24
IPv6 opnsense + DHCP Cisco SG350
Hallo Zusammen,
ich möchte gerne in meinem LAN IPv6 einrichten. Die opnsense habe ich soweit eingerichtet, dass der LAN-Adapter eine IPv6-Adresse erhält und hierüber auch ein ping ins Internet möglich ist.
Wenn ich das weitere vorgehen richtig verstanden habe, müsste ich jetzt meinen DHCP-Server sagen, dass er auch entsprechende IPv6-Adressen vergibt, oder?
Aber hab hier komme ich nicht so ganz weiter:
Bei IPv4 weise ich feste IPs über die MAC-Adresse zu. Dadurch dass ich dynamische IPv6 Prefix erhalte, geht das unter IPv6 nicht mehr, oder?
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Erst dachte ich das es ja egal ist, da die IPv4 Adressen entsprechen mit andern VLANs gemäß der ACL "reden" dürfen. Aber sobald ein Gerät eine IPv6 Adresse hat, wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.
Außerdem nutze ich den DHCP vom SG350. Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?
opnsense --- sg 350 --- VLAN([1-8]0)
SG350:
DHCP
ACLs
VLAN-Verwaltung
L3-Switch
Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten oder brauche ich da den Geschäftskundenanschluss?
Ich denke man merkt, dass ich kein Profi bin und mal einen zeig in die richtige Richtung brauche
ich möchte gerne in meinem LAN IPv6 einrichten. Die opnsense habe ich soweit eingerichtet, dass der LAN-Adapter eine IPv6-Adresse erhält und hierüber auch ein ping ins Internet möglich ist.
Wenn ich das weitere vorgehen richtig verstanden habe, müsste ich jetzt meinen DHCP-Server sagen, dass er auch entsprechende IPv6-Adressen vergibt, oder?
Aber hab hier komme ich nicht so ganz weiter:
Bei IPv4 weise ich feste IPs über die MAC-Adresse zu. Dadurch dass ich dynamische IPv6 Prefix erhalte, geht das unter IPv6 nicht mehr, oder?
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Erst dachte ich das es ja egal ist, da die IPv4 Adressen entsprechen mit andern VLANs gemäß der ACL "reden" dürfen. Aber sobald ein Gerät eine IPv6 Adresse hat, wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.
Außerdem nutze ich den DHCP vom SG350. Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?
opnsense --- sg 350 --- VLAN([1-8]0)
SG350:
DHCP
ACLs
VLAN-Verwaltung
L3-Switch
Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten oder brauche ich da den Geschäftskundenanschluss?
Ich denke man merkt, dass ich kein Profi bin und mal einen zeig in die richtige Richtung brauche
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1604854599
Url: https://administrator.de/contentid/1604854599
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
24 Kommentare
Neuester Kommentar
geht das unter IPv6 nicht mehr, oder?
Richtig !Dazu kommen die Privacy Extension bei IPv6: https://de.wikipedia.org/wiki/IPv6#Adressaufbau_von_IPv6
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Mit "ACL" meinst du damit die Firewall Regeln, sprich du routest auf der Firewall mit einem Layer 2 Switch wie hier beschrieben ?Oder routest du mit einem Layer_3_Konzept und nutzt ACLs auf dem L3 Switch. Hier bist du leider etwas unklar in deiner Beschreibung ? Du solltest generell erstmal klären welches Konzept du hier umgesetzt hast damit es hier nicht zu Verwirrungen kommt ?!
wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.
Das hängt immer von deinem IPv6 Regelwerk oder ACLs ab. v4 Regeln haben natürlich mit einer v6 Kommunikation gar nichts zu tun.Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?
Ja, aber nur für die v6 Management IP.Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten
Ja.Tip zum schlau machen mit IPv6 ist etwas kostenlose Literatur mit gutem Praxis Bezug:
https://danrl.com/ipv6/
Lesen und verstehen...!
