rzlbrnft
Goto Top

Sophos Firewall hinter Mikrotik LTE Router mit fester IPv6

Hallo zusammen,
Folgendes Szenario, ich habe eine Sophos Firewall hinter einem Mikrotik LTE6 Set und bei der Telekom eine feste IPv6 bestellt. Man bekommt bei dem Tarif eine /64 Adresse zugewiesen. Soweit so gut. Wären ja für einen VPN Tunnel zwischen zwei Standorten ausreichend, wenn ich IPv4 über ein IPv6 Gateway route. Das es funktioniert, kann ich bestätigen, da ich es bereits einmal über die Glasfaser IPv6 erfolgreich aufgebaut bekommen habe.

Mein Problem ist jetzt nicht das VPN, sondern das ich über die Mikrotik Antenne gar nicht bis zum Router durchkomme. Ich habe testweise die Input, Output und Forward Chain in der IPv6 komplett freigegeben, trotzdem funktioniert kein Ping.

Mein Aufbau schaut so aus, das LTE Modem hat eine 2a01:aaaa:aaaa:aaaa:xxxx:xxxx:xxxx:xxxx/64 Adresse bekommen.
Dem Ethernet Anschluss habe ich dann die 2a01:aaaa:aaaa:aaaa::1/64 gegeben, dem LAN Port der Sophos 2a01:aaaa:aaaa:aaaa::2/64 und die Firewalls beide mal auf Any/Any testweise gesetzt.

Ich kann die Public IPv6 vom LTE Anschluss anpingen, die beiden fest vergebenen internen Adressen aus dem Bereich aber nicht. Folgerichtig funktioniert da auch kein VPN drüber. Die Adresse vom Ethernet Anschluss der Mikrotik Antenne kann ich von der Sophos aus pingen und umgekehrt. Und man kann DNS Server im Internet über diesen Anschluss erreichen.

Kann mir jemand einen Tip geben was ich übersehe, oder eine Beispielkonfig, falls das schonmal so gemacht wurde?

Also nochmal, das LTE Interface soll nur WAN bereitstellen, Sophos macht VPN, wie leite ich den IPv6 Traffic weiter damit externe Geräte mit der internen IPv6 kommunizieren können?

Content-ID: 668195

Url: https://administrator.de/forum/sophos-firewall-hinter-mikrotik-lte-router-mit-fester-ipv6-668195.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

150704
150704 17.09.2024 aktualisiert um 16:46:33 Uhr
Goto Top
Du hast das selbe Subnetz zwei Interfaces vergeben, das kann so natürlich nicht funktionieren da weiß der Router ja nicht in welche der beiden er routen soll. Ist bei IPv4 ja genau das gleiche face-smile. Du musst das Subnetz am WAN des LTE kleiner machen also die Adresse z.B. auf ein 72 setzen und das interne dann auch auf ein anderes 72er. Das 64er Subnetz wird ja eh an dein Device bzw. die IPv6 am WAN deines LTE geroutet, der Mikrotik routet dann entsprechend weiter wenn in der Firewall das Forwarding durchgängig geschaltet wurde.

Wenn du das IPv6 Subnetz per DHCPv6-Client zugewiesen bekommst dann brauchst du am WAN auch gar keine IPv6-Adresse (wird dann per LinkLocal zu dir geroutet) sondern brauchst nur per DHCPv6-Client einen "Prefix" anfordern und das 64er per Prefix-Delegation komplett auf das interne Interface zuweisen.
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)

screenshot

screenshot

screenshot


Über LTE hast du aber direkt die Möglichkeit ein Interface zuzuweisen auf das ein IPv6 Subnetz zugewiesen werden soll, da brauchst du den DHCPv6-Client nicht, da reicht es dann das interne LAN-Interface im APN einzustellen:

screenshot
rzlbrnft
rzlbrnft 17.09.2024 um 17:08:53 Uhr
Goto Top
Klappt so irgendwie nicht. Telekom sagt dazu folgendes:
Das mobile Endgerät, welches die Feste IPv6 Adresse nutzt, muss IPv6-Adressen und das Feature „64share“ NAT64 unterstützen.
(Kein Dual-Stack-Keine feste IPv4 Adresse)
Der APN muss im mobilen Endgerät auf festip.telekom änderbar sein.
(Bitte informieren Sie sich im Vorfeld über die Konfiguration des APN in Ihrem Endgerät)
Das Ziel (Server/Router), das Sie vom mobilen Endgerät aus erreichen wollen,
ist nicht Bestandteil der Mobilfunkoption Feste IPv6-Adresse. Auch IPv4-Ziele im Internet sind via NAT64 erreichbar.

Ich kann zwei APNs eintragen dann hab ich IPv4 und IPv6. Oder ich lass einen dann hab ich aber nur IPv6.
Dann müsste ich NAT64 einstellen, hast du dazu auch eine Anleitung?

Komischerweise funktioniert das Routing zu normalen Internetseiten mit meiner Einstellung nur die internen Adressen sind nicht von aussen erreichbar.
150704
150704 17.09.2024 aktualisiert um 17:19:26 Uhr
Goto Top
Trage mal wie oben nachgetragen das interne Interface in den APN unter "IPv6 Interface" ein. Bekommst du dann das 64er Netz zugewiesen? Wenn nicht von Hand wie oben beschrieben, 72er auf das LTE und 72er auf das interne LAN
rzlbrnft
rzlbrnft 17.09.2024 aktualisiert um 18:04:11 Uhr
Goto Top
Du meinst als Passthrough Interface? Mein Dialog sieht so aus. Wenn ich IPv6 -> None auswähle, bekomme ich keine Adressen. Wähle ich das LTE Interface, kommt eine Fehlermeldung.

mikr1

Und wenn ich LTE1 auswähle, bekomme ich eine /64 Adresse aber keine externe IPv4 mehr.

mikr2

Muss ich dann intern eine Unique Local Adresse vergeben und die durchNATen?
150704
150704 17.09.2024 aktualisiert um 21:43:28 Uhr
Goto Top
Zitat von @rzlbrnft:

Du meinst als Passthrough Interface? Mein Dialog sieht so aus. Wenn ich IPv6 -> None auswähle, bekomme ich keine Adressen. Wähle ich das LTE Interface, kommt eine Fehlermeldung.
Nein! Sieh dir meinen Screenshot oben an! Unter "IPv6 Interface" sollte das LAN Interface auagewählt werden.
rzlbrnft
rzlbrnft 18.09.2024 um 16:51:28 Uhr
Goto Top
Ok, das Bridge Interface hat jetzt schon mal eine IPv6, allerdings aus dem selben /64 Bereich wie das LTE Interface.
Auf dem Bridge Interface steht auch das Prefix mit Advertise drin. So soll es wohl auch aussehen.

Was noch nicht klappt, ist das die Sophos dahinter auch das richtige Gateway bekommt, hier wird die fe80 Adresse verwendet, die man aber nicht als Listening Interface im VPN verwenden kann.
Aber das werd ich mal mit dem Sophos Support auskaspern.
150704
150704 18.09.2024 aktualisiert um 17:06:19 Uhr
Goto Top
Auf dem Bridge Interface steht auch das Prefix mit Advertise drin. So soll es wohl auch aussehen.
Richtig.
hier wird die fe80 Adresse verwendet
Was bei IPv6 auch richtig und vollkommen normal ist das da als GW die LinkLocal Adresse inkl. InterfaceIdentifier steht.
die man aber nicht als Listening Interface im VPN verwenden kann.
Ist ja auch Blödsinn. Wie holt sich die Sophos die IPv6? Per SLAAC oder hast du hier manuell die IPv6 auf dem Interface hinterlegt. Wenn du eh ein festes IPv6 64er Subnetz hast kannst du auch eine Adresse davon fest auf dem Interface fest eintragen und das GW auf die Link Lokal des Mikrotik setzen.
Alternativ den DHCPv6 Server auf dem Mikrotik aktivieren und auf der Sophos per DHCPv6 den Prefix oder Adresse anfordern.