Vorwort
IPv6 zählt bisher nicht zu meinen Stärken. Wie wahrscheinlich viele Andere auch, habe ich das Thema IPv6 bisher auf die lange Bank geschoben: “Ich gucke mir das mal an, wenn es sich durch gesetzt hat…”
Nunja, es hat sich durchgesetzt und zwar schon länger. IPv4 wird durch IPv6 abgelöst, soviel ist sicher. Daher ist es so langsam an der Zeit, mein privates Netzwerk auf IPv6 umzustellen.
Einen Teil meines Netzwerks habe ich nun umgestellt und der folgende Artikel beschreibt meine ersten Gehversuche. Daher kann dieser Artikel nicht als HowTo durchgehen, aber immerhin als eine von mehreren Möglichkeiten für kleine Netze.
Der Artikel beschreibt meine bisherige Konfiguration, es gibt aber noch viel zu tun und auch viel zu lernen, zumindest für mich.
Umgebung
Meine Umgebung ist wie folgt aufgebaut:
Die Internetverbindung wird über eine Fritzbox hergestellt. An der Fritzbox ist die Sophos UTM als Firewall angeschlossen. An der Sophos UTM ist wiederum der Domain Controller angeschlossen.
Mein Provider hat mir ein /56er IPv6 Netz zugewiesen. Die Fritzbox gibt daraus ein /62er Subnetz an die UTM weiter. Dieses /62er Netz möchte ich hinter der UTM in 4 x /64er Netze aufteilen. Wie schon eingangs erwähnt, geht es hier zunächst um die mit IPv6 eingeführte automatische Konfiguration. In diesem Fall ist kein DHCP Server nötig, denn die Clients weisen sich ihre IPv6 Adresse selbst zu.
Fritzbox
Bisher hatte ich IPv6 an der Fritzbox deaktiviert, daher muss zunächst die IPv6 Unterstützung an der Fritzbox aktiviert werden:
In den Netzwerkeinstellungen der Fritzbox, können dann die relevanten Einstellungen zu den IPv6 Adressen vorgenommen werden:
Unique Local Adressen werden in diesem Fall nicht benötigt. Wichtig sind die folgenden Einstellungen, damit die UTM die entsprechenden Netze bilden kann:
- Auch IPv6 Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben
- DNS-Server, Präfix und IPv6 Adresse zuweisen
Die Einstellungen sind in den folgenden zwei Screenshots dokumentiert:
Nachdem die Fritzbox für IPv6 konfiguriert wurde, geht es mit der Sophos UTM weiter.
Sophos UTM
Auch an der Sophos UTM wird zunächst IPv6 aktiviert:
Danach wird das Feature “Umnummerierung (Renumbering)” aktiviert:
Für die WAN Schnittstelle der UTM wird nun IPv6 aktiviert. Die WAN Adresse erhält die UTM vom DHCPv6 Server der Fritzbox:
Jetzt sollte für die WAN Schnittstelle der UTM bereits eine IPv6 Adresse sichtbar sein:
In den IPv6 Übersicht der UTM ist nun bereits ein /62er Netz sichtbar:
Das /62er Netz möchte ich nun in 4 /64er Netze aufteilen. Dafür nehme ich den IPv6 Subnet Calculator zur Hilfe:
Hier kann nun das delegierte &62er Netz eingetragen und auf “4 network /64” Übersicht geklickt werden:
In der Übersicht können nun die einzelnen /64er Netze angezeigt werden:
Hier werden nun die 4 /64er Netze angezeigt:
Ich wähle die erste Adresse aus dem zweiten Subnetz für die interne Schnittstelle der UTM aus. In diesem Fall ist es 2003:a:867:39fd::1 (2003:a:867:39fd:0000:0000:0000:1). Diese Adresse wird nun der Schnittstelle fest zugewiesen, die für das Netz des Domain Controllers zuständig ist. In meinem Fall ist es das Interface mit dem Namen “Datacenter”:
In den IPv6 Einstellungen der UTM wird nun das neue IPv6 Netz bekannt gegeben. Hier wird ebenfalls schon die IP-Adresse des Domain Controllers, bzw des DNS Servers angegeben. Die IPv6 Adresse 2003:a:867:39fd::9 wird im nächsten Schritt dem Domain Controller zugewiesen.
Die Konfiguration der UTM ist abgeschlossen, zum Schluss wird der Domain Controller, bzw. der DNS-Server konfiguriert.
Domain Controller
Die IPv6 Adresse 2003:a:867:39fd::9 die vorher in der Präfix Bekanntmachung der UTM definiert wurde, wird nun am Domain Controller fest vergeben:
Der Domain Controller sollte sich nun bereits mit seiner IPv6 Adresse im DNS eingetragen haben:
Jetzt wird noch eine IPv6 Reverse Lookupzone benötigt.
Die folgenden Dialoge können mit “Weiter” bestätigt werden. Es wird eine IPv6 Lookupzone mit dem Präfix 2003:a:867:39fd::/64 erstellt:
Die DNS Einstellungen können nun überprüft werden:
Und auch die Verbindung mittels IPv6 sollte funktionieren.
Andere Clients im Netzwerk konfigurieren nun ihre IPv6 Adresse selbst und verwenden den Domain Controller als DNS Server.
Fazit
Mittels IPv6 Autokonfiguration funktioniert diese Konstellation bei mir bisher problemlos. Der nächste Schritt ist ein DHCPv6 Server. Zunächst baue ich aber mein privates Netzwerk etwas um. Die Fritzbox soll durch ein reines VDSL Modem ersetzt werden:
DrayTek Vigor 130 Router (Gigabit Ethernet, ADSL2/2+)
Das IPv6 Netz des Providers soll also zukünftig direkt an der UTM anliegen und nicht schon von der Fritzbox unterteilt werden.
Hi,
IPv6 ist für mich ebenfalls Neuland.
Da ich jetzt inen FTTH Anschluss bekomme muss ich mich damit beschäftigen.
Besteht die Möglichkeit IPv6 nur an Fritzbox und UTM zu aktivieren und den DNS-Eintrag bei Cloudfalre auf IPv6 zu ändern um weiterhin meine Webdienste etc nach außen zur Verfügung zu stellen? Ich hab gelesen die UTM übernimmt die Übersetzung der ipv6 Anfragen zu den internen IPv4 Diensten.
Hallo,
wie weit bist du mit dem Ziel, die Fritzbox durch ein VDSL2-Modem zu ersetzen?
VG Sven R.
Hallo Frank,
geht das auch soweit wenn einem Tarif habe, wo sich der Präfix ändert wenn der Router neu gestartet wird?
LG
Hallo Frank,
Ich habe dein Setup mal nachgebaut, allerdings habe ich bei mehreren Internetseite das Problem das die Verbindung zwischendrin unterbrochen wird. Sprich die Seite fängt an zu laden und bricht dann ab. Hattest du auch so ein Problem.
Des weiteren irritiert mich deine interne IPv6 Adresse der Fritzbox, bei mir ist diese nicht anpingbar. Weder von der Sophos noch vom dahinter angeschlossenen PC.
moin
hatte auch mal das Vigor getestet, habe auch fritze (o2-allip) und sophos dahinter
erst 50er, nun 100/40 Vectoring anschluss
das vigor ging schnell wieder zurück, soo schlechter sync, egal welche Firmware
(war vor ca. 1 Jahr) – schlechter als das Allnet
hab dann ein Allnet Modem gekauft, da war der sync schon besser
aber die Fritze synct immer noch am besten
die haben zwar alle den gleichen DSL chipsatz, aber die AVM treiber sind immer noch die besten
gerade beim umzug wieder getestet:
das allnet – 100/8-15mbit
7490 – 109/38-40mbit
habe noch kein NUR vectoring Modem gefunden, das so gut und stabil synct
zumindest nicht unter 200,-
da ist es fast einfacher eine gaanz einfach fritze zu kaufen und die als Modem zu konfigurieren
(ich nutze die Telefonie am Anschluss)
die Fritzbox läuft zwar auch hinter der Sophos als client, aber für eine stabile Telefonie (mit den O2 Nummern) muss sehr viel aufgemacht und eingestellt werden.
und auch extra DNS Server von O2 für die Telefonie genutzt werden
(sipgate geht immer ohne Probleme)
daher aktuell wieder fritze und sophos dahinter – also 2 mal NAT – leider
Hallo Ingo,
deine Erfahrung kann ich bestätigen. Ich habe hier das Draytek Vigor 120 Modem. Das Vigor handelt 98/20 aus, die alte Fritzbox 7360 108/40. Zudem verliert das Vigor Modem ziemlich häufig die Synchronisation, bei der Fritzbox kam dies zwar auch ab und zu vor, jedoch nicht so häufig. Das Allnet Modem hatte ich bisher nicht getestet.
Gruß, Frank
PS: Da die Fritzbox nun aber in Rente muss, werde ich es wohl mal mit Lancom probieren.
Hallo Oliver,
bei mir läuft die selbe Software Konstellation. Prinzipiell verstehe ich Deine Anleitung und kann sie auch umsetzen. Aaaaallerdings: Verstehe ich das richtig, daß Du von Deinem Anbieter einen Adressblock zugeteilt bekommst, der sich nicht ändert? Im Prinzip würde sich nämlich die ganze Aufteilung aufs interne LAN erledigen. Zwar kann man allen Systemen im Netz dynamische Adressen zuweisen lassen, die sich auch bei jeder Adressblockänderung mitändern, aber da wären noch die Active Directory Server, den man ja schon irgendwie statische Adressen zuweisen muß.
MIr fallen da jetzt zwei Lösungen ein, mit keiner bin ich konzeptionell wirklich zufrieden:
1. Ich lasse allen Hosts mit jeder Einwahl neue Adressen zuweisen. Den AD Servern gebe ich statische Adresen, sonst kann ich die ja nicht wirklich adressieren. Wie kommen die Clients jetzt überhaupt an die AD Server ran, wenn sie in unterschiedlichen Netzen sind? Ich habe auf der Sophos eine Interface Route angelegt. Die IP Verbindung kommt so „irgendwie“ zustande.
