Fragen zu IPv6 im Heimnetz...bin zu doof

the other

Well-known member
Moinsen,
nachdem ich jetzt ein paar Tage damit verbracht habe einen Einstieg in das IPv6 Thema zu finden, habe ich mich offenbar verlaufen in meinen Gedanken und stehe jetzt etwas allein im dunklen (Halbwissens-) Wald. Daher mal ein paar kleine grundsätzliche Fragen an die werte Forumsmeute:

Momentan läuft bei mir daheim ausschließlich IPv4. Das Netzwerk ist grob folgendermaßen aufgebaut:

Fritzbox (als Edgerouter) verbunden mit pfsense dahinter mein LAN. Dieses ist segmentiert in 5 VLANs. Ein VLAN ist für das Management, hier befinden sich die switche, der GUI Zugang zur pfsense und ein Raspi mit Pihole. Auf der pfsense läuft unbound als DNS Resolver. Alle clients dürfen für DNS ausschließlich auf Pihole zugreifen, dies leitet dann die Anfragen weiter an unbound, dann ggf. weiter an die DNS rootserver. Soweit so bekannt und alles läuft tippi toppi.

Jetzt wollte ich eigentlich als dualstack IPv6 dazu schalten. Einige clients sollen via IPv6 ins Netz gehen können, zusätzlich zu IPv4. Allerdings sollen die DNS Anfragen weiter wie oben beschrieben ablaufen (also erst zu Pihole, dann zu unbound, dann...). Eigentlich, dachte ich jedenfalls, alles machbar.

Nun ist es aber nach meinem bisherigen Verständnis so: da pihole in einem anderen Netzsegment sitzt, müssen die Anfragen ja geroutet werden (PC fragt DNS aus VLAN2 ab, dafür Anfrage an Pihole in VLAN4 und unbound in VLAN4 und weiter ans WAN). Grundsätzlich wird afaik ja unterteilt bei den IPv6 Adressen in link-local (traffic innerhalb eines Netzsegmentes) und global-unicast.
Probleme:

1. ich kann in meinem Konstrukt die DNS Anfragen dann ja nicht via local-link Adresse aussenden, da dafür ja in ein anderen Segment geroutet werden muss, was soweit ich das bisher verstehe mit local-link nicht gehen wird. Also keine Möglichkeit...

2. ich könnte dafür dann die global-unicast Adressen nutzen...KÖNNTE, denn diese ändern sich ja bei einer dynamischen Präfix Vergabe durch meinen ISP. Also auch keine wirklich praktikable Lösung, denn um NUR pihole für DNS zu nutzen müsste ich dies ja per Regel in der pfsense Firewall verankern. Da nun aber die Adresse sich regelmäßig ändert...tja.

3. Alternative im LAN, um über die Segmente hinweg routen zu können wären dann die unique local adresses (ula). Super, dachte ich, aber halt: die sind ja wieder nicht ins Internet routingfähig, da eben keine globale Adresse. Also auch nix.

Aus diesen Annahmen (vielleicht hab ich ja auch alles falsch verstanden?) ergibt sich für mich:

- ich kann nicht per local-link Adresse vom PC auf pihole im anderen Segment zugreifen....
- ich kann nicht per ula ins Internet, auch wenn ich damit zuvor pihole und unbound erreichen könnte
- ich kann die global unicast Adresse nicht nutzen, da sich diese regelmäßig ändert und ich so pihole und unbound irgendwann nicht mehr erreiche bzw. müsste ich die Firewallregeln immer aktualisieren.

Puh! Sorry für den Text, ist lang geworden...

Daraus ergeben sich meine Fragen:
a) hab ich einen dicken Denkfehler gemacht? Wenn ja, wo??
b) wie erreiche ich mein Ziel, über Netzwerksegmente den DNS filter und DNS resolver zu erreichen und dann ins Internet geleitet zu werden?
c) ist das mit den dynamisch vergebenen Präfixen der global-gültigen Adressen möglich?
d) wie habt ihr das bei euch gelöst?

So, habe dann fertig und mein outing als Dummbatz auch hinter mir.

Danke für eure Ideen!
;)
 
Könntest (rein lokal) auch die pfsense als DNS (Resolver) für die lokalen Netze angeben, welche wiederum den pihole fragt, welcher wiederum im Internet fragt :)
 
Ohje... bei v6 im LAN (abgesehen vom global scope) hört es bei mir auch auf, ein Hexenwerk kann es aber auch nicht sein...

ich kann in meinem Konstrukt die DNS Anfragen dann ja nicht via local-link Adresse aussenden
Nicht in das entsprechende VLAN, korrekt. Hier frage ich mich aber auch bereits, warum der DNS Resolver überhaupt in einem VLAN ist, und nicht direkt über das LAN bzw. aus jedem Netzsegment erreichbar...
ich könnte dafür dann die global-unicast Adressen nutzen...KÖNNTE
Ja nee... das ist echt Mülleimer und absolut unpraktikabel solange v6 wie bisher in sämtlichen Systemen implementiert ist und Präfixänderungen nicht automatisch verarbeitet werden.
Auch mal wieder schade, denn eigentlich sollte mit der Kombo von link-local und dem global-scope alles möglich sein... wenn es die OS und Software nur beherrschen würden...
3. Alternative im LAN, um über die Segmente hinweg routen zu können wären dann die unique local adresses (ula). Super, dachte ich, aber halt: die sind ja wieder nicht ins Internet routingfähig, da eben keine globale Adresse. Also auch nix.
Das wäre tatsächlich mein erster Gedanke, denn genau dafür ist dieser Scope vorgesehen, analog zu den privaten v4 Adressen. Auch dieser Scope kann mittels NAT66 mit dem Internet kommunizieren, was mir (rein gedanklich) aber zu blöd wäre (warum sollte ich mir wieder NAT ins Haus holen???). Es ist aber auch gar nicht erforderlich, dass mit der ULA ins Internet gesprochen wird, jedes Gerät kann ja trotzdem eine Adresse aus dem global-scope haben, die dann eben für die Kommunikation mit dem Internet verwendet wird.
Die ULA hingegen wird verwendet um intern zu kommunizieren. Damit habe ich mich allerdings auch nicht näher beschäftigt, da ich v6 intern halt so wenig nutze wie möglich.

a) hab ich einen dicken Denkfehler gemacht? Wenn ja, wo??
Allenfalls bei den ULA, wie gerade geschrieben. Wie praktikabel das ist mag ich aber auch nicht beurteilen. Ich würde von ULA die Finger lassen, das ist für mich eine Krücke, die (soweit ich mich erinnere) teilweise sogar eingestampft wurde (zentral verwaltete ULA "fc").
b) wie erreiche ich mein Ziel, über Netzwerksegmente den DNS filter und DNS resolver zu erreichen und dann ins Internet geleitet zu werden?
Mal abgesehen davon, dass ich den DNS nicht in ein bestimmtes Netz stecken würde, würde ich es wohl so machen wie @blurrrr beschrieben hat:
Alle Anfragen an die Sense, die dann bei PiHole anfragt.
Ich würde sogar generell Abstand davon nehmen, den Resolver außerhalb des Router laufen zu lassen... was macht PiHole denn besser als die Möglichkeiten, die eine *sense bietet?
c) ist das mit den dynamisch vergebenen Präfixen der global-gültigen Adressen möglich?
Ich befürchte nicht, auch wenn es so sein sollte. Ich bin kein Programmierer, aber es scheint sehr kompliziert zu sein Präfixänderungen zu verarbeiten... was theoretisch aber auch wieder Schwachsinn ist, denn Änderungen des Präfix sind unter v6 weder vorgesehen noch erforderlich (ausgenommen Providerwechsel). Die Provider arbeiten hier scheinbar nach dem Prinzip "haben wir schon immer so gemacht" - danke!
Für ein Failover- oder Loadbalancing Szenario wäre die Verarbeitung von Präfixänderungen allerdings auch wieder erforderlich... so ganz kommt man davon wohl nicht weg, nur geht das scheinbar nirgendwo.
d) wie habt ihr das bei euch gelöst?
Bei mir ist die *sense der Main-Resolver, alle Anfragen, egal aus welchem Netzsegment kommen hier an, wobei ich die Anfragen (für einige Geräte, nicht für alle) an einen anderen Port (loopback) weiterleite, damit die Anfrage von einem weiteren Resolver auf der *sense final beantwortet wird. In Deinem Fall würde das genau so gehen, nur dass die *sense eben nicht an sich selbst weiterleitet, sondern an PiHole... halt so wie @blurrrr schon schrieb.
 
Moinsen,
zunächst mal besten Dank für euren Input! (y)

Ich werde die Tage einfach mal rumprobieren, das Netzwerk wird schon nicht Feuer fangen und mir ins Gesicht explodieren...😎
Ich fahre die von Euch angesprochene Variante mit Client >DNS Anfrage zu Pihole mit Filterung > Weitergabe an unbound seit einigen Jahren.
Grund:
Pihole ist im Management VLAN, weil ich dort eben alles Geräte für die Netzwerkstruktur untergebracht habe. Per Regeln kann dann jeder Client auf Pihole zugreifen. Ich wollte das VLAN 1 somit leer lassen (kein produktiver Traffic). Klappt wie gesagt mit IPv4 auch.

