De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

IPv6 en geavanceerd thuisnetwerk met static adressering

Beantwoorden
GuyDB
Freshman Weetjesweter
Berichten: 12
Jij bent af! Je eerste full page! Handje vol! Alles op zijn plek!

Probleemstelling:
Ik heb thuis een pfSense sg-1100 en gebruik momenteel intern IPv4 met NAT en DHCP reservaties voor allerlei toestellen (printer, NAS, PC's). Voor de printers en NAS lijkt het vrij zelfverklarend waarom ik daarvoor een vast IP adres wil. Voor de PC's op het eerste gezicht misschien minder. Maar ik heb 2 tiener dochters en om te vermijden dat ze teveel tijd doorbrengen op sites die niet schoolgerelateerd zijn tijdens de schooluren heb ik op de firewall van de pfsense, rules opgezet die voor die machines tijdsbeperkingen instellen zodat er enkel naar die sites kan worden gesurft buiten vooraf bepaalde tijdsvensters.
Nu wil ik de overstap maken naar IPv6 adressering en vraag me af hoe ik die fixed IP adressen kan instellen. Dit dus om te voorkomen dat de geselecteerde toestellen naar bepaalde sites kunnen surfen tijdens die tijdsvensters.
Want voor zover ik het begrijp krijgen bij IPv6 alle toestellen in mijn thuisnetwerk een routeerbaar adres. Maar als ik een nieuwe prefix krijg van Telenet (ik heb geen fixed IP adres) verandert dus dat adres en werken mijn rules niet meer. Ik begrijp dat ik voor puur intern gebruik ook de linked-local en/of ULA adressen kan gebruiken, maar daarmee zijn mijn noden naar afblokken van internettraffiek volgens mij niet af te dekken.

 

Wie kan er mij helpen om dit probleem uit te klaren?
Voor alle duidelijkheid, dit is voor mij in de eerste plaats een leerschool om mijn kennis van netwerken te verhogen en dus niet om mijn tieners te pesten 😉

|========================|
|Talk is cheap, supply exceeds demand.|
|========================|
0 Likes
Beantwoorden
7 reacties
Arnie
Professional Bijna Allesweter
Berichten: 936
Full speed writing! Volop in the game! Ongelooflijk (maar waar)! Boek alvast het Sportpaleis!

Ik ken de PfSense niet, maar in bijvoorbeeld een Fritzbox stel je de rules in voor het host gedeelte van het IPv6 address, en niet de prefix.

Dus zelfs als de prefix veranderd blijft de rule gewoon werken.

 

Helaas is dit bij mijn nieuwe UDM Pro router niet het geval. Daar dien je het volledige IPv6 adres in te geven, waardoor de rule niet langer werkt indien de prefix zou veranderen.

 

Telenet kent nu een /56 prefix per HGW of modem-only toe, en deze lijkt fixed te zijn.

In mijn geval bijvoorbeeld :6700: /56

Het probleem is echter dat deze (in geval van gebruik van een HGW) opgedeeld wordt in /60 prefixes. De eerste (:6700: /60) wordt gereserveerd voor het LAN direct verbonden aan de HGW. Je eigen router ontvangt via Prefix Delegation een volgende prefix (meestal :6710: /60). Het probleem is dat deze soms ook het tweede of derde prefix ontvangen kan (:6720: /60) enz.

Dit probleem zal opgelost worden waneer ze PD met /57 gaan gebruiken. Dan zijn er maar twee /57 prefixes mogelijk binnen de toegekende /56 prefix. Opnieuw zal de eerste prefix voor het direct verbonden LAN gebruikt worden. De tweede prefix voor PD.

Dit is gepland, maar nog niet duidelijk wanneer het uitgerold zal worden.


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Professional Bijna Allesweter
Berichten: 936
Full speed writing! Volop in the game! Ongelooflijk (maar waar)! Boek alvast het Sportpaleis!

In ieder geval 2 jaar geleden leek de PfSense dezelfde beperking te hebben als mijn UDM Pro, zie:

https://www.reddit.com/r/PFSENSE/comments/945g8o/basics_firewalling_with_ipv6/

Voor mijn UDM Pro ben ik aan het kijken of ik via een script de config file kan aanpassen.

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
kristofDW
Professional Bijna Allesweter
Berichten: 935
It's your second party! Ongelooflijk (maar waar)! Boek alvast het Sportpaleis! Krak

@GuyDB Als je de pfsense gebruikt als dhcp server is het vrij simpel. Je moet een device aanduiden in het netwerk en je geeft deze een ip reservatie. Het zal een internet ip range zijn zoals 192.168.x.x

Hier kan je dus instellen dat je ipv6 capable bent of niet. Je kan dus een ip reservatie doen op zowel ipv4 en ipv6. Hou er rekening mee dat niet alle websites ipv6 ondersteunen. Dus gebruik ook ipv4 (actief laten staan)

Je kan ook een reservatie doen op mac adres ,dat is misschien gemakkelijk in te stellen voor jou?

Als je een rerouting doen van ipv4 naar ipv6 kan je soms translating problemen hebben, die er voor zorgen dat je een timeout hebt. Dus hoe meer je dingen gaat omzetten, hoe meer kans op errors.

Kijk ook de MTU waarde na die je instelt op je pfsense.Te hoge of lage waarde geeft drops en kans op time outs.

Veel succes !

 


KristofDW | Krak
carpé diem.
Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
igvfer
Professional Superweter
Berichten: 6296
Organisatietalent! Topic held(in)! Wat een systeem! Happy New Year!

@Arnie  schreef:

 

Dit probleem zal opgelost worden waneer ze PD met /57 gaan gebruiken. Dan zijn er maar twee /57 prefixes mogelijk binnen de toegekende /56 prefix. Opnieuw zal de eerste prefix voor het direct verbonden LAN gebruikt worden. De tweede prefix voor PD.

Dit is gepland, maar nog niet duidelijk wanneer het uitgerold zal worden.


Ben je daar zeker van? Dat er maar 2 zijn? Volgens mij zijn er dat 8. Ergens tussen 0 en 7 of 8 en F.  Afhankelijk of de 57e bit een 0 of een 1 is. Of ben ik zo verkeerd in mijn binair denken? Is maar een vraag hoor van iemand die nog veel te leren heeft. 🤔



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Professional Bijna Allesweter
Berichten: 936
Full speed writing! Volop in the game! Ongelooflijk (maar waar)! Boek alvast het Sportpaleis!

@igvfer  schreef:


Ben je daar zeker van?


Ja, daar ben ik zeker van 🙂

Hier is een goede site waarmee je eenvoudig de prefix te berekenen.

http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

 

In mijn geval is de prefix bijvoorbeeld zoiets als

2a02:1111:1111:6700

 

Met de huidige PD prefix lengte van /60 betekent het dat er 16 mogelijke prefixes zijn:

prefix 1 beslaat range 6700-670F

prefix 2 beslaat range 6710-671F

prefix 3 beslaat range 6720-672F

....

prefix 15 beslaat range 67E0-67EF

prefix 16 beslaat range 67F0-67FF

 

Indien je een /57 prefix lengte zou gebruiken zijn er maar 2 mogelijke prefixes:

prefix 1 beslaat range 6700-677F

prefix 2 beslaat range 6780-67FF

 

De prefix is in zekere zin te vergelijken met een subnet in IPv4.

Apparaten in prefix 1, dus met een prefix adres gedeelte ergens tussen 6700-677F kunnen met elkaar communiceren zonder router.

Om vanuit bovenstaand 6700-677F netwerk een IPv6 adres te bereiken met een adres in de range 6780-67FF is een router noodzakelijk.

 

Dit vergelijkbaar met het opsplitsen van een /24 subnet in 2 stukken, door gebruik te maken van een /25 netmask:

192.168.1.0 / 24 = 192.168.1.0 / 25 + 192.168.128.0 / 25

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
GuyDB
Freshman Weetjesweter
Berichten: 12
Jij bent af! Je eerste full page! Handje vol! Alles op zijn plek!

Aan allen die hebben geantwoord, bedankt voor de feedback.

Ik denk dat ik het even ga laten rusten en me nog wat verder ga inlezen, want mijn vermoeden is dat ik bepaalde denkwijzen uit de IPv4 wereld achterwege moet laten om volledig te begrijpen hoe ik alles intern opzet. Vooral het concept dat een adapter meerdere IPv6 adressen heeft lijkt me iets om verder te bekijken, maar ook het feit dat name resolution (DNS) een belangrijker rol speelt bij IPv6 neem ik zeker mee.

|========================|
|Talk is cheap, supply exceeds demand.|
|========================|
0 Likes
Beantwoorden
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

Ik wil toch nog even mijn input geven 😉

 

Je hebt nog een challenge: als je Windows of Mac gebruikt gaan die PC's/Macs default temporary IPv6 adressen genereren, naast hun normaal publiek IPv6 adres.  En ze gaan die adressen gebruiken om naar het internet te gaan.  Dit zijn de "privacy extensions" voor SLAAC in IPv6.

Dus zelfs al zou je je firewall rules kunnen maken op basis van IPv6 adressen, dan heeft dit geen zin.

 

Je kan die eventueel wel disablen, maar dat moet manueel: https://lonesysadmin.net/2018/01/23/disable-windows-ipv6-temporary-addresses/

Dus statische IPv6 adressen kunnen dan idd een oplossing zijn als je firewall overweg kan met enkel het host gedeelte. Ik zou persoonlijk niet die weg op gaan.

 

Als je echt een sluitende oplossing wil, dan heb je een firewall nodig die naast IP adressen ook naar de gebruiker kijkt. Dit gebeurt typisch met een agent.  Ik heb een Palo Alto firewall en de clients zijn uitgerust met een kleine agent "GlobalProtect".  Die geeft aan de firewall een lijst met mappings tussen gebruikersnaam al alle IPv6 adressen die die host op dat moment in gebruik heeft.

Op de firewall maak je dan policies op basis van gebruikersnamen ipv IP adressen. Dat werkt altijd, ook met temporary IPv6 adressen.

Deze oplossing ga je natuurlijk enkel terugvinden op firewalls uit het corporate segment. Ik heb er eentje gekregen van de fabrikant zelf omdat ik veel voor hen doe 😉

 

Ik wil maar aangeven, technisch is dat de enige oplossing die tegelijkertijd werkend en schaalbaar is.

 

Maar mijn benadering is tegenwoordig: de kinderen niet te veel beknotten en hun zelf laten ontdekken wat kan en wat niet kan.  Te betuttelend te werk gaan is niet meer van deze tijd. Bovendien zijn ze niet altijd thuis, en ze hoeven maar wifi af te zetten om via 4G je firewall te omzeilen. 

 

 

Dit kan je eventueel nog bekijken: https://signup.opendns.com/homefree/

URL filtering op basis van IPv6. Je hebt dan een portal waar je bepaalde URL categorieën kan blokkeren of toelaten.  Het enige wat je moet doen zijn de IPv6 DNS servers alloceren aan je clients.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden