Zum Inhalt springen

OPNsense/IPv6

Aus Foxwiki
Die 5 zuletzt angesehenen Seiten:  procps/Inhalt » Systemctl/TMP » Kategorie:RFC » Kommandozeile » OPNsense/IPv6

OPNsense/IPv6 - IPv6-Einrichtung

Beschreibung

IPv6 wird seit langem als Standardoption in OPNsense ausgeliefert und wurde im Laufe der Jahre schrittweise verbessert, aber die Komplexität der Konfiguration, Probleme mit dem ISP und manchmal auch Softwarefehler können dazu führen, dass die Verbindung nicht zustande kommt oder überhaupt nicht hergestellt werden kann

Dieser Leitfaden soll eine Grundlage dafür bieten, wie IPv6 konfiguriert werden kann und wie man bekannte Fehler erkennt und Verbindungsprobleme behebt

Wenn in diesem Leitfaden von externen und internen Schnittstellen die Rede ist, werden die Begriffe "WAN" und "LAN" verwendet, wobei nicht ausgeschlossen wird, dass auf jeder Seite mehrere Schnittstellen gleichzeitig verwendet werden

Abgrenzung

Hier wird nicht auf NAT bei IPv6 eingegangen

IPv6-Modus

Verhalten von IPv6

Je nach gewähltem IPv6-Modus unterscheidet sich das Verhalten von IPv6

  • Fragen Sie Ihren ISP um Hilfe
  • Erkundigen Sie sich im Forum, wie andere Benutzer Ihres ISP es erfolgreich konfiguriert haben
Option Beschreibung
Keine Dieser Modus schaltet die IPv6-Konnektivität für diese bestimmte Schnittstelle aus
Statisches IPv6 Wenn der ISP einen statischen Adressblock anbietet, können Sie ein /64-Netz Ihrer WAN-Schnittstelle und andere /64-Netze Ihren LANs zuweisen
DHCPv6 Für dynamische Adressangebote (die höchstwahrscheinlich auch das Präfix verschieben) ist dieser Modus die häufigste Konfiguration und daher auch die Standardeinstellung für ein voreingestelltes WAN
PPPoEv6 Im PPPoEv6-Modus wird eine einzelne Adresse über die PPPoE-IPv4-Verbindung erworben
SLAAC Verwenden Sie "Stateless Address Autoconfiguration" nur für die IPv6-Konnektivität
6to4-Tunnel Dies ist ein IPv6-über-IPv4-Tunnelmodus, wie in RFC3056 über eine feste IPv4-Routeradresse spezifiziert
6rd Tunnel 6rd bedeutet "IPv6 Rapid Deployment" und ist eine verallgemeinerte Form der 6to4-Konnektivität, bei der ein variables Präfix durch Konfiguration erhalten werden kann
Schnittstelle verfolgen Dieser Modus verwendet eine WAN-DHCPv6-Schnittstelle, um Ihren LAN-Schnittstellen ein einzelnes /64-Netzwerk zuzuweisen

Keine

Dieser Modus schaltet die IPv6-Konnektivität für diese bestimmte Schnittstelle aus

  • Verwenden Sie diesen Modus, wenn der Standardmodus (DHCPv6) nicht funktioniert oder zu Verbindungsproblemen mit Ihrem ISP führt
  • Er verbietet IPv6 nicht global und einige Dienste können sogar lokal IPv6 benötigen, um mit sich selbst zu kommunizieren (wie z. B. Squid Webproxy)
Hinweis
Sie können diesen Modus für WAN- und LAN-Verbindungen verwenden

Statisches IPv6

Wenn der ISP einen statischen Adressblock anbietet, können Sie ein /64-Netz Ihrer WAN-Schnittstelle und andere /64-Netze Ihren LANs zuweisen

