OPNsense Forum
International Forums => German - Deutsch => Topic started by: simpsonetti on March 20, 2023, 05:48:25 pm
-
Hi, ich komme zwar aus der IT, habe aber mit Netzwerken nichts zu tun. Die sind da und funktionieren und wenn nicht, schreibe ich meinen Netzwerkern ein Ticket und die beheben es. (Ich kümmere mich um Storages und Backup)
Mein neuer Provider (DG) wird demnächst meinen FIBER-Anschluss legen und ich bekomme keinen IPV4 sondern IPv6 und irgend etwas anderes. Damit meine Server etc, von aussen abrufbar sind, (oder nur per VPN, weiß ich noch nicht genau) möchte ich IPv6 besser verstehen.
Kennt jemand von euch gute HowTos, die die Thematik gut erklären, ggf auch per Video?
Ich schaue mir gerade so etwas durch, aber den sinn verstehe ich nicht wirklich.
Wenn da jemand etwas hätte, dann gerne her damit.
Danke und gruß Sebastian
-
Fang vielleicht einmal hier an und schau dich dann bei Benedikt noch weiter um:
http://www.benedikt-stockebrand.de/ipv6-it-stammtisch-darmstadt.pdf
-
okay, das war schon mal gut.
Aber nun kommen die Fragen: wennich nun von meinem provider eine IPv6 bekommen habe und einen kompletten pool für meine geräte "dahinter", heißt das ich muss internen nun auch ipv6 verwenden oder kann ich das ipv4 weiter nutzen? ich würde dann auf der opnsense alles laufen lassen. also dns, dhcp etc. was dazu da ist, die infrastruktur zur verfügung zu stellen.
geht das so?
-
Nur ein paar wichtige Pointer, explizit keine Schritt-für-Schritt-Anleitung (Google ist Dein Freund):
Das hängt bei IPv4 von der Richtung des Traffics ab. Mit DS-Lite kannst Du ja ganz normal aus Deinem (IPv4-)LAN heraus auf alles mit IPv4 im Internet zugreifen. Die LAN-IPs werden dabei über eine doppelte NAT (LAN -> ISP-CG-Netz -> Internet) auf eine routebare IP abgebildet.
Umgekehrt geht das nicht, weil Du auf der äußeren NAT-Grenze keine Portfreigaben einstellen kannst - das lässt der ISP nicht zu.
Insofern ist weder Deine OpnSense noch ein Gerät dahinter vom Internet aus per IPv4 "erreichbar" (= es kann von außen keine Verbindung initiiert werden, Antworten kommen schon durch). Nun ist auch klar, dass DynDNS per IPv4 bei DS-Lite keinen Sinn ergibt, weil man ja höchstens eine Public-IP des Providers auflösen könnte, die man sich mit vielen anderen Anschlüssen teilt und auf der kein Port geöffnet ist.
Was IPv6 angeht, gibt es eigentlich keinen Unterschied zwischen DS und DS-Lite: Du erhältst einen IPv6-Range, den Du segmentieren und intern im LAN verteilen kannst (per DHCPv6 oder SLAAC). Deine IPv6-fähigen Clients können dann ins Internet zugreifen, werden aber nicht geNATet, sondern zeigen ihre "echte" routebare IPv6 (entweder die EUI-64 oder wenn unterstützt, eine Privacy-Extension-IPv6) - immer vorausgesetzt, dass die Firewall das zulässt.
Von außen nach innen hat man normalerweise eine Regel, die Zugriffe verhindert, es ist aber möglich, einzelne Geräte und Ports zuzulassen. Problem ist dabei, dass die oberen 56 Bits der IPv6 variabel sind, deshalb muss man bei den Firewall-Regeln "Dynamische IPv6"-Aliase verwenden - das geht natürlich normalerweise nur mit dem EUI-64-Suffix des Geräts.
Nun wird es interessant, weil jedes "erreichbare Gerät" seinen eigenen EUI-64-Suffix hat, was bedeutet, dass eben nicht alle Geräte unter dem selben DNS-Namen adressierbar sind. Also sollte die OpnSense einen IPv6-fähigen DynDNS-Dienst nutzen, bei dem man mehrere DNS-Namen (bzw. Hostnamen unter der selben (Sub-)Domain) auf einmal aktualisieren kann und bei denen die niederwertigen EUI-64-Bits inklusive Segment-Präfix jeweils fest vorgegeben werden können - das sind dann die verschiedenen Clients.
Alternativen dazu sind HAProxy (https://forum.opnsense.org/index.php?topic=23339.0) für namensbasierte Auflösung von HTTP-Endpunkten im LAN, wo dann alle Hostnamen auf den selben Alias (nämlich die OpnSense selbst) verweisen und nur aufgrund des Namens verzweigt wird oder aber:
IPv6-Port-Forwards mit dem Ziel "This Firewall" auf den jeweiligen IPv6-Client (auch dort per Firewall-Alias, da es ja immer noch IPv6-Traffic ist).
All das löst aber noch nicht das Problem, dass man per IPv4 "von außen" NICHT erreichbar ist. Wenn man nämlich irgendwo keine IPv6-Unterstützung hat (manche Mobilfunknetze, viele Hotel-, Privat- und Firmen-WLANs), geht das alles eben nicht mit DS-Lite.
Dann braucht man Tunnel-Lösungen wie Cloudflare oder Dual-DNS mit einem virtuellen Server im Internet, der einzelne Ports von IPv4 auf IPv6 umleiten kann.
Alles sehr spaßig und zeitraubend und wenn Du damit fertig bist, bist Du ein Netzwerker.
-
Moin.
https://danrl.com/ipv6/
als .pdf oder .epub
https://requestforcomments.de/archives/412
Podcast nicht mehr direkt von da abrufbar, aber leicht zu finden ...
https://podcasts.apple.com/us/podcast/rfce014-ipv6/id1082223939?i=1000401347741