Naar de inhoud
Avanet

IPv6 Prefix Delegation configureren op Sophos Firewall

Sophos Firewall

Met IPv6 Prefix Delegation kan een Sophos Firewall een IPv6-prefix van de provider verkrijgen en daarmee interne netwerken bedienen. Dit is vooral relevant wanneer de internetverbinding geen vast statisch IPv6-netwerk levert, maar de provider het prefix via DHCPv6 delegeert.

In IPv4-omgevingen denkt men vaak in NAT, privé-netwerken en poortdoorschakelingen. Bij IPv6 is dat anders: clients kunnen openbare IPv6-adressen ontvangen, en de firewall beheert de toegang via routing, Router Advertisement, DHCPv6-parameters en firewallregels. Daarom moet Prefix Delegation bewust worden gepland en niet alleen als extra interface-optie worden geactiveerd.

Voor de basisprincipes van interfaces, zones en VLAN’s is het eerst handig om Sophos Firewall zones en interfaces configureren te bekijken. Als het alleen gaat om klassieke DHCP-opties voor IPv4-bijzondere gevallen, is Sophos Firewall DHCP-opties (SFOS) het betere artikel.

Wanneer Prefix Delegation zinvol is

Prefix Delegation is zinvol wanneer de provider een IPv6-prefix dynamisch via de WAN-verbinding levert en de Sophos Firewall dit prefix aan interne netwerken moet verdelen.

Typische scenario’s:

  • Dual-stack internetverbinding met IPv4 en IPv6.
  • De provider levert een IPv6-prefix via DHCPv6 Prefix Delegation.
  • Interne clients moeten IPv6 native gebruiken.
  • Meerdere interne netwerken, zoals LAN, server, gasten of DMZ, moeten IPv6 ontvangen.
  • DNS, logging en firewallregels moeten bewust rekening houden met IPv6.

Niet elk netwerk heeft onmiddellijk IPv6 nodig. Maar als IPv6 op clients actief is, moet het netjes worden gecontroleerd via firewall, regels en logs. Een half geconfigureerde IPv6-setup kan anders ertoe leiden dat clients IPv6 verkiezen, maar fouten worden gezocht in IPv4-probleemoplossing.

Vereisten

Voor de configuratie moet men deze punten verduidelijken:

  • De provider ondersteunt IPv6 Prefix Delegation op de verbinding.
  • De WAN-verbinding gebruikt geen PPPoE-over-IPv6-scenario voor Prefix Delegation.
  • De gewenste interne doelinterface is geen VLAN-interface, waarop Sophos Prefix Delegation niet ondersteunt.
  • De interne zones en firewallregels zijn gepland.
  • Het is duidelijk of clients alleen SLAAC moeten gebruiken of ook DHCPv6-parameters nodig hebben.
  • DNS-concept en loganalyse houden rekening met IPv6.

⚠️ Twee belangrijke beperkingen zijn gedocumenteerd: Prefix Delegation wordt niet ondersteund via PPPoE over IPv6 en kan niet worden gebruikt op interfaces met VLAN-configuratie. Als interne netwerken als VLAN’s zijn opgebouwd, moet het ontwerp voor de implementatie bijzonder nauwkeurig worden gecontroleerd.

Doelbeeld begrijpen

Bij Prefix Delegation gebeuren er meerdere dingen achter elkaar:

  1. De firewall vraagt op de WAN-interface een IPv6-adres en een gedelegeerd prefix van de provider aan.
  2. De provider wijst de WAN-interface een IPv6-adres en de firewall een prefix toe.
  3. De firewall delegeert uit dit prefix een IPv6-netwerk aan een interne interface, bijvoorbeeld LAN of DMZ.
  4. De interne interface verspreidt IPv6-informatie aan clients via Router Advertisement.
  5. Optioneel levert een DHCPv6-server aanvullende parameters, zoals DNS-servers.

Belangrijk is de rolverdeling: Router Advertisement zorgt ervoor dat clients hun IPv6-prefix en het standaard gateway leren. DHCPv6 kan aanvullende informatie leveren. Firewallregels beslissen nog steeds welke verkeer is toegestaan.

