OPNsense/IPv6: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „Kategorie:OPNsense/IPv6“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
'''IPv6-Einrichtung''' | |||
== Einführung == | |||
Bis heute bleibt IPv6 ein schwer fassbares Thema. IPv6 wird seit langem als Standardoption in OPNsense ausgeliefert und wurde im Laufe der Jahre schrittweise verbessert, aber die Komplexität der Konfiguration, Probleme mit dem ISP und manchmal auch Softwarefehler können dazu führen, dass die Verbindung nicht zustande kommt oder überhaupt nicht hergestellt werden kann. Dieser Leitfaden soll eine Grundlage dafür bieten, wie IPv6 konfiguriert werden kann und wie man bekannte Fehler erkennt und Verbindungsprobleme behebt. | |||
Wenn in diesem Leitfaden von externen und internen Schnittstellen die Rede ist, werden die Begriffe "WAN" und "LAN" verwendet, wobei nicht ausgeschlossen wird, dass auf jeder Seite mehrere Schnittstellen gleichzeitig verwendet werden. | |||
Der Einfachheit halber wird in diesem Leitfaden nicht auf NAT bei IPv6 eingegangen. | |||
== IPv6-Modi == | |||
Je nach gewähltem IPv6-Modus unterscheidet sich das Verhalten von IPv6 im Ergebnis. Im Zweifelsfall fragen Sie Ihren ISP um Hilfe oder erkundigen Sie sich im Forum, wie andere Benutzer Ihres ISP es erfolgreich konfiguriert haben. | |||
=== Keine === | |||
Dieser Modus schaltet die IPv6-Konnektivität für diese bestimmte Schnittstelle aus. Verwenden Sie diesen Modus, wenn der Standardmodus (DHCPv6) nicht funktioniert oder zu Verbindungsproblemen mit Ihrem ISP führt. Er verbietet IPv6 nicht global und einige Dienste können sogar lokal IPv6 benötigen, um mit sich selbst zu kommunizieren (wie z. B. Squid Webproxy). | |||
Hinweis | |||
Sie können diesen Modus für WAN- und LAN-Verbindungen verwenden. | |||
=== Statisches IPv6 === | |||
Wenn der ISP einen statischen Adressblock anbietet, können Sie ein /64-Netz Ihrer WAN-Schnittstelle und andere /64-Netze Ihren LANs zuweisen. Sie können sogar größere Netze innerhalb Ihres Präfixes über DHCPv6 an nachgeschaltete Router delegieren, was im statischen Modus generell möglich ist. Beachten Sie, dass Sie für diesen Modus eine Gateway-Adresse erstellen und einstellen müssen, um eine Verbindung zu Ihrem nächsten Gateway-Hop herzustellen, den Ihnen Ihr ISP ebenfalls zur Verfügung stellen sollte. | |||
Hinweis | |||
Sie können diesen Modus für WAN- und LAN-Verbindungen verwenden. | |||
=== DHCPv6 === | |||
Für dynamische Adressangebote (die höchstwahrscheinlich auch das Präfix verschieben) ist dieser Modus die häufigste Konfiguration und daher auch die Standardeinstellung für ein voreingestelltes WAN. In diesem Modus wird ein Präfix erworben, wenn es angeboten wird, entweder mit oder ohne eine zusätzliche IP-Adresse für Ihr WAN. Beachten Sie, dass sich die Schnittstelle im Gegensatz zu statischem IPv6 nicht selbst ein /64 aus dem Präfix zuweist. Intern wird eine einzelne, weltweit eindeutige Adresse entweder über DHCP oder SLAAC (nicht zu verwechseln mit dem SLAAC-Modus) erworben, aber im Allgemeinen wird eine vom ISP bereitgestellte link-lokale Adresse automatisch für die Verbindung zum Next-Hop-Gateway verwendet. Die Einstellung "Nur ein IPv6-Präfix anfordern" kann erforderlich sein, wenn der ISP sich weigert, eine Adresse und/oder ein Präfix auszugeben. | |||
Hinweis | |||
Sie können diesen Modus nur für WAN-Verbindungen verwenden. | |||
=== PPPoEv6 === | |||
Im PPPoEv6-Modus wird eine einzelne Adresse über die PPPoE-IPv4-Verbindung erworben. Die WAN-Verbindung zum nächsten Gateway-Hop wird automatisch hergestellt, sofern dies vom ISP unterstützt wird. | |||