2. Ich lege einen DHCP v6 Range auf den bisherigen DHCP Servern an. Hierbei muß ich aber aufgrund der täglichen Änderung eben Adressbereiche verwenden, die nichts mit denen zu haben, die ich von meinem Anbieter zugewiesen bekomme. Das zwingt mich dann nach althergebrachter Art NAT zu machen – mit v6 Adressen.
Hat jemand noch eine Anregung, wie man das schöner lösen kann?
Abend,
danke für den Beitrag. IPv6 ist echt ein Thema, aber die Zusammensetzung der Adresse hm und mit IP Adresse „merken“ ist es auch dahin.
@Nathan: Die Funktion PPOE Passthrough unterstützt AVM Werksseitig laut deren FAQ, zumindest bei einigen Modellen.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3232_PPPoE-Passthrough-in-FRITZ-Box-einrichten/
@Frank: Benutz Du denn die VOIP / SIP Helper in der UTM?
Gruß,
Oliver
Hi Oliver,
das VoIP Feature der UTM benutze ich nicht.
Gruß, Frank
Kann mich da nur anschließen, auf den SIP Helper der UTM (Ist mehr Ärger als Helfer) einfach verzichten.
Auch wenn’s jetzt schon älter ist, aber vielleicht stolpert ja mal jemand drüber.
Es gibt jetzt bei mir zwei Konfigurationen ohne Helper, die sich erfolgreich durchgesetzt haben.
1. Ohne Fritz, DNAT der benötigten Ports auf die TK-Anlage, in meinem Fall eine Agfeo ES-512.
Hier z.B. die Ports UDP 5004:50013, UDP 5064:5083 und TCP/UDP 5060 auf die Anlage leiten.
2. Falls eine Fritz vorgeschaltet ist, in dieser für jede Nummer einen Benutzer erstellen und ihn in der Anlage als ext. Konfigurieren. Natürlich zusätzlich zu Punkt 1.
Beides funktioniert problemlos im Anlagenbetrieb uns sollte sich auch auf einzelne VoIP Telefon übertragen lassen.
Bzgl. DSL Modem:
Die FritzBox kann nach wie vor PPoE Passthrougt, auch wenn es nicht in der GUI konfiguierbar ist.
Laut verschiedenen Forenbeiträgen kann man dafür die ar7.cfg editieren – was man bei einem Bastler-Homebetrieb sicher riskieren kann.
Bei einem Kunden hat der Provider eine FritzBox für eine Sophos als reines Modem geliefert.
Hi Nathan,
danke für den Tipp, das würde mir ein bisschen Geld sparen. Werde ich mal ausprobieren.
Gruß, Frank
„Daher ist es so langsam an der Zeit, mein privates Netzwerk auf IPv6 umzustellen.“
Könntest du diesen Satz näher erläutern? Im Heimnetz hat man doch keine Vorteile zur IPv6, eher im Gegenteil. Zumindest ich werde selbst in 10 Jahren noch auf IPv4 im Heimnetzwerk setzen.
Hi Simon,
der Vorteil für mich ist, dass ich ein ganzes Subnetz mit IPv6 Adressen habe aber nur eine IPv4 Adresse. Ich kann mir also in Zukunft das verbiegen von Ports sparen um mehrere Dienste öffentlich erreichbar zu machen. Folgende Dienste würde ich gerne alle mittels HTTPs auf Port 443 erreichbar haben:
-SSL VPN
-User Portal (UTM)
-Mail Quarantäne (UTM)
-Exchange
-diverse andere interne Webservices
Die Webservices bekomme ich gut über die UTM Webserver Protection abgefackelt. Bei den anderen Diensten wird es schwierig. Da kommen mir die IPv6 Adressen sehr gelegen.
Gruß, Frank
Du hast aber wohl immer noch einen „Internet-Only“ Anschluss. Wenn du den gleichen DSL auch für Telefonie (Stichwort „AllIP“ nutzt) dann wird das wohl nichts mit einem DSL-Modem statt Router und DSL direkt an der UTM oder ?. Sonst musst du ja noch VoIP hinter der UTM umsetzen. Also nichts für den „HomeUser“ :-), der über sein DSL auch noch telefoniert.
Hi Frank,
nein, ich habe einen AllIP Anschluss. Der Telefonie Teil hat hinter der UTM ein eigenes VLAN. In diesem VLAN befindet sich dann ein VoIP Telefon (Gigaset C430A Go). Die Fritzbox macht derzeit tatsächlich nur noch die DSL Einwahl. Mit Telefonie und WLAN hat die Fritzbox nichts mehr zu tun. Ich möchte die Fritzbox eigentlich gegen ein Modem ersetzen, damit ich kein doppeltes NAT mehr habe.
Gruß, Frank
Schöner Artikel. Ich glaube so wie dir geht es den meisten mit Ipv6. Wenn man nicht gerade beruflich damit in Kontakt kommt zwingt sich kaum jemand sich näher damit zu beschäftigen. Gerade im Bereich Netzwerk bleibt man seinen Gewohnheiten treu. Bin gespannt auf deine weiteren IPv6 Erfahrungen.