Bestimmten Clients nur IPv4 zuweisen



  • Hallo!

    Ich habe an meiner pfSense 2.4.4 Dualstack und verteile IPv4 via DHCP Server auf der pfSense. IPv6 wird vom ISP via DHCP6 empfangen und dann auf LAN via Track Interface WAN durchgereicht. Wie kann ich nun jedoch bestimmte Clients davon abhalten sich eine IPv6 Adresse zuweisen zu lassen, da ich ja keinen lokalen DHCPv6 Server einsetze?


  • Rebel Alliance Moderator

    @mrsunfire said in Bestimmten Clients nur IPv4 zuweisen:

    Wie kann ich nun jedoch bestimmte Clients davon abhalten sich eine IPv6 Adresse zuweisen zu lassen, da ich ja keinen lokalen DHCPv6 Server einsetze?

    DHCP6 Server Einstellungen / Interface / Router Advertisments.

    Ist der RA disabled gehen keine RA auf dem Interface raus. Ohne RA, kein SLAAC. Ohne konfigurierten DHCP6 keine Vergabe per DHCP6.
    Bei IPv6 wird aber SLAAC mit DHCP6 Unterstützung (assisted) oder Managed empfohlen. Irgendwas statisch zuweisen oder einzeln ausschließen nicht. Was soll es BTW bringen, bestimmte Clients v6 auszusperren?



  • Es vereinfacht die Regelvergabe für Outbound.


  • Rebel Alliance Moderator

    Macht man deshalb nicht mit einzelnen IP6s, sondern mit Subnetzen. Alles andere wäre Wahnsinn, da alleine bei SLAAC ein System problemlos 5 oder mehr Adressen random haben kann.



  • Mit dynamischen Prefixen schwierig.



  • Das mit den dynamischen Prefixen ist ein Graus. Man muss ständig Verrenkungen machen, um es mit viel Aufwand doch zum laufen zu bringen.

    Es gibt eigentlich nur 2 Möglichkeiten, entweder bei den betroffenen Clients IPv6 zu deaktivieren, oder mit DHCPv6 und Aliasen dies umzusetzen. Bei DHCPv6 mit statischen Zuordnungen kannst du einen Hostname angeben, diesen packst du in einen Alias und anschließend trägst du diesen in der entsprechenden Firewall Regel ein. Leider funktioniert die einzige Möglichkeit nicht mehr zuverlässig mit der aktuellen pfSense Version.

    Wenn sich das mit den wechselten Präfix nicht ändert, dann wird IPv6 noch lange brauchen bis es akzeptiert wird. Ich habe dadurch mittlerweile einen Großteil von diesen IPv6 Murks wieder zurückgebaut.



  • Nun derzeit löse ich es so, dass die VLAN's mit den Clients ohne IPv6 komplett IPv6 deaktiviert haben. Im Grunde handelt es sich dabei nur um Smarthome Geräte und Alexa. Bei diesen kann ich auch nicht manuell etwas ändern, sie ziehen sich eine IPv6 sobald sie können.
    Aber ja, Du hast Recht. Mich stört es auch mit den dynamischen Prefixen. Was dieser Quatsch soll versteh ich einfach nicht. Nun wieder mit einem lokalen DHCPv6 Server rummachen ist eigentlich nicht Sinn der Sache.


  • Rebel Alliance Moderator

    @mrsunfire said in Bestimmten Clients nur IPv4 zuweisen:

    Mit dynamischen Prefixen schwierig.

    Eigentlich nicht. Der Punkt ist, dass man bei IPv6 nicht mehr hergeht und aus einem Netzsegment manuell mit Verrenkungen und DHCP Reservierungen o.ä. IPs ausschneidet und filtert. Das geht einfach nicht mehr und war vorher schon nicht gut. Der Weg, der dafür eigentlich genutzt werden soll(te), sind entsprechend konfigurierte VLANs und Rechte(-gruppen). Ein Client soll nicht ins Internet? -> VLAN "LAN only". Soll nur minimalen Kontakt haben weil IoT? -> VLAN IoT.

    Einzelnen VLANs Prefixe zuzuweisen ist auch mit dynamischen nicht schwer, dafür gibts Tracking und die entsprechende ID, dass aus bspw. einem /56er entsprechend unterschiedliche /64er Prefixe erstellt werden.

    Ist das mit dynamischen Prefixen schön? Nein, es ist ein Fuckup der ISPs und stinkt zum Himmel und ist eine reine Schikane um den Dienst als "Business" teuer zu verkaufen, der eigentlich Standard sein sollte (persönliche Meinung). Ist es trotzdem möglich? Ja :)



  • Na genau das mach ich doch, schön wäre es aber gewesen Alexa IPv6 zu geben im VLAN und den anderen Clients im gleichen VLAN (ebenfalls IoT) nicht.


  • Rebel Alliance Moderator

    Naja das ist aber genau das, was es eben nicht werden soll. Das sind zwei Cases. Einmal mit IPV6, einmal ohne. Und dann sinds eben auch zwei VLANs ;)

    Ich gebe dir aber recht, dass es ziemlich ätzend ist, dass man nicht wenigstens statisch konfigurieren kann (auch wenn eine Alexa das wieder eh nicht könnte) und sonst assisted ausschaltet. Allerdings wäre das auch wieder ein Hack den man lassen soll. Mein letzter Stand und Konsens bei v6 war: Server statisch, Clients SLAAC mit DHCP6 als Lieferant für DNS und NTP etc. - DHCP6 Adressierung in Ausnahme- oder Spezialfällen.

    Gruß


Log in to reply