IPv6 Prefix Delegation über PPPOE

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche

Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird
Letzte Anpassung: Neue Funktion in 11.8

Bemerkung

Neue Funktion in 11.8 

Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.

Einleitung

Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.

Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.

Konfiguration

Aktivierung der Prefix-Delegation

Schnittstelle bearbeiten

Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:

Im unteren Abschnitt des Reiters Allgemein :

IPv6
Ein aktivieren, damit IPv6 überhaupt verwendet wird
IPv6 Prefix Delegation:
Ein aktiviert die Prefix Delegation


Speichern


Übernahme auf Schnittstelle durch Router Advertisement

Schnittstelle bearbeiten Router Advertisement

Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:

Name:
eth1 ( Anzeige der ausgewählten Schnittstelle]
DHCP Client:
aus
Router Advertisement:
Ein Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen

Speichern


Anzeige in der Netzwerkkonfiguration


Default-Route hinzufügen

Default-Route

Damit die IPv6-Adressen geroutet werden können, muss unter → Netzwerk →Netzwerkkonfiguration Routing mit

+ Default-Route hinzugen eine Default-Route hinzugefügt werden.


Überprüfung

Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter → Netzwerk →Netzwerkwerkzeuge ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.

IPv6 Ping-Test

╭╴ Einstellungen ╶╮

IPv6
Ein Muss zuerst aktiviert werden, dann lässt sich eine IPv6-Quelle auswählen
Quelle
Auswahl der IPv6-Adresse mit der gepingt werden soll.
Ziel
Ziel-Name oder IP-Adresse. k.dns-zone.net


Mit Senden wird der Ping-Test gestartet.

╭╴ Antwort ╶╮

Der Root-Server k.dns-zone.net des Ripe NCC sollte wie nebenstehend abgebildet mit der IP 2001:7fd::1 antworten.



Portfilterregeln anpassen

Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden! 

IPv6 Netzwerkobjekte anlegen

Externe Zone
Netzwerkobjekt internet_v6

Anlegen der Internet-Zone für IPv6 unter → Firewall →Portfilter Netzwerkobjekte mit

+ Objekt hinzufügen

Name:
Internet_v6 Eindeutige Bezeichnung
Typ:
Netzwerk (Adresse)
Adresse:
 ::/0 (Das gesamte Internet)
Zone:
external_v6 Wichtig: Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
Gruppe
sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.

Speichern


Interne Zone
Internes IPv6-Netzwerkobjekt

Konfiguration des internen Netzwerk-Objektes:

Name:
Internal_Network_v6 Eindeutige Bezeichnung
Typ:
Netzwerk (Schnittstelle) Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle).
Adresse:
eth1 Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll.
Zone:
internal_v6
Gruppe
ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll.

Speichern


Portfilter Regel hinzufügen

Portfilter Regel für IPv6

Jetzt kann unter → Firewall →Portfilter

+ Regel hinzufügen eine Regel angelegt werden:

╭╴ Aktion╶╮
Accept
╭╴ Logging╶╮
gewünschte Loggingstufe auswählen
╭╴ Gruppe ╶╮
gewünschter Gruppe hinzufügen
╭╴ Quelle ╶╮
Internal_Network_v6
╭╴ Ziel ╶╮
Internet_v6
╭╴ Dienst ╶╮
gewünschten Dienst oder Dienstgruppe auswählen

Im Gegensatz zu IPv4 wird hier kein NAT benötigt! 

Hinzufügen

 
Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.
 

 

Schließen

‣ Regeln aktualisieren