IPv6 Verständnis Problem
Hallo,
ich hab gerade ein kleines IPv6 Problem.
Die Umgebung:
Hyper-V Server mit 3 VMs (1 DC, 1 Application und OpnSense), DC und Application Server bekommen Netz über die OpnSense
Die Server bekommen ihr Netz aktuell über die OpnSense über ein NAT, jetzt möchte ich den Servern jeweils eine v6 Adresse geben. Mein Problem ist jetzt wie stelle ich das an, ein NAT ist ja bei v6 nicht Vorgesehen und das Gateway ist für mich nicht Konfigurierbar. Außerhalb (jenseits der OpnSense) gibt es ein /56 Subnetz.
Gruß
Phill93
ich hab gerade ein kleines IPv6 Problem.
Die Umgebung:
Hyper-V Server mit 3 VMs (1 DC, 1 Application und OpnSense), DC und Application Server bekommen Netz über die OpnSense
Die Server bekommen ihr Netz aktuell über die OpnSense über ein NAT, jetzt möchte ich den Servern jeweils eine v6 Adresse geben. Mein Problem ist jetzt wie stelle ich das an, ein NAT ist ja bei v6 nicht Vorgesehen und das Gateway ist für mich nicht Konfigurierbar. Außerhalb (jenseits der OpnSense) gibt es ein /56 Subnetz.
Gruß
Phill93
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen5 Antworten
- LÖSUNG aqui schreibt am 08.04.2021 um 20:48:18 Uhr
- LÖSUNG warranty schreibt am 09.04.2021 um 09:47:59 Uhr
- LÖSUNG Phill93 schreibt am 09.04.2021 um 10:06:58 Uhr
- LÖSUNG warranty schreibt am 09.04.2021 um 10:44:09 Uhr
- LÖSUNG aqui schreibt am 17.04.2021 um 11:47:16 Uhr
- LÖSUNG warranty schreibt am 09.04.2021 um 10:44:09 Uhr
LÖSUNG 08.04.2021, aktualisiert um 20:53 Uhr
Normal schickt jeder Provider bei Dual Stack Support per v6 Prefix Delegation ein IPv6 Subnetz an dich was die Firewall dann intern weitergibt.
Das WAN Interface ist im DHCPv6 Client Mode was eh Default ist.
Über die IPv6 Konfig an den lokalen LAN/VLAN Interfaces und über Interface Tracking des WAN Interfaces und einer Index Nummer gibt die Firewall das per Prefix Delegation gesendete /56er IPv6 Netz intern an die lokalen LAN Interfaces mit /64er Prefixes weiter.
Hier kannst du das z.B. an einer pfSense sehen:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
Das dürfte bei der OPNsense komplett identisch sein.
Solltest du mehrere loklae FW Interfaces haben ist es wichtig das jedes dieser Interfaces eine eigene v6 Prefix ID bekommt. Das gilt auch für VLAN Interfaces !
Im Grunde also ganz banal und in 10 Minuten erledigt.
Das WAN Interface ist im DHCPv6 Client Mode was eh Default ist.
Über die IPv6 Konfig an den lokalen LAN/VLAN Interfaces und über Interface Tracking des WAN Interfaces und einer Index Nummer gibt die Firewall das per Prefix Delegation gesendete /56er IPv6 Netz intern an die lokalen LAN Interfaces mit /64er Prefixes weiter.
Hier kannst du das z.B. an einer pfSense sehen:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
Das dürfte bei der OPNsense komplett identisch sein.
Solltest du mehrere loklae FW Interfaces haben ist es wichtig das jedes dieser Interfaces eine eigene v6 Prefix ID bekommt. Das gilt auch für VLAN Interfaces !
Im Grunde also ganz banal und in 10 Minuten erledigt.
LÖSUNG 09.04.2021, aktualisiert um 09:52 Uhr
Jepp das ist genau so auch bei der OpnSense, aber 10 Minuten braucht da noch nicht mal ein Maulwurf für 
, aber das Prinzip sollte man der TO doch schon verstehen, wie die Arbeitsweise von IPv6 natürlich zwingend sonst gibbet unter Umständen schnell mal schöne Sicherheitslücken.
Gruß w.
, aber das Prinzip sollte man der TO doch schon verstehen, wie die Arbeitsweise von IPv6 natürlich zwingend sonst gibbet unter Umständen schnell mal schöne Sicherheitslücken.Gruß w.
LÖSUNG 09.04.2021 um 10:06 Uhr
Hallo aqui,
das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Gruß
Phill93
das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Gruß
Phill93
LÖSUNG 09.04.2021, aktualisiert um 10:49 Uhr
Zitat von @Phill93:
das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Das ist kein Problem. Dann stellst du den WAN einfach auf SLAAC. Der Rest bleibt dann gleich.das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Die OPNSense (radvd) supportet schon seit einiger Zeit das Tracking des LAN an einem via SLAAC konfigurierten WAN seit Ende 2018 wurde das rein gepatcht, siehe
https://github.com/opnsense/core/issues/2394
Gruß w.
LÖSUNG 17.04.2021 um 11:47 Uhr
