IPv6 mit Fritzbox und OpnSense bei Vodafone

Kunden bei Vodafone Kabel bekommen immer ein IPv6 Netz zugewiesen. In meinem Fall ist das ein /63 Netz. Da ich allerdings ein Doppel-NAT betreibe bekommen meine Clients keine IPv6 Adresse aus diesem Netz.

Warum überhaupt IPv6?

IPv6 fördert die End-to-End-Konnektivität. Dies ist wichtig, um eine direkte Kommunikation zwischen den Endgeräten im Internet zu ermöglichen, ohne dass komplexe Netzwerkadressübersetzung (NAT) eingesetzt werden muss, wie dies häufig bei IPv4 der Fall ist. Zudem hat IPv6 einige Verbesserungen gegenüber IPv4 in Bezug auf die Netzwerkeffizienz und Leistung. Dies umfasst eine optimierte Header-Struktur, die die Router-Verarbeitung erleichtert, sowie die Unterstützung für Multicasting, was dazu beiträgt, den Datenverkehr effizienter zu gestalten. IPv6 wurde mit Sicherheitsverbesserungen konzipiert. IPsec (Internet Protocol Security) ist in IPv6 integriert und bietet eine standardmäßige Verschlüsselung und Authentifizierung des Datenverkehrs. Angesichts der begrenzten Verfügbarkeit von IPv4-Adressen ist IPv6 die Zukunft des Internetprotokolls. Die Umstellung auf IPv6 stellt sicher, dass Netzwerke auch in den kommenden Jahren und Jahrzehnten in der Lage sind, mit dem ständig wachsenden Bedarf an IP-Adressen Schritt zu halten.

Einstellungen an der Fritzbox

Zuerst stellen wir alles bei der Fritzbox ein. Wir navigieren zu Heimnetzwerk -> Netzwerk -> Netzwerkeinstellungen -> IPv6-Einstellungen.

Router Advertisment im LAN aktiv

Die Einstellung ganz oben schalten wir ein. Dann möchten wir, dass die Unique Local Addresses (ULA) immer zugewiesen werden. Den ULA Prefix können wir uns quasi selbst ausdenken.

Screenshot der Fritzboxoberfläche zur ULA IPv6 Konfiguration

DNSv6 Server im Heimnetz

Ich habe den nicht aktiv. Ich versuche erst mal mein Pi-Hole im Netzwerk zu verwenden. Bisher habe ich noch keine Nachteile dadurch entdeckt.

DHCP-v6 Server im Heimnetz

Hier wird es spannend, weil hier die Zuweisung an die Endgeräte gemacht wird. Entsprechend aktivieren wir die erste Option DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren. Dann möchten wir DNS-Server und IPv6-Präfix (IA_PD) zuweisen. Den Rest lassen wir auf Standardeinstellung.

Screenshot der Fritzboxoberflächen der DHCPv6 Server Konfiguration

Einstellungen an der opnSense

Nun können wir mit der Konfiguration der opnSense fortfahren. Grundlegend sollten die Einstellungen auch sehr nah zur pfSense sein. Die Screenshots passen dann natürlich nicht mehr.

Einstellungen am WAN Interface

Wir starten mit den Einstellungen am WAN Interface. Also der Port mit dem sich die opnSense zur Fritzbox verbindet. Als erstes stellen wir den IPv6 Konfigurationstyp auf DHCPv6. In der DHCPv6 Clientkonfiguration fordern wir das IPv6 Prefix an und stellen die Präfixdelegationsgröße auf 63 (also ein bit kleiner als unser Netzwerk groß ist). Zudem senden wir den IPv6 Präfixhinweis.

Screenshot der opnSense Oberfläche zu der DHCPv6 Clientkonfiguration

Einstellungen des LAN Interface

Wir können auf Grund der Zuweisung des Netzes bis zu zwei Client Netzwerke mit IPv6 Adressen ausstatten. Wenn nur nur ein internes Netzwerk hast, sollte das natürlich kein Problem sein. Ich habe aber mein Normales Netzwerk für Server etc vom Client-Netzwerk getrennt und vergebe hier pro Netz IPv6 Adressen. Netzwerke wie für IoT Geräte oder Gastnetze können per IPv4 weiterhin verbleiben.

Unter Schnittstellen -> LAN möchten wir den IPv6 Konfigurationstyp ändern. Den müssen wir auf Schnittstelle aufzeichnen stellen. Ganz unten erscheint dann eine weitere Einstellungsgruppe mit dem Namen IPv6-Schnittstelle aufzeichnen. Die Schnittstelle setzen wir dann auf WAN, weil hier ja unsere IPv6 Pakete her kommen. Die Präfix-ID setzen wir auf 0. Solltest du ein weiteres Netz konfigurieren, stellst du die ID dann im anderen Netz auf 1. Wichtig ist unten noch das Häkchen bei Ermöglichen Sie die manuelle Anpassung von DHCPv6- und Router-Ankündigungen* zu setzen!

Hier das ganze noch mal als Screenshot: Screenshot der opnSense Oberfläche LAN Einstellungen

Router Advertisement

Als nächstes müssen wir das Router Advertisement einstellen. Dazu auf Dienste -> Router Advertisement -> LAN klicken. Sollte der Punkt noch nicht vorhanden sein, kontrolliere mal ob du überall die Einstellungen auch korrekt gespeichert hast. Gegebenenfalls auch mal den Browser neu laden. Viel müssen wir hier nicht einstellen. Lediglich das Router Advertisement auf NichtVerwaltet.

Firewall Einstellungen überprüfen (optional)

Ich hatte noch das Problem, dass ich nur mit IPv4 Paketen ins Internet kam, allerdings nicht per IPv6. Entsprechend musste ich noch eine Firewall Regel anpassen. Unter Firewall -> Regeln -> LAN. Dort bearbeiten wir die ausgehende Regel und klicken hinten auf den Stift. Im sich öffnenden Fenster stellen wir die TCP/IP Version von IPv4 auf IPv4+IPv6 um. Anschließend auf speichern.

Testen der IPv6 Verbindung

Als erstes sollten wir gucken ob alle Interfaces auf der opnSense auch eine IPv6 Adresse bekommen haben. Dazu bitte unter Schnitstellen -> Überblick deine WAN Schnittstelle aufklappen. Du solltest unter IPv6-Adresse nun zwei Adressen haben. Einmal aus dem Vodafone Netz und eine die mit fd beginnt. Das ist die Adresse aus dem Bereich das wir bei der Fritzbox unter ULA Prefix eingestellt haben. Unter deinen LAN Interfaces solltest du auch jeweils zwei Adressen haben. Wenn dem nicht so ist, kontrolliere nochmals alle Einstellungen.

Wenn bis dahin alles korrekt eingestellt wurde, öffnen wir die Seite ipv6-test.com. Diese kontrolliert nun ob ihr mit einer IPv4 und einer IPv6 Adresse ankommt. Entsprechend sollte es ähnlich zu meiner Anzeige sein.

Screenshot von ipv6-test.com mit funktionierender IPv6 Verbindung