IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen
-
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Das war eher ironisch gemeint, bitte nicht erst nehmen...
;)
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Ich möchte im ersten Schritt die OpenVPN Server über IPv6 erreichbar machen, der Traffic kann ja wie seither im Tunnel über IPv4 laufen.
Jup das geht.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Ein Punkt der da noch auf meiner Liste steht, seither haben wir MultiWAN mit IPv4, der OpenVPN Server läuft auf localhost mit einem Portforwarding.
Wäre das in IPv6 dann mit NPt zu lösen?
https://docs.netgate.com/pfsense/en/latest/nat/npt.htmlWas genau?
-
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Was genau?
Seither war das so konfiguriert, gemäß der Anleitung [1]:
OpenVPN Server auf localhost
WAN1 -> localhost
WAN2 -> localhostNun war die Frage wie das bei IPv6 geht und jetzt sehe ich das man den OpenVPN Server (geht das schon immer?)
auch an "UDP IPv4 and IPv6 on all interfaces (multihome)" binden kann.
Das würde mein Problem lösen und verhält sich dann wie WireGuard (auf allen Interfaces).@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Eher nein. Warum will man bei Clients fixe Adressen haben?
Wir brauchen nicht immer bei allen Rechnern Internet die im selben Subnetz hängen.
Wenn ich hier wieder mit Alias (Workstation) und Firewall Rules arbeiten will brauche ich doch feste IPs?[1] https://docs.netgate.com/pfsense/en/latest/multiwan/openvpn.html#bind-to-localhost-and-setup-port-forwards
-
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Nun war die Frage wie das bei IPv6 geht und jetzt sehe ich das man den OpenVPN Server (geht das schon immer?)
Ging nicht schon immer aber jetzt schon länger. Leider hat man damit dann das leidige Port Problem (keine multiplen Server auf gleichem Port aber anderer lokalen IP) aber das bekommt man hin. Für echtes DS ist das der Einzige sinnvolle Weg, zusätzlich kann mit "Port Forwardings" (auch wenn das quasi nur Redirects sind) auch bei v6 dann der Zustand am WAN nachgebaut werden (also bspw. Multihome, Port 12345, an allen WANs dann Forwards v4/v6 von IP4/6-udp/1194 auf IP der Sense udp/12345)
Damit bekommt man dann den Zustand wieder hin, dass man extern dann bspw. via DNS:1194 die Verbindung aufbauen kann und hat bei Bedarf v4 oder v6 am Start. Wie Wireguard verhält sich das aber nicht, WG ist da sehr anders merkwürdig. Es wird halt nur ein bind auf * statt auf ne fixe IP (also alles) mit entsprechendem Port gemacht, also muss man das bei Clustern oder Kisten mit mehreren externen IPs berücksichtigen, damit nicht die falschen IPs auf den Port reagieren.
Wir brauchen nicht immer bei allen Rechnern Internet die im selben Subnetz hängen.
Dann haben die im gleichen Subnetz nichts zu suchen, wenn sie definitiv andere Policies bzw. ein anderes Ruleset haben :) Da muss man anfangen logisch zu strukturieren und keine anderen Strukturen zu versuchen, damit abzubilden. Wenn du Kisten hast die jetzt im selben Netz sind, einige Internet, andere keine, ein paar dürfen intern auf Server andere nicht, dann sind das alles getrennte Netze und Policy Gruppen/Firewall Rulesets und die haben nichts im gleichen Netz verloren.
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wenn ich hier wieder mit Alias (Workstation) und Firewall Rules arbeiten will brauche ich doch feste IPs?
Und GENAU DESHALB macht man sowas gar nicht erst und packt die Kisten nach Netzwerk-relevanten Kriterien zusammen und nicht nach "das ist Arbeitsgruppe 5 im 1. OG"
Dann ist das nämlich komplett überflüssig irgendwelche Kisten per IP rauspicken zu müssen - genau dafür sind VLANs, (Group)Policies und Firewall Rulesets daCheers ;)
-
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Da muss man anfangen logisch zu strukturieren und keine anderen Strukturen zu versuchen, damit abzubilden. Wenn du Kisten hast die jetzt im selben Netz sind, einige Internet, andere keine, ein paar dürfen intern auf Server andere nicht, dann sind das alles getrennte Netze und Policy Gruppen/Firewall Rulesets und die haben nichts im gleichen Netz verloren.
