K (Lauritzl verschob die Seite Neu/UTM/NET/IPv6Prefix-Delegation nach UTM/NET/IPv6Prefix-Delegation) |
KKeine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
{{DISPLAYTITLE:IPv6 Prefix Delegation über PPPOE}} | {{Set_lang}} | ||
{{ | |||
{{#vardefine:headerIcon|spicon-utm}} | |||
</div>{{DISPLAYTITLE:IPv6 Prefix Delegation über PPPOE}}{{TOC2}} | |||
'''Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird''' <br> | '''Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird''' <br> | ||
Letzte Anpassung: Neue Funktion in '''11.8'''<br> | Letzte Anpassung: Neue Funktion in '''11.8'''<br> | ||
{{ | |||
Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen. |w= | {{ cl | Bemerkung | Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen. |w=100px}} | ||
---- | ---- | ||
Zeile 10: | Zeile 16: | ||
<p>Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.</p> | <p>Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.</p> | ||
<p>Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.</p> | <p>Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.</p> | ||
<br clear=all> | |||
===Konfiguration=== | ===Konfiguration=== | ||
{| class="blank pd5 zh1" | |||
|- | |||
| colspan="3" | | |||
====Aktivierung der Prefix-Delegation==== | ====Aktivierung der Prefix-Delegation==== | ||
{{ | | class="Bild" rowspan="6" | {{Bild | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten_.png |Schnittstelle bearbeiten}} | ||
|- | |||
| colspan="3" | Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen}} muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:<p></p> | |||
<p>Im unteren Abschnitt des Reiters {{ Reiter | Allgemein}} :</p> | <p>Im unteren Abschnitt des Reiters {{ Reiter | Allgemein}} :</p> | ||
|- | |||
| {{ b | IPv6}} || {{ ButtonAn |Ein}} || aktivieren, damit IPv6 überhaupt verwendet wird | |||
{{ Button | Speichern }} | |- | ||
| {{ b | IPv6 Prefix Delegation:}} || {{ ButtonAn |Ein}} || aktiviert die Prefix Delegation | |||
|- | |||
| colspan="3" | {{ Button | Speichern }} | |||
====Übernahme auf Schnittstelle durch Router Advertisement==== | |- class="Leerzeile" | ||
{{ | | | ||
|- | |||
| colspan="3" | | |||
==== Übernahme auf Schnittstelle durch Router Advertisement ==== | |||
{{Button | Speichern }} | | class="Bild" rowspan="7" | {{Bild | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten-eth1.png | Schnittstelle bearbeiten Router Advertisement}} | ||
|- | |||
| colspan="3" | Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen }} muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden: | |||
{{ | |- | ||
| {{ b | Name: }} || eth1 || (Anzeige der ausgewählten Schnittstelle) | |||
|- | |||
| {{ b | DHCP Client: }} || {{ MenuD | aus}} | |||
|- | |||
| {{ b | Router Advertisement: }} || {{ ButtonAn |Ein}} || Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen | |||
|- | |||
| {{Button | Speichern }} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| colspan="3" | | |||
| class="Bild" rowspan="1" | {{Bild | UTM v11-8 Netzwerk Konfiguration Schnittstellen-Detail.png | Anzeige in der Netzwerkkonfiguration}} | |||
|- | |||
| colspan="3" | | |||
====Default-Route hinzufügen==== | ====Default-Route hinzufügen==== | ||
{{ | | class="Bild" rowspan="3" | {{Bild |UTM_v11-8_Netzwerkkonfiguration_Routing_Default-IPv6.png | Default-Route.}} | ||
|- | |||
| colspan="3" | Damit die IPv6-Adressen geroutet werden können, muss unter {{ Menu | Netzwerk | Netzwerkkonfiguration}} {{Reiter | Routing }} mit {{ Button | + Default-Route hinzugen}} eine Default-Route hinzugefügt werden. | |||
====Überprüfung==== | |- class="Leerzeile" | ||
Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden. | | | ||
{{: | |- | ||
| colspan="3" | | |||
==== Überprüfung ==== | |||
|- | |||
| colspan="3" | Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden. | |||
|} | |||
{{:UTM/NET/PingIPv6}} | |||
<br clear=all> | <br clear=all> | ||
{| class="blank pd5 zh1" | |||
|- | |||
| colspan="3" | | |||
=== Portfilterregeln anpassen === | |||
