| colspan="3" | Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.
| colspan="3" | Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.
|}
|- class=nonoborder
{{:UTM/NET/PingIPv6}}
{{:UTM/NET/PingIPv6_v12.2}}
<br clear=all>
{| class="blank pd5 zh1"
|-
|-
| colspan="3" |
| colspan="3" |
=== Portfilterregeln anpassen ===
=== Portfilterregeln anpassen ===
{{Hinweis | Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!}}
{{Hinweis | Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!}}
Aktuelle Version vom 20. Februar 2024, 11:56 Uhr
notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!
Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird
Letzte Anpassung: Neue Funktion in 11.8
Bemerkung
Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.
Einleitung
Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.
Konfiguration
Aktivierung der Prefix-Delegation
Schnittstelle bearbeiten
Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:
Im unteren Abschnitt des Reiters Allgemein :
IPv6
Ein
aktivieren, damit IPv6 überhaupt verwendet wird
IPv6 Prefix Delegation:
Ein
aktiviert die Prefix Delegation
Speichern
Übernahme auf Schnittstelle durch Router Advertisement
Schnittstelle bearbeiten Router Advertisement
Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:
Name:
eth1
(Anzeige der ausgewählten Schnittstelle)
DHCP Client:
aus
Router Advertisement:
Ein
Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen
Speichern
Anzeige in der Netzwerkkonfiguration
Default-Route hinzufügen
Default-Route.
Damit die IPv6-Adressen geroutet werden können, muss unter → Netzwerk →Netzwerkkonfiguration Routing mit + Default-Route hinzugen eine Default-Route hinzugefügt werden.
Überprüfung
Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter → Netzwerk →Netzwerkwerkzeuge ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.
Einstellungen
Quelle:
2001:db08:aaaa:bbb00::1
Auswahl der IPv6-Adresse, mit der gepingt werden soll
IPv6 Ping-Test
Ziel:
k.root-servers.net
Ziel-Name oder IP-Adresse
IPv6
Ein
Senden
Ping-Test starten
Antwort
Der Root-Server k.root-servers.net des Ripe NCC sollte, wie nebenstehend abgebildet, mit der IP 2001:7fd::1 antworten
Portfilterregeln anpassen
Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!
IPv6 Netzwerkobjekte anlegen
Externe Zone
Anlegen der Internet-Zone für IPv6 unter → Firewall →Portfilter Netzwerkobjekte mit + Objekt hinzufügen
Netzwerkobjekt internet_v6
Name:
Internet_v6
Eindeutige Bezeichnung
Typ:
Netzwerk (Adresse)
::/0
(Das gesamte Internet)
Zone:
external_v6
Wichtig:Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
Gruppe
sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.
Speichern
Interne Zone
Konfiguration des internen Netzwerk-Objektes:
Internes IPv6-Netzwerkobjekt
Name:
Internal_Network_v6
Eindeutige Bezeichnung
Typ:
Netzwerk (Schnittstelle)
Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle).
Schnittstelle:
eth1
Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll.
Zone:
internal_v6
Gruppe
ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll.
Speichern
Portfilter Regel hinzufügen
Jetzt kann unter → Firewall →Portfilter + Regel hinzufügen eine Regel angelegt werden:
Portfilter Regel für IPv6
Aktion
Accept
Paket annehmen
Logging
Short
gewünschte Loggingstufe auswählen
Gruppe
IPv6 Regeln
gewünschter Gruppe hinzufügen
Quelle
Internal_Network_v6
Quell-Netzwerk
Ziel
Internet_v6
Ziel-Netzwerk
Dienst
gewünschten Dienst oder Dienstgruppe auswählen
Im Gegensatz zu IPv4 wird hier kein NAT benötigt!
Hinzufügen
Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.