IPv6 Routing im VLAN

Started by JoBi, April 18, 2025, 05:00:16 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
April 18, 2025, 05:00:16 PM Last Edit: April 18, 2025, 05:03:35 PM by JoBi
Hallo liebe Community,

aktuell arbeite ich an meinem Projekt zu Hause alle Geräte hinter die OPNsense zu packen. Aktuell läuft diese bei mir als Proxmox-VM (192.168.1.35)

Neben der Standard-LAN-Schnittstelle (192.168.2.1) habe ich außerdem zwei VLANs angelegt.
Die Konfiguration der VLANs ist zunächst identisch und ich habe diese in "25-04-18_000258.png" einmal beigefügt.

Zu jedem VLAN gehört natürlich ein DHCPv4, sowie das RA (25-04-18_000259.png) und eine Virtuelle IP mit der ich das ULA zur Generierung interner v6-Adressen nutzen möchte.
Für den Anfang habe ich einen DNS-Server in das VLAN04 umgezogen und entsprechend Portfreigaben eingerichtet. Mit der ULA möchte ich nun auch IPv6 DNS-Anfragen verarbeiten.

Leider komme ich an dieser Stelle nicht weiter und bin unschlüssig wie ich die IPv6 Kommunikation zwischen den Subnetzen aufbauen kann. Nachdem ich auch für Ping/ICMP die Firewall-Regeln eingerichtet habe, habe ich auch hier versucht einen Ping von VLAN03 zu VLAN04 mittels ULA (fd00:0:0:4::123) zu machen und blieb dabei erfolglos. IPv4 & IPv6 Routen habe ich entsprechend auch auf der Fritzbox (fd00:0:0:1::) zu den einzelnen Netzen eingerichtet.

Könnt ihr mir sagen, ob ich die Konfiguration richtig für das Vorhaben aufgebaut habe und mir sagen, welcher Schritt noch fehlt?
April 18, 2025, 08:19:20 PM #1
Ich weiss nicht was du im einzelnen vor hast aber, ich empfehle zb.

IPv6 NAT zu nutzen, entgegen Empfehlungen "nativ".
Ich nutze DHCPv6 Server  Setting "assestiert" und RA.

Die logic ist zb: Vlan 10: FD10:192:168:1::/64, und Vlan interface: FD10:192:168:1::1/64 (GW) (nicht Schnittstelle Aufzeichnen! / Statische IP)
So kannst du auch Routing betreiben, und deine Konfig bleibt Provider unabhängig.
Die Mär vom IPv6 braucht kein NAT usw, kannst du ausser acht lassen ich habe alles parallel laufen und merke überhaupt keine nachteile.

Dafür musst du Ausgehendes NAT konfigurieren, Interface WAN nat zur Schnittstellen adresse, quelle dein Vlan als Alias oder Netzwerk ziel jeglich.
April 18, 2025, 09:41:13 PM #2
Hallo Zapad,

danke schon mal für deine Empfehlung.
Ich habe das mal entsprechend umgestellt und für beide VLAN-Schnittstellen statisches IPV6 mit DHCPv6 eingerichtet.

Leider habe ich immer noch den verdacht, dass eine Route irgendwo nicht passt. Wenn ich vom Client im VLAN03 zu dem in VLAN04 versuche zu pingen sagt er "Hop limit"
April 18, 2025, 10:14:33 PM #3
Mit dynamischen Präfixen, wie in Deutschland üblich, wird das nicht so super einfach. VLANs baut man ja auf, um den Traffic dazwischen zu verhindern oder doch zumindest zu limitieren. Da man normalerweise auch keine IPv6-Adressen eintippen will, muss man auch noch den DNS dazu regeln.

Das geht dann wohl nur entweder per ULA oder indem man die Zielgeräte mit Ihrer routebaren IPv6 verfügbar macht. Tut man das von außen (beispielsweise wegen DS_Lite/CG-NAT), ist das sinnvoll. Um den Inter-VLAN-Zugriff zu regeln, finde ich reines IPv4 aber deutlich einfacher.
 
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
April 19, 2025, 07:06:44 AM #4
@joBi

du hast natürlich in interfaces IPv6 erlaubt?

und in Firewall Regeln zu Vlan Interfaces zb jeder quelle/Ziel erlaubt?

interfaces> diagnose: ping FD10:: zu zb. FD20:: getestet?
April 20, 2025, 09:09:11 AM #5
Guten Morgen und erstmal frohe Ostern!

Aus meiner Sicht sollte die Konfiguration passen. Der Ping auf der OPNsense war auch erfolgreich
April 20, 2025, 09:10:37 AM #6
Die Regeln für VLAN04 sind identisch eingerichtet.
Der Ping von fd00:0:0:3::1 zu fd00:0:0:4::1 bzw. umgekehrt im Screenshot funktioniert
April 20, 2025, 12:03:26 PM #7
Frohe Ostern!

na prima, der Rest sollte dann auch passen.
April 21, 2025, 09:00:21 AM #8
IPv6 Ping von Client 1 (VLAN03) zu Client 2 (VLAN04) klappt leider immer noch nicht
April 21, 2025, 04:36:53 PM #9
hast du Clients GW per RA zugewiesen?

bei mir ist die zuweisung per ISC DHCP6 und RA, und funkt. alles.

wie hast du es denn konfiguriert? poste mal ipconfig.
April 21, 2025, 07:34:01 PM #10
Teil 1
April 21, 2025, 07:34:53 PM #11
Teil 2
April 21, 2025, 07:38:50 PM #12
Die Clients sind Proxmox VMs im jeweiligen VLAN
Den öffentlichen IPv6 Präfix für den Zugriff aus dem WWW habe ich auch versucht weiterzugeben und war mit NPTv6 erfolglos^^
April 22, 2025, 07:58:28 AM #13
soweit so gut... aber:

du kannst hier kein NPTv6 nutzen, das ist ganz andere Geschichte.

Ich habe allen Geräten statische IP6 Ula vergeben, also VM's, Dockers usw.
die clients beziehen DHCP Adressen so wie bei deiner konfig.... auch Androids, deshalb "assestiert".

ich kann auch von Sense alles anpingen auch Vlan übergreifend, ev statische Route einrichten wenn zb. Server in einem Vlan was ausserhalb Sense ist.
Ich habe einen Switch L2+ der routet IP4 und IP6, wobei ip4 über Default Gw geht und IP6 über jeweiligen Vlan und static route nur zu VM's.

klingt etwas kompliziert, aber wenn du sowieso Proxmox betreibts sollte passen. :)


fang einfach bei interfaces an... kannst du von einem vlan interface andere pingen? ja/nein
ja, dann stimmt was mit dem Client nicht, nein stimmt was mit Sense nicht.

Wenn du mit NPTv6 arbeiten willst und nur prefixes natten, da passe ich.
Ich habe voll und ganz auf eigene konfig mit ULA und NAT bei IP6 gesezt.
April 23, 2025, 04:50:47 AM #14
Alles verständlich bis auf einen Punkt:
Wie stellst du die IPv6 Erreichbarkeit aus dem Internet für einen Client mit ULA her?
Print
Go Up Pages1 2
User actions