OPNsense Forum
International Forums => German - Deutsch => Topic started by: bxlm on November 15, 2019, 02:44:06 pm
-
Hi zusammen
ich hab zur Zeit ein Problem IPv6 richtig aufzusetzen in unserem Netzwerk
Auf der WAN Seite haben wir ein /64 Netz ohne DHCPv6/SLAAC also nur static IP an den WAN Interfaces konfiguriert.
Wir haben 3 Stufen und zwischen den Stufen ist jeweils ein fc00::/124 Netz für das routing.
Diese werden via OSPFv3 an die anderen bekannt gegeben.
Bei dem Client Netz ist wieder jeweils eine IP aus dem /64 Netz eingestellt und RA auf Unmanaged gesetzt (auch schon mit DHCPv6 und Assisted probiert).
Die Clients bekommen eine IP und das routing klappt auch und die ICMP Pakete werden an das WAN interface rausgegeben.
Jedoch bekommt die Firewall am WAN Port keine Antworten weil sie nicht auf die neighbor solicitation, vom ISP antwortet, da diese nicht bis zum Client weiter gereicht werden.
Jemand eine Idee wie ich dies umsetzen kann?
Plan für die Zukunft ist ausserdem noch, dass weitere Prefixe (von anderen ISP) hinzukommen für Failover.
Aufbau des Netzes
+-------+
+-------| WAN |------+
| +-------+ |
| |
| |
+----|---+ +----|---+
|OPNSense| |OPNSense|
+----|----\ ------|---+
| ---\ ---/ |
| --/ |
| ---/ ---\ |
+----|----/ ------|---+
|OPNSense| |OPNSense|
+----|----\ ------|---+
| ---\ ---/ |
| --/ |
| ---/ ---\ |
+----|----/ ------|---+
|OPNSense| |OPNSense|
+----|---+ +----|---+
| |
| +-------+ |
+------|Clients|-------+
+-------+
tcpdump vom WAN Interface beim ICMP Test nach google DNS
14:21:15.744240 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4924
14:21:15.748420 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::a96:adff:fe01:241a > ff02::1:ffca:e432: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2001:x:x:x::nnnn
source link-address option (1), length 8 (1): 08:96:ad:01:24:1a
0x0000: 0896 ad01 241a
14:21:16.749990 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::a96:adff:fe01:241a > ff02::1:ffca:e432: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2001:x:x:x::nnnn
source link-address option (1), length 8 (1): 08:96:ad:01:24:1a
0x0000: 0896 ad01 241a
14:21:16.757604 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4925
14:21:17.770965 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4926
source link-address option (1), length 8 (1): f4:90:ea:00:2b:46
0x0000: f490 ea00 2b46
destination link-address option (2), length 8 (1): 08:96:ad:01:24:1a
0x0000: 0896 ad01 241a
14:21:18.784231 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4927
14:21:19.797724 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4928
14:21:20.810982 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4929
14:21:21.824370 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4930
14:21:22.837669 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4931
14:21:23.851033 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4932
14:21:24.864326 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4933
14:21:24.969990 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::a96:adff:fe01:241a > ff02::1:ffca:e432: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2001:x:x:x::nnnn
-
> Auf der WAN Seite haben wir ein /64 Netz ohne DHCPv6/SLAAC also nur static IP an den WAN Interfaces konfiguriert.
Da fängt das Problem ja bereits an. Ihr habt dort ein /64 aufliegen. Und was wollt ihr jetzt nach hinten weiterrouten? /64 ist in den RFCs und überall sonst im Konsens als Minimum definiert für eine Verbindung. Ihr habt somit am WAN ein /64, was euer WAN IP6 fähig macht. Ihr bräuchtet jetzt aber eben mind. ein weiteres /64er das ihr nach hinten durchrouten könnt (über egal welche Wege intern). Aber das aufgelegte /64 von vorne in welchem die Sense eine IP6 hat, könnt ihr nicht einfach weiter durchreichen. Oder eher: können schön aber das wäre Murks und die RFCs vergewaltigt.
Normalfall ist: WAN von Firewall/Router bekommt eine (oder mehrere bei Cluster) Adressen aus Routing /64er. Auf die Adresse der Routing/64er wird ein /56er oder /48er Prefix geroutet und das kann dann dahinter sauber aufgelegt werden. Mit einem einzigen /64er alles zu machen ist eher ein No-Go.
Grüße
-
Hi,
wäre NPTv6 dann eine Möglichkeit welche wir benutzen könnten?
Wir haben auch noch andere IPv6 Präfixe von anderen ISPs. (/59 und /56)
Damit wäre dann doch auch die Möglichkeit gegeben für failover oder load balancing, oder verstehe ich das Prinzip hinter NPTv6 falsch?
LG