ipv6 + pfSense: VLANs

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
gert.jansen
Pro Member
Pro Member
Berichten: 263
Lid geworden op: 02 jun 2007, 23:29
Locatie: Oostmalle
Uitgedeelde bedankjes: 9 keer
Bedankt: 1 keer
Contacteer:

Zoals hier reeds besproken heb ik zowel thusi als op het werk via Telenet nu ook ipv6. Beide met een modem-only en pfSense als router/firewall.
Op het werk heb ik een fixed ipv4 adres, thuis niet.

VLANs
Op het werk heb ik verschillende VLANs (10, 20, 30, 40, 60), momenteel met als ip 10.VLAN.x.y
Hoe werkt dat met ipv6?
Als ik het goed begrijp krijgen van Telenet een /56 en zou die IPv6 Prefix ID op de LAN-interface dat verder aanvullen tot /64?
Die staat nu op 0, en de laatste 2 karakters van mijn prefix zijn iderdaad 00.
Is het in theorie dan de bedoeling om voor de verschillende VLANs dan verschillende Prefix IDs te gebruiken?
En werkt dat in de praktijk ook al? Ik meen ergens gelezen te hebben dat dat bij Telenet (nog) niet het geval is.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 446 keer
Bedankt: 1985 keer

Een VLAN (layer 2) heeft in essentie niets te maken met een IP-range (layer 3)... het is dus aan jou om deze toe te kennen (hoe klein/groot je het subnet maakt is een eigen keuze) en de routering te verzorgen.
gert.jansen
Pro Member
Pro Member
Berichten: 263
Lid geworden op: 02 jun 2007, 23:29
Locatie: Oostmalle
Uitgedeelde bedankjes: 9 keer
Bedankt: 1 keer
Contacteer:

Dat snap ik.

Het gaat er me meer om of ik de bits 57 t/m 64 hiervoor kan gebruiken of niet.
Als ik het goed begrepen heb zijn ze daarvoor bedoeld, maar ik ben niet zeker of het ook al kán en mag.

Vooral het stuk 'Opbouw IPv6-adres', vrij onderaan op deze pagina doet me twijfelen.

Er staat letterlijk:
Telenet koos een prefix van 56 bits (/56) in plaats van 64 bits. Daardoor is er ruimte om in de toekomst 256 (2^8) subnets binnen elke prefix toe te voegen, met elk 2^64 adressen. Ruim genoeg voor toekomstige uitbreiding dus. Vandaag deelt Telenet alleen 1 (van de beschikbare 256) /64 prefix uit. De lengte van de prefix naar het toestel van de gebruiker is dus altijd/64.



Voor zover ik weet krijg ik een /56 die mbv de prefix ID (0 in mijn geval) op die (V)LAN interface aangevuld wordt tot een /64.

Mijn idee was eigenlijk om dat dan voor VLAN 10 op 0A of 10 te zetten, voor VLAN20 op 14 of 20, etc...
zodat ik binnen
* VLAN10 de addressen 10.10.x.x en aaaa:bbbb:ccccc:dd10:<64bit-host-ID> kan gebruiken
* VLAN20 de addressen 10.20.x.x en aaaa:bbbb:ccccc:dd20:<64bit-host-ID> kan gebruiken


Of zie ik dat verkeerd?
ITnetadmin
Elite Poster
Elite Poster
Berichten: 8445
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 164 keer
Bedankt: 618 keer

gert.jansen schreef:Er staat letterlijk:
Telenet koos een prefix van 56 bits (/56) in plaats van 64 bits. Daardoor is er ruimte om in de toekomst 256 (2^8) subnets binnen elke prefix toe te voegen, met elk 2^64 adressen. Ruim genoeg voor toekomstige uitbreiding dus. Vandaag deelt Telenet alleen 1 (van de beschikbare 256) /64 prefix uit. De lengte van de prefix naar het toestel van de gebruiker is dus altijd/64.
Dat hebben ze dan weer veranderd sinds de laatste keer dat ik dat gelezen heb.
Toen deelden ze nog een /56 uit aan EMTAs en een /60 aan router(s) achter hun HGW.


Ripe recommendations zijn trouwens dat er geen subnet kleiner dan /56 aan een klant uitgereikt wordt. Prevalent zijn /48 of /56 subnets.
4.2.3. Prefixes, longer than /56

It is strongly discouraged to assign prefixes longer than /56 unless there are very strong and unsolvable technical reasons for doing this.

There are enough IPv6 addresses to delegate end-users a /48, so a /56 already represents a sizeable restriction. There is no need to delegate fewer addresses than that, so if your IPv6 allocation is insufficient to provide a /56 to each end customer (remember there are 134 million /56s in a /29 and 16,7 million in a /32), explain to your RIR that your initial allocation was too small and that you require a larger allocation based on your IPv6 implementation plan. Offering less than a /56 can be feasible if just a /29 is allocated and 6RD is being used, as an IPv4 address is embedded in the IPv6 prefix. However, even in this case, a larger allocation from your RIR can be justified and the transition protocol allows other ways to sort it out.

