Wechseln zu:Navigation, Suche
Wiki

UTM/NET/IPv6Prefix-Delegation v11.8: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{DISPLAYTITLE:IPv6 Prefix Delegation über PPPOE}}
{{Set_lang}}
{{TOC | mw=30%}}
 
{{#vardefine:headerIcon|spicon-utm}}
 
</div>{{DISPLAYTITLE:IPv6 Prefix Delegation über PPPOE}}{{TOC2}}
'''Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird''' <br>
'''Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird''' <br>
Letzte Anpassung: Neue Funktion in '''11.8'''<br>
Letzte Anpassung: Neue Funktion in '''11.8'''<br>
{{ td | Bemerkung | <p>{{Hinweis | Neue Funktion in 11.8 | 11.8}}</p>
 
Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und  in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen. |w=80px}}
{{ cl | Bemerkung | Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und  in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen. |w=100px}}
 
 
----
----


Zeile 10: Zeile 16:
<p>Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 )  in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem  Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.</p>
<p>Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 )  in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem  Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.</p>
<p>Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.</p>
<p>Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.</p>
<br clear=all>


===Konfiguration===
===Konfiguration===
{| class="blank pd5 zh1"
|-
| colspan="3" |
====Aktivierung der Prefix-Delegation====
====Aktivierung der Prefix-Delegation====
{{ pt | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten_.png | Schnittstelle bearbeiten }}Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen}} muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:<p></p>
| class="Bild" rowspan="6" | {{Bild | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten_.png |Schnittstelle bearbeiten}}
|-
| colspan="3" | Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen}} muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:<p></p>
<p>Im unteren Abschnitt des Reiters {{ Reiter | Allgemein}} :</p>
<p>Im unteren Abschnitt des Reiters {{ Reiter | Allgemein}} :</p>
{{ td | {{ b | IPv6}} | {{ ButtonAn |Ein}} aktivieren, damit IPv6 überhaupt verwendet wird}}
|-
{{ td | {{ b |  IPv6 Prefix Delegation:}} |  {{ ButtonAn |Ein}} aktiviert die Prefix Delegation }}<br>
| {{ b | IPv6}} || {{ ButtonAn |Ein}} || aktivieren, damit IPv6 überhaupt verwendet wird
{{ Button | Speichern }}
|-
 
| {{ b |  IPv6 Prefix Delegation:}} ||  {{ ButtonAn |Ein}} || aktiviert die Prefix Delegation
<br clear=all>
|-
 
| colspan="3" | {{ Button | Speichern }}
====Übernahme auf Schnittstelle durch Router Advertisement====
|- class="Leerzeile"
{{ pt | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten-eth1.png | Schnittstelle bearbeiten Router Advertisement}}Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen }} muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:
|
{{ td | {{ b | Name: }} | eth1 ( Anzeige der ausgewählten Schnittstelle] }}
|-
{{ td | {{ b |  DHCP Client: }} | {{ MenuD | aus}} }}
| colspan="3" |
{{ td | {{ b |  Router Advertisement: }} | {{ ButtonAn |Ein}} Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen }}
==== Übernahme auf Schnittstelle durch Router Advertisement ====
{{Button | Speichern }}
| class="Bild" rowspan="7" | {{Bild | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten-eth1.png | Schnittstelle bearbeiten Router Advertisement}}
 
|-
 
| colspan="3" | Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen }} muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:
{{ pt  | UTM v11-8 Netzwerk Konfiguration Schnittstellen-Detail.png|hochkant=2.5 | Anzeige in der Netzwerkkonfiguration}}  
|-
<br clear=all>
| {{ b | Name: }} || eth1 || (Anzeige der ausgewählten Schnittstelle)
 
