Worum geht es?
Mit den Business Internet Services von Swisscom, erhältlich in den Produkten inOne KMU, my KMU Office und Smart Business Connect, haben Kunden diverse Möglichkeiten ihre Bedürfnisse zu realisieren.
Den Part PPPoE Passthrough, mit der Idee die öffentlichen IP(s) direkt auf einem Security Gateway zu betreiben wie man es von allfälligen Bridge Modes her kannte, habe ich in diesem Beitrag bereits abgehandelt: https://www.tuxone.ch/2016/10/pppoe-passthrough-mit-swisscom-my-kmu.html
Eine weitere Möglichkeit welche man hat, ist der Betrieb einer DMZ durch den Centro Business Router. Das kann jetzt sinnvoll sein wenn man zB. einen Web- oder Mailserver in dieser DMZ betrieben möchte. Weiterhin kann man dies aber auch für relativ komplexe Szenarios mit der Verwendung eines Security Gateways verwenden. Eine Idee dazu ist der folgenden Grafik zu entnehmen:
 |
| Grobraster eines Security Gateways in der DMZ des Centro Business Routers |
Auf den Betrieb eines Servers in der DMZ werde ich in diesem Beitrag nicht genauer eingehen. Da die gelieferte Firewall im Centro Business sehr einfach gehalten ist, ist die Konfiguration fast selbsterklärend. Weiter sind nur WAN-LAN / LAN-WAN und WAN-DMZ / DMZ-WAN Regeln möglich. Was man also noch so kennt, die LAN-DMZ Regulierung ist so direkt nicht vorhanden. Man geht quasi immer über das "WAN". So was interessiert mich also grundsätzlich schon mal nicht ;)
Möglich wird der DMZ Mode wenn man bei Swisscom mindesten 4 IP's kauft also ein /30 Subnet. Darin enthalten ist so oder so dann ein /48 IPv6 Netz.
Bekanntlich kann man mit 4 statischen öffentlichen IP's, 2 davon dann auch tatsächlich nutzen. Ja, in diesem Fall wirklich 2. Wie sicher jeder weiss entfällt die Netz- sowie Broadcast-Adresse des zur Verfügung gestellten Netzbereiches. Bleiben noch die Router Adresse und die eine nutzbare Adresse. Da wir hier auf dem Router hocken, können wir seine Adresse dann halt eben quasi auch nutzen :)
Eingehen werde ich auf den betrieb eines Security Gateways in der DMZ, namentlich einer pfSense Firewall. Zudem werden wir hier anschauen, wie man in der DMZ über DHCP6-PD einen Prefix bezieht und damit weitere IPv6 Netze erstellen kann.
Vorteil des DMZ Modes gegenüber dem PPPoE Mode könnte sein:
- Internet Backup über UMTS nutzbar im Falle eines Defektes der Hauptleitung.
- Devices im LAN des Centro Business haben echten Internet Access. Auf den SCTV Boxen sind neben dem reinen TV schauen, auch die Apps und Dinge wie HbbTV möglich.
- Weil es komplexer ist, könnte es cooler sein.
Konfiguration im Centro Business
Die Konfiguration im Centro Business geht schnell von der Hand. Eine Anleitung dazu stellt Swisscom hier zur Verfügung.
Hier die Wegleitung:
Der Router befindet sich in der Default Konfiguration bereits in einem Dual Session WAN.
Er baut also selber eine PPPoE Session auf und ist damit im Business Netz der Swisscom eingebucht, wo eben die Möglichkeit der Vergabe statischer IP's besteht.
Nebenbei baut er eine DHCP Session auf, wobei er eine IP Adresse für die Swisscom Services bezieht (100.94.X.X). Dies wird für den Betrieb der Swisscom TV Boxen und die VoIP Services der Swisscom benötigt.
Zu diesem Zeitpunkt nutz der Router nur die eine erhaltene Router IP aus dem Subnet. Zudem hat man ein /48 IPv6 Netz erhalten, genutzt wird im LAN des Centro Business selber aber nur das allererste /64 Netz.
Um den DMZ Mode auf dem LAN Port 1 zu aktivieren, geht man über Netzwerk > Öffentliche IP Adressen und aktiviert dort diesen Punkt.
Der Router konfiguriert sich danach in wenigen Sekunden um. Im Gegensatz zum PPPoE Mode, macht er dabei nicht mal ein WAN Reset, denn WAN seitig, ändert sich für den Centro Business nichts!
Weiter geht es zu den Netzwerk > Grundeinstellungen
Der IPv4 Teil ist wenig interessant. Verteilt werden via DHCP die weiteren nutzbaren öffentlichen IP's. That's it.
Den IPv6 Teil kann man aber kurz genauer anschauen. Und zwar sieht man hier, dass die Prefixe sowohl im LAN wie auch in der DMZ gegeben sind. Wie schon angesprochen startet der Centro Business im allerersten /64 Netz
2a02:1234:5678:0000::1 /64
Für die DMZ stellt er dann denn nächsten Prefix zur Verfügung:
2a02:1234:5678:0001::1 /64
Genauer ist mit 2a02:1234:5678:0:: damit der erste /52 Prefix bereits verbraucht.
Genauer ist mit 2a02:1234:5678:0:: damit der erste /52 Prefix bereits verbraucht.
Den Suffix Part könnte man hier nun noch anpassen. Zumindest im DMZ Bereich kann man dies aber durchaus einfach so stehen lassen.
Auch die IPv6 Adressverteilung kann man auf dem Standard SLAAC belassen. Hat auf den möglichen IPv6 Prefix Bezug keinen Einfluss. Dieser steht auch ohne DHCPv6 Konfigurationsmodus zur Verfügung.
IPv6 Prefix Bezug? Ja genau, dass interessiert uns :)
Bevor wir uns denn interessanteren Dingen zuwenden, macht es im Falle des Betriebes einen Security Gateways in der DMZ Sinn, die Firewall im Centro Business auf dieser Schnittstelle zu deaktivieren!
IPv6 Excursion
Mit dem Kauf einer statischen IPv4 oder eines Subnetzes, bekommt man von Swisscom automatisch einen /48 IPv6 Präfix zugeordnet. Naja automatisch im Sinne das man da je nach Release bei der Bestellung den IPv6 Reiter entweder aktiviert oder deaktiviert.
Was bedeutet dies aber?
Grundsätzlich ist es so, das man bei IPv6 auf kleinster Netzebene mit /64 Netzen arbeitet. Denn bis hier hinunter funktioniert es mit der Autokonfiguration.
In einem /64 Netz hat man 18'446'744'073'709'551'616 (öffentliche) IPv6 Adressen zur Verfügung. Also das wäre dann mal das kleinste praktische IPv6 Netz. Zur Erinnerung. Bei den Privatkundenprodukten hat man im Vergleich zu IPv4 dort gerade mal eine zur Verfügung. Im Falle von CGNAT übrigens dann gar keine (auf eine Device welches im Gegensatz zu den Fritzboxen kein DHCP6-PD kann) ;)
Mit einem /48 Präfix kann man dann 65'536 solcher /64 Netze generieren, was 1'208'925'819'614'629'174'706'176 IP Adressen entspricht.
Der Centro Business stellt sowohl im LAN wie auch in der DMZ jeweils ein /64 Netz zur Verfügung. Was er aber auch ermöglicht, ist der Prefix Bezug in diesen beiden Netzen. Und zwar kann jeweils ein Prefix von bis zu /52 bezogen werden. Aus einem /48 Netz kann man theoretisch 16 /52 Netze machen. Beim Centro Business konnte ich in den tiefen des Supports nach diverser Korrespondenz entlocken, dass man mit einer fixen IPv4, davon 8 der möglichen 16 auch gebrauchen kann. (6 können softwaretechnisch nicht genutzt werden, vermutlich a-f. Von den restlichen 10 sind dann noch 2 reserviert) Jetzt wäre es natürlich interessant zu wissen welche das es nun sind. Ich weiss es nicht....
Stellt man sein Security Gateway auf Prefix Bezug, so wird er vom Centro Business ohne weiteren Angaben so etwas beziehen:
2a02:1234:5678:1000:xxxx:xxxx:xxxx:xxxx /52
Damit also den nächsten /52 Prefix welcher vom Centro Buiness selber bereits verbraucht ist 2a02:1234:5678:0000:xxxx:xxxx:xxxx:xxxx /52Leider kann ich an dieser Stelle nicht weiter beschreiben, wie man mit pfsense einen der gemäss >3lv. Support 8 anderen möglichen Prefixe beziehen kann. Die Dokumentationen dazu sind spärlich. Die meisten sind wohl froh mit einem getrackten Interface überhaupt etwas zu erhalten.
Wie auch immer. Mit diesem /52 Prefix können wir noch 4096 /64er Netze machen. Oder daraus weitere 256 /60er Prefixe delegieren. Der Phantasie sind mit pfsense mit damit noch 5'557'863'725'914'323'419'136 verfügbaren IPv6 Adressen wenig Grenzen gesetzt.
pfSense Konfiguration
WAN
Ich gehe davon aus, das man die Interfaces der pfSense statisch konfigurieren möchten. Nur mit einer statischen Interface Konfiguration, kann man bei pfsense einen DHCPv6 Server konfigurieren (falls man das bräuchte...) Für dieses Ziel ist folgende Konfiguration nötig:Weiter aktiviert man in der DHCP6 Client Configuration Sektion:
- Advanced Option (Nötig für statische IPV6 Interface Konfig --> Bug)
- Use IPv4 connectivity as parent interface
- Request only an IPv6 prefix
- und setzt DHCPv6 Prefix Delegation size auf /52
Bei den Advanced Options ist gleich wie im PPPoE Mode unter send options ia-pd 0, ia-na 0 zu ergänzen.
(Anmerkung. Für den Bezug anderer /52 Prefixe muss vermutlich der Part IPv6 Prefix angepasst werden. https://www.freebsd.org/cgi/man.cgi?query=dhcp6c.conf&apropos=0&sektion=0&manpath=FreeBSD+Ports+8.4-RELEASE&arch=default&format=html )
LAN bzw. weitere Interfaces
Das LAN bzw. die weiteren OPT Interfaces setzen wir in diesem Fall statisch, basierend auf unserem Netzplan und dem zur Verfügung gestellten statischen Präfix:
In diesem Beispiel wird das Vorgehen beschrieben. Der rote Teil ist der von Swisscom erhaltene statische /48 Prefix. Mit der blauen 1 wird der Prefix Bezug zu einem /52 Netz ergänzt. Denn grünen Teil kann man nun beliebig abfüllen. In diesem Fall wurde dem LAN ein /64 Netz zugeteilt, was so weit in einfachen Umgebungen sicher mal Sinn ergibt.
Analog geht man bei den anderen Interfaces vor, mit der Berücksichtigung, das man keinen IP Konflikt generiert. Wer auf einem Netz später über den DHCPv6 Server selber wieder Prefix Delegation anbieten möchte, generiert ein grösseres Netz, zB ein /60er.
Wer nun einfach die Interfaces abspeichert, wird aber feststellen, dass das WAN Interface der pfSense keine IPv6 konfiguriert und im weiteren Sinne auch kein Prefix bezogen wird. Grund ist, dass pfSense das announcement von einem bestimmten Port erwartet, der Centro Business diesen aber "random" nutzt.
Ergo schaut man am einfachsten über Status > System Logs > Firewall wo der Destination Port UDP 546 geblockt wird und gibt diesen zB über eine easy Rule frei.
Mit diesen Schritten sollte man ein erfolgreiches Setup im DMZ 1 Mode des Centro Business erhalten haben.
Für Fragen und Ergänzungen nutzt bitte die Kommentarfunktion des Blogs.Viel Spass damit. IPv6 deaktivieren war vor -vorgestern.
(Setup funktioniert ab Centro Business Firmware 9.01.01.57 störungsfrei)
