the other
Well-known member
Moinsen,
nachdem ich jetzt ein paar Tage damit verbracht habe einen Einstieg in das IPv6 Thema zu finden, habe ich mich offenbar verlaufen in meinen Gedanken und stehe jetzt etwas allein im dunklen (Halbwissens-) Wald. Daher mal ein paar kleine grundsätzliche Fragen an die werte Forumsmeute:
Momentan läuft bei mir daheim ausschließlich IPv4. Das Netzwerk ist grob folgendermaßen aufgebaut:
Fritzbox (als Edgerouter) verbunden mit pfsense dahinter mein LAN. Dieses ist segmentiert in 5 VLANs. Ein VLAN ist für das Management, hier befinden sich die switche, der GUI Zugang zur pfsense und ein Raspi mit Pihole. Auf der pfsense läuft unbound als DNS Resolver. Alle clients dürfen für DNS ausschließlich auf Pihole zugreifen, dies leitet dann die Anfragen weiter an unbound, dann ggf. weiter an die DNS rootserver. Soweit so bekannt und alles läuft tippi toppi.
Jetzt wollte ich eigentlich als dualstack IPv6 dazu schalten. Einige clients sollen via IPv6 ins Netz gehen können, zusätzlich zu IPv4. Allerdings sollen die DNS Anfragen weiter wie oben beschrieben ablaufen (also erst zu Pihole, dann zu unbound, dann...). Eigentlich, dachte ich jedenfalls, alles machbar.
Nun ist es aber nach meinem bisherigen Verständnis so: da pihole in einem anderen Netzsegment sitzt, müssen die Anfragen ja geroutet werden (PC fragt DNS aus VLAN2 ab, dafür Anfrage an Pihole in VLAN4 und unbound in VLAN4 und weiter ans WAN). Grundsätzlich wird afaik ja unterteilt bei den IPv6 Adressen in link-local (traffic innerhalb eines Netzsegmentes) und global-unicast.
Probleme:
1. ich kann in meinem Konstrukt die DNS Anfragen dann ja nicht via local-link Adresse aussenden, da dafür ja in ein anderen Segment geroutet werden muss, was soweit ich das bisher verstehe mit local-link nicht gehen wird. Also keine Möglichkeit...
2. ich könnte dafür dann die global-unicast Adressen nutzen...KÖNNTE, denn diese ändern sich ja bei einer dynamischen Präfix Vergabe durch meinen ISP. Also auch keine wirklich praktikable Lösung, denn um NUR pihole für DNS zu nutzen müsste ich dies ja per Regel in der pfsense Firewall verankern. Da nun aber die Adresse sich regelmäßig ändert...tja.
3. Alternative im LAN, um über die Segmente hinweg routen zu können wären dann die unique local adresses (ula). Super, dachte ich, aber halt: die sind ja wieder nicht ins Internet routingfähig, da eben keine globale Adresse. Also auch nix.
Aus diesen Annahmen (vielleicht hab ich ja auch alles falsch verstanden?) ergibt sich für mich:
- ich kann nicht per local-link Adresse vom PC auf pihole im anderen Segment zugreifen....
- ich kann nicht per ula ins Internet, auch wenn ich damit zuvor pihole und unbound erreichen könnte
- ich kann die global unicast Adresse nicht nutzen, da sich diese regelmäßig ändert und ich so pihole und unbound irgendwann nicht mehr erreiche bzw. müsste ich die Firewallregeln immer aktualisieren.
Puh! Sorry für den Text, ist lang geworden...
Daraus ergeben sich meine Fragen:
a) hab ich einen dicken Denkfehler gemacht? Wenn ja, wo??
b) wie erreiche ich mein Ziel, über Netzwerksegmente den DNS filter und DNS resolver zu erreichen und dann ins Internet geleitet zu werden?
c) ist das mit den dynamisch vergebenen Präfixen der global-gültigen Adressen möglich?
d) wie habt ihr das bei euch gelöst?
So, habe dann fertig und mein outing als Dummbatz auch hinter mir.
Danke für eure Ideen!
nachdem ich jetzt ein paar Tage damit verbracht habe einen Einstieg in das IPv6 Thema zu finden, habe ich mich offenbar verlaufen in meinen Gedanken und stehe jetzt etwas allein im dunklen (Halbwissens-) Wald. Daher mal ein paar kleine grundsätzliche Fragen an die werte Forumsmeute:
Momentan läuft bei mir daheim ausschließlich IPv4. Das Netzwerk ist grob folgendermaßen aufgebaut:
Fritzbox (als Edgerouter) verbunden mit pfsense dahinter mein LAN. Dieses ist segmentiert in 5 VLANs. Ein VLAN ist für das Management, hier befinden sich die switche, der GUI Zugang zur pfsense und ein Raspi mit Pihole. Auf der pfsense läuft unbound als DNS Resolver. Alle clients dürfen für DNS ausschließlich auf Pihole zugreifen, dies leitet dann die Anfragen weiter an unbound, dann ggf. weiter an die DNS rootserver. Soweit so bekannt und alles läuft tippi toppi.
Jetzt wollte ich eigentlich als dualstack IPv6 dazu schalten. Einige clients sollen via IPv6 ins Netz gehen können, zusätzlich zu IPv4. Allerdings sollen die DNS Anfragen weiter wie oben beschrieben ablaufen (also erst zu Pihole, dann zu unbound, dann...). Eigentlich, dachte ich jedenfalls, alles machbar.
Nun ist es aber nach meinem bisherigen Verständnis so: da pihole in einem anderen Netzsegment sitzt, müssen die Anfragen ja geroutet werden (PC fragt DNS aus VLAN2 ab, dafür Anfrage an Pihole in VLAN4 und unbound in VLAN4 und weiter ans WAN). Grundsätzlich wird afaik ja unterteilt bei den IPv6 Adressen in link-local (traffic innerhalb eines Netzsegmentes) und global-unicast.
Probleme:
1. ich kann in meinem Konstrukt die DNS Anfragen dann ja nicht via local-link Adresse aussenden, da dafür ja in ein anderen Segment geroutet werden muss, was soweit ich das bisher verstehe mit local-link nicht gehen wird. Also keine Möglichkeit...
2. ich könnte dafür dann die global-unicast Adressen nutzen...KÖNNTE, denn diese ändern sich ja bei einer dynamischen Präfix Vergabe durch meinen ISP. Also auch keine wirklich praktikable Lösung, denn um NUR pihole für DNS zu nutzen müsste ich dies ja per Regel in der pfsense Firewall verankern. Da nun aber die Adresse sich regelmäßig ändert...tja.
3. Alternative im LAN, um über die Segmente hinweg routen zu können wären dann die unique local adresses (ula). Super, dachte ich, aber halt: die sind ja wieder nicht ins Internet routingfähig, da eben keine globale Adresse. Also auch nix.
Aus diesen Annahmen (vielleicht hab ich ja auch alles falsch verstanden?) ergibt sich für mich:
- ich kann nicht per local-link Adresse vom PC auf pihole im anderen Segment zugreifen....
- ich kann nicht per ula ins Internet, auch wenn ich damit zuvor pihole und unbound erreichen könnte
- ich kann die global unicast Adresse nicht nutzen, da sich diese regelmäßig ändert und ich so pihole und unbound irgendwann nicht mehr erreiche bzw. müsste ich die Firewallregeln immer aktualisieren.
Puh! Sorry für den Text, ist lang geworden...
Daraus ergeben sich meine Fragen:
a) hab ich einen dicken Denkfehler gemacht? Wenn ja, wo??
b) wie erreiche ich mein Ziel, über Netzwerksegmente den DNS filter und DNS resolver zu erreichen und dann ins Internet geleitet zu werden?
c) ist das mit den dynamisch vergebenen Präfixen der global-gültigen Adressen möglich?
d) wie habt ihr das bei euch gelöst?
So, habe dann fertig und mein outing als Dummbatz auch hinter mir.
Danke für eure Ideen!