Vai al contenuto
Avanet

Configurare la delegazione del prefisso IPv6 su Sophos Firewall

Sophos Firewall

Con IPv6 Prefix Delegation, un Sophos Firewall può ottenere un prefisso IPv6 dal provider e utilizzarlo per alimentare le reti interne. Questo è particolarmente rilevante quando la connessione Internet non fornisce una rete IPv6 statica fissa, ma il provider delega il prefisso tramite DHCPv6.

Nelle ambienti IPv4 si pensa spesso in termini di NAT, reti private e inoltro delle porte. Con IPv6 è diverso: i client possono ricevere indirizzi IPv6 pubblici e il firewall controlla l’accesso tramite routing, annuncio del router, parametri DHCPv6 e regole del firewall. Proprio per questo, la delegazione del prefisso dovrebbe essere pianificata consapevolmente e non solo attivata come opzione aggiuntiva dell’interfaccia.

Per le basi su interfacce, zone e VLAN, consultare prima Configurare zone e interfacce su Sophos Firewall. Se si tratta solo di opzioni DHCP classiche per casi speciali IPv4, l’articolo migliore è Opzioni DHCP su Sophos Firewall (SFOS).

Quando è utile la delegazione del prefisso

La delegazione del prefisso è utile quando il provider fornisce un prefisso IPv6 dinamico tramite la connessione WAN e Sophos Firewall deve distribuire questo prefisso alle reti interne.

Scenari tipici:

  • Connessione Internet dual-stack con IPv4 e IPv6.
  • Il provider fornisce un prefisso IPv6 tramite DHCPv6 Prefix Delegation.
  • I client interni devono utilizzare IPv6 nativamente.
  • Diverse reti interne, ad esempio LAN, server, ospiti o DMZ, devono ricevere IPv6.
  • DNS, logging e regole del firewall devono considerare consapevolmente IPv6.

Non tutte le reti necessitano immediatamente di IPv6. Tuttavia, se IPv6 è attivo sui client, dovrebbe essere controllato correttamente tramite firewall, regole e log. Una configurazione IPv6 parziale può portare i client a preferire IPv6, ma gli errori vengono cercati nel troubleshooting IPv4.

Prerequisiti

Prima della configurazione, è necessario chiarire questi punti:

  • Il provider supporta la delegazione del prefisso IPv6 sulla connessione.
  • La connessione WAN non utilizza uno scenario PPPoE-over-IPv6 per la delegazione del prefisso.
  • L’interfaccia di destinazione interna desiderata non è un’interfaccia VLAN, su cui Sophos non supporta la delegazione del prefisso.
  • Le zone interne e le regole del firewall sono pianificate.
  • È chiaro se i client devono utilizzare solo SLAAC o necessitano anche di parametri DHCPv6.
  • Il concetto DNS e l’analisi dei log considerano IPv6.

⚠️ Sono documentati due limiti importanti: la delegazione del prefisso non è supportata su PPPoE over IPv6 e non può essere utilizzata su interfacce con configurazione VLAN. Se le reti interne sono costruite come VLAN, il design deve essere esaminato con particolare attenzione prima dell’implementazione.

Comprendere l’obiettivo

Con la delegazione del prefisso, accadono diverse cose in sequenza:

  1. Il firewall richiede un indirizzo IPv6 e un prefisso delegato dal provider sull’interfaccia WAN.
  2. Il provider assegna un indirizzo IPv6 all’interfaccia WAN e un prefisso al firewall.
  3. Il firewall delega da questo prefisso una rete IPv6 a un’interfaccia interna, ad esempio LAN o DMZ.
  4. L’interfaccia interna distribuisce informazioni IPv6 ai client tramite annuncio del router.
  5. Facoltativamente, un server DHCPv6 fornisce parametri aggiuntivi, come i server DNS.

È importante la distribuzione dei ruoli: l’annuncio del router assicura che i client apprendano il loro prefisso IPv6 e il gateway predefinito. DHCPv6 può fornire informazioni aggiuntive. Le regole del firewall continuano a decidere quale traffico è consentito.

Preparare l’interfaccia WAN

Il primo passo è l’interfaccia WAN. Qui, Sophos Firewall richiede il prefisso IPv6 dal provider.

Percorso del menu:

Network > Interfaces

Procedura:

  1. Modificare l’interfaccia WAN interessata.
  2. Aprire IPv6 configuration.
  3. Selezionare DHCP.
  4. Selezionare Manual.
  5. Attivare DHCP only.
  6. Attivare DHCP prefix delegation.
  7. Facoltativamente, configurare Preferred delegated prefix, se il provider e il proprio design di rete lo consentono.
  8. Impostare il nome del gateway e l’IP del gateway in base alla connessione del provider.
  9. Salvare e aggiornare l’interfaccia.

Con Preferred delegated prefix bisogna essere cauti. Il provider può fornire il prefisso desiderato, ma non è obbligato a farlo. Se il prefisso o la lunghezza del prefisso vengono modificati successivamente, potrebbe essere necessario rimuovere il lease DHCP o ricollegare l’interfaccia WAN affinché il firewall aggiorni il prefisso.

In pratica, è consigliabile chiarire prima con il provider:

  • Quale lunghezza del prefisso viene delegata, ad esempio /56, /60 o /64?
  • Il prefisso è stabile o può cambiare?
  • È necessario richiedere un valore specifico?
  • Ci sono restrizioni nei setup Bridge, PPPoE o Router-Modem?

Configurare l’interfaccia interna

Dopo l’interfaccia WAN, un’interfaccia interna viene alimentata con il prefisso delegato.

Percorso del menu:

Network > Interfaces

Procedura:

  1. Modificare l’interfaccia interna, ad esempio LAN o DMZ.
  2. Aprire IPv6 configuration.
  3. Selezionare Delegated.
  4. Sotto Upstream interface, selezionare l’interfaccia WAN che utilizza la delegazione del prefisso.
  5. Verificare quale prefisso IPv6 appare nel campo IPv6/prefix.
  6. Attivare Router advertisement.
  7. Facoltativamente, attivare DHCPv6 server se i client devono ricevere parametri aggiuntivi.
  8. Salvare e aggiornare l’interfaccia.

Secondo la documentazione, Sophos consente di modificare l’indirizzo IPv6 nel campo IPv6/prefix, ma non la lunghezza del prefisso. Questo è importante se si pianificano più reti interne. Il prefisso del provider deve essere abbastanza grande da alimentare in modo sensato più segmenti interni.

Verificare realisticamente il design VLAN

Molte reti produttive utilizzano VLAN per client, server, ospiti e gestione. Proprio qui, la delegazione del prefisso diventa rapidamente complicata, poiché Sophos non supporta la funzione su interfacce con configurazione VLAN.

Se la rete di destinazione interna è una VLAN, non si dovrebbe semplicemente cercare di aggirare la struttura VLAN esistente. È meglio una breve verifica del design:

  • IPv6 deve essere davvero attivato in questa VLAN?
  • Esiste un design alternativo per l’interfaccia o il provider?
  • Il provider offre IPv6 statico?
  • Sono pianificate più reti IPv6 interne?
  • Le regole del firewall, DNS, monitoraggio e documentazione sono già adatte a IPv6?

Per le basi VLAN, consultare Configurare VLAN su Sophos Firewall e UniFi Switch. L’articolo spiega principalmente IPv4, ma la pianificazione delle zone, dei trunk e delle regole è rilevante anche per IPv6.

Verificare l’annuncio del router

Quando la delegazione del prefisso è attivata sull’interfaccia interna, Sophos Firewall crea automaticamente un annuncio del router per questa interfaccia.

Percorso del menu:

Network > IPv6 router advertisement

Qui si dovrebbe verificare:

  • Esiste un server RA creato automaticamente per l’interfaccia interna?
  • Viene annunciato il prefisso previsto?
  • I flag RA corrispondono al comportamento pianificato del client?
  • Il Other flag deve essere impostato affinché DHCPv6 fornisca parametri aggiuntivi?

La configurazione dell’annuncio del prefisso del server RA generato automaticamente non può essere modificata. Se si desidera annunciare un altro prefisso, è necessario creare un proprio server RA.

Per la maggior parte degli ambienti, vale la pena verificare prima se i client ricevono correttamente indirizzi IPv6 con il RA generato automaticamente, prima di aggiungere server RA aggiuntivi o configurazioni speciali.

Usare DHCPv6 solo per lo scopo giusto

DHCPv6 non è lo stesso di DHCPv4. In molti design IPv6, i client ricevono il loro indirizzo tramite SLAAC e informazioni aggiuntive tramite DHCPv6. Pertanto, prima di attivarlo, è necessario chiarire cosa deve fare DHCPv6.

Parametri DHCPv6 tipici sono:

  • Server DNS.
  • Dominio di ricerca DNS.
  • Altre opzioni DHCPv6, se un client ne ha realmente bisogno.

Se i client ricevono un indirizzo IPv6 ma non possono risolvere i nomi, non è automaticamente colpa della delegazione del prefisso. Spesso manca il server DNS appropriato, la combinazione RA/DHCPv6 è poco chiara o il client utilizza un percorso DNS diverso da quello previsto.

Per domini interni e scenari di Split-DNS, rimane rilevante Configurare le rotte delle richieste DNS su Sophos Firewall. IPv6 non cambia la domanda fondamentale su quale server DNS sia responsabile per quale dominio.

Verificare le regole del firewall e l’accesso ai dispositivi

Il traffico IPv6 necessita di regole del firewall appropriate. Un set di regole IPv4 esistente non è automaticamente un concetto di sicurezza IPv6 completo.

Prima dell’approvazione, è necessario verificare:

  • Esistono regole per la zona di origine e la zona di destinazione interessate?
  • Il traffico IPv6 viene registrato dove è necessario per il troubleshooting o la conformità?
  • DNS, NTP, Web e applicazioni necessarie sono consentiti?
  • Le connessioni in entrata da Internet sono ancora bloccate consapevolmente o consentite in modo mirato?
  • Esistono regole separate per le zone client, server, ospiti e gestione?

Con IPv6, è particolarmente importante evitare che i client interni siano raggiungibili direttamente e senza controllo da Internet. Gli indirizzi IPv6 pubblici non significano che le connessioni in entrata debbano essere consentite. Le regole del firewall rimangono il confine centrale.

Anche Device Access deve essere considerato. Se i client interni devono utilizzare il firewall come server DNS, DNS deve essere consentito per la zona appropriata. I servizi di gestione come WebAdmin o SSH non dovrebbero diventare più accessibili con una nuova configurazione IPv6. L’indurimento dei servizi firewall locali è descritto in Device Access e Local Service ACL su Sophos Firewall.

Test dopo la configurazione

Dopo l’implementazione, non si dovrebbe solo verificare se un client ha ricevuto un indirizzo IPv6. È fondamentale che l’intero percorso funzioni controllato.

Test significativi:

  1. L’interfaccia WAN mostra un indirizzo IPv6 e un prefisso delegato.
  2. L’interfaccia interna mostra un prefisso IPv6 delegato.
  3. Sotto Network > IPv6 router advertisement è visibile il server RA automatico.
  4. Il client di test riceve un indirizzo IPv6 dal prefisso previsto.
  5. Il client di test ha un gateway predefinito IPv6.
  6. La risoluzione DNS funziona per nomi interni ed esterni.
  7. Ping IPv6 o HTTPS verso una destinazione esterna nota funziona.
  8. Il Log Viewer mostra la regola del firewall appropriata per il traffico di test.
  9. Un test IPv6 in entrata da Internet è consentito solo se esiste consapevolmente una regola.

Per connessioni singole, aiuta Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture. Se si tratta di problemi di base con l’interfaccia o DNS, si dovrebbe prima verificare lo stato dell’interfaccia, l’annuncio del router e la configurazione DNS.

Errori tipici

I client non ricevono un indirizzo IPv6

Verificare prima se l’interfaccia WAN ha effettivamente ricevuto un prefisso. Se non è visibile alcun prefisso, il problema è solitamente del provider, dell’interfaccia WAN, dei design PPPoE/Bridge o della richiesta di delegazione del prefisso.

