Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png









Dieses HowTo beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird.

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Netzwerk Netzwerkkonfiguration

Einleitung

Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.:2001:0db8:aaaa:bb::/56) in /64 Netze aufzuteilen (z.B.:2001:0db8:aaaa:bb00::/64, 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist, aktiviert.

notempty
Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere /64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.



Konfiguration

Aktivierung der Prefix-Delegation

Im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen Schaltfläche muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden.
Im unteren Abschnitt des Reiters Allgemein:
Beschriftung Wert Beschreibung PPPoE-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 IPv6Prefix-Delegation Konfiguration Schnittstelle bearbeiten wan0.png Schnittstelle bearbeiten
IPv6: Ein Aktivieren, damit IPv6 überhaupt verwendet wird
IPv6 Prefix Delegation: Ein Aktiviert die Prefix Delegation
Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen.

Auf

Speichern und schließen
klicken, damit die Änderungen übernommen werden.

Übernahme auf Schnittstelle durch Router Advertisement

Im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen muss die Schnittstelle, der das kleinere /64 Subnetz zugewiesen werden soll (z.B.: LAN2) konfiguriert werden:
Beschriftung Wert Beschreibung Ethernet-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 IPv6Prefix-Delegation Konfiguration Schnittstelle bearbeiten LAN2.pngSchnittstelle bearbeiten Router Advertisement
Name: LAN2 Anzeige der ausgewählten Schnittstelle
DHCP Client: aus
Router Advertisement: Ein Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen
IPv6-Adressen vergeben: Ein Mit dieser Funktion wird aktiviert, dass der Router IPv6-Adressen verteilt
IPv6 Prefix Delegation: aus Prefix Delegation ist nur für externe Schnittstellen zulässig.
Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen.

Auf

Speichern und schließen
klicken, damit die Änderungen übernommen werden.

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 IPv6Prefix-Delegation Konfiguration Schnittstellen Übersicht.pngAnzeige in der Netzwerkkonfiguration

Default-Route hinzufügen

Damit die IPv6-Adressen geroutet werden können, muss unter Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche Default-Route hinzufügen eine Default-Route hinzugefügt werden.
Beschriftung Wert Beschreibung Default-Route hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration UTM v12.6 IPv6Prefix-Delegation Konfiguration Default-Route hinzufuegen.pngDefault-Route
Gateway Typ: IPSchnittstelle Der Typ des Gateways
Gateway: wan0 Die ausgewählte Schnittstelle
IPv6: Ein

Überprüfung

Unter Netzwerk Netzwerkwerkzeuge  Bereich Ping wird ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet), durchgeführt. Dies überprüft, ob das Routing einwandfrei funktioniert.
Beschriftung Wert Beschreibung
Einstellungen
Quelle: 2001:db08:aaaa:bbb00::1 Auswahl der IPv6-Adresse, mit der gepingt werden soll Netzwerkwerkzeuge UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 PingIPv6 Ping.png IPv6 Ping-Test
Ziel: k.root-servers.net Ziel-Name oder IP-Adresse
IPv6 Ein Aktivieren, damit IPv6 überhaupt verwendet wird
Senden Ping-Test starten
Antwort
Der Root-Server k.root-servers.net des Ripe NCC sollte, wie nebenstehend abgebildet, mit der IP 2001:7fd::1 antworten



Paketfilterregeln anpassen

notempty
Bei Verwendung von IPv6 müssen alle Paketfilterregeln zusätzlich für IPv6 erstellt werden.

IPv6 Netzwerkobjekte anlegen

Externe Zone
Anlegen der Internet-Zone für IPv6 unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen.
Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkkonfiguration UTM v12.6 IPv6Prefix-Delegation Paketfilterregeln anpassen Netzwerkobjekt erstellen externe Zone.png Netzwerkobjekt Internet_v6
Name: Internet_v6 Eindeutige Bezeichnung
Typ: Netzwerk (Adresse)
Adresse: ::/0 Das gesamte Internet
Zone: external_v6 notempty
Die Zone muss der entsprechenden Schnittstelle zugeordnet sein
Gruppe:     Das Netzwerkobjekt kann ggf. einer Gruppe zugeordnet werden
Auf
Speichern und schließen
klicken, damit die Änderungen übernommen werden.
Interne Zone
Konfiguration des internen Netzwerk-Objektes:
Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkkonfiguration UTM v12.6 IPv6Prefix-Delegation Paketfilterregeln anpassen Netzwerkobjekt erstellen interne Zone.png Internes IPv6-Netzwerkobjekt
Name: Internal_Network_v6 Eindeutige Bezeichnung
Typ: Netzwerk (Schnittstelle) Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk (Schnittstelle)
Schnittstelle: LAN2 Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll
Zone: internal_v6
Gruppe:     Das Netzwerkobjekt kann ggf. einer Gruppe zugeordnet werden
Auf
Speichern und schließen
klicken, damit die Änderungen übernommen werden.

Paketfilter Regel hinzufügen

notempty
Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.
Jetzt kann unter Firewall Paketfilter  Schaltfläche Regel hinzufügen eine Regel angelegt werden:
Beschriftung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 IPv6Prefix-Delegation Paketfilterregel hinzufuegen.png Paketfilter Regel für IPv6
Aktiv: Ein
Quelle: Network.svg Internal_Network_v6 Quell-Netzwerk
Ziel: World.svg Internet_v6 Ziel-Netzwerk
Dienst: Service-group.svg default-internet gewünschten Dienst oder Dienstgruppe auswählen
Aktion: Accept Paket annehmen
Logging: Short - Drei Einträge pro Minute protokollieren gewünschte Loggingstufe auswählen
Gruppe: IPv6 Regeln gewünschter Gruppe hinzufügen
notempty
Im Gegensatz zu IPv4 wird hier kein NAT benötigt!
Auf
Speichern
, bzw.
Speichern und schließen
klicken, um die Paketfilter-Regel abzuspeichern.
Auf
Regeln aktualisieren
klicken, damit die Paketfilter-Regeln aktualisiert werden.