IPv6 und DHCP Server richtig konfigurieren

[Tuxtom007]

Ich hab das einfach so gelöst:

- Media-Geräte wie TV usw. sind bei mir eh in einem eigenen VLAN
- Pihole bzw. AdGuard Sperrliste eingebunden, welche den Zugriff für Smart-TV usw. blockt.
- Firewall-Regel in andere VLan nur wo notwendign, z.b. NAS für Streaming.

Da mein Samsung-TV eh keine neue Firmware mehr bekommt, braucht der auch keine Internetverbindung um nach Hause zu telefonieren.


Allerdings nervt es mich auch gewaltig, das deutsch ISP es einfach nicht gebacken bekommen, mal  statisch IPv6 Prefixe für Privatkunden anzubieten.
Dann könnte ich meinen Pihole entlich mal feste IPv6 Adressen geben und den Adguard rauswerfen.

[3x3cut0r]

Hi,
ich hätte ein paar Fragen zu IPv6 und DHCP und das Topic passt dazu sehr gut.

Mein Setup:
DrayTek Vigor 165 als VDSL2 Modem direkt verbunden mit der OpnSense 22.18 als Router. Clients dahinter. Keine VLANs etc.
Provider ist 1und1 mit dynamischem IPv6 Präfix.

Was ich möchte ist ganz einfach:
Die OpnSense dazu bringen, was vorher die FritzBox gemacht hat.

Jeder Client soll eine IPv6 Adresse aus dem dynamischen Präfix per SLAAC und/oder DHCPv6 bekommen und per RA. die Cloudflare DNS Server und die OpnSense IPv6 Adresse als Standard GW bekommen.

Funktioniert bis auf das Gateway auch alles.
Meine ersten Fragen beziehen sich deshalb darauf.

1. GUA (2001er Addresse) als Default-Gateway:
Jeder Client bekommt nur die Link Local FE80 Adresse der OpnSense über RA und nicht die GUA 2001.
Sollte das so sein?
Warum ist das so und wie kann ich das ändern?
FE80 wird doch nicht im Internet geroutet, oder? also bringt einem Client das GW nichts (es sei denn es würde genattet werden, was es nicht soll!), richtig?
Services / RA / LAN / Advertice Default Gateway: scheint ja nur die FE80 Adresse zu verteilen ...
Unter Services / RA / LAN kann ich ja kein fixes 2001er GW eintragen, da sich dieses täglich ändert, richtig?

2. Adress-Range im DHCPv6 angeben:
Wenn ich die Adress-Range im DHCPv6 angeben/einschränken will habe ich ja das selbe Problem -> dynamisches Präfix verhindert ja, das ich eine Range eintragen kann, da ich täglich bzw. nach jedem Neustart es ändern müsste, richtig?

3. DNS mit pihole und IPv6:
Kleine Gedanke von mir zu DNS per pihole und IPv6 um das dynamische Präfix problem zu umgehen:
Könnte man nicht ein eigenes statisches IPv6 Netz aufbauen mit ULA fc00:: Adressen und allen Clients die statische ULA vom pihole als DNS per RA verteilen. Der pihole selbst hat dann per SLAAC eine 2001er GUA Addresse, welche Auflösungen im Internet machen kann und eine ULA für die Verbindungen zu den Clients. Die Clients selbst hätten dann je eine/mehrere GUAs (2001) per SLAAC, welche sich Ändern dürfen mit GW ins Internet und eine ULA (fc00) für die Namensauflösung zum pihole (ohne GW). Sollte das so theoretisch funktionieren oder habe ich einen Gedankenfehler? Mehrere IPv6 Adressen sind ja kein Thema.

Danke für Tipps und Hilfe.

[tiermutter]

Zu 1 und 2:
Die GUA wird im LAN verteilt indem Du beim LAN Interface die v6 Konfig auf Track Interface stellst und das WAN wählst. Das berücksichtigt auch Prefixänderungen.
Zu 3:
Ich mache das ähnlich. Ich verteile per DHCP6 und RA die ULA meiner Sense (AdGuard) als DNS Server. Dafür musst Du eine virtuelle IP mit der ULA für die Sense anlegen und die manuelle Konfiguration erlauben.

[3x3cut0r]

danke für deine Antwort.
Das habe ich schon genau so eingestellt. Trotzdem ist das default gw immer FE80?
Auf was sollte denn Services / RA / LAN / Router Advertises stehen? Auf unmanaged oder Statless? was ist hier der unterschied?

Und verteilt die Opnsense dann trotzdem noch adressen per SLAAC bei dir? zusätzlich zu der ULA?

[tiermutter]

Als Gateway kann ja auch die LLA (fe80) angegeben sein, das ist alles gut so.
Deine Clients sollten dann allerdings eine GUA (2001) bekommen, dann kommen sie mit v6 auch ins Internet.

Bei mir sieht es so aus....
LAN Interface:
Track Interface, WAN, Allow manual...

DHCP6:
Range vergeben, also die zu verteilenden Adressen nach dem Prefix und bei DNS die ULA der Sense/ des DNS Servers.

RA:
Assisted und bei DNS ebenfalls die ULA.

Die ULA wird nur mittels SLAAC verteilt, DHCP6 verteilt nur die GUA. Durch "assisted" bekommen die Clients also beides. Mittels ULA fragen sie dann beim DNS Server um dann mittels GUA ins Internet zu sprechen.

[3x3cut0r]

Also ich habe alles so eingestellt wie du. Nur meine Clients bekommen dann nur eine GUA IP und kein GUA Gateway und kommen über IPv6 nicht ins internet!
Welches GW verteilst du dann über RA?

