Ipv6 mit Subnetzen hinter Fritzbox erreichbar machen

Started by meschmesch, August 23, 2021, 05:13:52 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 23, 2021, 05:13:52 PM
Hallo,
bisher betreibe ich 3 Subnetze mit IPv6 hinter einer Fritzbox. Also Fritzbox liefert ein Präfix ...fe20::/60, und Opnsense holt sich ein Prefix (Prefix delegation size 61) und macht dann an den Schnittstellen über Track IPv6 Interface (IPv6 Prefix ID 0, 1, 2 ...) verschiedene Subnetze daraus. Läuft wunderbar. Die Clients an den Schnittstellen bekommen dann eben IPv6-Adressen mit Präfix ...fe28:.../64, :fe29:.../64 usw.

Nun möchte ich eines der Geräte über das Internet ansprechen und eine entsprechende Freigabe in der Fritzbox erstellen. Das Problem ist, dass die Fritzbox nur ihr eigenes Präfix ...fe20 kennt und dementsprechend die in der Fritzbox freigegebene IP-Adresse falsch zusammengesetzt ist. Es stimmt alles, bis auf die Tatsache, dass dort fe20 und nicht fe28 steht. Folglich kommt der Traffic auch nicht am gewünschten Endgerät an.

Hat jemand einen Lösungsvorschlag?

Danke und viele Grüße!!
August 24, 2021, 09:52:22 AM #1
Anmerkung: Die Fritzbox hat eine Einstellung "Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben". Diese scheint aber bisher nichts zu bewirken? Wie kann ich denn sicherstellen, dass die IPv6-Präfixe der Interfaces von Opnsense an die Fritzbox übermittelt werden?
August 24, 2021, 10:03:34 AM #2
Eigentlich müßte die Fritzbox wissen, welches Präfix sie vergeben hat und das Routing entsprechend passend einrichten.

Die Fritzbox legt deine Firewall als Gerät bei sich an, das man freigeben kann, da würde ich mal probieren: "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen.".
August 24, 2021, 11:50:56 AM #3
Hallo, die Fritzbox kennt nur das Präfix, das ihr zugeteilt wurde. Das von der Fritzbox vergebene Präfix ist 2a02:xxx:xxx:fe20::/60. Damit erhält Opnsense am WAN-Interface über DHCPv6 eine IPv6-Adresse ( Request only an IPv6 prefix, Prefix delegation size =61, Send IPv6 prefix hint). Das führt bei Opnsense zu der Adresse 2a02:xxx:xxx:fe20:usw./64

Die Interfaces von LAN, Gast usw. werden von Opnsense (und nicht von der Fritzbox!) mittels IPv6 "Track Interface" erzeugt, wobei angegeben ist IPv6 Prefix ID -> 0x0 für LAN, 0x1 für Gast usw. Dies führt beim LAN-Interface zu einer IPv6-Adresse 2a02:xxx:xxx:fe28::usw./64 und beim Gast-Interface zu 2a02:xxx:xxx:fe29::usw./64.

Ein Ping auf die Adresse der OpnSense, also auf 2a02:xxx:xxx:fe20:usw./64 wir von der Fritzbox richtig an Opnsense weitergeleitet und dort beantwortet. Alles Andere auf fe28, fe29 scheint aber bei der Opnsense nicht anzukommen. 
August 24, 2021, 08:22:51 PM #4
Bringt es was, die Frage im englischen Forum zu stellen?  :(
August 30, 2021, 09:33:22 AM #5
Lösung:

Ich kann machen was ich will, alle Subnetze hinter der Opnsense sind von extern nicht erreichbar. Lediglich Opnsense, weil die wohl von der Fritzbox die Ipv6-Adresse zugewiesen bekommt. Ich habe mir jetzt so geholfen (am Beispiel von Port 22, ssh):

  • Dyndns für IPv6 mit Opnsense --> die externe Ipv6 von Opnsense ist damit über eine Domain erreichbar
  • Portfreigabe von Port 22 in der Fritzbox für Opnsense
  • Portweiterleitung in Opnsense von Port 22 WAN auf die Ipv6 ULA des Geräts im nachgelagerten Subnetz
  • Firewall WAN Port 22 auf die Ipv6 ULA des Geräts im nachgelagerten Subnetz geöffnet

Das funktioniert zumindest.

Was mich jetzt noch wundert ist, dass ich aus den Subnetzen nicht in der Lage bin, auf die IPv6 von Opnsense zuzugreifen???! Kein Ping, nichts. Also im LAN Ping auf ip6.meinedomain.de ergibt keine Reaktion. Der Log der Firewall zeigt keine Einträge. Ping von einem externen Server im Internet auf ip6.meinedomain.de funktioniert?!

Hat jemand eine Idee warum? In der Firewall ist der Zugriff LAN->WAN nicht gesperrt.
August 30, 2021, 12:12:20 PM #6
Hi,

Quote from: meschmesch on August 30, 2021, 09:33:22 AM
Was mich jetzt noch wundert ist, dass ich aus den Subnetzen nicht in der Lage bin, auf die IPv6 von Opnsense zuzugreifen???! Kein Ping, nichts. Also im LAN Ping auf ip6.meinedomain.de ergibt keine Reaktion. Der Log der Firewall zeigt keine Einträge. Ping von einem externen Server im Internet auf ip6.meinedomain.de funktioniert?!

Hat jemand eine Idee warum? In der Firewall ist der Zugriff LAN->WAN nicht gesperrt.

Im Port-Forward ist warscheinlich keine NAT reflection aktiviert. Dann sollte der Zugriff auf die Dienste tun.
Ping ist aber ein anders Thema. Das geht wahrscheinlich nur mit einem Split Nameservereintrag. Und das geht dann nur mit IPv6 ULA Adressen.

Gruß
KH
August 30, 2021, 01:14:53 PM #7
Hallo,
ja, NAT Reflection war die Lösung. Aber die Logik verstehe ich nicht. Bei Ipv4 ist Nat Reflection nicht nötig, bei v6 schon? Habs mit v4 probiert, gleicher Setup, tut ohne Nat Reflection.

Wo laufen denn die Pakete hin wenn ich die Firewall mit ihrer externen IPv6 adressiere?
Print
Go Up Pages1
User actions