notempty
notempty
notempty Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!
notempty
Der Artikel für die neueste Version steht hier
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht
Dieses HowTo beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird.
Letzte Anpassung zur Version: 12.2.5
Neu:
- Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Einleitung
Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.:2001:0db8:aaaa:bb::/56) in /64 Netze aufzuteilen (z.B.:2001:0db8:aaaa:bb00::/64, 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist, aktiviert.
Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere /64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.
Aktivierung der Prefix-Delegation | |||
| Im Menü Bereich Netzwerkschnittstellen Schaltfläche muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden. Im unteren Abschnitt des Reiters Allgemein: | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| IPv6: | Ein | Aktivieren, damit IPv6 überhaupt verwendet wird | |
| IPv6 Prefix Delegation: | Ein | Aktiviert die Prefix Delegation | |
| Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen. Auf klicken, damit die Änderungen übernommen werden. | |||
Übernahme auf Schnittstelle durch Router Advertisement | |||
| Im Menü Netzwerkschnittstellen muss die Schnittstelle, der das kleinere /64 Subnetz zugewiesen werden soll (z.B.: LAN2) konfiguriert werden: | |||
| Beschriftung | Wert | Beschreibung |  |
| Name: | LAN2 | Anzeige der ausgewählten Schnittstelle | |
| DHCP Client: | |||
| Router Advertisement: | Ein | Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen | |
| IPv6 Prefix Delegation: | aus | Prefix Delegation ist nur für externe Schnittstellen zulässig. | |
| Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen. Auf klicken, damit die Änderungen übernommen werden. | |||
 | |||
Default-Route hinzufügen | |||
| Damit die IPv6-Adressen geroutet werden können, muss unter Reiter Routing mit eine Default-Route hinzugefügt werden. | |||
| Beschriftung | Wert | Beschreibung |  |
| Gateway-Schnittstelle: | wan0 | Die ausgewählte Schnittstelle | |
| IPv6: | Ein | ||
Überprüfung | |||
| Unter Reiter Ping wird ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet), durchgeführt. Dies überprüft, ob das Routing einwandfrei funktioniert. | |||
| Beschriftung | Wert | Beschreibung | |
Einstellungen
| |||
| Quelle: | 2001:db08:aaaa:bbb00::1 | Auswahl der IPv6-Adresse, mit der gepingt werden soll |  |
| Ziel: | k.root-servers.net | Ziel-Name oder IP-Adresse | |
| IPv6 | Ein | Aktivieren, damit IPv6 überhaupt verwendet wird | |
| Ping-Test starten | |||
Antwort |
Der Root-Server k.root-servers.net des Ripe NCC sollte, wie nebenstehend abgebildet, mit der IP 2001:7fd::1 antworten | ||
Portfilterregeln anpassen
| notempty Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden.
| |||
IPv6 Netzwerkobjekte anlegen | |||
Externe Zone | |||
| Anlegen der Internet-Zone für IPv6 unter Reiter Netzwerkobjekte mit . | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | Internet_v6 | Eindeutige Bezeichnung | |
| Typ: | |||
| Adresse: | ::/0 | Das gesamte Internet | |
| Zone: | notempty g
| ||
| Gruppe: | sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden | ||
| Auf klicken, damit die Änderungen übernommen werden. | |||
Interne Zone | |||
| Konfiguration des internen Netzwerk-Objektes: | |||
| Beschriftung | Wert | Beschreibung |  |
| Name: | Internal_Network_v6 | Eindeutige Bezeichnung | |
| Typ: | Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk (Schnittstelle) | ||
| Schnittstelle: | Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll | ||
| Zone: | |||
| Gruppe: | ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll | ||
| Auf klicken, damit die Änderungen übernommen werden. | |||
Portfilter Regel hinzufügen | |||
| notempty Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.
| |||
| Jetzt kann unter eine Regel angelegt werden: | |||
| Beschriftung | Wert | Beschreibung |  |
| Aktiv: | Ein | ||
| Quelle: |  Internal_Network_v6 |
Quell-Netzwerk | |
| Ziel: |  Internet_v6 |
Ziel-Netzwerk | |
| Dienst: |  default-internet |
gewünschten Dienst oder Dienstgruppe auswählen | |
| Aktion: | Paket annehmen | ||
| Logging: | gewünschte Loggingstufe auswählen | ||
| Gruppe: | gewünschter Gruppe hinzufügen | ||
| notempty Im Gegensatz zu IPv4 wird hier kein NAT benötigt!
| |||
| Auf , bzw. klicken, um die Portfilter-Regel abzuspeichern. | |||
| Auf klicken, damit die Portfilter-Regeln aktualisiert werden. | |||