IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen
-
@slu
Moinsen,
AFAIK erhält die pfsense von der vorgeschalteten Fritzbox das neue Präfix mitgeteilt, hat hier zumindst immer ohne Auffälligkeit funktioniert, und ja, es gibt durchaus Wechsel der IPs. Die Clients hinter der pfsense bekommen, im 2. Schritt, die globalen Präfixe dann von der Pfsense via RA mitgeteilt...
Das klappt ebenfalls sauber. Ich denke, wichtiger ist, wie der ISP das alles implementiert hat. Leider scheint das ja oft noch "Neuland" zu sein, zumindest im internationalen Teil dieses Forums gibt es ja doch regelmäßig Menschen, die es nicht hinbekommen. Nach etwas Recherche ist es dann oft eine etwas "seltsame" Implementierung beim ISP selber. Die Delegöm scheint da mal was richtig gemacht zu haben... -
@Bob-Dig said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
@slu Wenn Du einen statischen Prefix hast, dann verteil auch den und nix privates.
Das ist bezogen auf die Fragestellung nicht richtig, da etwas vollkommen anderes.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Verwende ich jetzt lokal für IPv6 fe80::/10 oder fc00::/7 Adressen?
Ja.
Das hat gar nichts mit entweder/oder zu tun, sondern mit "und".FE80:: existiert immer aber im Scope NUR im gleichen Broadcast Segment und hat eine fixe Interfacezuweisung, damit das Gerät mehrere fe80 Strecken auseinander halten kann. fe80 existiert bei aktiviertem IP6 Stack immer und wird per default auf dem Interface mit SLAAC vergeben, darum funktionieren auch oft default Gateways mancher Boxen mit fe80::1 einfach so ohne Konfiguration.
FC00:: Adressen sind was Anderes. Da haben wir mehr "eine Art von"(!) RFC1918 Adressen vor uns. Wobei nach Definition/Absprache nur Adressen aus dem FD00::/8 Segment vergeben werden, FC00::/8 bleibt vorerst sauber. FD Adressen sind Typ Lokal und routbar. Also einen Step über den Link-Local Adressen FE80 die nur zwischen Geräten auf dem gleichen InterfaceStrang/Broadcast Domain funktionieren. FDxy Adressen kannst du bliebig viele vergeben, sie sollten laut RFC randomisierte /64 Bit haben (damit man Site2Site verbinden kann ohne dass man gleiche Netze trifft bzw. die Wahrscheinlichkeit gering ist, was gleiches abzubekommen), man kann sie aber auch wenn man es geplant nutzt fest definieren. Kann dann nur sein, dass jemand genauso definiert hat und daher dann bei nem Site2Site es Problemchen geben könnte, aber das ist eben das Spiel. Aus dem FD Space kann man aber wie gesagt problemlos mehrere /64er schnitzen und das als lokales Netz vergeben. Muss man je nachdem auch, wenn bspw. MultiWAN mit v6 oder dynamic bullshit v6 im Spiel ist, man aber trotzdem v6 intern rollen will.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wie teilt ihr die Netze auf?
Inwiefern? Normalerweise /64 pro Subnetz weil SLAAC. Ansonsten no game. Wenn absolut notwendig und keine autoconfig - /126 oder /112 als Transfernetz, aber eher selten.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Vermutlich möchte man schon feste IPv6 Adressen bei den lokalen Clients haben, dann wäre es der Managed Mode?
Eher nein. Warum will man bei Clients fixe Adressen haben? Ist genau das Gleiche Spiel wie bei DHCP - mein Client braucht keine fixe IP, mein Server ggf. schon. Allerdings haben Geräte bei IP6 mehrere IPs, somit muss man da im Kopf behalten, dass nicht alles managebar ist. Zu viel V4 Denke hilft da nicht :)
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Später haben die Clients dann eine Lokale IPv6 und eine 2001::/16 Adresse für den Internetzugang?
Kommt drauf an, kann aber gut vorkommen. fe80, fdXY:abd:: und 2a01/2001::xyz Adresse können alle parallel existieren.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Was ist dann wenn sich mein ISP/IP ändert?
Dann hast du entweder PI Adressen (kaum möglich) oder du bekommst nen neues (hoffentlich statisches) v6 Prefix und musst renumbern. That's the game. Musste man bei v4 auch. Nur wann passiert das und wie oft tauscht man ständig Provider?
