Einführung von IPv6 im Netzwerk

[thogru]

Moin,

Mein aktuelles Netzwerk sieht so aus:

Code: [Select]

Internet - DSL                                               
                                                             
       |                                                     
+------+------+                                               
|             |                                               
|  Fritz!Box  |  DECT Telefonie                               
|             +----------------------------                   
+------+------+                                               
       |                                                     
       |                                                     
       | WAN: 192.168.178.0/24                               
       |                                                     
       |                                                     
+------+------+                                               
|             |  LAN: 192.168.148.0/24                       
|   Router    +-----------------------------                 
|             |                                               
|  OPNsense   |  DMZ: 192.168.147.0/24                       
|             +-----------------------------                 
+------+------+                                               
       |                                                     
       |                                                     
       |                                                     
       |                                                     
       |  WLAN_Base:   192.168.130.0/24                       
       |  WLAN_Admin:  192.168.131.0/24  VLAN 10             
       |  WLAN_Intern: 192.168.132.0/24  VLAN 100             
       |  WLAN_Guest:  192.168.133.0/24  VLAN 200             
       |                                                     
       |                                    +----------------+
       |                                    |                |
       +------------------------------------+  Access Point  |
                                            |                |
                                            +----------------+

Wie im Diagramm zu sehen ist, habe ich mich bisher nicht um IPv6 gekümmert.

Was habe ich eingerichtet:

• Alle Systeme im LAN kommen überall hin
• Alle Systeme in der DMZ kommen nur ins Internet
• Alle Systeme in WLAN_Intern kommen überall hin
• Alle Systeme in WLAN_Guest kommen nur ins Internet
• WLAN_Base war nur zur Konfiguration des Access Points aktiv
• WLAN_Admin wird zur Konfiguration des Access Points genutzt
• Einige Services (DNS & NTP) werden nur vom Router versorgt
• Auf die Systeme in der DMZ kann vom Internet aus zugegriffen werden (Portforwarding)
• Es Portforwarding-Regeln, die ich aktivieren kann, damit aus dem Internet auf meinen Spiele-PC im LAN zugegriffen werden kann.

Demnächst wird mein Internetzugang auf Glasfaser umgestellt. Damit bekomme ich keine öffentliche IPv4 Adresse mehr, sondern nur eine öffentliche IPv6 Adresse.

Das heißt ich muss mich mit IPv6 auseinandersetzen.

Unter https://danrl.com/ipv6/ habe ich ein grundsätzliche Erklärung gefunden. Könnt Ihr ähnliche Dokumente, am besten auf Deutsch, zum Lesen empfehlen.

Mit der IPv6-Einführung in meinem Netzwerk möchte ich den aktuellen Status erhalten:

• Alle Systeme sollen nicht über eine langlebige und eindeutige IPv6 Adresse zu tracken sein.
• Die bestehende Netzwerk-Topologie soll so weiter bestehen bleiben. Es sei denn, da gibt es einen groben Fehler.

Zu IPv6 habe ich folgende Fragen:

• Was sind die Schlüsselbegriffe auf die ich achten soll?
• Welche Details sollte ich anstreben oder implementieren?
• Was sollte ich auf keinen Fall probieren?
• Welche Fallstricke sollte ich meiden?
• Für IPv4 habe ich DynDNS genutzt, um die Adresse meines Servers in der DMZ zu veröffentlichen. Wie geht mit IPv6?

Ich danke im Voraus für Eure Unterstützung.

Falls das Thema die Diskussion hier zu komplex ist, bin ich auch bereit für eine persönliche Beratung/Umsetzung Geld auszugeben.

Gruß
Thomas

[Reiner030]

Es gibt da schon neben der Dokumentationsseite Blog Einträge mit dem Stichworten "FritzBox" "OpenSense" und "IPv6", wie übrigens auch diverse Hinweise von Tante Google auf dieses Forum? 
Auf die Schnelle z.B.:

• https://docs.opnsense.org/manual/how-tos/ipv6_fb.html
• https://www.kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamischer-prefix-delegation-teil-1/
• https://teqqy.de/ipv6-mit-fritzbox-und-opnsense-bei-vodafone/
• https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fritzbox/

Konnte ich für meine Arbeit allerdings nur für die TDSL / Vodafone Fallbacks nutzen, wobei wir hier weiterhin noch IPv4 nutzen können und daher alles fein ist. Unsere Hauptanbindung kommt von einem anderen Anbieter und muss leider deutlich anders konfiguriert werden für eingehende Services, die man anscheinend auf der LAN Seite binden muss, was in den bisher von mir gefundenen Blogs nie groß thematisiert wurde...

So von den Fragen kann ich zumindest die DynDNS Frage beantworten:
IPv6 hat so viele IP Adressen dass es quasi statisch sein kann auch bei Wähleingängen, allerdings bekommt man - wohl auch aus Datenschutzgründen - durchaus immer wieder mal ein anderes Präfix als Endkunde zugeteilt.

Der Youtuber Dennis Schröder / "RaspberryPi Cloud" hat vor einem Jahr einen kostenlosen DynDNS Grundservice für IPv6 + IPv4 = IPv64 => https://ipv64.net/ programmiert, der schon fertige FritzBox und OPNsense Konfigurationen wie inzwischen auch LetsEncrypt ACME Einbindung sowie Präfix Unterstützung hat und sogar Delegationsmöglichkeiten von Host/Subdomains an weitere User anbietet.
Weiteres dazu am besten über die Seite dem Video folgen - es sind so bestimmt um 4-8 informative Videos zu diesem Thema - wie auch IPv6 und IPv4 Tunneling bei ihm vorhanden, wenn auch nicht alle von guter Qualität sind... das ist eher Quantität gefragt... ^^

[thogru]

Moin Reiner,

Danke für Deine Antwort. Die Links waren sehr hilfreich. Ich suche auch selber mit google & co, aber es hält mich auf, wenn ich beim Lesen auch entscheiden, ob das aktuelle Dokument unverständlich oder an meinen Anforderungen vorbei geht. Danke für Deine gelungene Vorauswahl.

So wie ich die IPv6 Literatur verstanden habe, sollte es bei IPv6 kein NAT geben. Die jeweils beteiligten Rechner sollen direkt miteinander Daten austauschen, ohne dass Adressen umgesetzt werden. Das wirft bei mir die Frage auf, wie ich für einzelne Rechner einen (IPv6)-Alias vergeben kann, den ich in Regeln der Firewall nutzen kann.

Ein Interface hat doch mehrere IPv6-Adressen: die link-lokale, eine vom DHCPv6, eine per privacy extension ... oder so. Welche von denen kann ich für einen Alias nutzen?

Leider hat mein Provider mir noch nicht mitgeteilt, wie groß die IPv6-Präfixlänge sein wird. Nehmen wir für die folgenden Überlegungen an, dass ich eine Präfixlänge von 48 Bit bekomme. Das heißt doch, dass ich 16 Bit, also zwei hoch 16 Netze hinter der Fritzbox betreiben kann.

Im meinen Netzwerkplan habe ich sechs IPv4 Netze aufgezählt, so dass ich mit acht IPv6 Netzen auskommen sollte. Was würde ein erfahrener Netzwerkadministrator in so einer Situation machen?

• Die gesamte Breite an den OPNsense Router weiterreichen?
  Also die Präfixlänge von 49 Bit.
• Nur den möglichst kleinsten Teil, also drei Bit (Präfixlänge 61) an den OPNsense Router weiterreichen?
• Oder eine Präfixlänge zwischen den beiden Extremen?

Wie viel Aufwand ist zu erwarten, wenn ich die Präfixlänge ändern muss?

Noch eine grundsätzliche Frage: Von meinem Provider bekomme ich eine öffentlich IPv6-Adresse und eine private IPv4-Adresse. Soll ich in meinem OPNsense Router IPv4-Adressen verarbeiten? Muss ich das machen, für System im Internet, die keine IPv6-Adressen haben? Oder nutzt mir die private IPv4-Adresse nichts, weil IPv4-Antwortpakete gar nicht zu meiner Fritzbox zurückfinden? Falls das so sein sollte, ist es dann nicht sinnvoll, gleich alle IPv4-Regeln und IPv4-Services (DHCP, ...) zu entsorgen?

Gruß
Thomas

[meyergru]

Versuch's mal hier.

Oh, und BTW zur vorgelagerten Fritzbox: Darauf würde ich auch verzichten.

[Reiner030]

Hallo Thomas,

Danke für Deine Antwort. Die Links waren sehr hilfreich. Ich suche auch selber mit google & co, aber es hält mich auf, wenn ich beim Lesen auch entscheiden, ob das aktuelle Dokument unverständlich oder an meinen Anforderungen vorbei geht. Danke für Deine gelungene Vorauswahl.

ja das Problem kenne ich leider auch allzu gut und Jahr für Jahr wird es schlimmer, weil die Suchmaschinen kundenfreundlich sind (Werbekunden) und daher die Suchen von sich aus so verschlimmbessern, dass man immer öfter alles andere als das eigentlich Gesuchte findet...
Dokumentationen, Manuals, Howtos sind auch durch die vielen oft extrem oberflächlichen bis falschen Blogs Mangelware geworden.

So wie ich die IPv6 Literatur verstanden habe, sollte es bei IPv6 kein NAT geben. Die jeweils beteiligten Rechner sollen direkt miteinander Daten austauschen, ohne dass Adressen umgesetzt werden. Das wirft bei mir die Frage auf, wie ich für einzelne Rechner einen (IPv6)-Alias vergeben kann, den ich in Regeln der Firewall nutzen kann.

Ein Interface hat doch mehrere IPv6-Adressen: die link-lokale, eine vom DHCPv6, eine per privacy extension ... oder so. Welche von denen kann ich für einen Alias nutzen?

Eigentlich sollte sowas in den Blogs mit angesprochen worden sein?
"opnsense ipv6 präfix alias" gibt z.B. von 2019 die gleiches Fragestellung auf:
https://forum.opnsense.org/index.php?topic=12192.0
, dessen Antwort zur Empfehlung von ip64 passen würde ^^
https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

Und man kann soweit ich mich erinnere das durchaus mit LinkLokal Adressen lösen - für meinen piHole hinter der FritzBox zuhause habe ich auch eine entsprechende "statische" IPv6 aktiviert (muss man explizit in der Oberfläche aktivieren).
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/
und weitere Links in z.B.
https://forum.opnsense.org/index.php?topic=33080.0

Leider hat mein Provider mir noch nicht mitgeteilt, wie groß die IPv6-Präfixlänge sein wird. Nehmen wir für die folgenden Überlegungen an, dass ich eine Präfixlänge von 48 Bit bekomme. Das heißt doch, dass ich 16 Bit, also zwei hoch 16 Netze hinter der Fritzbox betreiben kann.

Das sollte für die Anschlüsse "unwichtig" sein; normal nimmt man je LAN ein /64 (ich glaube für die SLAAC Auto Konfiguration) und man sollte eigentlich auch ein /56-er bekommen, wie hier oft auch erwähnt.

Wir haben noch 100%-iges IPv4 Netz und ich habe immerhin schon das IPv6 bis zur FW bekommen und mal im Management Netzwerk angetestet ^^ ... erstmal muss der IPv4 Umzug und andere Dinge umgesetzt sein.
Für allgemeines IPv6 Verständnis kann ich noch noch dieses kostenlose PDF/epub "IPv6 Workshop" empfehlen - bin aber noch im ersten Drittel ^^
https://danrl.com/ipv6/

Im meinen Netzwerkplan habe ich sechs IPv4 Netze aufgezählt, so dass ich mit acht IPv6 Netzen auskommen sollte. Was würde ein erfahrener Netzwerkadministrator in so einer Situation machen?

• Die gesamte Breite an den OPNsense Router weiterreichen?
  Also die Präfixlänge von 49 Bit.
• Nur den möglichst kleinsten Teil, also drei Bit (Präfixlänge 61) an den OPNsense Router weiterreichen?
• Oder eine Präfixlänge zwischen den beiden Extremen?

Also alle bisher recht guten gefundenen Anleitungen nehmen sich für das "WAN"/ Firewall immer das erste /64 und leiten die weiteren /64 an die jeweiligen LAN, WLAN usw. Interfaces weiter, was dann per SLAAC? komplett autark verteilt werden kann oder auch über den DHCPv6 Service in OPNsense gesteuert.

Wie viel Aufwand ist zu erwarten, wenn ich die Präfixlänge ändern muss?

Mit dem DHCP/SLAAC und ggf. weiteren DHCP basierten IPv6 Lösungen sollte das vermutlich kein großer Aufwand sein, kommt aber sicher immer darauf an, wie viel und wie "statisch" man die Netze eingerichtet hat.

Noch eine grundsätzliche Frage: Von meinem Provider bekomme ich eine öffentlich IPv6-Adresse und eine private IPv4-Adresse. Soll ich in meinem OPNsense Router IPv4-Adressen verarbeiten? Muss ich das machen, für System im Internet, die keine IPv6-Adressen haben? Oder nutzt mir die private IPv4-Adresse nichts, weil IPv4-Antwortpakete gar nicht zu meiner Fritzbox zurückfinden? Falls das so sein sollte, ist es dann nicht sinnvoll, gleich alle IPv4-Regeln und IPv4-Services (DHCP, ...) zu entsorgen?

Das hört sich nach DS-Lite von Vodafone/Kabel Deutschland mit CG-NAT an, bei dem man ausgehend IPv4 Dienste erreichen kann aber selber nicht per IPv4 erreichbar ist.

Das es sicher noch genügend Services mit reinen IPv4 Adressen gibt (z.B. Shopify war bis vor 1-2 Jahren z.B auch rein IPv4 basiert, Amazon bietet erst seit 5-6 Jahren überhaupt IPv6 basierte Loadbalancer an), sollte man das weiterhin nutzen.

Ja kurzer Check ergibt:
https://blog.cloudflare.com/it-it/ipv6-from-dns-pov-de-de

Ende Oktober 2023 deckte IPv6 im gesamten Internet aus Sicht von Cloudflare etwa 36 Prozent des Datenverkehrs ab – mit leichten Schwankungen je nach Tageszeit und Wochentag. Klammert man Bots aus, steigt der Anteil schätzungsweise auf gut 46 Prozent, während er bei Ausschluss von Menschen auf annähernd 24 Prozent sinkt. Diese Zahlen beziehen sich auf den Anteil der über IPv6 bereitgestellten HTTP-Anfragen an allen IPv6-fähigen Inhalten

Also bleibt es sicher eine gute Idee, noch über mehrere Jahre bis Jahrzehnte IPv4 "kompatibel" zu bleiben ;-)

Grüße

Reiner