Verstehe macht Sinn, das wird noch etwas mehr Arbeit das bestehende Netz umzustrukturieren.
Zumindest wird es mir nicht langweilig, eigentlich wird mir das nieHoffentlich reicht mein /56 IPv6 Prefix aus
-
Noch eine (vielleicht peinliche/blöde) Frage:
Verpasse ich meinen internen Interfaces (LAN, WLAN,..) eine öffentlich IPv6 oder eine fd00? -
WAN fordert das Präfix an, meist /56 oder /59.
Dann die LAN Interface mit Track Int WAN und ID des gewünschten Netzes, in meinem Fall /59 sind das 32, bei /56 256 Netze mit /64 das sollte gerade so reichen das du jedes Atom in deiner Umgebung mehrfach in verschiedenen VLANs integrieren kannst.
Dann hat das Int eine fe80:: und eine aus deinem public Präfix Bereich.
-
@slu Moinsen, also...wenn dir ein /56er nicht reicht, dann weiß ich auch nicht :)
Neben den GUA und linklocale Adressen bekommt das Gerät nach Möglichkeit auch eine ULA (fd:....) verpasst für das interne Routing über VLANs hinweg (wenn das doch mal nötig sein sollte).
Damit hat das Gerät dann drei (plus ggf. PrivacyExtensions) IPv6.
Läuft hier per SLAAC.
:)
Aber klar, nach Möglichkeit sollte die Trennung, die du mit den VLANs aufbaust, nicht durch hier und da mal schnell ne Regel aufgeweicht werden, wie hier ja auch schon angemerkt wurde. In einzelnen Fällen sicherlich ok, aber es sollte insgesamt schon für den individuellen Fall bei der Netzwerkstrukturierung bedacht werden (bringt ja nix 10 Schlösser an die Tür zu machen und dann dem halben Ort die Schlüssel zu geben). ;) -
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Verpasse ich meinen internen Interfaces (LAN, WLAN,..) eine öffentlich IPv6 oder eine fd00?
Kommt darauf an. Wenn man auf WAN Seiten nur ein WAN hat und dort eh ein statisches Prefix hat, dann weist man das auch intern normal zu bzw. konfiguriert es durch. Ist es dynamisch wirds "blöder", dann macht man das gern mit fd:: Netzen damit bei IP6 Prefix Wechsel von außen das interne Netz sauber weiter läuft. Bei MultiWAN geht es eh nur mit NPt oder mit doppelter IP6 da man irgendwie ja beide Prefixe zuweisen oder zumindest abgehend zuordnen muss.
Cheers
-
Wenn ich eine statische IPv6 mit 56er Prefix vom ISP habe, die Einwahl aber PPPoE ist, lege ich die IPv6 trotzdem statisch auf den WAN an oder mache DHCP6?
Hintergrund der Frage, der ISP hat mir gar keine zusätzlichen Informationen wie Gateway oder DNS Server mitgeteilt...? Oder ich blamiere mich gerade mit der Frage dann könnt ich mir heute Abend auslachen
-
@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Wenn ich eine statische IPv6 mit 56er Prefix vom ISP habe, die Einwahl aber PPPoE ist, lege ich die IPv6 trotzdem statisch auf den WAN an oder mache DHCP6?
Hängt eigentlich vom Provider ab. Normalerweise wenn du was statisches bekommst, dann geben Sie dir auch Daten mit, was dein v4/v6 Netz mit GW ist. Wenn du nix hast, entweder hinterfragen oder ggf. mal DHCP6 testen. Eventuell - passiert auch manchmal - läuft einfach DHCPv6 via localnet (also fe80:: link local) und sie routen dir dann trotzdem das /56er drauf.
Cheers
-
@slu Ich hab jetzt meine kostenlose Sense in der Oracle Cloud mit fester IP zum WireGuard Endpoint gemacht. Oder genauer gesagt, ich Port Forwarde einen WG-Port von dort nach Hause zu meiner Sense, sowohl IPv4 als auch IPv6, beides mit NAT. Damit sollte einer WG-Verbindung, trotz täglicher Zwangstrennung auf meiner Seite, nichts mehr im Wege stehen.
Ich mache das, um darüber zukünftig Support an Familie & Co geben zu können, jeder kriegt WG auf die Device installiert, sofern erwünscht. Jedes Gerät wird dann zu einem Peer im "Support-Tunnel". Wenn dann Bedarf besteht, kann ich z.B. eine RDP-Verbindung aufbauen. Im Tunnel wird ebenfalls geNATet. Keep alive nutze ich nicht, da ja nur bei Bedarf nötig, aber wenn es bei denen schon läuft, dann soll es sofort funktionieren, ohne WG-Verbindung trennen/neu aufbauen. Wobei Keep Alive werde ich vielleicht doch hinzufügen müssen, sonst müsste der Tunnel halt doch neu gestartet werden...
Kann aktuell nur nicht testen, ob es wirklich wie gewünscht funzt. -
Weil es zum Thema passt hier noch ein Topic der dazu passt:
https://forum.netgate.com/topic/163161/using-unique-local-addresses?_=1702908820449 -
@slu Das haben wir u.a. in der NSFW Usergroup schon mit Patrick von OPNsense bequatscht, ULAs sind nicht sehr angenehm zu benutzen und bestimmter HW Kram - wie APPLE - mag das bspw. gar nicht und priorisiert dir knallhart ULAs runter und nutzt die nicht standardmäßig, sondern nimmt dann lieber v4. Also quasi "IPv6 GUA > IPv4 > IPv6 ULA". Damit bist du dann wieder so schlau wie vorher.
Darum hatte Patrick mal gemeint, nutzt er nen he.net Tunnel und "bucht" sich damit einen großen IPv6 Prefix. Der wird dir dann ja zugeteilt. Den nutzt er dann ein- und ausgehend für NPt und übersetzt die Prefixe der Uplinks mit dem statischen GUA von HE.net den er intern statisch durchkonfigurieren kann. Damit erkennt der Apple Murks dann ne saubere GUA, nutzt die und abgehend wird die eine GUA in die andere vom Provider umgeschrieben - profit.
Und wenn man wirklich was statisch erreichen will, kann man den he.net Tunnel durchkonfigurieren und aufbauen, selbst wenn der ein wenig loss hat je nach Gegenstelle, ist man dann trotzdem wenigstens von extern über ne statische IP6 erreichbar auch wenns nicht ganz so performant ist als direkt die Provider Prefixe zu nehmen.
Muss ich mal final endlich testen und nachbauen um das zu checken, aber klingt wie nen guter Workaround für die ganze GUA/ULA Geschichte
-
@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:
Darum hatte Patrick mal gemeint, nutzt er nen he.net Tunnel und "bucht" sich damit einen großen IPv6 Prefix.
Das war nicht Patrick sondern meine Wenigkeit. Patrick nutzt einen anderen GUA-Prefix und ich habe es dann mit HE nachgeahmt.
-
@Bob-Dig Das mag gut sein, ich weiß nur dass er das nochmal erwähnt hatte mit nem HE.net Netz - da warst du wahrscheinlich nicht da und ich habs dann so auf dem Radar gehabt. Anyway es ging mir primär darum, dass es mit ULA da eben - leider - Probleme in der Priorisierung gibt, weil ein paar Hersteller mal wieder Sonderlocken stricken müssen (HALLO APPLE!) sei es nun bei IPv6, Zertifikatslaufzeiten, OpenVPN Konfiguration...
...warum ist das eigentlich immer Apple mit der Extra-Wurst überall? Und da ist jetzt noch nicht mal was dabei, wo man sich rausreden könnte mit "aber das ist toll wegen Security/Privacy" wie sie immer behaupten. Das ist einfach nur jedem mit seltsamem Sonderverhalten das Leben schwer machen...
Ich habe das aber mal vor längerem nur mit ULAs schonmal gebaut und ja das geht - irgendwie - dann so halbwegs. Aber gerade für MultiWAN und mehr als Failover schon irgendwie eher so "meh" gut. Das ist aber tatsächlich einfach ne IPv6 Geschichte per se, denn das Thema Multi-Adressing ist tatsächlich gar nicht so simpel. Selbst mit 2 optimalen Prefixen die statisch sind und GUA wäre es tricky. NPt? Jedem Gerät einfach zwei Adressen geben? Wer selektiert welche genutzt wird? Alles nicht ganz so einfach.
Cheers :)