4
OPNsense - Wo finde ich die IPv6 Präfix Länge?
Hallo zusammen,
ich nutze zu Hause eine OPNsense. Mit der Umstellung auf Vodafone möchte ich gerne auch IPv6-Adressen in den LANs verwenden. Damit verbunden benötige ich die IPv6 Präfix Länge. Um auf dem WAN Interface auf der OPNsense den Parameter "Prefix delegation size" korrekt konfigurieren zu können.
Bei Verwendung einer Fritz!Box wird mir die Information direkt unter Internet -> Online Monitor angezeigt:
Bei der OPNsense habe ich bereits unter Lobby -> Dashboard geschaut. Zudem auch unter Interfaces -> Overview.
Wo finde ich die Information bei einer OPNsense?
Gruß,
Dani
ich nutze zu Hause eine OPNsense. Mit der Umstellung auf Vodafone möchte ich gerne auch IPv6-Adressen in den LANs verwenden. Damit verbunden benötige ich die IPv6 Präfix Länge. Um auf dem WAN Interface auf der OPNsense den Parameter "Prefix delegation size" korrekt konfigurieren zu können.
Bei Verwendung einer Fritz!Box wird mir die Information direkt unter Internet -> Online Monitor angezeigt:
Bei der OPNsense habe ich bereits unter Lobby -> Dashboard geschaut. Zudem auch unter Interfaces -> Overview.
Wo finde ich die Information bei einer OPNsense?
Gruß,
Dani
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670790
Url: https://administrator.de/forum/opnsense-wo-finde-ich-die-ipv6-praefix-laenge-670790.html
Ausgedruckt am: 19.01.2025 um 14:01 Uhr
4 Kommentare
Neuester Kommentar
Damit verbunden benötige ich die IPv6 Präfix Länge
Die Größe des Prefix am Client ist eh nur ein "hint" für den Server am Ende entscheidet der DHCPv6 Server welche Prefix-Größe du bekommst, ob er den "Hinweis" des Clients berücksichtigt ist also nicht zwingend gegeben, du bekommst dann eben das was der Server dir anbietet.Welche Prefix-Größe du zugewiesen bekommen hast, siehst du erst wenn du ein LAN-Interface auf TRACKING stellst und damit ein Prefix angefordert hast. Oder wie immer auch per Capture des DHCPv6 Traffics.
Gruß.
1
Moinsen,
naja, gemäß der Angaben der Fritzbox ein /56er (Telekom?)...
In der Fritzbox siehst du dann idR unter "Heimnetz > Netzwerk > Netzwerkeinstellungen > IP Adressen > IPv6" (wenn v6 denn aktiviert), dass sich die Fritzbox aus dem /56 dann bereits einige eigene /64er herausnimmt (für LAN, Gast LAN, WAN). Du kannst dann aber (ist ja noch groß genug) den "Rest" an die opn/pfsense delegieren...
Ich zb bekomme auch ein /56er, die Fritzbox nimmt sich wie o.g. einige /64er für sich und gibt dann ein /57er weiter an die Pfsense (hier) als "delegiert" (Größe wird in der opn/pfsense hinterlegt) > WAN Interface...
Das WAN Interface dann mit DHCP6, die anderen (LAN, VLANs) mit Track Interface. Ich gebe den VLANs noch eine Subnet ID mit (IPv6 bildet sich dann aus dem Präfix + Subnet ID (heißt in der pfsense "Präfix-ID) + host-Teil (per SLAAC hier).
Für die Subnetze hinter der pfsense je mit /64ern arbeiten sollte idR auch passen.
Hier bekommen dann die Geräte also:
- IPv4 Adresse
- globale IPv6 (aus dem o.g. Präfix usw)
- ULA IPv6 (weil sich das olle globale Präfix ja immer mal ändert...)
- linklocale IPv6
Läuft.
Hoffe bei dir dann auch.
naja, gemäß der Angaben der Fritzbox ein /56er (Telekom?)...
In der Fritzbox siehst du dann idR unter "Heimnetz > Netzwerk > Netzwerkeinstellungen > IP Adressen > IPv6" (wenn v6 denn aktiviert), dass sich die Fritzbox aus dem /56 dann bereits einige eigene /64er herausnimmt (für LAN, Gast LAN, WAN). Du kannst dann aber (ist ja noch groß genug) den "Rest" an die opn/pfsense delegieren...
