Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)

Mitglied: altmetaller

altmetaller (Level 3) - Jetzt verbinden

28.05.2020 um 13:18 Uhr, 1235 Aufrufe, 5 Kommentare, 5 Danke

Hallo,

Vorab

Ich beschreibe hier lediglich die IPv6-Anbindung. Informationen zu IPv4 sollten selbsterklärend sein. In meinem Szenario verwende ich eine pfSense, die an einer Fritz!Box 6360 von Kabel Deutschland hängt. Ich bemühe mich, die Anleitung so allgemein wie möglich zu halten, damit sie möglichst leicht auf eigene Szenarien angewandt werden kann.

Betrachtung der Netzwerkanbindung

ein Blick in den Online-Monitor der Fritz!Box offenbart uns, dass wir ein /62 Netz erhalten.
fritz!box online-monitor - Klicke auf das Bild, um es zu vergrößern

In diesem Fall lautet das uns zugewiesene Netz:
  • xxxx:xxxx:dc0:4818::/62

Daraus ergeben sich laut diesem IPv6-Subnetzrechner vier /64 Subnetze, die (von der Fritz!Box) wie folgt verwendet werden:
  • xxxx:xxxx:0dc0:4818::/64 [LAN]
  • xxxx:xxxx:0dc0:4819::/64 [Gastzugang]
  • xxxx:xxxx:0dc0:481a::/64 [Geräte "Heimnetzwerk"]
  • xxxx:xxxx:0dc0:481b::/64 [Geräte "Heimnetzwerk"]

Unser Ziel ist, die letzten beiden /64 Netze (bzw. das daraus resultierende /63 Netz) durch die pfSense an die Clients durchzureichen. Alle Geräte aus dem Heimnetzwerk sollen eine IPv6-Adresse aus diesem Netz erhalten:
  • xxxx:xxxx:dc0:481a::/63

Vorbereitungen auf der Fritz!Box

Unter Heimnetz -> Heimnetzübersicht findet man den Reiter "Netzwerkeinstellungen" und hier den Button "IPv6-Adressen". Dort aktiviert man mindestens:
  • [x] DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen

Was man damit einschaltet, ergibt sich aus dem entsprechenden Hilfstext: FRITZ!Box als DNS-Server via DHCPv6 bekannt geben. Teile des vom Internetanbieter zugewiesenen IPv6-Netzes an nachgelagerte Router weitergeben. Geräte im Heimnetzwerk bekommen eine IPv6-Adresse via DHCPv6 zugewiesen.

Das bedeutet:
  • Die Fritz!Box spielt weiterhin DNS und DHCP für IPv6
  • Die pfSense darf via Router Advertisement ein IPv6-Netz von der Fritz!Box anfordern und hier Adressen vergeben
  • Geräte, die an die Fritz!Box angeschlossen werden, bekommen weiterhin eine IPv6-Adresse

Zusätzlich habe ich noch folgende Punkte aktiviert:
  • [x] Unique Local Adresses (ULA) immer zuweisen
  • [x] ULA-Präfix manuell festlegen

Das ULA-Präfix sollte man zufällig generieren, bei mir hat der Zufallsgenerator mein Geburtsdatum, gefolgt von abcd ausgeworfen

Die Adresse bei "DNSv6-Server im Heimnetz" muss man nicht an die ULA-Adresse der Fritz!Box anpassen. Zum Einen wird die Option ignoriert, da das Kreuz nicht gesetzt ist. Zum Anderen wird hier beim Speichern die Adresse von der Fritz!Box eingetragen, falls kein eigener (von der Fritz!Box abweichender) DNS angegeben ist.

So sieht das bei mir aus:
fritz!box ipv6-einstellungen - Klicke auf das Bild, um es zu vergrößern

pfSense Schnittstellen

Die WAN-Schnittstelle konfiguriert man als DHCP6 Client. In den erweiterten Einstellungen legt man die Größe vom Prefix fest, welches die pfSense anfordern soll:
  • [ ] Only request an IPv6 prefix, do not request an IPv6 address
  • DHCPv6 Prefix Delegation size: 63
  • [x] Send an IPv6 prefix hint to indicate the desired prefix size for delegation

Grund, warum ich "Only request an IPv6 prefix, do not request an IPv6 address" im Gegensatz zu vielen anderen Tutorials nicht(!) anhake ist der, dass ich die IPv6-Adresse der pfSense dann auf der Fritz!Box "greifbar" habe (z.B. für Forwardings, Filterregeln, Profile usw. usf.).

Auch hier sagt ein Bild mehr als 1000 Worte:
pfsense wan - Klicke auf das Bild, um es zu vergrößern

Bei der LAN-Schnittstelle "schauen wir quasi durch die WAN-Schnittstelle auf die Fritz!Box. Die dazugehörige Schnittstelle wird auf "Track Interface" gesetzt. In den entsprechenden Optionen ist folgendes konfiguriert:
  • IPv6 Interface: WAN
  • IPv6 Prefix ID: 0

Eine andere ID als 0 würde hier keinen Sinn machen. Wir haben ein /63er Netz angefordert, ein /63er Netz erhalten und möchten ein /63er Netz verteilen. Der obligatorische Screenshot:
pfsense lan - Klicke auf das Bild, um es zu vergrößern

Auch wenn man bei der Konfiguration mit diversen "Apply Changes" Anfragen konfrontiert wird: Es empfiehlt sich, die pfSense jetzt einmal neu zu starten. Nach dem Neustart schaue ich in die Netzwerkeinstellungen unter Status -> Interfaces, ob die pfSense die Adressen übernommen hat. Bei mir sieht das so aus:
pfsense interfaces - Klicke auf das Bild, um es zu vergrößern

Die wesentliche Information findet sich hinter IPv6 Address: Hier sollte jetzt eine Adresse aus dem Netz auftauchen, das wir vom Internetanbieter dynamisch zugewiesen bekommen haben. Vergleiche dazu den vorangegangenen Abschnitt "Betrachtung der Netzwerkanbindung".

Wer jetzt, wie ich, unter chronischer Vergleicheritis leidet, "auf Nummer Sicher" gehen möchte und ein Gefühl dafür bekommen möchte, welche Adressen wo auftauchen, schaut sich die pfSense in der Heimnetzübersicht der Fritz!Box an:
details pfsense - Klicke auf das Bild, um es zu vergrößern

"Ja aber bei IPv6 sind doch mehrere Adressen pro Schnittstelle möglich und üblich - müsste dann nicht auch die ULA-Adresse (aus unserem "zufällig zusammengewürfelten" fd00::/8 Netz) in der Netzwerkübersicht der pfSense angezeigt werden?"

Ja, das müsste sie - wird sie aber nicht. Die pfSense hat dennoch eine Adresse aus dem ULA-Netz erhalten und kennt diese auch. Wer es nicht glaubt, kann das (auf der pfSense) in einer Shell mit "ipconfig -a" überprüfen. Es handelt sich somit schlichtweg um einen Fehler in der Anzeige. Wer es nicht glaubt - ich trete gerne den Beweis an:
pfsenes ifconfig - Klicke auf das Bild, um es zu vergrößern

Hier sieht man, dass das WAN-Interface drei Adressen vorhält:
  • Die Adresse mit dem Präfix fe80::/64 ist die Link-Local-Adresse
  • Die Adresse aus dem Subnetz xxxx:xxxx:0dc0:481a::/64 stammt von unserem Internetanbieter. Vergleiche dazu den vorangegangenen Abschnitt "Betrachtung der Netzwerkanbindung".
  • Die Adresse aus dem Subnetz fd00::/8 Netz stammt aus unserem ULA-Netz auf der Fritz!Box

Auf der LAN-Schnittstelle sieht es änlich aus mit dem Unterschied, dass hier keine ULA-Adresse aus dem Netz der Fritz!Box konfiguriert ist. ULA-Adressen existieren immer nur innerhalb eines Netzwerksegmentes. Die trennende Komponente ist hier die pfSense, so dass die das ULA-Netz zwar ein-, aber nicht ausgehend sieht.

