Hallo,
ich würde gerne IPv6 bei mir einrichten, jetzt hat mir mein Provider ein statisches /56 IPv6 bereitgestellt, welches bei mir auf dem WAN Interface anliegt.
Mein Problem ist jetzt, wie bekomme ich dieses Netz (genauer einzelne Sub-Netzte) auf die LAN Seite? Bisher kannte ich hier immer nur DHCPv6 Prefix-Delegation, um das Netz weiter aufzuteilen. Wie mache ich das, wenn ich ein statisches Netz zur verfügung habe?
Auf LAN Seite würde ich Windows, MacOS, Android und iPhones haben. Für die Smartphones benötige ich SLAAC, da die Clients ja kein DHCPv6 unterstützen. Das heißt, ich müsste es dort per Router Advertisment konfigurieren, wie stelle ich aber WAN und LAN Interface ein?
Aktuell läuft Version "OPNsense 20.1.3"
Bin für Tipps Dankbar!
Grüße
Julian
Also erst mal solltest du auf 20.1.9 gehen, gerade bei IPv6 hat sich in den minor releases was getan.
Dann wäre noch die Frage ob du auf WAN ein statisches /64er hast oder das per DHCPv6 kommt? Da fehlen noch ein paar Infos.
Wie geschrieben, das Netz ist statisch und zwar ein /56. Kein DHCPv6 vom Provider zu mir und auch kein "Koppel-Netzwerk" oder dergleichen.
Lediglich eine Gateway IP hat sich der Provider aus dem /56 Netz genommen.
Das Update ist schon für die nächsten Tage geplant.
Also ich will mich nicht zu weit aus dem Fenster lehnen, aber das RFC verbietet so große Transfernetze soweit ich weiss. Eigentlich muss der Provider 64 oder kleiner als Transfer bereitstellen und darüber dann /56.
Es ist ja kein Transfer-Netz vorhanden, das /56 ist direkt auf meinem WAN, mit dem Hinweis vom Kunden verwendbare IP-Adressen...
Bin ich richtig der Annahme, das ich eigentlich DHCPv6 mit Prefix-Deligation oder ein weiteres Transfer-Netz benötige?
Ja. Normalerweise macht der Provider ein /64 oder ein /127er Netz, und dann wir /56 darüber geroutet.
/56 für Direktanbindung ist vom RFC her verboten.
Man kann auch das ganze /56 statisch auf die MAC des CPE-Routers, also der OPNsense routen ... da dann eben in /64 auseinanderfieseln.
Oder Prefix Delegation ...
Quote from: pmhausen on July 27, 2020, 03:39:50 PM
Man kann auch das ganze /56 statisch auf die MAC des CPE-Routers, also der OPNsense routen ... da dann eben in /64 auseinanderfieseln.
Oder Prefix Delegation ...
Hast du das so im Einsatz?
Hetzner macht das mit kleineren Prefixen so, alles statisch an die MAC, werde glücklich.
Er schreibt ja bislang nicht, was er denn nun für einen Provider hat. Bei der Telekom steht im Portal von meinem Business Anschluss auch ein /56, die Fritzbox kriegt das per DHCPvz, wenn ich mich nicht irre, legt aber natürlich wieder nur ein /64 auf das LAN.
Hinter der Fritzbox funktioniert wieder Prefix Delegation, die rückt dann /62 raus, von denen z.B. ein Cisco mit IOS natürlich wieder nur ein /64 auf sein LAN legt etc. pp. ...
Der Provider ist Colt mit einer Standleitung für ein Büro.
Ich bin jetzt mal mit dem Provider in die Diskussion gegangen, wie er sich den das Netzwerk-Design so vorgestellt hat...
Ein /56 als Zuteilung für ein Unternehmen ist ja ok, aber ich muss das halt irgendwie aufteilen und routen können, nicht als ganzen verwenden...
Habe mit dem Provider gesprochen. Wir teilen das Netzwerk auf und nehmen ein /64 als Koppel-Netzwerk und dann setzten wir statisches Routing für alle anderen Subnetze auf. Damit sollte auch das Routing funktionieren...
Was mich nur etwas wundert, der Provider möchte auf seinen IPv6 Router Interface weiterhin /56 als Mask verwenden und alle anderen Netze mit statischen Routen an meine Firewall routen.
Das finde ich etwas komisch, müsste aber ja funktionieren, weil "Striktere"/genauere Routen Ja eine höhere Prio haben.
Was wäre das korrekte Router Advertisements Setting, um von Windows über Mac bis hin zu iOS und Android alle Client-Betriebsysteme zu unterstützen? Für die Smartphones benötige ich ja auf jeden Fall SLAAC, also müsste es "Assisted" oder "Stateless" sein, damit ich alle Varianten unterstütze?
Ok, nachdem der Provider nun ein Routing zu mir konfigurierd hat funktioniert es auch, wenn ich auf meinen LAN-Interfaces ein passendes IPv6 Subnetz in /64 konfiguriere.
Jetzt muss ich nur noch das Konstrukt aus DHCPv6 und Router Advertisement Service dazu bringen, dass das auch mit MacOS und iOS/Android geht. Windows würde schon funktionieren.
MacOS,iOS/Android haben eine passende IPv6, die default IPv6-Route zeigt bei diesen Clients aber auf die IPv6 Link Local adresse der Firewall, nicht auf die CARP IPv6 auf den LAN Interface. Wäre für mich ja auch noch ok, aber Traffic funktioniert von den Clients leider nicht.
Hat da jemand Empfehlungen?