Zeile 63: | Zeile 63: | ||
{{ td | {{ b | Gruppe}} | sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.}} | {{ td | {{ b | Gruppe}} | sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.}} | ||
<p>{{ Button | Speichern}}</p> | <p>{{ Button | Speichern}}</p> | ||
<br clear=all> | |||
=====Interne Zone===== | =====Interne Zone===== | ||
{{ pt | UTM_11-8_Firewall_Netzwerkobjekte_internal-network-v6.png | Internes IPv6-Netzwerkobjekt}}Konfiguration des internen Netzwerk-Objektes: | {{ pt | UTM_11-8_Firewall_Netzwerkobjekte_internal-network-v6.png | Internes IPv6-Netzwerkobjekt}}Konfiguration des internen Netzwerk-Objektes: | ||
{{ td | {{ b | Name | {{ td | {{ b | Name |
Version vom 6. Februar 2019, 14:56 Uhr
Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird
Letzte Anpassung: Neue Funktion in 11.8
Neue Funktion in 11.8
Wird vom Provider ein größeres IPv6 Netz zugewiesen (z. B.: / 56 ), muss dieses in / 64 Subnetze aufgeteilt werden. Dieses wird jetzt von der UTM übernommen.
Einleitung
Es ist möglich, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:db80:aaaa:bb::/56 ) durch Prefix-Delegation in /64 Netze aufzuteilen (z.B.: 2001:db80:aaaa:bb00::/64 , 2001:db80:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix ein IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:db80:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.
Konfiguration
Aktivierung der Prefix-Delegation
Im Menü Netzwerkschnittstellen muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:
Im unteren Abschnitt des Reiters Allgemein :
- IPv6
- Ein aktivieren, damit IPv6 überhaupt verwendet wird
- IPv6 Prefix Delegation:
- Ein aktiviert die Prefix Delegation
Übernahme auf Schnittstelle durch Router Advertisement
Im Menü Netzwerkschnittstellen muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:
- Name:
- eth1 ( Anzeige der ausgewählten Schnittstelle]
- DHCP Client:
- Router Advertisement:
- Ein Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen
Default-Route hinzufügen
Damit die IPv6-Adressen geroutet werden können, muss unter Routing mit eine Default-Route hinzugefügt werden.
Überprüfung
Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.
- IPv6
- Ein Muss zuerst aktiviert werden, dann lässt sich eine IPv6-Quelle auswählen
- Quelle
- Auswahl der IPv6-Adresse mit der gepingt werden soll.
- Ziel
- Ziel-Name oder IP-Adresse.
k.dns-zone.net
Mit
wird der Ping-Test gestartet.Der Root-Server k.dns-zone.net des Ripe NCC sollte wie nebenstehend abgebildet mit der IP 2001:7fd::1 antworten.
Portfilterregeln anpassen
Bei Verwendung von IPv6 müssen alle Portfilterregeln angepasst werden!
IPv6 Netzwerkobjekte anlegen
Externe Zone
Anlegen der Internet-Zone für IPv6 unter Netzwerkobjekte mit
- Name:
Internet_v6
Eindeutige Bezeichnung
- Typ:
- Adresse:
::/0
(Das gesamte Internet)
- Zone:
- Wichtig: Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
- Gruppe
- sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.
Interne Zone
Konfiguration des internen Netzwerk-Objektes:
{{ td | {{ b | Name