Wechseln zu:Navigation, Suche
Wiki

UTM/NET/IPv6Prefix-Delegation v11.8: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Zeile 38: Zeile 38:
<br clear=all>
<br clear=all>


===Überprüfung===
====Überprüfung====
{{ pt | UTM_v11-8_Netzwerk_Netzwerkwerkzeuge_Ping-IPv6.png | IPv6 Ping-Test}}Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden. <br>
{{ pt | UTM_v11-8_Netzwerk_Netzwerkwerkzeuge_Ping-IPv6.png | IPv6 Ping-Test}}Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden. <br>


Version vom 6. Februar 2019, 14:24 Uhr


Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird
Letzte Anpassung: Neue Funktion in 11.8

Neue Funktion in 11.8

Wird vom Provider ein größeres IPv6 Netz zugewiesen (z. B.: / 56 ), muss dieses in / 64 Subnetze aufgeteilt werden. Dieses wird jetzt von der UTM übernommen.


Einleitung

Es ist möglich, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:db80:aaaa:bb::/56 ) durch Prefix-Delegation in /64 Netze aufzuteilen (z.B.: 2001:db80:aaaa:bb00::/64 , 2001:db80:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix ein IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:db80:aaaa:bb00::1/64.

Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.


Konfiguration

Aktivierung der Prefix-Delegation

Schnittstelle bearbeiten

Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:

Im unteren Abschnitt des Reiters Allgemein :

IPv6
Ein aktivieren, damit IPv6 überhaupt verwendet wird
IPv6 Prefix Delegation:
Ein aktiviert die Prefix Delegation


Speichern


Übernahme auf Schnittstelle durch Router Advertisement

Schnittstelle bearbeiten Router Advertisement

Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:

Name:
eth1 ( Anzeige der ausgewählten Schnittstelle]
DHCP Client:
aus
Router Advertisement:
Ein Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen

Speichern


Anzeige in der Netzwerkkonfiguration


Default-Route hinzufügen

Default-Route

Damit die IPv6-Adressen geroutet werden können, muss unter → Netzwerk →Netzwerkkonfiguration Routing mit + Default-Route hinzugen eine Default-Route hinzugefügt werden.


Überprüfung

IPv6 Ping-Test

Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter → Netzwerk →Netzwerkwerkzeuge ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.

Einstelungen
IPv6
Ein Muss zuerst aktiviert werden, dann lässt sich eine IPv6-Quelle auswählen
Quelle
Auswahl der IPv6-Adresse mit der gepingt werden soll.
Ziel
Ziel-Name oder IP-Adresse. k.dns-zone.net


Mit Senden wird der Ping-Test gestartet.

Antwort

Der Root-Server k.dns-zone.net des Ripe NCC sollte wie nebenstehend abgebildet mit der IP 2001:7fd::1 antworten.


Portfilterregeln anpassen

Bei Verwendung von IPv6 müssen alle Portfilterregeln angepasst werden!

IPv6 Netzwerkobjekte anlegen

Externe Zone
Netzwerkobjekt internet_v6

Anlegen der Internet-Zone für IPv6 unter → Firewall →Portfilter Netzwerkobjekte mit + Objekt hinzufügen

Name:
Internet_v6 Eindeutige Bezeichnung
Typ:
Netzwerk (Adresse)
Adresse:
 ::/0 (Das gesamte Internet)
Zone:
external_v6 Wichtig: Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
Gruppe
sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.

Speichern


Interne Zone
Internes IPv6-Netzwerkobjekt

Konfiguration des internen Netzwerk-Objektes:

Name:
Internal_Network_v6 Eindeutige Bezeichnung
Typ:
Netzwerk (Schnittstelle) Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle).
Adresse:
eth1 Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll.
Zone:
internal_v6
Gruppe
ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll.

Speichern


Portfilter Regel hinzufügen

Portfilter Regel für IPv6

Jetzt kann unter → Firewall →Portfilter + Regel hinzufügen eine Regel angelegt werden:

Aktion
Accept
Logging
gewünschte Loggingstufe auswählen
Gruppe
gewünschter Gruppe hinzufügen
Quelle
Internal_Network_v6
Ziel
Internet_v6
Dienst
gewünschten Dienst oder Dienstgruppe auswählen

Im Gegensatz zu IPv4 wird hier kein NAT benötigt!

Hinzufügen und schließen

‣ Regeln aktualisieren

Es müssen alle Netzwerkobjekte mit allen gewünschten Diensten wie unter IPv4 neu angelegt werden!

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/IPv6Prefix-Delegation_v11.8&oldid=28778