UDM Pro 1.x: IPv6 hinter einer FRITZ!Box einrichten
Hinweis: Diese Anleitung bezieht sich auf eine alte Version (1.x) von Unifi OS. Die Schritte und Vorgehensweisen können sich in Version 2.x oder 3.x teilweise deutlich unterscheiden.
Warnung vom 08.09.2021: Mit den hier beschriebenen Einstellungen, konnte ich die IPv6-Prefix-Delegation für LAN oder Corporate-Netzwerke aktivieren. Wird vom Provider jedoch ein dynamisches IPv6-Prefix vergeben, so dass sich das Prefix von Zeit zu Zeit ändert, so können aus meiner Sicht in der aktuellen UnifiOS-Version 1.10.0 die IPv6-Firewall-Regeln nicht ohne aufwendige Workarounds verwaltet werden. Werden die einzelnen LAN- und Guest-Netzwerksegmente durch IPv4-Firewall-Regeln getrennt, so kann das Aktivieren von IPv6 dazu führen, dass diese Trennung per IPv6 umgangen werden kann! Außerdem wird bei einer Änderung des IPv6-Prefixes aktuell die neuen Adressen nicht an die internen Interfaces weitergereicht. Werden vom Provider nur dynamische IPV6-Prefixes bereitgestellt, kann ich daher vom Einsatz von IPv6 aktuell leider nur abraten!
Wer das Experiment IPv6 mit dynamischen Prefixen an der UDM Pro wagen will findet hier einige Workarounds:
- Netzwerktrennung - Teil 1 und Netzwerktrennung - Teil 2
- Workaround für dynamische IPv6-Prfixe
Ich nutze die UDM-Pro hinter einer AVM FRITZ!Box, die als Router eingerichtet ist und die Internetverbindung über die Deutsche Telekom herstellt (siehe auch UDM Pro: NAT auf dem WAN Interface deaktivieren). Dabei sollen die bereitgestellten IPv6-Adressen auch in den Netzwerken, die an der UDM-Pro angeschlossen sind, verwendet werden.
Damit das funktioniert kann, muss zunächst sichergestellt werden, dass der Provider nicht nur eine /64er IPv6-Adresse sondern gleich mehrere /64er Adressen bereitstellt. Üblicherweise werden von den Providern ein /56er-Präfix bereitgestellt, was in der Regel mehr als ausreichend sein sollte. Welches Präfix beim Verbindungsaufbau zugeordnet wurde kann in der FRITZ!Box unter Internet > Online Monitor
nachgeschaut werden:
Ist das IPv6 Prefix kleiner als 64 Bit, so können einzelne Prefix-Bereiche von der FRITZ!Box an die UDM-Pro zur internen Verwendung weitergereicht werden.
01| Konfiguration der FRITZ!Box
Die IPv6-Einstellungen der können im Menü unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6-Einstellungen
angepasst werden.
Auch wenn die Unique Local Adresse (ULA) optional ist, habe ich sie in meinem Netzwerk bisher aktiviert. Dadurch wird neben der ööfentlichen IPv6-ADresse zusätzlich auch noch eine interne Adresse zugeordnet:
Mit der folgenden Einstellung wird eingestellt, welcher lokaler DNS-Server verwendet werden soll. In der Standardeinstellung wird hier die FRITZ!Box genutzt:
Die wichtigste Einstellung im Zusammenhang mit der UDM-Pro sind die DHCPv6-Einstellungen. Hier muss die Option DNS-Server, Präfix (IA_PD) und IPv6 (IA_NA) zuweisen ausgewählt
werden, damit die UDM-Pro nicht nur ein Prefix erhält, sondern damit am WAN Interface auch eine IPv6-Adresse zugeordnet wird:
Mit diesen Einstellungen ist die FRITZ!Box vorbereitet.
02| Konfiguration des UDM-Pro Gateways
Im Network Controller
wird in den Einstellungen unter Internet
das WAN Interface ausgewählt. Um IPv6 für das WAN Interface zu aktivieren, muss im Abschnitt IPv6 Connection
lediglich die IPv6 Connection
auf DHCPv6 und eine entsprechende Prefix Delegation Size
ausgewählt werden:
Hinweis: In diesem Beispiel habe ich mich für eine Prefix Delegation Size von 60 entschieden, damit bei Bedarf weitere Router ebenfalls IPv6-Adressen weitergeben können.
Nachdem IPv6 am WAN aktiviert wurde, kann für die einzelnen Corporate-Netzwerke, die im Network Controller
unter Settings > Network
definiert wurde IPv6 im Abschnitt Advanced
aktiviert werden:
Hinweis: Mit UnifiOS 1.10.0 und mit Unifi Network in der Version 6.2.26 funktioniert IPv6-Prefix-Delegation aufgrund der vordefinierten Firewall-Regeln aktuell nur für Corporate-Netzwerke. Für Guest-Netzwerke wird dem Interface der UDM Pro zwar eine IPv6-Adresse zugeordnet, es werden aber keine Adressen an die
In der aktuellen Version des Network Controllers kann aktuell keine IPv6 Prefix ID
mehr vergeben werden, so dass die Prefixe von der UDM automatisch vergeben werden. Ich hoffe jedoch, dass dieses Feature in einer der kommenden Versionen wieder aktiviert wird, damit darüber hoffentlich auch die Verwaltung der IPv6-Firewallregeln bei dynamischen IPv6-Prefixen ermöglicht wird.
Kommentare