IPv6 Verständnisfrage

[pleibling]

Hallo,

ich komme leider nicht weiter. Ich habe bei meinem Anbieter eine IPv6 Adresse, jedoch nur /64. Somit kann ich ja nicht subnetieren.

Die Adresse ist fest zugeordnet und auf dem WAN Interface (zuzüglich der IPv4 Adresse).

Jetzt habe ich aber einen Server in einem eigenen Netz und natürlich nicht auf der WAN Seite - NAT soll mit IPv6 nicht mehr nötig sein.

Ich verstehe nun nicht, ob ich auf den Dienst zugreifen kann aus dem Internet - auch wenn die auf verschiedenen Schnittstellen / Netzen liegen?!? Brauche ich da kein Routing mehr?

[Patrick M. Hausen]

Wenn der Default-GW deines Anbieters am WAN per link-local Adresse erreichbar ist, dann kannst du das /64 auf das LAN legen. WAN braucht bei IPv6 nicht zwingend eine GUA.

[Maurice]

Hängt davon ob, ob dein Anbieter das gesamte /64 statisch zu deinem WAN-Interface routet oder Neighbor Discovery einsetzt. In letzterem Fall würde es schwierig.

Grüße
Maurice

[pleibling]

Danke für eure schnelle Antworten. Leider muss ich gestehen, das ich nur wenig davon verstehe - IPv4 ist kein Problem, aber mit IPv6 fange ich gerade erst an. Vieles leite ich von meinem V4 Verständnis ab - weshalb ich mit meinem Vermutungen falsch liegen könnte.

Aber, wenn ich ein Kabel bekomme (welches ans WAN Interface kommt) und auf diesem Kabel eine Öffentliche IPv4 Adresse ist und auch gleichzeitig eine V6/64 Adresse ist, dann muss die doch erst mal irgendwie auf das andere Interface z.B. LAN bekommen. Da es jedoch eine /64 Adresse ist, kann ich die doch nicht subnetieren und komme somit nicht in das andere Interface, oder?!?

Ich würde jetzt von meinem Verständnis davon ausgehen, das ich eher eine Bridge bauen muss (ähnlich wie hier: https://docs.opnsense.org/manual/how-tos/transparent_bridge.html), oder?

Oder denke ich hier einfach zu kompliziert? Hat da IPv6 andere Mittel und Wege?

Danke für euere Mühen und vor allem für eure Geduld.

[Patrick M. Hausen]

Du kannst - theoretisch - das ganze /64 ohne Subnet (da liegst du richtig, das geht nicht) auf dein LAN legen. Das WAN braucht keine eigene GUA (Global Unicast Address) für das Routing und bei manchen Providern gibt es die auch nicht.

Ein Interface mit IPv6 hat immer eine bis mehrere Adressen. Wenn keine GUA anliegt, dann ist auf jeden Fall immer eine sog. link-local Adresse da. Diese reicht für das Routing.

Also der Provider routet das gesamte /64 an die link-local Adresse deines WAN und deine OPNsense routet allen ausgehenden IPv6-Verkehr an die link-local Adresse der Provider-Routers.

Systeme im LAN benutzen eine per SLAAC aus dem /64 zugewiesene Adresse und in der Regel auch wieder die link-local Adresse der OPNsense auf LAN als Gateway. Das macht das SLAAC aber alles automatisch für dich.

Einfach dead:beef:dead:beef::1/64 der Sense auf LAN zuweisen und Router Advertisements einschalten.

[pleibling]

Danke für die Info  - das klingt interessant, ich werde nachher mal versuchen das umzusetzen. Wenn das klappen sollte, dann mache ich dir eine virtuelle Flasche Champagner auf .

IPv6 scheint wirklich komplett anders zu sein.

Ich muss mal schauen, wie ich mich am besten darin einarbeite.

Danke vielmals für deine Unterstützung .

[JamesFrisch]

IPv6 ist in vielen Bereichen komplett anders.

Meiner Meinung nach ist es einfacher KEIN IPv4 Wissen versuchen zu transferieren.
Das geht eigentlich fast immer in die Hose, weil IPv6 es komplett anders oder eleganter löst.

[pleibling]

Das stimmt wohl.

