Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPv6 - Dynamische FW Rules?

    Deutsch
    3
    6
    876
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Tobi
      last edited by

      Hallo,

      jetzt bei der Telekom und auch später beim neuen Provider EPCAN bekommt man für IPv6 einen Präfix /64
      Weiter durch das eingestellte Track-Interface für WAN Interface, und die weitere Aufteilung auf die einzelne VLANS hat auch jedes Gerät der es haben wollte eine gültige IPv6 Adresse.
      (Ich hoffe bis jetzt das so weit verständlich und nicht unbedingt falsch beschrieben zu haben)

      Das was mir nicht klar ist - wie baue ich ggf. Aliase und Rules wenn sich der Präfix nach jeder Trennung ändert? Da musste ich irgendwie doch bei den Aliasen und auch Rules den Präfix komplett rauslassen müssen, damit es eben mit neuen Präfix funktionieren kann. Nur das musste auch wieder eher bedeuten, dass man doch die IP's aus den MAC Adressen abbilden lassen soll und nicht eigene Ranges definieren oder wie? Irgendwie stehe ich gerade auf nem Schlauch 😢

      Bob.DigB JeGrJ 2 Replies Last reply Reply Quote 0
      • Bob.DigB
        Bob.Dig LAYER 8 @Tobi
        last edited by Bob.Dig

        @tobi Mache Static Mappings mit dem DHCPv6 Server. Mit dem Hostnamen dort kannst Du Dir einen Alias anlegen für jeden Host. Bei einem Prefix-Wechsel wird dann auch eine neue Adresse durch den DHCPv6 Server vergeben und damit wird auch wieder der Alias aktualisiert.

        Bei der Telekom selbst kannst Du den IP-Wechsel aber auch massiv nach hinten verlagern bzw. dort findet normalerweise gar kein regelmäßiger Wechsel mehr statt.

        1 Reply Last reply Reply Quote 0
        • T
          Tobi
          last edited by

          Damit lassen sich aber doch keine Rules für ganze Netze erstellen oder?

          Bob.DigB 1 Reply Last reply Reply Quote 0
          • Bob.DigB
            Bob.Dig LAYER 8 @Tobi
            last edited by

            @tobi Für ganze Netze nimmst du einfach die vorgefertigten xy-net Dinger.

            1 Reply Last reply Reply Quote 0
            • T
              Tobi
              last edited by

              Puh, ich muss mir das genau anschauen, wenn ich mich endlich für eine IPU entschieden habe und die geliefert wird. Dann kann ich entweder mit der neuer oder alter Box experimentieren und probieren.

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator @Tobi
                last edited by

                @tobi said in IPv6 - Dynamische FW Rules?:

                jetzt bei der Telekom und auch später beim neuen Provider EPCAN bekommt man für IPv6 einen Präfix /64

                Jein. Du bekommst auf dem WAN normalerweise ein /64er Prefix. Zusätzlich solltest du aber (bzw bekommst du bei Telekom und Co) ein /56er zur Delegation auf die IP6 des Routers, der im /64er Prefix ist. Dieses /56er kann dann für IA_PD (Prefix Delegation) genutzt werden und wird an andere Interfaces dann weitergegeben.

                Nur das musste auch wieder eher bedeuten, dass man doch die IP's aus den MAC Adressen abbilden lassen soll und nicht eigene Ranges definieren oder wie? Irgendwie stehe ich gerade auf nem Schlauch 😢

                IP6 aus MAC Adresse sind eher die Seltenheit. Der neue Algo der von SLAAC genutzt wird, nutzt nicht mehr die MAC, sondern wird aus anderen Faktoren generiert. Zusätzlich hat ein Gerät mit SLAAC (oder auch DHCP6 wenn so konfiguriert) noch mehrere weitere Adressen für IPv6 Privacy Extensions, rotiert also alle paar Zyklen die IP6 und nutzt eine neue, während die alte noch eine gewisse Zeit aktiv bleibt. Deshalb kann es gut sein, dass ein Client wenn man mal nachsieht zur gleichen Zeit locker ein Dutzend IP6 Adressen hat (inkl. seiner fe80 link local Adresse)

                Da via Track Interface dem Interface ja ein bestimmter /64er Prefix aus dem /56er zugewiesen wurde, ist dieser problemlos durch das Interface Alias (VLANname_network) nutzbar. Einzelne Hosts zu packen wir aber eher unschön auch wenn ich nicht weiß, wofür man das unbedingt haben wollen würde.

                Man kann aber durchaus auch den Host-Part adressieren, seit 2.5.2/21.05 geht das. Siehe #6626
                -> https://redmine.pfsense.org/issues/6626
                Es geht also, bspw. Regeln mit ::1243:5678:9012:3456 zu konfigurieren, der Prefix Part wird dann vom Interface abgeleitet. Klappt aber natürlich nur sinnvoll mit einer fixen IP6 also spezifisch eingehend oder ausgehend wenn man nen Service anbietet. Für den Rest ausgehend wird dann ja meist SLAAC/Privacy Extension genutzt.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 1
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.