IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen

Bob.Dig

@slu Jau. Wenn der Prefix static ist, dann mach es. Wenn nicht, ist es die Probleme nicht wert.

slu

Ich bin über den Netgate Artikel mit den Subnets gestolpert:
https://docs.netgate.com/pfsense/en/latest/network/ipv6/subnets.html

Verwende ich jetzt lokal für IPv6 fe80::/10 oder fc00::/7 Adressen?
Wobei mir der Unterschied schon nicht klar ist

Wie teilt ihr die Netze auf?

Das bringt mich gleich zum nächsten Punkt RA Modes:
https://docs.netgate.com/pfsense/en/latest/services/dhcp/ipv6-ra.html

Vermutlich möchte man schon feste IPv6 Adressen bei den lokalen Clients haben, dann wäre es der Managed Mode?

Später haben die Clients dann eine Lokale IPv6 und eine 2001::/16 Adresse für den Internetzugang?

Bob.Dig

@slu Wenn Du einen statischen Prefix hast, dann verteil auch den und nix privates.

slu

@Bob-Dig

was mich gleich zur nächsten Frage bringt :)

Was ist dann wenn sich mein ISP/IP ändert?
Was ist wenn der ISP einige Tage ausfällt, verlieren dann die Clients nicht nach und nach die IPv6 Adressen?

Wenn man dann noch IPv6 durch ein OpenVPN machen möchte sollte es doch keine öffentliche Adresse sein?

Bob.Dig

@slu Wenn der Prefix Dir "gehört", weil statisch, dann verlierst Du nix, außer deine Konnektivität nach außen, weil ja dein Provider ausgefallen ist. Du könntest aber ein Failover zu einem anderen ISP machen und dafür dann NPt nutzen. So habe ich es hier zumindest schon gelesen.

Wenn Du jetzt aber die super-duper absolute Enterprise Lösung suchst, dann müssen hier andere antworten. Meine so was wie OSPF in diesem Zusammenhang gelesen zu haben. Halte mich jetzt daher raus.

slu

@Bob-Dig said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Wenn Du jetzt aber die super-duper absolute Enterprise Lösung suchst, dann müssen hier andere antworten. [...] Halte mich jetzt daher raus.

Ich freue mich immer über Antworten!

Die super-duper Lösung suche ich nicht, ich möchte aber IPv6 verstehen. ;)
Offenbar bin ich der Einzige der das nicht tut wenn man so herum fragt, trotzdem hat es noch niemand konfiguriert

the other

@slu
Moinsen,
Ich habe hier auch dynamische v4 und v6 Adressen (telekom, dualstack).
Die pfsense sitzt hinter einer fritzbox, diese gibt das gua präfix direkt durch als /57er.
In der pfsense habe ich auf einigen interfaces v6 aktiviert. Dhcpv6 nutze ich hier nicht, es läuft über slaac.
Die Geräte in den fraglichen Segmenten erhalten also die gua, außerdem eine ula und bauen ihre lla ja eh selber.
Bislang läuft alles ganz rund. Ich erreiche meine Geräte via v6 in ihren vlans via fester ula, die Geräte kommen via v6 ins Internet mit ihrer wechselnden gua. Für die firewall regeln zb auf dem nas nutze ich nur die präfixe der ula, da sich leider bei manchen androids auch der host Teil der Adresse mal ändert.
Damit bin ich in meinem privaten hobbykeller-setting bislang jedenfalls happy...

slu

@the-other said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Ich habe hier auch dynamische v4 und v6 Adressen (telekom, dualstack).

Das ist ein Punkt den ich noch genauer nachlesen muss.
Wie bekommt die pfSense den Wechsel der IPv6 mit (das es so etwas überhaupt noch gibt...!) und vor allem die Clients hinter der pfSense?

@JeGr du hattest Mal in einem UserGroup Meeting erzählt das ein Kunde IPv6 im OpenVPN haben wollte und Du das konfiguriert hast.
Gibt man den OpenVPN Clients auch Adresse aus seinem statischen 2001::.../56 Bereich?
Oder baut man sich hierfür Netze in dem fc00::/7 Bereich (vermutlich der Bessere Weg um ein sicheres Routing durchs VPN zu erreichen)?

Ja ich tut mich noch schwer mit IPv6, aber so langsam verstehe ich das ein oder andere (glaube ich zumindest).

the other

@slu
Moinsen,
AFAIK erhält die pfsense von der vorgeschalteten Fritzbox das neue Präfix mitgeteilt, hat hier zumindst immer ohne Auffälligkeit funktioniert, und ja, es gibt durchaus Wechsel der IPs. Die Clients hinter der pfsense bekommen, im 2. Schritt, die globalen Präfixe dann von der Pfsense via RA mitgeteilt...
Das klappt ebenfalls sauber. Ich denke, wichtiger ist, wie der ISP das alles implementiert hat. Leider scheint das ja oft noch "Neuland" zu sein, zumindest im internationalen Teil dieses Forums gibt es ja doch regelmäßig Menschen, die es nicht hinbekommen. Nach etwas Recherche ist es dann oft eine etwas "seltsame" Implementierung beim ISP selber. Die Delegöm scheint da mal was richtig gemacht zu haben...

JeGr

@Bob-Dig said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

@slu Wenn Du einen statischen Prefix hast, dann verteil auch den und nix privates.

Das ist bezogen auf die Fragestellung nicht richtig, da etwas vollkommen anderes.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Verwende ich jetzt lokal für IPv6 fe80::/10 oder fc00::/7 Adressen?

Ja.
Das hat gar nichts mit entweder/oder zu tun, sondern mit "und".

FE80:: existiert immer aber im Scope NUR im gleichen Broadcast Segment und hat eine fixe Interfacezuweisung, damit das Gerät mehrere fe80 Strecken auseinander halten kann. fe80 existiert bei aktiviertem IP6 Stack immer und wird per default auf dem Interface mit SLAAC vergeben, darum funktionieren auch oft default Gateways mancher Boxen mit fe80::1 einfach so ohne Konfiguration.

FC00:: Adressen sind was Anderes. Da haben wir mehr "eine Art von"(!) RFC1918 Adressen vor uns. Wobei nach Definition/Absprache nur Adressen aus dem FD00::/8 Segment vergeben werden, FC00::/8 bleibt vorerst sauber. FD Adressen sind Typ Lokal und routbar. Also einen Step über den Link-Local Adressen FE80 die nur zwischen Geräten auf dem gleichen InterfaceStrang/Broadcast Domain funktionieren. FDxy Adressen kannst du bliebig viele vergeben, sie sollten laut RFC randomisierte /64 Bit haben (damit man Site2Site verbinden kann ohne dass man gleiche Netze trifft bzw. die Wahrscheinlichkeit gering ist, was gleiches abzubekommen), man kann sie aber auch wenn man es geplant nutzt fest definieren. Kann dann nur sein, dass jemand genauso definiert hat und daher dann bei nem Site2Site es Problemchen geben könnte, aber das ist eben das Spiel. Aus dem FD Space kann man aber wie gesagt problemlos mehrere /64er schnitzen und das als lokales Netz vergeben. Muss man je nachdem auch, wenn bspw. MultiWAN mit v6 oder dynamic bullshit v6 im Spiel ist, man aber trotzdem v6 intern rollen will.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Wie teilt ihr die Netze auf?

Inwiefern? Normalerweise /64 pro Subnetz weil SLAAC. Ansonsten no game. Wenn absolut notwendig und keine autoconfig - /126 oder /112 als Transfernetz, aber eher selten.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Vermutlich möchte man schon feste IPv6 Adressen bei den lokalen Clients haben, dann wäre es der Managed Mode?

Eher nein. Warum will man bei Clients fixe Adressen haben? Ist genau das Gleiche Spiel wie bei DHCP - mein Client braucht keine fixe IP, mein Server ggf. schon. Allerdings haben Geräte bei IP6 mehrere IPs, somit muss man da im Kopf behalten, dass nicht alles managebar ist. Zu viel V4 Denke hilft da nicht :)

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Später haben die Clients dann eine Lokale IPv6 und eine 2001::/16 Adresse für den Internetzugang?

Kommt drauf an, kann aber gut vorkommen. fe80, fdXY:abd:: und 2a01/2001::xyz Adresse können alle parallel existieren.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Was ist dann wenn sich mein ISP/IP ändert?

