Hallo zusammen,
ich habe da eine Verständnissfrage, denke ich:
habe bisher in meinem Netz IPv4 verwendet. Nun wollte ich (auch zum Selbststudium) IPv6 bei mir einsetzen. Soweit ist es auch jetzt im Einsatz, Firewall und Clients gehen jetzt per IPv6 ins Internet.
Nun habe ich Rustdesk hinter Zoraxy am Laufen. Zoraxy leitet auch IPv4 schön an des Rustdesk weiter.
Aber mit IPv6 mache ich ja keine Weiterleitung. Dazu müsste ich die Rustdesk v6 Adresse im dyndns melden. Mit der aktuellen im Dyndns (von der Firewall) funktioniert es ja nicht.
Wie kann ich denn meinen Rustdesk per IPv& erreichbar aus dem Internet?
Ich mach in der Firewall die Ports zu meinem Rustdesk auf. Die IPv6 ändert sich jedoch…
Ist dann nicht mehr die gleiche globale. Auch auf den Zoraxy leite ich die v6 nicht weiter (oder?).
Stehe da auf dem Schlauch, hab ich das so richtig „geplant“ oder bin ich irgendwie ganz falsch?
Danke im voraus für Eure Hilfe.
Tom
Konkretere Infos müsstest du schon liefern.
- die Firewall … die Clients … Welche (z.B. Betriebssystem)???
- gehen jetzt per IPv6 ins Internet … Aber wie? SLAAC DHCPv6?
- nutzt du IPv6-Prefix-Delegation?
So ist das alles nur stochern im Nebel
Hallo @tomlide,
doch denke ich schon, sonst hätte ich nicht danach gefragt. Als erstes empfehle ich dir (falls du es nicht bereits kennst IPv6 for generic DSL dialup aus der OPNsense Documentation.
Dann empfehle ich dir SLAAC in den LAN-Segmenten deiner sense zu nutzen, in denen keine Server sind, die du per IPv6 aus dem Internet erreichbar machen willst. Die Server hingegen kommen in eine anderes Segment (VLAN oder mit eigenen Netzwerkschnittstelle) und sollten per DHCPv6-Server mit IPv6-Adressen versorgt werden.
Gut. In der oben von mir verlinkten OPNsense Documentation wird dieser Prefix genutzt um den einzelnen LAN-Segmenten der sense /64-Prefixe zuzuweisen.
Nicht ganz richtig. Eine Weiterleitung im Sinne von Firewall-Rules benötigt es schon noch, nur kein NAT, wie bei IPv4. Server, wie meine Nextcloud, bekommen von meiner pfsense auf Basis des /64-Prefix eine /128-IPv6-Adresse. Jetzt gubt es zwei Optionen:
- jeder Server updatet seine eigene IPv6-Adresse beim DynDNS-Anbieter
- die Firewall oder der Router updaten stattdessen den /64-Prefix des LAN-Segments in dem sich die Server befinden
Ich nutze die zweite Methode mit meiner pfsense. Auch FritzBoxen können das. Leider weiß ich nicht ob das auch mit einer OPNsense machbar ist. Generell ist der /64-Prefix ja für alle DHCPv6-Clients gleich. Daher reicht es nur diesen zu aktualisieren und bei ipv6.net für jeden Client einen AAAA-Record im Format: „Interface-ID“ (ex. ::6743:12::f9aa::44a1) oder „EUI-64 MAC“ (ex. 3C:49:37:12:26:B3) zu erstellen.
Danke für Deine Antwort.
ich lasse das Update der IPv6 den Server erledigen. Das macht der auch. und von aussen kann ich den server über IPv6 anpingen.
Wenn ich die WAN Regel (in der ich ICMPv6 und den Port für Rustdesk öffne) in der OPNSense deaktiviere, dann geht auch der Ping nicht mehr…