IPv6-NAT 1:1 auf IPv4

[francesco_lo]

Hallo Zusammen,

ich habe die OPNSense schon seit ca. Jahr im Einsatz, allerdings bisher nur mit IPv4. Jetzt würde ich gerne auch IPv6 nutzen - ich bekomme von meinem Provider (NetCup) auf einer Netzwerkkarte eine öffentliche IPv4-Adresse und ein IPv6-Netz 2a04:5000:38:67::/64

Hinter der Firewall (LAN-Interface mit 10.223.184.0/24) sind einige virtuelle Server, die 1:1 auf eine öffentliche IPv6-Adresse aus dem /64er-Netz gemappt werden sollen.

Also quasi 10.223.184.101 (priv) <=> 2a04:5000:38:67::2 (öffentlich)

Ich habe schon etwas gesucht und die Funktion "NAT One-to-One" gefunden, allerdings bekomme ich es nicht zum Laufen 

Hat jemand von Euch vielleicht einen Tipp für mich?
Danke schon mal!

Gruß
Frank

PS: Auf dem WAN-Interface habe ich die 2a04:5000:38:67::1 konfiguriert, v6-Ping auf google.de geht auch

[theq86]

Das schöne an IPv6 ist, du musst nix mappen. Und nix natten. Deine Server sollten sich einfach eine IPv6 Adresse zuweisen lassen.

Wenn du am WAN IPv6 anliegen hast kannst du andere Interfaces auf Tracking einstellen. Somit bekommen Geräte in dem Netz dieses Interfaces automatisch eine IPv6 Adresse. Problem zu Hause ist nur, dass der v6 Präfix dynamisch ist.

Ein Mapping einer v4 Adresse auf eine v6 Adresse kann man übrigens nicht einfach mal so machen. Es sind völlig andere Protokolle. Es reicht nicht, im Header Adressen auszutauschen.

Bekommst du vom Anbieter tatsächlich nur ein /64 ? Das wär ja schon bescheiden. Ich kenne kaum nen Anbieter der nicht mindestens ein /56er vergibt, sodass du für jedes Interface theoretisch ein eigenes Netz haben kannst.

[JeGr]

> Bekommst du vom Anbieter tatsächlich nur ein /64 ? Das wär ja schon bescheiden. Ich kenne kaum nen Anbieter der nicht mindestens ein /56er vergibt, sodass du für jedes Interface theoretisch ein eigenes Netz haben kannst.

Da stimme ich zu. Wir sind selbst RIPE Mitglied und es wird für Hoster, ISPs und sonstige Dienstanbieter eigentlich klar definiert, dass dem Kunden ein entsprechendes Kontingent an Prefixen zur Verfügung stehen soll/muss. Bei ISPs ist IMHO das empfohlene Minimum ein /60 und /56 die Vorgabe, die man umsetzen soll(te). Jeder ISP den ich bislang gesehen habe, Telekom, Kabel, etc. geben per IPv6 eigentlich immer ein /56er Prefix mit raus, das _zusätzlich_ auf das Uplink /64er draufgeroutet wird.

@OP: Würde mich schon sehr wundern, wenn das in deinem Fall anders wäre

[micneu]

moin, ich kann das bestätigen mit der IPv6 :64. ich bekomme auch nur bei netcup ein 64er.
@francesco_lo wenn ich es richtig verstanden habe willst du das bei deinen Hoster machen und nicht bei dir zuhause/büro? denn ich wüsste nicht das netCUP auch internet zugänge anbietet.
Also hast du da mehrere server oder vm? kannst du mal bitte mehr informationen geben bitte.
was ist dein ziel?

[francesco_lo]

Moin,

Also hast du da mehrere server oder vm? kannst du mal bitte mehr informationen geben bitte.
was ist dein ziel?

Ja genau, ich habe dort auf der VM - die ich dort bekommen habe - Proxmox (sowas wie vmware) installiert und darauf wiederrum die OPNSense-Firewall und einige LXC-Container und auch virtuelle Server.

Die ganzen virtuellen Server und LXC-Container hängen dann (virtuell) am LAN-Ausgang der OPNSense. Jetzt würde ich gerne jeder VM eine v6-Adresse zuweisen, entweder per NAT und Portfreigabe oder eben auch direkt über V6.

Habe nur irgendwie keine Idee, wie ich das anstellen könnte..

VG
Frank

[JeGr]

> entweder per NAT

IPv6 hat kein NAT mehr, das soll es dort auch nicht mehr geben. Das Einzige was im Entferntesten daran erinnert ist NPt, was aber nur in Ausnahmefällen genutzt werden soll (RIPE). Im Normalfall solltest du mehr als ein /64 haben und einfach routen können. Daher einfach mal nachschauen/nachfragen, du müsstest auf Anfrage problemlos ein Prefix auf deine /64er Adresse geroutet bekommen.