|-
| {{ b |  DHCP Client: }} || {{ MenuD | aus}}  
|-
| {{ b |  Router Advertisement: }} || {{ ButtonAn |Ein}} || Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen
|-
| {{Button | Speichern }}
|- class="Leerzeile"
|
|-
| colspan="3" |
| class="Bild" rowspan="1" | {{Bild | UTM v11-8 Netzwerk Konfiguration Schnittstellen-Detail.png | Anzeige in der Netzwerkkonfiguration}}  
|-
| colspan="3" |
====Default-Route hinzufügen====
====Default-Route hinzufügen====
{{ pt | UTM_v11-8_Netzwerkkonfiguration_Routing_Default-IPv6.png | hochkant=1 | Default-Route}}Damit die IPv6-Adressen geroutet werden können, muss unter {{ Menu | Netzwerk | Netzwerkkonfiguration}} {{Reiter | Routing }} mit {{ Button | + Default-Route hinzugen}} eine Default-Route hinzugefügt werden.
| class="Bild" rowspan="3" | {{Bild |UTM_v11-8_Netzwerkkonfiguration_Routing_Default-IPv6.png | Default-Route.}}
<br clear=all>
|-
 
| colspan="3" | Damit die IPv6-Adressen geroutet werden können, muss unter {{ Menu | Netzwerk | Netzwerkkonfiguration}} {{Reiter | Routing }} mit {{ Button | + Default-Route hinzugen}} eine Default-Route hinzugefügt werden.
====Überprüfung====
|- class="Leerzeile"
Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.
|
{{:Neu/UTM/NET/PingIPv6}}
|-
| colspan="3" |
==== Überprüfung ====
|-
| colspan="3" | Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.
|}
{{:UTM/NET/PingIPv6}}
<br clear=all>
<br clear=all>
{| class="blank pd5 zh1"
|-
| colspan="3" |
=== Portfilterregeln anpassen ===
{{Hinweis | Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!}}


===Portfilterregeln anpassen===
{{Hinweis | Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!}}
====IPv6 Netzwerkobjekte anlegen====
====IPv6 Netzwerkobjekte anlegen====
|-
| colspan="3" |
=====Externe Zone=====
=====Externe Zone=====
{{ pt | UTM_11-8_Firewall_Netzwerkobjekte_internet_v6.png | hochkant=1 | Netzwerkobjekt internet_v6}}Anlegen der Internet-Zone für IPv6 unter {{Menu | Firewall | Portfilter }} {{ Reiter | Netzwerkobjekte}} mit {{ Button | + Objekt hinzufügen }}<br>
Anlegen der Internet-Zone für IPv6 unter {{Menu | Firewall | Portfilter }} {{ Reiter | Netzwerkobjekte}} mit {{ Button | + Objekt hinzufügen }}
{{ td | {{ b | Name: }} | <code>Internet_v6</code> Eindeutige Bezeichnung}}
| class="Bild" rowspan="8" | {{Bild | UTM_11-8_Firewall_Netzwerkobjekte_internet_v6.png | Netzwerkobjekt internet_v6}}
{{ td | {{ b | Typ: }} | {{ MenuD | Netzwerk (Adresse)}} }}
|-
{{ td | {{ b | Adresse:}} | <code> ::/0 </code> (Das gesamte Internet)}}
| {{ b | Name: }} || {{code|Internet_v6}} || Eindeutige Bezeichnung
{{ td | {{ b | Zone:}} | {{ MenuD | external_v6}} {{Hinweis |Wichtig: | gelb}}Die Zone muss der entsprechenden Schnittstelle zugeordnet sein! }}
|-
{{ td | {{ b | Gruppe}} | sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.}}
| {{ b | Typ: }} || {{ MenuD | Netzwerk (Adresse)}} ||
<p>{{ Button | Speichern}}</p>
|-
 
| {{ b | Adresse:}} | {{code|::/0}} || (Das gesamte Internet)
<br clear=all>
|-
 
| {{ b | Zone:}} || {{ MenuD | external_v6}} || {{Hinweis |Wichtig: | gelb}}Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
=====Interne Zone=====
|-
{{ pt | UTM_11-8_Firewall_Netzwerkobjekte_internal-network-v6.png | hochkant=1 | Internes IPv6-Netzwerkobjekt}}Konfiguration des internen Netzwerk-Objektes:
| {{ b | Gruppe}} || {{ic| }} |sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.
{{ td | {{ b | Name: }} | <code>Internal_Network_v6</code> Eindeutige Bezeichnung}}
|-
{{ td | {{ b | Typ: }} | {{ MenuD | Netzwerk (Schnittstelle)}} Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle). }}
| {{ Button | Speichern}}
{{ td | {{ b | Adresse:}} | <code> eth1 </code> Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll.}}
|- class="Leerzeile"
{{ td | {{ b | Zone:}} | {{ MenuD | internal_v6}} }}
|
{{ td | {{ b | Gruppe}} | ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll.}}
|-
<p>{{ Button | Speichern}}</p>
| colspan="3" |
<br clear=all>
===== Interne Zone =====
 
Konfiguration des internen Netzwerk-Objektes:
| class="Bild" rowspan="" | {{Bild | UTM_11-8_Firewall_Netzwerkobjekte_internal-network-v6.png | Internes IPv6-Netzwerkobjekt}}
|-
| {{ b | Name: }} || {{ic|Internal_Network_v6}} || Eindeutige Bezeichnung
|-
| {{ b | Typ: }} || {{ MenuD | Netzwerk (Schnittstelle)}} || Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle).
|-
| {{ b | Schnittstelle:}} ||  {{MenuD| eth1}} || Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll.
|-
| {{ b | Zone:}} || {{ MenuD | internal_v6}}  
|-
| {{ b | Gruppe}} || {{MenuD| }} || ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll.
|-
| {{ Button | Speichern}}
|- class="Leerzeile"
|
|-
| colspan="3" |
====Portfilter Regel hinzufügen====
====Portfilter Regel hinzufügen====
 
Jetzt kann unter {{ Menu | Firewall | Portfilter }} {{ Button | + Regel hinzufügen}} eine Regel angelegt werden:
{{ pt | UTM_11-8_Firewall_Portfilter_Regel-IPv6.png | Portfilter Regel für IPv6}}Jetzt kann unter {{ Menu | Firewall | Portfilter }} {{ Button | + Regel hinzufügen}} eine Regel angelegt werden:
| class="Bild" rowspan="10" | {{Bild| UTM_11-8_Firewall_Portfilter_Regel-IPv6.png | Portfilter Regel für IPv6}}
{{ td | {{ Kasten | Aktion}} | {{ MenuD | Accept}} }}
|-
{{ td | {{ Kasten | Logging}} | gewünschte Loggingstufe auswählen }}
| {{ Kasten | Aktion}} |{{ MenuD | Accept}} || Paket annehmen
{{ td | {{ Kasten | Gruppe }} | gewünschter Gruppe hinzufügen }}
|-
{{ td | {{ Kasten | Quelle }} | Internal_Network_v6 }}
| {{ Kasten | Logging}} || {{MenuD|Short}} || gewünschte Loggingstufe auswählen
{{ td | {{ Kasten | Ziel }} | Internet_v6 }}
|-
{{ td | {{ Kasten | Dienst }} | gewünschten Dienst oder Dienstgruppe auswählen }}
| {{ Kasten | Gruppe }} || {{MenuD|IPv6 Regeln}} || gewünschter Gruppe hinzufügen
<p>{{ Hinweis | Im Gegensatz zu IPv4 wird hier kein NAT benötigt! | gelb }}</p>
|-
<p>{{ Button | Hinzufügen }}</p>
| {{ Kasten | Quelle }} || Internal_Network_v6 || Quell-Netzwerk
|-
| {{ Kasten | Ziel }} || Internet_v6 || Ziel-Netzwerk
|-
| {{ Kasten | Dienst }} ||  || gewünschten Dienst oder Dienstgruppe auswählen  
|-
| colspan="3" | {{ Hinweis | Im Gegensatz zu IPv4 wird hier kein NAT benötigt! | gelb }}
|-
| {{ Button | Hinzufügen }}  
|- class="Leerzeile"
|
|}
<p>{{ Hinweis | !! Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden. }}</p>
<p>{{ Hinweis | !! Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden. }}</p>
<p>{{ Button | Schließen }}</p>
<p>{{ Button | Schließen }}</p>

Version vom 9. Juni 2021, 19:18 Uhr





























Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird

Letzte Anpassung: Neue Funktion in 11.8

Bemerkung

Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen.


Einleitung

Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.

Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.