Hallo aqui,
Danke für die Antwort und den Link. Werde ich mir mal anschauen. Dazu habe ich auch diesen gerade gefunden (https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ..)
Richtig, der Switch arbeitet als L3 und übernimmt das Routing. Ich dachte das hätte ich am ende geschrieben.
Bedeutet ich kann den DHCP-Server des SG350 für IPv6 nicht verwenden?
Jetzt lese ich aber erst mal und schreibe dann wieder ;)
Danke für die Antwort und den Link. Werde ich mir mal anschauen. Dazu habe ich auch diesen gerade gefunden (https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ..)
Oder routest du mit einem Layer_3_Konzept und nutzt ACLs aus dem L3 Switch
Richtig, der Switch arbeitet als L3 und übernimmt das Routing. Ich dachte das hätte ich am ende geschrieben.
Ja, aber nur für die v6 Management IP.
Bedeutet ich kann den DHCP-Server des SG350 für IPv6 nicht verwenden?
Jetzt lese ich aber erst mal und schreibe dann wieder ;)
Ok, mein erster versuch wie ich jetzt weiter vorgehen würde:
SG350 ist mittels VLAN80 an die OPN-Sense "angebunden"
172.16.80.254 (VLAN80) <--> 172.16.80.1(LAN-Port) in der IPv4 Welt.
Als nächstes möchte ich versuchen dem VLAN80 Interface auf dem SG350 auch eine IPv6 zuzugeben. Dazu habe ich in der OPNSense den DHCPv6-Dienst entsprechend auf dem LAN-Port eingerichtet.
Jetzt müsste ich doch noch dem VLAN80 Interface sagen, dass es mittels DHCP eine IPv6-Adresse von der OPNSense bekommt, oder? Und das gleiche dann auch für alle anderen VLAN-Interfaces.
An welcher Stelle kann ich dann festlegen wie die Adressen für die Interfaces lauten sollen?
Der delegated prefix bei mir sieht aktuell so aus: 2003:c5:XXXX:9200::/56
Für die VLANS sollen dann entsprechend 2003:c5:XXXX:92YY::/64 Adressen vergeben werden.
Anschließen muss ich noch die Routen für IPv6 setzen. Aber diese müssen doch auch dynamisch sein, da diese sich ja auch ändern wenn sich der Prefix ändert. Es ist alles sehr verwirrend.... :D
Oder muss ich hier mit den link-local Adressen arbeiten?
SG350 ist mittels VLAN80 an die OPN-Sense "angebunden"
172.16.80.254 (VLAN80) <--> 172.16.80.1(LAN-Port) in der IPv4 Welt.
Als nächstes möchte ich versuchen dem VLAN80 Interface auf dem SG350 auch eine IPv6 zuzugeben. Dazu habe ich in der OPNSense den DHCPv6-Dienst entsprechend auf dem LAN-Port eingerichtet.
Jetzt müsste ich doch noch dem VLAN80 Interface sagen, dass es mittels DHCP eine IPv6-Adresse von der OPNSense bekommt, oder? Und das gleiche dann auch für alle anderen VLAN-Interfaces.
An welcher Stelle kann ich dann festlegen wie die Adressen für die Interfaces lauten sollen?
Der delegated prefix bei mir sieht aktuell so aus: 2003:c5:XXXX:9200::/56
Für die VLANS sollen dann entsprechend 2003:c5:XXXX:92YY::/64 Adressen vergeben werden.
Anschließen muss ich noch die Routen für IPv6 setzen. Aber diese müssen doch auch dynamisch sein, da diese sich ja auch ändern wenn sich der Prefix ändert. Es ist alles sehr verwirrend.... :D
Oder muss ich hier mit den link-local Adressen arbeiten?
Bedeutet ich kann den DHCP-Server des SG350 für IPv6 nicht verwenden?
