Dieser Eintrag wurde nach der Erstveröffentlichung wesentlich erweitert und verändert. An dieser Stelle besten Dank an Sven Hofacker für das gemeinsame Erarbeiten einer besseren Konfiguration.

Wenn man statt der weit verbreiteten Fritz!Boxen (und einigen anderen Routern) eine pfSense-Installation für die Bereitstellung des Internetzuganges nutzen will, sind einige Punkte zu beachten.

DHCPv6 oder SLAAC oder 6rd? (WAN-Seite)

Da bei IPv6 im Gegensatz zu IPv4 reichlich Adressen vorhanden sind, sind keine Krücken wie NATs vorgesehen. Jeder Computer soll seine eigene Adresse erhalten und darüber ansprechbar sein.

Dazu wird ein sogenanntes Präfix an den Router vergegeben. Dieses ist 64 Bit lang (von 128 Bit Gesamtlänge). Die restlichen 64 Bit werden entweder vom DHCPv6 Servers bei Vergabe an den Client gefüllt oder (bei SLAAC) vom Client selber. (Dabei wurde grundsätzlich erst einmal die MAC-Adresse der Netzwerkkarte verwendet. Da dies aber aus datenschutztechnischer Sicht nicht optimal ist, wurden Privacy-Extensions eingeführt (RFC 4941).)

Nun geht es um die Frage, wie der Router (in meinem Falle pfSense) das Präfix bekommt, um es überhaupt weiterverteilen zu können. Dafür gibt es 3 verschiedene Techniken:

  • DHCPv6
    • Ein DHCPv6-Server im Providernetz verteilt das Präfix (und die IP) und die DNS-Server aktiv an Clients, die einen DHCP-Request senden.
  • SLAAC
  • 6rd
    • Bei 6rd wird, ähnlich wie bei 6to4-Tunneln, die Providerinfrastruktur nicht nativ auf IPv6 ausgelegt und der IPv6-Verkehr in IPv4-Pakete verpackt. Der relevante Unterschied ist, dass die Endgeräte öffentlich erreichbare Adressen haben.

Die Deutsche Glasfaser verwendet in den neueren Netzen sowohl DHCPv6 als auch 6rd, während ältere (eventuell <2015) dem Vernehmen nach nur 6rd unterstützen. Beide Konfigurationen sind mit pfSense/opnSense möglich. Die Menüstrukturen und auch die Bezeichnungen der einzelnen Optionen weichen teilweise voneinander ab, aber grundsätzlich sind in beiden Distributionen alle vorhanden.

6rd Konfiguration

Falls man 6rd benutzen möchte (nebenbei angemerkt: Durch das Verpacken der Pakete verringert sich die MTU geringfügig) oder muss, sind folgende Einstellungen notwendig:

Insbesondere relevant sind hierbei die Zugangseinstellungen für das 6rd-Gateway:

6rd Präfix2A00:61E0::/32
6rd Border relay100.127.0.1
6rd IPv4 Prefix length8

DHCPv6 Konfiguration

Bei DHCPv6 werden folgende Einstellungen gesetzt:

Wichtig ist hier die “DHCPv6 Prefix Delegation size” im WAN-Interface, da sich dieser Wert im Zweifelsfalle ändern kann (wenn der Provider nur noch kleiner Netze über das Präfix bereitstellt).

LAN-Seite konfigurieren

Das schönste Präfix bringt uns nichts, wenn wir es nicht an die Clients weiterverteilen können. Wie eingangs beschrieben, haben wir auch hier die Wahl zwischen SLAAC und DHCPv6. Diese beiden Varianten schließen sich aber keineswegs aus, sondern können problemlos nebeneinander existieren. Dies ist teilweise sogar sinnvoll, da beispielsweise Windows 10 vor dem Creators Update noch nicht richtig mit SLAAC funktionierte.

Konfiguration von DHCPv6 und SLAAC auf LAN-Seite

Anmerkungen

Nach dem Einrichten von DHCPv6 auf WAN-Seite und DHCPv6/SLAAC auf LAN-Seite hatte ich das Problem, dass zwar ordnungsgemäß Adressen verteilt wurden, aber von Clients kein Datenverkehr über IPv6 möglich war. Über sowohl das LAN-, als auch das WAN-Interface von pfSense waren hingegen keine Einschränkungen feststellbar. Ein Neuladen oder Deaktivieren/Aktivieren der Firewall/Rules/LAN/”Default allow LAN IPv6 to any rule” brachte hier sofort Besserung (Bezeichnung in pfSense. Diese Regel erlaubt ausgehenden IPv6 Verkehr und existiert auch in einer IPv4-Variante).

Für die Nutzung einer Fritz!Box hinter pfSense als Telefonanlage mit den SIP-Servern der Deutschen Glasfaser muss noch folgende Regelnhinzugefügt werden, da ansonsten verschiedene Probleme (nur eingehende oder ausgehende Sprachübertragung, gar keine Verbindung) auftreten können:

Author: Armin Jacob

Business Information Technology student at Kiel University, on his way through the net and world. Occasionally working with Ubiquiti Hardware and pfSense.