11 StundenFrageWindows Server15 Kommentare

Hallo, ich werde demnächst einen HA-Cluster aus 3 x HP DL580 in Betrieb nehmen. Der Cluster wird unter Proxmox betrieben und es sollen diverse ...

Windows 10
Windows 10 2021-04 end of life?
gelöst Paedi12Vor 1 TagFrageWindows 103 Kommentare

Hi Leute! Ich bin gerade auf der Suche, wie lange die Windows Version 2021-04 unterstützt wird. Kann aber nichts finden. Hat jemand eine Ahnung, ...

Switche und Hubs
Netgear Switch Problem bei VLAN Konfiguration
gelöst meltersVor 1 TagFrageSwitche und Hubs15 Kommentare

Hallo, ich habe einen Netgear XS716T Switch zum Testen in Betrieb genommen, komme aber mit der VLAN Konfiguration nicht so ganz klar. Bislang habe ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...