Wechseln zu:Navigation, Suche
Wiki

UTM/NET/IPv6Prefix-Delegation: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Maltea (Diskussion | Beiträge)
support, Administratoren
166 Bearbeitungen
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{Set_lang}}
{{Set_lang}}


{{Rollout|14.1.0}}
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/NET/IPv6Prefix-Delegation.lang}}
{{:UTM/NET/IPv6Prefix-Delegation.lang}}
{{var | neu--Subnetz Hinweis
| [[#Übernahme_auf_Schnittstelle_durch_Router_Advertisement | Hinweis zur Vergabe der Subnetze]]
| [[#Transfer_to_interface_by_router_Advertisement | Note on the allocation of subnets]] }}


</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
Zeile 10: Zeile 15:
[[UTM/NET/IPv6Prefix-Delegation_v11.8 | 11.8]]
[[UTM/NET/IPv6Prefix-Delegation_v11.8 | 11.8]]
|{{Menu-UTM|Netzwerk|Netzwerkkonfiguration}}
|{{Menu-UTM|Netzwerk|Netzwerkkonfiguration}}
| zuletzt=08.2025
* {{#var:neu--Subnetz Hinweis}}
}}
}}
----
----
Zeile 49: Zeile 56:
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="8" | {{Bild| {{#var:Übernahme auf Schnittstelle durch Router Advertisement--Bild}} |{{#var:Übernahme auf Schnittstelle durch Router Advertisement--cap}}||{{#var:Ethernet-Schnittstelle bearbeiten}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| class="Bild" rowspan="7" | {{Bild| {{#var:Übernahme auf Schnittstelle durch Router Advertisement--Bild}} |{{#var:Übernahme auf Schnittstelle durch Router Advertisement--cap}}||{{#var:Ethernet-Schnittstelle bearbeiten}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|Name:}} || {{ic|LAN2|dr|class=available}} || {{#var:Name--desc}}
| {{b|Name:}} || {{ic|LAN2|dr|class=available}} || {{#var:Name--desc}}
Zeile 60: Zeile 67:
|-
|-
| {{b|IPv6 Prefix Delegation:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:IPv6 Prefix Delegation Extern--desc}}
| {{b|IPv6 Prefix Delegation:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:IPv6 Prefix Delegation Extern--desc}}
|- class="Leerzeile"
| colspan="3"| {{#var:IPv6 Prefix Verteilung}} <p>{{#var:Speichern--desc}}</p>
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3"| {{#var:IPv6 Prefix Verteilung}}
<p>{{Hinweis-box| {{#var:IPv6 Prefix Verteilung--Hinweis}} }}</p>
<p>{{#var:Speichern--desc}}</p>
| class="Bild" rowspan="1" | {{Bild| {{#var:Netzwerk Konfiguration Schnittstellen-Detail--Bild}} |{{#var:Netzwerk Konfiguration Schnittstellen-Detail--cap}}||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
| class="Bild" rowspan="1" | {{Bild| {{#var:Netzwerk Konfiguration Schnittstellen-Detail--Bild}} |{{#var:Netzwerk Konfiguration Schnittstellen-Detail--cap}}||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
|- class="Leerzeile"
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
| colspan="3" |  
Zeile 73: Zeile 83:
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="4" | {{Bild| {{#var:Default-Route hinzufügen--Bild}} |Default-Route||{{#var:Default-Route hinzufügen}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| class="Bild" rowspan="5" | {{Bild| {{#var:Default-Route hinzufügen--Bild}} |Default-Route||{{#var:Default-Route hinzufügen}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|{{#var:Gateway Typ}}:}} || {{Button|IP}}{{Button|{{#var:Schnittstelle}}|class=aktiv}}|| {{#var:Gateway Typ--desc}}
| {{b|{{#var:Gateway Typ}}:}} || {{Button|IP}}{{Button|{{#var:Schnittstelle}}|class=aktiv}}|| {{#var:Gateway Typ--desc}}
Zeile 87: Zeile 97:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | {{#var:Überprüfung--desc}}
| colspan="3" | {{#var:Überprüfung--desc}}
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|- class="Leerzeile"
|- class="Leerzeile"
{{:UTM/NET/PingIPv6}}
{{:UTM/NET/PingIPv6|Thead=true}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|

Version vom 22. August 2025, 16:04 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden
























































Dieses HowTo beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird.

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
Zuletzt aktualisiert: 
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Netzwerk Netzwerkkonfiguration


Einleitung

Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.:2001:0db8:aaaa:bb::/56) in /64 Netze aufzuteilen (z.B.:2001:0db8:aaaa:bb00::/64, 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist, aktiviert.

notempty
Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere /64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.



Konfiguration

In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden












Aktivierung der Prefix-Delegation

Im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen Schaltfläche muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden.
Im unteren Abschnitt des Reiters Allgemein:
Beschriftung Wert Beschreibung PPPoE-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Schnittstelle bearbeiten
IPv6: Ein
IPv6 Prefix Delegation: Ein Aktiviert die Prefix Delegation
Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen.

Auf Speichern und schließen klicken, damit die Änderungen übernommen werden.

