OPNsense Forum
International Forums => German - Deutsch => Topic started by: FirstSoul on May 10, 2020, 10:46:05 am
-
Moin,
ich hab da mal ein Problem.
Ich bekomme dynamische IPv6 von der Telekom. Das funktioniert alles wunderbar. (siehe hier: https://forum.opnsense.org/index.php?topic=16007.msg73324#msg73324)
Jetzt habe ich einige Server (Plex, tvheadend, Kamera-Server) die auch extern erreichbar sein müssen. mit IPv4 kein Problem. Die Server haben einen feste IPv4. Da nun die IPv6 von der Telekom kommt und bei jedem Firewallneustart erneuert wird, muss ich jedesmal die IP im Port Forwarding anpassen. Das nervt.
Was habe ich für Möglichkeiten?
Kann ich einen Ubuntuserver seine IP an den DNS mitteilen?
Kann ich selbst DHCP v6 machen und nur das WAN Interface eine Adresse der Telekom bekommt?
Wie habt ihr sowas gelöst?
Danke!
-
Falls es ausschließlich um Webserver geht kann man einen Reverse-Proxy verwenden (Nginx-Plugin). Dann läuft die Kommunikation nach außen ausschließlich über die WAN-Adresse.
Ansonsten kann man DynDNS-Einträge für die Server anlegen und diese in in der Firewall als Host-Aliase verwenden. Nach einer Präfix-Änderung muss man dann aber in der Regel die FW-Regeln manuell neu laden, da DynDNS-Updates und Auflösung der Aliase nicht synchronisiert sind.
Falls das beides nicht in Frage kommt hilft nur ein festes Präfix (oder andere Firewall).
Grüße
Maurice
-
Bei IPv6 nutzt man ja nun eigentlich kein Port-Forwarding mehr. Jeder Host bekommt seine eigene global gültige IPv6 Adresse. Es ist natürlich sehr ärgerlich, dass die Provider hier mit dynamischen Netzen arbeiten und nicht jedem Kunden automatisch einen festen IPv6 Bereich zuordnen. Das Argument Adressknappheit existiert hier ja nun nicht mehr.
Warum benutzt du nicht einen IPv6 DynDNS Dienst? Die Geräte aktualisieren z.B. über einen URL-Aufruf oder den eingebauten DynDNS Client die eigene IP-Adresse und du sprichst die Geräte stilecht mit einem Hostnamen an.
Schau dir mal https://dynv6.com/ an. In der aktuellen c't gibt es auch einige Grundlagen zu IPv6 und DynDNS.
Gruß
Robert
-
Danke!
Einen IPv6 DyDNS nutze ich. Das klappt auch. Ich komme ja auch extern darüber drauf.
Reverse Proxy kommt leider nicht in frage.
Ihr habt mich glaube ich misverstanden bzw. habe mich falsch ausgedrückt.
Meine Server bekommen per DHCP eine IPv6 von der Telekom ÜBER die OPNSense. Der DHCP Server ist die Telekom. Daher muss ich immer das Port Forwarding anpassen, wenn es eine neue IP gibt.
Leider ist mein IPv6 Wissen nicht das beste...
Wenn ich euch irgendwelche Informationen, Screenshots und Co geben kann, dann meldet euch.
-
Einen IPv6 DyDNS nutze ich. Das klappt auch. Ich komme ja auch extern darüber drauf.
Einen einzelnen DynDNS-Eintrag für die OPNsense-WAN-Adresse oder mehrere Einträge für die Adressen der Server?
Meine Server bekommen per DHCP eine IPv6 von der Telekom ÜBER die OPNSense. Der DHCP Server ist die Telekom.
Nicht ganz. OPNsense bekommt ein Präfix vom DHCPv6-Server der Telekom. Aus diesem Präfix leitet OPNsense dann Subnetze für die LANs ab. Deine Server bekommen ihre Adressen wiederum vom OPNsense-DHCPv6-Server (bzw. über SLAAC).
(Und das alles hat wiederum nichts mit der OPNsense-WAN-Adresse zu tun - die wird bei Telekom-DSL via SLAAC automatisch generiert).
Daher muss ich immer das Port Forwarding anpassen, wenn es eine neue IP gibt.
Ich ging davon aus, dass Du mit "Port Forwarding" eine Firewall-Regel meinst, aber es scheint, dass Du tatsächlich IPv6-NAT machst. Ist das so?
Leider ist mein IPv6 Wissen nicht das beste...
Wir haben alle mal angefangen. :-)
Ändert am Grundproblem aber nichts: OPNsense kommt nicht gut mit dynamischen Präfixen zurecht. Das ist ein häufig diskutiertes Thema, schau dich gerne mal hier im Forum oder auf GitHub dazu um. Daran wird sich kurzfristig wahrscheinlich auch nichts ändern.
Wie oft ändert sich denn dein Präfix in der Praxis? Täglich? Dann ist OPNsense nicht geeignet. Einmal im Monat? Dann lässt sich vielleicht ein Workaround bauen. Ansonsten gibt es eigentlich bei jedem Provider auch Tarife mit festem Präfix.
-
1) Einen einzelnen für die WAN Adresse.
2) Ahh verstehe. okay!
3) Ja mache IPv6-NAT. Firewall --> NAT --> Port Forwarding
4) Danke! Aktuell hat die Firewall noch Probleme nach dem letzten Update. Muss noch schauen warum und wieso. Da bleibt die Kiste gern mal hängen und muss neustarten. Ich tendiere auf Wöchentlich. Wenn es läuft vermutlich viel weniger.
Ich gucke mal ob ich evlt. einen Business Tarif buchen kann...
-
Hallo, ich hatte gerade das gleiche Thema wie der Post-Ersteller, ich habe auch keine Ahnung und auch keine Lust mir tausend dinge durchzulesen und habe es jetzt gelöst für mich. Ich habe unter den Firewall Aliase statt einer IP einfach die MAC Adresse eingegeben. Somit brauchte ich auch keine Rules zu ändern und es geht IPv4 und IPv6 alles erreichbar, alles wie bei V4 einmal unter Rules und einmal unter NAT, die beiden Rules rein ipv4+v6 an und als Destination der alias mit der Mac Adresse. Unter pfTables sieht man dann auch das er alle V4 Ips und V6 ips der Mac Adresse drinnen hat und auf denen findet dann auch die Port Weiterleitung statt.
Viel Spaß