[Erledigt] keine verbindung nach extern von den CLients aus IPv6



  • Hallo,

    habe da ein kleines Problem mit meiner Konfiguration.
    hier der Aufbau:

    WAN | IPv6 Netz       2a01:4f8:192:72e8::/64
                | Gateway       2a01:4f8:192:72e8::2
          .–---+-----. 
          |  pfSense  |       Keine Autokonfiguration!
          '-----+-----'               Eingetragene Virtual IP's 2a01:4f8:192:72e8::3
        |                         2a01:4f8:192:72e8::4
        |
                |
        LAN | IPv6  Netz fec0::/64
                |        IP fec0::3
        |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients/Servers) Keine Autokonfiguration / kein DHCP
    IP fec0::4 bis fec0::12
    Gateway fec0::3

    von der PFsense komme ich ohne weiteres nach extern wie auch nach intern zu den Clients/Server.
    Auch Port Weiterleitungen zu den Clients/Server stellen kein Problem dar.

    Nur von den Clients aus komme ich nicht nach extern.
    Die PFsense erkennt auch den Verkehr vom internen Netz nach extern,
    aber blockt diesen einfach mit der Regel „Default Deny IPv6“
    es macht auch keinen Unterschied eine Regel zu erstellen,
    diese werden einfach ignoriert.

    Ich hoffe ihr könnt mir ein wenig unter die Arme greifen ;-)

    Gruß
    Vom Emsi


  • LAYER 8 Moderator

    WTF? Was versuchst du hier zu bauen? Bei IPv6 ist jeder <gottheit>froh, dass er sich mit sowas wie NAT nicht mehr rumschlagen muss und du bastelst das irgendwie wieder rein? Mach das raus und konfiguriere IPv6 richtig, dann klappts auch mit dem Nachbarn ;)

    Im Ernst, intern fec0::irgendwas zu nutzen und dann externe Adressen reinzumappen ist ein kruder Hack den keiner will! Weg damit.</gottheit>



  • Hallo JeGr,
    entschuldige das ich mich jetzt erst melde.
    Hatte hier eine Menge Arbeit über die Weihnachtstage und Silvester.
    Also frohes neues dir erst mal ;-).

    Ja das Konstrukt ist nicht schön.
    Hatte aber einen kleinen Hintergrund.
    Wir hatten in dem Netz noch eine Weitere Firewall ( Microsoft Forefront TMG ),
    welche um sich unser IPv4 Only Netz Kümmerte.

    Dann kam die Idee auf endlich mal auch unsere Dienste Per IPv6 zu veröffentlichen ( Exchange, Lync, TicketSystem, Monitoring, Websites,… die Üblich verdächtigen halt ).
    Daher haben wir IPv6 erst mal nur intern eingefügt mit dem besagten fec0:: Subnetz.

    Nun bekamen wir dann ein IPv6 Subnet welches auf dem selben Netz geroutet wurde wie unser IPv4 Netz.
    Also dachten wir uns, da ja der TMG kein IPv6 Kann ( Leider ),
    diesen zu Entfernen und nach Absprache gegen PFSense zu tauschen.

    Dadurch wäre es schön gewesen wenn wir einfach mittels NAT am Ende das alles nach dem Schema umsetzen hätten können für IPv6 und wenn das Funktioniert hätte,
    danach die IPv4 Konfiguration auf die PFsense nachziehen.

    Wie du schon geschrieben hast ist das völliger Müll ( milde ausgedrückt ).

    inzwischen haben wir aus dem externen /64 subnet,  weitere /80 subnetze direkt auf die Wan Schnittstelle geroutet und eines den Internen Lan übergeben.
    jetzt läuft das auch vernünftig. 
    Der TMG ist nun auch aus den Weg geräumt.

    darüber hinaus haben wir auch das Snort Package installiert und konfiguriert.
    Nun macht das auch Richtig Spaß mit der PFSense.

    Was wir jetzt noch gerne hätten das wir ein weiteres /80 subnet durch zb einen Tunnel Routen um dieses  einer zweigstelle ohne IPv6 zur Verfügung stellen könnten.
    Nur da muss ich erst mal weiter schauen ob dies überhaupt mit der PFsense alleine zu realisieren ist.
    Momentan haben wir eine Zweigstelle mittels IPSEC verbunden.
    Aber wäre schon cooler wenn diese jetzt auch mit einem der Subnetze gefüttert werden könnten.

    Nun sage ich erst mal danke

    Gruß
    vom Emsi


  • LAYER 8 Moderator

    Wie du schon geschrieben hast ist das völliger Müll ( milde ausgedrückt ).

    So fies wäre ich jetzt nicht gewesen, aber du hast recht. Mit v6 sollte niemand mehr Krücken bauen wie NAT oder ähnliches sondern genau diese vermeiden.

    inzwischen haben wir aus dem externen /64 subnet,  weitere /80 subnetze direkt auf die Wan Schnittstelle geroutet und eines den Internen Lan übergeben.
    jetzt läuft das auch vernünftig.

    Autsch. Das geht sicher, solltet ihr aber nicht wirklich tun. Spezifikation, RIPE und RFCs schreiben hier konkret vor, dass kein Netz kleiner als /64 vergeben werden sollte. Allerhöchste Ausnahme ist ein Transfernetz wo ggf. noch /112 oder /127 vergeben werden "dürfte", allerdings soll dann das komplette /64er abgeschrieben und weggelassen werden. Das hat sowohl mit Hardware zu tun (einige Operationen werden gerne in ASICs gegossen um sie schneller zu machen) als auch mit den Mechanismen von IPv6 wie bspw. SLAAC und Co. die NUR bei Netzen bis max. /64 funktionieren (nicht kleiner).

    Schneidet ihr die also jetzt in /80 funktioniert "die Hälfte der Funktionen" nicht mehr (grob gesagt). Deshalb wird hier auch normalerweise immer mehr als ein /64 an einen Endkunden vergeben (häufig /60, /56 oder /48) damit dieser seine Netze damit konfigurieren kann.

    Solltet ihr also nur ein /64er bekommen haben, solltet ihr da nochmal nachhaken und Druck machen, das ist eigentlich nicht normal. Selbst Telekom IP Anschlüsse oder Kabel-Kunden haben /56 oder /60 am Anschluß.

    Nun macht das auch Richtig Spaß mit der PFSense.

    Freut mich zu hören :)

    Was wir jetzt noch gerne hätten das wir ein weiteres /80 subnet durch zb einen Tunnel Routen um dieses  einer zweigstelle ohne IPv6 zur Verfügung stellen könnten.

    S.o. - ganz böse gerade beim Routing. Lieber alles auf /64er Netze umstellen, dann hat man für Clients auch die Möglichkeit ordentlich SLAAC zu nutzen und muss sich nur um Server mit fester IP kümmern.

    Grüße zurück
    Jens


Log in to reply