Ich zb bekomme auch ein /56er, die Fritzbox nimmt sich wie o.g. einige /64er für sich und gibt dann ein /57er weiter an die Pfsense (hier) als "delegiert" (Größe wird in der opn/pfsense hinterlegt) > WAN Interface...
Das WAN Interface dann mit DHCP6, die anderen (LAN, VLANs) mit Track Interface. Ich gebe den VLANs noch eine Subnet ID mit (IPv6 bildet sich dann aus dem Präfix + Subnet ID (heißt in der pfsense "Präfix-ID) + host-Teil (per SLAAC hier).
Für die Subnetze hinter der pfsense je mit /64ern arbeiten sollte idR auch passen.
Hier bekommen dann die Geräte also:
- IPv4 Adresse
- globale IPv6 (aus dem o.g. Präfix usw)
- ULA IPv6 (weil sich das olle globale Präfix ja immer mal ändert...)
- linklocale IPv6
Läuft.
Hoffe bei dir dann auch.
Heyo,
ich gehe mal davon aus, dass du eine Router-Kaskade (Interwebz <-> FB <-> OPNsense <-> Endgeräte) umsetzen möchtest.
Dafür musst du zunächst in der Fritze den folgenden Punkt setzen:
Zu finden unter Heimnetz => Netzwerk => Tab Netzwerk-Einstellungen => Ganz unten Erweiterte Einstellungen ausklappen => IPv6-Einstellungen
In der OPNsense dann im WAN auf DHCPv6, Prefix Hint würd ich auf beispielsweise /62 (4 nutzbare Netze) oder /60 (16 nutzbare Netze) stellen, im Blick behalten, dass die FB selber 2 Netze benötigt (FB-LAN und FB-Gastnetz)
Hier mal beispielsweise meine Settings für das WAN-IF der Sense
Dann in der OPNsense das LAN-Interface für IPv6 auf TRACK stellen, als Parent WAN auswählen und eine Prefix-ID vergeben (beim ersten Netz optional)
Hierbei im Hinterkopf behalten, dass du bei einem delegierten Präfix von /62 als Prefix ID die Optionen 0-3 zur Verfügung stehen, bei /60 dann entsprechend 0-f.
Ich würde zusätzlich für mehr Kontrolle, beispielsweise für ein eingesetztes PiHole, PXE oder ähnliches, den Haken für die manuelle RA-Konfiguration setzen.
Hier als Beispiel meine LAN-Settings:
Nach dem Speichern ploppt unter den Services (manchmal braucht's einen Reload der Weboberfläche) den neuen Tab Router Advertisements.
Ich habe bei mir den DHCPv6 nicht im Einsatz, da mir die Optionen der RAs zurzeit noch ausreichen, entsprechend kann ich hier keine Erfahrungswerte beisteuern. Wenn du hinter der Sense keine zusätzlichen kaskadierten Netze nutzen möchtest, wirst du wahrscheinlich DHCPv6 auch vorerst nicht benötigen. RA sollte dann auch bei dir ausreichen.
Wenn du im OPNsense-LAN beispielsweise Android-Geräte nutzt, benötigst du zwingend die Router Advertisement-Konfiguration aufgrund von SLAAC.
Hier meine Konfiguration für SLAAC. Ist relativ unspannend. Die Sense ist das Default Gateway, also Haken rein. Dazu gibt's noch ne DNS-Konfig per SLAAC, also Flag Unmanaged und fertig.
Ein mit Sicherheit umstrittener Punkt ist jetzt das Thema Freigaben. Die Sense ist eine Firewall, entsprechend kann sie die nachgelagerten Netze per se erstmal schützen. Jetzt gibt's 2 Optionen, wie du Freigaben handlen kannst:
- Entweder du gibst in der FB eine Sammelfreigabe für alle delegierten Netze an (gibt's in der FB in dem Geräteeintrag einen eigenen Haken für)
- Oder du musst jede Freigabe sowohl in der Fritze, als auch in der Sense konfigurieren. Sicherheit +, aber auch mehr Arbeit.
Wichtig: Selbst wenn du die FB-Firewall für die delegierten Netze freischaltest, ist das WAN-IF der Sense selber weiterhin durch die FB-FW geschützt. Da gibt's einen seperaten Eintrag, das Gerät als Exposed Host freizugeben.
