Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - bxlm

Pages1
#1
German - Deutsch / Re: Static IPv6 mit 3-Stufiger Firewall
December 05, 2019, 02:03:00 PM
Hi,

wäre NPTv6 dann eine Möglichkeit welche wir benutzen könnten?
Wir haben auch noch andere IPv6 Präfixe von anderen ISPs. (/59 und /56)

Damit wäre dann doch auch die Möglichkeit gegeben für failover oder load balancing, oder verstehe ich das Prinzip hinter NPTv6 falsch?

LG
#2
German - Deutsch / Static IPv6 mit 3-Stufiger Firewall
November 15, 2019, 02:44:06 PM
Hi zusammen

ich hab zur Zeit ein Problem IPv6 richtig aufzusetzen in unserem Netzwerk

Auf der WAN Seite haben wir ein /64 Netz ohne DHCPv6/SLAAC also nur static IP an den WAN Interfaces konfiguriert.

Wir haben 3 Stufen und zwischen den Stufen ist jeweils ein fc00::/124 Netz für das routing.
Diese werden via OSPFv3 an die anderen bekannt gegeben.

Bei dem Client Netz ist wieder jeweils eine IP aus dem /64 Netz eingestellt und RA auf Unmanaged gesetzt (auch schon mit DHCPv6 und Assisted probiert).

Die Clients bekommen eine IP und das routing klappt auch und die ICMP Pakete werden an das WAN interface rausgegeben.
Jedoch bekommt die Firewall am WAN Port keine Antworten weil sie nicht auf die neighbor solicitation, vom ISP antwortet, da diese nicht bis zum Client weiter gereicht werden.

Jemand eine Idee wie ich dies umsetzen kann?
Plan für die Zukunft ist ausserdem noch, dass weitere Prefixe (von anderen ISP) hinzukommen für Failover.

Aufbau des Netzes
Code Select

             +-------+           
     +-------|  WAN  |------+   
     |       +-------+      |   
     |                      |   
     |                      |   
+----|---+             +----|---+
|OPNSense|             |OPNSense|
+----|----\           ------|---+
     |     ---\   ---/      |   
     |         --/          |   
     |     ---/   ---\      |   
+----|----/           ------|---+
|OPNSense|             |OPNSense|
+----|----\           ------|---+
     |     ---\   ---/      |   
     |         --/          |   
     |     ---/   ---\      |   
+----|----/           ------|---+
|OPNSense|             |OPNSense|
+----|---+             +----|---+
     |                      |   
     |      +-------+       |   
     +------|Clients|-------+   
            +-------+           


tcpdump vom WAN Interface beim ICMP Test nach google DNS
Code Select

14:21:15.744240 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4924
14:21:15.748420 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::a96:adff:fe01:241a > ff02::1:ffca:e432: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2001:x:x:x::nnnn
          source link-address option (1), length 8 (1): 08:96:ad:01:24:1a
            0x0000:  0896 ad01 241a
14:21:16.749990 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::a96:adff:fe01:241a > ff02::1:ffca:e432: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2001:x:x:x::nnnn
          source link-address option (1), length 8 (1): 08:96:ad:01:24:1a
            0x0000:  0896 ad01 241a
14:21:16.757604 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4925
14:21:17.770965 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4926
          source link-address option (1), length 8 (1): f4:90:ea:00:2b:46
            0x0000:  f490 ea00 2b46
          destination link-address option (2), length 8 (1): 08:96:ad:01:24:1a
            0x0000:  0896 ad01 241a
14:21:18.784231 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4927
14:21:19.797724 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4928
14:21:20.810982 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4929
14:21:21.824370 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4930
14:21:22.837669 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4931
14:21:23.851033 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4932
14:21:24.864326 IP6 (flowlabel 0x6083f, hlim 61, next-header ICMPv6 (58) payload length: 64) 2001:x:x:x::nnnn > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, echo request, seq 4933
14:21:24.969990 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::a96:adff:fe01:241a > ff02::1:ffca:e432: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2001:x:x:x::nnnn
Pages1