IPv6 Subneting am Telekom Anschluss

tfoxbat · Beitrag von **tfoxbat** » Mo 11.04.2022, 22:34

Moin Zusammen!

Ich stehe gerade etwas auf dem Schlauch bezüglich IPv6. In bekomme von der Telekom ein /56er Segment und das entsprechend /64er für intern. Jetzt habe ich die IPv6 erfolgreich aktiviert und Router Advertisment eingeschaltet. Die Default Route entsprechend gesetzt. IPv6 Regeln ausgehend angelegt. Jetzt hab ich ein internes Netz und ein VPN Netz. Das interne bekommt auf der Schnittstelle LAN1/ETH1 durch die Delegation das Telekom /64 Segment zugewiesen erst einmal. Jetzt möchte ich dem VPN ein entsprechendes Segment zuweisen. Grundsätzliches Ziel ist es, dass ich eine OPEN SSL Verbindung von einem Mobilen Router, der nur IPv6 spricht, zur UTM aufbauen.

Ich wollte jetzt gerne dem VPN Netz aus den 8 Bit, welche ich für das Subneting verfügbar habe (zwischen der /56 und der /64), eine IPv6 zuweisen. Dann muss ich vermutlich auch das Segment für das interne Netzwerk manuell setzen richtig? So dass ich ein Subsegment für VPN habe und eins für das interne Netz. Zweite Frage, die IP auf der LAN0/ETH0 wird mir mit /64 angezeigt und nicht als /56 Adresse. Ist das relevant?

Hat jemand evtl. die Konstellation und kann da kurz helfen?

Danke VG
JG

tfoxbat · Beitrag von **tfoxbat** » Mi 13.04.2022, 13:10

Ich bin zumindest etwas weiter bei dem Thema. Grundsätzlich bekomme ich die IPv6 aus dem Telekom Kundenbereich (LAN Seite) zugewiesen. Das lässt sich auch auf die Rechner und Co verteilen. Also grundsätzlich funktioniert das. Die Netzwerkobjekte sind angelegt und Richtung Internet v6 freigegeben. Mache ich jetzt aber einen Test z.b: mit test-ipv6.com, wird lediglich IPv4 gefunden. Jetzt würde ich einmal behaupten, dass da noch was nicht ganz stimmig ist.

Grundsätzlich habe ich zwei Bereiche der Telekom bekommen:

IPv6 (Öffentlich/WAN): 2003

037f:XXXX:0000:0000:0000:0000/64

IPv6 (Kundennetz/LAN): 2003

0348:XXXX:0000:0000:0000:0000/56

Das Kundennetz wird auch sauber auf die ETH1 verteilt und am Client kommt das auch an. Die öffentliche Adresse sehe ich nur im Routing.

Jetzt ist die Frage, was muss ich noch machen, damit ich von außen via IPv6 SSL-VPN auf die Kiste komme.

Beitrag von **Mario** » Mi 13.04.2022, 16:29

Mmmmh. Damit die Clients wissen, wo sie hin funken muessen, muesste die Firewall sich als Next Hop im RW-Tunnel praesentieren. Also Router Advertisement.

Vielleicht kann man das ueber die CLI auf das Tunnelinterface legen, aber das unterstuetzen wir so erst einmal nicht. Das naechste Problem ist: Wenn auch nur irgendeiner der Clients einen IPv6-faehigen Router im Netz stehen hat, der auch sagt "Komm zu mir mit deinem IPv6-Gebrabbel" > Da rieche ich Schwierigkeiten.

Bisher war das aus meiner Sicht so angedacht, das man im RW-Tunnel und im S2S-Tunnel private IPv6-Netze auf/ erreichbar macht.

Beitrag von **Mario** » Mi 13.04.2022, 16:32

Zu dem aktuellen Beitrag: Arbeiten Sie in den beteiligt Netzwerkobjekten nicht mit Schnittstellen, sondern mit IPv6-Netzen. Sonst greifen die Regeln nicht...

Von Außen kommt man an die Firewall per IPv6 auf SSL-VPN an, wenn man den Tunnel auf UDP6 oder TCP6 konfiguriert und als Remote Gateway die oeffentliche IP der Firewall verwendet.