Zum Inhalt springen
Avanet

IPv6 Prefix Delegation auf Sophos Firewall konfigurieren

Sophos Firewall

Mit IPv6 Prefix Delegation kann eine Sophos Firewall vom Provider ein IPv6-Präfix beziehen und daraus interne Netze versorgen. Das ist besonders relevant, wenn der Internetanschluss kein festes statisches IPv6-Netz liefert, sondern der Provider das Präfix per DHCPv6 delegiert.

In IPv4-Umgebungen denkt man oft in NAT, privaten Netzen und Portweiterleitungen. Bei IPv6 ist das anders: Clients können öffentliche IPv6-Adressen erhalten, und die Firewall steuert den Zugriff über Routing, Router Advertisement, DHCPv6-Parameter und Firewall Regeln. Genau deshalb sollte Prefix Delegation bewusst geplant werden und nicht nur als zusätzliche Interface-Option aktiviert werden.

Für die Grundlagen zu Interfaces, Zonen und VLANs passt zuerst Sophos Firewall Zonen und Interfaces konfigurieren. Wenn es nur um klassische DHCP-Optionen für IPv4-Sonderfälle geht, ist Sophos Firewall DHCP Options (SFOS) der bessere Artikel.

Wann Prefix Delegation sinnvoll ist

Prefix Delegation ist sinnvoll, wenn der Provider ein IPv6-Präfix dynamisch über den WAN-Anschluss bereitstellt und die Sophos Firewall dieses Präfix an interne Netze verteilen soll.

Typische Szenarien:

  • Dual-Stack-Internetanschluss mit IPv4 und IPv6.
  • Der Provider liefert ein IPv6-Präfix per DHCPv6 Prefix Delegation.
  • Interne Clients sollen IPv6 nativ nutzen.
  • Mehrere interne Netze, zum Beispiel LAN, Server, Gäste oder DMZ, sollen IPv6 erhalten.
  • DNS, Logging und Firewall Regeln sollen IPv6 bewusst berücksichtigen.

Nicht jedes Netz braucht sofort IPv6. Wenn aber IPv6 auf Clients aktiv ist, sollte es sauber über Firewall, Regeln und Logs kontrolliert werden. Ein halb konfiguriertes IPv6-Setup kann sonst dazu führen, dass Clients IPv6 bevorzugen, Fehler aber im IPv4-Troubleshooting gesucht werden.

Voraussetzungen

Vor der Konfiguration sollte man diese Punkte klären:

  • Der Provider unterstützt IPv6 Prefix Delegation auf dem Anschluss.
  • Der WAN-Anschluss nutzt kein PPPoE-over-IPv6-Szenario für Prefix Delegation.
  • Das gewünschte interne Ziel-Interface ist kein VLAN-Interface, auf dem Sophos Prefix Delegation nicht unterstützt.
  • Die internen Zonen und Firewall Regeln sind geplant.
  • Es ist klar, ob Clients nur SLAAC verwenden sollen oder zusätzlich DHCPv6-Parameter brauchen.
  • DNS-Konzept und Logauswertung berücksichtigen IPv6.

⚠️ Zwei wichtige Grenzen sind dokumentiert: Prefix Delegation wird nicht über PPPoE over IPv6 unterstützt und kann nicht auf Interfaces mit VLAN-Konfiguration verwendet werden. Wenn interne Netze als VLANs aufgebaut sind, muss das Design vor der Umsetzung besonders genau geprüft werden.

Zielbild verstehen

Bei Prefix Delegation passieren mehrere Dinge nacheinander:

  1. Die Firewall fordert am WAN-Interface eine IPv6-Adresse und ein delegiertes Präfix vom Provider an.
  2. Der Provider weist dem WAN-Interface eine IPv6-Adresse und der Firewall ein Präfix zu.
  3. Die Firewall delegiert aus diesem Präfix ein IPv6-Netz an ein internes Interface, zum Beispiel LAN oder DMZ.
  4. Das interne Interface verteilt IPv6-Informationen an Clients über Router Advertisement.
  5. Optional liefert ein DHCPv6-Server zusätzliche Parameter, zum Beispiel DNS-Server.

Wichtig ist die Rollenverteilung: Router Advertisement sorgt dafür, dass Clients ihren IPv6-Prefix und das Default Gateway lernen. DHCPv6 kann ergänzende Informationen liefern. Firewall Regeln entscheiden weiterhin, welcher Traffic erlaubt ist.

WAN-Interface vorbereiten

Der erste Schritt ist das WAN-Interface. Hier fordert die Sophos Firewall das IPv6-Präfix vom Provider an.

Menüpfad:

Network > Interfaces

Vorgehen:

  1. Das betroffene WAN-Interface bearbeiten.
  2. IPv6 configuration öffnen.
  3. DHCP auswählen.
  4. Manual auswählen.
  5. DHCP only aktivieren.
  6. DHCP prefix delegation einschalten.
  7. Optional Preferred delegated prefix konfigurieren, wenn der Provider und das eigene Netzdesign das hergeben.
  8. Gateway-Name und Gateway-IP passend zum Provideranschluss setzen.
  9. Speichern und Interface aktualisieren.

Bei Preferred delegated prefix sollte man vorsichtig sein. Der Provider kann das gewünschte Präfix liefern, muss es aber nicht. Wenn Präfix oder Präfixlänge später geändert werden, kann es nötig sein, den DHCP-Lease zu entfernen oder das WAN-Interface neu zu binden, damit die Firewall das Präfix aktualisiert.

In der Praxis sollte man hier zuerst mit dem Provider klären:

  • Welche Präfixlänge wird delegiert, zum Beispiel /56, /60 oder /64?
  • Ist das Präfix stabil oder kann es wechseln?
  • Muss ein bestimmter Wert angefordert werden?
  • Gibt es Einschränkungen bei Bridge-, PPPoE- oder Router-Modem-Setups?

Internes Interface konfigurieren

Nach dem WAN-Interface wird ein internes Interface mit dem delegierten Präfix versorgt.

Menüpfad:

Network > Interfaces

Vorgehen:

  1. Internes Interface bearbeiten, zum Beispiel LAN oder DMZ.
  2. IPv6 configuration öffnen.
  3. Delegated auswählen.
  4. Unter Upstream interface das WAN-Interface auswählen, das Prefix Delegation verwendet.
  5. Prüfen, welches IPv6-Präfix im Feld IPv6/prefix erscheint.
  6. Router advertisement aktivieren.
  7. Optional DHCPv6 server aktivieren, wenn Clients zusätzliche Parameter erhalten sollen.
  8. Speichern und Interface aktualisieren.

Sophos erlaubt laut Dokumentation, die IPv6-Adresse im Feld IPv6/prefix anzupassen, nicht aber die Präfixlänge. Das ist wichtig, wenn man mehrere interne Netze plant. Das Provider-Präfix muss gross genug sein, damit mehrere interne Segmente sinnvoll versorgt werden können.

VLAN-Design realistisch prüfen

Viele produktive Netzwerke verwenden VLANs für Clients, Server, Gäste und Management. Genau hier wird Prefix Delegation schnell kompliziert, weil Sophos die Funktion nicht auf Interfaces mit VLAN-Konfiguration unterstützt.

Wenn das interne Zielnetz ein VLAN ist, sollte man nicht einfach versuchen, die bestehende VLAN-Struktur zu umgehen. Besser ist eine kurze Designprüfung:

  • Soll IPv6 wirklich in diesem VLAN aktiviert werden?
  • Gibt es ein alternatives Interface- oder Providerdesign?
  • Wird statisches IPv6 vom Provider angeboten?
  • Sind mehrere interne IPv6-Netze geplant?
  • Passen Firewall Regeln, DNS, Monitoring und Dokumentation schon zu IPv6?

Für die VLAN-Grundlagen hilft VLAN auf Sophos Firewall und UniFi Switch konfigurieren. Der Artikel erklärt zwar primär IPv4, aber die Zonen-, Trunk- und Regelplanung ist auch für IPv6 relevant.

Router Advertisement prüfen

Wenn Prefix Delegation auf dem internen Interface aktiviert wird, erstellt die Sophos Firewall automatisch ein Router Advertisement für dieses Interface.

Menüpfad:

Network > IPv6 router advertisement

Dort sollte man prüfen:

  • Gibt es einen automatisch erstellten RA-Server für das interne Interface?
  • Wird das erwartete Präfix angekündigt?
  • Passen die RA-Flags zum geplanten Clientverhalten?
  • Soll der Other flag gesetzt werden, damit DHCPv6 zusätzliche Parameter liefert?

Die Prefix Advertisement Configuration des automatisch erzeugten RA-Servers kann nicht geändert werden. Wenn zusätzlich ein anderes Präfix angekündigt werden soll, muss ein eigener RA-Server erstellt werden.

Für die meisten Umgebungen gilt: Erst prüfen, ob Clients mit dem automatisch erzeugten RA sauber IPv6-Adressen erhalten, bevor zusätzliche RA-Server oder Sonderkonfigurationen ergänzt werden.

DHCPv6 nur für den richtigen Zweck verwenden

DHCPv6 ist nicht dasselbe wie DHCPv4. In vielen IPv6-Designs erhalten Clients ihre Adresse über SLAAC und zusätzliche Informationen über DHCPv6. Deshalb sollte man vor der Aktivierung klären, was DHCPv6 leisten soll.

Typische DHCPv6-Parameter sind:

  • DNS-Server.
  • DNS-Suchdomain.
  • Weitere DHCPv6-Optionen, falls ein Client sie wirklich benötigt.

Wenn Clients eine IPv6-Adresse bekommen, aber keine Namen auflösen können, ist nicht automatisch Prefix Delegation falsch. Häufig fehlt dann der passende DNS-Server, die RA-/DHCPv6-Kombination ist unklar oder der Client verwendet einen anderen DNS-Pfad als erwartet.

Für interne Domains und Split-DNS-Szenarien bleibt DNS Request Routes auf Sophos Firewall konfigurieren relevant. IPv6 ändert nicht die Grundfrage, welcher DNS-Server für welche Domain zuständig ist.

Firewall Regeln und Device Access prüfen

IPv6-Traffic braucht passende Firewall Regeln. Ein bestehendes IPv4-Regelwerk ist nicht automatisch ein vollständiges IPv6-Sicherheitskonzept.

Vor der Freigabe sollte man prüfen:

  • Gibt es Regeln für die betroffene Source zone und Destination zone?
  • Wird IPv6-Traffic geloggt, wo es für Troubleshooting oder Compliance nötig ist?
  • Sind DNS, NTP, Web und benötigte Applikationen erlaubt?
  • Sind eingehende Verbindungen aus dem Internet weiterhin bewusst blockiert oder gezielt erlaubt?
  • Gibt es getrennte Regeln für Client-, Server-, Gäste- und Management-Zonen?

Bei IPv6 sollte man besonders vermeiden, interne Clients unkontrolliert direkt aus dem Internet erreichbar zu machen. Öffentliche IPv6-Adressen bedeuten nicht, dass eingehende Verbindungen erlaubt sein müssen. Die Firewall Regeln bleiben die zentrale Grenze.

Auch Device Access muss mitgedacht werden. Wenn interne Clients die Firewall als DNS-Server verwenden sollen, muss DNS für die passende Zone erlaubt sein. Management-Dienste wie WebAdmin oder SSH sollten dagegen nicht durch eine neue IPv6-Konfiguration breiter erreichbar werden. Die Härtung lokaler Firewall-Dienste ist in Device Access und Local Service ACL auf Sophos Firewall beschrieben.

Tests nach der Konfiguration

Nach der Umsetzung sollte man nicht nur prüfen, ob ein Client irgendeine IPv6-Adresse erhalten hat. Entscheidend ist, ob der ganze Pfad kontrolliert funktioniert.

Sinnvolle Tests:

  1. WAN-Interface zeigt eine IPv6-Adresse und ein delegiertes Präfix.
  2. Internes Interface zeigt ein delegiertes IPv6-Präfix.
  3. Unter Network > IPv6 router advertisement ist der automatische RA-Server sichtbar.
  4. Testclient erhält eine IPv6-Adresse aus dem erwarteten Präfix.
  5. Testclient hat ein IPv6 Default Gateway.
  6. DNS-Auflösung funktioniert für interne und externe Namen.
  7. IPv6-Ping oder HTTPS zu einem bekannten externen Ziel funktioniert.
  8. Log Viewer zeigt die passende Firewall Regel für den Testtraffic.
  9. Ein eingehender IPv6-Test aus dem Internet ist nur erlaubt, wenn dafür bewusst eine Regel existiert.

Für einzelne Verbindungen hilft Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture. Wenn es um grundlegende Interface- oder DNS-Probleme geht, sollte man zuerst Interface-Status, Router Advertisement und DNS-Konfiguration prüfen.

Typische Fehler

Clients erhalten keine IPv6-Adresse

Zuerst prüfen, ob das WAN-Interface wirklich ein Präfix erhalten hat. Wenn dort kein Präfix sichtbar ist, liegt das Problem meistens beim Provider, beim WAN-Interface, bei PPPoE-/Bridge-Designs oder bei der Prefix-Delegation-Anfrage.

Wenn am WAN ein Präfix vorhanden ist, aber Clients keine Adresse bekommen, sollte man internes Interface, Router Advertisement und Clientnetz prüfen.

Clients haben IPv6, aber kein Internet

Dann ist Prefix Delegation grundsätzlich nicht zwingend das Problem. Häufige Ursachen sind:

  • keine passende Firewall Regel,
  • DNS funktioniert nicht,
  • Client bevorzugt IPv6, aber die Zielseite oder der Pfad ist gestört,
  • falsches internes Interface,
  • RA oder DHCPv6 liefert unvollständige Parameter,
  • Rückweg oder Provider-Routing passt nicht.

DNS funktioniert nur teilweise

Bei IPv6 sieht man DNS-Probleme oft erst spät, weil manche Applikationen zwischen IPv4 und IPv6 wechseln. Man sollte getrennt testen:

  • externe DNS-Auflösung,
  • interne Domains,
  • Reverse-Lookups, falls Logs oder Reports Namen anzeigen sollen,
  • DNS-Server, den der Client tatsächlich verwendet.

Prefix ändert sich nach Providerwechsel oder Neustart

Wenn der Provider ein dynamisches Präfix vergibt, kann sich das Präfix ändern. Dann können statische IPv6-Adressen, manuelle DNS-Einträge, externe Freigaben oder Monitoring-Regeln brechen.

Für produktive Server, veröffentlichte Dienste oder komplexe Standortnetze sollte man deshalb prüfen, ob ein stabiles Provider-Präfix oder ein anderes IPv6-Design nötig ist.

VLAN-Netz soll IPv6 bekommen

Hier muss man die Sophos-Einschränkung ernst nehmen. Wenn Prefix Delegation nicht auf dem gewünschten VLAN-Interface möglich ist, sollte man nicht mit zufälligen Workarounds arbeiten. Besser ist eine saubere Designentscheidung: statisches IPv6, anderes Interface-Design, Providerklärung oder bewusster Verzicht auf IPv6 in diesem Segment.

Betriebscheckliste

  • Provider-Präfixlänge und Stabilität dokumentiert.
  • WAN-Interface erhält IPv6-Adresse und delegiertes Präfix.
  • Internes Interface verwendet Delegated mit dem richtigen Upstream Interface.
  • Router Advertisement ist aktiv und sichtbar.
  • DHCPv6 ist nur aktiviert, wenn zusätzliche Parameter benötigt werden.
  • DNS-Konzept für interne und externe Namen geprüft.
  • Firewall Regeln für IPv6 bewusst erstellt oder bestätigt.
  • Device Access durch IPv6 nicht unnötig erweitert.
  • Log Viewer zeigt Testtraffic nachvollziehbar.
  • Änderungen an Präfix oder Provider werden dokumentiert.

FAQ

Was ist IPv6 Prefix Delegation auf der Sophos Firewall?

IPv6 Prefix Delegation bedeutet, dass die Firewall vom Provider ein IPv6-Präfix anfordert und daraus interne Interfaces mit IPv6 versorgt. Clients erhalten ihre IPv6-Informationen anschliessend über Router Advertisement und optional DHCPv6.

Funktioniert Prefix Delegation über PPPoE?

PPPoE over IPv6 wird für Prefix Delegation nicht unterstützt. Wenn der Internetanschluss PPPoE verwendet, muss das Provider- und Modem-/Routerdesign vorab geprüft werden.

Kann man Prefix Delegation auf VLAN-Interfaces nutzen?

Eine wichtige Einschränkung ist, dass Prefix Delegation nicht auf Interfaces mit VLAN-Konfiguration verwendet werden kann. In VLAN-Umgebungen sollte man deshalb das IPv6-Design besonders sorgfältig planen.

Braucht man bei Prefix Delegation einen DHCPv6-Server?

Nicht immer. Router Advertisement kann Clients das Präfix und Gateway liefern. DHCPv6 ist vor allem dann relevant, wenn zusätzliche Parameter wie DNS-Server oder andere DHCPv6-Optionen verteilt werden sollen.

Warum bekommen Clients IPv6, aber manche Dienste funktionieren nicht?

Dann sollte man Firewall Regeln, DNS, Router Advertisement, DHCPv6-Parameter und Logs prüfen. Eine vorhandene IPv6-Adresse beweist nur, dass Adressierung funktioniert, nicht dass der gesamte Pfad korrekt erlaubt und auflösbar ist.