Dann hast du entweder PI Adressen (kaum möglich) oder du bekommst nen neues (hoffentlich statisches) v6 Prefix und musst renumbern. That's the game. Musste man bei v4 auch. Nur wann passiert das und wie oft tauscht man ständig Provider?

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Wenn man dann noch IPv6 durch ein OpenVPN machen möchte sollte es doch keine öffentliche Adresse sein?

Warum sollte das dann keine öffentliche Adresse sein?

@Bob-Dig said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Du könntest aber ein Failover zu einem anderen ISP machen und dafür dann NPt nutzen. So habe ich es hier zumindest schon gelesen.

Und an dem Punkt sind dann fdXY Adressbereiche im Spiel.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Die super-duper Lösung suche ich nicht, ich möchte aber IPv6 verstehen. ;)

Es ist ein komplett eigener Protokollstack zu IPv4. Man kann nicht das Wissen 1:1 von v4 nehmen und versuchen anzuwenden, das klappt nicht und soll es auch gar nicht, da v6 teils ganz andere Mechanismen mitbringt, die v4 noch gar nicht hatte.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Offenbar bin ich der Einzige der das nicht tut wenn man so herum fragt, trotzdem hat es noch niemand konfiguriert

Was bringt dich auf die Idee? Wir laufen seit 8 Jahren mit Dualstack v4/v6 - aber eben im Hosting/Hosted Solutions Umfeld und da funktionieren Dinge nochmal anders weil das keine Clients sind bzw. Geräte deployed werden. Aber ändert nichts daran, dass unser Kram bspw. schon jahrelang via v4/v6 parallel erreichbar ist. Und gerade von der Firewall her, wäre ich froh drum wenn alles v6 only wäre. SO VIEL WENIGER Kram zu konfigurieren, rein von den Regeln... Allein der ganze NAT Scheiß fällt weg.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Wie bekommt die pfSense den Wechsel der IPv6 mit (das es so etwas überhaupt noch gibt...!) und vor allem die Clients hinter der pfSense?

Eher weniger gut, wenn die Fritte nicht sauber mitspielt. Die haben da mal zwischendurch ihre 5min und geben dann ggf. den Prefix Wechsel nicht so flott durch. Das kann nervig sein, wenn sich zwischendurch am Tag das Prefix ändern sollte (mega nervig) und dann die ganzen Geräte ihre IP6 neu würfeln müssen :/
Darum kann man an der Stelle ganz OKish mit ULAs + NPt versuchen zu agieren - oder ganz dreckig auch mal für "nur outbound" Geräte Clients böse auf die IP6 der Sense ausgehend draufzwirbeln. Damit hat man die ganze NAT Kacke zwar wieder an den Versen, aber dank dem dynamic v6 bullshit wird man das auch nicht so ganz los, bis endlich es OK wird, Endkunden nen fixes v6 zu verkaufen.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Gibt man den OpenVPN Clients auch Adresse aus seinem statischen 2001::.../56 Bereich?

Kommt auf den Einsatzzweck an, es ist aber nicht unüblich, dass man Adressen aus seinem GUA Adressbereich rausgibt, gerade wenn die Clients auch wieder ins Internet kommen sollen.

@the-other said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Das klappt ebenfalls sauber. Ich denke, wichtiger ist, wie der ISP das alles implementiert hat. Leider scheint das ja oft noch "Neuland" zu sein, zumindest im internationalen Teil dieses Forums gibt es ja doch regelmäßig Menschen, die es nicht hinbekommen. Nach etwas Recherche ist es dann oft eine etwas "seltsame" Implementierung beim ISP selber. Die Delegöm scheint da mal was richtig gemacht zu haben...

Naja ich hab da so meine liebe Not mit denen, aber ja, man kann es schon irgendwie hinbekommen, es ginge halt alles wesentlich leichter, wenn man statische Prefixe bekäme.

Cheers
\jegr

slu

Danke @JeGr für dein Feedback, ich arbeite mich durch die Punkte.

@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Was bringt dich auf die Idee?

Das war eher ironisch gemeint, bitte nicht erst nehmen...

