IPv6 opnsense + DHCP Cisco SG350
Hallo Zusammen,
ich möchte gerne in meinem LAN IPv6 einrichten. Die opnsense habe ich soweit eingerichtet, dass der LAN-Adapter eine IPv6-Adresse erhält und hierüber auch ein ping ins Internet möglich ist.
Wenn ich das weitere vorgehen richtig verstanden habe, müsste ich jetzt meinen DHCP-Server sagen, dass er auch entsprechende IPv6-Adressen vergibt, oder?
Aber hab hier komme ich nicht so ganz weiter:
Bei IPv4 weise ich feste IPs über die MAC-Adresse zu. Dadurch dass ich dynamische IPv6 Prefix erhalte, geht das unter IPv6 nicht mehr, oder?
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Erst dachte ich das es ja egal ist, da die IPv4 Adressen entsprechen mit andern VLANs gemäß der ACL "reden" dürfen. Aber sobald ein Gerät eine IPv6 Adresse hat, wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.
Außerdem nutze ich den DHCP vom SG350. Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?
opnsense --- sg 350 --- VLAN([1-8]0)
SG350:
DHCP
ACLs
VLAN-Verwaltung
L3-Switch
Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten oder brauche ich da den Geschäftskundenanschluss?
Ich denke man merkt, dass ich kein Profi bin und mal einen zeig in die richtige Richtung brauche
ich möchte gerne in meinem LAN IPv6 einrichten. Die opnsense habe ich soweit eingerichtet, dass der LAN-Adapter eine IPv6-Adresse erhält und hierüber auch ein ping ins Internet möglich ist.
Wenn ich das weitere vorgehen richtig verstanden habe, müsste ich jetzt meinen DHCP-Server sagen, dass er auch entsprechende IPv6-Adressen vergibt, oder?
Aber hab hier komme ich nicht so ganz weiter:
Bei IPv4 weise ich feste IPs über die MAC-Adresse zu. Dadurch dass ich dynamische IPv6 Prefix erhalte, geht das unter IPv6 nicht mehr, oder?
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Erst dachte ich das es ja egal ist, da die IPv4 Adressen entsprechen mit andern VLANs gemäß der ACL "reden" dürfen. Aber sobald ein Gerät eine IPv6 Adresse hat, wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.
Außerdem nutze ich den DHCP vom SG350. Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?
opnsense --- sg 350 --- VLAN([1-8]0)
SG350:
DHCP
ACLs
VLAN-Verwaltung
L3-Switch
Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten oder brauche ich da den Geschäftskundenanschluss?
Ich denke man merkt, dass ich kein Profi bin und mal einen zeig in die richtige Richtung brauche
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1604854599
Url: https://administrator.de/forum/ipv6-opnsense-dhcp-cisco-sg350-1604854599.html
Ausgedruckt am: 27.12.2024 um 07:12 Uhr
24 Kommentare
Neuester Kommentar
geht das unter IPv6 nicht mehr, oder?
Richtig !Dazu kommen die Privacy Extension bei IPv6: https://de.wikipedia.org/wiki/IPv6#Adressaufbau_von_IPv6
Die Verschiedenen VLANs habe ich mittels ACL getrennt bzw. einzelne Freigaben definiert.
Mit "ACL" meinst du damit die Firewall Regeln, sprich du routest auf der Firewall mit einem Layer 2 Switch wie hier beschrieben ?Oder routest du mit einem Layer_3_Konzept und nutzt ACLs auf dem L3 Switch. Hier bist du leider etwas unklar in deiner Beschreibung ? Du solltest generell erstmal klären welches Konzept du hier umgesetzt hast damit es hier nicht zu Verwirrungen kommt ?!
wird diese in der Regel ja verwendet und damit die Kommunikation in andere VLANs unterbunden.
Das hängt immer von deinem IPv6 Regelwerk oder ACLs ab. v4 Regeln haben natürlich mit einer v6 Kommunikation gar nichts zu tun.Kann ich an diesem den IPv6 Prefix der opnsense "weitergeben" und dann die IPv6-Adressen vergeben?
Ja, aber nur für die v6 Management IP.Kann ich an einem DSL (Magenta M )-Anschluss feste IPv6 Prefixe erhalten
Ja.Tip zum schlau machen mit IPv6 ist etwas kostenlose Literatur mit gutem Praxis Bezug:
https://danrl.com/ipv6/
Lesen und verstehen...!
Bedeutet ich kann den DHCP-Server des SG350 für IPv6 nicht verwenden?
Bei Prefix Delegation und einem wechselnden v6 Prefix wird das eine Herausforderung...auf dem SG350 auch eine IPv6 zuzugeben.
Das sollte problemlos klappen wenn du den DHCPv6 Client im Adress Setup aktivierst.Jetzt müsste ich doch
Jepp...An welcher Stelle kann ich dann festlegen wie die Adressen für die Interfaces lauten sollen?
Bei einem wechselnden Prefix vom Provider ?? Du kannst das statisch setzen musst aber sobald der Prefix wechselt das dann anpassen. Du bekommst ja mit Prefix Delegation immer und immer wieder ein neues v6 Netz vom Provider.Das muss dein Router/Firewall dann intern auch wieder per PD mit einem kleineren Prefix weiterverteilen. Sprich deine internen Router müssen auch wieder PD machen.
Aber diese müssen doch auch dynamisch sein
Genau das ist die Problematik mit PD....Oder muss ich hier mit den link-local Adressen arbeiten?
Nein. Was du machen kannst ist mit Unique Locals fc00::/7 zu arbeiten aber dann musst du NAT ins öffentliche v6 Internet machen mit all den NAT Nachteilen. Normal gibt es ja kein NAT im v6 Umfeld.Lass dir vom Provider einen statischen v6 Prefix zuteilen ! Das löst alle dann deine "Probleme" auf Schlag.
Gibt es noch eine andere Möglichkeit um an IPv6 zu kommen
Ja die gibt es !Du richtest dir einen v6 in v4 Tunnel via HE ein, da bekommst du immer einen festen v6 Prefix !
Die o.a. angegebene kostenfreie v6 Literatur beschreibt sowas im Detail.
https://tunnelbroker.net
https://docs.netgate.com/pfsense/en/latest/recipes/ipv6-tunnel-broker.ht ...
Du hast es richtig erkannt. HE ist ein US Unternehmen. Klar das die von der IANA dann auch ein US Adressblock bekommen, da spielt es dann geografisch keine Rolle wo das Unternehmen dann seine IP Adressen einsetzt.
Ich hatte hier wohl den Denkfehler das Frankfurt der Tunnelausgang wäre?
Nein, kein Denkfehler, der ist da natürlich auch. Aber eben mit US IP Adressen
Doch doch das ginge aber du routest ja über den Tunnel und machst kein Bridging, vergiss das nicht. Dein Tunnelnetz ist also ein IP Netz und dahinter ist dann dein /64er Zielnetz. Oder du musst das /64er weiter subnetten was aber nicht unproblematisch ist.
Du brauchst dafür dann natürlich auch ein festes IPv6 Netz. Mit dynamischen Prefixes hättest du ja wieder das gleiche Problem wie oben.
Du brauchst dafür dann natürlich auch ein festes IPv6 Netz. Mit dynamischen Prefixes hättest du ja wieder das gleiche Problem wie oben.
Du redest von einem öffentlichen vServer, oder ? Nicht das wir jetzt aneinander vorbeireden...
Der hat ja dann grundsätzlich erstmal eine öffentliche v6 IP des Hosters an seiner NIC.
Da willst du ja dann irgendwie dein v6 Subnetz ranbringen, oder ?
Dann bräuchtest du ja keinen Tunnel mehr sondern kannst vom Hoster einem weiteren statischen v6 Prefix aus seinem Pool bekommen.
Oder ich hab dich jetzt irgendwie missverstanden was du vorhast ?!
Der hat ja dann grundsätzlich erstmal eine öffentliche v6 IP des Hosters an seiner NIC.
Da willst du ja dann irgendwie dein v6 Subnetz ranbringen, oder ?
Dann bräuchtest du ja keinen Tunnel mehr sondern kannst vom Hoster einem weiteren statischen v6 Prefix aus seinem Pool bekommen.
Oder ich hab dich jetzt irgendwie missverstanden was du vorhast ?!
Das ist richtig. Wenn du dein /64er Netz weiter subnettest ist das /64 ja keins mehr...einfache Logik !
Jepp, das geht ebenso.
Kann ich denn nicht einfach aus dem /64 Netz einfach z.B. /72 Netze erstellen
Das kannst du natürlich machen. Auch /80er...da bist du ja frei. Bei Masken größer als /64 funktioniert dann aber keine Auto Konfiguration, EUI64 usw. mehr. Das solltest du beachten. Siehe dazu auch RFC 7421Kann ein weiteres /56 Netz bekommen
Das könnte ich in weitere /64 Netze aufteilen und daraus das Tunnelnetz erstellen sowie meine VLAN versorgen.Jepp, das geht ebenso.