  • Sie können sogar größere Netze innerhalb Ihres Präfixes über DHCPv6 an nachgeschaltete Router delegieren, was im statischen Modus generell möglich ist
  • Beachten Sie, dass Sie für diesen Modus eine Gateway-Adresse erstellen und einstellen müssen, um eine Verbindung zu Ihrem nächsten Gateway-Hop herzustellen, den Ihnen Ihr ISP ebenfalls zur Verfügung stellen sollte
Hinweis
Sie können diesen Modus für WAN- und LAN-Verbindungen verwenden

DHCPv6

Für dynamische Adressangebote (die höchstwahrscheinlich auch das Präfix verschieben) ist dieser Modus die häufigste Konfiguration und daher auch die Standardeinstellung für ein voreingestelltes WAN

  • In diesem Modus wird ein Präfix erworben, wenn es angeboten wird, entweder mit oder ohne eine zusätzliche IP-Adresse für Ihr WAN
  • Beachten Sie, dass sich die Schnittstelle im Gegensatz zu statischem IPv6 nicht selbst ein /64 aus dem Präfix zuweist
  • Intern wird eine einzelne, weltweit eindeutige Adresse entweder über DHCP oder SLAAC (nicht zu verwechseln mit dem SLAAC-Modus) erworben, aber im Allgemeinen wird eine vom ISP bereitgestellte link-lokale Adresse automatisch für die Verbindung zum Next-Hop-Gateway verwendet
  • Die Einstellung "Nur ein IPv6-Präfix anfordern" kann erforderlich sein, wenn der ISP sich weigert, eine Adresse und/oder ein Präfix auszugeben
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden

PPPoEv6

Im PPPoEv6-Modus wird eine einzelne Adresse über die PPPoE-IPv4-Verbindung erworben

  • Die WAN-Verbindung zum nächsten Gateway-Hop wird automatisch hergestellt, sofern dies vom ISP unterstützt wird
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden

SLAAC

Verwenden Sie "Stateless Address Autoconfiguration" nur für die IPv6-Konnektivität

  • In Fällen, in denen statisches IPv6 oder DHCPv6 nicht verfügbar ist, kann dieser Modus dennoch ISP-Konnektivität bieten
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden

6to4-Tunnel

Dies ist ein IPv6-über-IPv4-Tunnelmodus, wie in RFC3056 über eine feste IPv4-Routeradresse spezifiziert

  • Er erfordert keine clientseitige Konfiguration, wird aber aufgrund von 6rd nicht mehr häufig verwendet
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden

6rd Tunnel

6rd bedeutet "IPv6 Rapid Deployment" und ist eine verallgemeinerte Form der 6to4-Konnektivität, bei der ein variables Präfix durch Konfiguration erhalten werden kann

  • Einige ISPs verwenden diesen Modus noch, obwohl er im Allgemeinen nicht sehr beliebt ist
  • Die Konfiguration für 6rd kann über die IPv4-DHCP-Verbindung geliefert werden, wird aber derzeit nicht analysiert und dem Benutzer präsentiert
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden

Schnittstelle verfolgen

Dieser Modus verwendet eine WAN-DHCPv6-Schnittstelle, um Ihren LAN-Schnittstellen ein einzelnes /64-Netzwerk zuzuweisen

  • Die Option "Manuelle Konfiguration" schaltet von der automatischen Konfiguration von Router-Ankündigungen und DHCPv6 (einschließlich Präfix-Delegation, wenn das Präfix groß genug ist) auf die Art und Weise um, wie statische IPv6-konfigurierte Geräte es vom Menü aus verwenden können (standardmäßig ausgeschaltet)
Hinweis
Sie können diesen Modus nur für LAN-Verbindungen verwenden

Anwendung

Einrichtung/Fehlerbehebung

Grundlegende Einrichtung und Fehlerbehebung
Es gibt zwei Schritte zur Bereitstellung von IPv6
  1. Stellen Sie IPv6 für Ihr WAN und die Firewall selbst bereit
  2. Stellen Sie IPv6 für Ihr LAN und die Clients dahinter bereit
Für Schritt 1