@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wir laufen seit 8 Jahren mit Dualstack v4/v6 - aber eben im Hosting/Hosted Solutions Umfeld und da funktionieren Dinge nochmal anders weil das keine Clients sind bzw. Geräte deployed werden. Aber ändert nichts daran, dass unser Kram bspw. schon jahrelang via v4/v6 parallel erreichbar ist. Und gerade von der Firewall her, wäre ich froh drum wenn alles v6 only wäre. SO VIEL WENIGER Kram zu konfigurieren, rein von den Regeln... Allein der ganze NAT Scheiß fällt weg.

Ich möchte im ersten Schritt die OpenVPN Server über IPv6 erreichbar machen, der Traffic kann ja wie seither im Tunnel über IPv4 laufen.

Ein Punkt der da noch auf meiner Liste steht, seither haben wir MultiWAN mit IPv4, der OpenVPN Server läuft auf localhost mit einem Portforwarding.

Wäre das in IPv6 dann mit NPt zu lösen?
https://docs.netgate.com/pfsense/en/latest/nat/npt.html

JeGr

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Das war eher ironisch gemeint, bitte nicht erst nehmen...

;)

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Ich möchte im ersten Schritt die OpenVPN Server über IPv6 erreichbar machen, der Traffic kann ja wie seither im Tunnel über IPv4 laufen.

Jup das geht.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Ein Punkt der da noch auf meiner Liste steht, seither haben wir MultiWAN mit IPv4, der OpenVPN Server läuft auf localhost mit einem Portforwarding.

Wäre das in IPv6 dann mit NPt zu lösen?
https://docs.netgate.com/pfsense/en/latest/nat/npt.html

Was genau?

slu

@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Was genau?

Seither war das so konfiguriert, gemäß der Anleitung [1]:

OpenVPN Server auf localhost
WAN1 -> localhost
WAN2 -> localhost

Nun war die Frage wie das bei IPv6 geht und jetzt sehe ich das man den OpenVPN Server (geht das schon immer?)
auch an "UDP IPv4 and IPv6 on all interfaces (multihome)" binden kann.
Das würde mein Problem lösen und verhält sich dann wie WireGuard (auf allen Interfaces).

@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Eher nein. Warum will man bei Clients fixe Adressen haben?

Wir brauchen nicht immer bei allen Rechnern Internet die im selben Subnetz hängen.
Wenn ich hier wieder mit Alias (Workstation) und Firewall Rules arbeiten will brauche ich doch feste IPs?

[1] https://docs.netgate.com/pfsense/en/latest/multiwan/openvpn.html#bind-to-localhost-and-setup-port-forwards

JeGr

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Nun war die Frage wie das bei IPv6 geht und jetzt sehe ich das man den OpenVPN Server (geht das schon immer?)

Ging nicht schon immer aber jetzt schon länger. Leider hat man damit dann das leidige Port Problem (keine multiplen Server auf gleichem Port aber anderer lokalen IP) aber das bekommt man hin. Für echtes DS ist das der Einzige sinnvolle Weg, zusätzlich kann mit "Port Forwardings" (auch wenn das quasi nur Redirects sind) auch bei v6 dann der Zustand am WAN nachgebaut werden (also bspw. Multihome, Port 12345, an allen WANs dann Forwards v4/v6 von IP4/6-udp/1194 auf IP der Sense udp/12345)

Damit bekommt man dann den Zustand wieder hin, dass man extern dann bspw. via DNS:1194 die Verbindung aufbauen kann und hat bei Bedarf v4 oder v6 am Start. Wie Wireguard verhält sich das aber nicht, WG ist da sehr anders merkwürdig. Es wird halt nur ein bind auf * statt auf ne fixe IP (also alles) mit entsprechendem Port gemacht, also muss man das bei Clustern oder Kisten mit mehreren externen IPs berücksichtigen, damit nicht die falschen IPs auf den Port reagieren.

Wir brauchen nicht immer bei allen Rechnern Internet die im selben Subnetz hängen.

