1
German - Deutsch / Re: Best practice für zwei Router, IPv6, ein /56 und dynamische Regeln?
« on: July 23, 2022, 10:21:17 am »
Vielen Dank schonmal! Ich werde es testen und berichten! 
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: [1]
2
German - Deutsch / Best practice für zwei Router, IPv6, ein /56 und dynamische Regeln?
« on: July 20, 2022, 11:53:10 am »
Hallo,
ich habe hier einen Glasfaseranschluss, der mit per DHCPv6 ein /56 zuweist. Dahinter laufen zwei OPNsense-Maschinen, einmal physikalisch, einmal virtuell. Vereinfacht sieht das so aus:
Box 1 bekommt vom Provider eine /128 und ein /56 Subnet. Hinter Box 1 sollen einige Clients liegen, die direkt aus dem Internet erreichbar sein sollen. Außerdem Box 2, die mehrere VLANs hat. Eigentlich sollen alle Clients in diesen VLANs nicht direkt aus dem Internet erreicht werden. Wenn doch kommen sie zusätzlich in die DMZ.
Die Aufteilung hatte eher Performance als Sicherheit als Hintergedanken, da der meiste Traffic zwischen den VLANs passiert und Box 2 eine VM ist, die deutlich mehr Ressourcen hat als die physikalische Box 1.
Jetzt stellen sich mir mehrere Fragen:
Wie reiche ich IPv6-Netze am besten an Box 2 weiter, sodass diese dann an die VLANs aufgeteilt werden können? Ein /64 benötige ich ja für die DMZ, in der Box 2 und die DMZ-Clients stehen.
Sind Dynamic IPv6 Aliase der richtige Weg um nach einem Prefix-Wechsel nicht alle internen Regeln ändern zu müssen? Oder sollte ich intern lieber mit ULAs arbeiten? Andererseits, wenn ich schon ein /56 an öffentlichen IPs habe, dann würde ich das auch eigentlich gerne nutzen.
Danke im vorraus!
ich habe hier einen Glasfaseranschluss, der mit per DHCPv6 ein /56 zuweist. Dahinter laufen zwei OPNsense-Maschinen, einmal physikalisch, einmal virtuell. Vereinfacht sieht das so aus:
Code: [Select]
Internet --> Box 1 --> Box 2 & DMZ --> VLANs --> Clients
Box 1 bekommt vom Provider eine /128 und ein /56 Subnet. Hinter Box 1 sollen einige Clients liegen, die direkt aus dem Internet erreichbar sein sollen. Außerdem Box 2, die mehrere VLANs hat. Eigentlich sollen alle Clients in diesen VLANs nicht direkt aus dem Internet erreicht werden. Wenn doch kommen sie zusätzlich in die DMZ.
Die Aufteilung hatte eher Performance als Sicherheit als Hintergedanken, da der meiste Traffic zwischen den VLANs passiert und Box 2 eine VM ist, die deutlich mehr Ressourcen hat als die physikalische Box 1.
Jetzt stellen sich mir mehrere Fragen:
Wie reiche ich IPv6-Netze am besten an Box 2 weiter, sodass diese dann an die VLANs aufgeteilt werden können? Ein /64 benötige ich ja für die DMZ, in der Box 2 und die DMZ-Clients stehen.
Sind Dynamic IPv6 Aliase der richtige Weg um nach einem Prefix-Wechsel nicht alle internen Regeln ändern zu müssen? Oder sollte ich intern lieber mit ULAs arbeiten? Andererseits, wenn ich schon ein /56 an öffentlichen IPs habe, dann würde ich das auch eigentlich gerne nutzen.
Danke im vorraus!
3
German - Deutsch / Re: IPv6 bei 1&1
« on: September 10, 2018, 11:44:53 pm »
Immer die jeweils aktuellste, das müsste dann 18.1.13 gewesen sein
4
German - Deutsch / Re: IPv6 bei 1&1
« on: September 09, 2018, 09:48:46 pm »
Ein Update von 18.1 auf 18.7 scheint das Problem gelöst zu haben: Nach einer Zwangtrennung bekommen meine Clients nun das neue Prefix.
