Bitte helft mir IPv6 im HA Setup zu verstehen :)

Started by c-mu, July 19, 2021, 12:51:36 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 19, 2021, 12:51:36 PM
Hallo Community,
ich habe seit neustem einen zweiten Internetzugang, der erstmals für mich auch IPv6 fähig ist. Vorher kam ich damit noch nie in Berührung.

Ich habe aber schwierigkeiten die Technik zu verstehen, da ich zu sehr in der IPv4 Welt lebe. Ich habe zwei OPNsense (21.1.8_1) im HA laufen.

(Verfälscht) habe ich vom Provider diese Infos bekommen:

Code Select
Ihre IPv6 Adresse: 2001:551:5:1005::9a19:2
IPv6 Gateway:       2001:551:5:1005::9a19:1
Transfernet:           2001:551:5:1005::9a19::/64

Ihre Prefix: 2001:551:5:8400::/56 gerouted auf 2001:551:5:1005::9a19:2

Ich denke noch sehr stark in IPv4. Müsste ich jetzt die (...:9a19:2) IPv6 als CARP Adresse hinterlegen? Für CARP brauche ich aber doch mindestens drei IP's: Fw1, Fw2 und die CARP.

Das nächste dann: wie komme ich an meine IPs aus meiner Prefix /56? Mich irritiert, dass es ein ganz anderes Subnet ist.
Erstelle ich ein DHCPv6 Relay aus meiner DMZ oder auch Intranet auf das WAN Interface, welches die IPv6 routet? Das klingt falsch und ich finde gerade nicht den richtigen Gedankenweg..


Bin für jeden Hinweis dankbar!
July 19, 2021, 02:54:47 PM #1 Last Edit: July 19, 2021, 02:56:49 PM by pmhausen
Dir "gehört" das gesamte Prefix 2001:551:5:8400::/56. Das sind 256 /64, mit denen Du tun und lassen kannst, was Du möchtest.

Der Provider hat zwischen Deinen Geräten und seinem Router ein zusätzliches Prefix als Transfernetz: 2001:551:5:1005::9a19::/64.

Er routet Dein gesamtes /56 an die Adresse 2001:551:5:1005::9a19::2. Die Adresse 2001:551:5:1005::9a19::1 ist Dein Default-Gateway.

Damit ist doch eigentlich alles ganz einfach ;)

2001:551:5:1005::9a19::2 wird natürlich die CARP-Adresse. Für Deine beiden individuellen Firewalls verwendest Du beliebige statisch festgelegte Adressen aus 2001:551:5:1005::9a19::/64 - außer der .1 und der .2 natürlich.

Auf Deinem LAN oder weiteren Ports der OPNsense richtest Du einzelne /64 aus Deinem /56 ein mit einer statischen Adresse und schaltest die Router-Advertisements ein. Dann bekommen alle Clients in dem jeweiligen Netz die Adressen von der OPNsense.

NAT gibt's nicht, das gehört weg.

Gruß
Patrick

P.S. Auf der LAN-Seite natürlich ebenfalls mit HA ... jede Sense eine Adresse und eine weitere für CARP. Die sollte dann auch der Default-GW für die Clients sein. Hatte ich bisher noch nicht, aber sollte tun.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
July 19, 2021, 03:33:45 PM #2
DANKE, der groschen ist gefallen!
Manchmal denkt man einfach zu kompliziert!
Vielen Dank!
Print
Go Up Pages1
User actions