Przejdz do tresci
Avanet

Konfigurowanie delegacji prefiksu IPv6 na Sophos Firewall

Sophos Firewall

Dzięki delegacji prefiksu IPv6 Sophos Firewall może uzyskać prefiks IPv6 od dostawcy i dostarczać go do sieci wewnętrznych. Jest to szczególnie istotne, gdy połączenie internetowe nie dostarcza stałej, statycznej sieci IPv6, a dostawca deleguje prefiks za pomocą DHCPv6.

W środowiskach IPv4 często myśli się w kategoriach NAT, sieci prywatnych i przekierowań portów. W przypadku IPv6 jest inaczej: klienci mogą otrzymywać publiczne adresy IPv6, a firewall kontroluje dostęp poprzez routing, ogłoszenia routera, parametry DHCPv6 i zasady firewalla. Dlatego delegacja prefiksu powinna być świadomie planowana, a nie tylko aktywowana jako dodatkowa opcja interfejsu.

Podstawy dotyczące interfejsów, stref i VLAN-ów można znaleźć w artykule Konfigurowanie stref i interfejsów Sophos Firewall. Jeśli chodzi o klasyczne opcje DHCP dla specjalnych przypadków IPv4, lepszym artykułem jest Opcje DHCP Sophos Firewall (SFOS).

Kiedy delegacja prefiksu ma sens

Delegacja prefiksu ma sens, gdy dostawca dynamicznie dostarcza prefiks IPv6 przez połączenie WAN, a Sophos Firewall ma rozdzielić ten prefiks do sieci wewnętrznych.

Typowe scenariusze:

  • Połączenie internetowe dual-stack z IPv4 i IPv6.
  • Dostawca dostarcza prefiks IPv6 za pomocą delegacji prefiksu DHCPv6.
  • Klienci wewnętrzni powinni korzystać z IPv6 natywnie.
  • Wiele sieci wewnętrznych, na przykład LAN, serwery, goście lub DMZ, powinno otrzymać IPv6.
  • DNS, logowanie i zasady firewalla powinny świadomie uwzględniać IPv6.

Nie każda sieć potrzebuje natychmiast IPv6. Jeśli jednak IPv6 jest aktywne na klientach, powinno być kontrolowane przez firewall, zasady i logi. Półkonfigurowane ustawienie IPv6 może prowadzić do sytuacji, w której klienci preferują IPv6, ale błędy są szukane w rozwiązywaniu problemów z IPv4.

Wymagania wstępne

Przed konfiguracją należy wyjaśnić następujące kwestie:

  • Dostawca obsługuje delegację prefiksu IPv6 na połączeniu.
  • Połączenie WAN nie korzysta ze scenariusza PPPoE-over-IPv6 dla delegacji prefiksu.
  • Docelowy interfejs wewnętrzny nie jest interfejsem VLAN, na którym Sophos nie obsługuje delegacji prefiksu.
  • Zaplanowane są wewnętrzne strefy i zasady firewalla.
  • Jest jasne, czy klienci powinni używać tylko SLAAC, czy też potrzebują dodatkowych parametrów DHCPv6.
  • Koncepcja DNS i analiza logów uwzględniają IPv6.

⚠️ Udokumentowano dwa ważne ograniczenia: delegacja prefiksu nie jest obsługiwana przez PPPoE over IPv6 i nie może być używana na interfejsach z konfiguracją VLAN. Jeśli sieci wewnętrzne są zbudowane jako VLAN-y, projekt musi być dokładnie sprawdzony przed wdrożeniem.

Zrozumienie docelowego obrazu

W przypadku delegacji prefiksu dzieje się kilka rzeczy po kolei:

  1. Firewall żąda na interfejsie WAN adresu IPv6 i delegowanego prefiksu od dostawcy.
  2. Dostawca przypisuje interfejsowi WAN adres IPv6, a firewallowi prefiks.
  3. Firewall deleguje z tego prefiksu sieć IPv6 do wewnętrznego interfejsu, na przykład LAN lub DMZ.
  4. Wewnętrzny interfejs rozdziela informacje IPv6 do klientów za pomocą ogłoszeń routera.
  5. Opcjonalnie serwer DHCPv6 dostarcza dodatkowe parametry, na przykład serwery DNS.

Ważny jest podział ról: ogłoszenia routera zapewniają, że klienci uczą się swojego prefiksu IPv6 i domyślnej bramy. DHCPv6 może dostarczać dodatkowe informacje. Zasady firewalla nadal decydują, jaki ruch jest dozwolony.

Przygotowanie interfejsu WAN

Pierwszym krokiem jest interfejs WAN. Tutaj Sophos Firewall żąda prefiksu IPv6 od dostawcy.

Ścieżka menu:

Network > Interfaces

Procedura:

  1. Edytuj odpowiedni interfejs WAN.
  2. Otwórz IPv6 configuration.
  3. Wybierz DHCP.
  4. Wybierz Manual.
  5. Aktywuj DHCP only.
  6. Włącz DHCP prefix delegation.
  7. Opcjonalnie skonfiguruj Preferred delegated prefix, jeśli dostawca i własny projekt sieci na to pozwalają.
  8. Ustaw nazwę bramy i IP bramy odpowiednio do połączenia dostawcy.
  9. Zapisz i zaktualizuj interfejs.