5
German - Deutsch / Re: IPv6 bei 1&1
« on: September 02, 2018, 02:18:39 pm »
Ein Reboot hilft leider auch nicht. Wenn ich allerdings die IPv6 Prefix ID des LAN-Interfaces von zB 0 auf 1 ändere, dann geht es wieder bis zur nächsten Zwangstrennung. Meine Idee ist also ein Script, dass erst das pppeo0 Interface trennt und danach die Prefix ID ändert. Angeblich sollte das Trennen des pppoe0-Interfaces mit ifconfig pppoe0 down; sleep 10; ifconfig pppoe0 up gehen. Tut es aber nicht…
Also:
Danke!
Also:
- Wie trenne und wiederverbinde ich das pppoe0-Interface korrekt per Script?
- Wie kann ich das ändern der Prefix ID vom LAN per Script machen?
Danke!
6
German - Deutsch / Re: IPv6 bei 1&1
« on: August 22, 2018, 11:49:29 am »
So, leider klappt das nicht so ganz. Genauer: Es hält bis zur nächsten Zwangstrennung. Dann verteilt 1&1 neue IPv4 und IPv6 Adressen. Trotz der Einstellung Track Interface behalten meine Clients dann ab dem Zeitpunkt falsche Präfixe und können nicht mehr ins Netz. Wenn ich per SSH auf dem OPNsense bin, kann ich auch nach einer Zwangstrennung mit ping6 raus.
Kann ich ggf. mit einem Script OPNsense anweisen zu einem bestimmten Zeitpunkt die WAN-Verbindung zu trennen und anschließend ordentlich die LAN-Verbindung »erneuern«, sodass die Clients wieder die richtigen Präfixe bekommen? DHCPv6 möchte ich nicht verwenden.
Kann ich ggf. mit einem Script OPNsense anweisen zu einem bestimmten Zeitpunkt die WAN-Verbindung zu trennen und anschließend ordentlich die LAN-Verbindung »erneuern«, sodass die Clients wieder die richtigen Präfixe bekommen? DHCPv6 möchte ich nicht verwenden.
7
German - Deutsch / Re: IPv6 bei 1&1
« on: May 25, 2018, 11:37:31 pm »
Vielen Dank, die Adresszuweisung klappt jetzt! Die Lösung lag am setzen von »Directly send SOLICIT« und dem Entfernen des Hakens bei »Request only an IPv6 prefix«. Hier nochmal zur Doku und als Hilfe für Andere die Einstellungen, wie sie jetzt gerade bei mir funktionieren.
8
German - Deutsch / IPv6 bei 1&1
« on: May 22, 2018, 07:25:26 am »
Hallo zusammen,
ich bin gerade von OpenWRT/LEDE auf OPNsense 18.1.8 gewechselt. Dort konnte ich problemlos IPv6 an meinem 1&1 VDSL 100 Anschluss nutzen. Bei OPNsense klappt es nur… halb. Mein aktuelles Setup ist recht simpel, OPNsense ist ein dedizierter Intel NUC, devor hängt ein Draytek Vigor 130 als VDSL Modem und dahinter ist auch schon direkt mein LAN. IPv4 klappt auch problemlos, hier bekomme ich ebenfalls eine eigene, einzelne IPv4 von 1&1 zugewiesen. Laut whois ist meine IPv4 im Versatel-Netz (also nicht Telekom) verortet.
Mein Problem: Ich bekomme zwar eine einzelne IPv6-Adresse an mein OPNsense geliefert, aber das wars auch schon. Direkt OPNsense kann ich IPv6-Hosts anpingen, allerdings bekommen meine LAN-Clients keine eigenen Adressen zugewiesen.
Meine Konfiguration: Bei meine Recherchen fand ich eigentlich immer Konfigurationen für Telekomanschlüsse. Ich vermutete, dass es ja nicht so arg anders sein könnte, und hatte erst diese ausprobiert, dann immer wieder einzelne Werte verändert und getestet, aber im besten Fall bekam ich weiterhin nur eine einzelne IPv6, kein /56 oder so, zugewiesen. Begonnen habe ich damit:
[WAN]
General configuration
Enable Interface: aktiviert
Lock: Nicht aktiviert
Description: <leer>
Block private networks: aktiviert
Block bogon networks : aktiviert
IPv4 Configuration Type: PPPoE
IPv6 Configuration Type: DHCPv6
MAC adress: <leer>
MTU: <leer> (Calculated PPP MTU: 1492)
MSS: <leer>
Speed and duplex: Default
PPPoE configuration
Username: H<mein 1&1-Username>
Passwort: ********
Service Name: <leer>
Host-Uniq: <leer>
Dial on demand: nicht aktiviert
Idle Timeout: <leer>
DHCPv6 client configuration
Configuration mode: Basic
Request only an IPv6 prefix: aktiviert
Prefix delegation size: /56
Send IPv6 prefix hint: aktiviert
Directly send SOLICIT: nicht aktiviert
Prevent release: nicht aktiviert
Enable debug: nicht aktiviert
Use IPv4 connectivity: aktiviert
Use VLAN priority: Disabled
[LAN]
(Die IPv6-relevanten Teile)
IPv6 Configuration Type: Track Interface
IPv6 Interface: WAN
IPv6 Prefix ID: 1
Vor allem bei der IPv6 Prefix ID gab es unterschiedliche Meinungen. Mir ist zumindest aufgefallen, dass ich diese erst von 0 abändern kann, wenn ich OPNsense komplett rebootet habe, ein Apply Changes hilft nicht. Das hat mich dazu bewogen nach Änderungen einfach zu rebooten… Half auch nicht.
Ich bin mit meinem Latein am Ende und würde mich sehr über Tipps freuen!
ich bin gerade von OpenWRT/LEDE auf OPNsense 18.1.8 gewechselt. Dort konnte ich problemlos IPv6 an meinem 1&1 VDSL 100 Anschluss nutzen. Bei OPNsense klappt es nur… halb. Mein aktuelles Setup ist recht simpel, OPNsense ist ein dedizierter Intel NUC, devor hängt ein Draytek Vigor 130 als VDSL Modem und dahinter ist auch schon direkt mein LAN. IPv4 klappt auch problemlos, hier bekomme ich ebenfalls eine eigene, einzelne IPv4 von 1&1 zugewiesen. Laut whois ist meine IPv4 im Versatel-Netz (also nicht Telekom) verortet.
Mein Problem: Ich bekomme zwar eine einzelne IPv6-Adresse an mein OPNsense geliefert, aber das wars auch schon. Direkt OPNsense kann ich IPv6-Hosts anpingen, allerdings bekommen meine LAN-Clients keine eigenen Adressen zugewiesen.
Meine Konfiguration: Bei meine Recherchen fand ich eigentlich immer Konfigurationen für Telekomanschlüsse. Ich vermutete, dass es ja nicht so arg anders sein könnte, und hatte erst diese ausprobiert, dann immer wieder einzelne Werte verändert und getestet, aber im besten Fall bekam ich weiterhin nur eine einzelne IPv6, kein /56 oder so, zugewiesen. Begonnen habe ich damit:
[WAN]
General configuration
Enable Interface: aktiviert
Lock: Nicht aktiviert
Description: <leer>
Block private networks: aktiviert
Block bogon networks : aktiviert
IPv4 Configuration Type: PPPoE
IPv6 Configuration Type: DHCPv6
MAC adress: <leer>
MTU: <leer> (Calculated PPP MTU: 1492)
MSS: <leer>
Speed and duplex: Default
PPPoE configuration
Username: H<mein 1&1-Username>
Passwort: ********
Service Name: <leer>
Host-Uniq: <leer>
Dial on demand: nicht aktiviert
Idle Timeout: <leer>
DHCPv6 client configuration
Configuration mode: Basic
Request only an IPv6 prefix: aktiviert
Prefix delegation size: /56
Send IPv6 prefix hint: aktiviert
Directly send SOLICIT: nicht aktiviert
Prevent release: nicht aktiviert
Enable debug: nicht aktiviert
Use IPv4 connectivity: aktiviert
Use VLAN priority: Disabled
[LAN]
(Die IPv6-relevanten Teile)
IPv6 Configuration Type: Track Interface
IPv6 Interface: WAN
IPv6 Prefix ID: 1
Vor allem bei der IPv6 Prefix ID gab es unterschiedliche Meinungen. Mir ist zumindest aufgefallen, dass ich diese erst von 0 abändern kann, wenn ich OPNsense komplett rebootet habe, ein Apply Changes hilft nicht. Das hat mich dazu bewogen nach Änderungen einfach zu rebooten… Half auch nicht.
Ich bin mit meinem Latein am Ende und würde mich sehr über Tipps freuen!
Pages: [1]