Ir al contenido
Avanet

Configurar la Delegación de Prefijos IPv6 en Sophos Firewall

Sophos Firewall

Con Delegación de Prefijos IPv6, un Sophos Firewall puede obtener un prefijo IPv6 del proveedor y usarlo para abastecer redes internas. Esto es especialmente relevante cuando la conexión a Internet no proporciona una red IPv6 estática fija, sino que el proveedor delega el prefijo mediante DHCPv6.

En entornos IPv4, a menudo se piensa en NAT, redes privadas y redirección de puertos. Con IPv6 es diferente: los clientes pueden recibir direcciones IPv6 públicas, y el firewall controla el acceso mediante enrutamiento, anuncios de enrutador, parámetros DHCPv6 y reglas de firewall. Por eso, la Delegación de Prefijos debe planificarse conscientemente y no solo activarse como una opción adicional de interfaz.

Para los fundamentos sobre interfaces, zonas y VLANs, primero consulte Configurar Zonas e Interfaces en Sophos Firewall. Si solo se trata de opciones DHCP clásicas para casos especiales de IPv4, el artículo Opciones DHCP en Sophos Firewall (SFOS) es más adecuado.

Cuándo es útil la Delegación de Prefijos

La Delegación de Prefijos es útil cuando el proveedor proporciona un prefijo IPv6 dinámicamente a través de la conexión WAN y el Sophos Firewall debe distribuir este prefijo a redes internas.

Escenarios típicos:

  • Conexión a Internet de doble pila con IPv4 e IPv6.
  • El proveedor entrega un prefijo IPv6 mediante Delegación de Prefijos DHCPv6.
  • Los clientes internos deben usar IPv6 de forma nativa.
  • Varias redes internas, como LAN, servidores, invitados o DMZ, deben recibir IPv6.
  • DNS, registros y reglas de firewall deben considerar IPv6 conscientemente.

No todas las redes necesitan IPv6 de inmediato. Sin embargo, si IPv6 está activo en los clientes, debe controlarse adecuadamente a través del firewall, reglas y registros. Una configuración IPv6 a medias puede llevar a que los clientes prefieran IPv6, pero los errores se busquen en la solución de problemas de IPv4.

Requisitos previos

Antes de la configuración, se deben aclarar estos puntos:

  • El proveedor admite la Delegación de Prefijos IPv6 en la conexión.
  • La conexión WAN no utiliza un escenario PPPoE-over-IPv6 para la Delegación de Prefijos.
  • La interfaz de destino interna deseada no es una interfaz VLAN, en la que Sophos no admite la Delegación de Prefijos.
  • Las zonas internas y las reglas de firewall están planificadas.
  • Está claro si los clientes solo deben usar SLAAC o también necesitan parámetros DHCPv6 adicionales.
  • El concepto de DNS y la evaluación de registros consideran IPv6.

⚠️ Se documentan dos límites importantes: la Delegación de Prefijos no se admite sobre PPPoE over IPv6 y no se puede usar en interfaces con configuración VLAN. Si las redes internas se construyen como VLANs, el diseño debe revisarse cuidadosamente antes de la implementación.

Comprender la imagen objetivo

Con la Delegación de Prefijos, ocurren varias cosas en secuencia:

  1. El firewall solicita una dirección IPv6 y un prefijo delegado del proveedor en la interfaz WAN.
  2. El proveedor asigna una dirección IPv6 a la interfaz WAN y un prefijo al firewall.
  3. El firewall delega una red IPv6 de este prefijo a una interfaz interna, como LAN o DMZ.
  4. La interfaz interna distribuye información IPv6 a los clientes mediante anuncios de enrutador.
  5. Opcionalmente, un servidor DHCPv6 proporciona parámetros adicionales, como servidores DNS.

Es importante la distribución de roles: los anuncios de enrutador aseguran que los clientes aprendan su prefijo IPv6 y la puerta de enlace predeterminada. DHCPv6 puede proporcionar información complementaria. Las reglas de firewall siguen decidiendo qué tráfico está permitido.

Preparar la interfaz WAN

El primer paso es la interfaz WAN. Aquí, el Sophos Firewall solicita el prefijo IPv6 al proveedor.