Wählen Sie zunächst den passenden IPv6-Modus, konfigurieren die WAN-Schnittstelle neu und versuchen, eine IPv6-Adresse oder einen Host von der Firewall selbst anzupingen, z. B. Testen Sie, ob ein Ping über IPv6 zum Internet erfolgreich ist (auch möglich über Interfaces‣Diagnostics‣Ping) 

ping -6 heise.de

Testen Sie, ob eine IPv6-Standardroute existiert (auch möglich über System‣Routes‣Status und suchen Sie nach Standard) 

netstat -nr6 | grep default
Hinweis
Wenn einer oder beide Schritte nicht funktionieren, liegt entweder ein Konfigurationsproblem auf der WAN-Seite vor oder Ihr ISP unterstützt IPv6 nicht
  • Versuchen Sie nicht, Schritt 2 zu debuggen, wenn Sie sich fragen, warum die Clients keine Verbindung herstellen können
Für Schritt 2

Können statische und Tracking-Modi in einem LAN verwendet werden, um den angeschlossenen Clients IPV6-Konnektivität zu bieten

Der Tracking-Modus ist standardmäßig aktiviert, und der DHCPv6-Server im WAN richtet automatisch sowohl Router Advertisements als auch DHCPv6-Server ein, einschließlich der Verwendung von Präfixen, die an Clients delegiert werden, wenn das aktuelle Präfix noch genügend Platz zum Delegieren hat

Wenn Sie den statischen Modus oder die Einstellung "Manuelle Konfiguration" im Tracking verwenden, können Sie sowohl Router Advertisements als auch den DHCPv6-Server über das Menü konfigurieren, wobei die Standardeinstellung jedoch deaktiviert ist

  • Die meisten Endgeräte funktionieren gut, wenn nur Router Advertisements eingestellt sind, aber wenn Sie mit nachgeschalteten Routern zu tun haben, kann es von Vorteil sein, auch DHCPv6-Server einzurichten, um einen Teil des Präfixes zu delegieren
Hinweis
Beachten Sie, dass bestimmte Netzwerkstack-Implementierungen wie Android-Telefone nur Router Advertisement-Konfiguration über SLAAC unterstützen und DCHPv6-Leases dort nicht funktionieren

Stellen Sie sicher, dass Sie die folgenden Schritte mit mehreren verschiedenen Clients testen, um zu sehen, ob eine Verbindung hergestellt werden kann oder nicht:

Diese beiden Seiten können Ihnen auch bei der Diagnose verbleibender Probleme helfen

  • Stellen Sie sicher, dass Sie während der Tests sowohl DHCPv6-Server- als auch Router-Anzeigen einrichten, wenn Sie IPv6-Konnektivität debuggen
  • Wenn Sie weder das eine noch das andere benötigen, ist es auch in Ordnung, sie zu deaktivieren
  • Eine vollständig statische Einrichtung ist ebenfalls möglich

Dynamische Adressvergabe

Wenn keine statischen Adressen auf den Clients verwendet werden, gibt es einige wichtige Unterschiede zwischen IPv4 und IPv6

  • Bei IPv4 werden die Adressen über einen DHCP-Server bereitgestellt, der normalerweise auch eine Standardroute an den Client weitergibt

Bei IPv6 ist der erste Dienst, der für die automatische Konfiguration von Clients in Frage kommt, der Router Advertisements-Daemon, der definiert, wie Clients ihre Routen und Adressen erhalten

  • Die verfügbaren Optionen sind in dem genannten Dokument aufgeführt

Der DHCPv6-Server kann, wenn er verwendet wird, auf ähnliche Weise konfiguriert werden wie bei der Verwendung von IPv4

Konfiguration

Dateien

Datei Beschreibung


Anhang

Konfigurationsbeispiele

Siehe auch

Dokumentation

Man-Page
  1. prep(1)
Info-Pages

Links

Projekt

Weblinks


Abgerufen von „https://wiki.foxtom.de/index.php?title=OPNsense/IPv6&oldid=135345