IPv6 (Grosses Thema einige Fragen)

[MBG]

Hallo Zusammen

Ich stolpere gerade über IPv6, da mein Hosting-Provider für meinen dedicated Server ein /64 IPv6-Subnetz schenkt. Das klingt in erste Sicht mega cool (18,5 Trillionen IPs )

Nur stosse ich auf einige Probleme:

1.) Ich schaffe es nicht IPv6 auf dem WAN Interface zu konfigurieren... Genauer gesagt den GW, da er in einem anderen Netz liegt, als das Subnetz was ich bekommen habe. Ich bekomme immer die Fehlermeldung, dass der Gateway nicht im selben Subnetz liegt (obwohl ich beim hinzufügen des Gateways der Firewall gesagt habe, dass dies ein Ferner Gateway ist). Ich bin da momentan ein wenig sprachlos, da dies bei der Konfiguration von der IPv4-Adresse auf dem WAN-Interface wunderbar funktioniert hat.

Kurze Infos:
OPNSense Version: 18.7.10_3-amd64
IPv6 Adresse: 2001:4ba0:ffe7:01fa::1
Netzadresse: 2001:4ba0:ffe7:01fa::0 / 64
GW: 2001:4ba0:ffe7:1:beef::1 /128

2.) Ich wollte gerne nach der Konfiguration des WAN Interfaces die Firewall als DHCPv6 nutzen (also als DHCP-Server für IPv6 Adressen), wie genau muss man das Konfigurieren?

3.) Da ich ja im LAN auch IPv4 nutze und dies genatet wird, wird das bei IPv6 auch? (Sollte ja eigentlich wegfallen und die IPs sollten öffentlich erreichbar sein).

4.) Bezieht sich auf Frage 3: Kann man dementsprechend IPv6 Adressen im LAN statisch konfigurieren und aus dem öffentlichen Netz erreichen? wen ja wie?

Gruss und danke für eure Zeit und eure hilfreichen Antworten! 
Anton Kikels

[theq86]

Hallo!

da mein Hosting-Provider für meinen dedicated Server ein /64 IPv6-Subnetz schenkt. Das klingt in erste Sicht mega cool (18,5 Trillionen IPs )

Das ist bei IPv6 auch vorgesehen. Kunden sollte immer mindestens ein /64er Netz zugewiesen werden. Die Anzahl der IPs darin mag zwar cool klingen, aber spätestens wenn du weißt, dass /64 das kleinste Subnetz ist, das man nicht mehr unterteilen kann (*) wirst du merken, dass es einem einzelnen Server wenig bringt. Es sei denn du betreibst darauf Virtualisierung. Aber auch dann wären alle Hosts in einem Subnetz.

(*) Technisch wäre es zwar möglich das /64 weiter zu subnetten, dann jedoch müsstest du auf alles verzichten was laut Standard eine /64 Trennung benötigt. zB. Autokonfiguration via SLAAC. Ist also eher von abzuraten, wenn es auch anders geht

Am Ende wirst du also höchstens ne Hand voll IP Adressen davon nutzen.

1.) Ich schaffe es nicht IPv6 auf dem WAN Interface zu konfigurieren... Genauer gesagt den GW, da er in einem anderen Netz liegt, als das Subnetz was ich bekommen habe. Ich bekomme immer die Fehlermeldung, dass der Gateway nicht im selben Subnetz liegt (obwohl ich beim hinzufügen des Gateways der Firewall gesagt habe, dass dies ein Ferner Gateway ist). Ich bin da momentan ein wenig sprachlos, da dies bei der Konfiguration von der IPv4-Adresse auf dem WAN-Interface wunderbar funktioniert hat.

Wozu brauchst du das ferne Gateway? In der Regel liegt das Gateway auch bei nem Hostingprovider im selben Subnetz bzw. netzwerktechnisch auf dem selben Link. IPv6 hat übrigens auch sehr nette neue Features. Die Multicast-Adresse ff02::2 kann benutzt werden um alle Router in deinem Subnetz zu finden. Sie ist allerdings link-scoped so wie die link-local Adressen. Das bedeutet, dass du deinen Interfacenamen angeben musst wenn du die Adresse benutzt. Aber mach doch einfach mal ein ping6 ff02::2%eth0 wobei eth0 der devicename deines interfaces ist. Schon antworten dir alle Router im Segment. Einer davon ist ziemlich sicher das Gateway.

Kurze Infos:
OPNSense Version: 18.7.10_3-amd64
IPv6 Adresse: 2001:4ba0:ffe7:01fa::1
Netzadresse: 2001:4ba0:ffe7:01fa::0 / 64
GW: 2001:4ba0:ffe7:1:beef::1 /128

Bei v6 schreibt man die Netzadresse nicht mehr mit der 0 hinten, die ist eh implizit. Dein Netzname lautet: 2001:4ba0:ffe7:01fa::/64 (die Doppelpunkte weisen ja schon darauf hin, dass da nur noch Nullen stehen)

2.) Ich wollte gerne nach der Konfiguration des WAN Interfaces die Firewall als DHCPv6 nutzen (also als DHCP-Server für IPv6 Adressen), wie genau muss man das Konfigurieren?

Du brauchst nicht unbedingt einen DHCPv6 Server, zum reinen Verteilen von Adressen reicht der Router Advertisement daemon auch aus. Du kannst aber mit DHCPv6 durchaus auch nur die Zusatzinfos wie DNS Server, Gateways, NTP Server usw. verteilen, wenn du das musst/willst. Ich hab noch nie den DHCPv6 konfiguriert weil ich ihn ehrlich gesagt nicht brauche.

3.) Da ich ja im LAN auch IPv4 nutze und dies genatet wird, wird das bei IPv6 auch? (Sollte ja eigentlich wegfallen und die IPs sollten öffentlich erreichbar sein).

Bei IPv6 wird da nix genattet. Macht eh keinen Sinn, keiner muss mit öffentlichem Adressraum knausern.

4.) Bezieht sich auf Frage 3: Kann man dementsprechend IPv6 Adressen im LAN statisch konfigurieren und aus dem öffentlichen Netz erreichen? wen ja wie?

Freilich, das ist doch der Sinn dahinter. Wobei man jetzt bei v6 beim Begriff "im LAN" ein wenig umdenken muss. Vor v6 gab es ja ne schärfere Trennung. "Im LAN" war "hinter dem NAT". Gibst du jetzt jedem Host in deinem LAN eine globale Adresse ist natürlich jeder Rechner in deinem LAN öffentlich adressierbar. (Ob auch erreichbar ist dann nur noch ne Frage der Firewall, nicht mehr des NAT)

[MBG]

Vielen Dank für die Info!

Es sei denn du betreibst darauf Virtualisierung. Aber auch dann wären alle Hosts in einem Subnetz.

Ja ich betreibe eine Virtualisierung. Der dedizierte Server ist nur ein Hypervisor und die OPNSense FW ist eine virtuelle Maschine auf dem Host.

Wozu brauchst du das ferne Gateway? In der Regel liegt das Gateway auch bei nem Hostingprovider im selben Subnetz bzw. netzwerktechnisch auf dem selben Link. IPv6 hat übrigens auch sehr nette neue Features. Die Multicast-Adresse ff02::2 kann benutzt werden um alle Router in deinem Subnetz zu finden. Sie ist allerdings link-scoped so wie die link-local Adressen. Das bedeutet, dass du deinen Interfacenamen angeben musst wenn du die Adresse benutzt. Aber mach doch einfach mal ein ping6 ff02::2%eth0 wobei eth0 der devicename deines interfaces ist. Schon antworten dir alle Router im Segment. Einer davon ist ziemlich sicher das Gateway.

Dem ist hier aber nicht so... Wie du bereits oben eventuell festgestellt hast ist das Netz  2001:4ba0:ffe7:01fa::/64 und der Gateway 2001:4ba0:ffe7:1:beef::1. Der Gateway liegt in einem anderen Netz und ist somit ein ferner Gateway.

Bei v6 schreibt man die Netzadresse nicht mehr mit der 0 hinten, die ist eh implizit. Dein Netzname lautet: 2001:4ba0:ffe7:01fa::/64 (die Doppelpunkte weisen ja schon darauf hin, dass da nur noch Nullen stehen)

Ich hab die Sachen direkt aus der Übersicht von der Hostingfirma kopiert. Diese Infos stehen in meinem Admin-Panel.

reilich, das ist doch der Sinn dahinter. Wobei man jetzt bei v6 beim Begriff "im LAN" ein wenig umdenken muss. Vor v6 gab es ja ne schärfere Trennung. "Im LAN" war "hinter dem NAT". Gibst du jetzt jedem Host in deinem LAN eine globale Adresse ist natürlich jeder Rechner in deinem LAN öffentlich adressierbar. (Ob auch erreichbar ist dann nur noch ne Frage der Firewall, nicht mehr des NAT)

Gut nur wie kann ich dort die FW-Regeln konfigurieren? Muss ich jede IPv6-Adresse, die ich nutze als VIP in der FW anlegen und danach das Weiterleiten, was ich möchte oder wie genau muss die Config aussehen?

[theq86]

Dem ist hier aber nicht so... Wie du bereits oben eventuell festgestellt hast ist das Netz  2001:4ba0:ffe7:01fa::/64 und der Gateway 2001:4ba0:ffe7:1:beef::1. Der Gateway liegt in einem anderen Netz und ist somit ein ferner Gateway.

Was bedeuten würde, dass du um das Gateway überhaupt erreichen zu können eine statische Route zu einem Router in deinem Netz benötigst. Es sei denn die OPNsense ist mit einem eigenen Interface im Netz des Gateways.

Davon mal abgesehen kriege ich aber auch eine Fehlermeldung beim Hinzufügen eines fernen IPv6 Gateways. Eventuell ist das ein Bug in OPNsense. Du kannst auf Github ein Issue dazu erstellen

Gut nur wie kann ich dort die FW-Regeln konfigurieren? Muss ich jede IPv6-Adresse, die ich nutze als VIP in der FW anlegen und danach das Weiterleiten, was ich möchte oder wie genau muss die Config aussehen?

Na genauso wie in IPv4. OPNsense blockt ja standardmäßig eh alles von außen. Wenn du allerdings eine Verbindung zulassen willst schreibst du in die Firewallregel einfach welche IP durchgelassen werden soll.
VIPs musst du nur konfigurieren wenn du willst, dass die OPNsense selbst mehrere v6 Adressen hat. Ansonsten sorgst du halt im LAN weiterhin einfach dafür, dass die LAN Adresse der Sense im selben Subnetz liegt wie die Host-Adressen.

[MBG]

Was bedeuten würde, dass du um das Gateway überhaupt erreichen zu können eine statische Route zu einem Router in deinem Netz benötigst. Es sei denn die OPNsense ist mit einem eigenen Interface im Netz des Gateways.

Laut Provider reicht eine Point To Point Verbindung zum Gateway, um den späteren Traffic darüber zu leiten. Nur wie richtet man das an der FW ein?

Davon mal abgesehen kriege ich aber auch eine Fehlermeldung beim Hinzufügen eines fernen IPv6 Gateways. Eventuell ist das ein Bug in OPNsense. Du kannst auf Github ein Issue dazu erstellen

Werde ich tun!

Wenn du allerdings eine Verbindung zulassen willst schreibst du in die Firewallregel einfach welche IP durchgelassen werden soll.

Bedeutet: Quelle -> jeglich; Ziel -> IPv6-Adresse; Port: -> Den/die, den/die ich durchlassen will
Sehe ich das richtig?

[theq86]

Laut Provider reicht eine Point To Point Verbindung zum Gateway, um den späteren Traffic darüber zu leiten. Nur wie richtet man das an der FW ein?

Unter Schnittstellen - Punkt-zu-Punkt - Geräte

Der Hoster soll dir aber aber nochmal sagen welches PPP er spricht. Es gibt ja mehrere Möglichkeiten. Bei PPPoE zB. brauchst du auch evtl. Zugangsdaten. Also frag da noch mal nach. Sobald du  das Interface hast und es Up ist sollte sich auch das Gateway einrichten lassen ohne zu meckern.

Bedeutet: Quelle -> jeglich; Ziel -> IPv6-Adresse; Port: -> Den/die, den/die ich durchlassen will
Sehe ich das richtig?

Ja. Da kein NAT mehr vorhanden ist reicht die reine Firewallregel. Keine Portweiterleitung mehr nötig. Mach das aber nur bei Adressen, die auch wirklich von außen verfügbar sein sollen. Denn Antworten auf eigene Anfragen ässt die Firewall ja eh durch.

[MBG]

Der Hoster soll dir aber aber nochmal sagen welches PPP er spricht. Es gibt ja mehrere Möglichkeiten. Bei PPPoE zB. brauchst du auch evtl. Zugangsdaten. Also frag da noch mal nach. Sobald du  das Interface hast und es Up ist sollte sich auch das Gateway einrichten lassen ohne zu meckern.

Lustigerweise finde ich zu dem Punkt nichts. Ich glaube dies ist nicht nötig? Zu mindest Zugangsdaten habe ich keine bekommen und laut Hoster braucht es auch keine.

Mach das aber nur bei Adressen, die auch wirklich von außen verfügbar sein sollen.

Ja gut, das ist logisch
Sonst macht eine Firewall wenig Sinn...
Mach dann auch nur die Ports auf, die offen sein müssen.

[theq86]

Schau mal hier: https://forum.opnsense.org/index.php?topic=6035.0

Selber Hoster, Problem gelöst.

Scheint so als wäre tatsächlich ein Gateway im Subnetz das du via link-local ansprechen kannst.

Tu mir doch bitte mal einen gefallen und geh auf die Shell der OPNsense und setz folgendes ab:

Code: [Select]

ping6 ff02::2%eth0 wobei eth0 der devicename deines wan interfaces ist.

Und dann poste mal die Ausgabe. Dann wirst du ja sehen was für Router du im Netz hast.

[MBG]

Schau mal hier: https://forum.opnsense.org/index.php?topic=6035.0

Schön bin auch bei der myLoc.

Und dann poste mal die Ausgabe. Dann wirst du ja sehen was für Router du im Netz hast.

Hier die Ausgabe:

Code: [Select]

root@fw12:~ # ping6 ff02::2%em0
PING6(56=40+8+8 bytes) fe80::20c:29ff:feb3:3751%em0 --> ff02::2%em0
^C
--- ff02::2%em0 ping6 statistics ---
8 packets transmitted, 0 packets received, 100.0% packet loss
Liegt aber glaube ich daran, dass momentan kein IPv6 eingerichtet ist.
Werde die Ausgabe nach dem durchlesen der anderen Topic noch einmal posten.

[MBG]

Nach dem ich als Gateway den link local gateway genommen habe, bin ich mal einen Schritt weiter gekommen.

Nun die Aufgabe der FW:

Code: [Select]

root@fw12:~ # ping6 ff02::2%em0
PING6(56=40+8+8 bytes) fe80::20c:29ff:feb3:3751%em0 --> ff02::2%em0
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
^C
--- ff02::2%em0 ping6 statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
Gleichzeitig hier noch ein Pingversuch auf die FW auf die IPv6-Adresse und die IPv4-Adresse (IPv4 funktioniert, IPv6 nicht):

Code: [Select]

H:\>ping -6 2001:4ba0:ffe7:1fa::1

Pinging 2001:4ba0:ffe7:1fa::1 with 32 bytes of data:
PING: transmit failed. General failure.
PING: transmit failed. General failure.
PING: transmit failed. General failure.
PING: transmit failed. General failure.

Ping statistics for 2001:4ba0:ffe7:1fa::1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),


H:\>ping 89.163.253.13

Pinging 89.163.253.13 with 32 bytes of data:
Reply from 89.163.253.13: bytes=32 time=28ms TTL=50
Reply from 89.163.253.13: bytes=32 time=27ms TTL=50
Reply from 89.163.253.13: bytes=32 time=28ms TTL=50
Reply from 89.163.253.13: bytes=32 time=30ms TTL=50

Ping statistics for 89.163.253.13:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 27ms, Maximum = 30ms, Average = 28ms
Die FWRegeln sind richtig gesetzt (siehe Bild).

[MBG]

Hab jetzt eine statische Route zum GW gesetzt.

Nun kann ich alles aussen im Netz anpingen.

Aber die FW an sich von aussen lässt sich nicht anpingen.
Wie genau kann ich nun diese IPs öffentlich verfügbar machen?

Hier der Ping-Output:

Code: [Select]

# /sbin/ping6 -c '3' '2001:4860:4860::8888'
PING6(56=40+8+8 bytes) 2001:4ba0:ffe7:1fa::1 --> 2001:4860:4860::8888
16 bytes from 2001:4860:4860::8888, icmp_seq=0 hlim=60 time=3.520 ms
16 bytes from 2001:4860:4860::8888, icmp_seq=1 hlim=60 time=3.243 ms
16 bytes from 2001:4860:4860::8888, icmp_seq=2 hlim=60 time=3.408 ms

--- 2001:4860:4860::8888 ping6 statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 3.243/3.390/3.520/0.114 ms

[theq86]

Lässt du eingehendes ICMPv6 zu? Wenn die Firewall das blockt kann auch kein Ping von außen beantwortet werden.

[MBG]

Lässt du eingehendes ICMPv6 zu? Wenn die Firewall das blockt kann auch kein Ping von außen beantwortet werden.

Ja lasse ich (siehe Bild im vorherigen Post)


Gesendet von iPhone mit Tapatalk

[JeGr]

Du lässt ICMP6 aber nur auf der WAN Adresse zu.

[MBG]

Du lässt ICMP6 aber nur auf der WAN Adresse zu.

Habe auch nur IPv6 als WAN Adresse auf der Firewall konfiguriert und noch kein produktives System angefasst.

Aber die Firewall ist über IPv6 nicht pingbar...


Gesendet von iPhone mit Tapatalk