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wenn man dann noch IPv6 durch ein OpenVPN machen möchte sollte es doch keine öffentliche Adresse sein?
Warum sollte das dann keine öffentliche Adresse sein?
@Bob-Dig said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Du könntest aber ein Failover zu einem anderen ISP machen und dafür dann NPt nutzen. So habe ich es hier zumindest schon gelesen.
Und an dem Punkt sind dann fdXY Adressbereiche im Spiel.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Die super-duper Lösung suche ich nicht, ich möchte aber IPv6 verstehen. ;)
Es ist ein komplett eigener Protokollstack zu IPv4. Man kann nicht das Wissen 1:1 von v4 nehmen und versuchen anzuwenden, das klappt nicht und soll es auch gar nicht, da v6 teils ganz andere Mechanismen mitbringt, die v4 noch gar nicht hatte.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Offenbar bin ich der Einzige der das nicht tut wenn man so herum fragt, trotzdem hat es noch niemand konfiguriert
Was bringt dich auf die Idee? Wir laufen seit 8 Jahren mit Dualstack v4/v6 - aber eben im Hosting/Hosted Solutions Umfeld und da funktionieren Dinge nochmal anders weil das keine Clients sind bzw. Geräte deployed werden. Aber ändert nichts daran, dass unser Kram bspw. schon jahrelang via v4/v6 parallel erreichbar ist. Und gerade von der Firewall her, wäre ich froh drum wenn alles v6 only wäre. SO VIEL WENIGER Kram zu konfigurieren, rein von den Regeln... Allein der ganze NAT Scheiß fällt weg.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wie bekommt die pfSense den Wechsel der IPv6 mit (das es so etwas überhaupt noch gibt...!) und vor allem die Clients hinter der pfSense?
Eher weniger gut, wenn die Fritte nicht sauber mitspielt. Die haben da mal zwischendurch ihre 5min und geben dann ggf. den Prefix Wechsel nicht so flott durch. Das kann nervig sein, wenn sich zwischendurch am Tag das Prefix ändern sollte (mega nervig) und dann die ganzen Geräte ihre IP6 neu würfeln müssen :/
Darum kann man an der Stelle ganz OKish mit ULAs + NPt versuchen zu agieren - oder ganz dreckig auch mal für "nur outbound" Geräte Clients böse auf die IP6 der Sense ausgehend draufzwirbeln. Damit hat man die ganze NAT Kacke zwar wieder an den Versen, aber dank dem dynamic v6 bullshit wird man das auch nicht so ganz los, bis endlich es OK wird, Endkunden nen fixes v6 zu verkaufen.@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Gibt man den OpenVPN Clients auch Adresse aus seinem statischen 2001::.../56 Bereich?
Kommt auf den Einsatzzweck an, es ist aber nicht unüblich, dass man Adressen aus seinem GUA Adressbereich rausgibt, gerade wenn die Clients auch wieder ins Internet kommen sollen.
@the-other said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Das klappt ebenfalls sauber. Ich denke, wichtiger ist, wie der ISP das alles implementiert hat. Leider scheint das ja oft noch "Neuland" zu sein, zumindest im internationalen Teil dieses Forums gibt es ja doch regelmäßig Menschen, die es nicht hinbekommen. Nach etwas Recherche ist es dann oft eine etwas "seltsame" Implementierung beim ISP selber. Die Delegöm scheint da mal was richtig gemacht zu haben...
Naja ich hab da so meine liebe Not mit denen, aber ja, man kann es schon irgendwie hinbekommen, es ginge halt alles wesentlich leichter, wenn man statische Prefixe bekäme.
Cheers
\jegr -
Danke @JeGr für dein Feedback, ich arbeite mich durch die Punkte.
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Was bringt dich auf die Idee?
Das war eher ironisch gemeint, bitte nicht erst nehmen...
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wir laufen seit 8 Jahren mit Dualstack v4/v6 - aber eben im Hosting/Hosted Solutions Umfeld und da funktionieren Dinge nochmal anders weil das keine Clients sind bzw. Geräte deployed werden. Aber ändert nichts daran, dass unser Kram bspw. schon jahrelang via v4/v6 parallel erreichbar ist. Und gerade von der Firewall her, wäre ich froh drum wenn alles v6 only wäre. SO VIEL WENIGER Kram zu konfigurieren, rein von den Regeln... Allein der ganze NAT Scheiß fällt weg.Ich möchte im ersten Schritt die OpenVPN Server über IPv6 erreichbar machen, der Traffic kann ja wie seither im Tunnel über IPv4 laufen.