Aber, wer nicht wagt - der nicht gewinnt.

Ich habe nun auf dem WAN Port die IPv6 Adresse eingerichtet und auch das IPV6 Gateway aktiviert - in den Einstellungen ist auch schon mal generell IPV6 aktiviert.

Wenn ich nun einen IPv6 Traceroute nach heise mache, bekomme ich schon mal von der Sense folgendes:

 traceroute6 to heise.de (2a02:2e0:3fe:1001:302: from 2a00:f70:abcd:135::2, 64 hops max, 28 byte packets
TTL   AS#   Host   Address   Probes
1   AS30962   2a00:f70:abcd:135::1      4.055 ms
2   AS30962   2a00:f70:aaaa:aaaa:0:1:0:5      0.580 ms
3   AS3320   dtag-dus.opencarrier.eu      1.223 ms
4   AS3320   2003:0:130d:c000::1      5.962 ms
5   AS3320   2003:0:f00::b9      8.203 ms
6   AS12306   2a02:2e0:14:6::1      6.063 ms
7   AS12306   2a02:2e0:10:24::1      6.005 ms
8   AS12306   2a02:2e0:10:23::1      5.846 ms
9   AS12306   2a02:2e0:12:34::2      5.581 ms
10   AS12306   2a02:2e0:3fe:0:c::1      5.676 ms !P

Somit ist erstmal IPv6 aktiv - nun geht es darum, denn Rest zu machen. Auf dem LAN interface der Sense,

Danadh habe ich wie empfohlen die dead:beef:dead:beef::1/64 und auf der Sense dann die dead:beef:dead:beef::2/64 auf einem Ubuntu Server eingesetzt (noch ohne Gateway).

Der Ubuntu Server kann sich selber mit der dead:beef:dead:beef::2 pingen, aber von der dead:beef:dead:beef::1 bekomme ich keine Antwort - auch nicht von der Sense in Richtung Ubuntu Server - IPv4 jedoch alles einwandfrei, somit gehe ich zumindest aus, das "Physikalisch" alles ok ist.

Woran kann das liegen?

Ich versuche nun das Router Adveritsement einzustellen - muss ich das auf LAN, WAN oder beiden aktivieren? Muss ich noch was einstellen (z.B. Unmanaged, advertise Default Gateway, advertise Routes)?

[Patrick M. Hausen]

"dead:beef:dead:beef" ist ein gängiger Platzhalter. Du musst hier eine Adresse aus dem /64 deines Providers eintragen und auf dem WAN eben gar keine GUA. Dann noch die Link-local Adresse des Providers als Gateway ... hatte ich doch alles geschrieben. Das /64 muss auf das LAN, sonst kein IPv6.

Übrigens sollten laut Standards Provider ihren Kunden mindestens ein /56 geben, auch für Privatanschlüsse. Dann hat man das ganze Gefummel nämlich nicht.

[pleibling]

Hoppla, stimmt ja. Passe ich gleich an. Vorab schon mal die Info zu deiner Rückrage mit dem /56 Netz - ich habe folgende Information vom RZ Anbieter erhalten:

[..]in Ihrem Port ist folgendes IPv6 Netz enthalten:
2a00:f70:abcd:135::0/64
GW: 2a00:f70:abcd:135::1
Es erfolgt keine automatische IP-Zuweisung durch unseren Router - d.h. Sie müssten die IP's manuell selbst vergeben.[..]

Natürlich wurde mir gegen Aufpreis ein /56 Netz angeboten.

Diese Aussage verstehe ich dennoch nicht ganz:

[..]"dead:beef:dead:beef" ist ein gängiger Platzhalter. Du musst hier eine Adresse aus dem /64 deines Providers eintragen und auf dem WAN eben gar keine GUA. Dann noch die Link-local Adresse des Providers als Gateway[..]

Die Adressen des Providers habe ich nun wie beschrieben von WAN auf LAN verlegt (sorry, hatte ich in meinem Übereifer überlesen). GUA sind quasi die weltweit gültigen Adressen, wenn diese nicht benötigt werden - dann nehme ich dann eine link-local Adresse (waren das die mit fdxx?), kann ich mir da eine aussuchen, oder muss ich die vom Anbieter erhalten (so liest sich das fast, was du mir geschrieben hast - aber oben steht alles das, was mir der Anbieter gegeben hat und er sagt auch das ist alles was ich benötige).

