IPv6 handmatig instellen

Ik gebruik een Cisco Firepower firewall voor mijn internetverbinding.
Ipv4 werkt prima naar behoren, maar ik krijg IPv6 niet werkend.

Mijn firewall krijgt geen DHCP adres op de wan interface.
Nu heb ik dat even snel willen testen door mijn pc in in hetzelfde vlan te zetten als de wan koppeling, maar ook dan krijg ik geen IPv6 adres via DHCP.

Nu kan dat natuurlijk komen omdat mijn PC geen PPPoE verbinding heeft opgebouwd, dus wellicht moet ik dat nog even proberen.

Mijn vraag is dan ook voornamelijk; kan ik handmatig mijn IPv6 instellingen in mijn firewall inkloppen, (incl default gateway), of gaat dat sowieso niet vliegen?

De IPv6 adres verkrijgings methode is DHCP PD (Prefix Delegation) Niet DHCPv6 or RA.
Het apparaat dat de PPPoE doet (bv. Router) dan moet die ook DHCPv6 PD gebruiken.
PPP vraagt geen IPv6 op.(wel IPv4).

Static instellen gaat het niet vliegen omdat bij de aanvraag voor IPv6 ook de IPv6 kraan wordt opengezet.
(ander zie je geen verkeer).

1 like

Je hoort ook geen IPv6-adres op je wan-interface te krijgen. De wan-interface moet een PPPoE-tunnel opzetten, wat IPv4-only is. Binnen die PPPoE-tunnel wordt er een DHCPv6 Prefix Delegation gedaan. Er wordt dan een /48 toegewezen, waarvan je een deel (doorgaans een /60 of een /64) aan je LAN toe kunt wijzen. Het link-localadres van Freedom’s access router is de default gateway van dat subnet.

In mijn geval:

default from 2a10:3781:abcd::/48 via fe80::230:88ff:fe04:9094 dev pppoe-wan  metric 512

Het 2a10:3781:abcd::/48-subnet is toegewezen aan de lan-interface op m’n router, die op zijn beurt dus RA’s verzendt en DHCPv6-leases uitgeeft. Alle traffic naar buiten loopt via het link-localadres van de access router, binnen de PPPoE-tunnel (dus niet op de wan-interface).

1 like

Thanks, dat helpt me al een stuk op weg!
Ik had van de servicedesk begrepen dat er DHCP gebruikt zou worden.

Dan moet ik even uitvissen hoe ik mijn Firepower firewall met prefix delegation om laat gaan.
Moet mijn firewall dan ook iets van een IPv6 adres krijgen, zodat deze ook over Ipv6 kan communiceren? (ik test graag eerst verkeer vanaf de firewall en dan pas interne clients)

Ik ga weer even puzzelen.

Die zou ik 2a10:3781:abcd::1 geven. Dat is dan ook direct de gateway voor je LAN.

Dat klopt, je prefix wordt via DHCPv6 opgehaald. Dus ja je hebt een DHCPv6 client nodig die PD opvraagt en toewijst aan interfaces.
M’n firewall heeft voor elke interface (behalve ppp0) een IPv6 adres. (allen Prefix:LANid::1 )
(tools op linux: dhcpcd, dibbler-client )

1 like

Dan moet dit adres natuurlijk wel op de interne interface gezet worden.

Thanks voor alle informatie.
Het blijkt dat de firewall (nog) geen ondersteuning heeft voor prefix delegation, dus daar zal ik op moeten wachten tot dat het in een future release geregeld word.

Of zijn er nog tips voor een goede firewall? liefst iets wat goed te beheren is en mogelijk met deep packet inspection.
Ik had een USG3 van unifi, maar dat is echt een draak om te configureren. (met diverse JSON scripts om tv te laten werken etc)

Zelf heb ik een edgerouter van Ubiquiti, maar ik weet niet of die ook DPI doet.

Ik heb een linuxbak ingericht als firewall (dat is 20 jaar geleden al begonnen, dus DIY, en doet veel meer niet standaard zaken). Je kan kijken naar een van de Firewall Distributies die op Linux of FreeBSD gebaseerd zijn.
fsSense is zeker de beroerdste niet.

Hoi,

Beetje laat antwoord misschien maar ik gebruik PFsense op een HP Thinclient 620+. Werkt perfect en wat fijn is dat je Suricata en Pfblocker kan gebruiken. Pfblocker werkt redelijk out of de box. Suricata heeft wat langer aandacht nodig omdat je nu en dan onterechte blocks hebt. Wanneer je na een testfase van twee weken de foutje seruit hebt is het stabiel.

Kijk ook zeker eens naar OPNsense, net als pfSense een fork van m0n0wall