Ich nehme den Pihole Dienst, weil ich die *sense etwas entlasten will, daher dort auch kein pfblocker am Start.

Pihole sitzt "vor" der *sense, weil ich auch sehen will, welche Clients ggf. geblockt werden. Ist Pihole "hinter" der *sense, dann werden nur die Anfragen von der *sense angezeigt, logo...

Wie gesagt: alle Theorie ist grau und ich werde in den nächsten Wochen (die Tage werden ja wieder ungemütlicher) mal etwas Zeit aufbringen und probieren.
Vermutlich werde ich dann erstmal mit ulas arbeiten, um die Geräte aus / in den VLANs erreichbar zu machen. Die global Adressvergabe hat in den ersten Versuchen geklappt, die Geräte im freigegbenen Segment hatten dann eine link-local und eine global Adresse...

Ich gebe dann mal wieder ne Wasserstandsmeldung ab, wenn der erste Versuch gestartet ist.

;)
 
"Management" heisst "Management", weil von dort "aus"... "gemanaged" wird. Nicht, weil da 501 managed Clients drauf zugreifen 🤪 Eigenes VLAN und alle dürfen auf den pihole via 53/UDP zugreifen, AUSSER eben jenes ominöse Management-VLAN, das darf via SSH/Web/DNS zugreifen (so ist es jedenfalls konzeptionell gedacht).☺️
 
Zuletzt bearbeitet:
Moinsen,
Mir ging es bei meinem kleinen hobbykeller-Netzwerk darum, dass das vlan 1 leer bleibt, keine Geräte auf die switches, Router und Co zugreifen (eben nur und ausschließlich 53 udp auf den einen Client pihole). Managen tue ich dann auch nur im bzw aus dem mngt.vlan.
Ist sicherlich nicht best practice und für den echten admin zum heulen, erfüllt hier aber doch seinen Sinn. ;)
 
Simma doch ma ehrlich: Macht sowieso jede Person wie sie möchte/will/kann/nichtsgenauesweissmannicht und wie in einer Firma muss es ja auch nicht aussehen. Nur wenn man hingeht und sich schon 3 Stäbe vor die Fenster macht (Einbruchsschutz und so), dann sollte man vllt nicht unbedingt hingehen und den Stab in der Mitte einfach weglassen, weil der ja beim rausgucken stört 🙃 Aber... wie schon zu Anfang gesagt - machen eh alle wie sie es für richtig (oder auch "ausreichend") halten und das ist auch gut so, denn ansonsten würde es ja auch schnell langweilig werden ☺️

EDIT: Huch, grade nochmal auf den Thread-Titel geschaut - hatte ich schon ganz vergessen: Wie isset gelaufen mit der Thematik? :)
 
Lieber vernünftig Zeit dafür nehmen, als nur irgendwas so dahin zu schludern (da kommt meist nix gutes bei rum) 👍
 
Moinsen,
so, ich werde jetzt vermutlich scheibchenweise vorgehen...
Was bisher geschah:
- Die Fritzbox bekommt den Präfix von der t-kom und leitet diesen direkt weiter an die pfsense (exposed host unter IPv6).
- Es wird ein 57er Netz aufgespannt, die WAN Seite lauscht auf den DHCP6 der Fritzbox
- für 2 VLANs ist IPv6 aktiviert, diese lauschen per Tracking aufs WAN und erhalten das Präfix der /64er Netze
...etwa analog der Anleitung hier:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fritzbox/
Ergebnis: die Geräte in den beiden VLANs bekommen ihre GUA für den globalen Verkehr sowie ihre eigene local-link Adressen. Das Ansteuern von ipv6-Test-Seiten ergab, dass alles funzt. Dabei stellt die Fritzbox den ipv6DNS Server der t-kom bereit via DHCP6.

Was ich eigentlich will: alle DNS Anfragen (egal ob v4 oder v6) sollen via Pihole und unbound gehen. Dafür aber benötige ich entweder GUAs mit festem Präfix (was die t-kom im Konsumentenangebot nicht bietet) oder ich muss die "Krücke" der ULAs nehmen, was ich nicht will (weil ich faul bin und von ULAs tendenziell eher abgeraten wird).