Auch wichtig: Im IPv6 ist alles, was mit 2xxx: oder 3xxx: anfängt, tendenziell öffentlich erreichbar. Bitte vermeide also, in der FB das delegierte Netz komplett freizugeben und dann in der Sense eine Allow_Any_to_Any-Regel von WAN zu LAN zu konfigurieren... Sollte selbstverständlich sein, der Sicherheit halber möcht ich's aber trotzdem nochmal betonen.
Viel Spaß beim Sensen!
ich gehe mal davon aus, dass du eine Router-Kaskade (Interwebz <-> FB <-> OPNsense <-> Endgeräte) umsetzen möchtest.
Dafür musst du zunächst in der Fritze den folgenden Punkt setzen:
Zu finden unter Heimnetz => Netzwerk => Tab Netzwerk-Einstellungen => Ganz unten Erweiterte Einstellungen ausklappen => IPv6-Einstellungen
In der OPNsense dann im WAN auf DHCPv6, Prefix Hint würd ich auf beispielsweise /62 (4 nutzbare Netze) oder /60 (16 nutzbare Netze) stellen, im Blick behalten, dass die FB selber 2 Netze benötigt (FB-LAN und FB-Gastnetz)
Hier mal beispielsweise meine Settings für das WAN-IF der Sense
Dann in der OPNsense das LAN-Interface für IPv6 auf TRACK stellen, als Parent WAN auswählen und eine Prefix-ID vergeben (beim ersten Netz optional)
Hierbei im Hinterkopf behalten, dass du bei einem delegierten Präfix von /62 als Prefix ID die Optionen 0-3 zur Verfügung stehen, bei /60 dann entsprechend 0-f.
Ich würde zusätzlich für mehr Kontrolle, beispielsweise für ein eingesetztes PiHole, PXE oder ähnliches, den Haken für die manuelle RA-Konfiguration setzen.
Hier als Beispiel meine LAN-Settings:
Nach dem Speichern ploppt unter den Services (manchmal braucht's einen Reload der Weboberfläche) den neuen Tab Router Advertisements.
Ich habe bei mir den DHCPv6 nicht im Einsatz, da mir die Optionen der RAs zurzeit noch ausreichen, entsprechend kann ich hier keine Erfahrungswerte beisteuern. Wenn du hinter der Sense keine zusätzlichen kaskadierten Netze nutzen möchtest, wirst du wahrscheinlich DHCPv6 auch vorerst nicht benötigen. RA sollte dann auch bei dir ausreichen.
Wenn du im OPNsense-LAN beispielsweise Android-Geräte nutzt, benötigst du zwingend die Router Advertisement-Konfiguration aufgrund von SLAAC.
Hier meine Konfiguration für SLAAC. Ist relativ unspannend. Die Sense ist das Default Gateway, also Haken rein. Dazu gibt's noch ne DNS-Konfig per SLAAC, also Flag Unmanaged und fertig.
Ein mit Sicherheit umstrittener Punkt ist jetzt das Thema Freigaben. Die Sense ist eine Firewall, entsprechend kann sie die nachgelagerten Netze per se erstmal schützen. Jetzt gibt's 2 Optionen, wie du Freigaben handlen kannst:
- Entweder du gibst in der FB eine Sammelfreigabe für alle delegierten Netze an (gibt's in der FB in dem Geräteeintrag einen eigenen Haken für)
- Oder du musst jede Freigabe sowohl in der Fritze, als auch in der Sense konfigurieren. Sicherheit +, aber auch mehr Arbeit.
Wichtig: Selbst wenn du die FB-Firewall für die delegierten Netze freischaltest, ist das WAN-IF der Sense selber weiterhin durch die FB-FW geschützt. Da gibt's einen seperaten Eintrag, das Gerät als Exposed Host freizugeben.
Auch wichtig: Im IPv6 ist alles, was mit 2xxx: oder 3xxx: anfängt, tendenziell öffentlich erreichbar. Bitte vermeide also, in der FB das delegierte Netz komplett freizugeben und dann in der Sense eine Allow_Any_to_Any-Regel von WAN zu LAN zu konfigurieren... Sollte selbstverständlich sein, der Sicherheit halber möcht ich's aber trotzdem nochmal betonen.
Viel Spaß beim Sensen!
Sofern keine Fritzbox davor ist ein Beispiel mit direktem WAN Port und einem /62er Prefix.
Works as designed! 😉
Works as designed! 😉