EDIT:
Wenn Advertise Default GW aktiviert ist ... sollte er dann alle seine IPv6 Adressen verteilen, gerade wenn man Virtuelle IPs auf der LAN Schnittstelle angelegt hat? oder welche nimmt er da? wie kontrolliert/steuert man das bzw stellt das ein?

[tiermutter]

Als gateway wird bei mir die LLA verteilt, das ist alles gut so, das Problem muss demnach woanders liegen...
Die FW lässt v6 aber raus? Funktioniert eventuell nur das DNS nicht? Kommt die Sense selbst über v6 raus (Interfaces/Diagnose)?

[3x3cut0r]

OK stimmt, als GW bekommt zb. ein debian server oder mein mac die LLA als gateway nur die playstation nicht und das hat mich die ganze zeit verwundert.
ich konnte es nun lösen in dem ich AdvDefaultLifetime (auf 300) gesetzt habe.
denn laut Dokumentation:

Code: [Select]

Advertise Default Gateway: uses AdvDefaultLifetime to disable advertising as default router when unset.Das hätte ich mal vorher lesen sollen.

Ich denke jetzt klappt alles wie ich es wollte!
Danke für eure Hilfe.

PS, was ich gelernt habe:
1.:
Was ich nicht wusste und da musste ich mich erstmal umfassend einlesen, dass IPv6 nicht funktioniert wie IPv4 (obviously) ... aber speziell im bezug auf das GW. Ich bin davon ausgegangen, das ein Client, der die LLA als GW hat (FE80) nicht ins Internet kommt, da er sein GW ja nur mittels LLA erreicht und diese ja nicht geroutet wird (Trugschluss). Da IPv6 hier anders Tickt und ein Client als GW immer eine LLA Addresse hat, die nur dazu dient die MAC Addresse des GW zu ermitteln um dann trotzem mit einer GUA (2001) als Quell-IP ins Internet zu gehen muss einem ja erstmal jemand sagen :>

2.:
Wer bei Debian eine Static IP und gleichzeitig per SLAAC versorgt werden will stellt seine /etc/network/interfaces so ein:

Code: [Select]

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.x.x/24
gateway 192.168.x.x

iface eth0 inet6 static
address fc00::x/64
autoconf 1
privext 2
accept_ra 2
LG

[Tuxtom007]

Hallo,

ich bin ja froh, das Vodafone es endlich mahc geschafft hat, IPv6 bei mir so zum Laufen zu bekommen, das es stabil ist und nicht alle paar Tage die externe IPv6-Adresse wieder weg ist oder Prefix-Delegation nicht funktioniert.

Aber mal so nebenbei:
Ist es eigentlich möglich,  Link-Local-Adresse ( fe80:) über VLAN-Grenzen erreichbar zu machen ?

Ich würde gerne meine PiHole's wieder aktivieren, mit IPv4 ja kein Problem mit statischer Adresse im VLAN, aber mit IPv6 und Prefix-Delegation ein Thema.
Solange ich im selben VLan bin, kann ich die LL-Adresse erreichen und Pihole darüber auch nutzen, aber eben nicht aus anderen VLan nicht.
Muss ich dafür Routing bauen oder wie kann man das umsetzen ?

[tiermutter]

Ich nutze das so nicht, verwende für unterschiedliche Interfaces aber unterschiedliche ULA um meinen DNS (AdGuard auf der Sense) zu erreichen.
Wenn Pihole mehrere VLAN hat, müsste es ja möglich sein die ULA der jeweiligen VLAN als DNS zu verteilen. So mache ich das zumindest für das LAN und mehrere VPN.

[Tuxtom007]

AdGuard läuft derzeit bei mir auf der OPNSense, das ist ja kein Problem, weil der über die Gateway-Adresse des jeweiligen VLAN's erreichbar ist und das ja per DHCP verteilt wird.

PiHole soll aber wieder als Container auf einem Proxmox-Server laufen und da muss ich ja hinkommen und der läuft nun mal nur in einem VLAN, wo alle meine "Server" drin stecken.
Das Problem ist ja eigentlich, das ich nicht über die VLAN-Grenze auf die LL-Adresse komme, innerhalb des VLAN funktioniert das problemlos mit dem PiHole.
Ich weiß nicht, ob das per Routing oder FW-Regel machbar währe - finde das nichts brauchbares an Tips zu.

[goldrunner]

Ich krame mal den alten Thread hier wieder hervor, da mein Problem ähnlich ist:

OPNsense als FW/Router mit WAN0 und WAN1 als failover (funktioniert z.Z. noch nicht, da debian mit libvirt nicht aus dem Knick kommt). DNS(4+6)+DHCP(4+6) und weitere Dienste auf einer VM. Die Clients sollen ULA (fc00::/7) und EUI-64 nutzen und später einen Prefix vom ISP für die globale Anbinding.

Die Sache mit ULA funkioniert sofern es die Generierung der IPv6 betrifft, nicht aber die Registrierung beim DNS. Sofern ich IPv6 verstehe muss dies der Client selbst tun, DHCPv6 macht das wohl nicht.

Bei IPv4 nutzt DHCP einen Schlüssel um sich gegenüber dem DNS zu authentifizieren. Bei DHCPv6 kann man sich das wohl schenken, da jedem Client der Schlüssel zugeschickt werden müsste und dies die Konfiguration insgesamt verkompliziert ohne einen Sicherheitsgewinn.

Bei den vorherigen Posts hatte ich den Eindruck, dass dort DNS+DHCP der OPNsense verwendet wird - Funkioniert das auch mit den Diensten extern?