IPv6 … wie reiche ich ein Subnetz an einen nachgelagerten Router weiter?



  • Ich hab hier das Problem, dass ich über den Provider kein IPv6 bekommen kann. Also hab ich einen Tunnel von HuricanElectric. Das Ding tut, aber es tut NICHT so ohne weiteres mit CARB auf zwei PF-sensen.

    Ich hab den Tip bekommen, dass ich den Tunnel VOR dem CARP-Cluster über den Router einrichten soll, der das WAN liefert (genauer, der liefert EIN WAN … es gibt noch ein Backup über einen anderen Router)
    Also ich hab für dieses WAN jetzt eine PFSENSE und von da geht das WAN über einen Switch auf die Eingänge des CLusters.

    Ich hab von HuricaneElectric jetzt ein 64er und ein 48er Netz. Das 64 er läuft auf der ersten Sense und einen 64er-Block des 48er soll soll auf je einen der beiden Cluster-Member gehen.

    Aber ich weiß nicht wie ich der ersten Sense jetzt beibringen soll, dass ich ein 48er-Netz zusätzlich habe und dass ich davon je ein 64er auf meine Cluster-Member routen will... Etwas heftig Aufwand, nur für dass was mein Provider nicht liefern kann, aber MUSS sein ... hilfe?



  • So .. das läuft jetzt …

    Auf der vorgelagerten PFsense ist das so:

    • IPv4 hat eine feste IP vom Provider.
    • Es gibt ein GIF-IF wo ich das /64-Netz eingetragen habe, was mich mit dem Tunnelprovider verbindet (Tunnel-Subnet)
    • Ein neues IPv6-IF unter "interface assignment" wird mit dem GIF verbunden
    • Bei dem LAN-IF wird als statische IPv6 die erste Adresse des gerouteten /64-Subnetzes des Tunnelproviders eingetragen
    • Ein Gateway wird angelegt auf dem IPv6-IF, was oben erwähnt wurde. Das muss ein DefaultGW sein.
    • Das /48-subnetz des Tunnels wird als statische Route angelegt und weist auf die vIP des CARP-Clusters hin.
    • in der Firewall muss man das /48-Subnetz auf dem LAN erlauben any/any

    Auf dem CARP-Cluster:

    • Auf jedem Member muss auf dem entsprechenden WAN-IF, an das der vorgelagerte Router liefern soll, eine statische IPv6 aus dem gerouteten IPv6 angelegt werden
    • Man braucht eine vIP für dieses WAN IF welche das Ziel der Route von der vorgelagerten Sense ist
    • für das LAN muss man auf den echten IF je eine IPv6 aus einem /64-Subnetz (aus dem Bereich des gerouteten /48-Subnetzes) festlegen. Man hat 65536 solche /64-Subnetze ... also reicht erst mal ein paar Tage :D
    • Man braucht eine vIP für dieses LAN IF
    • Für das LAN-IF muss man unter DHCPv6-Router Advertisements den "unmanaged" modus aktivieren und als RA Interface die vIP des IPv6-LAN angeben.

    Wenn ich nix vergessen habe, wars das ... aber ich bin auch nur mit viel Hilfe an den Punkt gekommen...
    Die Clients bekommen dann per SLaC eine private und öffentliche IPv6 (nicht per DHCP) ... Also abhängig von der MAC. Die Private ist dabei immer gleich.

    Wenn man einen Server von außen unter einer IPv6 erreiche will, muss man noch in der Firwall ankommende Regeln anlegen. NAT ist ja nicht erfoderlich, da wir für alle Zeiten ausreichen feste IPv6 Adressen haben, für jeden Staubflusen hier im Office.


Log in to reply