Ein Punkt der da noch auf meiner Liste steht, seither haben wir MultiWAN mit IPv4, der OpenVPN Server läuft auf localhost mit einem Portforwarding.
Wäre das in IPv6 dann mit NPt zu lösen?
https://docs.netgate.com/pfsense/en/latest/nat/npt.html -
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Das war eher ironisch gemeint, bitte nicht erst nehmen...
;)
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Ich möchte im ersten Schritt die OpenVPN Server über IPv6 erreichbar machen, der Traffic kann ja wie seither im Tunnel über IPv4 laufen.
Jup das geht.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Ein Punkt der da noch auf meiner Liste steht, seither haben wir MultiWAN mit IPv4, der OpenVPN Server läuft auf localhost mit einem Portforwarding.
Wäre das in IPv6 dann mit NPt zu lösen?
https://docs.netgate.com/pfsense/en/latest/nat/npt.htmlWas genau?
-
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Was genau?
Seither war das so konfiguriert, gemäß der Anleitung [1]:
OpenVPN Server auf localhost
WAN1 -> localhost
WAN2 -> localhostNun war die Frage wie das bei IPv6 geht und jetzt sehe ich das man den OpenVPN Server (geht das schon immer?)
auch an "UDP IPv4 and IPv6 on all interfaces (multihome)" binden kann.
Das würde mein Problem lösen und verhält sich dann wie WireGuard (auf allen Interfaces).@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Eher nein. Warum will man bei Clients fixe Adressen haben?
Wir brauchen nicht immer bei allen Rechnern Internet die im selben Subnetz hängen.
Wenn ich hier wieder mit Alias (Workstation) und Firewall Rules arbeiten will brauche ich doch feste IPs?[1] https://docs.netgate.com/pfsense/en/latest/multiwan/openvpn.html#bind-to-localhost-and-setup-port-forwards
-
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Nun war die Frage wie das bei IPv6 geht und jetzt sehe ich das man den OpenVPN Server (geht das schon immer?)
Ging nicht schon immer aber jetzt schon länger. Leider hat man damit dann das leidige Port Problem (keine multiplen Server auf gleichem Port aber anderer lokalen IP) aber das bekommt man hin. Für echtes DS ist das der Einzige sinnvolle Weg, zusätzlich kann mit "Port Forwardings" (auch wenn das quasi nur Redirects sind) auch bei v6 dann der Zustand am WAN nachgebaut werden (also bspw. Multihome, Port 12345, an allen WANs dann Forwards v4/v6 von IP4/6-udp/1194 auf IP der Sense udp/12345)
Damit bekommt man dann den Zustand wieder hin, dass man extern dann bspw. via DNS:1194 die Verbindung aufbauen kann und hat bei Bedarf v4 oder v6 am Start. Wie Wireguard verhält sich das aber nicht, WG ist da sehr anders merkwürdig. Es wird halt nur ein bind auf * statt auf ne fixe IP (also alles) mit entsprechendem Port gemacht, also muss man das bei Clustern oder Kisten mit mehreren externen IPs berücksichtigen, damit nicht die falschen IPs auf den Port reagieren.
Wir brauchen nicht immer bei allen Rechnern Internet die im selben Subnetz hängen.
Dann haben die im gleichen Subnetz nichts zu suchen, wenn sie definitiv andere Policies bzw. ein anderes Ruleset haben :) Da muss man anfangen logisch zu strukturieren und keine anderen Strukturen zu versuchen, damit abzubilden. Wenn du Kisten hast die jetzt im selben Netz sind, einige Internet, andere keine, ein paar dürfen intern auf Server andere nicht, dann sind das alles getrennte Netze und Policy Gruppen/Firewall Rulesets und die haben nichts im gleichen Netz verloren.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wenn ich hier wieder mit Alias (Workstation) und Firewall Rules arbeiten will brauche ich doch feste IPs?
Und GENAU DESHALB macht man sowas gar nicht erst und packt die Kisten nach Netzwerk-relevanten Kriterien zusammen und nicht nach "das ist Arbeitsgruppe 5 im 1. OG"
Dann ist das nämlich komplett überflüssig irgendwelche Kisten per IP rauspicken zu müssen - genau dafür sind VLANs, (Group)Policies und Firewall Rulesets daCheers ;)
-
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Da muss man anfangen logisch zu strukturieren und keine anderen Strukturen zu versuchen, damit abzubilden. Wenn du Kisten hast die jetzt im selben Netz sind, einige Internet, andere keine, ein paar dürfen intern auf Server andere nicht, dann sind das alles getrennte Netze und Policy Gruppen/Firewall Rulesets und die haben nichts im gleichen Netz verloren.
Verstehe macht Sinn, das wird noch etwas mehr Arbeit das bestehende Netz umzustrukturieren.
Zumindest wird es mir nicht langweilig, eigentlich wird mir das nieHoffentlich reicht mein /56 IPv6 Prefix aus
-
Noch eine (vielleicht peinliche/blöde) Frage:
Verpasse ich meinen internen Interfaces (LAN, WLAN,..) eine öffentlich IPv6 oder eine fd00? -
WAN fordert das Präfix an, meist /56 oder /59.
Dann die LAN Interface mit Track Int WAN und ID des gewünschten Netzes, in meinem Fall /59 sind das 32, bei /56 256 Netze mit /64 das sollte gerade so reichen das du jedes Atom in deiner Umgebung mehrfach in verschiedenen VLANs integrieren kannst.
Dann hat das Int eine fe80:: und eine aus deinem public Präfix Bereich.
-
@slu Moinsen, also...wenn dir ein /56er nicht reicht, dann weiß ich auch nicht :)
Neben den GUA und linklocale Adressen bekommt das Gerät nach Möglichkeit auch eine ULA (fd:....) verpasst für das interne Routing über VLANs hinweg (wenn das doch mal nötig sein sollte).
Damit hat das Gerät dann drei (plus ggf. PrivacyExtensions) IPv6.
Läuft hier per SLAAC.
:)
Aber klar, nach Möglichkeit sollte die Trennung, die du mit den VLANs aufbaust, nicht durch hier und da mal schnell ne Regel aufgeweicht werden, wie hier ja auch schon angemerkt wurde. In einzelnen Fällen sicherlich ok, aber es sollte insgesamt schon für den individuellen Fall bei der Netzwerkstrukturierung bedacht werden (bringt ja nix 10 Schlösser an die Tür zu machen und dann dem halben Ort die Schlüssel zu geben). ;) -
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Verpasse ich meinen internen Interfaces (LAN, WLAN,..) eine öffentlich IPv6 oder eine fd00?
Kommt darauf an. Wenn man auf WAN Seiten nur ein WAN hat und dort eh ein statisches Prefix hat, dann weist man das auch intern normal zu bzw. konfiguriert es durch. Ist es dynamisch wirds "blöder", dann macht man das gern mit fd:: Netzen damit bei IP6 Prefix Wechsel von außen das interne Netz sauber weiter läuft. Bei MultiWAN geht es eh nur mit NPt oder mit doppelter IP6 da man irgendwie ja beide Prefixe zuweisen oder zumindest abgehend zuordnen muss.
Cheers
-
Wenn ich eine statische IPv6 mit 56er Prefix vom ISP habe, die Einwahl aber PPPoE ist, lege ich die IPv6 trotzdem statisch auf den WAN an oder mache DHCP6?
Hintergrund der Frage, der ISP hat mir gar keine zusätzlichen Informationen wie Gateway oder DNS Server mitgeteilt...? Oder ich blamiere mich gerade mit der Frage dann könnt ich mir heute Abend auslachen
-
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wenn ich eine statische IPv6 mit 56er Prefix vom ISP habe, die Einwahl aber PPPoE ist, lege ich die IPv6 trotzdem statisch auf den WAN an oder mache DHCP6?
Hängt eigentlich vom Provider ab. Normalerweise wenn du was statisches bekommst, dann geben Sie dir auch Daten mit, was dein v4/v6 Netz mit GW ist. Wenn du nix hast, entweder hinterfragen oder ggf. mal DHCP6 testen. Eventuell - passiert auch manchmal - läuft einfach DHCPv6 via localnet (also fe80:: link local) und sie routen dir dann trotzdem das /56er drauf.
Cheers
-
@slu Ich hab jetzt meine kostenlose Sense in der Oracle Cloud mit fester IP zum WireGuard Endpoint gemacht. Oder genauer gesagt, ich Port Forwarde einen WG-Port von dort nach Hause zu meiner Sense, sowohl IPv4 als auch IPv6, beides mit NAT. Damit sollte einer WG-Verbindung, trotz täglicher Zwangstrennung auf meiner Seite, nichts mehr im Wege stehen.
