NPTv6 bei dynamischem IPv6

Started by Bob.Dig, July 13, 2024, 01:40:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 13, 2024, 01:40:01 PM Last Edit: July 13, 2024, 01:46:08 PM by Bob.Dig
Hab allgemeine Fragen zu NPTv6 bei dynamischem IPv6, noch ohne es selbst auf der OPNsense ausprobiert zu haben.

Die erste Frage ist zum NPTv6 Dialog:


Hier wird einem angeboten, Track Interface vom WAN zu nutzen, aber es wird nach keiner Prefix ID gefragt. Ist die an dieser Stelle tatsächlich unnötig?

Zweite Frage, reicht für Outbound NPTv6 grundsätzlich ein einziger Prefix für mehrere Subnets? Ich würde vermuten, ja.

Wie aber sieht es bei Inbound aus, wenn ich mehrere Ports in verschiedene Subnets öffne. Funktioniert das für mehrere Subnetze tatsächlich dann, wenn ich auch mehrere Prefixe für NPTv6 nutze? Oder funktioniert das grundsätzlich immer nur für ein einziges Subnet?
July 13, 2024, 02:56:08 PM #1
Quote from: Bob.Dig on July 13, 2024, 01:40:01 PM
Hier wird einem angeboten, Track Interface vom WAN zu nutzen, aber es wird nach keiner Prefix ID gefragt. Ist die an dieser Stelle tatsächlich unnötig?

Das trackt nicht die die Prefix-Delegation des Providers sondern übernimmt schlicht das an diesem Interface konfigurierte Prefix als "external". Man kann dort auch andere Interfaces angeben. Ich NPT6-e z.B. unser internes /64 von der DTAG am Glasfaseranschluss in ein /64 aus meinem eigenen AS, das dann durch einen Wireguard-Tunnel in unserem Rechenzentrum in Frankfurt landet.

So gehen wir mit dem DTAG-Prefix ins "Internet", aber mit unserem eigenen Prefix in unser eigenes RZ, sodass wir nach der Umstellung von eigener Standleitung auf Telekom-Leitung nicht bei hunderten von Systemen Access-Listen für SSH, Matomo, etc. pp. ändern mussten.

Quote from: Bob.Dig on July 13, 2024, 01:40:01 PM
Zweite Frage, reicht für Outbound NPTv6 grundsätzlich ein einziger Prefix für mehrere Subnets? Ich würde vermuten, ja.

Nein.

Quote from: Bob.Dig on July 13, 2024, 01:40:01 PM
Wie aber sieht es bei Inbound aus, wenn ich mehrere Ports in verschiedene Subnets öffne. Funktioniert das für mehrere Subnetze tatsächlich dann, wenn ich auch mehrere Prefixe für NPTv6 nutze? Oder funktioniert das grundsätzlich immer nur für ein einziges Subnet?

Aus genau diesem Grund. Bei NPT6 wird nicht ge-NAT-et in dem Sinn, dass man extern weniger Adressen benötigt als intern. Es werden zwei gleich große Prefixe 1:1 ineinander übersetzt. Deswegen heißt es "prefix translation" und nicht "address translation".

Also <extern>::1 entsprich <intern>::1 und so weiter und so fort.

Das erklärt dann auch, wie das mit eingehenden Paketen funktioniert. Es kommt was an für <extern>:dead:beef:dead:beef - dann wird das einfach in <intern>:dead:beef:dead:beef umgeschrieben.

Daher kostet das keinerlei "state" auf dem Gerät, das das tut, keinerlei Performance-Einbußen, feine Sache.

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions