Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 4 subscribers
  • Views 20185 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 mit Fritz!Box am All-IP Anschluss, IPv6 Probleme ...

mipo
Hallo zusammen,

ich habe eine FritzBox 7390 an einem All-IP Anschluss der Telekom vor meiner Sophos UTM9.

Unter IPv4 gibt es keinerlei Probleme. Die FritzBox hat eine statische IPv4 Adresse, die UTM9
entsprechend auch. Da an der FritzBox auch ein /56er IPv6 Netz von Seiten des Providers
angeboten wird, möchte ich dies natürlich auch gerne für die UTM 9 und deren LANseitigen
Clients nutzen. - Doch wie konfiguriert man dies?

Welche IPv6 Adressen und/oder Netze sind hier zu definieren? Ich gehe doch davon aus, dass
ich ein statisches "Transportnetz" zwischen FritzBox und der UTM 9 definieren muss. Doch wie
geht das? Geht das über die ULA Adresse der Box?

Ich würde mich sehr freuen, wenn ihr mir hier bei der Lösung weiterhelfen würdet.

Danke im Voraus!

viele Grüße
Michael


This thread was automatically locked due to age.
  • 0
    Hm,

    ist das Problem wieder einmal zu trivial oder bin ich einmal wieder der Einzigste, der
    IPv6 über eine FritzBox an die UTM 9 heranführen will/muss?

    Paar mehr Antworten/Lösungen hätte ich schon erwartet *zwinker* 

    Gruß
    Michael
  • 0
    FritzBox:
    Internet -> Zugangsdaten -> IPv6:
    - Immer native IPv6-Anbindung nutzen

    Heimnetz -> Netzwerkeinstellungen:
    - DNSv6-Server auch über Router Advertisement bekanntgeben

    Heimnetz -> Netzwerkeinstellungen -> IPv6-Adressen:
    - Keine ULA zuweisen
    - DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen)

    Die FritzBox vergibt nun an nachgelagerte Router aus dem von der Telekom erhaltenen /56 Subnetz ein /62, d.h. du kannst max. 4 IPv6 Subnetze hinter der UTM anlegen.

    UTM:
    Interfaces & Routing -> IPv6:
    - Aktivieren
    - Beim Renumbering "Allow automatic IPv6 renumbering" aktivieren

    Interfaces & Routing -> Interfaces
    - WAN Interface auf DHCP stellen, Haken bei IPv6 DG, bei Advanced "Rapid Commit" aktivieren

    Nun solltest du bei Interfaces & Routing -> IPv6 ein Präfix sehen.
    Aus dem suchst du dir eine Adresse aus und vergibst die am Internen Interface.

    Dann noch ein Prefix Advertisement (Interfaces & Routing -> IPv6) einrichten für das Interne interface.

    Am Schluss noch das Masquerading für IPv6 deaktiveren, das brauchst du ja nicht.
    Dafür erstellst du ein Network Object vom Typ Network, trägst dort dein internes IPv4-Netz ein und verwendest das bei deinem Masquerading-Eintrag anstatt "Internal (Network)".

    Das sollte das gröbste gewesen sein, wenn du noch Fragen hast: her damit.

    Ach ja:
    Ab und zu bekommt die UTM nicht mit, wenn von der FritzBox ein neues Prefix verteilt wurde (z.B. wegen FritzBox-Neustart), hier hilft es dann, die Dateien /var/chroot-dhcpc/var/db/*.leases6 zu löschen und anschließend den IPv6 Watchdog neuzustarten (/var/mdw/scripts/ipv6_watchdog restart).

    edit: Das hab ich bisher nur in folgender Konstellation getestet:
    Telekom All-IP-Anschluss -> FritzBox 7390 -> FritzBox-LAN -> UTM -> Internes LAN

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Hallo Scorpionking,

    danke Dir für die wirklich sehr ausführliche Info. Hab mir mal erlaubt, per PN (wegen der
    IPv6 Adressbeispiele usw.) ein paar Fragen nachzuschieben.


    Mir noch nicht so ganz klar:
    Internet->Zugangsdaten->IPv6
    - Immer native IPv6-Anbindung nutzen

    Das bedeutet, dass DualStack aktiviert ist (bleibt)?
    Wo ist der Unterschied zur "immer eine native IPv4-Anbindung nutzen (empfohlen)", die ja bekanntlich
    defaultmäßig aktiviert ist.

    Welchen DNS Server unter Windows 8.1 (IPv6) trägst Du ein?


    viele Grüße
    Michael
  • 0
    Bitte nicht per PN, da haben die anderen nix von.

    IP-Adressen kann man auch generalisieren bzw. ***-en...

    Angenommen, deine FritzBox weist dir das Präfix 2003:12:34:a2fc::/62 zu, dann kannst du die Netze
    2003:12:34:a2fc::/64
    2003:12:34:a2fd::/64
    2003:12:34:a2fe::/64 und
    2003:12:34:a2ff::/64
    verwenden.

    Das Renumbering ist dafür da, dass, wenn der UTM ein neues Prefix zugewiesen wird, alle IPv6-Definitionen (Hosts, DHCP-Bereiche, ...) vom alten auf das neue Prefix umgeschrieben werden.
    Wenn du bestimmten Hosts feste IP-Adressen vergeben möchtest, dann musst du einen DHCPv6-Server auf der UTM einrichten und beim Prefix Advertisement folgende Einstellungen machen:


    Anschließend die Hosts in der UTM definieren und per DUID eine feste Adresse aus dem Prefix zuweisen (außerhalb des eingerichteten DHCP-Bereichs).

    Die Clients bleiben alle auf "Automatische Konfigruration" (DHCP).

    Schau dir auch mal die Online-Hilfe der UTM an, da ist vieles dazu gut erklärt.

    Ansonsten einfach mal ausprobieren und bei Fragen wieder fragen.

    edit:
    Mir noch nicht so ganz klar:
    Internet->Zugangsdaten->IPv6
    - Immer native IPv6-Anbindung nutzen

    Das bedeutet, dass DualStack aktiviert ist (bleibt)?
    Wo ist der Unterschied zur "immer eine native IPv4-Anbindung nutzen (empfohlen)", die ja bekanntlich
    defaultmäßig aktiviert ist.

    Kannst auch so lassen, sofern die FrtitzBox dann nicht fälschlicherweise einen 6RD-Tunnel aufbaut.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    @scorpionking: funktioniert bei dir denn in der Konfiguration das IPv6 ohne NAT/MASQ funktioniert mit der Fritzbox vor der Sophos und Clients hinter der Sophos?

    Bei mir war der Wissensstand das die Fritzbox das rausfiltert und es nicht funktioniert.

    ich habe als ipv6 Adresse immer nur die fd00: .... bei Fritzbox auf der Sophos stehen.

    edit: ein vorschlag mit der .6prefixes löschen und watchdog neu starten war gut!
    ich habe jetzt noch "renew" beim WAN Interface der Sophos gedrückt (dort wo die Fritze verbunden ist), jetzt komme ich per Client IPv6 "raus" und nicht mehr nur mit Masquarading mit der Sophos IPv6.

    edit: ping auf einen client hinter der sophos ergibt, das die Fritzbox IPv6 dort abblockt mit:
    "Destination unreachable: Administratively prohibited", auch eine Freigabe hilft nicht.
    Freigaben funktionieren NUR auf Geräte direkt an der Fritzbox, dort wo die Fritzbox auch die IPv6 Adresse vergibt.

    Hast du schonmal - erfolgreich - eine Sophos hinter einem Lancom oder Mikrotik oder OpenWRT mit Ipv6 und delegiertem IPv6 Prefix betrieben? Mikrotik und OpenWRT hat bei mir beides nicht geklappt, Lancom noch nicht getestet weil zu teuer für Privatgebrauch.

    Beim direkten verbinden der Sophos mit dem FTTH Anschluss und Aufbau per PPPoE bekomme ich nur die Link Lokal IPv6 angezeigt. Eine externe WAN ipv6 ist zwar erreichbar, aber das Prefix was ich theoretisch habe, nicht benutzbar.
  • 0
    Hallo Scorpionking,

    danke Dir für die Hilfe/Tips. Grundsätzlich funktioniert es, doch habe ich doch noch einige
    Probleme/Verständnisprobleme IPv6 auch in mein bestehendes LAN zu integrieren. 