Konfiguration

Aktivierung der Prefix-Delegation

 UTM v11-8 Netzwerk Konfiguration Schnittstellen-bearbeiten .png
Schnittstelle bearbeiten
Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:

Im unteren Abschnitt des Reiters Allgemein :

IPv6 Ein aktivieren, damit IPv6 überhaupt verwendet wird
IPv6 Prefix Delegation: Ein aktiviert die Prefix Delegation
Speichern

Übernahme auf Schnittstelle durch Router Advertisement

 UTM v11-8 Netzwerk Konfiguration Schnittstellen-bearbeiten-eth1.png
Schnittstelle bearbeiten Router Advertisement
Im Menü → Netzwerk →Netzwerkkonfiguration Netzwerkschnittstellen muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden:
Name: eth1 (Anzeige der ausgewählten Schnittstelle)
DHCP Client: aus
Router Advertisement: Ein Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen
Speichern
UTM v11-8 Netzwerk Konfiguration Schnittstellen-Detail.png
Anzeige in der Netzwerkkonfiguration

Default-Route hinzufügen

 UTM v11-8 Netzwerkkonfiguration Routing Default-IPv6.png
Default-Route.
Damit die IPv6-Adressen geroutet werden können, muss unter → Netzwerk →Netzwerkkonfiguration Routing mit + Default-Route hinzugen eine Default-Route hinzugefügt werden.

Überprüfung

Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter → Netzwerk →Netzwerkwerkzeuge ein Ping auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden.










| colspan="3" |

Einstellungen

|- | Quelle: || 2001:db08:aaaa:bbb00::1 || Auswahl der IPv6-Adresse, mit der gepingt werden soll | class="Bild" rowspan="6" | Netzwerkwerkzeuge UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 PingIPv6 Ping.png IPv6 Ping-Test |- | Ziel: || k.root-servers.net || Ziel-Name oder IP-Adresse |- | IPv6 || Ein || |- | Senden || || Ping-Test starten |-

|

Antwort

|| || Der Root-Server k.root-servers.net des Ripe NCC sollte, wie nebenstehend abgebildet, mit der IP 2001:7fd::1 antworten

|- class="Leerzeile" |


Portfilterregeln anpassen

Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!

IPv6 Netzwerkobjekte anlegen

Externe Zone

Anlegen der Internet-Zone für IPv6 unter → Firewall →Portfilter Netzwerkobjekte mit + Objekt hinzufügen

UTM 11-8 Firewall Netzwerkobjekte internet v6.png
Netzwerkobjekt internet_v6
Name: Internet_v6 Eindeutige Bezeichnung
Typ: Netzwerk (Adresse)
::/0 (Das gesamte Internet)
Zone: external_v6 Wichtig: Die Zone muss der entsprechenden Schnittstelle zugeordnet sein!
Gruppe     sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden.
Speichern
Interne Zone

Konfiguration des internen Netzwerk-Objektes:

UTM 11-8 Firewall Netzwerkobjekte internal-network-v6.png
Internes IPv6-Netzwerkobjekt
Name: Internal_Network_v6 Eindeutige Bezeichnung
Typ: Netzwerk (Schnittstelle) Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle).
Schnittstelle: eth1 Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll.
Zone: internal_v6
Gruppe ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll.
Speichern

Portfilter Regel hinzufügen

Jetzt kann unter → Firewall →Portfilter + Regel hinzufügen eine Regel angelegt werden:

UTM 11-8 Firewall Portfilter Regel-IPv6.png
Portfilter Regel für IPv6
Aktion
 Accept Paket annehmen
Logging
 Short gewünschte Loggingstufe auswählen
Gruppe
IPv6 Regeln gewünschter Gruppe hinzufügen
Quelle
Internal_Network_v6 Quell-Netzwerk
Ziel
Internet_v6 Ziel-Netzwerk
Dienst
gewünschten Dienst oder Dienstgruppe auswählen
Im Gegensatz zu IPv4 wird hier kein NAT benötigt!
Hinzufügen

Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.

Schließen

‣ Regeln aktualisieren


Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/NET/IPv6Prefix-Delegation_v11.8&oldid=79883