IPv6 Verständnis Problem

Mitglied: Phill93

Phill93 (Level 1) - Jetzt verbinden

08.04.2021 um 18:04 Uhr, 456 Aufrufe, 5 Kommentare

Hallo,

ich hab gerade ein kleines IPv6 Problem.

Die Umgebung:

Hyper-V Server mit 3 VMs (1 DC, 1 Application und OpnSense), DC und Application Server bekommen Netz über die OpnSense

Die Server bekommen ihr Netz aktuell über die OpnSense über ein NAT, jetzt möchte ich den Servern jeweils eine v6 Adresse geben. Mein Problem ist jetzt wie stelle ich das an, ein NAT ist ja bei v6 nicht Vorgesehen und das Gateway ist für mich nicht Konfigurierbar. Außerhalb (jenseits der OpnSense) gibt es ein /56 Subnetz.

Gruß

Phill93
Mitglied: aqui
LÖSUNG 08.04.2021, aktualisiert um 20:53 Uhr
Normal schickt jeder Provider bei Dual Stack Support per v6 Prefix Delegation ein IPv6 Subnetz an dich was die Firewall dann intern weitergibt.
Das WAN Interface ist im DHCPv6 Client Mode was eh Default ist.
Über die IPv6 Konfig an den lokalen LAN/VLAN Interfaces und über Interface Tracking des WAN Interfaces und einer Index Nummer gibt die Firewall das per Prefix Delegation gesendete /56er IPv6 Netz intern an die lokalen LAN Interfaces mit /64er Prefixes weiter.

Hier kannst du das z.B. an einer pfSense sehen:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
Das dürfte bei der OPNsense komplett identisch sein.
Solltest du mehrere loklae FW Interfaces haben ist es wichtig das jedes dieser Interfaces eine eigene v6 Prefix ID bekommt. Das gilt auch für VLAN Interfaces !
Im Grunde also ganz banal und in 10 Minuten erledigt.
Bitte warten ..
Mitglied: warranty
09.04.2021, aktualisiert um 09:52 Uhr
Jepp das ist genau so auch bei der OpnSense, aber 10 Minuten braucht da noch nicht mal ein Maulwurf für :-D face-big-smile, aber das Prinzip sollte man der TO doch schon verstehen, wie die Arbeitsweise von IPv6 natürlich zwingend sonst gibbet unter Umständen schnell mal schöne Sicherheitslücken.

screenshot - Klicke auf das Bild, um es zu vergrößern

screenshot - Klicke auf das Bild, um es zu vergrößern

Gruß w.
Bitte warten ..
Mitglied: Phill93
09.04.2021 um 10:06 Uhr
Hallo aqui,

das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.

Gruß

Phill93
Bitte warten ..
Mitglied: warranty
LÖSUNG 09.04.2021, aktualisiert um 10:49 Uhr
Zitat von @Phill93:
das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Das ist kein Problem. Dann stellst du den WAN einfach auf SLAAC. Der Rest bleibt dann gleich.

screenshot - Klicke auf das Bild, um es zu vergrößern

Die OPNSense (radvd) supportet schon seit einiger Zeit das Tracking des LAN an einem via SLAAC konfigurierten WAN seit Ende 2018 wurde das rein gepatcht, siehe
https://github.com/opnsense/core/issues/2394

Gruß w.
Bitte warten ..
Mitglied: aqui
17.04.2021 um 11:47 Uhr
Wenn's das denn nun war bitte den Thread auch schliessen !:
https://administrator.de/faq/32
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic22 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)17 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 6 StundenFrageLAN, WAN, Wireless20 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Microsoft
Datenkrake - Browser
DennisWeberVor 21 StundenErfahrungsberichtMicrosoft8 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...

E-Mail
Office 365 mit Wordpress nutzen
gelöst tobitobsnVor 1 TagFrageE-Mail6 Kommentare

Wir nutzen einen Webhoster, wo wir eine Wordpress Webseite betreiben und haben vor einiger Zeit zu Office 365 gewechselt. Unser Webhoster erlaubt innerhalb von ...