IPv6 und Aliase / Firewallgruppen

[dexcs]

Hallo zusammen,
ich benutze jetzt schon seit Jahren opensense bzw pfsense zuvor. In der IPv4 Welt habe ich immer per DHCP statische IP's an eine MAC gehängt, den statischen IP Block als Alias angelegt und dann z.b. ausgehenden Traffic für Admins erlaubt wo der "normale" user nur HTTP / HTTPS darf. Soweit so gut.

Kann mir jemand verraten wie man das in der IPv6 Welt am geschicktesten Anstellt? Ich bekomme IPv6 adressen ja über ein Tracking Interface von meinem Provider zugewiesen. Also öffentliche. Wie sortiert man die am besten in "Benutzergruppen" ein?

Denn wenn ich mit IPv4 schön Ports für bestimmte IP's pflege, dann IPv6 aber aufmache habe ich irgendwie nichts gewonnen 

Danke schonmal für Gedankenanstöße

Gruß Max

[Maurice]

Das funktioniert so nur mit einem statischen Präfix, da es "tracking aliases" in OPNsense leider nicht gibt. Geht bei anderen Firewalls durchaus und ist daher immer wieder Thema, eine Änderung wäre aber sehr aufwändig und ist nicht absehbar.
Als Workaround kann man in den Alias die Hostnamen der DHCPv6 Static Mappings eintragen. Falls sich das Präfix häufig ändert funktioniert das aber nicht zuverlässig.

Alternativ: Mehrere LANs mit unterschiedlichen Firewall-Regeln und die Clients dann je nach Berechtigung auf die LANs verteilen. Das ist ohnehin die bessere Lösung, da manche Geräte gar kein DHCPv6 unterstützen (z. B. Android).

Grüße

Maurice