NAT bei IPv6 möglich?

[Gamienator]

Bevor ihr mich lüncht: Ich weis IPv6 war für Point-to-Point gedacht, aber anders ist es nicht möglich 🙊

Um was geht es? Ich bin Netzwerkadmin für eine LAN-Party. Diese hat seit einiger Zeit einen Deutsche Glasfaser Anschluss den wir mitbenutzen dürfen. An dem Anschluss ist logischerweise das Modem, an dem Modem eine Fritz Box und an der schließen wir uns dann mit unserer eigenen pfSense an. (Bei der Anzahl an User wäre ne Fritz Box überfordert und Traffic Shaping ist Pflicht!)

Einfachshalber habe ich auf unserer Seite IPv6 abgeschaltet, jedoch möchte ich für nächste LAN gerne v6 aktiv haben, ich überlege nur gerade ob das machbar ist. Von der FritzBox selber bekomme ich ja nur eine IPv4 und eine IPv6 Adresse die dann ja die WAN Schnittstelle meiner pfSense zugewiesen wird. Anders als bei einem direkten Anschluss habe ich ja dann nur eine /128 Adresse. Deshalb war meine Überlegung an der LAN Schnittstelle meiner pfSense die Adresse fd00::1/64 zu hinterlegen und über DHCPv6 dann an alle Clients dann weitere fd00::0/64 Adressen zu vergeben.

Wäre das der richtige Weg oder wie könnte ich das realisieren? 🤔

 

[Sykehouse]

Machbar ist es und ich bin mir sicher, dass es "da draussen" auch schon das eine oder andere How-To für pfSense gibt. Es kann aber auch gut sein, dass der Provider nicht bloss ein /64 Präfix vergibt, sondern einen grösseren Adressbereich, was es dann ermöglichen würde, der pfSense wiederum ein komplettes /64 Netz zuzuweisen.

 

[up.whatever]

Mach es doch einfach richtig: In der Fritzbox dhcpv6-PD aktivieren und mit der pfsense dann per dhcpv6 client einen eigenen /64 prefix von der box beziehen.

 

[Gamienator]

Ouuuu … @up.whatever na wenn das geht bin ich mal gespannt. Muss ich mir mal ansehen

 

[riversource]

Genau, per Prefix Delegation ein /62 Prefix an die pfSense, und dann dort den RA und ggf. auch den DHCPv6 Server einrichten. Funktioniert perfekt. Das richtet sich quasi von allein ein.

 

[M-X]

Würde auch einfach von der FB den Prefix weiter delegieren lassen, dann kann deine PfSense box fleißig "echte" IPv6 addresseen verteilen.

IPv6 traffic muss in der PfSense box dann natürlich erlaubt werden aber das versteht sich ja von selbst.

 

[GTrash81]

Ist zwar schon zwei Jahre her, aber laut Spezifikation gibt es für IPv6 kein NAT.
Ansonsten wünsche ich viel Spaß mit pfSense.

 

[M-X]

Gibt es in ähnlicher form schon und hat in Spezialfällen auch seine Daseinsberechtigung: https://www.rfc-editor.org/rfc/rfc6296

This document describes a stateless, transport-agnostic IPv6-to-IPv6
Network Prefix Translation (NPTv6) function that provides the
address-independence benefit associated with IPv4-to-IPv4 NAT
(NAPT44) and provides a 1:1 relationship between addresses in the
"inside" and "outside" prefixes, preserving end-to-end reachability
at the network layer.

 

[gaym0r]

Ist zwar schon zwei Jahre her, aber laut Spezifikation gibt es für IPv6 kein NAT.

Auch vor 2 Jahren gabs das schon.

 

[Bob.Dig]

Außerdem könntest Du auch NPt benutzen. Hat vielleicht leichte Vorteile, wenn sich der Prefix ändert. Herkömmliches NAT wäre mit der Sense ebenfalls möglich.

Aber besser richtig machen, wie schon gesagt wurde.

 

[Uridium]

NAT im herkömmlichen Sinne wäre NAT66, z.B. zwecks Obfuskation.

 

[Bob.Dig]

NAT im herkömmlichen Sinne wäre NAT66

Wenn ich mir den ersten Suchtreffer dazu angucke, dann würde ich widersprechen. Mit herkömmlichen NAT meine ich eine einzige Adresse auf viele.

 

[Uridium]

Und was macht deiner Meinung nach (oder des ersten Suchtreffers) NAT66?

 

[norKoeri]

[Präfix-Delegation über IPv6] muss ich mir mal ansehen

Die Menüpfade jedenfalls für die FRITZ!Box findest Du hier …

An dem Anschluss ist logischerweise das Modem, an dem Modem eine Fritz Box

Normalerweise ist die FRITZ!Box nicht nur der Internet-Router sondern auch das Modem. Wenn Du schon ein separates Modem vor der FRITZ!Box hast, warum nicht die FRITZ!Box zeitweise ganz rauswerfen:

Deutsche Glasfaser

pfSense ran, mehr als 60 Minuten warten, dann ist die DHCP-Lease für die FRITZ!Box abgelaufen und die pfSense darf rein. Gleiche Spiel, wenn Du die pfSense wieder durch die FRITZ!Box ersetzt, 60 Minuten warten, …

 

[Gamienator]

Ach was? Das geht auch? Ich dachte ich muss die MAC Adresse der Fritz Box spoofen um den direkten Lease an meiner Sense zu bekommen. Ist auch ein Weg.

Jetzt versuche ich erstmal daheim meine Präfixe zu delegieren. Die Telekom gibt mir ein /56 Netz. An meiner OPNSense habe ich nun ein VLAN für das LAN-Party Test Netz gebaut. Aber bei ner opensense ist es etwas anderes die Präfixdrlegierung einzurichten 😅

 

[riversource]

Ich hab eine OPNSense als VM mit Prefix Delegation eingerichtet. So sind meine Einstellungen:




Das ist wirklich sehr einfach. Hauptrouter ist eine Fritzbox an einem DG Anschluss.

 

[Gamienator]

@riversource Den Anhang kann ich leider nicht öffnen

 

[norKoeri]

Seine zwei PNG-Bilder? Klappen hier.

MAC Adresse der Fritz Box spoofen um den direkten Lease an meiner Sense zu bekommen. Ist auch ein Weg.

Würde ich nicht machen, weil sowieso ein neuer DHCP-Lease angefordert werden muss, denn die haben eine XID. Und keiner weiß, ob Deutsche Glasfaser irgendwie die FRITZ!Box anhand der MAC erkennt und besonders behandelt.

 

[riversource]

Versuchs noch mal, ich hab die Bilder noch mal aktualisiert.

 

[Gamienator]

Danke jetzt sehe ich es Leider stimmt das nicht so mit dem Setup was ich brauche.

VDSL Modem --> OPNSense --> TestVLAN

Das was bei dir die Fritzbox ist, ist bei mir die OPNSense. Und da dann also wie bei der FB IA_PD einzurichten sieht gar nicht so easy aus