Pfsense hinter Speedport mit IPv6 NPt



  • Guten Abend,

    derzeit läuft bei mir ein pfSense (Version 2.3) hinter einem Speedport von der Telekom. Dem Speedport wird zwar ein /56-IPv6-Präfix zugewiesen, aber mit dem Speedport nutzbar ist nur ein /64-Präfix. Obwohl das /56-Netzwerk ihm zugewiesen wurde, scheint er auf keine IPv6-Adressen zu reagieren, die nicht in "seinem" /64-Netzwerk liegen.
    Beispiel:
    Zugewies. Adressbereich/Präfix: 200X:XXXX:XXXX:c1X0::/56
    Nutzbarer Adressbereich für LAN: 200X:XXXX:XXXX:c1X1::/64 -> auf Anfragen von IP-Adressen aus diesem Bereich reagiert der Speedport und beantwortet sie auch; alle anderen werden vermutlich verworfen, obwohl sie in dem zugewiesenen /56-Präfix liegen.

    IPv6 Delegation wie hier https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritzbox/ beschrieben ist leider nicht möglich; im Router können auch keinerlei statische Routen gesetzt werden.

    Da ich aber gerne IPv6 nutzen würde und nicht auf pfSsense verzichten mag, würde ich gerne "NAT" bzw. Network Prefix Translation nutzen.
    Der Plan ist, per DHCPv6 meinem WAN-Interface vom Speedport eine v6-Adresse zuweisen zu lassen und dem LAN-Interface eine ULA-Adresse zu geben (z.B. fd00::1). Das interne Netz bekommt dann per RouterAdvertisment ebenfalls ULA-Adressen vom pfSense zugewiesen.

    Damit nun die Clients den Speedport erreichen können, lege ich ein NPt-Map (Firewall->Nat->NPt) folgendermaßen an:
    Interface: WAN
    Internal IPv6 prefix: fd00:: /64
    Destination IPv6 prefix: 200X:XXXX:XXXX:c1X1:: /64

    Meine Hoffnung war da, dass, wenn eine Anfrage an pfSense von bspw. _fd00::_2 hereinkommt, er diese zu _200X:XXXX:XXXX:c1X1::_2
    umschreibt und somit weder statische Routen noch IPv6 Delegation nötig wären.

    Das Problem dabei: es funktioniert nicht. Ich habe schon mal das Interface getauscht (von WAN auf LAN), brachte aber auch keinen Erfolg.
    Deshalb meine Frage(n):
    Kann mein Vorhaben überhaupt funktionieren, oder habe ich irgendwo einen Denkfehler / ein technisches Hindernis übersehen?
    Wenn ja, was mache ich falsch oder gibt es vielleicht noch eine andere Möglichkeit in die Welt des "IPv6-Internets" mit pfSense abzutauchen?

    Grüße und vielen Dank,
    Bjarne



  • Hi, einfach über HE.net realisieren!
    HEnet_ipv6, somit hast du immer einen festen Bereich.
    Das mit dem Speedport ist nicht so toll.
    Zwar ein kleiner Umweg, funktioniert aber bei mir super.



  • Besten Dank für die Antwort, ich werde es mal ausprobieren.

    Hatte diese Lösung auch schon im Forum gesehen, wusste aber nicht, ob das zum einen sicherheitstechnisch so gut ist (Firma in den USA) und zum anderen die Verbindung dorthin zügig läuft. Steht dann deren Server auch in den USA?



  • Kann ich dir nicht genau sagen, der Uplink von Unitymedia ist immer langsamer gewesen. Telekom Geschwindigkeit ist normal.



  • Ok, danke!


