Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Statisches IPV6-Subnet von Fritz!Box an PFSense delegieren

    Deutsch
    2
    5
    1.3k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      robin24
      last edited by

      Moin zusammen,

      bin neu hier im Forum und habe seit ein paar Tagen PFSense im Einsatz.

      Im Moment sieht es bei mir so aus, dass eine Fritz!Box als Router die Verbindung ins Internet aufbaut, dahinter hängt dann die PFSense-Box, welche im Router als "Exposed Host" eingerichtet ist.

      Von der Telekom habe ich einen VDSL Business-Anschluss mit statischer IPV4-Adresse und einem statischen /56 IPV6-Subnet.

      Die Fritz!Box ist so konfiguriert, dass IPV6-Präfixe an nachgelagerte Router delegiert werden, PFSense bezieht auch brav ein /64-Präfix, woraus dann Adressen an die verbundenen Rechner im Netzwerk verteilt werden.

      Nun habe ich aber das Problem, dass bei einem Reconnect des Routers zum Internet immer ein anderes /64-Präfix an PFSense delegiert wird, wodurch sich dann natürlich auch die IPV6-Adressen der Clients ändern.
      Das ist ärgerlich, da ich hier auch einen kleinen Server am Laufen habe, dessen IPV6-Adresse auch als AAAA-Eintrag in meiner DNS-Zone hinterlegt und im Telekom-Kundencenter als Reverse-Mapping eingestellt ist.

      Daher nun meine Frage: wie bekomme ich es hin, dass immer die gleichen IPV6-Adressen zugeteilt werden, auch wenn es mal die Fritte aus dem Internet haut?
      Weiß nicht wo ich hier am Besten ansetzen soll (Router, PFSense, Client-Netzwerkeinstellungen), wäre daher für Tipps sehr dankbar.

      Wahrscheinlich gibt es hier eine einfache Lösung, nur ist IPV6 mit mehreren Routern leider noch absolutes Neuland für mich…
      Vielen lieben Dank für eure Hilfe!

      LG,
      Robin

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo Robin,

        da wirst du mutmaßlich in ein Problem mit der Fritzbox laufen. Da man dort keine IP6 für das "Heimnetz" vergeben/konfigurieren und auch keine IP6 Routen manuell einstellen kann, ist alles, was man darüber machen kann leider automatische Vergabe und Tracking. Und da kann es durchaus sein, dass die Fritzbox ganz frech einfach andere Prefixe durchreicht. Evtl könnte man das blockieren, indem man auf dem WAN beim DHCP das gesamte /56er Prefix anfordert aber keine eigene v6 Adresse vergeben lässt. Dann müsste rein über ULA bzw. fe80 mit der FB kommuniziert werden und das gesamte Netz auf die pfSense durchgereicht werden, allerdings bin ich mir unsicher, dass das von Erfolg gekrönt sein wird. Aber davon abgesehen wird man danach noch ein Problem bekommen, wenn du eingehenden Verkehr zulassen möchtest, da der Filter der FB dann auch mal gerne alles abblockt (und bei v6 es kein exposed Host gibt). Also recht unglückliche Konstellation :/

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • R
          robin24
          last edited by

          Hallo JeGr,

          erstmal vielen Dank für deine Antwort!

          @JeGr:

          da wirst du mutmaßlich in ein Problem mit der Fritzbox laufen. Da man dort keine IP6 für das "Heimnetz" vergeben/konfigurieren und auch keine IP6 Routen manuell einstellen kann, ist alles, was man darüber machen kann leider automatische Vergabe und Tracking. Und da kann es durchaus sein, dass die Fritzbox ganz frech einfach andere Prefixe durchreicht.

          Tja, sowas in der Art hatte ich mir auch schon gedacht. Wollte hier aber nochmal sichergehen, da ich wie gesagt in dem Bereich noch nicht wirklich viel Praxiserfahrung habe und doch noch die Hoffnung hatte, hier etwas übersehen zu haben.

          Evtl könnte man das blockieren, indem man auf dem WAN beim DHCP das gesamte /56er Prefix anfordert aber keine eigene v6 Adresse vergeben lässt. Dann müsste rein über ULA bzw. fe80 mit der FB kommuniziert werden und das gesamte Netz auf die pfSense durchgereicht werden, allerdings bin ich mir unsicher, dass das von Erfolg gekrönt sein wird.

          OK, das würde ich einfach mal testen. Ich bezweifle zwar, dass sich die Fritzbox das komplette Präfix wegschnappen lässt, aber testen kann man es ja mal.

