DHCP-IPv6 durch Windows Server (Active Directory)



  • Guten Morgen zusammen,
    nachdem nun die Leitung der Deutschen Glasfaser dank eurer Hilfe sauber läuft, habe ich nun die nächste Baustelle vor mir.
    Pfsense ist hier "nur" Router, Firewall, VPN-Tunnel und Ad-Blocker.
    DHCP und DNS übernimmt eine Windows Server 2012 R2 (als Hyper-V-Cluster).
    Nun fehlt mir leider das Verständnis wie ich dem Server die Vergabe der IPv6 Adressen beibringen kann.

    Verteilt er das Subnetz der DG (Deutschen Glasfaser) ?
    Stelle ich das LAN-Interface des PFSense dann auf Static-IPv6 ?

    Hat jemand von euch den Background, mir da zu helfen ?

    Gruß
    Florian


  • LAYER 8 Moderator

    @FLOK said in DHCP-IPv6 durch Windows Server (Active Directory):

    Verteilt er das Subnetz der DG (Deutschen Glasfaser) ?
    Stelle ich das LAN-Interface des PFSense dann auf Static-IPv6 ?

    Das käme ganz darauf an, WIE du dein Netz von der DG bekommst. Bekommt die pfSense extern eine IP6 und du hast ein statisches Prefix mit /60 oder /56 o.ä. das du fix zugewiesen bekommen hast? Wenn ja - super - dann sollte es recht einfach sein. Wenn nicht - meh. Dynamische Prefixe sind grausam vom Handling :/



  • Erstmal Danke für deine Antwort 👍

    Es handelt sich um einen Business-Anschluss. Demnach ist sowohl IPv4, als auch IPv6 statisch/fix.

    IPv6 IA_PD: 2a03:1d60:XXXX:XXXX::/56


  • LAYER 8 Moderator

    @FLOK said in DHCP-IPv6 durch Windows Server (Active Directory):

    Demnach ist sowohl IPv4, als auch IPv6 statisch/fix.

    Weißt du das oder vermutest du das? ;)
    Das sollte ja irgendwo schriftlich einzusehen sein. Bei den neueren Kabel oder DSL Anschlüssen für Business ist es auch so, dass die sich dann per DHCP/DHCP6 verbinden, die IP4 dann aber semi-statisch bleibt (DHCP reserviert) und bei IP6 das im Kundencenter einsehbare Prefix dann auf die IP6 routen, die man per DHCP6 bekommt (oder sogar via link-local fe80 routen).

    Wenn das DG ebenso macht, müsstest du auf der pfSense ja auf dem WAN per DHCP6 eine Adresse oder zumindest nen Link haben und Ping6 o.ä. müsste gehen. Dann kannst du ja testweise eine IP6 aus dem Bereich der dir gehören soll als VIP aufs WAN binden (Typ Alias IP auf WAN sollte gehen) und dann mal testen, ob das von außen erreichbar ist bzw. Pakete an die IP dann von der Firewall geblockt werden. Wenn dem so ist - super - dann wird dein /56er ordentlich geroutet :)



  • 2020-07-03 11_30_18-Window.png

    So sieht das Interface aus. IPv4 per DHCP, IPv6 per DHCP6.



  • Habe etwas gebraucht, um zu verstehen, was du mit VIP auf WAN usw. meinst....

    Habe eine Virtuelle IP auf WAN2 angelegt.
    Ping auf WAN2 in der Firewall erlaubt.
    Ping6 online (https://www.ipaddressguide.com/ping6) ausgeführt auf die VIP.

    3 packets transmitted, 3 received, 0% packet loss, time 2003ms
    rtt min/avg/max/mdev = 11.875/12.013/12.290/0.215 ms

    Routing ist somit korrekt ?!


  • LAYER 8 Moderator

    Frage dazu: ist dein /56er Prefix ein anderer Bereich als das was du am WAN2 deiner pfSense bekommst?

    Du hast ja 2a03:1d60:1000:0 anliegen. Ist 2a03:1d60:10/56 das Prefix dass du statisch bekommst oder ist das ein anderes 2a03:1d60:xyza/56?

    Bzw. mit welcher VIP hast du getestet? Kannst es auch gern schwärzen oder als Chat schicken wenn es nicht public sein soll :)


  • LAYER 8 Moderator

    OK nach Direktnachricht würde ich sagen, das sieht nach getrenntem Prefix für statische Nutzung und Einwahl aus. Super. Heißt du bekommst per DHCP6 aus einem - ich nenne es mal "Einwahlprefix" - eine Adresse und darauf dann ein statisches /56er Prefix geroutet. Wenn nur alles so schön einfach wäre :)

    Dann ist es eigentlich sehr simpel.

    Du kannst dir aus dem Prefix dann einfach ein /64er aussuchen und das auf dein LAN Interface konfigurieren. Ich nehme mal zur Dokumentation das Doku Prefix aus dem entsprechenden RFC, du kannst die Adressen dann ja auf deine anpassen:

    2001:DB8:1100:1200::/56 wäre bspw. dein Prefix.

    Dann nehmen wir uns weils schön ist und wir ggf. intern im LAN sowas wie 10.12.1.0/24 nutzen bspw.

    2001:DB8:1100:1201::/64 als LAN Prefix (wegen 10.12.01.0 quasi ;)).

    Dann konfigurieren wir unser LAN einfach mit static IP6 und tragen da

    2001:DB8:1100:1201::1 mit /64 fix ein.

    Anschließend passiert dann erstmal noch gar nichts, da das LAN noch keine Ahnung von dem Prefix hat. Kommt jetzt drauf an, wie man IP6 im LAN anbieten will. SLAAC braucht einfach nur das Routing Prefix sowie die Info, wer DNS und Co spricht. Das kann die pfSense auch problemlos selbst anbieten, da brauchts den Windows Server nicht für. Der Windows Server sollte übrigens eine fixe IP6 bekommen. Der hat vielleicht 10.12.1.10 als IP, dann würde ich ihm entsprechend einfach 2001:DB8:1100:1201::10 zuweisen, dann sucht man sich nicht kaputt, wer was ist :)

    Fragestellung ist: braucht es DHCP6 zur IP6 Vergabe bzw. besteht dazu ein Grund? Dann könnte man das den Windows Server machen lassen, fände ich aber eher meistens eher unnötig. Die Clients können sich zufällige Adressen generieren per SLAAC und wenn man auf Geräte rauf will, sollten diese eh eine statische IP6 wie der WinServer bekommen. DHCP6 kann man machen, klar, muss aber theoretisch nicht wirklich sein.

    Für SLAAC würde in pfSense reichen:

    • ServicesDHCPv6 Server & RA
    • Router Advertisements
    • Mode : Stateless DHCP
    • DNS Config ggf. noch die IP6 vom Windows Server rein -> 2001:DB8:1100:1201::10 (vermute die Clients per DHCP bekommen auch den Windows als DNS)
    • Domain search list: die AD Domain mit rein
    • speichern.

    Alle Geräte, die SLAAC IPv6 können, werden sich danach durch das RA (routing announcement) automatisch eine IP6 generieren und den DNS Server lernen (sollen).

    Grüße



  • Prima. Das hört sich schon mal nach nem Plan an.
    Die IPs die ich statisch vergebe, müssen die irgendwo bekannt gegeben werden ?

    Das Router Advertisement mit den von dir angegebenen Daten ersetzt den DHCPv6 Server (sowohl in Windows als auch in PFSense)?

    Gruß


  • LAYER 8 Moderator

    @FLOK said in DHCP-IPv6 durch Windows Server (Active Directory):

    Die IPs die ich statisch vergebe, müssen die irgendwo bekannt gegeben werden ?

    Nö. Außer bei dir bzw. du musst wissen was du vergeben hast. Geräte per autoconfiguration haben nie doppelte IPs da die vorher immer einen Check machen, ob ihre zufällig erzeugte Adresse schon in Gebrauch ist und sich dann eine neue generieren.

    @FLOK said in DHCP-IPv6 durch Windows Server (Active Directory):

    Das Router Advertisement mit den von dir angegebenen Daten ersetzt den DHCPv6 Server (sowohl in Windows als auch in PFSense)?

    Jein. RA mit DHCP Unterstützung (für DNS) ermöglicht eben Geräten, die das unterstützen, autoconfiguration per SLAAC. Wenn das Geräte nicht können, kann man DHCP6 machen oder statische Adressen vergeben. Da ich bislang den wirklichen Sinn von DHCP6 vergebenen Adressen nicht sehe, da Reservierungen wie DHCP4 bei v6 eigentlich keinen Sinn machen (wofür? warum keine statische Adresse?) , ist es der simpelste Konfigurationsansatz.



  • @JeGr
    Meine Frage zielte darauf, ob ich den Service hier aktiveren muss:

    2020-07-06 14_31_30-Window.png


  • LAYER 8 Moderator

    Nein, nur wenn du vollen DHCP6 Support aktivieren willst. Für SLAAC genügen die Einstellungen unter RA



  • @JeGr
    Habe gestern ein wenig gebastelt. Scheint soweit zu funktionieren.
    Vielen Dank.

    Ich habe allerdings dem LAN-Interface eine VIP aus dem von mir gewählten Subnetz gegeben und die Einstellungen weiterhin auf "Track Interface" -> "WAN2" stehen gelassen.

    Ich weiß nicht mehr genau was passiert ist (kann es aktuell leider nicht wiederholen), aber das setzen der Adresse
    als statisch, hat die PFSense voll aus dem Tritt gebracht....Ich meine sogar, das WAN2-Interface hat keine
    IPV6 Adresse mehr bekommen (kein Gateway ? keine Monitoring-IP?). Bin aber nicht 100% sicher.


  • LAYER 8 Moderator

    Ich habe allerdings dem LAN-Interface eine VIP aus dem von mir gewählten Subnetz gegeben und die Einstellungen weiterhin auf "Track Interface" -> "WAN2" stehen gelassen.

    Das ist verkehrt, da muss wie oben beschrieben statisch rein und dann deine IP6 die du der sense geben willst und damit definierst du das Netz auf dem LAN. Track Interface ist falsch, da dann versucht wird, das Netz vom WAN aufzugreifen, was aber NICHT dein statisches IP6 Netz ist, sondern ein Transfernetz. Dass das dann das WAN aus dem Tritt bringt, ist kein Wunder ;)

    Track Interface brauchst du ja glücklicherweise nicht weil dir das Netz statisch geroutet wird.



  • Okay. Aktuell läuft es so, wie ich beschrieben habe, ohne Probleme.
    Versuche ich heute Abend auf "Statisch" zu ändern.



  • Also ich habe alles versucht.
    Sobald ich das LAN-Interface von "Track Interface" auf "Static IPv6" umstelle, verliert der WAN2-Anschluss seine
    DHCPv6 Konnektivität. Egal welche Optionen ich einstelle, auch ein Reboot hat nicht geholfen.
    Vielleicht hat da jemand noch den "Stein der Weisen" und kann das erklären.


Log in to reply