Hinweis | |||
Sie können diesen Modus nur für WAN-Verbindungen verwenden. | |||
=== SLAAC === | |||
Verwenden Sie "Stateless Address Autoconfiguration" nur für die IPv6-Konnektivität. In Fällen, in denen statisches IPv6 oder DHCPv6 nicht verfügbar ist, kann dieser Modus dennoch ISP-Konnektivität bieten. | |||
Hinweis | |||
Sie können diesen Modus nur für WAN-Verbindungen verwenden. | |||
=== 6to4-Tunnel === | |||
Dies ist ein IPv6-über-IPv4-Tunnelmodus, wie in RFC3056 über eine feste IPv4-Routeradresse spezifiziert. Er erfordert keine clientseitige Konfiguration, wird aber aufgrund von 6rd nicht mehr häufig verwendet. | |||
Hinweis | |||
Sie können diesen Modus nur für WAN-Verbindungen verwenden. | |||
=== 6. Tunnel === | |||
6rd bedeutet "IPv6 Rapid Deployment" und ist eine verallgemeinerte Form der 6to4-Konnektivität, bei der ein variables Präfix durch Konfiguration erhalten werden kann. Einige ISPs verwenden diesen Modus noch, obwohl er im Allgemeinen nicht sehr beliebt ist. Die Konfiguration für 6rd kann über die IPv4-DHCP-Verbindung geliefert werden, wird aber derzeit nicht analysiert und dem Benutzer präsentiert. | |||
Hinweis | |||
Sie können diesen Modus nur für WAN-Verbindungen verwenden. | |||
=== Schnittstelle verfolgen === | |||
Dieser Modus verwendet eine WAN-DHCPv6-Schnittstelle, um Ihren LAN-Schnittstellen ein einzelnes /64-Netzwerk zuzuweisen. Die Option "Manuelle Konfiguration" schaltet von der automatischen Konfiguration von Router-Ankündigungen und DHCPv6 (einschließlich Präfix-Delegation, wenn das Präfix groß genug ist) auf die Art und Weise um, wie statische IPv6-konfigurierte Geräte es vom Menü aus verwenden können (standardmäßig ausgeschaltet). | |||
Hinweis | |||
Sie können diesen Modus nur für LAN-Verbindungen verwenden. | |||
== Grundlegende Einrichtung und Fehlerbehebung == | |||
Es gibt zwei Schritte zur Bereitstellung von IPv6:# Stellen Sie IPv6 für Ihr WAN und die Firewall selbst bereit. | |||
# Stellen Sie IPv6 für Ihr LAN und die Clients dahinter bereit. | |||
Für Schritt 1 wählen Sie zunächst den passenden IPv6-Modus, konfigurieren die WAN-Schnittstelle neu und versuchen, eine IPv6-Adresse oder einen Host von der Firewall selbst anzupingen, z.B.: | |||
Testen Sie, ob ein Ping über IPv6 zum Internet erfolgreich ist (auch möglich über Interfaces‣Diagnostics‣Ping). | |||
<nowiki># ping -6 heise.de</nowiki> | |||
Testen Sie, ob eine IPv6-Standardroute existiert (auch möglich über System‣Routes‣Status und suchen Sie nach Standard). | |||
<nowiki># netstat -nr6 | grep default</nowiki> | |||
Hinweis | |||
Wenn einer oder beide Schritte nicht funktionieren, liegt entweder ein Konfigurationsproblem auf der WAN-Seite vor oder Ihr ISP unterstützt IPv6 nicht. Versuchen Sie nicht, Schritt 2 zu debuggen, wenn Sie sich fragen, warum die Clients keine Verbindung herstellen können. | |||
Für Schritt 2 können statische und Tracking-Modi in einem LAN verwendet werden, um den angeschlossenen Clients IPV6-Konnektivität zu bieten. | |||
Der Tracking-Modus ist standardmäßig aktiviert, und der DHCPv6-Server im WAN richtet automatisch sowohl Router Advertisements als auch DHCPv6-Server ein, einschließlich der Verwendung von Präfixen, die an Clients delegiert werden, wenn das aktuelle Präfix noch genügend Platz zum Delegieren hat. | |||
Wenn Sie den statischen Modus oder die Einstellung "Manuelle Konfiguration" im Tracking verwenden, können Sie sowohl Router Advertisements als auch den DHCPv6-Server über das Menü konfigurieren, wobei die Standardeinstellung jedoch deaktiviert ist. Die meisten Endgeräte funktionieren gut, wenn nur Router Advertisements eingestellt sind, aber wenn Sie mit nachgeschalteten Routern zu tun haben, kann es von Vorteil sein, auch DHCPv6-Server einzurichten, um einen Teil des Präfixes zu delegieren. | |||
Hinweis | |||
Beachten Sie, dass bestimmte Netzwerkstack-Implementierungen wie Android-Telefone nur Router Advertisement-Konfiguration über SLAAC unterstützen und DCHPv6-Leases dort nicht funktionieren. | |||
Stellen Sie sicher, dass Sie die folgenden Schritte mit mehreren verschiedenen Clients testen, um zu sehen, ob eine Verbindung hergestellt werden kann oder nicht:* [https://test-ipv6.com/ https://test-ipv6.com/] | |||
* [https://ipv6-test.com/ https://ipv6-test.com/] | |||
Diese beiden Seiten können Ihnen auch bei der Diagnose verbleibender Probleme helfen. Stellen Sie sicher, dass Sie während der Tests sowohl DHCPv6-Server- als auch Router-Anzeigen einrichten, wenn Sie IPv6-Konnektivität debuggen. Wenn Sie weder das eine noch das andere benötigen, ist es auch in Ordnung, sie zu deaktivieren. Eine vollständig statische Einrichtung ist ebenfalls möglich. | |||
== Dynamische Adressvergabe == | |||
Wenn keine statischen Adressen auf den Clients verwendet werden, gibt es einige sehr wichtige Unterschiede zwischen IPv4 und IPv6. Bei IPv4 werden die Adressen über einen DHCP-Server bereitgestellt, der normalerweise auch eine Standardroute an den Client weitergibt. | |||
Bei IPv6 ist der erste Dienst, der für die automatische Konfiguration von Clients in Frage kommt, der [https://docs.opnsense.org/manual/radvd.html Router Advertisements]-Daemon, der definiert, wie Clients ihre Routen und Adressen erhalten. Die verfügbaren Optionen sind in dem genannten Dokument aufgeführt. | |||
Der [https://docs.opnsense.org/manual/dhcp.html DHCPv6-Server] kann, wenn er verwendet wird, auf ähnliche Weise konfiguriert werden wie bei der Verwendung von IPv4. | |||
== Konfigurationsbeispiele == | |||
* [https://docs.opnsense.org/manual/how-tos/IPv6_ZenUK.html IPv6 für Zen UK] | |||
* [https://docs.opnsense.org/manual/how-tos/ipv6_tunnelbroker.html IPv6 Tunnel Broker] | |||
* [https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html IPv6 für generische DSL-Einwahl] | |||
[[Kategorie:OPNsense/IPv6]] | [[Kategorie:OPNsense/IPv6]] | ||
Version vom 1. April 2025, 12:09 Uhr
IPv6-Einrichtung
Einführung
Bis heute bleibt IPv6 ein schwer fassbares Thema. IPv6 wird seit langem als Standardoption in OPNsense ausgeliefert und wurde im Laufe der Jahre schrittweise verbessert, aber die Komplexität der Konfiguration, Probleme mit dem ISP und manchmal auch Softwarefehler können dazu führen, dass die Verbindung nicht zustande kommt oder überhaupt nicht hergestellt werden kann. Dieser Leitfaden soll eine Grundlage dafür bieten, wie IPv6 konfiguriert werden kann und wie man bekannte Fehler erkennt und Verbindungsprobleme behebt.
Wenn in diesem Leitfaden von externen und internen Schnittstellen die Rede ist, werden die Begriffe "WAN" und "LAN" verwendet, wobei nicht ausgeschlossen wird, dass auf jeder Seite mehrere Schnittstellen gleichzeitig verwendet werden.
Der Einfachheit halber wird in diesem Leitfaden nicht auf NAT bei IPv6 eingegangen.
IPv6-Modi
Je nach gewähltem IPv6-Modus unterscheidet sich das Verhalten von IPv6 im Ergebnis. Im Zweifelsfall fragen Sie Ihren ISP um Hilfe oder erkundigen Sie sich im Forum, wie andere Benutzer Ihres ISP es erfolgreich konfiguriert haben.
Keine
Dieser Modus schaltet die IPv6-Konnektivität für diese bestimmte Schnittstelle aus. Verwenden Sie diesen Modus, wenn der Standardmodus (DHCPv6) nicht funktioniert oder zu Verbindungsproblemen mit Ihrem ISP führt. Er verbietet IPv6 nicht global und einige Dienste können sogar lokal IPv6 benötigen, um mit sich selbst zu kommunizieren (wie z. B. Squid Webproxy).
Hinweis
Sie können diesen Modus für WAN- und LAN-Verbindungen verwenden.
Statisches IPv6
Wenn der ISP einen statischen Adressblock anbietet, können Sie ein /64-Netz Ihrer WAN-Schnittstelle und andere /64-Netze Ihren LANs zuweisen. Sie können sogar größere Netze innerhalb Ihres Präfixes über DHCPv6 an nachgeschaltete Router delegieren, was im statischen Modus generell möglich ist. Beachten Sie, dass Sie für diesen Modus eine Gateway-Adresse erstellen und einstellen müssen, um eine Verbindung zu Ihrem nächsten Gateway-Hop herzustellen, den Ihnen Ihr ISP ebenfalls zur Verfügung stellen sollte.
Hinweis
Sie können diesen Modus für WAN- und LAN-Verbindungen verwenden.
DHCPv6
Für dynamische Adressangebote (die höchstwahrscheinlich auch das Präfix verschieben) ist dieser Modus die häufigste Konfiguration und daher auch die Standardeinstellung für ein voreingestelltes WAN. In diesem Modus wird ein Präfix erworben, wenn es angeboten wird, entweder mit oder ohne eine zusätzliche IP-Adresse für Ihr WAN. Beachten Sie, dass sich die Schnittstelle im Gegensatz zu statischem IPv6 nicht selbst ein /64 aus dem Präfix zuweist. Intern wird eine einzelne, weltweit eindeutige Adresse entweder über DHCP oder SLAAC (nicht zu verwechseln mit dem SLAAC-Modus) erworben, aber im Allgemeinen wird eine vom ISP bereitgestellte link-lokale Adresse automatisch für die Verbindung zum Next-Hop-Gateway verwendet. Die Einstellung "Nur ein IPv6-Präfix anfordern" kann erforderlich sein, wenn der ISP sich weigert, eine Adresse und/oder ein Präfix auszugeben.
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden.
PPPoEv6
Im PPPoEv6-Modus wird eine einzelne Adresse über die PPPoE-IPv4-Verbindung erworben. Die WAN-Verbindung zum nächsten Gateway-Hop wird automatisch hergestellt, sofern dies vom ISP unterstützt wird.
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden.
SLAAC
Verwenden Sie "Stateless Address Autoconfiguration" nur für die IPv6-Konnektivität. In Fällen, in denen statisches IPv6 oder DHCPv6 nicht verfügbar ist, kann dieser Modus dennoch ISP-Konnektivität bieten.
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden.
6to4-Tunnel
Dies ist ein IPv6-über-IPv4-Tunnelmodus, wie in RFC3056 über eine feste IPv4-Routeradresse spezifiziert. Er erfordert keine clientseitige Konfiguration, wird aber aufgrund von 6rd nicht mehr häufig verwendet.
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden.
6. Tunnel
6rd bedeutet "IPv6 Rapid Deployment" und ist eine verallgemeinerte Form der 6to4-Konnektivität, bei der ein variables Präfix durch Konfiguration erhalten werden kann. Einige ISPs verwenden diesen Modus noch, obwohl er im Allgemeinen nicht sehr beliebt ist. Die Konfiguration für 6rd kann über die IPv4-DHCP-Verbindung geliefert werden, wird aber derzeit nicht analysiert und dem Benutzer präsentiert.
Hinweis
Sie können diesen Modus nur für WAN-Verbindungen verwenden.
Schnittstelle verfolgen
Dieser Modus verwendet eine WAN-DHCPv6-Schnittstelle, um Ihren LAN-Schnittstellen ein einzelnes /64-Netzwerk zuzuweisen. Die Option "Manuelle Konfiguration" schaltet von der automatischen Konfiguration von Router-Ankündigungen und DHCPv6 (einschließlich Präfix-Delegation, wenn das Präfix groß genug ist) auf die Art und Weise um, wie statische IPv6-konfigurierte Geräte es vom Menü aus verwenden können (standardmäßig ausgeschaltet).