          Aber davon abgesehen wird man danach noch ein Problem bekommen, wenn du eingehenden Verkehr zulassen möchtest, da der Filter der FB dann auch mal gerne alles abblockt (und bei v6 es kein exposed Host gibt). Also recht unglückliche Konstellation :/

          Doch, eine Exposed Host-Konfiguration für IPV6 ist schon möglich. Es gibt dafür bei der Einrichtung der Freigabe die Punkte "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen" sowie "Dieses Gerät komplett für den Internetzugriff über IPv6 freigeben (Exposed Host)".

          Das funktioniert auch alles wie erwartet, die Serverdienste, welche ich per NAT in PFSense freigegeben habe, sind aus dem Internet via IPV6 problemlos erreichbar.

          Hättest du denn evtl. einen Tipp für mich, wie ich mir das Ganze etwas erleichtern könnte? Wahrscheinlich wäre ein reines VDSL-Modem das Mittel der Wahl, über welches sich PFSense dann mittels PPOE einwählt.

          Nur müsste ich dann die Fritzbox als VOIP-Anlage hinter der PFSense betreiben und zusehen, dass ich SIP über NAT zum Laufen bekomme.
          Dazu gibt es hier im Forum ja schon einige Anleitungen, hatte trotzdem gehofft, dass es auch anders zu lösen wäre.

          Werde es dann aber mal in Angriff nehmen, falls mir nicht doch noch eine andere, unkompliziertere Lösung über den Weg läuft :-)

          LG,
          Robin

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Das funktioniert auch alles wie erwartet, die Serverdienste, welche ich per NAT in PFSense freigegeben habe, sind aus dem Internet via IPV6 problemlos erreichbar.

            Soweit ich das im Kopf hatte bezog sich das aber auf einzelne Adressen, nicht auf ganze Prefix Ranges oder?

            Nur müsste ich dann die Fritzbox als VOIP-Anlage hinter der PFSense betreiben und zusehen, dass ich SIP über NAT zum Laufen bekomme.

            Jap, das wäre dann die einzige andere Variante, um die Routing/IP Geschichte sauber zu haben. Einen Tod muss man wohl leider sterben :/

            Grüße

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • R
              robin24
              last edited by

              Hi JeGr,
              @JeGr:

              Das funktioniert auch alles wie erwartet, die Serverdienste, welche ich per NAT in PFSense freigegeben habe, sind aus dem Internet via IPV6 problemlos erreichbar.

              Soweit ich das im Kopf hatte bezog sich das aber auf einzelne Adressen, nicht auf ganze Prefix Ranges oder?

              Doch, offenbar schon.
              Habe bei mir auf dem Server noch einen virtuellen Server am Laufen, beide sind sowohl via IPV4-NAT als auch per IPV6 aus dem Internet auf bestimmten Ports ansprechbar.

              In der Fritzbox musste ich dafür nichts weiter machen, als die beiden von mir erwähnten Optionen beim Einrichten des Exposed Host anzuhaken.
              In PFSense habe ich dann Aliase für beide Systeme angelegt, die auf die netzwerkinterne IPV4 und die geroutete IPV6-Adresse verweisen.
              Dann habe ich noch Regeln für die Port Forwards eingerichtet, mit automatisch generierten Firewall Rules. In denen habe ich dann noch "Adress family" auf IPV4+IPV6 umgestellt, fertig.
              Muss also in der Fritzbox gar nichts mehr konfigurieren, wenn ich einen Port öffnen möchte.

              Nur müsste ich dann die Fritzbox als VOIP-Anlage hinter der PFSense betreiben und zusehen, dass ich SIP über NAT zum Laufen bekomme.

              Jap, das wäre dann die einzige andere Variante, um die Routing/IP Geschichte sauber zu haben. Einen Tod muss man wohl leider sterben :/

              Joa, alles klar!
              Dann muss es wohl so sein :-)

              Hast du zufällig eine Empfehlung für ein gutes VDSL-Modem? Gibt zwar einige Router, die sich als Bridge umkonfigurieren lassen. Am Liebsten wäre mir aber doch ein simples Teil ohne eigenes Webinterface etc., dass ich einfach an die WAN-Schnittstelle anschließen und alles Weitere (VLAN-Tag, Einwahl) in PFSense konfigurieren kann.
              Kennst du sowas, oder ist mein Wunsch zu ausgefallen? :-P

              Auf jeden Fall vielen Dank für deine Tipps, hat mir wirklich schon sehr weitergeholfen!

              LG,
              Robin

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.