Bei Prefix Delegation und einem wechselnden v6 Prefix wird das eine Herausforderung...auf dem SG350 auch eine IPv6 zuzugeben.
Das sollte problemlos klappen wenn du den DHCPv6 Client im Adress Setup aktivierst.Jetzt müsste ich doch
Jepp...An welcher Stelle kann ich dann festlegen wie die Adressen für die Interfaces lauten sollen?
Bei einem wechselnden Prefix vom Provider ?? Du kannst das statisch setzen musst aber sobald der Prefix wechselt das dann anpassen. Du bekommst ja mit Prefix Delegation immer und immer wieder ein neues v6 Netz vom Provider.Das muss dein Router/Firewall dann intern auch wieder per PD mit einem kleineren Prefix weiterverteilen. Sprich deine internen Router müssen auch wieder PD machen.
Aber diese müssen doch auch dynamisch sein
Genau das ist die Problematik mit PD....Oder muss ich hier mit den link-local Adressen arbeiten?
Nein. Was du machen kannst ist mit Unique Locals fc00::/7 zu arbeiten aber dann musst du NAT ins öffentliche v6 Internet machen mit all den NAT Nachteilen. Normal gibt es ja kein NAT im v6 Umfeld.Lass dir vom Provider einen statischen v6 Prefix zuteilen ! Das löst alle dann deine "Probleme" auf Schlag.
Lass dir vom Provider einen statischen v6 Prefix zuteilen ! Das löst alle dann deine "Probleme" auf Schlag.
Das scheint bei einem Magenta M für Privatkunden nicht möglich zu sein...
Scheint oder ist ?? Konjunktiv ist in der IT nie gut !
Bei dir muss man immer sehr genau sein find ich gut.
Im Privatkundentarif ist kein statischer Prefix möglich.
Ich hatte überlegt den DHCP-Server der OPN-Sense zu nutzen um so das Problem zu umgehen. Aber auf den zweiten Gedanken bringt das ja dann auch nichts, da ich die ACL-Regeln im SG350 ja nicht auf die einzelnen Geräte anpassen kann
Gibt es noch eine andere Möglichkeit um an IPv6 zu kommen (ohne einen teureren Business-Tarif zu buchen)
find ich gut.Im Privatkundentarif ist kein statischer Prefix möglich.
Ich hatte überlegt den DHCP-Server der OPN-Sense zu nutzen um so das Problem zu umgehen. Aber auf den zweiten Gedanken bringt das ja dann auch nichts, da ich die ACL-Regeln im SG350 ja nicht auf die einzelnen Geräte anpassen kann
Gibt es noch eine andere Möglichkeit um an IPv6 zu kommen (ohne einen teureren Business-Tarif zu buchen)
Gibt es noch eine andere Möglichkeit um an IPv6 zu kommen
Ja die gibt es !Du richtest dir einen v6 in v4 Tunnel via HE ein, da bekommst du immer einen festen v6 Prefix !
Die o.a. angegebene kostenfreie v6 Literatur beschreibt sowas im Detail.
https://tunnelbroker.net
https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.ht ...
Guten Morgen. Danke für den Link.
Ich habe mir einen IPv6 Tunnel eingerichtet. Die OPN-Sense, der Router und mein PC haben auch schon IPv6 Adressen bekommen. Diese kann ich auch alle gegenseitig anpingen:
PC <--> SG350 <--> OPN-Sense
Von der OPN-Sense kann ich auch ins Internet pingen.
Aber alles was danach kommt, klappt noch nicht. Ich bin mir nicht sicher, ob es an der Firewall liegt oder an den Routen.
In der OPN-Sense habe ich eine Default-Route auf das Tunnelinterface gesetzt:
::/0 TUNNELBROKER_TUNNELV6 - 2001:470:xxxx:xxx::1
Brauche ich dann nicht noch eine Route in die andere Richtung:
Tunnel --> SG350 ?
Hatte ich ohne Erfolg versucht
Edit:
Bisher habe ich eine Route für mein 64-Subnetz, welches ich aus dem 48er abgeleitet habe:
2001:470:XXXX::/64 -> LAN_GWv6 - 2001:470:XXXX:XXXX:254
Ich habe mir einen IPv6 Tunnel eingerichtet. Die OPN-Sense, der Router und mein PC haben auch schon IPv6 Adressen bekommen. Diese kann ich auch alle gegenseitig anpingen:
PC <--> SG350 <--> OPN-Sense
Von der OPN-Sense kann ich auch ins Internet pingen.
Aber alles was danach kommt, klappt noch nicht. Ich bin mir nicht sicher, ob es an der Firewall liegt oder an den Routen.
In der OPN-Sense habe ich eine Default-Route auf das Tunnelinterface gesetzt:
::/0 TUNNELBROKER_TUNNELV6 - 2001:470:xxxx:xxx::1
Brauche ich dann nicht noch eine Route in die andere Richtung:
Tunnel --> SG350 ?
Hatte ich ohne Erfolg versucht
Edit:
Bisher habe ich eine Route für mein 64-Subnetz, welches ich aus dem 48er abgeleitet habe:
2001:470:XXXX::/64 -> LAN_GWv6 - 2001:470:XXXX:XXXX:254
Kleines Update:
Ich hatte eben vergessen den Ping vom SG350 aus zu testen.
Hier kann ich von Koppel-VLAN (VLAN80) ins Internet pingen. Somit sind die Routen + FW ja richtig eingestellt.
2001:470:XXXX:80::254
Aber aus dem VLAN40 kann ich nicht ins Internet pingen.
2001:470:XXXX:40::254
Die OPN-Sense ist erreichbar
2001:470:XXXX:80::1
Ich hatte eben vergessen den Ping vom SG350 aus zu testen.
Hier kann ich von Koppel-VLAN (VLAN80) ins Internet pingen. Somit sind die Routen + FW ja richtig eingestellt.
2001:470:XXXX:80::254
Aber aus dem VLAN40 kann ich nicht ins Internet pingen.
2001:470:XXXX:40::254
Die OPN-Sense ist erreichbar
2001:470:XXXX:80::1
Jetzt geht es!
Ich hatte in der OPN-Sense keine Route für das /64-Netz von HE gesetzt. Nachdem ich das hinzugefügt hatte, funktioniert alles. Jetzt kommt der Ping aus dem VLAN40 auch ins Internet.
Ich hatte in der OPN-Sense keine Route für das /64-Netz von HE gesetzt. Nachdem ich das hinzugefügt hatte, funktioniert alles. Jetzt kommt der Ping aus dem VLAN40 auch ins Internet.
funktioniert alles. Jetzt kommt der Ping aus dem VLAN40 auch ins Internet.
👍
Jetzt habe ich doch nochmal eine Nachfrage.
Mit dem Tunnelbroker klappt soweit alles. Nur bekomme ich häufig das Problem, dass ich eine Geolokalisierung außerhalb von DEU bekomme. Als Tunnel bei HE hatte ich Frankfurt ausgewählt.
Oder ergibt sich das aus dem /32 Block und ich lande daher in den USA?
Ich hatte hier wohl den Denkfehler das Frankfurt der Tunnelausgang wäre?
Mit dem Tunnelbroker klappt soweit alles. Nur bekomme ich häufig das Problem, dass ich eine Geolokalisierung außerhalb von DEU bekomme. Als Tunnel bei HE hatte ich Frankfurt ausgewählt.
Oder ergibt sich das aus dem /32 Block und ich lande daher in den USA?
Ich hatte hier wohl den Denkfehler das Frankfurt der Tunnelausgang wäre?
Du hast es richtig erkannt. HE ist ein US Unternehmen. Klar das die von der IANA dann auch ein US Adressblock bekommen, da spielt es dann geografisch keine Rolle wo das Unternehmen dann seine IP Adressen einsetzt.
