pfSense IPv6 mit Swisscom

Office 365 Team Work – Teil 1
April 6, 2020
IPv6 Data Privacy
IPv6 und Datenschutz
August 31, 2022
Office 365 Team Work – Teil 1
April 6, 2020
IPv6 Data Privacy
IPv6 und Datenschutz
August 31, 2022
Google IPv6 Test passed

Es gibt diverse Möglichkeiten eine pfSense hinter einem Centro Business (oder auch einer Fritzbox) mit IPv6 zu verbinden. Prinzipiell kann man der Wan-Schnittstelle der pfSense mittels DHCPv6 oder SLAAC eine IPv6 Adresse zuteilen. Soweit so gut. Das grössere Problem ist nachher die Verteilung der IPv6 Adressen im internen Netzwerk. In einem einfachen Netzwerk lässt sich dies lösen, indem man die Track Interface Option fürs Lan wählt, was vor allem mit SLAAC funktionieren sollte. Besteht das interne Netzwerk jedoch aus diversen VLans oder will man einzelnen Geräten wie Servern oder Switches eine fixe IPv6 Adresse zuordnen, braucht es eine andere Lösung. Analog zu IPv4 lässt sich dies mit einer statischen IPv6 Adresse des Interfaces lösen. Dies funktioniert allerdings nur, falls man vom Provider ein genügend grosses Subnet erhält: ein 60er Subnet ist das Mindeste. Erhält man nur ein 64er Subnet, reicht das nicht.

ipv6adress
Auf der Abbildung sieht man nochmals gut, wie eine IPv6 Adresse aufgebaut ist (Quelle Internet). Hier wird auch klar, wieso es mindestens ein 60er Subnet braucht, um daraus weitere 64er Subnetze ableiten zu können.

Und nachfolgend noch eine Übersicht über die IPv6 Subnets (Quelle Internet). Wie man sieht, ergibt ein 56er Prefix vom Provider die Möglichkeit von 256 zur Verfügung stehenden 64er Subnets. Bei einem 60er Präfix sind es noch 16 Subnets.

Vorarbeiten an der Swisscom Box...

Damit die pfSense eine IPv6 Adresse per DHCP erhält, so meine Erfahrung, wählt man im Centro Business auf dem Webinterface unter 'Network/Basics Settings' im Bereich 'IPv6 address distribution' die Einstellung ‘SLAAC and DHCPv6 ’. Anhand des DHCP Ranges, die der Centro Business automatisch anlegt, kann man übrigens auf das verwendete 64er Subnet schliessen. Weitere Infos zu IPv6-Adresse wie den IPv6 Prefix sowie Router IPv6 Adresse findet man auf der Übersichtsseite.  Nachfolgend ein Beispiel einer nicht mehr aktuellen Konfiguration:

Für das interne Subnet wählt man nun ein 64er Subnet, das nicht mit dem des Centro Business übereinstimmt. Im obigen Beispiel ist das 64er Subnet des Centro Business (inkl. DHCP-Range) ...cc50:: und somit kommt für das interne Subnet der pfSense ...cc51:: zur Anwendung. Damit das interne Subnet auch von der Swisscom Box an die PfSense weitergeleitet wird, braucht es eine Anpassung im Routing.

Im Centro findet man das Menu unter 'Network/Static Routing'. Hier kann man dann die Subnets fürs interne Netzwerk auf die pfSense weiterleiten. Als Destination wird das gewählte interne Subnet eingesetzt. In dem obigen Beispiel also 2a02:1205:5006:cc51 und der Netmask 64, als Gateway kommt die Adresse der pfSense Wan-Anschlusses zur Anwendung, also 2a02:1205:5006:cc50:0:0:1:f. Prinzipiell kann man natürlich mehrere 64er Subnets verwenden und weiterleiten. Allerdings bietet ein 64er Netz 2^64 IP Adressen. Das reicht meistens ;-)

Des weiteren sollte man noch die Firewall der Centro Business 2.0 anpassen. Allenfalls deaktivieren.

... und der FritzBox

Die Ausführung in der Fritzbox geschieht ganz ähnlich. Unter dem Menupunkt 'Heimnetz, Netzwerk, Netzwerkeinstellungen' muss man nach unten scrollen. Unter den IPv6- Einstellungen sieht man die von der Fritzbox  bereitgestellten IPv6 Subnets fürs Lan, WLan und GastWLan (auch hier ganz nach unten scrollen). Nun wählt man ein 64er Subnet, das ausserhalb der 64er Subnets der Fritzbox liegt. Auf der vorherigen Seite wählt man nun 'IPv6-Routen'. Hier muss man analog der Vorgehensweise der Swisscom Box das interne Netzwerk eingeben, allerdings für die Gateway Adresse braucht es die Link Local Adresse. Diese findet man übrigens in der pfSense unter 'Status, Interfaces'.

Einstellungen an der pfSense

Fürs Wan stellt man den IPv6 Configuration Type auf DHCP6 ein.

Für die verschiedenen Interfaces wie Lan oder VLans wählt man ähnlich wie bei IPv4 static IPv6 aus. Aus den obigen 64er Netz lassen sich nun beliebig viele Subnets bilden. Gemäss unserem obigen Beispiel also:

VLan 100 erhält die statische Adresse 2a02:1205:5006:cc51:6:0:0:1 mit der Netzmaske 96.

VLan 50 erhält die statische Adresse 2a02:1205:5006:cc51:6:5:0:1 mit der Netzmaske 124

VLan 70 erhält die statische Adresse 2a02:1205:5006:cc51:4:0:0:1 mit der Netzmaske 96

Aus diesen Subnets kann man dann für Server etc eine statische IP auswählen. Für restliche Geräte wie Computer, Notebooks etc kann man auch DHCPv6 einrichten. Dabei ist zu beachten, dass der DHCP-Bereich im gewählten Subnet liegt. Und damit das funktioniert, muss unter 'Services, DHCPv6 Server & RA, Router Advertisements' der Router mode 'Managed-RA Flags' ausgewählt werden. Nachdem dies gespeichert ist, kann man unter dem Punkt 'DHCPv6 Server' den Range einrichten. 

Falls die pfSense als DNS Server fungiert, noch die IPv6-DNS Server unter 'System, General Setup' ergänzen. Für Google 2001:4860:4860::8888 und für Cloudfare 2606:4700:4700::1111.

Zum Schluss muss man ebenfalls noch allfällige Firewall Regeln auf IPv6 anpassen oder ausweiten.

Ob die pfSense eine gültige IPv6 Konfiguration hat, kann man am einfachsten durch ein IPv6 Ping testen. Um zu schauen, ob ein PC nun IPv6 erhält, gibt es verschiedene Testwebseiten wie https://www.myip.com/https://www.wieistmeineip.ch/ipv6-test/ oder https://ipv6test.google.com/ 

4 Comments

  1. pts0 sagt:

    Hoi, sehr interessante Beitrag.
    Ich habe mit OPNSense versuch IPv6 zu konfigurieren aber ohne swisscom box, mit ein „fremde“ modem in bridge mode.
    Ich bekomme einfach kein IPv6 auf WAN. Weisst du wie die IPv6 bei swisscom verteilt werden ? Es geht uber ip6to4 tunnel oder auf ein VLAN ? Ich vermute ist auch gleich in ganze Land … je nach Region.

    Danke

  2. nairda sagt:

    Moin 🙂

    Mein Pfsense bekommt eine IPV6 wie es aussieht. Mein Rechner auch.
    Wenn ich allerdings online ipv6 teste, steht da das ich kein IPV6 habe.

    Die Output Roule für ipv6 habe ich gemacht.

    Das einzige was ich nicht sehe ist das mein Rechner einen ipv6 gateway bekommt. Könnte das dass problem sein?

    • Stephan Hegner sagt:

      Falls die PfSense als DNS-Server verwendet wird, müssen auch die IPv6 DNS Server eingetragen werden. Für Google 2001:4860:4860::8888 und für Cloudfare 2606:4700:4700::1111. Die sollten dann auf dem Rechner auch als DNS Server erscheinen. Ob IPv6 auf der pfSense oder auf dem Rechner funktioniert, kann man einfach testen: Google IPv6 Adresse anpingen.