Best practice für zwei Router, IPv6, ein /56 und dynamische Regeln?

[Cheatha]

Hallo,
ich habe hier einen Glasfaseranschluss, der mit per DHCPv6 ein /56 zuweist. Dahinter laufen zwei OPNsense-Maschinen, einmal physikalisch, einmal virtuell. Vereinfacht sieht das so aus:

Code: [Select]

Internet --> Box 1 --> Box 2 & DMZ --> VLANs --> Clients

Box 1 bekommt vom Provider eine /128 und ein /56 Subnet. Hinter Box 1 sollen einige Clients liegen, die direkt aus dem Internet erreichbar sein sollen. Außerdem Box 2, die mehrere VLANs hat. Eigentlich sollen alle Clients  in diesen VLANs nicht direkt aus dem Internet erreicht werden. Wenn doch kommen sie zusätzlich in die DMZ.

Die Aufteilung hatte eher Performance als Sicherheit als Hintergedanken, da der meiste Traffic zwischen den VLANs passiert und Box 2 eine VM ist, die deutlich mehr Ressourcen hat als die physikalische Box 1.

Jetzt stellen sich mir mehrere Fragen:
Wie reiche ich IPv6-Netze am besten an Box 2 weiter, sodass diese dann an die VLANs aufgeteilt werden können? Ein /64 benötige ich ja für die DMZ, in der Box 2 und die DMZ-Clients stehen.
Sind Dynamic IPv6 Aliase der richtige Weg um nach einem Prefix-Wechsel nicht alle internen Regeln ändern zu müssen? Oder sollte ich intern lieber mit ULAs arbeiten? Andererseits, wenn ich schon ein /56 an öffentlichen IPs habe, dann würde ich das auch eigentlich gerne nutzen.

Danke im vorraus!

[robgnu]

Hallo,
ich kann dir leider nicht sagen, ob das mit dynamischen Prefixen funktioniert. Aber ein Versuch ist es wert...

Das Stichwort heißt Prefix-Delegation. Die erste OPNsense bekommt ein /56 Netz. I.d.R. wird das erste /64 Netz zunächst per RA auf einem LAN-Interface bekannt gegeben. Aus meiner Erfahrung ist die Prefix-Delegation einer der wenigen Gründe, weswegen man DHCPv6 benötigt.

Bei uns sieht die Konfiguration wie folgt aus:
- LAN-Interface OPNsense / Router Advertisements auf "Assisted" stellen.
- LAN-Interface OPNsense / DHCPv6 für LAN:
 - Available prefix delegation size: /57
 - Range from: "::" / Range to: "::ffff:ffff:ffff:ffff"
 - Prefix Delegation Range: "::d0" to "::f0"
 - Prefix Delegation Size: 60

Natürlich muss in den Firewallregeln noch der Zugriff erlaubt werden. Hier kann man die IP-Adressen eintragen, die von "außen" erreichbar sein müssen. Man kann natürlich auch den ganzen /60 Bereich freigeben und den Rest in der zweiten OPNsense einrichten. Bitte auch an ICMPv6 denken.

Die zweite OPNsense sollte sich dann per DHCPv6 einen /60 Prefix anfordern. Diesen kann man dann wiederum an den LAN-Interfaces der zweiten OPNsense zuweisen (Track Interface).

Ich hoffe, diese Infos helfen dir weiter. Ich habe das bisher auch nur rudimentär ausprobiert um eine FRITZ!Box hinter der OPNsense mit IPv6 Netzen zu versorgen. Das klappt soweit sehr gut.

Gruß
Robert

[bimbar]

Am besten intern ULA mit statischen Regeln, zusätzlich PD, wenn möglich.

Interessant wird das Setup in jedem Fall .

[Patrick M. Hausen]

ULA hat das Problem, dass mindestens Mac OS davon ausgeht, dass keine IPv6-Connectivity vorhanden ist, wenn es nur ULA-Adressen gibt. Ich glaube, das ist sogar generell in dem "Happy Eyeballs" Algorithmus drin, also auf den meisten Plattformen so.

[Cheatha]

Vielen Dank schonmal! Ich werde es testen und berichten!