Firewall hinter der Fritzbox IP6 und DHCP

[franzharti]

Hallo,

habe zu meinem Netzwerk bzw. zur Planung und Firewall etc, paar fragen, es geht um IP6 und DHCP.

Folgender Aufbau ist geplant:

WAN / Internet
:
:
.-----+-----.
| Gateway | (Fritzbox über Kabel (Unitymedia))
'-----+-----'
|
Statisches DHCP
| 192.168.100.10
.-----+------------------.---------------------------------------------
| OPNsense FW |
'-----+---------------------------------------------------------- +---'
| 192.168.120.0/24 | 192.168.130.0/24
LAN1 LAN2


LAN1: 4 PCs und 1 NAS
LAN2: 2 PCs und Drucker


Ich wollte nun in meinen Lokalen Netzen kein IPv6 nutzen. Dazu auch die gleich die erste Frage:

1. Warum sollte ich das, gibt es eine Notwendigkeit. Wäre mir jetzt zu Aufwendig für IPv6 Lokae IPs zu erstellen etc.
1.b Bei irgend einem Provider habe ich gehört geht nur noch IPv6, aber was heißt das genau für mich. Im lokalen Netz kann ich doch immer IPv4 nutzen, oder nicht?
1.c Bei den Einstellungen kann man ja IPv6 komplett deaktivieren, was ich dann auch machen würde. Wann wär das ein Problem?

2. Wie oben zu sehen werde ich die opnsense FW an die Frizbox anschließen, und NAT nutzen. Ich weiß man kann die FB auch als Modem nutzen was ich aber nicht möchte, da ich auch das Telefon dran habe. Wie mache ich das am besten mit DHCP. DHCP Server der Frizbox im LAN der Fritzbox aktivieren, oder wie ich vermuten würde lieber DHCP Statisch nutzen?

Das hieße dann auch das ich das WAN Interface der opnsense auch auf DHCP statisch setzte, und die IP 192.168.100.10 vergebe z.B.?
LAN1 und LAN2 kann ich dann per DHCP Server versorgen lassen, das sollte, denke ich dann kein Porblem sein?

Ich hoffe es sind jetzt nicht zu viele Fragen

 

[thomasschaefer]

Hallo,

wenn du tatsächlich bei Unitymedia einen Kabelanschluss nutzt, solltest du auch IPv6 nutzen und nicht blockieren. IPv4-NAT und ganz speziell CGNAT bringt dir unnötige Instabilitäten ins Netz. "Natürlich" funktioniert noch alles irgendwie über IPv4, aber wenn du weniger Ärger(überlastete AFTR-Gateways) haben willst, nimm IPv6!

 

[TheBigG]

Würde auch auf jedenfall IPv6 anmachen, das läuft deutlich runder als IPv4 im Unitymedia netz. Und das einrichten ist jetzt auch nicht wirklich komplex, in der Fritzbox muss nur Prefix delegation an sein und OPNsense sollte IPv6 out of the box können.

 

[franzharti]

In den LANs selber kann ich dann IP6 deaktivieren, da brauch ich nur IP4? Im WAN interface kann dann von mir aus IP6 laufen. Geht das so?

 

[TheBigG]

nein das geht so nicht, wie sollen die LAN clients so eine IPv6 Konnektivität erhalten?

 

[franzharti]

nein das geht so nicht, wie sollen die LAN clients so eine IPv6 Konnektivität erhalten?

Wenn sie kein Ipv6 können geht das nicht klar. Ich meinte eher um aus dem Intenet erreichbar zu sein also das WAN Interface, Paket kommt an, und dann geht es mit IPv4 weiter. Das geht so nicht?

Muss man die Firewall Regel für Ipv6 explizit mit angegeben werden zu den Ipv4 Regeln, weil wenn nichts angegeben ist müsste es sowieso blockiert sein?

 

[TheBigG]

Wenn sie kein Ipv6 können geht das nicht klar. Ich meinte eher um aus dem Intenet erreichbar zu sein also das WAN Interface, Paket kommt an, und dann geht es mit IPv4 weiter. Das geht so nicht?

Muss man die Firewall Regel für Ipv6 explizit mit angegeben werden zu den Ipv4 Regeln, weil wenn nichts angegeben ist müsste es sowieso blockiert sein?

Hast du denn schon was für IPv6 in OPNsense konfiguriert? Wenn nicht sollte default drop für alles von außen nach innen definiert sein und allow für von innen nach außen. Aber um überhaupt was mit IPv6 machen zu können muss Prefix delegation in der Fritzbox an sein und aus dem was du bisher geschrieben hast konnte ich nicht nachvollziehen ob das nun der Fall ist oder nicht.

 

[franzharti]

Hast du denn schon was für IPv6 in OPNsense konfiguriert? Wenn nicht sollte default drop für alles von außen nach innen definiert sein und allow für von innen nach außen. Aber um überhaupt was mit IPv6 machen zu können muss Prefix delegation in der Fritzbox an sein und aus dem was du bisher geschrieben hast konnte ich nicht nachvollziehen ob das nun der Fall ist oder nicht.

Werde ich dann noch testen,und melde mich dann entsprechend.

 

[franzharti]

Prefix delegation in der Fritzbox

habe ein 7490 Box, wo genau ist die Einstellunge zu machen. Ich habe Ipv6 aktiviert, unter Internet..

 

[franzharti]

Hallo,

da ich in der Frtizbox den dhcp Server deaktiviert habe, ist die Frage ob Prefix delegation nicht abhängig ist von einem DHCPv6 Server ist?

 

[TheBigG]

Hallo,

da ich in der Frtizbox den dhcp Server deaktiviert habe, ist die Frage ob Prefix delegation nicht abhängig ist von einem DHCPv6 Server ist?

Bei der Fritzbox scheint beides aneinander gekoppelt zu sein, also DHCPv6 an und dann DNS-Server und IPv6-Präfix (IA_PD) zuweisen auswählen.

 

[franzharti]

Hallo,

also das ganze bitte noch mal Schrittweise von vorne. Den Aufbau (oben) wollte ich bei einem Freund, der ein Cable Frtzbox von Unitymedia hat realisieren. Ich habe den Aufbau mir IPv4 mit einer FB von O2 bereits am laufen. D.h. ich habe in der Fritzbox DHCP ausgeschaltet und dem WAN Interface der sense eine statische IP im Netzbereich der FB erstellt.

IP FB: 192.168.100.1
IP Sense WAN:192.100.20/24
Gateway: 192.168.100.1
LAN1 in der sense: 192.168.120/24
LAN2 in der sense: 192.168.130/24

LAN1, LAN2 und WAN - IPs wurden statisch erstellt. Die Clients der LANs erhalten per DHCP ihre IPs.

So, was ist nun der erste Schritt bzw. die Schritte, die ich machen muss, um das mit der Fritzbox von Unitymedia zum laufen zu bringen.
Dazu noch Fragen: kann ich testen ob es sich um eine dynamische oder feste IPv6 handelt, also ohne täglich drauf zu schauen, sonst würde ich es ja sehen, bin aber nicht davor.
Müsste ich jetzt LAN1 und LAN2 mit einer statische IPv6 erstellen, also in der sense. Oder kann ich das interne LAN auch auf IP4 lassen, und nur die WAN IP der sense auf IPv6 umstellen? Wie stelle ich die um, geht das nur per dhcpv6 oder auch statisch.
Gibt es dazu eine gute Anleitung etc.

 

[TheBigG]

Du bist auf DHCPv6 angewiesen, da es keine Statischen Präfixe bei Unitymedia gibt.
Schritt 1 :Präfix Delegation auf der Firtzbox an. Falls du etwas von außen erreichbar machen willst musst du dann auch die Firewall für IPv6 auf der Fritzbox ausmachen und Firewall die PFSense machen lassen.
Schritt 2: PFsense auf der WAN Schnittstelle ein /62 per DHCP6 anfordern lassen.
Schritt 3: Jedem LAN interface ein /64 geben.
Schritt 4: Überprüfen ob alles funktioniert.

Anleitung für detailliertere Beschreibung gibt es z.B. hier Dualstack IPv6 + IPv4 mit pfSense an DSL der Telekom | moerbst

 

[franzharti]

Du bist auf DHCPv6 angewiesen, da es keine Statischen Präfixe bei Unitymedia gibt.
Schritt 1 :Präfix Delegation auf der Firtzbox an. Falls du etwas von außen erreichbar machen willst musst du dann auch die Firewall für IPv6 auf der Fritzbox ausmachen und Firewall die PFSense machen lassen.

Danke erst mal. Wie kann ich denn die Firewall der FB aus machen? Reicht es nicht die sense als Expsoed Host zu betreiben? Das WLAN und Telefon wollte ich ja weiterhin in der FB nutzen.

 

[TheBigG]

Danke erst mal. Wie kann ich denn die Firewall der FB aus machen? Reicht es nicht die sense als Expsoed Host zu betreiben? Das WLAN und Telefon wollte ich ja weiterhin in der FB nutzen.

Das ist tatsächlich schwierig zu sagen, bei älteren Fritzbox Versionen war das die einzige Möglichkeit freigaben für Prefixe die deligiert wurden von außen erreichbar zu machen. Aber eigentlich kann man sich das ganze sparen wenn man keine Freigaben machen möchte. Telefon ist davon unberührt und WLAN ging ja schon bevor du angefangen hast nicht für die Clients, da du ja dann deine PFSense außen vor lassen würdest, außer ich habe dich komplett falsch verstanden und der Aufbau ist Fritzbox -> PFSense -> andere Fritzbox.

 

[l0n]

Was willst du mit der ganzen Nummer eigentlich erreichen?
UM nutzt DS-Light = IPv6 ins Internet, IPv4 wird über Carrier-Grade NAT erreicht.
Deine OpenSense muss also als IPv6 Firewall fungieren, per IPv4 ist der Anschluss sowieso nicht erreichbar.
Dafür muss wie gesagt das IPv6 Prefix an die OpenSense delegiert werden, sonst weiß die nix von ihrem Glück per IPv6 kommunizieren zu können.
Allerdings habe ich den Verdacht das das ziemlich egal ist da das Internet, zumindest was das erreichen von Websites angeht noch zum größten Teil mit IPv4 arbeitet, das du ja sowieso nicht beeinflußen kannst.

 

[TheBigG]

Allerdings habe ich den Verdacht das das ziemlich egal ist da das Internet, zumindest was das erreichen von Websites angeht noch zum größten Teil mit IPv4 arbeitet, das du ja sowieso nicht beeinflußen kannst.

Alle großen Seiten sind eigentlich per IPv6 erreichbar, alle Google Services, alles was von Facebook gehostet wird, alles was hinter Cloudflare ist. Außerdem brauchst du IPv6 wenn du irgendwas hinter einem DS-Lite Anschluss erreichen willst und für manche Firmen VPNs auch, da sie mit DS-Lite nicht funktionieren. Meine Signatur ist auch IPv6 only
Ist also schon scheiße hinter einem IPv4 only Anschluss zu hängen wenn man das Internet auch tatsächlich nutzt.