Ruta de menú:

Network > Interfaces

Procedimiento:

  1. Editar la interfaz WAN afectada.
  2. Abrir IPv6 configuration.
  3. Seleccionar DHCP.
  4. Seleccionar Manual.
  5. Activar DHCP only.
  6. Encender DHCP prefix delegation.
  7. Opcionalmente, configurar Preferred delegated prefix, si el proveedor y el diseño de la red lo permiten.
  8. Establecer el nombre del gateway y la IP del gateway de acuerdo con la conexión del proveedor.
  9. Guardar y actualizar la interfaz.

Con Preferred delegated prefix se debe tener cuidado. El proveedor puede proporcionar el prefijo deseado, pero no está obligado a hacerlo. Si el prefijo o la longitud del prefijo cambian más tarde, puede ser necesario eliminar el arrendamiento DHCP o volver a enlazar la interfaz WAN para que el firewall actualice el prefijo.

En la práctica, primero se debe aclarar con el proveedor:

  • ¿Qué longitud de prefijo se delega, por ejemplo, /56, /60 o /64?
  • ¿El prefijo es estable o puede cambiar?
  • ¿Se debe solicitar un valor específico?
  • ¿Existen restricciones en configuraciones de puente, PPPoE o módem-router?

Configurar la interfaz interna

Después de la interfaz WAN, se abastece una interfaz interna con el prefijo delegado.

Ruta de menú:

Network > Interfaces

Procedimiento:

  1. Editar la interfaz interna, por ejemplo, LAN o DMZ.
  2. Abrir IPv6 configuration.
  3. Seleccionar Delegated.
  4. En Upstream interface, seleccionar la interfaz WAN que utiliza la Delegación de Prefijos.
  5. Verificar qué prefijo IPv6 aparece en el campo IPv6/prefix.
  6. Activar Router advertisement.
  7. Opcionalmente, activar DHCPv6 server si los clientes deben recibir parámetros adicionales.
  8. Guardar y actualizar la interfaz.

Según la documentación de Sophos, se permite ajustar la dirección IPv6 en el campo IPv6/prefix, pero no la longitud del prefijo. Esto es importante si se planean varias redes internas. El prefijo del proveedor debe ser lo suficientemente grande para abastecer de manera efectiva varios segmentos internos.

Revisar el diseño de VLAN de manera realista

Muchas redes productivas utilizan VLANs para clientes, servidores, invitados y gestión. Aquí es donde la Delegación de Prefijos se complica rápidamente, ya que Sophos no admite la función en interfaces con configuración VLAN.

Si la red de destino interna es una VLAN, no se debe intentar simplemente eludir la estructura VLAN existente. Es mejor realizar una breve revisión del diseño:

  • ¿Realmente se debe activar IPv6 en esta VLAN?
  • ¿Existe un diseño alternativo de interfaz o proveedor?
  • ¿El proveedor ofrece IPv6 estático?
  • ¿Se planean varias redes internas IPv6?
  • ¿Las reglas de firewall, DNS, monitoreo y documentación ya son compatibles con IPv6?

Para los fundamentos de VLAN, consulte Configurar VLAN en Sophos Firewall y UniFi Switch. Aunque el artículo se centra principalmente en IPv4, la planificación de zonas, troncales y reglas también es relevante para IPv6.

Verificar anuncios de enrutador

Cuando se activa la Delegación de Prefijos en la interfaz interna, el Sophos Firewall crea automáticamente un anuncio de enrutador para esta interfaz.

Ruta de menú:

Network > IPv6 router advertisement

Allí se debe verificar:

  • ¿Existe un servidor RA creado automáticamente para la interfaz interna?
  • ¿Se anuncia el prefijo esperado?
  • ¿Los flags de RA coinciden con el comportamiento planificado del cliente?
  • ¿Se debe establecer el Other flag para que DHCPv6 proporcione parámetros adicionales?

La configuración de anuncios de prefijos del servidor RA creado automáticamente no se puede cambiar. Si se debe anunciar un prefijo adicional, se debe crear un servidor RA propio.

