UDM Pro: IPv6 hinter einer FRITZ!Box einrichten

Warnung vom 01.08.2021: Mit den hier beschriebenen Einstellungen, konnte ich die IPv6-Prefix-Delegation für LAN oder Corporate-Netzwerke aktivieren. Wird vom PRovider jedoch ein dynamisches IPv6-Prefix vergeben, so dass sich das Prefix von Zeit zu Zeit ändert, so können aus meiner Sicht in der aktuellen UnifiOS-Version 1.10.0 die IPv6-Firewall-Regeln nicht ohne aufwendige Workarounds verwaltet werden. Werden die einzelnen LAN- und Guest-Netzwerksegmente durch IPv4-Firewall-Regeln getrennt, so kann das Aktivieren von IPv6 dazu führen, dass diese Trennung per IPv6 umgangen werden kann! Werden einem vom Provider nur dynamische IPV6-Prefixes bereitgestellt, kann ich aktuell vom Einsatz von IPv6 nur abraten!

Ich nutze die UDM-Pro hinter einer AVM FRITZ!Box, die als Router eingerichtet ist und die Internetverbindung über die Deutsche Telekom herstellt (siehe auch UDM Pro: NAT auf dem WAN Interface deaktivieren). Dabei sollen die bereitgestellten IPv6-Adressen auch in den Netzwerken, die an der UDM-Pro angeschlossen sind, verwendet werden.

Damit das funktioniert grundsätzlich funktionieren kann, muss zunächst sichergestellt werden, dass der Provider nicht nur eine /64er IPv6-Adresse sondern gleich mehrere /64er Adressen bereitstellt.  Üblicherweise werden von den Providern ein /56er-Präfix bereitgestellt, was in der Regel mehr als ausreichend sein sollte. Welches Präfix beim Verbindungsaufbau zugeordnet wurde kann in der FRITZ!Box unter Internet > Online Monitor nachgeschaut werden:

IPv6-Präfix ermitteln

Ist das IPv6 Prefix kleiner als 64 Bit, so können einzelne Prefix-Bereiche von der FRITZ!Box an die UDM-Pro zur internen Verwendung weitergereicht werden.

01| Konfiguration der FRITZ!Box

Die IPv6-Einstellungen der können im Menü unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv6-Einstellungen angepasst werden. 

Auch wenn die  Unique Local Adresse (ULA) optional ist, habe ich sie in meinem Netzwerk bisher aktiviert. Dadurch wird neben der ööfentlichen IPv6-ADresse zusätzlich auch noch eine interne Adresse zugeordnet:

Router Advertisements

Mit der folgenden Einstellung wird eingestellt, welcher lokaler DNS-Server verwendet werden soll. In der Standardeinstellung wird hier die FRITZ!Box genutzt:

DNSv6 Einstellungen

Die wichtigste Einstellung im Zusammenhang mit der UDM-Pro sind die DHCPv6-Einstellungen. Hier muss die Option DNS-Server, Präfix (IA_PD) und IPv6 (IA_NA) zuweisen ausgewählt werden, damit die UDM-Pro nicht nur ein Prefix erhält, sondern damit am WAN Interface auch eine IPv6-Adresse zugeordnet wird: 

DHCPv6 Einstellungen

Mit diesen Einstellungen ist die FRITZ!Box vorbereitet.

02| Konfiguration des UDM-Pro Gateways

Im Network Controller wird in den Einstellungen unter Internet das WAN Interface ausgewählt. Um IPv6 für das WAN Interface zu aktivieren, muss im Abschnitt IPv6 Connection lediglich die IPv6 Connection auf DHCPv6 und eine entsprechende Prefix Delegation Size ausgewählt werden:

UDM-Pro: IPv6 am WAN Interface aktivieren

Hinweis: In diesem Beispiel habe ich mich für eine Prefix Delegation Size von 60 entschieden, damit bei Bedarf weitere Router ebenfalls IPv6-Adressen weitergeben können.

Nachdem IPv6 am WAN aktiviert wurde, kann für die einzelnen Corporate-Netzwerke, die im Network Controller unter Settings > Network definiert wurde IPv6 im Abschnitt Advanced aktiviert werden:

UDM-Pro: IPv6 Einstellungen für die definierten Netzwerke

Hinweis: Mit UnifiOS 1.10.0 und mit Unifi Network in der Version 6.2.26 funktioniert IPv6-Prefix-Delegation aufgrund der vordefinierten Firewall-Regeln aktuell nur für Corporate-Netzwerke. Für Guest-Netzwerke  wird dem Interface der UDM Pro zwar eine IPv6-Adresse zugeordnet, es werden aber keine Adressen an die 

In der aktuellen Version des Network Controllers kann aktuell keine  IPv6 Prefix ID mehr vergeben werden, so dass die Prefixe von der UDM automatisch vergeben werden. Ich hoffe jedoch, dass dieses Feature in einer der kommenden Versionen wieder aktiviert wird, damit darüber hoffentlich auch die Verwaltung der IPv6-Firewallregeln bei dynamischen IPv6-Prefixen ermöglicht wird.

 

Kommentare

PostadresseE-MailadresseFestnetzMobiltelefonSMS/SignalThreemaTwitter DirektnachrichtFAXWeb Page