5
IPv6 Verständnis Problem
Hallo,
ich hab gerade ein kleines IPv6 Problem.
Die Umgebung:
Hyper-V Server mit 3 VMs (1 DC, 1 Application und OpnSense), DC und Application Server bekommen Netz über die OpnSense
Die Server bekommen ihr Netz aktuell über die OpnSense über ein NAT, jetzt möchte ich den Servern jeweils eine v6 Adresse geben. Mein Problem ist jetzt wie stelle ich das an, ein NAT ist ja bei v6 nicht Vorgesehen und das Gateway ist für mich nicht Konfigurierbar. Außerhalb (jenseits der OpnSense) gibt es ein /56 Subnetz.
Gruß
Phill93
ich hab gerade ein kleines IPv6 Problem.
Die Umgebung:
Hyper-V Server mit 3 VMs (1 DC, 1 Application und OpnSense), DC und Application Server bekommen Netz über die OpnSense
Die Server bekommen ihr Netz aktuell über die OpnSense über ein NAT, jetzt möchte ich den Servern jeweils eine v6 Adresse geben. Mein Problem ist jetzt wie stelle ich das an, ein NAT ist ja bei v6 nicht Vorgesehen und das Gateway ist für mich nicht Konfigurierbar. Außerhalb (jenseits der OpnSense) gibt es ein /56 Subnetz.
Gruß
Phill93
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665552
Url: https://administrator.de/contentid/665552
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
5 Kommentare
Neuester Kommentar
Normal schickt jeder Provider bei Dual Stack Support per v6 Prefix Delegation ein IPv6 Subnetz an dich was die Firewall dann intern weitergibt.
Das WAN Interface ist im DHCPv6 Client Mode was eh Default ist.
Über die IPv6 Konfig an den lokalen LAN/VLAN Interfaces und über Interface Tracking des WAN Interfaces und einer Index Nummer gibt die Firewall das per Prefix Delegation gesendete /56er IPv6 Netz intern an die lokalen LAN Interfaces mit /64er Prefixes weiter.
Hier kannst du das z.B. an einer pfSense sehen:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
Das dürfte bei der OPNsense komplett identisch sein.
Solltest du mehrere loklae FW Interfaces haben ist es wichtig das jedes dieser Interfaces eine eigene v6 Prefix ID bekommt. Das gilt auch für VLAN Interfaces !
Im Grunde also ganz banal und in 10 Minuten erledigt.
Das WAN Interface ist im DHCPv6 Client Mode was eh Default ist.
Über die IPv6 Konfig an den lokalen LAN/VLAN Interfaces und über Interface Tracking des WAN Interfaces und einer Index Nummer gibt die Firewall das per Prefix Delegation gesendete /56er IPv6 Netz intern an die lokalen LAN Interfaces mit /64er Prefixes weiter.
Hier kannst du das z.B. an einer pfSense sehen:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
Das dürfte bei der OPNsense komplett identisch sein.
Solltest du mehrere loklae FW Interfaces haben ist es wichtig das jedes dieser Interfaces eine eigene v6 Prefix ID bekommt. Das gilt auch für VLAN Interfaces !
Im Grunde also ganz banal und in 10 Minuten erledigt.
Jepp das ist genau so auch bei der OpnSense, aber 10 Minuten braucht da noch nicht mal ein Maulwurf für 
, aber das Prinzip sollte man der TO doch schon verstehen, wie die Arbeitsweise von IPv6 natürlich zwingend sonst gibbet unter Umständen schnell mal schöne Sicherheitslücken.
Gruß w.
, aber das Prinzip sollte man der TO doch schon verstehen, wie die Arbeitsweise von IPv6 natürlich zwingend sonst gibbet unter Umständen schnell mal schöne Sicherheitslücken.Gruß w.
Hallo aqui,
das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Gruß
Phill93
das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Gruß
Phill93
Zitat von @Phill93:
das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Das ist kein Problem. Dann stellst du den WAN einfach auf SLAAC. Der Rest bleibt dann gleich.das Problem ist das ich am WAN Interface kein DHCPv6 habe. Ich bekomme nur ein Präfix über die Router Advertisements. Die Firewall hängt an unserem Campus Netz.
Die OPNSense (radvd) supportet schon seit einiger Zeit das Tracking des LAN an einem via SLAAC konfigurierten WAN seit Ende 2018 wurde das rein gepatcht, siehe
https://github.com/opnsense/core/issues/2394
Gruß w.
Wenn's das denn nun war bitte den Thread auch schliessen !:
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
