IPv6 Prefix Delegation über PPPOE

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird
Letzte Anpassung: Neue Funktion in 11.8

Neue Funktion in 11.8 

Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.


Einleitung

Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.

Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.

Konfiguration

Aktivierung der Prefix-Delegation

Schnittstelle bearbeiten
Im Menü →Netzwerk→Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:

Im unteren Abschnitt des Reiters Allgemein :

 IPv6 
Ein aktivieren, damit IPv6 überhaupt verwendet wird
 IPv6 Prefix Delegation: 
Ein aktiviert die Prefix Delegation

Speichern


Übernahme auf Schnittstelle durch Router Advertisement

Schnittstelle bearbeiten Router Advertisement
Im Menü →Netzwerk→Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:
 Name: 
eth1 ( Anzeige der ausgewählten Schnittstelle]
 DHCP Client: 
 aus 
 Router Advertisement: 
Ein Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen

Speichern


Anzeige in der Netzwerkkonfiguration


Default-Route hinzufügen

Default-Route
Damit die IPv6-Adressen geroutet werden können, muss unter →Netzwerk→Netzwerkkonfiguration Routing mit + Default-Route hinzugen eine Default-Route hinzugefügt werden.


Überprüfung

Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter →Netzwerk→Netzwerkwerkzeuge ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.

IPv6 Ping-Test

╭╴ Einstellungen ╶╮

 IPv6 
Ein Muss zuerst aktiviert werden, dann lässt sich eine IPv6-Quelle auswählen
 Quelle 
Auswahl der IPv6-Adresse mit der gepingt werden soll.
 Ziel 
Ziel-Name oder IP-Adresse. k.dns-zone.net

Mit Senden wird der Ping-Test gestartet.

╭╴ Antwort ╶╮

Der Root-Server k.dns-zone.net des Ripe NCC sollte wie nebenstehend abgebildet mit der IP 2001:7fd::1 antworten.



Portfilterregeln anpassen

Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden! 

IPv6 Netzwerkobjekte anlegen

Externe Zone
Netzwerkobjekt internet_v6
Anlegen der Internet-Zone für IPv6 unter →Firewall→Portfilter Netzwerkobjekte mit + Objekt hinzufügen
 Name: 
Internet_v6 Eindeutige Bezeichnung
 Typ: 
 Netzwerk (Adresse) 
 Adresse: 
 ::/0 (Das gesamte Internet)
 Zone: 
 external_v6  Wichtig: Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
 Gruppe 
sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.

Speichern


Interne Zone
Internes IPv6-Netzwerkobjekt
Konfiguration des internen Netzwerk-Objektes:
 Name: 
Internal_Network_v6 Eindeutige Bezeichnung
 Typ: 
 Netzwerk (Schnittstelle)  Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle).
 Adresse: 
eth1 Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll.
 Zone: 
 internal_v6 
 Gruppe 
ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll.

Speichern


Portfilter Regel hinzufügen

Portfilter Regel für IPv6
Jetzt kann unter →Firewall→Portfilter + Regel hinzufügen eine Regel angelegt werden:
╭╴ Aktion╶╮
 Accept 
╭╴ Logging╶╮
gewünschte Loggingstufe auswählen
╭╴ Gruppe ╶╮
gewünschter Gruppe hinzufügen
╭╴ Quelle ╶╮
Internal_Network_v6
╭╴ Ziel ╶╮
Internet_v6
╭╴ Dienst ╶╮
gewünschten Dienst oder Dienstgruppe auswählen

Im Gegensatz zu IPv4 wird hier kein NAT benötigt! 

Hinzufügen

Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden. 

Schließen

‣ Regeln aktualisieren