Dann haben die im gleichen Subnetz nichts zu suchen, wenn sie definitiv andere Policies bzw. ein anderes Ruleset haben :) Da muss man anfangen logisch zu strukturieren und keine anderen Strukturen zu versuchen, damit abzubilden. Wenn du Kisten hast die jetzt im selben Netz sind, einige Internet, andere keine, ein paar dürfen intern auf Server andere nicht, dann sind das alles getrennte Netze und Policy Gruppen/Firewall Rulesets und die haben nichts im gleichen Netz verloren.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Wenn ich hier wieder mit Alias (Workstation) und Firewall Rules arbeiten will brauche ich doch feste IPs?

Und GENAU DESHALB macht man sowas gar nicht erst und packt die Kisten nach Netzwerk-relevanten Kriterien zusammen und nicht nach "das ist Arbeitsgruppe 5 im 1. OG"
Dann ist das nämlich komplett überflüssig irgendwelche Kisten per IP rauspicken zu müssen - genau dafür sind VLANs, (Group)Policies und Firewall Rulesets da

Cheers ;)

slu

@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Da muss man anfangen logisch zu strukturieren und keine anderen Strukturen zu versuchen, damit abzubilden. Wenn du Kisten hast die jetzt im selben Netz sind, einige Internet, andere keine, ein paar dürfen intern auf Server andere nicht, dann sind das alles getrennte Netze und Policy Gruppen/Firewall Rulesets und die haben nichts im gleichen Netz verloren.

Verstehe macht Sinn, das wird noch etwas mehr Arbeit das bestehende Netz umzustrukturieren.
Zumindest wird es mir nicht langweilig, eigentlich wird mir das nie

Hoffentlich reicht mein /56 IPv6 Prefix aus

slu

Noch eine (vielleicht peinliche/blöde) Frage:
Verpasse ich meinen internen Interfaces (LAN, WLAN,..) eine öffentlich IPv6 oder eine fd00?

NOCling

WAN fordert das Präfix an, meist /56 oder /59.

Dann die LAN Interface mit Track Int WAN und ID des gewünschten Netzes, in meinem Fall /59 sind das 32, bei /56 256 Netze mit /64 das sollte gerade so reichen das du jedes Atom in deiner Umgebung mehrfach in verschiedenen VLANs integrieren kannst.

Dann hat das Int eine fe80:: und eine aus deinem public Präfix Bereich.

the other

@slu Moinsen, also...wenn dir ein /56er nicht reicht, dann weiß ich auch nicht :)
Neben den GUA und linklocale Adressen bekommt das Gerät nach Möglichkeit auch eine ULA (fd:....) verpasst für das interne Routing über VLANs hinweg (wenn das doch mal nötig sein sollte).
Damit hat das Gerät dann drei (plus ggf. PrivacyExtensions) IPv6.
Läuft hier per SLAAC.
:)
Aber klar, nach Möglichkeit sollte die Trennung, die du mit den VLANs aufbaust, nicht durch hier und da mal schnell ne Regel aufgeweicht werden, wie hier ja auch schon angemerkt wurde. In einzelnen Fällen sicherlich ok, aber es sollte insgesamt schon für den individuellen Fall bei der Netzwerkstrukturierung bedacht werden (bringt ja nix 10 Schlösser an die Tür zu machen und dann dem halben Ort die Schlüssel zu geben). ;)

JeGr

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Verpasse ich meinen internen Interfaces (LAN, WLAN,..) eine öffentlich IPv6 oder eine fd00?

Kommt darauf an. Wenn man auf WAN Seiten nur ein WAN hat und dort eh ein statisches Prefix hat, dann weist man das auch intern normal zu bzw. konfiguriert es durch. Ist es dynamisch wirds "blöder", dann macht man das gern mit fd:: Netzen damit bei IP6 Prefix Wechsel von außen das interne Netz sauber weiter läuft. Bei MultiWAN geht es eh nur mit NPt oder mit doppelter IP6 da man irgendwie ja beide Prefixe zuweisen oder zumindest abgehend zuordnen muss.

Cheers

slu

Wenn ich eine statische IPv6 mit 56er Prefix vom ISP habe, die Einwahl aber PPPoE ist, lege ich die IPv6 trotzdem statisch auf den WAN an oder mache DHCP6?

Hintergrund der Frage, der ISP hat mir gar keine zusätzlichen Informationen wie Gateway oder DNS Server mitgeteilt...? Oder ich blamiere mich gerade mit der Frage dann könnt ich mir heute Abend auslachen