Ich mache das, um darüber zukünftig Support an Familie & Co geben zu können, jeder kriegt WG auf die Device installiert, sofern erwünscht. Jedes Gerät wird dann zu einem Peer im "Support-Tunnel". Wenn dann Bedarf besteht, kann ich z.B. eine RDP-Verbindung aufbauen. Im Tunnel wird ebenfalls geNATet. Keep alive nutze ich nicht, da ja nur bei Bedarf nötig, aber wenn es bei denen schon läuft, dann soll es sofort funktionieren, ohne WG-Verbindung trennen/neu aufbauen. Wobei Keep Alive werde ich vielleicht doch hinzufügen müssen, sonst müsste der Tunnel halt doch neu gestartet werden...
Kann aktuell nur nicht testen, ob es wirklich wie gewünscht funzt. -
Weil es zum Thema passt hier noch ein Topic der dazu passt:
https://forum.netgate.com/topic/163161/using-unique-local-addresses?_=1702908820449 -
@slu Das haben wir u.a. in der NSFW Usergroup schon mit Patrick von OPNsense bequatscht, ULAs sind nicht sehr angenehm zu benutzen und bestimmter HW Kram - wie APPLE - mag das bspw. gar nicht und priorisiert dir knallhart ULAs runter und nutzt die nicht standardmäßig, sondern nimmt dann lieber v4. Also quasi "IPv6 GUA > IPv4 > IPv6 ULA". Damit bist du dann wieder so schlau wie vorher.
Darum hatte Patrick mal gemeint, nutzt er nen he.net Tunnel und "bucht" sich damit einen großen IPv6 Prefix. Der wird dir dann ja zugeteilt. Den nutzt er dann ein- und ausgehend für NPt und übersetzt die Prefixe der Uplinks mit dem statischen GUA von HE.net den er intern statisch durchkonfigurieren kann. Damit erkennt der Apple Murks dann ne saubere GUA, nutzt die und abgehend wird die eine GUA in die andere vom Provider umgeschrieben - profit.
Und wenn man wirklich was statisch erreichen will, kann man den he.net Tunnel durchkonfigurieren und aufbauen, selbst wenn der ein wenig loss hat je nach Gegenstelle, ist man dann trotzdem wenigstens von extern über ne statische IP6 erreichbar auch wenns nicht ganz so performant ist als direkt die Provider Prefixe zu nehmen.
Muss ich mal final endlich testen und nachbauen um das zu checken, aber klingt wie nen guter Workaround für die ganze GUA/ULA Geschichte
-
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Darum hatte Patrick mal gemeint, nutzt er nen he.net Tunnel und "bucht" sich damit einen großen IPv6 Prefix.
Das war nicht Patrick sondern meine Wenigkeit. Patrick nutzt einen anderen GUA-Prefix und ich habe es dann mit HE nachgeahmt.
-
@Bob-Dig Das mag gut sein, ich weiß nur dass er das nochmal erwähnt hatte mit nem HE.net Netz - da warst du wahrscheinlich nicht da und ich habs dann so auf dem Radar gehabt. Anyway es ging mir primär darum, dass es mit ULA da eben - leider - Probleme in der Priorisierung gibt, weil ein paar Hersteller mal wieder Sonderlocken stricken müssen (HALLO APPLE!) sei es nun bei IPv6, Zertifikatslaufzeiten, OpenVPN Konfiguration...
...warum ist das eigentlich immer Apple mit der Extra-Wurst überall? Und da ist jetzt noch nicht mal was dabei, wo man sich rausreden könnte mit "aber das ist toll wegen Security/Privacy" wie sie immer behaupten. Das ist einfach nur jedem mit seltsamem Sonderverhalten das Leben schwer machen...
Ich habe das aber mal vor längerem nur mit ULAs schonmal gebaut und ja das geht - irgendwie - dann so halbwegs. Aber gerade für MultiWAN und mehr als Failover schon irgendwie eher so "meh" gut. Das ist aber tatsächlich einfach ne IPv6 Geschichte per se, denn das Thema Multi-Adressing ist tatsächlich gar nicht so simpel. Selbst mit 2 optimalen Prefixen die statisch sind und GUA wäre es tricky. NPt? Jedem Gerät einfach zwei Adressen geben? Wer selektiert welche genutzt wird? Alles nicht ganz so einfach.
Cheers :)