IPv6 prefix delegation met return route

aswinnen · ‎23-05-2019

Hello Allen!

Ik zou een deel van m'n netwerk willen firewall'n in IPv6. Ik heb hiertoe een Fortigate staan. IPv4 is eenvoudig te regelen via NAT, maar IPv6 is een ander verhaal: Ik heb de Firewall geconfigureerd met als WAN adres een DHCP IPv6 adres en aan de LAN kant doe ik Prefix Delegation, zoals beschreven in volgende post: https://thorsten-on-tech.blog/2018/06/08/ipv6-with-prefix-delegation-on-fortigate/

Voor de volledigheid, hetvolgende haal ik uit het mijn-Telenet portaal:

LAN-subnet IPv6

2a02:1811:xxxx:xx00:0000:0000:0000:0000/64

IP-adres (IPv6)	2a02:181f:1:41e1:2805:c2c2:yyyy:yyyy
Prefix (IPv6)	2a02:1811:xxx:xx00::/56

Mijn werkstation krijgt nu netjes een IPv6 adres toegekend in het subnet 2a02:1811:xxx:xxf0::/64

Prachtig!

Het enige overblijvende issue: de return route... Ik kan op mijn Telenet DOCSIS3.0 router geen return route zetten naar m'n Fortigate voor dit subnet (2a02:1811:xxx:xxf0::/64). Ik zou liever niet NAT'n, momenteel heb ik op het eerste zicht geen alternatief dan gebruik te maken van een NAT-pool binnen de range 2a02:1811:xxx:xx00::/64 (2a02:1811:xxx:xx00:1:0:0:1 tot 2a02:1811:xxx:xx00:1:0:0:FFFF). Wat ook storend is: wanneer m'n IPv6 subnet nu zou wijzigen, ben ik verplicht m'n configuratie aan te passen...

Iemand een beter plan om de return route in orde te krijgen? BGP met de Telenet router zal niet lukken vrees ik 🙂

igvfer · ‎23-05-2019

Net zoals je voor IPv4 geen vast IP adres krijgt, is je IPv6 prefix ook niet vast.

En Telenet hanteert een /56 prefix met alleen subnet 00. In de toekomst zal je misschien meer subnetten kunnen krijgen of kopen.

Ik weet echt niet hoe je dit kunt aan de praat krijgen met een HGW want dit is router na router.

Is het nu al mogelijk met hetgeen je nu hebt gedaan om reeds op het internet te geraken?

Er is hier al eens een topic verschenen met een vraag daarover, maar daarin ging het over prefix translation een soort NAPT.

Ik vind het eigenaardig dat je een prefix krijgt eindigend op f0(2a02:1811:xxx:xxf0::/64). Dit zou niet mogen kunnen/zijn want de totale prefix is de verantwoording van de provider.

Ik denk dat je ergens moet instellen prefix /56 met ID 00 want je krijgt niet anders van Telenet.

Hoe je voor uw locale adressen de resterende 64 bits benoemd is afhankelijk van de instellingen in je router. SLAAC op basis van de macadressen, DHCPv6 maar dat is lastig als er Android toestellen in je netwerk zitteof komen, of volledig manueel.

In het eerste en het laatste geval heeft een verandering van prefix geen invloed op je netwerk tenzij je natuurlijk van buitenaf een toestel binnen uw netwerk wil bereiken.

Maar Telenet verandert niet snel zijn IPadressen. Ik heb zeker al meer dan een jaar hetzelfde zowel IPv4 als IPv6.

En wat betreft NAT. Ik weet niet waarom er daar zo moeilijk over gedaan wordt want het ganse internet is een groot NAT gedoe. Je boodschap reist van het ene netwerk naar het andere.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

igvfer · ‎23-05-2019

Nog eens op die link gekeken en dat is wat ik lees:

"

Comcast will assign you a delegated /64 or /60 prefix on a residential line. A business line can receive up to a /56. These prefixes are dynamic and will change, just like a DHCPv4 address.

If you have a residential line and just one network internally, the default /64 will do fine.

"

Dus ik denk dat je enkel kunt gebruik maken van de /64 prefix want Telenet ondersteunt enkel /56 met ID 00 wat neerkomt op een /64.

Je zal misschien wel een andere prefix krijgen maar dit wordt niet gevolgd.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.

aswinnen · ‎23-05-2019

Het zou kunnen dat ik eigenlijk geen IP toegewezen zou moeten krijgen (misschien is het een default setting of reeds klaar voor toekomstige producten, het betreft hier wel een WiGo Business abo). Ik heb ook eens getest met een andere subnet lengte als hint (bvb /96), maar toch kreeg ik een /64 toegekend. Met NAT werkt het in ieder geval voor PC's (wired). Andere devices moet ik nog eens testen.

Als je met de :1 speelt in volgende setting (staat nu op :0 bij mij), krijg je effectief een volgend prefix toegekend...

ip6-delegated-prefix-list

set subnet 0:0:0:1::/64

Volgens mij zijn de enige twee missende componenten: Dynamisch de default gateway zetten op m'n Fortigate (die neemt hij niet binnen via DHCP6 en er is natuurlijk geen routeringsprotocol tussen de Telenet Router en m'n Fortigate) en de return route op de Telenet Router.

Alvast bedankt voor de interacties!

Ex-Netweter · ‎24-05-2019

Hoi,

Wordt de /56 niet volledig doorgestuurd naar uw firewall? Welke IPv6 prefix krijg je te zien op de WAN? Let wel op: default route krijg je niet binnen via DHCPv6, die krijg je binnen via Router Advertisements (RA).

Welke route staat er op uw firewall naar de Fortigate?

Probeer NAT of PAT te vermijden met IPv6, is zeker niet hetzelfde als bij IPv4. Deze woordenschat in combinatie met IPv6 is hetzelfde als vloeken 😉

Ik heb zelf ook een Fortigate met IPv6 geconfigureerd staan gedurende een langere periode. Welke versie heb je draaien op uw Fortigate? Welke IPv6 policies? Aan de interne kant maak ik ook gebruikt van DHCPv6. Bijna alle recente OS versies ondersteunen vandaag DHCPv6.

Thierry

igvfer · ‎24-05-2019

Volgens mij moet je instellen dat de prefix een /64 is ofwel zoals bij sommige routers het geval is prefix /56 en subnetID 00, vermits Telenet geen andere uitgeeft. De prefix is tenslotte volledig in handen van de provider. Die bepaalt welke subnetten hij toelaat.

  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.