IPv6 - komplexeres Setup (zumindest für mich)

[pleibling]

Hallo ihr lieben, nachdem ich nun erfolgreich IPv6 im Rechenzentrum (RZ) ans laufen bekommen habe (auch mit der Unterstützung einiger hier im Forum), möchte ich das auch gerne bei mir zuhause im Netz einrichten.

Jedoch war das Setup im RZ einfacher (zumindest, nachdem der Anbieter richtig konfiguriert hatte - hier konnte ich jedoch auf 2 feste IP Bereiche zurückgreifen und habe auch "nur" feste Adressen).

Nun möchte ich IPv6 auch bei mir zuhause ans laufen bringen - hier ist das Setup jedoch einiges Umfangreicher:

• Internetzugang wird durch eine Fritzbox bereitgestellt.
• Ich habe einen Telekom Regio Anschluss, der selber hat kein IPv6 - aber man kann die Option "IPv6-Anbindung mit Tunnelprotokoll verwenden" wählen.
• Alle Adressen/Bereiche sind dynamisch.
• Hinter der Fritzbox sind 2 Gateway - das eine ist eine OPNsense, diese verwaltet mehrere VLANs in denen auch unter anderem Server sind, diese sind derzeit nur über IPv4 NAT veröffentlicht - sollen aber nun auch per IPv6 erreicht werden.
• Das eine Gateway hinter der Fritzbox ist eine UDM Pro und stellt die Defaultverbindung für meine IoT Devices und Smartdevices (Sonos, TV usw.) sowie die WLAN Verbindungen (die meisten davon werden jedoch über die OPNsense verwaltet)
• Wichtig ist mir, das ich mehrere Netze/VLANs habe, diese müssen sich weiterhin erreichen können (Feste Adressen?) und aber auch die Regeln eingehalten werden (z.B. dürfen in Servernetze und Sicherheitsnetze nur bestimmte Ports und Adressen erreicht werden.

Derzeit hat die Fritzbox die folgenden Adressen:
IPv6-Adresse: 2002:5cc7:e9e7:8000:3ea6:2fff:fe3d:705f/64, Gültigkeit: 7088/3488s
IPv6-Präfix: 2002:5cc7:e9e7::/56, Gültigkeit: 7088/3488s

Die OPNsense hat auf WAN die folgenden Adressen:
2002:5cc7:e9e7:0:20c:29ff:fec1:effd/64
fe80::20c:29ff:fec1:effd/64

Die Frage die sich mir nun stellt, ist wie ich die Konfiguration der einzelnen Netze vornehme?
Es sollen ja z.B. einzelne Server aus verschiedene Subnetze sollen diese aus dem Internet erreicht werden können, trotz dynamischer Adressen.

Vielen Dank für eure Unterstützung .

[Bob.Dig]

Und hast Du schon eine Idee, wie das laufen könnte, oder willst Du dir alles komplett vorkauen lassen?

[pleibling]

Wollte unvoreingenommen vorgehen - da ich nicht weiß, ob ich es falsch angehe.

Ich vermute mal, das ich intern dann ULA verwende, basierend darauf die Firewallregeln mache. Dann müsste ich mal schauen, ob man die externen Adressen in irgendeiner Weise auf die Netze verteilt und auch die Adressen eindeutig zuordnet und dann auch die Firewallregeln so hinbekommt, das diese von extern funktionieren.

Ich vermute mal, das ich die Firewallregeln "nur" auf die ULA Adressen machen muss (ein- und ausgehend), dann die Global Adressen dann eingehend wobei die sich ja auf den Interface identitfier beziehen müssen, da der Präfix sich ja jedes mal ändert.

Aber ich arbeite mich gerade erst mal in das Thema komplett ein, bisher konnte ich mich die letzten 30 Jahre davor drücken  .

[Monviech (Cedrik)]

Nein man verwendet nie ULAs. Man setzt generell für alles GUAs ein. ULAs zu verwenden ist nur eine Notlösung falls
- man IPv6 NATen muss (bitte nicht, eher kein IPv6 als sowas),

- oder man lokale Dienste miteinander kommunizieren lässt, die nicht im selben Netz sind und die Link Local Adressen verwenden könnten und deshalb geroutet werden müssen... Aber gleichzeitig auch kein IPV6 ins Internet machen müssen.

[pleibling]

@Monviech: Danke für deine Tipps - wenn dem so ist, dann gefällt mir das natürlich besser.

Ist dem auch so, wenn ich vom Provider nur dynamische Adressen bekomme?

