Dieses HowTo beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird.
Letzte Anpassung zur Version: 12.2.5
Neu:
- Layoutanpassung
- Screenshots aktualisiert
- Geänderte IPv6 Prefix Delegation (ab v12)
Vorherige Versionen: 11.8
Einleitung
Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.:2001:0db8:aaaa:bb::/56) in /64 Netze aufzuteilen (z.B.:2001:0db8:aaaa:bb00::/64, 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist, aktiviert.
Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere /64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.
Konfiguration
Aktivierung der Prefix-Delegation | |||
| Im Menü Reiter Netzwerkschnittstellen Schaltfläche muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden. Im unteren Abschnitt des Reiters Allgemein: | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| IPv6: | Ein | Aktivieren, damit IPv6 überhaupt verwendet wird | |
| IPv6 Prefix Delegation: | Ein | Aktiviert die Prefix Delegation | |
| Neu ab v12: Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen.Auf klicken, damit die Änderungen übernommen werden. | |||
Übernahme auf Schnittstelle durch Router Advertisement | |||
| Im Menü Netzwerkschnittstellen muss die Schnittstelle, der das kleinere /64 Subnetz zugewiesen werden soll (z.B.: LAN2) konfiguriert werden: | |||
| Beschriftung | Wert | Beschreibung |  |
| Name: | LAN2 | Anzeige der ausgewählten Schnittstelle | |
| DHCP Client: | |||
| Router Advertisement: | Ein | Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen | |
| IPv6 Prefix Delegation: | Ein | Aktiviert die Prefix Delegation | |
| Neu ab v12: Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen.Auf klicken, damit die Änderungen übernommen werden. | |||
 | |||
Default-Route hinzufügen | |||
| Damit die IPv6-Adressen geroutet werden können, muss unter Reiter Routing mit eine Default-Route hinzugefügt werden. | |||
| Beschriftung | Wert | Beschreibung |  |
| Gateway-Schnittstelle: | wan0 | Die ausgewählte Schnittstelle | |
| IPv6: | Ein | ||
|
| |||
| Unter Reiter Ping wird ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet), durchgeführt. Dies überprüft, ob das Routing einwandfrei funktioniert. | |||
| Beschriftung | Wert | Beschreibung | |
| ╭╴ Einstellungen ╶╮ | |||
| Quelle: | 2001:db08:aaaa:bbb00::1 | Auswahl der IPv6-Adresse, mit der gepingt werden soll |  |
| Ziel: | k.root-servers.net | Ziel-Name oder IP-Adresse | |
| IPv6 | Ein | Aktivieren, damit IPv6 überhaupt verwendet wird | |
| Ping-Test starten | |||
| ╭╴ Antwort ╶╮ | Der Root-Server k.root-servers.net des Ripe NCC sollte, wie nebenstehend abgebildet, mit der IP 2001:7fd::1 antworten | ||
Portfilterregeln anpassen
| Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden.
| |||
IPv6 Netzwerkobjekte anlegen | |||
Externe Zone | |||
| Anlegen der Internet-Zone für IPv6 unter Reiter Netzwerkobjekte mit . | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | Internet_v6 | Eindeutige Bezeichnung | |
| Typ: | |||
| Adresse: | ::/0 | Das gesamte Internet | |
| Zone: | Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
| ||
| Gruppe: | sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden | ||
| Auf klicken, damit die Änderungen übernommen werden. | |||
Interne Zone | |||
| Konfiguration des internen Netzwerk-Objektes: | |||
| Beschriftung | Wert | Beschreibung |  |
| Name: | Internal_Network_v6 | Eindeutige Bezeichnung | |
| Typ: | Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk (Schnittstelle) | ||
| Schnittstelle: | Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll | ||
| Zone: | |||
| Gruppe: | ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll | ||
| Auf klicken, damit die Änderungen übernommen werden. | |||
Portfilter Regel hinzufügen | |||
| Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.
| |||
| Jetzt kann unter eine Regel angelegt werden: | |||
| Beschriftung | Wert | Beschreibung |  |
| Aktiv: | Ein | ||
| Quelle: |  Internal_Network_v6 |
Quell-Netzwerk | |
| Ziel: |  Internet_v6 |
Ziel-Netzwerk | |
| Dienst: |  default-internet |
gewünschten Dienst oder Dienstgruppe auswählen | |
| Aktion: | Paket annehmen | ||
| Logging: | gewünschte Loggingstufe auswählen | ||
| Gruppe: | gewünschter Gruppe hinzufügen | ||
| Im Gegensatz zu IPv4 wird hier kein NAT benötigt!
| |||
| Auf , bzw. klicken, um die Portfilter-Regel abzuspeichern. | |||
| Auf klicken, damit die Portfilter-Regeln aktualisiert werden. | |||