Also: ich werde das erstmal so lassen. Die Firewall schottet WAN ab (nur ICMPv6 kommt durch), aus den VLANs ist IPv6 erlaubt. Das reicht für erste Gehversuche...
Langfristig hoffe ich, dass die t-kom endlich doch noch feste Präfixe anbietet, wenn der Bedarf nach IPv6 steigt. Alternativ werde ich sonst vermutlich dazu neigen, einen business Anschluss zu buchen, kostet ca. 15 Euro /mtl. mehr, dafür aber neben den üblichen blabla (Entstörung nach max. 8 Stunden, Cloudspeicher, hui-toll-wow) vor allem eben eine feste Adresse (und zwar sowohl IPv4 als auch 6).

Schaun wa mal...ist alles noch versuchsweise.

;)
 
Alternativ werde ich sonst vermutlich dazu neigen, einen business Anschluss zu buchen, kostet ca. 15 Euro /mtl. mehr,
Hast Du denn einen Gewerbeschein? Gewerbeanschlüsse gibt es nicht immer "einfach so", mitunter wird ein Gewerbeschein verlangt. Alternativ gibt es mittlerweile bestimmt so Zeugs wie feste-ip.de oder so für v6 (war ja glaub ich für v4 der Dienst oder so, k.A. nie genutzt). Ich persönlich finde die ULA-Geschichte jetzt eigentlich nicht so dramatisch...
 
Moinsen,
nein, kein Gewerbeschein...ich bin da mal blauäugig und werde denen dann (falls ich mich so entscheide) sagen: entweder feste IP gegen (zuviel) Mehrpreis oder adios muchachos....

Dramatisch find ich die ulas auch nicht...es wird bloss fast auf jeder gefundenen Seite mehr oder weniger deutlich gesagt, dass das eigentlich eher nicht gemacht wird...und gerade bei der pfsense gab es zumindest in der Vergangenheit auch krasse Probleme, wenn ein Interface eine ula neben der gua bekommen soll...da gab es die verrücktesten Ausfallerscheinungen. Und ehrlich gesagt: aktuell komme ich mir mit meiner sehr sehr sehr sparsamen IPv6 Implementierung schon vor wie die Avantgarde der Hobbyadmins :cool::geek:...hab da also gefühlt Zeit und keinen Druck, mal schauen, wie es dann kommt...

;)
 
Ich hab privat gar kein v6 (wird nur angeknipst, wenn ich es "mal" hier brauche), ansonsten im RZ bisher auch nur teilweise Dualstack.
 
Es fehlt halt einfach noch die Möglichkeit bei den *sense dass das Präfix in FW Rules, etc berücksichtigt wird. Also nicht nur bei den *sense sondern überall.
Wurde bei OPNsense auch längst diskutiert, wenn ich mich recht erinnere ist das alles aber so einfach noch nicht umsetzbar. Müsste nochmal schauen warum, bzw. nachfragen...
 
Moinsen,
genau deswegen (dualstack) scheue ich mich auch vor der extra Arbeit bzgl ULA...
Ich sehe das aktuell eher als ein zusätzliches Netzwerkangebot (IPv4 läuft ja eh), um mal langsam ins Thema reinzuwachsen...
Und zumindest bei meinem Surfverhalten und Anwendungsfall ist IPv6 eben eher theoretischer Natur...(und die Freizeit eh immer zu knapp)...
;)
 
Moinsen,
@tiermutter
Das ist genau EINE der diversen Baustellen bzgl. IPv6 und *sense, wegen derer ich da momentan keine Lust auf Stress und Druck habe, denn egal was man da konfiguriert, die software scheint doch noch sehr hinterher zu hecheln...(gab da noch Probleme wegen virtueller IP für die Interfaces mit ULA usw. usw).
Sei es drum: zumindest hab ich jetzt mal einen Fuß in der Tür zum Probieren und Warmwerden...
;)
 
Könntest natürlich (in Kombi mit der pfSense) auch einfach auch die fe80 gehen (die vermutlich eh als Gateway gesetzt ist)...
 
Moinsen,
für die Interfaces (auch die virtuellen) würde das gehen, ja.
Ich muss aber dazu dann auch die Lösung finden, den DNS resolver bzw eher den Filter Pihole in einem anderen VLAN zu erreichen, und da ist dann ja Schluss mit fe80...
Und wenn ich dann mit der Analogie zu festen IPv4 durch ULA anfange, dachte ich mir: heh, einfach feste GUAs, und der Drops ist gelutscht...
Wie gesagt: faul ich bin...
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
4.383
Beiträge
45.256
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben