IPv6 via DHCPv6-PD auf pfSense nutzen
Worum gehts?
In diesem Beitrag wird die Konfiguration von pfsense beschrieben, um IPv6 hinter einem Centro Business 2.0 im PPPoE Passthrough Mode zu nutzen.
Wie der PPPoE Passthrough aktiviert wird, ist diesem Swisscom Manual zu entnehmen: PPPoE-Passthrough
Damit wird der Centro Business mit einem Dual Session WAN konfiguriert. DHCP für die Swisscom Services wie VoIP und TV. PPPoe als Internet Access mit fixer IP. Eben diese fixe IP kann man mit dem PPPoE Passthrough auf der Firewall terminieren.
Weitere Möglichkeiten sind der DMZ Mode usw. Diese werden in diesem Beitrag nicht behandelt.
https://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_Mail_Webserver_SecurityGateway_in_der_DMZ_betreiben-de.pdf
Voraussetzungen und Einschränkungen von Swisscom
Voraussetzungen:
• Swisscom Vertrag: Business Internet Services, My KMU Office
• Mit Option fixen IP Adressen
• Firmware-Version Centro Business 1.0: 07.02.06 und höher Centro Business 2.0: 8.00.04 und höher
• Der Zugriff auf das Router-Portal ist sichergestellt
Einschränkungen:
• Internet Backup funktioniert nicht mehr
• Der Centro Business-Router ist nicht mehr per Remotemanagement aus dem
Kundencenter erreichbar
• Keine Internetverbindung für Geräte, welche den Centro Business als Gateway haben
• Ein Gäste-WLAN auf dem Centro Business-Router kann bei aktiviertem PPPPassthrough
aktiviert werden, eine Verbindung ins Internet ist allerdings nicht mehr
möglich
• Die integrierte Firewall des Centro Business-Routers ist für die Internetverbindung
nicht nutzbar
• Wenn Sie PPPoE Passthrough aktiviert haben, können die Einstellungen öffentliche
DMZ, Internetkonnektivität und public IP Pool als DHCP Pool nicht konfiguriert
werden
• TV 2.0 Apps im TV Menu wie Spiele oder YouTube können nicht genutzt werden
• TV 2.0 Help Videos können nicht abgespielt werden
• TV 2.0 Zusatzpakete wie Sprachpakete oder Teleclub können nicht via TV abonniert
werden. Die Aktivierung erfolgt ausschliesslich via Kundencenter
• Radio via TV 2.0 kann nicht genutzt werden
Statische Interface Konfiguration
Für eine statische Interface Konfiguration sind folgende Einstellungen nötig:
WAN
Im WAN Interface ist der IPv6 Configuration Type auf DHCP6 zu stellen. Natürlich wird IPv4 mittels PPPoE konfiguriert. Die Credentials findet man im Swisscom Kundencenter. Die MTU muss seit dem Firmwareupdate des Centro Business auf 9.04.xx übrigens auch bei einer PPPoE Konfiguration auf 1500 gesetzt sein.
Weiter aktiviert man nun unter DHCP6 Client Configuration:
- Advanced Configuration
- Request a IPv6 prefix/information through the IPv4 connectivity link
- Only request an IPv6 prefix, do not request an IPv6 address
- DHCPv6 Prefix Delegation size /48
- send options ia-na 0, ia-pd 0
- Non-Temporary Address Allocation
- Prefix Delegation
Nach dem Speichern und Aktivieren besteht bereits eine Verbindung zum Gateway. IPv6 Link local
Interfaces wie LAN/OPT
Durch die Konfiguration des WAN können den lokalen Interfaces nun statische IPv6 Adressen vergeben werden.
In diesem Fall wird den Interfaces jeweils ein /64 Netz vergeben und RA sowie optional ein DHCPv6 Server aktiviert.
Das Interface stellt man auf Static IPv6
Bei Swisscom bekommt man via Prefix Delegation ein /48 Netz. Aus diesem Netz können wir uns nun bedienen. In diesem Fall wird ein /64 Netz generiert.
Dazu wird unter IPv6 Adress der Prefix des Anschlusses eingetragen und mit einem beliebigen Suffix passen ergänzt und natürlich die entsprechende Subnetzgrösse gewählt. (Das Subnetz kann auch grösser gewählt werden, zB. um in einem Netz via DHCPv6-PD weitere Router nachzuschalten.)
Dies kann man bereits abspeichern.
Die Übersicht der Interfaces kann man sich auf dem Dashboard aktivieren:
RA aktivieren
Damit im Netzwerk auch automatisch IPv6 verteilt werden, ist noch der entsprechende RA zu aktivieren. Falls man nicht wie im 2ten Schritt noch den DHCPv6 Server aktiviert, ist hier Unmanaged zu wählen!
Wer via DHCPv6 Adressen verteilen möchte kann unter Router Advertisement Assisted oder Managed wählen. Der DHCPv6 Range lässt sich anhand des Interfaces nun definieren.
Spätestens nach dem Reboot hat man nun also eine native IPv6 Funktionalität über IPv6.
Damit das IPv6 Routing auch funktioniert, müssen noch die entsprechenden Firewall Regeln erstellt werden. Per Default hat zumindest bei einer pfSense Neuinstallation das LAN bereits Erlaubnis IPv6 Verbindungen zu initiieren.
Um Services im Netzwerk über IPv6 bereitzustellen, sind unter WAN die Port(s) oder Protokolle auf die entsprechenden Host zu erlauben. NAT oder gar NAPT entfällt.
Alternativ: Automatische Interface Konfiguration
Wer schnell mal ein Interface automatisch konfigurieren möchte kann dies einfacher lösen:
Unter WAN wird auch DHCP6 aktiviert. Die Advanced Configuration ist aber nicht zu aktivieren.
Es reichen folgende Punkte:
- Request a IPv6 prefix/information through the IPv4 connectivity link
- Only request an IPv6 prefix, do not request an IPv6 address
- DHCPv6 Prefix Delegation size /48
Das Interface stellt man danach nicht auf Static IPv6 sondern auf Track Interface.
Das Track Interface ist dabei WAN.
Der RA ist auch noch zu aktivieren und schon läuft die Geschichte.
Sidekicks
Mit my KMU Office kann man übrigens Reverse DNS Einträge sowohl seine IPv4 Adressen sowie der IPv6 Adressen ganz einfach via Kundencenter online eintragen.
Anregungen und eigene Erkenntnisse bitte gerne via Disqus in diesem Beitrag.