Para la mayoría de los entornos, se aplica: primero verifique si los clientes reciben direcciones IPv6 correctamente con el RA generado automáticamente antes de agregar servidores RA adicionales o configuraciones especiales.

Usar DHCPv6 solo para el propósito correcto

DHCPv6 no es lo mismo que DHCPv4. En muchos diseños IPv6, los clientes obtienen su dirección a través de SLAAC y la información adicional a través de DHCPv6. Por lo tanto, antes de la activación, se debe aclarar qué debe lograr DHCPv6.

Parámetros típicos de DHCPv6 son:

  • Servidores DNS.
  • Dominio de búsqueda DNS.
  • Otras opciones DHCPv6, si un cliente realmente las necesita.

Si los clientes obtienen una dirección IPv6 pero no pueden resolver nombres, no significa automáticamente que la Delegación de Prefijos sea incorrecta. A menudo falta el servidor DNS adecuado, la combinación RA/DHCPv6 es confusa o el cliente utiliza una ruta DNS diferente a la esperada.

Para dominios internos y escenarios de DNS dividido, sigue siendo relevante Configurar Rutas de Solicitud DNS en Sophos Firewall. IPv6 no cambia la pregunta fundamental de qué servidor DNS es responsable de qué dominio.

Verificar reglas de firewall y acceso al dispositivo

El tráfico IPv6 necesita reglas de firewall adecuadas. Un conjunto de reglas IPv4 existente no es automáticamente un concepto de seguridad IPv6 completo.

Antes de la liberación, se debe verificar:

  • ¿Existen reglas para la zona de origen y la zona de destino afectadas?
  • ¿Se registra el tráfico IPv6 donde es necesario para la solución de problemas o el cumplimiento?
  • ¿Están permitidos DNS, NTP, web y aplicaciones necesarias?
  • ¿Las conexiones entrantes desde Internet siguen bloqueadas conscientemente o permitidas específicamente?
  • ¿Existen reglas separadas para zonas de clientes, servidores, invitados y gestión?

Con IPv6, se debe evitar especialmente que los clientes internos sean accesibles directamente desde Internet sin control. Las direcciones IPv6 públicas no significan que las conexiones entrantes deban estar permitidas. Las reglas de firewall siguen siendo la frontera central.

También se debe considerar Device Access. Si los clientes internos deben usar el firewall como servidor DNS, se debe permitir DNS para la zona adecuada. Los servicios de gestión como WebAdmin o SSH no deben ser más accesibles debido a una nueva configuración IPv6. El endurecimiento de los servicios de firewall locales se describe en Acceso al Dispositivo y ACL de Servicio Local en Sophos Firewall.

Pruebas después de la configuración

Después de la implementación, no solo se debe verificar si un cliente ha recibido alguna dirección IPv6. Lo crucial es si todo el camino funciona de manera controlada.

Pruebas útiles:

  1. La interfaz WAN muestra una dirección IPv6 y un prefijo delegado.
  2. La interfaz interna muestra un prefijo IPv6 delegado.
  3. En Network > IPv6 router advertisement es visible el servidor RA automático.
  4. El cliente de prueba recibe una dirección IPv6 del prefijo esperado.
  5. El cliente de prueba tiene una puerta de enlace predeterminada IPv6.
  6. La resolución DNS funciona para nombres internos y externos.
  7. El ping IPv6 o HTTPS a un destino externo conocido funciona.
  8. El Log Viewer muestra la regla de firewall adecuada para el tráfico de prueba.
  9. Una prueba de IPv6 entrante desde Internet solo está permitida si existe una regla específica para ello.

Para conexiones individuales, ayuda Probar regla de firewall con Log Viewer, Policy Test y Packet Capture. Si se trata de problemas básicos de interfaz o DNS, primero se debe verificar el estado de la interfaz, el anuncio de enrutador y la configuración DNS.

Errores típicos

Los clientes no reciben una dirección IPv6

Primero verifique si la interfaz WAN realmente ha recibido un prefijo. Si no hay un prefijo visible allí, el problema generalmente radica en el proveedor, la interfaz WAN, los diseños PPPoE/puente o la solicitud de Delegación de Prefijos.

