Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 37 subscribers
  • Views 2194 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme bei inbetriebnahme von IPv6

DJMABO
Hi,

ich habe gestern versucht IPv6 auf dem Astaro in betrieb zu nehmen. Nachdem ich dem internen NIC eine feste v6 IP vergeben habe um danach das IPv6 DHCP zu aktivieren, konnte ich nicht mehr auf die Admin Oberfläche verbinden. Selbst als ich unter Win7 IPv6 deaktiviert hatte um IPv4 zu erzwingen gelang mir dies nicht mehr. Leider musste ich den Astaro danach neu aufsetzen.

Allerdings werd ich noch nicht ganz schlau aus dem IPv6 gedönz. Ich habe schon unmengen an Berichten in verschiedenen Wikis gelesen. Aber irgendwie schafft es keiner so zu erklähren das es ein normal sterblicher Mensch auch versteht. Es muss doch sicher einen IPv6 Adressbereich für den Privatbereich geben wie zum Beispiel 10.0.0.0 -10.255.255.255. 

Ich möchte mir allerdings auch keine IPv6 Adressen von meinem Proveider zuteilen lassen, so wie es diese Technik vorsieht, sondern weiterhin mit NAT arbeiten um mir einen gewissen Schutz von aussen beizubehalten.

Hat jemand ne Idee ob das was ich da vor hab machbar ist, oder ob ich da anders vorgehen muss. Bin über jede gute Info dankbar.

Gruss Matze


This thread was automatically locked due to age.
  • 0
    Es gibt (noch) kein NAT für IPv6. Für die Einen ist dies ein Segen, für die Anderen ein Fluch. Für 'Schutz von aussen' gibt es doch Packetfilter, einfach nur ausgehenden Traffic erlauben. Zwar gibt es Adressbereiche für interne Zwecke, z.B. fec0::/10, aber ohne NAT kommt man damit nirgendwohin.
  • 0 in reply to trollvottel
    Hallo Matze

    Vergiss das NAT Zeugs von IPv4. Als ich mit IPv6 begonnen habe wollte ich das auch immer haben. Aber glaub mir, ohne ist es viel einfacher (keine nervigen NAT Rules mehr). NAT macht übrigens IPv4 auch nicht sicherer. Das sind die Firewall Rules, IPS, usw. welche es sicherer machen. Ist ja nicht so das du keine FW Rules mehr hast wenn du kein NAT mehr machst. Du ersparst dir einfach die NAT Rules und die Hosts sind von Intern wie Extern über die selbe IP zu erreichen.

    Wenn dein Provider noch kein IPv6 anbietet am besten über einen Tunnel-Broker wie HE (Hurricane Electric Internet Services - Internet Backbone and Colocation Provider). Da bekommst du gleich ein /56 Netz (oder wars ein /64 ?? Egal).

    Die fe80:: Adressen sind Link-Local only, also nur an einen Link gebunden und nicht routebar.

    Was du suchst (ich dir aber immer noch abrate) sind vermutlich die fc00::/7 Adressen. Einfach mal Google anwerfen.

    Ist übrigens kein Problem IPv4 mit NAT, und IPv6 ohne NAT parallel laufen zu lassen. Läuft bei uns schon seit einiger Zeit nativ und ohne Probleme.
  • 0 in reply to UrsWeiss
    Was du suchst (ich dir aber immer noch abrate) sind vermutlich die fc00::/7 Adressen.


    Der Site-Local Bereich ist wie von mir bereits geschrieben fec0::/10

    fec0::/7 ist Unique Local Unicast, dafür müsste/sollte man sich registrieren.

    Auf jeden Fall machen diese Adressen in der Praxis wenig Sinn, da sie nicht im Internet geroutet werden. Für ein Testnetz ist das aber ok.
  • 0
    Aha, interessant.
    Da hab ich wohl was falsch gemacht. Das bedeutet IPS und Firewall arbeiten genauso effektiv mit IPv6 ohne NAT. Also nur IPv6 im Bereich Schnittstellen aktivieren und hoffen das es gut geht.
    Dann ist der IPv6 DHCP demnach beim Provider untergebracht -> das macht mit der Firewall keine Probleme?
  • 0
    OK, noch ne doofe Frage.
    Muss ich in der Firewall:
    Quelle: IPv6 Broker
    Dienst: Any
    Ziel: Any

    konfigurieren um raus zu kommen, oder isr der IPv6 Broker ein Externer Adapter?
  • 0
    Alles was von einem Interface (oder VLAN) in ein anderes will muss gezwungenermassen durch den Packetfilter, IPS, usw.

    Kommt erst mal darauf an, ob dein Provider überhaupt schon IPv6 unterstützt, und wenn ja, was er dir gibt. Vermutlich ja nur eine IP.

    Bin mir jetzt auch nicht ganz sicher wie du das am besten machst im internen Netz. Möglicherweise reichen die Link-Local Adressen (fe80:: ) schon aus. Oder du verwendest die angesprochenen Unique Local Unicast Adressen wenn du mehrere Netze hast. (IPv6).
    Das ist jetzt etwas viel Halbwissen da wir ein /48 Netz haben für unsere Firma und ich da halt einfach mehr als genug /64 Netze habe.

    Wichtig vielleicht für den Anfang. Ein Netzwerk muss (sollte) immer /64 sein weil einige IPv6 funktionen davon abhängig sind.

    Wenn du keine IPv6 Adressen von deinem Provider bekommst, ist die beste Möglichkeit mit IPv6 zu spielen einen Tunnel Broker einzurichten. Da musst du dich z.B. bei HE registrieren. Musst du aber dort nachlesen, da dies bei mir schon ziemlich lange her ist. Wenn du es richtig machst, bekommst du auch immer den selben IPv6 Range von HE zugewiesen.

    Hoffe das hilft dir ein wenig. IPv6 ist so mächtig und vielfältig das man am Anfang echt etwas mühe hat rein zu kommen. Aber einfach nicht aufgeben.

    Schau dir bei HE doch mal ihre freie "Zertifizierung" an: https://ipv6.he.net/certification/

    Der IPv6 Brocker (tspc) ist das externe Interface.
Unfiltered HTML