darkness08
Goto Top

IPv6 opnsense + DHCP Cisco SG350

Hallo Zusammen,

ich möchte gerne in meinem LAN IPv6 einrichten. Die opnsense habe ich soweit eingerichtet, dass der LAN-Adapter eine IPv6-Adresse erhält und hierüber auch ein ping ins Internet möglich ist.

Wenn ich das weitere vorgehen richtig verstanden habe, müsste ich jetzt meinen DHCP-Server sagen, dass er auch entsprechende IPv6-Adressen vergibt, oder?

Aber hab hier komme ich nicht so ganz weiter:

Bei IPv4 weise ich feste IPs über die MAC-Adresse zu. Dadurch dass ich dynamische IPv6 Prefix erhalte, geht das unter IPv6 nicht mehr, oder?
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Erst dachte ich das es ja egal ist, da die IPv4 Adressen entsprechen mit andern VLANs gemäß der ACL "reden" dürfen. Aber sobald ein Gerät eine IPv6 Adresse hat, wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.

Außerdem nutze ich den DHCP vom SG350. Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?

opnsense --- sg 350 --- VLAN([1-8]0)


SG350:
DHCP
ACLs
VLAN-Verwaltung
L3-Switch

Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten oder brauche ich da den Geschäftskundenanschluss?


Ich denke man merkt, dass ich kein Profi bin und mal einen zeig in die richtige Richtung brauche face-smile

Content-ID: 1604854599

Url: https://administrator.de/forum/ipv6-opnsense-dhcp-cisco-sg350-1604854599.html

Ausgedruckt am: 27.12.2024 um 07:12 Uhr

aqui
aqui 10.12.2021 aktualisiert um 09:49:47 Uhr
Goto Top
geht das unter IPv6 nicht mehr, oder?
Richtig !
Dazu kommen die Privacy Extension bei IPv6: https://de.wikipedia.org/wiki/IPv6#Adressaufbau_von_IPv6
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Mit "ACL" meinst du damit die Firewall Regeln, sprich du routest auf der Firewall mit einem Layer 2 Switch wie hier beschrieben ?
Oder routest du mit einem Layer_3_Konzept und nutzt ACLs auf dem L3 Switch. Hier bist du leider etwas unklar in deiner Beschreibung ? Du solltest generell erstmal klären welches Konzept du hier umgesetzt hast damit es hier nicht zu Verwirrungen kommt ?!
wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.
Das hängt immer von deinem IPv6 Regelwerk oder ACLs ab. v4 Regeln haben natürlich mit einer v6 Kommunikation gar nichts zu tun.
Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?
Ja, aber nur für die v6 Management IP.
Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten
Ja.

Tip zum schlau machen mit IPv6 ist etwas kostenlose Literatur mit gutem Praxis Bezug:
https://danrl.com/ipv6/
Lesen und verstehen...! face-wink
darkness08
darkness08 10.12.2021 um 09:57:32 Uhr
Goto Top
Hallo aqui,

Danke für die Antwort und den Link. Werde ich mir mal anschauen. Dazu habe ich auch diesen gerade gefunden (https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ..)

Oder routest du mit einem Layer_3_Konzept und nutzt ACLs aus dem L3 Switch

Richtig, der Switch arbeitet als L3 und übernimmt das Routing. Ich dachte das hätte ich am ende geschrieben.

Ja, aber nur für die v6 Management IP.

Bedeutet ich kann den DHCP-Server des SG350 für IPv6 nicht verwenden?

Jetzt lese ich aber erst mal und schreibe dann wieder ;)
darkness08
darkness08 10.12.2021 aktualisiert um 12:53:16 Uhr
Goto Top
Ok, mein erster versuch wie ich jetzt weiter vorgehen würde:

SG350 ist mittels VLAN80 an die OPN-Sense "angebunden"
172.16.80.254 (VLAN80) <--> 172.16.80.1(LAN-Port) in der IPv4 Welt.

Als nächstes möchte ich versuchen dem VLAN80 Interface auf dem SG350 auch eine IPv6 zuzugeben. Dazu habe ich in der OPNSense den DHCPv6-Dienst entsprechend auf dem LAN-Port eingerichtet.

Jetzt müsste ich doch noch dem VLAN80 Interface sagen, dass es mittels DHCP eine IPv6-Adresse von der OPNSense bekommt, oder? Und das gleiche dann auch für alle anderen VLAN-Interfaces.
An welcher Stelle kann ich dann festlegen wie die Adressen für die Interfaces lauten sollen?


Der delegated prefix bei mir sieht aktuell so aus: 2003:c5:XXXX:9200::/56

Für die VLANS sollen dann entsprechend 2003:c5:XXXX:92YY::/64 Adressen vergeben werden.

Anschließen muss ich noch die Routen für IPv6 setzen. Aber diese müssen doch auch dynamisch sein, da diese sich ja auch ändern wenn sich der Prefix ändert. Es ist alles sehr verwirrend.... :D

Oder muss ich hier mit den link-local Adressen arbeiten?
aqui
aqui 10.12.2021 aktualisiert um 14:27:16 Uhr
Goto Top
Bedeutet ich kann den DHCP-Server des SG350 für IPv6 nicht verwenden?
Bei Prefix Delegation und einem wechselnden v6 Prefix wird das eine Herausforderung...
auf dem SG350 auch eine IPv6 zuzugeben.
Das sollte problemlos klappen wenn du den DHCPv6 Client im Adress Setup aktivierst.
Jetzt müsste ich doch
Jepp...
An welcher Stelle kann ich dann festlegen wie die Adressen für die Interfaces lauten sollen?
Bei einem wechselnden Prefix vom Provider ?? Du kannst das statisch setzen musst aber sobald der Prefix wechselt das dann anpassen. Du bekommst ja mit Prefix Delegation immer und immer wieder ein neues v6 Netz vom Provider.
Das muss dein Router/Firewall dann intern auch wieder per PD mit einem kleineren Prefix weiterverteilen. Sprich deine internen Router müssen auch wieder PD machen.
Aber diese müssen doch auch dynamisch sein
Genau das ist die Problematik mit PD....
Oder muss ich hier mit den link-local Adressen arbeiten?
Nein. Was du machen kannst ist mit Unique Locals fc00::/7 zu arbeiten aber dann musst du NAT ins öffentliche v6 Internet machen mit all den NAT Nachteilen. Normal gibt es ja kein NAT im v6 Umfeld.
Lass dir vom Provider einen statischen v6 Prefix zuteilen ! Das löst alle dann deine "Probleme" auf Schlag.
darkness08
darkness08 10.12.2021 um 15:16:21 Uhr
Goto Top
Lass dir vom Provider einen statischen v6 Prefix zuteilen ! Das löst alle dann deine "Probleme" auf Schlag.

Das scheint bei einem Magenta M für Privatkunden nicht möglich zu sein...
aqui
aqui 11.12.2021 um 12:40:54 Uhr
Goto Top
Scheint oder ist ?? Konjunktiv ist in der IT nie gut ! face-wink
darkness08
darkness08 12.12.2021 um 12:48:36 Uhr
Goto Top
Bei dir muss man immer sehr genau sein face-smile find ich gut.

Im Privatkundentarif ist kein statischer Prefix möglich.

Ich hatte überlegt den DHCP-Server der OPN-Sense zu nutzen um so das Problem zu umgehen. Aber auf den zweiten Gedanken bringt das ja dann auch nichts, da ich die ACL-Regeln im SG350 ja nicht auf die einzelnen Geräte anpassen kann

Gibt es noch eine andere Möglichkeit um an IPv6 zu kommen (ohne einen teureren Business-Tarif zu buchen)
aqui
Lösung aqui 12.12.2021 um 14:12:52 Uhr
Goto Top
Gibt es noch eine andere Möglichkeit um an IPv6 zu kommen
Ja die gibt es !
Du richtest dir einen v6 in v4 Tunnel via HE ein, da bekommst du immer einen festen v6 Prefix !
Die o.a. angegebene kostenfreie v6 Literatur beschreibt sowas im Detail.
https://tunnelbroker.net
https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.ht ...
darkness08
darkness08 13.12.2021 aktualisiert um 10:15:14 Uhr
Goto Top
Guten Morgen. Danke für den Link.

Ich habe mir einen IPv6 Tunnel eingerichtet. Die OPN-Sense, der Router und mein PC haben auch schon IPv6 Adressen bekommen. Diese kann ich auch alle gegenseitig anpingen:

PC <--> SG350 <--> OPN-Sense

Von der OPN-Sense kann ich auch ins Internet pingen.

Aber alles was danach kommt, klappt noch nicht. Ich bin mir nicht sicher, ob es an der Firewall liegt oder an den Routen.

In der OPN-Sense habe ich eine Default-Route auf das Tunnelinterface gesetzt:

::/0 TUNNELBROKER_TUNNELV6 - 2001:470:xxxx:xxx::1

Brauche ich dann nicht noch eine Route in die andere Richtung:

Tunnel --> SG350 ?

Hatte ich ohne Erfolg versucht

Edit:

Bisher habe ich eine Route für mein 64-Subnetz, welches ich aus dem 48er abgeleitet habe:

2001:470:XXXX::/64 -> LAN_GWv6 - 2001:470:XXXX:XXXX:254
darkness08
darkness08 13.12.2021 um 10:33:46 Uhr
Goto Top
Kleines Update:

Ich hatte eben vergessen den Ping vom SG350 aus zu testen.

Hier kann ich von Koppel-VLAN (VLAN80) ins Internet pingen. Somit sind die Routen + FW ja richtig eingestellt.

2001:470:XXXX:80::254

Aber aus dem VLAN40 kann ich nicht ins Internet pingen.

2001:470:XXXX:40::254

Die OPN-Sense ist erreichbar

2001:470:XXXX:80::1
darkness08
darkness08 13.12.2021 um 10:48:12 Uhr
Goto Top
Jetzt geht es!


Ich hatte in der OPN-Sense keine Route für das /64-Netz von HE gesetzt. Nachdem ich das hinzugefügt hatte, funktioniert alles. Jetzt kommt der Ping aus dem VLAN40 auch ins Internet.
aqui
aqui 13.12.2021 um 14:42:23 Uhr
Goto Top
funktioniert alles. Jetzt kommt der Ping aus dem VLAN40 auch ins Internet.
👍
darkness08
darkness08 15.12.2021 um 09:40:57 Uhr
Goto Top
Jetzt habe ich doch nochmal eine Nachfrage.

Mit dem Tunnelbroker klappt soweit alles. Nur bekomme ich häufig das Problem, dass ich eine Geolokalisierung außerhalb von DEU bekomme. Als Tunnel bei HE hatte ich Frankfurt ausgewählt.

Oder ergibt sich das aus dem /32 Block und ich lande daher in den USA?
Ich hatte hier wohl den Denkfehler das Frankfurt der Tunnelausgang wäre?
aqui
aqui 15.12.2021 um 10:06:52 Uhr
Goto Top
Du hast es richtig erkannt. HE ist ein US Unternehmen. Klar das die von der IANA dann auch ein US Adressblock bekommen, da spielt es dann geografisch keine Rolle wo das Unternehmen dann seine IP Adressen einsetzt.
Ich hatte hier wohl den Denkfehler das Frankfurt der Tunnelausgang wäre?
Nein, kein Denkfehler, der ist da natürlich auch. Aber eben mit US IP Adressen face-wink
darkness08
darkness08 15.12.2021 aktualisiert um 10:19:37 Uhr
Goto Top
Gibt es denn auch Tunnelbroker mit DE Adressen? Irgendwie habe ich da keine gefunden(https://de.wikipedia.org/wiki/Liste_von_IPv6-Tunnelbrokern).

Andere Idee:

Einen externen Server nutzen.
In etwa:

OPN-Sense mittels Wireguard auf dem Server verbinden
Dessen /64 aufteilen und dann damit die VLANs versorgen

Auf dem Server entsprechendes Routing erlauben.

Oder ist es "so einfach" nicht möglich?

Edit:
Bei https://www.tunnelbroker.ch scheint es eine DE Adresse zu geben. Muss ich mir mal genau anschauen
aqui
aqui 15.12.2021 um 10:19:17 Uhr
Goto Top
Geht natürlich auch. Aber dazu brauchst du wieder einen fixen v6 Prefix.
EU Tunnelbroker müsste man mal Dr. Google fragen.
darkness08
darkness08 15.12.2021 um 10:23:09 Uhr
Goto Top
Ich dachte ich baue den Tunnel über IPv4 auf und Nutze dann das /64 Netz als Präfix und leite daraus alles weitere ab. Oder ginge das nicht. Dann habe ich es wohl doch noch nicht so richtig verstanden....
aqui
aqui 15.12.2021 um 10:51:53 Uhr
Goto Top
Doch doch das ginge aber du routest ja über den Tunnel und machst kein Bridging, vergiss das nicht. Dein Tunnelnetz ist also ein IP Netz und dahinter ist dann dein /64er Zielnetz. Oder du musst das /64er weiter subnetten was aber nicht unproblematisch ist.
Du brauchst dafür dann natürlich auch ein festes IPv6 Netz. Mit dynamischen Prefixes hättest du ja wieder das gleiche Problem wie oben.
darkness08
darkness08 15.12.2021 um 11:17:19 Uhr
Goto Top
Hm, irgendwie verstehe ich das noch nicht so ganz.

Ich baue über IPv4 den Tunnel zum Server auf. Das ganze nennt sich doch dann "6in4", oder?

Aber das lokale IPv6 Netz muss dann ein anders sein als das auf dem Server?

Bei HE habe ich doch auch ein /64 Netz? (Aber zusätzlich noch das /48, welches ich lokal verwende)

Somit bräuchte ich auf dem Server ein weiteres /64 Netz.

Sind meine Gedankengänge grundsätzlich richtig oder völlig verdreht?
aqui
aqui 15.12.2021 aktualisiert um 12:37:31 Uhr
Goto Top
Du redest von einem öffentlichen vServer, oder ? Nicht das wir jetzt aneinander vorbeireden... face-wink
Der hat ja dann grundsätzlich erstmal eine öffentliche v6 IP des Hosters an seiner NIC.
Da willst du ja dann irgendwie dein v6 Subnetz ranbringen, oder ?
Dann bräuchtest du ja keinen Tunnel mehr sondern kannst vom Hoster einem weiteren statischen v6 Prefix aus seinem Pool bekommen.
Oder ich hab dich jetzt irgendwie missverstanden was du vorhast ?! face-sad
darkness08
darkness08 15.12.2021 um 12:49:43 Uhr
Goto Top
Na vielleicht bin ich das etwas wirr geworden ;)

Folgendes habe ich vor:

Mein (V)LAN <--> opn-sense <--> tunnel <--> Vserver <--> Internet

Am VServer 2 Ipv6 /64 - Netze sind kein Problem.

Ein Netz am Server und ein Netz, welches ich im meinem lokalem Netz verwende.

Ziel ist es IPv6 ohne einen Tunnelbroker
aqui
aqui 15.12.2021 aktualisiert um 12:58:44 Uhr
Goto Top
OK, das geht natürlich. Du brauchst dann aber 3 IPv6 Netze:
  • Das an der vServer NIC (kommt vom Provider)
  • Das v6 Tunnelnetz
  • das lokale v6 VLAN
Vom Hoster brauchst du dann also noch einen v6 Prefix den du subnetten kannst. Dann klappt das natürlich.
darkness08
darkness08 15.12.2021 um 13:24:30 Uhr
Goto Top
Ah, ich sehe meinen Denkfehler:

1. /64-Netz an der NIC.
2. /64-Netz als Tunnelnetz. Dieses Wollte ich weiter aufteilen (/80 Subnetze)
Damit kann ich mir dann aber kein /64 Netz lokal machen.
Daher das dritte /64 Netz.

Soweit richtig?

Kann ich denn nicht einfach aus dem /64 Netz einfach z.B. /72 Netze erstellen und dann für das Tunnelnetz + NIC verwenden?

Am dedicated Server hätte ich ein /64 Netz an der NIC und Kann ein weiteres /56 Netz bekommen
Das könnte ich in weitere /64 Netze aufteilen und daraus das Tunnelnetz erstellen sowie meine VLAN versorgen.
aqui
aqui 15.12.2021 um 14:20:45 Uhr
Goto Top
Das ist richtig. Wenn du dein /64er Netz weiter subnettest ist das /64 ja keins mehr...einfache Logik ! face-wink
Kann ich denn nicht einfach aus dem /64 Netz einfach z.B. /72 Netze erstellen
Das kannst du natürlich machen. Auch /80er...da bist du ja frei. Bei Masken größer als /64 funktioniert dann aber keine Auto Konfiguration, EUI64 usw. mehr. Das solltest du beachten. Siehe dazu auch RFC 7421
Kann ein weiteres /56 Netz bekommen
Das könnte ich in weitere /64 Netze aufteilen und daraus das Tunnelnetz erstellen sowie meine VLAN versorgen.
Jepp, das geht ebenso.