Hinweis
Sie können diesen Modus nur für LAN-Verbindungen verwenden.
Grundlegende Einrichtung und Fehlerbehebung
Es gibt zwei Schritte zur Bereitstellung von IPv6:# Stellen Sie IPv6 für Ihr WAN und die Firewall selbst bereit.
- Stellen Sie IPv6 für Ihr LAN und die Clients dahinter bereit.
Für Schritt 1 wählen Sie zunächst den passenden IPv6-Modus, konfigurieren die WAN-Schnittstelle neu und versuchen, eine IPv6-Adresse oder einen Host von der Firewall selbst anzupingen, z.B.:
Testen Sie, ob ein Ping über IPv6 zum Internet erfolgreich ist (auch möglich über Interfaces‣Diagnostics‣Ping).
# ping -6 heise.de
Testen Sie, ob eine IPv6-Standardroute existiert (auch möglich über System‣Routes‣Status und suchen Sie nach Standard).
# netstat -nr6 | grep default
Hinweis
Wenn einer oder beide Schritte nicht funktionieren, liegt entweder ein Konfigurationsproblem auf der WAN-Seite vor oder Ihr ISP unterstützt IPv6 nicht. Versuchen Sie nicht, Schritt 2 zu debuggen, wenn Sie sich fragen, warum die Clients keine Verbindung herstellen können.
Für Schritt 2 können statische und Tracking-Modi in einem LAN verwendet werden, um den angeschlossenen Clients IPV6-Konnektivität zu bieten.
Der Tracking-Modus ist standardmäßig aktiviert, und der DHCPv6-Server im WAN richtet automatisch sowohl Router Advertisements als auch DHCPv6-Server ein, einschließlich der Verwendung von Präfixen, die an Clients delegiert werden, wenn das aktuelle Präfix noch genügend Platz zum Delegieren hat.
Wenn Sie den statischen Modus oder die Einstellung "Manuelle Konfiguration" im Tracking verwenden, können Sie sowohl Router Advertisements als auch den DHCPv6-Server über das Menü konfigurieren, wobei die Standardeinstellung jedoch deaktiviert ist. Die meisten Endgeräte funktionieren gut, wenn nur Router Advertisements eingestellt sind, aber wenn Sie mit nachgeschalteten Routern zu tun haben, kann es von Vorteil sein, auch DHCPv6-Server einzurichten, um einen Teil des Präfixes zu delegieren.
Hinweis
Beachten Sie, dass bestimmte Netzwerkstack-Implementierungen wie Android-Telefone nur Router Advertisement-Konfiguration über SLAAC unterstützen und DCHPv6-Leases dort nicht funktionieren.
Stellen Sie sicher, dass Sie die folgenden Schritte mit mehreren verschiedenen Clients testen, um zu sehen, ob eine Verbindung hergestellt werden kann oder nicht:* https://test-ipv6.com/
Diese beiden Seiten können Ihnen auch bei der Diagnose verbleibender Probleme helfen. Stellen Sie sicher, dass Sie während der Tests sowohl DHCPv6-Server- als auch Router-Anzeigen einrichten, wenn Sie IPv6-Konnektivität debuggen. Wenn Sie weder das eine noch das andere benötigen, ist es auch in Ordnung, sie zu deaktivieren. Eine vollständig statische Einrichtung ist ebenfalls möglich.
Dynamische Adressvergabe
Wenn keine statischen Adressen auf den Clients verwendet werden, gibt es einige sehr wichtige Unterschiede zwischen IPv4 und IPv6. Bei IPv4 werden die Adressen über einen DHCP-Server bereitgestellt, der normalerweise auch eine Standardroute an den Client weitergibt.
Bei IPv6 ist der erste Dienst, der für die automatische Konfiguration von Clients in Frage kommt, der Router Advertisements-Daemon, der definiert, wie Clients ihre Routen und Adressen erhalten. Die verfügbaren Optionen sind in dem genannten Dokument aufgeführt.
Der DHCPv6-Server kann, wenn er verwendet wird, auf ähnliche Weise konfiguriert werden wie bei der Verwendung von IPv4.