{{Hinweis | Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!}} | |||
====IPv6 Netzwerkobjekte anlegen==== | ====IPv6 Netzwerkobjekte anlegen==== | ||
|- | |||
| colspan="3" | | |||
=====Externe Zone===== | =====Externe Zone===== | ||
Anlegen der Internet-Zone für IPv6 unter {{Menu | Firewall | Portfilter }} {{ Reiter | Netzwerkobjekte}} mit {{ Button | + Objekt hinzufügen }} | |||
{{ | | class="Bild" rowspan="8" | {{Bild | UTM_11-8_Firewall_Netzwerkobjekte_internet_v6.png | Netzwerkobjekt internet_v6}} | ||
|- | |||
| {{ b | Name: }} || {{code|Internet_v6}} || Eindeutige Bezeichnung | |||
|- | |||
{{ | | {{ b | Typ: }} || {{ MenuD | Netzwerk (Adresse)}} || | ||
|- | |||
| {{ b | Adresse:}} | {{code|::/0}} || (Das gesamte Internet) | |||
|- | |||
| {{ b | Zone:}} || {{ MenuD | external_v6}} || {{Hinweis |Wichtig: | gelb}}Die Zone muss der entsprechenden Schnittstelle zugeordnet sein! | |||
=====Interne Zone===== | |- | ||
{{ | | {{ b | Gruppe}} || {{ic| }} || sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden. | ||
|- | |||
| {{ Button | Speichern}} | |||
|- class="Leerzeile" | |||
| | |||
{{ | |- | ||
| colspan="3" | | |||
===== Interne Zone ===== | |||
Konfiguration des internen Netzwerk-Objektes: | |||
| class="Bild" rowspan="" | {{Bild | UTM_11-8_Firewall_Netzwerkobjekte_internal-network-v6.png | Internes IPv6-Netzwerkobjekt}} | |||
|- | |||
| {{ b | Name: }} || {{ic|Internal_Network_v6}} || Eindeutige Bezeichnung | |||
|- | |||
| {{ b | Typ: }} || {{ MenuD | Netzwerk (Schnittstelle)}} || Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle). | |||
|- | |||
| {{ b | Schnittstelle:}} || {{MenuD| eth1}} || Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll. | |||
|- | |||
| {{ b | Zone:}} || {{ MenuD | internal_v6}} | |||
|- | |||
| {{ b | Gruppe}} || {{MenuD| }} || ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll. | |||
|- | |||
| {{ Button | Speichern}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| colspan="3" | | |||
====Portfilter Regel hinzufügen==== | ====Portfilter Regel hinzufügen==== | ||
Jetzt kann unter {{ Menu | Firewall | Portfilter }} {{ Button | + Regel hinzufügen}} eine Regel angelegt werden: | |||
| class="Bild" rowspan="10" | {{Bild| UTM_11-8_Firewall_Portfilter_Regel-IPv6.png | Portfilter Regel für IPv6}} | |||
{{ | |- | ||
{{ | | {{ Kasten | Aktion}} || {{ MenuD | Accept}} || Paket annehmen | ||
{{ | |- | ||
| {{ Kasten | Logging}} || {{MenuD|Short}} || gewünschte Loggingstufe auswählen | |||
|- | |||
| {{ Kasten | Gruppe }} || {{MenuD|IPv6 Regeln}} || gewünschter Gruppe hinzufügen | |||
|- | |||
| {{ Kasten | Quelle }} || Internal_Network_v6 || Quell-Netzwerk | |||
|- | |||
| {{ Kasten | Ziel }} || Internet_v6 || Ziel-Netzwerk | |||
|- | |||
| {{ Kasten | Dienst }} || || gewünschten Dienst oder Dienstgruppe auswählen | |||
|- | |||
| colspan="3" | {{ Hinweis | Im Gegensatz zu IPv4 wird hier kein NAT benötigt! | gelb }} | |||
|- | |||
| {{ Button | Hinzufügen }} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
<p>{{ Hinweis | !! Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden. }}</p> | <p>{{ Hinweis | !! Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden. }}</p> | ||
<p>{{ Button | Schließen }}</p> | <p>{{ Button | Schließen }}</p> |
Version vom 9. Juni 2021, 19:18 Uhr
Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird
Letzte Anpassung: Neue Funktion in 11.8
- Bemerkung
Einleitung
Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.
Konfiguration
| colspan="3" |
|- | Quelle: || 2001:db08:aaaa:bbb00::1 || Auswahl der IPv6-Adresse, mit der gepingt werden soll | class="Bild" rowspan="6" | UTMbenutzer@firewall.name.fqdnNetzwerk |- | Ziel: || k.root-servers.net || Ziel-Name oder IP-Adresse |- | IPv6 || Ein || |- | || || Ping-Test starten |-
|
|| || Der Root-Server k.root-servers.net des Ripe NCC sollte, wie nebenstehend abgebildet, mit der IP 2001:7fd::1 antworten
|- class="Leerzeile" |
Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.