Se è presente un prefisso sull’interfaccia WAN, ma i client non ricevono un indirizzo, si dovrebbe verificare l’interfaccia interna, l’annuncio del router e la rete client.

I client hanno IPv6, ma non Internet

In questo caso, la delegazione del prefisso non è necessariamente il problema. Cause comuni sono:

  • nessuna regola del firewall appropriata,
  • DNS non funziona,
  • il client preferisce IPv6, ma il sito di destinazione o il percorso è interrotto,
  • interfaccia interna errata,
  • RA o DHCPv6 forniscono parametri incompleti,
  • il percorso di ritorno o il routing del provider non è corretto.

DNS funziona solo parzialmente

Con IPv6, i problemi DNS spesso si manifestano tardi, poiché alcune applicazioni passano tra IPv4 e IPv6. Si dovrebbe testare separatamente:

  • risoluzione DNS esterna,
  • domini interni,
  • reverse lookups, se i log o i report devono mostrare i nomi,
  • server DNS effettivamente utilizzato dal client.

Il prefisso cambia dopo il cambio di provider o il riavvio

Se il provider assegna un prefisso dinamico, questo può cambiare. In tal caso, indirizzi IPv6 statici, voci DNS manuali, condivisioni esterne o regole di monitoraggio possono interrompersi.

Per server produttivi, servizi pubblicati o reti di siti complessi, si dovrebbe verificare se è necessario un prefisso del provider stabile o un altro design IPv6.

La rete VLAN dovrebbe ricevere IPv6

Qui bisogna prendere sul serio la limitazione di Sophos. Se la delegazione del prefisso non è possibile sull’interfaccia VLAN desiderata, non si dovrebbe lavorare con workaround casuali. È meglio prendere una decisione di design pulita: IPv6 statico, altro design dell’interfaccia, chiarimento con il provider o rinuncia consapevole a IPv6 in questo segmento.

Lista di controllo operativa

  • Documentata la lunghezza e la stabilità del prefisso del provider.
  • L’interfaccia WAN riceve un indirizzo IPv6 e un prefisso delegato.
  • L’interfaccia interna utilizza Delegated con l’interfaccia upstream corretta.
  • L’annuncio del router è attivo e visibile.
  • DHCPv6 è attivato solo se sono necessari parametri aggiuntivi.
  • Concetto DNS per nomi interni ed esterni verificato.
  • Regole del firewall per IPv6 create o confermate consapevolmente.
  • Accesso ai dispositivi non ampliato inutilmente tramite IPv6.
  • Log Viewer mostra il traffico di test in modo tracciabile.
  • Modifiche al prefisso o al provider documentate.

FAQ

Cos'è la delegazione del prefisso IPv6 su Sophos Firewall?

La delegazione del prefisso IPv6 significa che il firewall richiede un prefisso IPv6 dal provider e lo utilizza per alimentare le interfacce interne con IPv6. I client ricevono le loro informazioni IPv6 successivamente tramite annuncio del router e, facoltativamente, DHCPv6.

La delegazione del prefisso funziona su PPPoE?

PPPoE over IPv6 non è supportato per la delegazione del prefisso. Se la connessione Internet utilizza PPPoE, il design del provider e del modem/router deve essere verificato in anticipo.

È possibile utilizzare la delegazione del prefisso su interfacce VLAN?

Una limitazione importante è che la delegazione del prefisso non può essere utilizzata su interfacce con configurazione VLAN. In ambienti VLAN, il design IPv6 dovrebbe essere pianificato con particolare attenzione.

È necessario un server DHCPv6 per la delegazione del prefisso?

Non sempre. L’annuncio del router può fornire ai client il prefisso e il gateway. DHCPv6 è particolarmente rilevante quando devono essere distribuiti parametri aggiuntivi come i server DNS o altre opzioni DHCPv6.

Perché i client ricevono IPv6, ma alcuni servizi non funzionano?

In tal caso, si dovrebbero verificare le regole del firewall, DNS, annuncio del router, parametri DHCPv6 e log. Un indirizzo IPv6 esistente dimostra solo che l’indirizzamento funziona, non che l’intero percorso è correttamente consentito e risolvibile.