Ich habe mal das Netzwerkdiagramm unten aktualisiert und nehme nun mal die echten Daten und nehme die Anpassungen vor wie angegeben, das macht es vielleicht ein wenig einfacher.

Die Einstellungen für LAN und WAN habe Screenshots angehangen, vielleicht ist es dann einfacher zu erklären was noch wo hin muss.

Bezüglich des Router advertisements, da weiß ich überhaupt nicht wo aktiviert werden muss (auf WAN oder LAN oder beide?) und was dort einzustellen ist?

Könntest du / könntet ihr mir dabei auch bitte weiterhlenfe?

Danke dir/euch vielmals für eure Unterstützung und vor allem Geduld .

[Patrick M. Hausen]

Dann geht das alles nicht. Wenn deren Router zwingend eine Adresse aus diesem /64 hat, dann muss das /64 auch dort hin. Also auf WAN.

dead:beef:dead:beef heißt "setz hier dein richtiges Netz ein" - das Netz kannte ich in dem Moment ja nicht. Lies das doch einfach mal ... totes:rind:totes:rind ... das ist ein gängiger Platzhalter für "irgendein gültiges IPv6-Netz". So wie "bla", "fasel" oder "foo", "bar", ...

So, mit der Situation bei deinem Provider hast du jetzt zwei Möglichkeiten. Um was sinnvolles zu empfehlen - ist das eine Cloud-Firewall mit Servern in der Cloud dahinter oder ist das ein Büro mit PCs, das da hinter der OPNsense ist?

Was kostet das /56?

[pleibling]

Danke für deine schnelle Unterstützung - dann lag ich mit meiner Vermutung doch nicht so verkehrt. Das ist das Netz in unserem Rechenzentrum - schlimm genug, das man da nicht direkt ein /56 Netz bekommt. Ich frage mal nach was das kostet - alternativ werde ich mir einen VPS Server holen direkt mit IPv6, da hat man das ganze Theater nicht.

Eine andere Frage wäre, wenn ich die OPNsense in Bridgemodus setze - so wie hier: https://docs.opnsense.org/manual/how-tos/transparent_bridge.html

Würde das dann funktionieren? Oder geht das mit IPv6 nicht?

[Patrick M. Hausen]

Das geht natürlich auch - ich bin bisher von einem klassischen DSL- oder Kabel-Uplink ausgegangen.
Natürlich könnte man dir in einem RZ auch einfach ein zweites /64 routen für das LAN, wenn man kein ganzes /56 rausrücken will.

Bei Hetzner z.B. bekommst du das /64 statisch an die MAC-Adresse des Servers geworfen, der Default-Gateway ist fe80::1, und man zweigt sich dann aus dem /64 eine einzelne Adresse mit /128 Prefixlänge ab - das würde z.B. auch gehen.

Aber wenn dein RZ-Betreiber darauf besteht, dass die eine Adresse aus dem /64 als Default-GW benutzen, dann geht das leider alles nicht.

[pleibling]

So, endlich geht es weiter. Ich habe vom Anbieter gegen ein kleines Entgelt das 2a00:f70:abd0::/56 Subnetz bekommen. Ich habe mal den Plan aktualisiert - sollte doch so klappen, oder?

Für die Sense, muss ich ja dann auf WAN und LAN die Verbindungen (z.B. tcp/25 usw.) eingehend von Any zu der Mailcow (Mailserver) erlauben - wenn ich auf beiden die selbe Konfiguration benötige, dann kann ich die Regel doch als Floating Rule einrichten, oder?

Plan habe ich mal angehangen.

Danke für eure Hilfe .

[Maurice]

Das LAN-Interface sollte als /64 konfiguriert werden. Ist nicht zwingend, aber gängig und macht manches einfacher.
Floating Rules sind nur in Ausnahmefällen sinnvoll, hier sehe ich spontan keinen Grund dafür. Wo läuft denn der Mailserver? Auch auf der Nginx-Kiste?