Wir haben jetzt die IPv6-Adressen auf der pfSense und fahren mit der Konfiguration der Firewall fort. Damit die pfSense weiß, wo sie ihren IPv6-Traffic los wird, setzen wir unter System -> Routing -> Gateways das entsprechende Gateway. Das geschieht nicht automatisch (...und ich wäre fast wahnsinnig geworden!).
pfsense gateways - Klicke auf das Bild, um es zu vergrößern

Auch wenn es noch so verführerisch erscheint: Der DHCPv6-Server wird nicht aktiviert und hier muss auch nichts konfiguriert werden. Statt dessen setzen wir unter Services -> DHCPv6 Server & RA -> Router Advertisements den "Router Mode" auf Unmanaged:
pfsense router advertisements - Klicke auf das Bild, um es zu vergrößern

Unser Ergebnis

Ein "Windows 10" PC hängt an der LAN-Schnittstelle der pfSense und bezieht via DHCP seine IPv4- und (hoffentlich auch) seine IPv6-Adresse. In der Eingabeaufforderung verschaffen wir uns mit ipconfig /a einen ersten Überblick:
windows 10 ipconfig - Klicke auf das Bild, um es zu vergrößern

Unser Windows-PC hält, IPv6-technisch gesehen, drei Adressen vor:
  • Die Adresse mit dem Präfix fe80::/64 ist die Link-Local-Adresse
  • Die IPv6-Adresse aus dem Subnetz xxxx:xxxx:0dc0:481a::/64 stammt von unserem Internetanbieter
  • Die temporäre IPv6-Adresse aus dem Subnetz xxxx:xxxx:0dc0:481a::/64 stammt von unserem Internetanbieter

Aus Gründen des Datenschutzes wird unter Windows (m.W. seit "Windows 7") immer eine temporäre Adresse gebildet. Diese wird unter Zuhilfenahme von zufällig generierten Daten generiert bei jedem Neustart neu gebildet. Somit soll sichergestellt werden, dass ein PC nicht anhand seiner IP-Adresse "wiedererkannt" werden kann.

Weitere Beweise für das Überschreiten der Zielgeraden verschaffen wir uns so:
windows 10 ping nslookup - Klicke auf das Bild, um es zu vergrößern

  • Der ping auf eine "beliebige" IPv6-Adresse (z.B. 2620:fe::fe, das ist der DNS-Server von Quad 9) verläuft problemlos.
  • Der ping auf die ULA-Adresse der Fritz!Box funktioniert ebenfalls.
  • Unsere Fritz!Box löst den eigenen Hostnamen fritz.box fehlerfrei auf. Als Antwort erhalten wir ihre IP-Adresse aus dem öffentlichen Netz unseres Anbieters und die ULA-Adresse.
  • Unsere Fritz!Box löst die eigene ULA-Adresse revers auf. Als Antwort erhalten wir - wie erhofft - den Hostnamen fritz.box

Ein letzter prüfender Blick geht auf einen der zahlreichen Dienste, mit denen man seine IPv6-Anbindung überprüfen kann. Mein Favorit ist IPv6 test. Das Ergebnis:
ipv6-test - Klicke auf das Bild, um es zu vergrößern

Und? Was fällt uns auf? Richtig - es wird tatsächlich die temporäre IPv6-Adresse unseres "Windows 10" PCs verwendet. Seine eigene, ebenfalls öffentliche IPv6-Adresse wird verschleiert - was dem Datenschutz sicher keinen Abbruch tut.

Ich würde mal behaupten, wir sind "fertig". Fragen, Anregungen und Ergänzungen gerne in den Kommentaren.

Liebe Grüße,
Jörg
Mitglied: Lochkartenstanzer
28.05.2020 um 13:32 Uhr
Zitat von altmetaller:

Ich beschreibe hier lediglich die IPv6-Anbindung. Informationen zu IPv4 sollten selbsterklärend sein. In meinem Szenario verwende ich eine pfSense, die an einer Fritz!Box 6360 von Kabel Deutschland hängt. Ich bemühe mich, die Anleitung so allgemein wie möglich zu halten, damit sie möglichst leicht auf eigene Szenarien angewandt werden kann.

Moin,

Kurze Anmerkung:

Auch die 7590 & Co. unterstützen natürlich das "weitergeben" der Subnetze auf diese Art, d.h. die Anleitung ist nicht auf die "Kabelfritte" beschränkt.

