IPv6 /64 bei Firewall

    Hallo zusammen,


    ich betreibe auf einem RS eine pfSense. Nun benötige ich für eine Anwendung zwingend IPv6. Mein Plan war es eine statische IP für die Firewall zu vergeben und den Rest an die Clients dahinter zu verteilen (VLAN). Wie habt ihr das bei euch bewerkstelligt? Der Client mit der Anwendung hat das WAN Interface disabled und das sollte nach Möglichkeit auch so bleiben.

    Bedenkst Du dabei eh, dass das standardmäßige Subnetz nicht geroutet ist? Das ist nur bei zusätzlichen Subnetzen der Fall, egal ob Failover oder reguläres Produkt. Du bräuchtest somit also z.B. ndppd.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Bei einem zusätzlich gebuchten IPv6-Subnetz ist alles direkt auf eine Adresse Deines primären IPv6-Subnetzes geroutet. (Leitet sich von der MAC-Adresse ab, ist im SCP ersichtlich.) D.h. jedes Paket an jede IPv6-Adresse landet fix bei Deinem Server.


    Bei dem standardmäßig enthaltenen IPv6-Subnetz ist das nicht der Fall. Hier fragt der netcup Router über NDP bei jeder einzelnen IPv6-Adresse zuerst einmal, wer sie hat. Antwortet Dein Server nicht darauf (weil die einzelne Adresse keinem lokalen Interface zugewiesen ist), ist für das Paket beim Router Endstation. Dein System braucht somit einen NDP-Proxy. Das kann der Linux-Kernel für einzelnen Adressen auch von alleine, aber sobald man das für alle Adressen machen möchte, ist ein spezieller Daemon wie z.B. ndppd sinnvoller.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)