Sophos Firewall hinter Mikrotik LTE Router mit fester IPv6
Hallo zusammen,
Folgendes Szenario, ich habe eine Sophos Firewall hinter einem Mikrotik LTE6 Set und bei der Telekom eine feste IPv6 bestellt. Man bekommt bei dem Tarif eine /64 Adresse zugewiesen. Soweit so gut. Wären ja für einen VPN Tunnel zwischen zwei Standorten ausreichend, wenn ich IPv4 über ein IPv6 Gateway route. Das es funktioniert, kann ich bestätigen, da ich es bereits einmal über die Glasfaser IPv6 erfolgreich aufgebaut bekommen habe.
Mein Problem ist jetzt nicht das VPN, sondern das ich über die Mikrotik Antenne gar nicht bis zum Router durchkomme. Ich habe testweise die Input, Output und Forward Chain in der IPv6 komplett freigegeben, trotzdem funktioniert kein Ping.
Mein Aufbau schaut so aus, das LTE Modem hat eine 2a01:aaaa:aaaa:aaaa:xxxx:xxxx:xxxx:xxxx/64 Adresse bekommen.
Dem Ethernet Anschluss habe ich dann die 2a01:aaaa:aaaa:aaaa::1/64 gegeben, dem LAN Port der Sophos 2a01:aaaa:aaaa:aaaa::2/64 und die Firewalls beide mal auf Any/Any testweise gesetzt.
Ich kann die Public IPv6 vom LTE Anschluss anpingen, die beiden fest vergebenen internen Adressen aus dem Bereich aber nicht. Folgerichtig funktioniert da auch kein VPN drüber. Die Adresse vom Ethernet Anschluss der Mikrotik Antenne kann ich von der Sophos aus pingen und umgekehrt. Und man kann DNS Server im Internet über diesen Anschluss erreichen.
Kann mir jemand einen Tip geben was ich übersehe, oder eine Beispielkonfig, falls das schonmal so gemacht wurde?
Also nochmal, das LTE Interface soll nur WAN bereitstellen, Sophos macht VPN, wie leite ich den IPv6 Traffic weiter damit externe Geräte mit der internen IPv6 kommunizieren können?
Folgendes Szenario, ich habe eine Sophos Firewall hinter einem Mikrotik LTE6 Set und bei der Telekom eine feste IPv6 bestellt. Man bekommt bei dem Tarif eine /64 Adresse zugewiesen. Soweit so gut. Wären ja für einen VPN Tunnel zwischen zwei Standorten ausreichend, wenn ich IPv4 über ein IPv6 Gateway route. Das es funktioniert, kann ich bestätigen, da ich es bereits einmal über die Glasfaser IPv6 erfolgreich aufgebaut bekommen habe.
Mein Problem ist jetzt nicht das VPN, sondern das ich über die Mikrotik Antenne gar nicht bis zum Router durchkomme. Ich habe testweise die Input, Output und Forward Chain in der IPv6 komplett freigegeben, trotzdem funktioniert kein Ping.
Mein Aufbau schaut so aus, das LTE Modem hat eine 2a01:aaaa:aaaa:aaaa:xxxx:xxxx:xxxx:xxxx/64 Adresse bekommen.
Dem Ethernet Anschluss habe ich dann die 2a01:aaaa:aaaa:aaaa::1/64 gegeben, dem LAN Port der Sophos 2a01:aaaa:aaaa:aaaa::2/64 und die Firewalls beide mal auf Any/Any testweise gesetzt.
Ich kann die Public IPv6 vom LTE Anschluss anpingen, die beiden fest vergebenen internen Adressen aus dem Bereich aber nicht. Folgerichtig funktioniert da auch kein VPN drüber. Die Adresse vom Ethernet Anschluss der Mikrotik Antenne kann ich von der Sophos aus pingen und umgekehrt. Und man kann DNS Server im Internet über diesen Anschluss erreichen.
Kann mir jemand einen Tip geben was ich übersehe, oder eine Beispielkonfig, falls das schonmal so gemacht wurde?
Also nochmal, das LTE Interface soll nur WAN bereitstellen, Sophos macht VPN, wie leite ich den IPv6 Traffic weiter damit externe Geräte mit der internen IPv6 kommunizieren können?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668195
Url: https://administrator.de/forum/sophos-firewall-hinter-mikrotik-lte-router-mit-fester-ipv6-668195.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
7 Kommentare
Neuester Kommentar
Du hast das selbe Subnetz zwei Interfaces vergeben, das kann so natürlich nicht funktionieren da weiß der Router ja nicht in welche der beiden er routen soll. Ist bei IPv4 ja genau das gleiche . Du musst das Subnetz am WAN des LTE kleiner machen also die Adresse z.B. auf ein 72 setzen und das interne dann auch auf ein anderes 72er. Das 64er Subnetz wird ja eh an dein Device bzw. die IPv6 am WAN deines LTE geroutet, der Mikrotik routet dann entsprechend weiter wenn in der Firewall das Forwarding durchgängig geschaltet wurde.
Wenn du das IPv6 Subnetz per DHCPv6-Client zugewiesen bekommst dann brauchst du am WAN auch gar keine IPv6-Adresse (wird dann per LinkLocal zu dir geroutet) sondern brauchst nur per DHCPv6-Client einen "Prefix" anfordern und das 64er per Prefix-Delegation komplett auf das interne Interface zuweisen.
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Über LTE hast du aber direkt die Möglichkeit ein Interface zuzuweisen auf das ein IPv6 Subnetz zugewiesen werden soll, da brauchst du den DHCPv6-Client nicht, da reicht es dann das interne LAN-Interface im APN einzustellen:
Wenn du das IPv6 Subnetz per DHCPv6-Client zugewiesen bekommst dann brauchst du am WAN auch gar keine IPv6-Adresse (wird dann per LinkLocal zu dir geroutet) sondern brauchst nur per DHCPv6-Client einen "Prefix" anfordern und das 64er per Prefix-Delegation komplett auf das interne Interface zuweisen.
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Über LTE hast du aber direkt die Möglichkeit ein Interface zuzuweisen auf das ein IPv6 Subnetz zugewiesen werden soll, da brauchst du den DHCPv6-Client nicht, da reicht es dann das interne LAN-Interface im APN einzustellen:
Trage mal wie oben nachgetragen das interne Interface in den APN unter "IPv6 Interface" ein. Bekommst du dann das 64er Netz zugewiesen? Wenn nicht von Hand wie oben beschrieben, 72er auf das LTE und 72er auf das interne LAN
Zitat von @rzlbrnft:
Du meinst als Passthrough Interface? Mein Dialog sieht so aus. Wenn ich IPv6 -> None auswähle, bekomme ich keine Adressen. Wähle ich das LTE Interface, kommt eine Fehlermeldung.
Nein! Sieh dir meinen Screenshot oben an! Unter "IPv6 Interface" sollte das LAN Interface auagewählt werden.Du meinst als Passthrough Interface? Mein Dialog sieht so aus. Wenn ich IPv6 -> None auswähle, bekomme ich keine Adressen. Wähle ich das LTE Interface, kommt eine Fehlermeldung.
Auf dem Bridge Interface steht auch das Prefix mit Advertise drin. So soll es wohl auch aussehen.
Richtig.hier wird die fe80 Adresse verwendet
Was bei IPv6 auch richtig und vollkommen normal ist das da als GW die LinkLocal Adresse inkl. InterfaceIdentifier steht.die man aber nicht als Listening Interface im VPN verwenden kann.
Ist ja auch Blödsinn. Wie holt sich die Sophos die IPv6? Per SLAAC oder hast du hier manuell die IPv6 auf dem Interface hinterlegt. Wenn du eh ein festes IPv6 64er Subnetz hast kannst du auch eine Adresse davon fest auf dem Interface fest eintragen und das GW auf die Link Lokal des Mikrotik setzen.Alternativ den DHCPv6 Server auf dem Mikrotik aktivieren und auf der Sophos per DHCPv6 den Prefix oder Adresse anfordern.