Foreword
IPv6 has not been one of my strengths so far. Like many others, I've probably put the topic of IPv6 on the back burner: "I'll take a look at it when it's established..."
Well, it has become established and has been for some time. IPv4 will be replaced by IPv6, that much is certain. So it's about time I switched my private network to IPv6.
I have now converted part of my network and the following article describes my first steps. Therefore, this article cannot be considered a how-to, but at least it is one of several options for small networks.
The article describes my configuration so far, but there is still a lot to do and a lot to learn, at least for me.
Surroundings
My environment is structured as follows:
The Internet connection is established via a Fritzbox. The Sophos UTM is connected to the Fritzbox as a firewall. The domain controller is connected to the Sophos UTM.
My provider has assigned me a /56 IPv6 network. The Fritzbox forwards a /62 subnet from this to the UTM. I would like to divide this /62 network behind the UTM into 4 x /64 networks. As already mentioned at the beginning, this is initially about the automatic configuration introduced with IPv6. In this case, no DHCP server is required because the clients assign their IPv6 address themselves.
Fritzbox
I had previously deactivated IPv6 on the Fritzbox, so IPv6 support must first be activated on the Fritzbox:
The relevant settings for the IPv6 addresses can then be made in the network settings of the Fritzbox:
Unique local addresses are not required in this case. The following settings are important so that the UTM can form the corresponding networks:
- Also allow IPv6 prefixes that announce other IPv6 routers in the home network
- Assign DNS server, prefix and IPv6 address
The settings are documented in the following two screenshots:
Once the Fritzbox has been configured for IPv6, we can continue with the Sophos UTM.
Sophos UTM
IPv6 is also activated on the Sophos UTM first:
The "Renumbering" feature is then activated:
IPv6 is now activated for the WAN interface of the UTM. The UTM receives the WAN address from the DHCPv6 server of the Fritzbox:
An IPv6 address should now already be visible for the WAN interface of the UTM:
A /62 network is now already visible in the IPv6 overview of the UTM:
I would now like to divide the /62 network into 4 /64 networks. I use the IPv6 Subnet Calculator for this:
Here you can now enter the delegated &62 network and click on "4 network /64" overview:
The individual /64 networks can now be displayed in the overview:
The 4 /64 networks are now displayed here:
I select the first address from the second subnet for the internal interface of the UTM. In this case it is 2003:a:867:39fd::1 (2003:a:867:39fd:0000:0000:0000:1). This address is now permanently assigned to the interface that is responsible for the domain controller's network. In my case, it is the interface with the name "Datacenter":
The new IPv6 network is now announced in the IPv6 settings of the UTM. The IP address of the domain controller or DNS server is also specified here. The IPv6 address 2003:a:867:39fd::9 is assigned to the domain controller in the next step.
The configuration of the UTM is complete, and finally the domain controller or DNS server is configured.
Domain Controller
The IPv6 address 2003:a:867:39fd::9, which was previously defined in the prefix announcement of the UTM, is now permanently assigned at the domain controller:
The domain controller should now have already entered its IPv6 address in the DNS:
An IPv6 reverse lookup zone is now required.
The following dialogs can be confirmed with "Next". An IPv6 lookup zone with the prefix 2003:a:867:39fd::/64 is created:
The DNS settings can now be checked:
And the connection via IPv6 should also work.
Other clients in the network now configure their IPv6 address themselves and use the domain controller as a DNS server.
Conclusion
Using IPv6 autoconfiguration, this constellation has worked for me so far without any problems. The next step is a DHCPv6 server. But first I'm going to rebuild my private network. The Fritzbox is to be replaced by a pure VDSL modem:
DrayTek Vigor 130 Router (Gigabit Ethernet, ADSL2/2+)
The IPv6 network of the provider should therefore be connected directly to the UTM in future and not already be subdivided by the Fritzbox.
Hi,
IPv6 ist für mich ebenfalls Neuland.
Da ich jetzt inen FTTH Anschluss bekomme muss ich mich damit beschäftigen.
Besteht die Möglichkeit IPv6 nur an Fritzbox und UTM zu aktivieren und den DNS-Eintrag bei Cloudfalre auf IPv6 zu ändern um weiterhin meine Webdienste etc nach außen zur Verfügung zu stellen? Ich hab gelesen die UTM übernimmt die Übersetzung der ipv6 Anfragen zu den internen IPv4 Diensten.
Hallo,
wie weit bist du mit dem Ziel, die Fritzbox durch ein VDSL2-Modem zu ersetzen?
VG Sven R.
Hallo Frank,
geht das auch soweit wenn einem Tarif habe, wo sich der Präfix ändert wenn der Router neu gestartet wird?
LG
Hallo Frank,
Ich habe dein Setup mal nachgebaut, allerdings habe ich bei mehreren Internetseite das Problem das die Verbindung zwischendrin unterbrochen wird. Sprich die Seite fängt an zu laden und bricht dann ab. Hattest du auch so ein Problem.
Des weiteren irritiert mich deine interne IPv6 Adresse der Fritzbox, bei mir ist diese nicht anpingbar. Weder von der Sophos noch vom dahinter angeschlossenen PC.
moin
hatte auch mal das Vigor getestet, habe auch fritze (o2-allip) und sophos dahinter
erst 50er, nun 100/40 Vectoring anschluss
das vigor ging schnell wieder zurück, soo schlechter sync, egal welche Firmware
(war vor ca. 1 Jahr) – schlechter als das Allnet
hab dann ein Allnet Modem gekauft, da war der sync schon besser
aber die Fritze synct immer noch am besten
die haben zwar alle den gleichen DSL chipsatz, aber die AVM treiber sind immer noch die besten
gerade beim umzug wieder getestet:
das allnet – 100/8-15mbit
7490 – 109/38-40mbit
habe noch kein NUR vectoring Modem gefunden, das so gut und stabil synct
zumindest nicht unter 200,-
da ist es fast einfacher eine gaanz einfach fritze zu kaufen und die als Modem zu konfigurieren
(ich nutze die Telefonie am Anschluss)
die Fritzbox läuft zwar auch hinter der Sophos als client, aber für eine stabile Telefonie (mit den O2 Nummern) muss sehr viel aufgemacht und eingestellt werden.
und auch extra DNS Server von O2 für die Telefonie genutzt werden
(sipgate geht immer ohne Probleme)
daher aktuell wieder fritze und sophos dahinter – also 2 mal NAT – leider
Hallo Ingo,
deine Erfahrung kann ich bestätigen. Ich habe hier das Draytek Vigor 120 Modem. Das Vigor handelt 98/20 aus, die alte Fritzbox 7360 108/40. Zudem verliert das Vigor Modem ziemlich häufig die Synchronisation, bei der Fritzbox kam dies zwar auch ab und zu vor, jedoch nicht so häufig. Das Allnet Modem hatte ich bisher nicht getestet.
Gruß, Frank
PS: Da die Fritzbox nun aber in Rente muss, werde ich es wohl mal mit Lancom probieren.
Hallo Oliver,
bei mir läuft die selbe Software Konstellation. Prinzipiell verstehe ich Deine Anleitung und kann sie auch umsetzen. Aaaaallerdings: Verstehe ich das richtig, daß Du von Deinem Anbieter einen Adressblock zugeteilt bekommst, der sich nicht ändert? Im Prinzip würde sich nämlich die ganze Aufteilung aufs interne LAN erledigen. Zwar kann man allen Systemen im Netz dynamische Adressen zuweisen lassen, die sich auch bei jeder Adressblockänderung mitändern, aber da wären noch die Active Directory Server, den man ja schon irgendwie statische Adressen zuweisen muß.
MIr fallen da jetzt zwei Lösungen ein, mit keiner bin ich konzeptionell wirklich zufrieden:
1. Ich lasse allen Hosts mit jeder Einwahl neue Adressen zuweisen. Den AD Servern gebe ich statische Adresen, sonst kann ich die ja nicht wirklich adressieren. Wie kommen die Clients jetzt überhaupt an die AD Server ran, wenn sie in unterschiedlichen Netzen sind? Ich habe auf der Sophos eine Interface Route angelegt. Die IP Verbindung kommt so „irgendwie“ zustande.
2. Ich lege einen DHCP v6 Range auf den bisherigen DHCP Servern an. Hierbei muß ich aber aufgrund der täglichen Änderung eben Adressbereiche verwenden, die nichts mit denen zu haben, die ich von meinem Anbieter zugewiesen bekomme. Das zwingt mich dann nach althergebrachter Art NAT zu machen – mit v6 Adressen.
Hat jemand noch eine Anregung, wie man das schöner lösen kann?
Abend,
danke für den Beitrag. IPv6 ist echt ein Thema, aber die Zusammensetzung der Adresse hm und mit IP Adresse „merken“ ist es auch dahin.
@Nathan: Die Funktion PPOE Passthrough unterstützt AVM Werksseitig laut deren FAQ, zumindest bei einigen Modellen.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3232_PPPoE-Passthrough-in-FRITZ-Box-einrichten/
@Frank: Benutz Du denn die VOIP / SIP Helper in der UTM?
Gruß,
Oliver
Hi Oliver,
das VoIP Feature der UTM benutze ich nicht.
Gruß, Frank
Kann mich da nur anschließen, auf den SIP Helper der UTM (Ist mehr Ärger als Helfer) einfach verzichten.
Auch wenn’s jetzt schon älter ist, aber vielleicht stolpert ja mal jemand drüber.
Es gibt jetzt bei mir zwei Konfigurationen ohne Helper, die sich erfolgreich durchgesetzt haben.
1. Ohne Fritz, DNAT der benötigten Ports auf die TK-Anlage, in meinem Fall eine Agfeo ES-512.
Hier z.B. die Ports UDP 5004:50013, UDP 5064:5083 und TCP/UDP 5060 auf die Anlage leiten.
2. Falls eine Fritz vorgeschaltet ist, in dieser für jede Nummer einen Benutzer erstellen und ihn in der Anlage als ext. Konfigurieren. Natürlich zusätzlich zu Punkt 1.
Beides funktioniert problemlos im Anlagenbetrieb uns sollte sich auch auf einzelne VoIP Telefon übertragen lassen.
Bzgl. DSL Modem:
Die FritzBox kann nach wie vor PPoE Passthrougt, auch wenn es nicht in der GUI konfiguierbar ist.
Laut verschiedenen Forenbeiträgen kann man dafür die ar7.cfg editieren – was man bei einem Bastler-Homebetrieb sicher riskieren kann.
Bei einem Kunden hat der Provider eine FritzBox für eine Sophos als reines Modem geliefert.
Hi Nathan,
danke für den Tipp, das würde mir ein bisschen Geld sparen. Werde ich mal ausprobieren.
Gruß, Frank
„Daher ist es so langsam an der Zeit, mein privates Netzwerk auf IPv6 umzustellen.“
Könntest du diesen Satz näher erläutern? Im Heimnetz hat man doch keine Vorteile zur IPv6, eher im Gegenteil. Zumindest ich werde selbst in 10 Jahren noch auf IPv4 im Heimnetzwerk setzen.
Hi Simon,
der Vorteil für mich ist, dass ich ein ganzes Subnetz mit IPv6 Adressen habe aber nur eine IPv4 Adresse. Ich kann mir also in Zukunft das verbiegen von Ports sparen um mehrere Dienste öffentlich erreichbar zu machen. Folgende Dienste würde ich gerne alle mittels HTTPs auf Port 443 erreichbar haben:
-SSL VPN
-User Portal (UTM)
-Mail Quarantäne (UTM)
-Exchange
-diverse andere interne Webservices
Die Webservices bekomme ich gut über die UTM Webserver Protection abgefackelt. Bei den anderen Diensten wird es schwierig. Da kommen mir die IPv6 Adressen sehr gelegen.
Gruß, Frank
Du hast aber wohl immer noch einen „Internet-Only“ Anschluss. Wenn du den gleichen DSL auch für Telefonie (Stichwort „AllIP“ nutzt) dann wird das wohl nichts mit einem DSL-Modem statt Router und DSL direkt an der UTM oder ?. Sonst musst du ja noch VoIP hinter der UTM umsetzen. Also nichts für den „HomeUser“ :-), der über sein DSL auch noch telefoniert.
Hi Frank,
nein, ich habe einen AllIP Anschluss. Der Telefonie Teil hat hinter der UTM ein eigenes VLAN. In diesem VLAN befindet sich dann ein VoIP Telefon (Gigaset C430A Go). Die Fritzbox macht derzeit tatsächlich nur noch die DSL Einwahl. Mit Telefonie und WLAN hat die Fritzbox nichts mehr zu tun. Ich möchte die Fritzbox eigentlich gegen ein Modem ersetzen, damit ich kein doppeltes NAT mehr habe.
Gruß, Frank
Schöner Artikel. Ich glaube so wie dir geht es den meisten mit Ipv6. Wenn man nicht gerade beruflich damit in Kontakt kommt zwingt sich kaum jemand sich näher damit zu beschäftigen. Gerade im Bereich Netzwerk bleibt man seinen Gewohnheiten treu. Bin gespannt auf deine weiteren IPv6 Erfahrungen.