• Welkom op het Ziggo Gebruikersforum. Een forum voor en door klanten van Ziggo
    Registreer je direct en stel zelf een vraag of neem deel aan de discussies.

Pfsense en IPv6


Vraag

gwabber

Forum Gebruiker
Lid geworden
16 nov 2021
Berichten
11
Mooi! Ziggo gaat nu IPv6 ondersteunen op mijn bridgemodem, dus we kunnen naar the third internet!

Dit maakt mij meteen ook zenuwachtig. Mijn netwerk, met als basis een Pfsense firewall, draait nu volledig op IPv4. Op mijn Pfsense firewall draaien onder meer de volgende zaken:

- meerdere subnets
- vlans
- HaProxy
- OpenVPN server

Daarnaast heb ik in mijn netwerk meerdere servers draaien die via HaProxy naar buiten praten. Ook heb ik nog een PiHole server draaien die ik graag mijn DNS laat uitvoeren.

Eigenlijk ben ik heel tevreden over mijn netwerk omdat alles naar behoren werkt. Ook zit ik er niet op te wachten dat iedere server een uniek IP krijgt omdat ik vind dat niemand hoeft te zien wat ik achter mijn firewall heb staan haha. Het liefste zou ik zo door blijven gaan, maar ontkom ik er natuurlijk niet aan om IPv6 te integreren.

Daar heb ik over nagedacht en kwam op een aantal opties:
- IPv6 volledig natten: ik weet dat dit eigenlijk niet de bedoeling is, maar lijkt me wel het prettigst omdat ik dan net als bij IPv6 met een IP adres naar buiten communiceer.

- toepassen van NPt: dan kan ik alles translaten naar een lokaal IPv6 adres. Lijkt me de tweede beste optie, omdat ik dan intern gewoon kan communiceren met een lokaal adres en ik niet alles om hoef te gooien als ik van provider wissel of mijn prefix veranderd.

- een manier vinden om NAT IPv6 te hebben en intern IPv4. Mijn Pfsense firewall zou dan als proxy kunnen dienen. Hoe dit moet en of dit kan weet ik niet.


Zo. Een hele post met een hoop vragen samengevat in een vraag: Is er iemand met verstand van Pfsense die mij antwoord kan geven op deze vragen? Ik heb me suf gezocht op het internet, maar ik kom er niet uit!

Alvast bedankt!
 

fdboer

Forum Gebruiker
Lid geworden
14 mei 2009
Berichten
962
...
- een manier vinden om NAT IPv6 te hebben en intern IPv4. Mijn Pfsense firewall zou dan als proxy kunnen dienen. Hoe dit moet en of dit kan weet ik niet.

...

NAT wil je niet op ipv6 en heb je ook niet nodig. Elk device heeft één of meer unieke adressen die zowel intern als extern te gebruiken zijn. In de firewall zet je gewoon alle ingaande ipv6 dicht en alleen wat door mag/moet expliciet open.

Ik heb geen pfSense dus hoe je daar ipv6 inricht weet ik niet. Maar over het algemeen vraag je om een 'prefix' en deze moet je doorgeven aan de andere devices in je netwerk waarna ze zelf wel een adres verzinnen gebaseerd op die prefix (SLAAC).

Maar nogmaals, NAT is op ipv6 overbodig, voegt niets toe en wordt gezien als 'bad practice'. Je moet er gewoon voor zorgen dat je je firewall op orde hebt.
 
Topicstarter
Topicstarter
G

gwabber

Forum Gebruiker
Lid geworden
16 nov 2021
Berichten
11
@itpp2011 klinkt wel als een interessante theorie. Dat zou betekenen dat je intern op IPv4 blijft werken en via een IPv6 naar buiten gaat?

@fdboer het principe van de GUA’s ken ik, maar als ik met die adressen ga routeren (met de prefix van ziggo) en ik stap ooit over of ziggo wijzigt iets, dan gaat alles in mijn netwerk stuk omdat de prefix niet meer klopt…

Daarnaast snap ik het principe van het unieke IP per apparaat, maar dat maakt ze ook als uniek identificeerbaar, wat ik niet wil (of ik mis iets)…
 

fdboer

Forum Gebruiker
Lid geworden
14 mei 2009
Berichten
962
NAT is geen beveiliging, daar begint het al mee. Mocht je servers al willen afschermen dan kan je die achter de haproxy zetten. Cliënt devices daar zou ik de privacy extensions aan laten staan zodat die altijd met een wisselend adres naar buiten gaan in plaats van hun vaste op mac adres gebaseerde ip.

Het liefst zou je een vaste prefix hebben, maar net als met ipv4 krijg je dat niet op je consumenten verbinding. Ik ken pfsense niet, maar mijn Mikrotik router kan gebaseerd op een dynamische prefix gewoon subnetten.
 
Topicstarter
Topicstarter
G

gwabber

Forum Gebruiker
Lid geworden
16 nov 2021
Berichten
11
@fdboer NAT gebruik ik ook niet als mijn beveiliging, daar is mijn firewall voor ;)

Ik zit met name met die prefix... Als je een dynamisch IPv4 adres hebt, heeft dat alleen gevolgen voor je uitgaande netwerk. Intern blijft alles hetzelfde werken. Maar hoe zit dat dan met IPv6? De prefix is onderdeel van het volledige IP adres. Als mijn prefix wijzigt, wat gebeurd er dan met de apparaten in mijn interne netwerk? Moet ik dan een geheel nieuw IP-adres gaan toewijzen?
 

fdboer

Forum Gebruiker
Lid geworden
14 mei 2009
Berichten
962
In princiepe hoef je niets toe te wijzen, als je SLAAC gebruikt krijgen de devices automatisch een nieuw adres gebaseerd op de nieuwe prefix. Ook kan je sub-prefixes dynamisch doorgeven naar andere segmenten.
Het probleem is wel dat niet alle software de mogelijkheid geeft om met dynamische prefixes te werken. Daar zul je iets op moeten verzinnen, bijvoorbeeld door een stukje scripting.
 
Topicstarter
Topicstarter
G

gwabber

Forum Gebruiker
Lid geworden
16 nov 2021
Berichten
11
bedankt voor je antwoorden tot zover! Internet werkend krijgen via IPv6 moet geen probleem zijn op die manier.

Het laatste waar ik mee zit zijn mijn services zoals PiHole. Die wil ik natuurlijk wel een volledig fixed IP geven omdat ik die als DNS server in wil zetten. IP wijzigingen daarin zijn niet handig. Hoe pak ik dat aan?
 

fdboer

Forum Gebruiker
Lid geworden
14 mei 2009
Berichten
962
Pfsense zal op het lokale netwerk in elk geval de pihole als dns moeten adverteren. In de zogeheten RA (router advertisements) is daar ruimte voor. Zelf adverteer ik een link local adres dat niet wijzigd, nadeel is dat dit een niet routeerbaar adres is maar in mijn geval is dat geen probleem.
Zoals altijd hangt het van je software af wat de opties zijn, let wel, niet alles wat je geleerd hebt met ipv4 is toepasbaar op ipv6.
De leercurve kan best stijl zijn in het begin, maar zie het als nieuwe uitdaging. Begin simpel en ga verder als je je er comfortabel bij voelt. Het is tenslotte dual stack, je hoeft niet in een keer over.
 

PieterVK

Forum Gebruiker
Lid geworden
1 dec 2021
Berichten
1
NAT heb je niet bij IPv6, dat hoeft ook niet. Je hebt NAT omdat er niet genoeg IPv4 adressen zijn om je lokale infrastructuur van een eigen adres te voorzien.
Voordat we zelf geen IPv4 adres meer krijgen zal nog wel even duren, maar als de IPv4 adressen op zijn, dan wordt de kans steeds groter dat je naar een web site wil waar geen IPv4 adres voor beschikbaar is. Dat is nu in Azie al zo, maar als dat zo is, dan heb je dus IPv6 nodig om daar naar toe te kunnen.
NAT is ook een poor mans firewall, maar bij Pfsense heb je de firewall rules die bepalen of verkeer van het WAN door mag of niet.
Dit vond ik zelf een goede uitleg: https://whirlpool.net.au/wiki/pfsense_ipv6_telstra. Ziggo vraag je om de prefix op 56 te zetten.
 
Topicstarter
Topicstarter
G

gwabber

Forum Gebruiker
Lid geworden
16 nov 2021
Berichten
11
Hey Pieter,

Bedankt voor je reactie! In principe snap ik wel dat ik geen NAT nodig heb en dat we IPv6 nodig hebben, vandaar dat ik mijn netwerk futureproof wil maken. Waar ik moeite mee heb, is dat ik het gevoel heb controle kwijt te raken.

Nu heb ik aan al m’n devices in m’n subnets een fixed IP toegekend. Dit werkt perfect en als mijn publieke IP veranderd is er niks aan de hand, want intern werkt alles nog.

Met de wijze waarop we IPv6 toepassen, met de provider prefix, ligt alles wel plat als m’n prefix een keer wijzigt of als ik switch van provider.

Hoe kan ik alles intern voorzien van een fixed IP? Dan komen volgens mij de ULA’s om de hoek kijken. Maar hoe wijs ik die toe als mijn LAN al ingesteld staat als track interface?