Assigning a /64 or longer prefix does not conform to IPv6 standards and will break functionality in customer LANs. With a single /64, the end customer CPE will have just one possible network on the LAN side and it will not be possible to subnet, assign VLANs, alternative SSIDs, or have several chained routers in the same customer network, etc.
(emphasis mine)
https://www.ripe.net/publications/docs/ ... hing-else-
gert.jansen
Pro Member
Pro Member
Berichten: 263
Lid geworden op: 02 jun 2007, 23:29
Locatie: Oostmalle
Uitgedeelde bedankjes: 9 keer
Bedankt: 1 keer
Contacteer:

Bedankt voor je reactie.
Dat geeft toch aan dat ik het op de juiste manier wou aanpakken, daar ben ik blij mee.

Ik denk dat ik thuis wat VLANs ga aanmaken, en het gewoon daar eens ga proberen zoals ik van plan was: met een verschillend prefix ID (8 bits) per VLAN.
Dan laat ik nadien wel weten wat de resultaten zijn.

Op het werk heb ik genoeg VLANs maar ik heb thuis al wat onvoorziene effecten gecreëerd (vreemde DNS servers etc...), en ik ga me er dus niet aan wagen daarmee op het werk te experimenteren.
gert.jansen
Pro Member
Pro Member
Berichten: 263
Lid geworden op: 02 jun 2007, 23:29
Locatie: Oostmalle
Uitgedeelde bedankjes: 9 keer
Bedankt: 1 keer
Contacteer:

Prefix ID op de verschillende interfaces werkt perfect, daarmee worden na het prefix dat ik van Telenet krijg de bits 57 t/m 64 opgevuld.
Routering tussen de verschillende VLANs gaat ook prima, zolang je GUA adressen gebruikt.
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5263
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

Dus als ik het goed begrijp zou je graag per vlan een andere /64 toewijzen van je /56, .. dat kan via track interface. Je hoofd interface zet je op dhcp en de de vlans laat je de wan tracken en je stelt een getalletje in 0-ff is een 56 dus ergens daar tussen stel je je track in en dan ben je klaar.

Dus WAN:
IPv6 Configuration Type: DHCPv6

Vlan10:
IPv6 Configuration Type: Trackinterface
IPv6 Interface: WAN
Prefix id = 10

vlan 20:
IPv6 Configuration Type: Trackinterface
IPv6 Interface: WAN
Prefix id = 20

Werkt perfect, als je failovers wil tussen verschillende IPv6 gateways moet je NPt werken en in je vlans fc00::/7 range gebruiken, misschien kan je de routable IPv6 ook mappen via NPt, .. maar 'k zou dat precies niet doen in theorie zou het wel werken.
gert.jansen
Pro Member
Pro Member
Berichten: 263
Lid geworden op: 02 jun 2007, 23:29
Locatie: Oostmalle
Uitgedeelde bedankjes: 9 keer
Bedankt: 1 keer
Contacteer:

Ofloo schreef:Dus als ik het goed begrijp zou je graag per vlan een andere /64 toewijzen van je /56, .. dat kan via track interface. Je hoofd interface zet je op dhcp en de de vlans laat je de wan tracken en je stelt een getalletje in 0-ff is een 56 dus ergens daar tussen stel je je track in en dan ben je klaar.
Klopt. Zo heb ik het ook gedaan.

De oorspronkelijke post was eigenlijk de vraag was OF het zou werken. Telenet heeft hierrond wat mij betreft zelf wat verwarring gezaaid, met hun 'in de toekomst' en 'toekomstige utibreiding'.

Maar het werkt dus gewoon wel, en dat wou ik met mijn post van gisteren nog even bevestigen. Dat was misschien niet helemaal duidelijk.

Ik heb het inderdaad ingesteld zoals jij aangeeft. Track Interface (WAN) en VLAN ID als Prefix ID gebruikt.
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5263
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

Over IPv6 is telenet helpdesk zelf nogal verwart heb ik den indruk. Laatst had ik een probleem toen wist men te vertellen dat het niet mogelijk was om IPv6 en IPv4 dual stack te draaien, ofwel draai je IPv6 en anders IPv4 beide gaat niet !

Een andere medewerker zei me dat IPv6 heel nieuw en heel experimenteel was, bestaat trouwens al meer dan 20jaar en het experiment is voorbij daar was 6bone voor. Maar goed.

https://en.wikipedia.org/wiki/6bone

De experimentele fase van IPv6 is geëindigd in 2006 meer dan 10jaar geleden !
Plaats reactie

Terug naar “Netwerken en Security”