Firewall hinter der Fritzbox- dhcp und IPv6

[jacolani]

Hallo,

diesmal geht es um IP6 und DHCP.

Folgernder Aufbau ist geplant:

WAN / Internet
            :
            : 
      .-----+-----.
      |  Gateway  |  (Fritzbox über Kabel (Unitymedia))
      '-----+-----'
            |
        Statisches DHCP
            |      192.168.100.10
      .-----+------------------.---------------------------------------------
      |  OPNsense                                                                       |
      '-----+---------------------------------------------------------- +---'
            |   192.168.120.0/24                                          | 192.168.130.0/24                                 
        LAN1                                                                     LAN2


LAN1: 4 PCs und 1 NAS
LAN2: 2 PCs und Drucker


Ich wollte nun in meinen Lokalen Netzen kein IPv6 nutzen. Dazu auch die gleich die erste Frage:

1. Warum sollte ich das, gibt es eine Notwendigkeit. Wäre mir jetzt zu Aufwendig für IPv6 Lokae IPs zu erstellen etc.
1.b Bei irgend einem Provider habe ich gehört geht nur noch IPv6, aber was heißt das genau für mich. Im lokalen Netz kann ich doch immer IPv4 nutzen, oder nicht?
1.c Bei den Einstellungen kann man ja IPv6 komplett deaktivieren, was ich dann auch machen würde. Wann wär das ein Problem?

2. Wie oben zu sehen werde ich die opnsense FW an die Frizbox anschließen, und NAT nutzen. Ich weiß man kann die FB auch als Modem nutzen was ich aber nicht möchte, da ich auch das Telefon dran habe. Wie mache ich das am besten mit DHCP. DHCP Server der Frizbox im LAN der Fritzbox aktivieren, oder wie ich vermuten würde lieber DHCP Statisch nutzen?

Das hieße dann auch das ich das WAN Interface der opnsense auch auf DHCP statisch setzte, und die IP  192.168.100.10 vergebe z.B.?
LAN1 und LAN2 kann ich dann per DHCP Server versorgen lassen, das sollte, denke ich dann kein Porblem sein?

Ich hoffe es sind jetzt nicht zu viele Fragen

[monstermania]

Moin!
zu 1:
Grundsätzlich ist es kein Problem weiterhin IP v4 zu nutzen. Selbst große Firmen betreiben Ihre internen Netze weiterhin als IP v4. In der Regel handelt es sich ja ohnehin um private Netzwerke nach RFC1918.
Probleme könnte es bringen, dass Du von Unitymedia möglicherweise einen sog. "DSL-Lite" Anschluss bekommen hast. Das bedeutet, dass der Anschluss keine aus dem Internet erreichbare IPv4-Adresse hat. Willst Du nach außen hin also Dienste anbieten (z.B. VPN-Zugang), kannst Du mit IP v4 nix anfangen!
Dann musst Du IP v6 nutzen, oder Unitymedia darum bitten Dir einen echten IP v4-fähigen Internetzugang zu schalten.

zu 2:
Ist durchaus so üblich und wird auch von vielen so genutzt (u.A. auch von mir  ).
Ich würde empfehlen in der FritzBox den 'Exposed-Host' zu aktivieren. Der 'Exposed-Host' ist der Rechner/bzw. die IP-Adresse, an den der gesamte externe Traffic von der FritzBox weitergeleitet wird. Die OPNsense wäre dann der 'Exposed-Host'.
Vorteil ist, dass Du Dich bei der Konfiguration dann ganz auf die OPNsense konzentrieren kannst. Wenn Du also z.B. ein VPN-Zugang einrichtest, mußt Du die Einrichtung nur noch auf der OPNsense machen. Eine evtl. Portweiterleitung von der FritzBox an die OPNsense entfällt dann.
Man muss aber auf jedem Fall daran denken, dass in der Konstellation Router->OPNsense in der WAN-Konfiguration der OPNsense die Option 'Block RFC1918 Networks' deaktiviert werden muss!!!

Ob die OPNsense jetzt hinter der FritzBox Ihre IP per DHCP oder als feste IP bekommt ist eigentlich egal. Meine OPNsense bekommt per DHCP immer die gleiche IP von der FritzBox (feste Reservierung). Wichtig ist halt, dass sich die IP nicht ändert, da es auch die Adresse des 'Exposed-Host' ist.

Gruß
Dirk

[jacolani]

Probleme könnte es bringen, dass Du von Unitymedia möglicherweise einen sog. "DSL-Lite" Anschluss bekommen hast. Das bedeutet, dass der Anschluss keine aus dem Internet erreichbare IPv4-Adresse hat. Willst Du nach außen hin also Dienste anbieten (z.B. VPN-Zugang), kannst Du mit IP v4 nix anfangen!
Dann musst Du IP v6 nutzen, oder Unitymedia darum bitten Dir einen echten IP v4-fähigen Internetzugang zu schalten.

Ja das ist wohl der Fall. Aber was genau heißt das für mich.Heißt das ich darf IPv6 nicht in der opnsense deaktivieren?Weil es geht doch erst mal nur um die FB, kommt der Traffic an, dann kann er doch an opnsense weitergeleitet werden, und dazu muss die opnsense IPv6 verstehen?

Lokal unter den LANs ist IPv4 weiterhin möglich?

Ich würde empfehlen in der FritzBox den 'Exposed-Host' zu aktivieren.

Funktioniert dann noch das Telefon?

Vorteil ist, dass Du Dich bei der Konfiguration dann ganz auf die OPNsense konzentrieren kannst. Wenn Du also z.B. ein VPN-Zugang einrichtest, mußt Du die Einrichtung nur noch auf der OPNsense machen. Eine evtl. Portweiterleitung von der FritzBox an die OPNsense entfällt dann.

Das wäre super wenn das geht

[monstermania]

@jacolani
Du kannst IPv6 deaktivieren. Bringt Dir aber eigentlich keinen echten Vorteil. Ich habs auf der OPNsense weiter aktiv, nutze es aber halt nicht...

So lange Du von Deinem Heimnetz aus nur auf das Internet zugreifen willst ist ein 'DSL-Lite'-Anschluss kein Problem. Erst wenn Du selbst aus dem Internet auf Dein Heimnetz zugreifen möchtest (z.B. per VPN auf Dein NAS zugreifen -> Dienste anbieten), bekommst Du mit dem 'DSL-Lite' ein Problem.
Da Du eben keine öffentliche IPv4-Adresse hast, kannst Du Dich nicht per IPv4 mit Deinem Netzwerk verbinden. Das würde eben nur mit IPv6 oder einem vollwertigem DSL-Anschluss funktionieren (Dual-Stack mit IPv4/IPv6).
Leider ist IPv6 immer noch nicht wirklich in der Praxis angekommen. Z.B. läuft das gesamte VF-Mobilfunknetz immer noch auf IPv4.
Von daher gibt es m.E. zu IPv4 z.Zt. keine Alternative, wenn Du selbst Dienste bereit stellen willst.

VoIP-Telefonie funktioniert problemlos mit dem Exposed-Host der FritzBox.

[jacolani]

Erst wenn Du selbst aus dem Internet auf Dein Heimnetz zugreifen möchtest (z.B. per VPN auf Dein NAS zugreifen -> Dienste anbieten), bekommst Du mit dem 'DSL-Lite' ein Problem.

Ja ich wollte schon OpenVPN nutzen um auf mein NAS zuzugreifen.

D.h. mein FB wäre dann nur über eine IP6 erreichbar, und das ist dann aber eine feste IP von Unitiy oder? Anonsten gibt es da Dynamische DNS Anbieter für IPv6?
Nehmen wir an ich bin um Mobilfunknetz, also nur IPv4. Kann ich jetzt nicht über eine Tunneltechnik 4to6 auf die Unitymedia FB zugreifen, falls ja welche würdet ihr da empfehlen.
Gäbe es da Probleme, wenn ja welche.
Und muss ich bei dieser Konstellation IPv6 unbedingt aktivieren in der opnsense?
Es muss doch eine Lösung dafür geben, oder nicht?