WAN-interface voorbereiden

De eerste stap is de WAN-interface. Hier vraagt de Sophos Firewall het IPv6-prefix van de provider aan.

Menupad:

Network > Interfaces

Stappen:

  1. Bewerk de betreffende WAN-interface.
  2. Open IPv6 configuration.
  3. Selecteer DHCP.
  4. Selecteer Manual.
  5. Activeer DHCP only.
  6. Schakel DHCP prefix delegation in.
  7. Optioneel Preferred delegated prefix configureren, als de provider en het eigen netwerkontwerp dat toestaan.
  8. Stel de gateway-naam en gateway-IP in die passen bij de providerverbinding.
  9. Opslaan en interface bijwerken.

Bij Preferred delegated prefix moet men voorzichtig zijn. De provider kan het gewenste prefix leveren, maar hoeft dat niet te doen. Als het prefix of de prefixlengte later wordt gewijzigd, kan het nodig zijn om de DHCP-lease te verwijderen of de WAN-interface opnieuw te binden, zodat de firewall het prefix bijwerkt.

In de praktijk moet men hier eerst met de provider overleggen:

  • Welke prefixlengte wordt gedelegeerd, bijvoorbeeld /56, /60 of /64?
  • Is het prefix stabiel of kan het veranderen?
  • Moet een specifieke waarde worden aangevraagd?
  • Zijn er beperkingen bij bridge-, PPPoE- of router-modem-opstellingen?

Intern interface configureren

Na de WAN-interface wordt een interne interface voorzien van het gedelegeerde prefix.

Menupad:

Network > Interfaces

Stappen:

  1. Bewerk de interne interface, bijvoorbeeld LAN of DMZ.
  2. Open IPv6 configuration.
  3. Selecteer Delegated.
  4. Kies onder Upstream interface de WAN-interface die Prefix Delegation gebruikt.
  5. Controleer welk IPv6-prefix verschijnt in het veld IPv6/prefix.
  6. Activeer Router advertisement.
  7. Optioneel DHCPv6 server activeren, als clients aanvullende parameters moeten ontvangen.
  8. Opslaan en interface bijwerken.

Volgens de documentatie staat Sophos toe dat het IPv6-adres in het veld IPv6/prefix wordt aangepast, maar niet de prefixlengte. Dit is belangrijk als men meerdere interne netwerken plant. Het provider-prefix moet groot genoeg zijn om meerdere interne segmenten zinvol te kunnen bedienen.

Realistisch VLAN-ontwerp controleren

Veel productieve netwerken gebruiken VLAN’s voor clients, servers, gasten en beheer. Hier wordt Prefix Delegation snel ingewikkeld, omdat Sophos de functie niet ondersteunt op interfaces met VLAN-configuratie.

Als het interne doelnetwerk een VLAN is, moet men niet zomaar proberen de bestaande VLAN-structuur te omzeilen. Beter is een korte ontwerpcontrole:

  • Moet IPv6 echt in dit VLAN worden geactiveerd?
  • Is er een alternatief interface- of providerontwerp?
  • Wordt statisch IPv6 door de provider aangeboden?
  • Zijn er meerdere interne IPv6-netwerken gepland?
  • Passen firewallregels, DNS, monitoring en documentatie al bij IPv6?

Voor de basisprincipes van VLAN’s helpt VLAN configureren op Sophos Firewall en UniFi Switch. Het artikel legt voornamelijk IPv4 uit, maar de zone-, trunk- en regelplanning is ook voor IPv6 relevant.

Router Advertisement controleren

Wanneer Prefix Delegation op de interne interface wordt geactiveerd, maakt de Sophos Firewall automatisch een Router Advertisement voor deze interface aan.

Menupad:

Network > IPv6 router advertisement

Daar moet men controleren:

  • Is er een automatisch aangemaakte RA-server voor de interne interface?
  • Wordt het verwachte prefix aangekondigd?
  • Passen de RA-vlaggen bij het geplande clientgedrag?
  • Moet de Other flag worden ingesteld, zodat DHCPv6 aanvullende parameters levert?

De Prefix Advertisement Configuration van de automatisch gegenereerde RA-server kan niet worden gewijzigd. Als er daarnaast een ander prefix moet worden aangekondigd, moet een eigen RA-server worden aangemaakt.