Übernahme auf Schnittstelle durch Router Advertisement

Im Menü Netzwerk Netzwerkkonfiguration  Bereich Netzwerkschnittstellen muss die Schnittstelle, der das kleinere /64 Subnetz zugewiesen werden soll (z.B.: LAN2) konfiguriert werden:
Beschriftung Wert Beschreibung Ethernet-Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Schnittstelle bearbeiten Router Advertisement
Name: LAN2 Anzeige der ausgewählten Schnittstelle
DHCP Client: aus
Router Advertisement: Ein Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen
IPv6-Adressen vergeben: Ein Mit dieser Funktion wird aktiviert, dass der Router IPv6-Adressen verteilt
IPv6 Prefix Delegation: aus Prefix Delegation ist nur für externe Schnittstellen zulässig.
Es werden ausschließlich IPv6-Netzwerke aus einem delegierten Prefix auf ein Interface gelegt, wenn diese die Router Advertisement Funktion haben und keine fest konfigurierte IPv6-Adresse besitzen.

notempty

Die Subnetze werden der Reihe nach zugeordnet.
Wird nachträglich IPv6 über das Router Advertisement auf einer Schnittstelle de-/aktiviert oder werden weitere VLANs hinzugefügt wird die Zuordnung erneut durchgeführt. Durch die geänderte Reihenfolge erhalten die Schnittstellen anschließend ggf. neue Subnetze!

Auf Speichern und schließen klicken, damit die Änderungen übernommen werden.

 Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk Anzeige in der Netzwerkkonfiguration

Default-Route hinzufügen

Damit die IPv6-Adressen geroutet werden können, muss unter Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche Default-Route hinzufügen eine Default-Route hinzugefügt werden.
Beschriftung Wert Beschreibung Default-Route hinzufügen UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Default-Route
Gateway Typ: IPSchnittstelle Der Typ des Gateways
Gateway: wan0 Die ausgewählte Schnittstelle
IPv6: Ein

Überprüfung

Unter Tool-Leiste:   23:59 (Netzwerkwerkzeuge) Reiter Ping wird ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet), durchgeführt. Dies überprüft, ob das Routing einwandfrei funktioniert.
Einstellungen
Beschriftung Wert Beschreibung
IPv6 Ping-Test
IPv6 Ein Aktivieren, damit IPv6 überhaupt verwendet wird
IPv6 Ping-Test
Quelle: 2001:db08:aaaa:bbb00::1 Auswahl der IPv6-Adresse, mit der gepingt werden soll
Ziel: k.root-servers.net Ziel-Name oder IP-Adresse
Senden Ping-Test starten
Antwort
Der Root-Server k.root-servers.net des Ripe NCC sollte wie nebenstehend abgebildet antworten


Paketfilterregeln anpassen

notempty
Bei Verwendung von IPv6 müssen alle Paketfilterregeln zusätzlich für IPv6 erstellt werden.

IPv6 Netzwerkobjekte anlegen

Externe Zone
Anlegen der Internet-Zone für IPv6 unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen.
Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkkonfiguration Netzwerkobjekt Internet_v6
Name: Internet_v6 Eindeutige Bezeichnung
Typ: Netzwerk (Adresse)
Adresse: ::/0 Das gesamte Internet
Zone: external_v6 notempty
Die Zone muss der entsprechenden Schnittstelle zugeordnet sein
Gruppe:     Das Netzwerkobjekt kann ggf. einer Gruppe zugeordnet werden
Auf Speichern und schließen klicken, damit die Änderungen übernommen werden.
Interne Zone
Konfiguration des internen Netzwerk-Objektes:
Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkkonfiguration Internes IPv6-Netzwerkobjekt
Name: Internal_Network_v6 Eindeutige Bezeichnung
Typ: Netzwerk (Schnittstelle) Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk (Schnittstelle)
Schnittstelle: LAN2 Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll
Zone: internal_v6
Gruppe:     Das Netzwerkobjekt kann ggf. einer Gruppe zugeordnet werden
Auf Speichern und schließen klicken, damit die Änderungen übernommen werden.

Paketfilter Regel hinzufügen

notempty
Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.
Jetzt kann unter Firewall Paketfilter  Schaltfläche Regel hinzufügen eine Regel angelegt werden:
Beschriftung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilter Regel für IPv6
Aktiv: Ein
Quelle: Internal_Network_v6 Quell-Netzwerk
Ziel: Internet_v6 Ziel-Netzwerk
Dienst: default-internet gewünschten Dienst oder Dienstgruppe auswählen
Aktion: Accept Paket annehmen
Logging: Short - Drei Einträge pro Minute protokollieren gewünschte Loggingstufe auswählen
Gruppe: IPv6 Regeln gewünschter Gruppe hinzufügen
notempty
Im Gegensatz zu IPv4 wird hier kein NAT benötigt!
Auf Speichern, bzw. Speichern und schließen klicken, um die Paketfilter-Regel abzuspeichern.
Auf Regeln aktualisieren klicken, damit die Paketfilter-Regeln aktualisiert werden.
Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/IPv6Prefix-Delegation&oldid=97932