Z.b. würde ich com Provider 2a00:1234:dead::/56 bekommen, könnte ich daraus die folgenden subnetze/Server machen:
2a00:1234:dead:50::10/64 (in VLAN 50) sowie
2a00:1234:dead:33::3/64 (VLAN33)

Und später bei einer erneuten Einwahl 2a00:1234:beaf::/56 zugewiesen bekommen und daraus die folgenden subnetze/Adressen machen:
2a00:1234:beaf:50::10/64 (in VLAN 50) sowie
2a00:1234:beaf:33::3/64 (VLAN33)

Und wenn ja, wie mache ich das? Wie bekomme ich auf die einzelnen Netze/Interfaces die Netze passend zum zugewiesenen Netz hin?

Baue ich dann auch die Regeln dazu auf 50::10/64 und 33::3/64?

In der Fritzbox ist das viel einfacher - da einfach SLAAC mit Präfix delegation einstellen, aber bei der OPNsense habe ich mehrere Netze und mehrere Server die "feste Adressen" benötigen.

Mit aktivierten WAN Tracking würde dann die OPNsense ja das gesamte /56 Netz zuweisen, oder? Auch mit der Doku komme ich nicht weiter - nach 5 Stunden IPv6 Videos habe ich zwar einiges an Basics erhalten, aber nicht die Details. Mit der Doku und auf Youtube und mit den Videos komme ich auch nicht weiter.

Danke für eure Unterstützung.

[Bob.Dig]

Mit aktivierten WAN Tracking würde dann die OPNsense ja das gesamte /56 Netz zuweisen, oder? A

Nein. Auf dem WAN kannst Du den gewünschten Prefix eingeben sowie den entsprechenden "Hint" geben.

[pleibling]

Danke für die Tipps. Ich habe mal laut https://docs.opnsense.org/manual/how-tos/ipv6_fb.html auf dem WAN Interface DHCPv6 aktiviert und die Option "Request only an IPv6 Präfix" sowie "Send IPv6 Präfix" aktiviert.

Ich bekomme auf dem WAN dann eine /64 Adresse aus dem zugewiesenem /56 Netz.

Im LAN habe ich dann beim IPv6 configuration Type "Track Interface" mit dem Interface WAN aktiviert mit IPv6 Präfix ID auf 0x0. Aber ich bekomme keine passende IPv6 Adresse aus einem der Bereiche, es ist lediglich die Local Link Adresse vorhanden.

Im LAN Interface habe ich dann Router Advertisement aktiviert und die Punkte wie in dem Beitrag aktiviert:
Assited, Normal, Automatic - Routes Leer.

Jedoch konnte ich nicht DHCP v6 aktivieren für das Interface - wenn ich es aktiviere und bei Range ::1: bis ::1:ffff eingebe (Rest Standard), dann kann ich nicht speichern, es folgt dann die Meldung:

The following input errors were detected:
The specified range lies outside of the current subnet.
The range is unavailable (single host network mask /128 used).

Konfiguration:

Fritzbox:
2002:5cc7:e9e7:8000:3ea6:2fff:fe3d:705f/64
2002:5cc7:e9e7::/56

OPNsense WAN:
2002:5cc7:e9e7:0:20c:29ff:fec1:effd/64
fe80::20c:29ff:fec1:effd/64

OPNsense LAN:
fe80::21a:8cff:fe58:259e/64

Was mache ich falsch?
Danke.

[pleibling]

Bin scheinbar einen großen Schritt weiter, das Problem war in den Fritzbox Einstellungen zu finden - in der Anleitung der Link funktionierte nicht, aber ich habe den in einem anderen Beitrag gefunden: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/

Mit den beschriebenen Einstellungen hat es dann geklappt - nun bekomme ich Adressen angezeigt, denn Rest mache ich dann die Tage - für heute ist Schluss.

Danke an euch für eure Unterstützung.

[pleibling]

Ich versuche mal noch ein wenig weiter zu machen.

Derzeit habe ich folgende Ausgangslage:

• IPv6 wird von Fritzbox bereitgestellt
• IPv6 kommt auf WAN an
• IPv6 wird auf das entsprechende interne Interface mit eigenem Präfix aus dem Bereich weitergegeben.
• IPv6 DHCPv6 ist aktiviert und DNS (IPv6 Adresse des entsprechenden interface, DNS aktiviert auf dem Interface)
• Es wird kein Gateway angegeben
• Firewallregel für das interne Interface erlaubt alles outbound IPv4+IPv6
• Testweise Firewallregel für WAN Interface erlaubt alles (In+Out) outbound IPv4+IPv6
• Namensauflösung funktioniert (z.B. ping -6 heise.de)
• Jedoch kann keine Webseite angezeigt werden (z.B. heise.de)

IP Konfiguration auf einem Client (Win 10, nur IPv6 aktiviert) sieht z.B. so aus, wie auf dem Bild.

Während ich bei den Ping in den Logs die Zugriffe sehe (erlaubt), sehe ich bei den Webanfragen nichts - jedoch sehe ich keine besonderen ICMP Regeln (nur eine im Floating, diese jedoch nur für ICMP V4).

Habt ihr eine Idee?

[Bob.Dig]

• Namensauflösung funktioniert (z.B. ping -6 heise.de)

Wo denn?
Und funktioniert Ping?

[pleibling]

Danke für deine Antwort, auf einem Windows Client im LAN segment, wie beschrieben der Ping zu heise funktioniert (siehe Screenshot im anderen Post).

[trixter]

Während ich bei den Ping in den Logs die Zugriffe sehe (erlaubt), sehe ich bei den Webanfragen nichts - jedoch sehe ich keine besonderen ICMP Regeln (nur eine im Floating, diese jedoch nur für ICMP V4).

Habt ihr eine Idee?

Kannst Du bitte mal deine Regeln (Lan und Floating) mit angeben.
Für mich schaut es so aus, als wäre dein V6 Traffic noch nicht von den Regeln erfasst.

Würde für V6 auf den Interfaces immer ein Deny any any +Log ans Ende setzen, damit das auch sicher in den Logs auftaucht, sofern man es nich vorher erlaubt.
Früher war im automatischen Regelsatz mehrfach Deny v6 drin, je nachdem was man beim Setup so angegeben hat.

[pleibling]

Danke auch dir @trixter für deine Hilfe.

In der Tat war vorher die OPNsense "nur" auf IPv4 und v6 war deaktiviert.

Habe mal alle Regeln nachgeschaut, sowohl FLoating, WAN als auch LAN hat keine V6 Deny Regeln - nur in dem Interface LAN habe ich eine wie folgt:

Pass, IPv4+6, Direction IN, Source LAN, Port *, Destination *, Gateway *, Schedule *

Die selbe habe ich auch auf WAN (Source dann natürlich WAN) für IN und OUT

Für ICMP konnte ich nichts finden, beim Ping erhalte ich antwort - aber sehe nichts in den LOGS.

Die HTTPS anfragen scheinen jedoch durch zu gehen (zumindest auf dem LAN Interface) - ich bekomme aber nach einer Zeit den Fehler das die Seite nicht angezeigt werden kann.

Fritzbox Einstellungen habe ich auch noch mal gerade angepasst (Firewall outbound) - brachte aber auch nichts.

P.s.: DEMODATA ist mein "LAN" für Testzwecke.

[pleibling]

Und wieder einen Schritt weiter, ich vermute mal zumindest das das Problem an der Fritzbox liegt - denn ich habe mal versucht auf einem Webserver in einem anderen Netzsegment bei mir zuhause (beide Subnetze sind auf der OPNsense angelegt) zu erreichen und siehe das - es geht.

Somit funktioniert schon mal IPv6 Netzintern und auch meine Regeln passen (vorerst - müssen natürlich aber noch angepasst und spezifiziert werden) - aber Firewallhygiene steht sowieso noch auf der Agenda, da sich einiges im Netz und auch im RZ geändert hat.

Bisher hatte ich nur gelesen, das dafür die Einstellungen (wie ich so schon oben in dem Screenshot habe) erforderlich wären - nicht mehr benötigt würde. Schade das die Fritzbox nicht so ein komfortabeles Logging hat wie die OPNsense.

Könntet ihr, die ihr eine ähnliche Konstellation mit IPv6 schauen, ob ihr noch was an Einstellungen findet?

Vielleicht hat auch noch jemand anderes eine Idee, ich bin für jede Hilfe dankbar .

[pleibling]

Ich komme irgendwie nicht weiter. Es scheint alles richtig zu sein, auf der OPNsense werde ich auch ins Internet gelassen - aber anscheinend kommen die Pakete nicht über die Fritzbox.

Die Einstellungen sind laut AVM Anleitungen jedoch richtig - ich habe mal für mich eine Doku erstellt, dort habe ich ALLE Einstellungen dokumentiert (OPNsense und Fritzbox). Könnt ihr mal schauen, ob ich was falsch gemacht habe? Ggf. mit eurer funktionierenden Konfiguration vergleichen?

Danke für eure Unterstützung.

P.s.: Ich werde diese Anleitung noch anpassen und danach veröffentlichen, vielleicht kann diese ja dem einen oder anderen weiterhelfen und als guter Leitfaden dienen.