Voor de meeste omgevingen geldt: Eerst controleren of clients met de automatisch gegenereerde RA netjes IPv6-adressen ontvangen, voordat extra RA-servers of speciale configuraties worden toegevoegd.

DHCPv6 alleen voor het juiste doel gebruiken

DHCPv6 is niet hetzelfde als DHCPv4. In veel IPv6-ontwerpen ontvangen clients hun adres via SLAAC en aanvullende informatie via DHCPv6. Daarom moet men voor de activering verduidelijken wat DHCPv6 moet doen.

Typische DHCPv6-parameters zijn:

  • DNS-servers.
  • DNS-zoekdomein.
  • Andere DHCPv6-opties, als een client ze echt nodig heeft.

Als clients een IPv6-adres krijgen, maar geen namen kunnen oplossen, is niet automatisch Prefix Delegation fout. Vaak ontbreekt dan de juiste DNS-server, is de RA-/DHCPv6-combinatie onduidelijk of gebruikt de client een ander DNS-pad dan verwacht.

Voor interne domeinen en split-DNS-scenario’s blijft DNS Request Routes configureren op Sophos Firewall relevant. IPv6 verandert niet de basisvraag welke DNS-server voor welk domein verantwoordelijk is.

Firewallregels en Device Access controleren

IPv6-verkeer heeft passende firewallregels nodig. Een bestaand IPv4-regelwerk is niet automatisch een volledig IPv6-veiligheidsconcept.

Voor de vrijgave moet men controleren:

  • Zijn er regels voor de betreffende Source zone en Destination zone?
  • Wordt IPv6-verkeer gelogd waar het nodig is voor probleemoplossing of compliance?
  • Zijn DNS, NTP, web en benodigde applicaties toegestaan?
  • Zijn inkomende verbindingen vanuit het internet nog steeds bewust geblokkeerd of gericht toegestaan?
  • Zijn er gescheiden regels voor client-, server-, gasten- en beheerzones?

Bij IPv6 moet men vooral vermijden dat interne clients ongecontroleerd direct vanuit het internet bereikbaar zijn. Openbare IPv6-adressen betekenen niet dat inkomende verbindingen toegestaan moeten zijn. De firewallregels blijven de centrale grens.

Ook Device Access moet worden overwogen. Als interne clients de firewall als DNS-server willen gebruiken, moet DNS voor de juiste zone zijn toegestaan. Beheerdiensten zoals WebAdmin of SSH mogen daarentegen niet breder toegankelijk worden door een nieuwe IPv6-configuratie. De hardening van lokale firewall-diensten is beschreven in Device Access en Local Service ACL op Sophos Firewall.

Tests na de configuratie

Na de implementatie moet men niet alleen controleren of een client een IPv6-adres heeft ontvangen. Belangrijk is of het hele pad gecontroleerd werkt.

Zinvolle tests:

  1. WAN-interface toont een IPv6-adres en een gedelegeerd prefix.
  2. Interne interface toont een gedelegeerd IPv6-prefix.
  3. Onder Network > IPv6 router advertisement is de automatische RA-server zichtbaar.
  4. Testclient ontvangt een IPv6-adres uit het verwachte prefix.
  5. Testclient heeft een IPv6-standaardgateway.
  6. DNS-resolutie werkt voor interne en externe namen.
  7. IPv6-ping of HTTPS naar een bekend extern doel werkt.
  8. Log Viewer toont de juiste firewallregel voor de testverkeer.
  9. Een inkomende IPv6-test vanuit het internet is alleen toegestaan als daarvoor bewust een regel bestaat.

Voor afzonderlijke verbindingen helpt Firewall-regel testen met Log Viewer, Policy Test en Packet Capture. Als het gaat om fundamentele interface- of DNS-problemen, moet men eerst de interface-status, Router Advertisement en DNS-configuratie controleren.

Typische fouten

Clients ontvangen geen IPv6-adres

Eerst controleren of de WAN-interface echt een prefix heeft ontvangen. Als daar geen prefix zichtbaar is, ligt het probleem meestal bij de provider, de WAN-interface, bij PPPoE-/bridge-ontwerpen of bij de prefix-delegatieaanvraag.

Als er een prefix op de WAN is, maar clients geen adres krijgen, moet men de interne interface, Router Advertisement en het clientnetwerk controleren.

Clients hebben IPv6, maar geen internet

Dan is Prefix Delegation in principe niet noodzakelijk het probleem. Veelvoorkomende oorzaken zijn:

  • geen passende firewallregel,
  • DNS werkt niet,
  • client geeft de voorkeur aan IPv6, maar de doelpagina of het pad is verstoord,
  • verkeerd intern interface,
  • RA of DHCPv6 levert onvolledige parameters,
  • retourpad of provider-routing past niet.

DNS werkt slechts gedeeltelijk

Bij IPv6 ziet men DNS-problemen vaak pas laat, omdat sommige applicaties tussen IPv4 en IPv6 wisselen. Men moet apart testen:

  • externe DNS-resolutie,
  • interne domeinen,
  • reverse-lookups, als logs of rapporten namen moeten weergeven,
  • DNS-server die de client daadwerkelijk gebruikt.

Prefix verandert na providerwisseling of herstart

Als de provider een dynamisch prefix toewijst, kan het prefix veranderen. Dan kunnen statische IPv6-adressen, handmatige DNS-invoer, externe vrijgaven of monitoringregels breken.

Voor productieve servers, gepubliceerde diensten of complexe locatienetwerken moet men daarom controleren of een stabiel provider-prefix of een ander IPv6-ontwerp nodig is.

VLAN-netwerk moet IPv6 krijgen

Hier moet men de Sophos-beperking serieus nemen. Als Prefix Delegation niet mogelijk is op de gewenste VLAN-interface, moet men niet met willekeurige workarounds werken. Beter is een duidelijke ontwerpbeslissing: statisch IPv6, ander interface-ontwerp, provideropheldering of bewuste afzien van IPv6 in dit segment.

Operationele checklist

  • Provider-prefixlengte en stabiliteit gedocumenteerd.
  • WAN-interface ontvangt IPv6-adres en gedelegeerd prefix.
  • Interne interface gebruikt Delegated met de juiste upstream interface.
  • Router Advertisement is actief en zichtbaar.
  • DHCPv6 is alleen geactiveerd als aanvullende parameters nodig zijn.
  • DNS-concept voor interne en externe namen gecontroleerd.
  • Firewallregels voor IPv6 bewust gemaakt of bevestigd.
  • Device Access niet onnodig uitgebreid door IPv6.
  • Log Viewer toont testverkeer begrijpelijk.
  • Wijzigingen aan prefix of provider worden gedocumenteerd.

FAQ

Wat is IPv6 Prefix Delegation op de Sophos Firewall?

IPv6 Prefix Delegation betekent dat de firewall een IPv6-prefix van de provider aanvraagt en daarmee interne interfaces van IPv6 voorziet. Clients ontvangen hun IPv6-informatie vervolgens via Router Advertisement en optioneel DHCPv6.

Werkt Prefix Delegation via PPPoE?

PPPoE over IPv6 wordt niet ondersteund voor Prefix Delegation. Als de internetverbinding PPPoE gebruikt, moet het provider- en modem-/routerontwerp vooraf worden gecontroleerd.

Kan men Prefix Delegation op VLAN-interfaces gebruiken?

Een belangrijke beperking is dat Prefix Delegation niet kan worden gebruikt op interfaces met VLAN-configuratie. In VLAN-omgevingen moet men daarom het IPv6-ontwerp bijzonder zorgvuldig plannen.

Heeft men bij Prefix Delegation een DHCPv6-server nodig?

Niet altijd. Router Advertisement kan clients het prefix en gateway leveren. DHCPv6 is vooral relevant als aanvullende parameters zoals DNS-servers of andere DHCPv6-opties moeten worden verdeeld.

Waarom krijgen clients IPv6, maar werken sommige diensten niet?

Dan moet men firewallregels, DNS, Router Advertisement, DHCPv6-parameters en logs controleren. Een bestaande IPv6-adres bewijst alleen dat adressering werkt, niet dat het hele pad correct is toegestaan en oplosbaar is.