DHCP-IPv6 durch Windows Server (Active Directory)
-
So sieht das Interface aus. IPv4 per DHCP, IPv6 per DHCP6.
-
Habe etwas gebraucht, um zu verstehen, was du mit VIP auf WAN usw. meinst....
Habe eine Virtuelle IP auf WAN2 angelegt.
Ping auf WAN2 in der Firewall erlaubt.
Ping6 online (https://www.ipaddressguide.com/ping6) ausgeführt auf die VIP.3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 11.875/12.013/12.290/0.215 msRouting ist somit korrekt ?!
-
Frage dazu: ist dein /56er Prefix ein anderer Bereich als das was du am WAN2 deiner pfSense bekommst?
Du hast ja 2a03:1d60:1000:0 anliegen. Ist 2a03:1d60:10/56 das Prefix dass du statisch bekommst oder ist das ein anderes 2a03:1d60:xyza/56?
Bzw. mit welcher VIP hast du getestet? Kannst es auch gern schwärzen oder als Chat schicken wenn es nicht public sein soll :)
-
OK nach Direktnachricht würde ich sagen, das sieht nach getrenntem Prefix für statische Nutzung und Einwahl aus. Super. Heißt du bekommst per DHCP6 aus einem - ich nenne es mal "Einwahlprefix" - eine Adresse und darauf dann ein statisches /56er Prefix geroutet. Wenn nur alles so schön einfach wäre :)
Dann ist es eigentlich sehr simpel.
Du kannst dir aus dem Prefix dann einfach ein /64er aussuchen und das auf dein LAN Interface konfigurieren. Ich nehme mal zur Dokumentation das Doku Prefix aus dem entsprechenden RFC, du kannst die Adressen dann ja auf deine anpassen:
2001:DB8:1100:1200::/56 wäre bspw. dein Prefix.
Dann nehmen wir uns weils schön ist und wir ggf. intern im LAN sowas wie 10.12.1.0/24 nutzen bspw.
2001:DB8:1100:1201::/64 als LAN Prefix (wegen 10.12.01.0 quasi ;)).
Dann konfigurieren wir unser LAN einfach mit static IP6 und tragen da
2001:DB8:1100:1201::1 mit /64 fix ein.
Anschließend passiert dann erstmal noch gar nichts, da das LAN noch keine Ahnung von dem Prefix hat. Kommt jetzt drauf an, wie man IP6 im LAN anbieten will. SLAAC braucht einfach nur das Routing Prefix sowie die Info, wer DNS und Co spricht. Das kann die pfSense auch problemlos selbst anbieten, da brauchts den Windows Server nicht für. Der Windows Server sollte übrigens eine fixe IP6 bekommen. Der hat vielleicht 10.12.1.10 als IP, dann würde ich ihm entsprechend einfach 2001:DB8:1100:1201::10 zuweisen, dann sucht man sich nicht kaputt, wer was ist :)
Fragestellung ist: braucht es DHCP6 zur IP6 Vergabe bzw. besteht dazu ein Grund? Dann könnte man das den Windows Server machen lassen, fände ich aber eher meistens eher unnötig. Die Clients können sich zufällige Adressen generieren per SLAAC und wenn man auf Geräte rauf will, sollten diese eh eine statische IP6 wie der WinServer bekommen. DHCP6 kann man machen, klar, muss aber theoretisch nicht wirklich sein.
Für SLAAC würde in pfSense reichen:
- ServicesDHCPv6 Server & RA
- Router Advertisements
- Mode : Stateless DHCP
- DNS Config ggf. noch die IP6 vom Windows Server rein -> 2001:DB8:1100:1201::10 (vermute die Clients per DHCP bekommen auch den Windows als DNS)
- Domain search list: die AD Domain mit rein
- speichern.
Alle Geräte, die SLAAC IPv6 können, werden sich danach durch das RA (routing announcement) automatisch eine IP6 generieren und den DNS Server lernen (sollen).
Grüße
-
Prima. Das hört sich schon mal nach nem Plan an.
Die IPs die ich statisch vergebe, müssen die irgendwo bekannt gegeben werden ?Das Router Advertisement mit den von dir angegebenen Daten ersetzt den DHCPv6 Server (sowohl in Windows als auch in PFSense)?
Gruß
-
@FLOK said in DHCP-IPv6 durch Windows Server (Active Directory):
Die IPs die ich statisch vergebe, müssen die irgendwo bekannt gegeben werden ?
Nö. Außer bei dir bzw. du musst wissen was du vergeben hast. Geräte per autoconfiguration haben nie doppelte IPs da die vorher immer einen Check machen, ob ihre zufällig erzeugte Adresse schon in Gebrauch ist und sich dann eine neue generieren.
@FLOK said in DHCP-IPv6 durch Windows Server (Active Directory):
Das Router Advertisement mit den von dir angegebenen Daten ersetzt den DHCPv6 Server (sowohl in Windows als auch in PFSense)?
Jein. RA mit DHCP Unterstützung (für DNS) ermöglicht eben Geräten, die das unterstützen, autoconfiguration per SLAAC. Wenn das Geräte nicht können, kann man DHCP6 machen oder statische Adressen vergeben. Da ich bislang den wirklichen Sinn von DHCP6 vergebenen Adressen nicht sehe, da Reservierungen wie DHCP4 bei v6 eigentlich keinen Sinn machen (wofür? warum keine statische Adresse?) , ist es der simpelste Konfigurationsansatz.
-
@JeGr
Meine Frage zielte darauf, ob ich den Service hier aktiveren muss:
-
Nein, nur wenn du vollen DHCP6 Support aktivieren willst. Für SLAAC genügen die Einstellungen unter RA
-
@JeGr
Habe gestern ein wenig gebastelt. Scheint soweit zu funktionieren.
Vielen Dank.Ich habe allerdings dem LAN-Interface eine VIP aus dem von mir gewählten Subnetz gegeben und die Einstellungen weiterhin auf "Track Interface" -> "WAN2" stehen gelassen.
Ich weiß nicht mehr genau was passiert ist (kann es aktuell leider nicht wiederholen), aber das setzen der Adresse
als statisch, hat die PFSense voll aus dem Tritt gebracht....Ich meine sogar, das WAN2-Interface hat keine
IPV6 Adresse mehr bekommen (kein Gateway ? keine Monitoring-IP?). Bin aber nicht 100% sicher. -
Ich habe allerdings dem LAN-Interface eine VIP aus dem von mir gewählten Subnetz gegeben und die Einstellungen weiterhin auf "Track Interface" -> "WAN2" stehen gelassen.
Das ist verkehrt, da muss wie oben beschrieben statisch rein und dann deine IP6 die du der sense geben willst und damit definierst du das Netz auf dem LAN. Track Interface ist falsch, da dann versucht wird, das Netz vom WAN aufzugreifen, was aber NICHT dein statisches IP6 Netz ist, sondern ein Transfernetz. Dass das dann das WAN aus dem Tritt bringt, ist kein Wunder ;)
Track Interface brauchst du ja glücklicherweise nicht weil dir das Netz statisch geroutet wird.
-
Okay. Aktuell läuft es so, wie ich beschrieben habe, ohne Probleme.
Versuche ich heute Abend auf "Statisch" zu ändern. -
Also ich habe alles versucht.
Sobald ich das LAN-Interface von "Track Interface" auf "Static IPv6" umstelle, verliert der WAN2-Anschluss seine
DHCPv6 Konnektivität. Egal welche Optionen ich einstelle, auch ein Reboot hat nicht geholfen.
Vielleicht hat da jemand noch den "Stein der Weisen" und kann das erklären.
