KKeine Bearbeitungszusammenfassung |
|||
(22 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{ | {{Archivhinweis|UTM/NET/IPv6Prefix-Delegation}} | ||
{{Set_lang}} | |||
{{#vardefine:headerIcon|spicon-utm}} | |||
</div>{{DISPLAYTITLE:IPv6 Prefix Delegation über PPPOE}}{{TOC2}} | |||
'''Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird''' <br> | '''Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird''' <br> | ||
Letzte Anpassung: Neue Funktion in '''11.8'''<br> | Letzte Anpassung: Neue Funktion in '''11.8'''<br> | ||
{{ cl | Bemerkung | Die UTM kann über die PPPoE-Verbindung beim Provider ein IPv6 Prefix anfragen und in kleinere / 64 Subnetze aufteilen und automatisch auf die Schnittstellen legen. |w=100px}} | |||
---- | |||
===Einleitung=== | ===Einleitung=== | ||
<p>Es ist möglich, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001: | <p>Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.</p> | ||
<p>Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.</p> | <p>Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.</p> | ||
<br clear=all> | |||
===Konfiguration=== | ===Konfiguration=== | ||
{| class="blank pd5 zh1" | |||
|- | |||
| colspan="3" | | |||
====Aktivierung der Prefix-Delegation==== | ====Aktivierung der Prefix-Delegation==== | ||
{{ | | class="Bild" rowspan="6" | {{Bild | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten_.png |Schnittstelle bearbeiten}} | ||
Im unteren Abschnitt des Reiters {{ Reiter | Allgemein}} :< | |- | ||
| colspan="3" | Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen}} muss die Schnittstelle (z.B. wan0 ), die ein größeres IPv6-Netz über PPPoE zugewiesen bekommt, konfiguriert werden:<p></p> | |||
<p>Im unteren Abschnitt des Reiters {{ Reiter | Allgemein}} :</p> | |||
{{ Button | Speichern }} | |- | ||
| {{ b | IPv6}} || {{ ButtonAn |Ein}} || aktivieren, damit IPv6 überhaupt verwendet wird | |||
|- | |||
| {{ b | IPv6 Prefix Delegation:}} || {{ ButtonAn |Ein}} || aktiviert die Prefix Delegation | |||
====Übernahme auf Schnittstelle durch Router Advertisement==== | |- | ||
{{ | | colspan="3" | {{ Button | Speichern }} | ||
|- class="Leerzeile" | |||
| | |||
|- | |||
{{Button | Speichern }} | | colspan="3" | | ||
==== Übernahme auf Schnittstelle durch Router Advertisement ==== | |||
| class="Bild" rowspan="7" | {{Bild | UTM_v11-8_Netzwerk_Konfiguration_Schnittstellen-bearbeiten-eth1.png | Schnittstelle bearbeiten Router Advertisement}} | |||
{{ | |- | ||
| colspan="3" | Im Menü {{ Menu | Netzwerk | Netzwerkkonfiguration }} {{ Reiter | Netzwerkschnittstellen }} muss die Schnittstelle, der das kleinere / 64 Subnetz zugewiesen werden soll (z.B.: eth1) konfiguriert werden: | |||
|- | |||
| {{ b | Name: }} || eth1 || (Anzeige der ausgewählten Schnittstelle) | |||
|- | |||
| {{ b | DHCP Client: }} || {{ MenuD | aus}} | |||
|- | |||
| {{ b | Router Advertisement: }} || {{ ButtonAn |Ein}} || Mit dieser Funktion wird die Zuteilung eines Prefixes vom Router (hier: Die UTM-Firewall) übernommen | |||
|- | |||
| {{Button | Speichern }} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| colspan="3" | | |||
| class="Bild" rowspan="1" | {{Bild | UTM v11-8 Netzwerk Konfiguration Schnittstellen-Detail.png | Anzeige in der Netzwerkkonfiguration}} | |||
|- | |||
| colspan="3" | | |||
====Default-Route hinzufügen==== | ====Default-Route hinzufügen==== | ||
{{ | | class="Bild" rowspan="3" | {{Bild |UTM_v11-8_Netzwerkkonfiguration_Routing_Default-IPv6.png | Default-Route.}} | ||
|- | |||
| colspan="3" | Damit die IPv6-Adressen geroutet werden können, muss unter {{ Menu | Netzwerk | Netzwerkkonfiguration}} {{Reiter | Routing }} mit {{ Button | + Default-Route hinzugen}} eine Default-Route hinzugefügt werden. | |||
===Überprüfung=== | |- class="Leerzeile" | ||
| | |||
|- | |||
{{ | | colspan="3" | | ||
==== Überprüfung ==== | |||
|- | |||
| colspan="3" | Um zu überprüfen, ob das Routing einwandfrei funktioniert, kann unter {{ Menu | Netzwerk | Netzwerkwerkzeuge }} ein {{ Reiter | Ping}} auf eine Adresse, die zuverlässig IPv6 verwendet (und auch beantwortet) durchgeführt werden. | |||
|- class=nonoborder | |||
{{:UTM/NET/PingIPv6_v12.2}} | |||
|- | |||
| colspan="3" | | |||
{{ | === Portfilterregeln anpassen === | ||
{{Hinweis | Bei Verwendung von IPv6 müssen alle Portfilterregeln zusätzlich für IPv6 erstellt werden!}} | |||
====IPv6 Netzwerkobjekte anlegen==== | ====IPv6 Netzwerkobjekte anlegen==== | ||
|- | |||
| colspan="3" | | |||
=====Externe Zone===== | =====Externe Zone===== | ||
Anlegen der Internet-Zone für IPv6 unter {{Menu | Firewall | Portfilter }} {{ Reiter | Netzwerkobjekte}} mit {{ Button | + Objekt hinzufügen }} | |||
{{ | | class="Bild" rowspan="8" | {{Bild | UTM_11-8_Firewall_Netzwerkobjekte_internet_v6.png | Netzwerkobjekt internet_v6}} | ||
|- | |||
| {{ b | Name: }} || {{code|Internet_v6}} || Eindeutige Bezeichnung | |||
|- | |||
{{ | | {{ b | Typ: }} || {{ MenuD | Netzwerk (Adresse)}} || | ||
|- | |||
| {{ b | Adresse:}} | {{code|::/0}} || (Das gesamte Internet) | |||
|- | |||
| {{ b | Zone:}} || {{ MenuD | external_v6}} || {{Hinweis |Wichtig: | gelb}}Die Zone muss der entsprechenden Schnittstelle zugeordnet sein! | |||
=====Interne Zone===== | |- | ||
{{ | | {{ b | Gruppe}} || {{ic| }} || sollte frei bleiben, kann aber ggf. einer Gruppe zugeordnet werden. | ||
|- | |||
| {{ Button | Speichern}} | |||
|- class="Leerzeile" | |||
| | |||
{{ | |- | ||
| colspan="3" | | |||
===== Interne Zone ===== | |||
Konfiguration des internen Netzwerk-Objektes: | |||
| class="Bild" rowspan="8" | {{Bild | UTM_11-8_Firewall_Netzwerkobjekte_internal-network-v6.png | Internes IPv6-Netzwerkobjekt}} | |||
|- | |||
| {{ b | Name: }} || {{ic|Internal_Network_v6}} || Eindeutige Bezeichnung | |||
|- | |||
| {{ b | Typ: }} || {{ MenuD | Netzwerk (Schnittstelle)}} || Auswahl nach den eigenen Erfordernissen. Für dieses Beispiel Netzwerk /Schnittstelle). | |||
|- | |||
| {{ b | Schnittstelle:}} || {{MenuD| eth1}} || Auswahl der internen Schnittstelle, die mit IPv6 versorgt werden soll. | |||
|- | |||
| {{ b | Zone:}} || {{ MenuD | internal_v6}} | |||
|- | |||
| {{ b | Gruppe}} || {{MenuD| }} || ggf. Auswahl einer Gruppe, der dieses Netzwerkobjekt zugeordnet werden soll. | |||
|- | |||
| {{ Button | Speichern}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| colspan="3" | | |||
====Portfilter Regel hinzufügen==== | ====Portfilter Regel hinzufügen==== | ||
Jetzt kann unter {{ Menu | Firewall | Portfilter }} {{ Button | + Regel hinzufügen}} eine Regel angelegt werden: | |||
| class="Bild" rowspan="10" | {{Bild| UTM_11-8_Firewall_Portfilter_Regel-IPv6.png | Portfilter Regel für IPv6}} | |||
{{ | |- | ||
{{ | | {{ Kasten | Aktion}} || {{ MenuD | Accept}} || Paket annehmen | ||
{{ | |- | ||
| {{ Kasten | Logging}} || {{MenuD|Short}} || gewünschte Loggingstufe auswählen | |||
|- | |||
| {{ Kasten | Gruppe }} || {{MenuD|IPv6 Regeln}} || gewünschter Gruppe hinzufügen | |||
|- | |||
<p>{{ Button | | | {{ Kasten | Quelle }} || Internal_Network_v6 || Quell-Netzwerk | ||
|- | |||
| {{ Kasten | Ziel }} || Internet_v6 || Ziel-Netzwerk | |||
|- | |||
| {{ Kasten | Dienst }} || || gewünschten Dienst oder Dienstgruppe auswählen | |||
|- | |||
| colspan="3" | {{ Hinweis | Im Gegensatz zu IPv4 wird hier kein NAT benötigt! | gelb }} | |||
|- | |||
| {{ Button | Hinzufügen }} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
<p>{{ Hinweis | !! Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden. }}</p> | |||
<p>{{ Button | Schließen }}</p> | |||
<p>{{ Button | ‣ Regeln aktualisieren }}</p> | <p>{{ Button | ‣ Regeln aktualisieren }}</p> | ||
<br clear=all> | <br clear=all> |
Aktuelle Version vom 20. Februar 2024, 11:56 Uhr
notempty
Diese Seite beschreibt, wie ein IPv6-Prefix als /64-Netz auf ein bestimmte Interface gelegt wird
Letzte Anpassung: Neue Funktion in 11.8
- Bemerkung
Einleitung
Es ist möglich durch die Prefix-Delegation, ein (vom Provider) zugewiesenes IPv6-Netz (z.B.: 2001:0db8:aaaa:bb::/56 ) in /64 Netze aufzuteilen (z.B.: 2001:0db8:aaaa:bb00::/64 , 2001:0db8:aaaa:bb01::/64 etc.) und einzelnen Schnittstellen zuzuweisen. Alle in diesem Netzsegment befindlichen Geräte können bei aktiviertem Router Advertisement dann aus ihrem Interface-Identifier und dem Prefix eine IPv6-Adresse erhalten. Die jeweilige Schnittstelle der UTM erhält die jeweils erste Adresse, im Beispiel also 2001:0db8:aaaa:bb00::1/64.
Die IPv6 Prefix-Delegation wird auf der Schnittstelle, die mit dem WAN verbunden ist aktiviert.
Konfiguration
Das bestehende Regelwerk greift nur für IPv4. Für IPv6 muss ein vollständig neues Regelwerk inklusive der Netzwerkobjekte angelegt werden.