Si hay un prefijo en la WAN pero los clientes no reciben una dirección, se debe verificar la interfaz interna, el anuncio de enrutador y la red del cliente.

Los clientes tienen IPv6, pero no Internet

Entonces, la Delegación de Prefijos no es necesariamente el problema. Las causas comunes son:

  • falta de una regla de firewall adecuada,
  • DNS no funciona,
  • el cliente prefiere IPv6, pero el sitio de destino o la ruta está interrumpida,
  • interfaz interna incorrecta,
  • RA o DHCPv6 proporciona parámetros incompletos,
  • la ruta de retorno o el enrutamiento del proveedor no es adecuado.

DNS solo funciona parcialmente

Con IPv6, los problemas de DNS a menudo se ven tarde, ya que algunas aplicaciones cambian entre IPv4 e IPv6. Se debe probar por separado:

  • resolución DNS externa,
  • dominios internos,
  • búsquedas inversas, si los registros o informes deben mostrar nombres,
  • servidor DNS que el cliente realmente utiliza.

El prefijo cambia después de un cambio de proveedor o reinicio

Si el proveedor asigna un prefijo dinámico, este puede cambiar. Entonces, las direcciones IPv6 estáticas, las entradas DNS manuales, las autorizaciones externas o las reglas de monitoreo pueden fallar.

Para servidores productivos, servicios publicados o redes de sitios complejas, se debe verificar si se necesita un prefijo de proveedor estable u otro diseño IPv6.

La red VLAN debe recibir IPv6

Aquí se debe tomar en serio la restricción de Sophos. Si la Delegación de Prefijos no es posible en la interfaz VLAN deseada, no se debe trabajar con soluciones alternativas aleatorias. Es mejor una decisión de diseño clara: IPv6 estático, otro diseño de interfaz, aclaración del proveedor o renuncia consciente a IPv6 en este segmento.

Lista de verificación operativa

  • Documentada la longitud y estabilidad del prefijo del proveedor.
  • La interfaz WAN recibe una dirección IPv6 y un prefijo delegado.
  • La interfaz interna utiliza Delegated con la interfaz upstream correcta.
  • El anuncio de enrutador está activo y visible.
  • DHCPv6 solo está activado si se necesitan parámetros adicionales.
  • Concepto DNS para nombres internos y externos verificado.
  • Reglas de firewall para IPv6 creadas o confirmadas conscientemente.
  • El acceso al dispositivo no se amplía innecesariamente con IPv6.
  • El Log Viewer muestra el tráfico de prueba de manera comprensible.
  • Se documentan los cambios en el prefijo o el proveedor.

FAQ

¿Qué es la Delegación de Prefijos IPv6 en Sophos Firewall?

La Delegación de Prefijos IPv6 significa que el firewall solicita un prefijo IPv6 al proveedor y lo utiliza para abastecer interfaces internas con IPv6. Los clientes reciben su información IPv6 posteriormente a través de anuncios de enrutador y opcionalmente DHCPv6.

¿Funciona la Delegación de Prefijos sobre PPPoE?

PPPoE over IPv6 no es compatible con la Delegación de Prefijos. Si la conexión a Internet utiliza PPPoE, se debe verificar el diseño del proveedor y del módem/router de antemano.

¿Se puede usar la Delegación de Prefijos en interfaces VLAN?

Una restricción importante es que la Delegación de Prefijos no se puede usar en interfaces con configuración VLAN. En entornos VLAN, se debe planificar el diseño IPv6 con especial cuidado.

¿Se necesita un servidor DHCPv6 para la Delegación de Prefijos?

No siempre. Los anuncios de enrutador pueden proporcionar a los clientes el prefijo y la puerta de enlace. DHCPv6 es principalmente relevante cuando se deben distribuir parámetros adicionales como servidores DNS u otras opciones DHCPv6.

¿Por qué los clientes obtienen IPv6, pero algunos servicios no funcionan?

Entonces se deben verificar las reglas de firewall, DNS, anuncios de enrutador, parámetros DHCPv6 y registros. Una dirección IPv6 existente solo prueba que la dirección funciona, no que todo el camino esté correctamente permitido y resoluble.