  • LAYER 8 Moderator

    Ahoi,

    zu HE.net - es ist völlig Wumpe wo irgendwelche Server von he.net stehen, denn die sind nicht relevant. HE.net kontrolliert einen IPv6 Netzbereich und routet darauf freundlicherweise dir Adressen zu. Punkt. Das heißt Pakete davon laufen zwar im Prinzip über US Routings, das ist richtig, aber WAS darauf gesprochen wird, ist ja völlig deins. Deshalb wird da ja nichts abgehört oder sonstwas zumindest ist das nicht anders zu behandeln, wie jeder andere Internet Traffic und der ist per se alles was aufm WAN liegt "evil".
    Zudem ist der Tunnelserver von HE.net wählbar und sinnvollerweise in DE angesiedelt. Dort steht bspw. einer in Frankfurt, zu dem du den GIF Tunnel aufbaust und der dann dein Prefix zum Announcen bekommt.

    Ansonsten fängts mich bei Themen wie NPt das Gruseln an. Das ist recht experimentell und funktioniert zudem nicht so einfach wie 1:1 NAT wie man das vielleicht denkt. Und zudem nur bei sauber gerouteten Adressen. Also lieber gar nicht erst so was bastelmäßiges anfangen.

    Leider sind deutsche ISPs immer noch grund-unfähig, was anderes als die Dekaden vorher zu machen und basteln alle irgendeinen Murks mit rotierenden Prefixen zusammen. seufz



  • Moin,

    vielen Dank für Deine ausführliche Antwort.
    Ich hatte mich mit HE.net noch nicht weiter beschäftigt, aber wenn die auch Tunnelserver in Deutschland haben, werde ich mich dort mal anmelden und das einrichten.

    Ich würde auch viel lieber einfach eine statische Route setzen bzw. das Prefix zu pfSense delegieren, was mit dem Speedport aber leider nicht möglich ist - daher meine abenteuerlichen Überlegungen.
    Im Speedport lässt sich nicht einmal die Firewall für eine IPv6-Adresse öffnen, um einen Rechner/Server über IPv6 erreichbar zu machen. Finde ich echt schade.

    Edit: Über den Tunnel müsste es doch dann aber eigentlich möglich sein, die Firewall für IPv6-Rechner zu öffnen, da das mit dem Speedport doch nichts mehr zu tun hat, richtig?


  • LAYER 8 Moderator

    Edit: Über den Tunnel müsste es doch dann aber eigentlich möglich sein, die Firewall für IPv6-Rechner zu öffnen, da das mit dem Speedport doch nichts mehr zu tun hat, richtig?

    Korrekt. Deine pfSense baut dann (bspw.) mit der FfM Gegenstelle von HE.NET einen GIF Tunnel (via IPv4) auf, bei der auf der FfM Seite die ::1 und auf deiner Seite die ::2 des IPv6 Transfernetzes liegen. Auf deine ::2 wird dann ein zweites /64er Netz geroutet. Da es darauf geroutet wird, kannst du damit komplett anstellen was du möchtest. Alles was gegeben sein muss ist deine WAN connectivity und der aufgebaute GIF Tunnel, dann ist auch dein IPv6 Netz komplett erreichbar.

    Ich habe damit bspw. schon ganz "böse" einen ganzen Server ausgestattet. Da Provider-X mir für einen Server leider keine v6 Adressen geben wollte, habe ich auf dem angemieteten Server ein HE.net Tunnel aufgebaut und nehme dort das ganze /64er Netz auf dem Server entgegen um Dienste mit v6 Adressen auszustatten. Nicht optimal und so schön wie ein natives v6 aber es läuft :)

    Wenn du mehr als ein /64er brauchst, kannst du bei HE.NET auch ein /48er Netz beantragen. Dann kannst du intern sogar das Netz noch weiter kleinschneiden und nutzen.

    Grüße



  • Es ist jetzt zwar schon etwas her, aber ich möchte trotzdem kurz eine Rückmeldung zu dem Thema geben.

    Der Speedport blockt, wohl als eine Art "Sicherheits-Feature", ICMP/PING per Default. Man kann PING auch nicht freischalten oder eine Ausnahme hinzufügen. Da die IPv4, über die der IPv6-Tunnel aufgebaut wird, aber von HE per PING erreichbar sein muss, kann ich gar keinen Tunnel erstellen.

    Finde ich doch etwas unschön, da ich somit erstmal kein DualStack nutzen kann, obwohl theoretisch sogar natives IPv6 zur Verfügung steht.


Log in to reply