Ich hatte hier wohl den Denkfehler das Frankfurt der Tunnelausgang wäre?
Nein, kein Denkfehler, der ist da natürlich auch. Aber eben mit US IP Adressen
Gibt es denn auch Tunnelbroker mit DE Adressen? Irgendwie habe ich da keine gefunden(https://de.wikipedia.org/wiki/Liste_von_IPv6-Tunnelbrokern).
Andere Idee:
Einen externen Server nutzen.
In etwa:
OPN-Sense mittels Wireguard auf dem Server verbinden
Dessen /64 aufteilen und dann damit die VLANs versorgen
Auf dem Server entsprechendes Routing erlauben.
Oder ist es "so einfach" nicht möglich?
Edit:
Bei https://www.tunnelbroker.ch scheint es eine DE Adresse zu geben. Muss ich mir mal genau anschauen
Andere Idee:
Einen externen Server nutzen.
In etwa:
OPN-Sense mittels Wireguard auf dem Server verbinden
Dessen /64 aufteilen und dann damit die VLANs versorgen
Auf dem Server entsprechendes Routing erlauben.
Oder ist es "so einfach" nicht möglich?
Edit:
Bei https://www.tunnelbroker.ch scheint es eine DE Adresse zu geben. Muss ich mir mal genau anschauen
Geht natürlich auch. Aber dazu brauchst du wieder einen fixen v6 Prefix.
EU Tunnelbroker müsste man mal Dr. Google fragen.
EU Tunnelbroker müsste man mal Dr. Google fragen.
Ich dachte ich baue den Tunnel über IPv4 auf und Nutze dann das /64 Netz als Präfix und leite daraus alles weitere ab. Oder ginge das nicht. Dann habe ich es wohl doch noch nicht so richtig verstanden....
Doch doch das ginge aber du routest ja über den Tunnel und machst kein Bridging, vergiss das nicht. Dein Tunnelnetz ist also ein IP Netz und dahinter ist dann dein /64er Zielnetz. Oder du musst das /64er weiter subnetten was aber nicht unproblematisch ist.
Du brauchst dafür dann natürlich auch ein festes IPv6 Netz. Mit dynamischen Prefixes hättest du ja wieder das gleiche Problem wie oben.
Du brauchst dafür dann natürlich auch ein festes IPv6 Netz. Mit dynamischen Prefixes hättest du ja wieder das gleiche Problem wie oben.
Hm, irgendwie verstehe ich das noch nicht so ganz.
Ich baue über IPv4 den Tunnel zum Server auf. Das ganze nennt sich doch dann "6in4", oder?
Aber das lokale IPv6 Netz muss dann ein anders sein als das auf dem Server?
Bei HE habe ich doch auch ein /64 Netz? (Aber zusätzlich noch das /48, welches ich lokal verwende)
Somit bräuchte ich auf dem Server ein weiteres /64 Netz.
Sind meine Gedankengänge grundsätzlich richtig oder völlig verdreht?
Ich baue über IPv4 den Tunnel zum Server auf. Das ganze nennt sich doch dann "6in4", oder?
Aber das lokale IPv6 Netz muss dann ein anders sein als das auf dem Server?
Bei HE habe ich doch auch ein /64 Netz? (Aber zusätzlich noch das /48, welches ich lokal verwende)
Somit bräuchte ich auf dem Server ein weiteres /64 Netz.
Sind meine Gedankengänge grundsätzlich richtig oder völlig verdreht?
Du redest von einem öffentlichen vServer, oder ? Nicht das wir jetzt aneinander vorbeireden...
Der hat ja dann grundsätzlich erstmal eine öffentliche v6 IP des Hosters an seiner NIC.
Da willst du ja dann irgendwie dein v6 Subnetz ranbringen, oder ?
Dann bräuchtest du ja keinen Tunnel mehr sondern kannst vom Hoster einem weiteren statischen v6 Prefix aus seinem Pool bekommen.
Oder ich hab dich jetzt irgendwie missverstanden was du vorhast ?!
Der hat ja dann grundsätzlich erstmal eine öffentliche v6 IP des Hosters an seiner NIC.
Da willst du ja dann irgendwie dein v6 Subnetz ranbringen, oder ?
Dann bräuchtest du ja keinen Tunnel mehr sondern kannst vom Hoster einem weiteren statischen v6 Prefix aus seinem Pool bekommen.
Oder ich hab dich jetzt irgendwie missverstanden was du vorhast ?!
Na vielleicht bin ich das etwas wirr geworden ;)
Folgendes habe ich vor:
Mein (V)LAN <--> opn-sense <--> tunnel <--> Vserver <--> Internet
Am VServer 2 Ipv6 /64 - Netze sind kein Problem.
Ein Netz am Server und ein Netz, welches ich im meinem lokalem Netz verwende.
Ziel ist es IPv6 ohne einen Tunnelbroker
Folgendes habe ich vor:
Mein (V)LAN <--> opn-sense <--> tunnel <--> Vserver <--> Internet
Am VServer 2 Ipv6 /64 - Netze sind kein Problem.
Ein Netz am Server und ein Netz, welches ich im meinem lokalem Netz verwende.
Ziel ist es IPv6 ohne einen Tunnelbroker
OK, das geht natürlich. Du brauchst dann aber 3 IPv6 Netze:
- Das an der vServer NIC (kommt vom Provider)
- Das v6 Tunnelnetz
- das lokale v6 VLAN
Ah, ich sehe meinen Denkfehler:
1. /64-Netz an der NIC.
2. /64-Netz als Tunnelnetz. Dieses Wollte ich weiter aufteilen (/80 Subnetze)
Damit kann ich mir dann aber kein /64 Netz lokal machen.
Daher das dritte /64 Netz.
Soweit richtig?
Kann ich denn nicht einfach aus dem /64 Netz einfach z.B. /72 Netze erstellen und dann für das Tunnelnetz + NIC verwenden?
Am dedicated Server hätte ich ein /64 Netz an der NIC und Kann ein weiteres /56 Netz bekommen
Das könnte ich in weitere /64 Netze aufteilen und daraus das Tunnelnetz erstellen sowie meine VLAN versorgen.
1. /64-Netz an der NIC.
2. /64-Netz als Tunnelnetz. Dieses Wollte ich weiter aufteilen (/80 Subnetze)
Damit kann ich mir dann aber kein /64 Netz lokal machen.
Daher das dritte /64 Netz.
Soweit richtig?
Kann ich denn nicht einfach aus dem /64 Netz einfach z.B. /72 Netze erstellen und dann für das Tunnelnetz + NIC verwenden?
Am dedicated Server hätte ich ein /64 Netz an der NIC und Kann ein weiteres /56 Netz bekommen
Das könnte ich in weitere /64 Netze aufteilen und daraus das Tunnelnetz erstellen sowie meine VLAN versorgen.
Das ist richtig. Wenn du dein /64er Netz weiter subnettest ist das /64 ja keins mehr...einfache Logik !
Jepp, das geht ebenso.
Kann ich denn nicht einfach aus dem /64 Netz einfach z.B. /72 Netze erstellen
Das kannst du natürlich machen. Auch /80er...da bist du ja frei. Bei Masken größer als /64 funktioniert dann aber keine Auto Konfiguration, EUI64 usw. mehr. Das solltest du beachten. Siehe dazu auch RFC 7421Kann ein weiteres /56 Netz bekommen
Das könnte ich in weitere /64 Netze aufteilen und daraus das Tunnelnetz erstellen sowie meine VLAN versorgen.Jepp, das geht ebenso.
