Zum Inhalt der Seite gehen


Mal eine dumme Frage:
Kann ich mit nur einem /64 IPv6 Adressraum mehrere lokale Netze betreiben, die voneinander abschotten und denen gleichzeitig eine Verbindung ins Internet erlauben?

Beispiel
- pfsense
- zwei Netze
NetzA = "Internet of shit"-Geräte
NetzB = alles andere
- ein /64 ipv6-Adressraum 2a01:4f8:200:710e:0:0:0:0/64

Regeln
- niemand darf Verbindungen aus dem Internet in lokale Netze machen
- alle dürfen Verbindungen ins Internet machen
- NetzB darf Verbindungen nach NetzA machen
Als Antwort auf mk

Als Antwort auf elrido

"alle diese Hosts in unabhängige Netze platziere und somit alles automatisch via default gateway abgewickelt werden würde. Das würde allerdings zusätzlichen Traffic für diesen Router bedeuten (und zusätzliche VLANs, Paketfilter-Regeln, etc.), würde dann aber auch die Sicherheit erhöhen, da ich die Zugriffe von einem Host zum anderen feiner Kontrollieren kann."

Ich will einen Punkt haben an dem ich Filterregeln definiere..alles andere ist Augenwischerei und gefährlich.
Als Antwort auf mk

Quick and Dirty howto 1/4

NetzA == internet of shit Netzwerk == WindowsNetzwerk

---
Adressraum, der zu mir geroutet wird: 2a01:4f8:200:710e:0:0:0:0 /64
---
1. Adressraum in kleinere Stücke zerhacken und via static-ipv6 an die Interfaces verteilen
WAN: 2a01:4f8:200:710e:0:0:0:254 /112
NetzA: 2a01:4f8:200:710e:0:0:1:254 /112
NetzB: 2a01:4f8:200:710e:0:0:2:254 /112

@cinux
@kranfahrer
Als Antwort auf mk

Quick and Dirty howto 2/4

2. DHCPv6 Server auf den lokalen Interfaces aktivieren (nicht auf WAN)
- Adresspool und DNS-Server (pfsense IPv6 Adresse) einstellen

@cinux @kranfahrer
Als Antwort auf mk

Quick and Dirty howto 3/4

3. Im DNS Resolver IPv6 Link-Local Verbindungen erlauben

@cinux @kranfahrer
Als Antwort auf mk

Quick and Dirty howto 4/4

4. Firewall

NetzA
- Alias mit lokalen Netzen anlegen
- Firewall-Regel: Alle Verbindungen erlauben ausser denen, die als Ziel die Netze im Alias haben ("invert match" gegen den alias)
- Firewall-Regel: lokales Netz darf mit pfsense sprechen (für z.B. DNS)

NetzB
- Firewall-Regel: Verbindungen überallhin erlauben (Destination "any" anstatt "invert match")

@cinux @kranfahrer
Als Antwort auf mk

DHCPv6 ist nur nötig wenn die standardmässigen Router-Advertisements nicht ausreichen (z.B. für persistente IPs basierend auf der MAC-Adresse) oder diese bewusst ausgeschaltet hat.
Als Antwort auf elrido

ja ich will statisches mapping haben für server und drucker

@cinux @kranfahrer
Als Antwort auf mk

Ok, also ist ein Subnetz pro host plus eines für Docker die Konfiguration die Du Dir wünscht.

In meinem Fall habe ich nur Paketfilterregeln zwischen Extern und der DMZ in der alle diese VMs sind, aber nichts was die VMs daran hindert untereinander zu kommunizieren.
Als Antwort auf mk

Ja, aber ohne SLAAC. Du musst das 64 in 2 kleinere schneiden.
Die erste Regel ist bei pfsense sowieso gegeben. Die beiden anderen regeln sind abbildbar.
Die beiden Netze müssen natürlich, wie @tux schon erwähnte, getrennt werden.
Als Antwort auf Alexander

hmm nen /64 kleiner schneiden ist irgendwie scheiße..hetzner soll mit gefälligst nen /56 geben xD

@tux
Als Antwort auf mk

never mind. hetzner lässt sich anscheinend ipv6 Adressraum vergolden xD

@buzztee
@tux
@elrido
Als Antwort auf Alexander

Käufer: Hallo..ich hätte gerne 1 Auto

Verkäufer: No problema, Amigo.. Hier hast du 1 Auto

Käufer: Ey, aber das hat nur drei Reifen

Verkäufer: Isse keine Probleme, Senior..Hier hassu vierte Reifen..Reifen koste nix, mussu nur bezahle 17,85€ für Montage durch Techniker.

@buzztee @tux @elrido
Als Antwort auf mk

Wenn wir uns darauf einigen wollen, dass IPv6 Netze immer /64 sind, dann gehört dazu, dass man einen IPv6 Raum bekommt, der größer ist, damit man Netze definieren kann.

Ich kann mich noch daran erinnern, dass Internet-Endkunden /48 Netze bekommen haben...

@buzztee @tux @elrido
Als Antwort auf mk

Naja du hast bei hetzner ja einen Server, da sehe ich aus Betreiber Sicht nicht unbedingt die Notwendigkeit dir so einen großen Adressraum zur Verfügung zu stellen. Selbst wenn man da virtuelle Maschinen drauf laufen lässt gibt man denen halt eine statische IP.
Und man hat ja ne Menge Adressen bei einem /64 für eine statische Zuordnung zur Verfügung.

Und wie gesagt brauchst du ein größeres Netz auch nur bei SLAAC, wenn du dhcpv6 einsetzt kannste auch das /64 nutzen.
@buzztee @tux @elrido
Als Antwort auf Alexander

"Naja du hast bei hetzner ja einen Server, da sehe ich aus Betreiber Sicht nicht unbedingt die Notwendigkeit dir so einen großen Adressraum zur Verfügung zu stellen[...]Und man hat ja ne Menge Adressen bei einem /64 für eine statische Zuordnung zur Verfügung."

Ich habe bei denen einen rootserver auf dem ich zwei komplett abgekapselte Infrastrukturen betreibe.

mariokuschel.info und satoshishop.de haben jeweils eine eigene pfsense, eigene netze und server.

@buzztee @tux @elrido
Als Antwort auf mk

Wie dieses "software defined netzwork/infrastructure" funktioniert, hab ich hier mal erklärt.

Migration einer kompletten IT-Umgebung in weniger als 10min von einem Standort zu einem anderen - kurze Version
https://peertube.satoshishop.de/w/1q5fWCPxQTqvYcoST8w4yc

Migration einer kompletten IT-Umgebung von einem Standort zu einem anderen - lange Version
https://peertube.satoshishop.de/w/7BfVNPvYn5xgY2dC7HMXAX

Sorry für das schlechte Audio. Ich habe im Moment keine Zeit das zu fixen.

@buzztee @tux @elrido
Als Antwort auf mk

"Selbst wenn man da virtuelle Maschinen drauf laufen lässt gibt man denen halt eine statische IP."

Das thema mit den "global ipv6 netzen" hat sich für mich eh erledigt,weil ich nicht unnötig viele externe abhängigkeiten in meiner infrastruktur haben will.

ich experimentiere derzeit mit internen Unique Local IPv6 Unicast Addresses und ipv6-NAT.

wenn ich die infrastruktur zu nem anderen hoster migriere, muss ich nur die eine öffentliche ipv6 adresse anfassen.

@buzztee @tux @elrido