Pfsense en IPv6

...
- een manier vinden om NAT IPv6 te hebben en intern IPv4. Mijn Pfsense firewall zou dan als proxy kunnen dienen. Hoe dit moet en of dit kan weet ik niet.

...

NAT wil je niet op ipv6 en heb je ook niet nodig. Elk device heeft één of meer unieke adressen die zowel intern als extern te gebruiken zijn. In de firewall zet je gewoon alle ingaande ipv6 dicht en alleen wat door mag/moet expliciet open.

Ik heb geen pfSense dus hoe je daar ipv6 inricht weet ik niet. Maar over het algemeen vraag je om een 'prefix' en deze moet je doorgeven aan de andere devices in je netwerk waarna ze zelf wel een adres verzinnen gebaseerd op die prefix (SLAAC).

Maar nogmaals, NAT is op ipv6 overbodig, voegt niets toe en wordt gezien als 'bad practice'. Je moet er gewoon voor zorgen dat je je firewall op orde hebt.
 
@itpp2011 klinkt wel als een interessante theorie. Dat zou betekenen dat je intern op IPv4 blijft werken en via een IPv6 naar buiten gaat?

@fdboer het principe van de GUA’s ken ik, maar als ik met die adressen ga routeren (met de prefix van Ziggo) en ik stap ooit over of ziggo wijzigt iets, dan gaat alles in mijn netwerk stuk omdat de prefix niet meer klopt…

Daarnaast snap ik het principe van het unieke IP per apparaat, maar dat maakt ze ook als uniek identificeerbaar, wat ik niet wil (of ik mis iets)…
 
NAT is geen beveiliging, daar begint het al mee. Mocht je servers al willen afschermen dan kan je die achter de haproxy zetten. Cliënt devices daar zou ik de privacy extensions aan laten staan zodat die altijd met een wisselend adres naar buiten gaan in plaats van hun vaste op mac adres gebaseerde ip.

Het liefst zou je een vaste prefix hebben, maar net als met ipv4 krijg je dat niet op je consumenten verbinding. Ik ken pfsense niet, maar mijn Mikrotik router kan gebaseerd op een dynamische prefix gewoon subnetten.
 
@fdboer NAT gebruik ik ook niet als mijn beveiliging, daar is mijn firewall voor ;)

Ik zit met name met die prefix... Als je een dynamisch IPv4 adres hebt, heeft dat alleen gevolgen voor je uitgaande netwerk. Intern blijft alles hetzelfde werken. Maar hoe zit dat dan met IPv6? De prefix is onderdeel van het volledige IP adres. Als mijn prefix wijzigt, wat gebeurd er dan met de apparaten in mijn interne netwerk? Moet ik dan een geheel nieuw IP-adres gaan toewijzen?
 
In princiepe hoef je niets toe te wijzen, als je SLAAC gebruikt krijgen de devices automatisch een nieuw adres gebaseerd op de nieuwe prefix. Ook kan je sub-prefixes dynamisch doorgeven naar andere segmenten.
Het probleem is wel dat niet alle software de mogelijkheid geeft om met dynamische prefixes te werken. Daar zul je iets op moeten verzinnen, bijvoorbeeld door een stukje scripting.
 
bedankt voor je antwoorden tot zover! Internet werkend krijgen via IPv6 moet geen probleem zijn op die manier.

Het laatste waar ik mee zit zijn mijn services zoals PiHole. Die wil ik natuurlijk wel een volledig fixed IP geven omdat ik die als DNS server in wil zetten. IP wijzigingen daarin zijn niet handig. Hoe pak ik dat aan?
 
Pfsense zal op het lokale netwerk in elk geval de pihole als dns moeten adverteren. In de zogeheten RA (router advertisements) is daar ruimte voor. Zelf adverteer ik een link local adres dat niet wijzigd, nadeel is dat dit een niet routeerbaar adres is maar in mijn geval is dat geen probleem.
Zoals altijd hangt het van je software af wat de opties zijn, let wel, niet alles wat je geleerd hebt met ipv4 is toepasbaar op ipv6.
De leercurve kan best stijl zijn in het begin, maar zie het als nieuwe uitdaging. Begin simpel en ga verder als je je er comfortabel bij voelt. Het is tenslotte dual stack, je hoeft niet in een keer over.
 
Dan ga ik daar eens mee aan de gang. Ik ga eens kijken of ik eruit kom haha :)
 
NAT heb je niet bij IPv6, dat hoeft ook niet. Je hebt NAT omdat er niet genoeg IPv4 adressen zijn om je lokale infrastructuur van een eigen adres te voorzien.
Voordat we zelf geen IPv4 adres meer krijgen zal nog wel even duren, maar als de IPv4 adressen op zijn, dan wordt de kans steeds groter dat je naar een web site wil waar geen IPv4 adres voor beschikbaar is. Dat is nu in Azie al zo, maar als dat zo is, dan heb je dus IPv6 nodig om daar naar toe te kunnen.
NAT is ook een poor mans firewall, maar bij Pfsense heb je de firewall rules die bepalen of verkeer van het WAN door mag of niet.
Dit vond ik zelf een goede uitleg: https://whirlpool.net.au/wiki/pfsense_ipv6_telstra. Ziggo vraag je om de prefix op 56 te zetten.
 
Hey Pieter,

Bedankt voor je reactie! In principe snap ik wel dat ik geen NAT nodig heb en dat we IPv6 nodig hebben, vandaar dat ik mijn netwerk futureproof wil maken. Waar ik moeite mee heb, is dat ik het gevoel heb controle kwijt te raken.

Nu heb ik aan al m’n devices in m’n subnets een fixed IP toegekend. Dit werkt perfect en als mijn publieke IP veranderd is er niks aan de hand, want intern werkt alles nog.

Met de wijze waarop we IPv6 toepassen, met de provider prefix, ligt alles wel plat als m’n prefix een keer wijzigt of als ik switch van provider.

Hoe kan ik alles intern voorzien van een fixed IP? Dan komen volgens mij de ULA’s om de hoek kijken. Maar hoe wijs ik die toe als mijn LAN al ingesteld staat als track interface?
 
Terug
Bovenaan