    Bisher liefen ja sowohl die FritzBox, Sophos Firewall und das Windows Netzwerk (3 Server: AD, Exchange und SQL Server [jeweils eine eigene VMWare Maschine]) mit statischen IPv4 Adressen.

    Mir ist nicht ganz klar, welche IPv6 Adressen ich nun als 1. DNS und 2. DNS und
    mindestens einmal für die AD, Exchange und SQL Server statisch vergeben kann
    und soll. Es soll ja natürlich auch funktionieren, wenn sich der IPv6 Prefix von der
    Telekom ändert.

    Hast Du (oder jemand anderes!) hier einen guten Tip?

    Mich ärgert ein wenig, dass die Sophos Firewall per DHCP(6) auf dem External Interface
    eine IPv4 + IPv6 Adresse zugewiesen bekommt. Ich bin eigentlich Verfechter von statischen Adressen, die ändern sich nämlich nicht und sind ein verlässlicher Punkt für eine mögliche Fehlersuche.

    Gruß
    Michael
  • 0
    Tja, dass ist die Crux am Privat-Anschluss der Telekom: Das dir zugewiesene IPv6-Präfix ändert sich bei jeder Neueinwahl (genau wie die IPv4-Adresse) - angeblich aus Sicherheitsgründen, aber in Wahrheit wollen sie das natürlich teurer an den Business-Anschlüssen verkaufen...

    D.h. du hast keine Chance, wenn du ein anderes System als die UTM für DHCP und DNS verwenden willst, da die mit dem dynamisch wechselnden Präfix nichts anfangen können.

    Die einzige Möglichkeit ist dann, intern ein eigenes IPv6-Subnetz fest zu definieren (unabhängig von dem, das die Telekom/FritzBox vergibt) und NAT auch für IPv6 aktiv zu lassen. In meinen Augen kannst du IPv6 dann aber gleich bleiben lassen, da das dann kein Vorteil mehr zu IPv4 ist.

    DHCP auf dem externen Interface musst du aktiv lassen, da hier nicht zw. IPv4 und v6 unterschieden wird und die UTM bei statischer Konfiguration nichts von einem Präfix-Wechsel mitbekommen würde.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    scorpionking: IPv6 hinter einer Fritzbox scheint eingehend eh nicht zu funktionieren. Wozu dann der ganze Aufwand? Einziger "Vorteil" ist das jeder Client mit eigener IPv6 Adresse rausgeht. Siehe mein Post oben.

    OpenWRT und RouterOS statt Fritzbox habe ich schon probiert, bekomme ich nicht hin.
    IPv6 über PPPoE ist bei der Sophos leider nicht 100% lauffähig.
  • 0
    Ich hab das jetzt alles noch mal durchgetestet. Das IPv6 über die Fritzbox ist murks wenn die Sophos dahinter läuft weil zwar ein /62 Netz übergeben wird, dies aber nur ausgehend funktioniert. Eingehend geht nicht!

    RouterOS vor die Sophos: Sophos bekommt zwar ein Netz, aber keine eigene IPv6 Adresse
    OpenWRT vor die Sophos: funktioniert noch mit am Besten. Leider recht instabil. Dafür allerdings eingehend und ausgehend anpingbar alles was ipv6-mäßig hinter der Sophos sitzt.
  • 0 in reply to ben83

    Hi, ich habe das alles auch mal durchgespielt.

    Mit der aktuellen Labor-Firmware von AVM 06.69-41137 BETA

    sind die Probleme mit der IPv6-Firewall in der Fritzbox und der Weiterleitung an nachgelagerte IPv6-Adressen

    anscheinend erstmalig funktional. Hat ja auch lange genug gedauert. Siehe Screen-Shot:

    Damit funktioniert es ganz gut.


    Bleibt nur noch das Manko, dass auch schon andere beschrieben haben:

    Ab und zu, z.B. bei einem Neutstart der FritzBox bekommt die FireWall manchmal die Prefix-Änderung nicht mit.

Unfiltered HTML