Das ULA-Präfix sollte man zufällig generieren, bei mir hat der Zufallsgenerator mein Geburtsdatum, gefolgt von abcd ausgeworfen

Weitere beliebte Zufallszahlengeneratoren spucken gerne mal "abba" oder "deadbeef" als Ziffernfolgen aus.

lks
Bitte warten ..
Mitglied: altmetaller
28.05.2020 um 13:40 Uhr
Hallo,

Zitat von Lochkartenstanzer:

Auch die 7590 & Co. unterstützen natürlich das "weitergeben" der Subnetze auf diese Art,

Japp, das denke ich mir auch. Ich kann natürlich nur das beschreiben, was auf meinem Schreibtisch steht. Ich habe mich daher bemüht, meine Anleitung auf die "best Practice" und das zu reduzieren, was man in irgendeiner Art und Weise überall vorfindet. Deine Anregung mit den ULA-Adressen habe ich berücksichtigt.

Bezüglich ULA kommt demnächst noch etwas, was auf dieser Anleitung bzw. diesem Szenario aufbaut. Hier ging es erst einmal darum, Internetseiten via IPv6 zu erreichen, was vermutlich 90% aller Anwendungsfälle abdecken dürfte.

Gruß,
Jörg
Bitte warten ..
Mitglied: it-frosch
28.05.2020 um 14:07 Uhr
Hallo Jörg,

danke erst einmal für deine Anleitung.
Wenn ich das richtig verstehe kann ich mir damit eine DMZ am Kabelanschluss aufbauen?

grüße vom it-frosch
Bitte warten ..
Mitglied: Lochkartenstanzer
28.05.2020 um 14:13 Uhr
Zitat von it-frosch:

Hallo Jörg,

danke erst einmal für deine Anleitung.
Wenn ich das richtig verstehe kann ich mir damit eine DMZ am Kabelanschluss aufbauen?

Nicht nur am Kabelanschluß sondern auch am DSL-Anschluß. Die Telekom gibt Dir z.B. ein /56. damit könntest Du 256 separate Netze hinter der Fritzbox aufspannen.

lks
Bitte warten ..
Mitglied: altmetaller
28.05.2020 um 14:19 Uhr
Hallo,

japp - deshalb die Vorab-Betrachtung und der Verweis auf den Netzwerkrechner. Somit kann jeder selber eruieren, welche Möglichkeiten sein ISP ihm eröffnet.

Man sollte sich immer vor Augen führen, welche Netze und Präfixe die eigene Fritz!Box wofür reserviert.

Gruß,
Jörg
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Anticalcenter Telefonbücher für AVM Fritz!Box Modelle und eine kleine IP Blacklist

Information von 108012Router & Routing3 Kommentare

Hallo zusammen, ich bin zur Zeit dabei meine AVM FB 7490 besser einzurichten und dabei bin ich auf meinen ...

Netzwerke

Riesiges Botnetz in Deutschland

Tipp von FFSephirothNetzwerke2 Kommentare

Überprüft mal eure Router und NAS

Windows Netzwerk

Browser-Lags und IPv6

Erfahrungsbericht von NixVerstehenWindows Netzwerk2 Kommentare

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Firewall

Es ist soweit: Es gibt IPv6-Grundrauschen

Erfahrungsbericht von LordGurkeFirewall1 Kommentar

Hallo, ich habe gerade mal mit meiner sflow-Auswertung herumgespielt und dabei bemerkt, dass es offenbar inzwischen eine Art IPv6-Grundrauschen ...

Neue Wissensbeiträge
Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 2 TagenDatenschutz

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 4 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 5 TagenOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 6 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Verschiedene Subnetzmaske in der Praxis: Völlig unnötig für kleine Netzwerke!?
Frage von media0815Netzwerkgrundlagen16 Kommentare

Hallo, mal eine ketzerische Frage: Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: ...

LAN, WAN, Wireless
CAT 5 (nicht CAT 5e) vs. 1 GBit - kann man das "heilen" (bspw. durch Adern zu manipulieren o.ä.)?
Frage von xdevelxLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich habe nun endlich eine Internet-Leitung erhalten, die die 100 MBit-Grenze übersteigt - leider kann ich zu ...

Ubuntu
Wie kann man zwei Spalten austauschen und dabei das Trennzeichen " " durch ":" ersetzen?
gelöst Frage von 144803Ubuntu9 Kommentare

Guten Tag an alle, ich habe eine Datei: Was ich brauche ist folgendes: Wie kann man das realisieren? Das ...

Router & Routing
Routingproblem 2 Router
gelöst Frage von e1ns2woRouter & Routing8 Kommentare

Hallo zusammen, ich habe hinter meiner Fritzbox (Routerzwang Provider) noch einen Asus RT-AC68U Router hängen. Der Asus Router ist ...