Topics

Hallo,
ich habe hier einen Glasfaseranschluss, der mit per DHCPv6 ein /56 zuweist. Dahinter laufen zwei OPNsense-Maschinen, einmal physikalisch, einmal virtuell. Vereinfacht sieht das so aus:

Code Select Expand


Internet --> Box 1 --> Box 2 & DMZ --> VLANs --> Clients


Box 1 bekommt vom Provider eine /128 und ein /56 Subnet. Hinter Box 1 sollen einige Clients liegen, die direkt aus dem Internet erreichbar sein sollen. Außerdem Box 2, die mehrere VLANs hat. Eigentlich sollen alle Clients  in diesen VLANs nicht direkt aus dem Internet erreicht werden. Wenn doch kommen sie zusätzlich in die DMZ.

Die Aufteilung hatte eher Performance als Sicherheit als Hintergedanken, da der meiste Traffic zwischen den VLANs passiert und Box 2 eine VM ist, die deutlich mehr Ressourcen hat als die physikalische Box 1.

Jetzt stellen sich mir mehrere Fragen:
Wie reiche ich IPv6-Netze am besten an Box 2 weiter, sodass diese dann an die VLANs aufgeteilt werden können? Ein /64 benötige ich ja für die DMZ, in der Box 2 und die DMZ-Clients stehen.
Sind Dynamic IPv6 Aliase der richtige Weg um nach einem Prefix-Wechsel nicht alle internen Regeln ändern zu müssen? Oder sollte ich intern lieber mit ULAs arbeiten? Andererseits, wenn ich schon ein /56 an öffentlichen IPs habe, dann würde ich das auch eigentlich gerne nutzen.

Danke im vorraus! :)

[Mein Problem:]

Hallo zusammen,
ich bin gerade von OpenWRT/LEDE auf OPNsense 18.1.8 gewechselt. Dort konnte ich problemlos IPv6 an meinem 1&1 VDSL 100 Anschluss nutzen. Bei OPNsense klappt es nur... halb. Mein aktuelles Setup ist recht simpel, OPNsense ist ein dedizierter Intel NUC, devor hängt ein Draytek Vigor 130 als VDSL Modem und dahinter ist auch schon direkt mein LAN. IPv4 klappt auch problemlos, hier bekomme ich ebenfalls eine eigene, einzelne IPv4 von 1&1 zugewiesen. Laut whois ist meine IPv4 im Versatel-Netz (also nicht Telekom) verortet.

Mein Problem: Ich bekomme zwar eine einzelne IPv6-Adresse an mein OPNsense geliefert, aber das wars auch schon. Direkt OPNsense kann ich IPv6-Hosts anpingen, allerdings bekommen meine LAN-Clients keine eigenen Adressen zugewiesen.

Meine Konfiguration: Bei meine Recherchen fand ich eigentlich immer Konfigurationen für Telekomanschlüsse. Ich vermutete, dass es ja nicht so arg anders sein könnte, und hatte erst diese ausprobiert, dann immer wieder einzelne Werte verändert und getestet, aber im besten Fall bekam ich weiterhin nur eine einzelne IPv6, kein /56 oder so, zugewiesen. Begonnen habe ich damit:

[WAN]
General configuration
Enable Interface: aktiviert
Lock: Nicht aktiviert
Description: <leer>
Block private networks: aktiviert
Block bogon networks   : aktiviert
IPv4 Configuration Type: PPPoE
IPv6 Configuration Type: DHCPv6
MAC adress: <leer>
MTU: <leer> (Calculated PPP MTU: 1492)
MSS: <leer>
Speed and duplex: Default

PPPoE configuration
Username: H<mein 1&1-Username>
Passwort: ********
Service Name: <leer>
Host-Uniq: <leer>
Dial on demand: nicht aktiviert
Idle Timeout: <leer>

DHCPv6 client configuration
Configuration mode: Basic
Request only an IPv6 prefix: aktiviert
Prefix delegation size: /56
Send IPv6 prefix hint: aktiviert
Directly send SOLICIT: nicht aktiviert
Prevent release: nicht aktiviert
Enable debug: nicht aktiviert
Use IPv4 connectivity: aktiviert
Use VLAN priority: Disabled

[LAN]
(Die IPv6-relevanten Teile)
IPv6 Configuration Type: Track Interface
IPv6 Interface: WAN
IPv6 Prefix ID: 1

Vor allem bei der IPv6 Prefix ID gab es unterschiedliche Meinungen. Mir ist zumindest aufgefallen, dass ich diese erst von 0 abändern kann, wenn ich OPNsense komplett rebootet habe, ein Apply Changes hilft nicht. Das hat mich dazu bewogen nach Änderungen einfach zu rebooten... Half auch nicht.

Ich bin mit meinem Latein am Ende und würde mich sehr über Tipps freuen!