Przy Preferred delegated prefix należy być ostrożnym. Dostawca może dostarczyć żądany prefiks, ale nie musi. Jeśli prefiks lub jego długość zostaną później zmienione, może być konieczne usunięcie dzierżawy DHCP lub ponowne związanie interfejsu WAN, aby firewall zaktualizował prefiks.

W praktyce najpierw należy wyjaśnić z dostawcą:

  • Jaka długość prefiksu jest delegowana, na przykład /56, /60 lub /64?
  • Czy prefiks jest stabilny, czy może się zmieniać?
  • Czy należy żądać określonej wartości?
  • Czy są jakieś ograniczenia w przypadku konfiguracji mostka, PPPoE lub router-modem?

Konfiguracja wewnętrznego interfejsu

Po interfejsie WAN, wewnętrzny interfejs jest zasilany delegowanym prefiksem.

Ścieżka menu:

Network > Interfaces

Procedura:

  1. Edytuj wewnętrzny interfejs, na przykład LAN lub DMZ.
  2. Otwórz IPv6 configuration.
  3. Wybierz Delegated.
  4. W polu Upstream interface wybierz interfejs WAN, który używa delegacji prefiksu.
  5. Sprawdź, jaki prefiks IPv6 pojawia się w polu IPv6/prefix.
  6. Aktywuj Router advertisement.
  7. Opcjonalnie aktywuj DHCPv6 server, jeśli klienci mają otrzymać dodatkowe parametry.
  8. Zapisz i zaktualizuj interfejs.

Sophos pozwala, zgodnie z dokumentacją, dostosować adres IPv6 w polu IPv6/prefix, ale nie długość prefiksu. Jest to ważne, jeśli planuje się wiele wewnętrznych sieci. Prefiks dostawcy musi być wystarczająco duży, aby sensownie zasilić wiele wewnętrznych segmentów.

Realistyczne sprawdzenie projektu VLAN

Wiele sieci produkcyjnych używa VLAN-ów dla klientów, serwerów, gości i zarządzania. Właśnie tutaj delegacja prefiksu szybko staje się skomplikowana, ponieważ Sophos nie obsługuje tej funkcji na interfejsach z konfiguracją VLAN.

Jeśli docelowa sieć wewnętrzna jest VLAN-em, nie należy po prostu próbować obejść istniejącej struktury VLAN. Lepiej jest przeprowadzić krótką analizę projektu:

  • Czy IPv6 naprawdę powinno być aktywowane w tym VLAN-ie?
  • Czy istnieje alternatywny projekt interfejsu lub dostawcy?
  • Czy dostawca oferuje statyczne IPv6?
  • Czy planowane są wiele wewnętrznych sieci IPv6?
  • Czy zasady firewalla, DNS, monitorowanie i dokumentacja już pasują do IPv6?

Podstawy dotyczące VLAN-ów można znaleźć w artykule Konfigurowanie VLAN na Sophos Firewall i UniFi Switch. Artykuł ten wyjaśnia głównie IPv4, ale planowanie stref, trunków i zasad jest również istotne dla IPv6.

Sprawdzenie ogłoszeń routera

Gdy delegacja prefiksu jest aktywowana na wewnętrznym interfejsie, Sophos Firewall automatycznie tworzy ogłoszenie routera dla tego interfejsu.

Ścieżka menu:

Network > IPv6 router advertisement

Tam należy sprawdzić:

  • Czy istnieje automatycznie utworzony serwer RA dla wewnętrznego interfejsu?
  • Czy ogłaszany jest oczekiwany prefiks?
  • Czy flagi RA pasują do planowanego zachowania klienta?
  • Czy należy ustawić Other flag, aby DHCPv6 dostarczał dodatkowe parametry?

Konfiguracja ogłoszeń prefiksu automatycznie utworzonego serwera RA nie może być zmieniona. Jeśli dodatkowo ma być ogłaszany inny prefiks, należy utworzyć własny serwer RA.

Dla większości środowisk obowiązuje: najpierw sprawdź, czy klienci otrzymują poprawnie adresy IPv6 z automatycznie utworzonego RA, zanim dodasz dodatkowe serwery RA lub specjalne konfiguracje.

Używanie DHCPv6 tylko do właściwego celu

DHCPv6 nie jest tym samym co DHCPv4. W wielu projektach IPv6 klienci otrzymują swój adres przez SLAAC, a dodatkowe informacje przez DHCPv6. Dlatego przed aktywacją należy wyjaśnić, co DHCPv6 ma osiągnąć.

Typowe parametry DHCPv6 to:

  • Serwery DNS.
  • Domeny wyszukiwania DNS.
  • Inne opcje DHCPv6, jeśli klient ich naprawdę potrzebuje.

Jeśli klienci otrzymują adres IPv6, ale nie mogą rozwiązać nazw, nie oznacza to automatycznie, że delegacja prefiksu jest błędna. Często brakuje wtedy odpowiedniego serwera DNS, kombinacja RA/DHCPv6 jest niejasna lub klient używa innej ścieżki DNS niż oczekiwano.

Dla wewnętrznych domen i scenariuszy Split-DNS pozostaje istotne Konfigurowanie tras żądań DNS na Sophos Firewall. IPv6 nie zmienia podstawowego pytania, który serwer DNS jest odpowiedzialny za którą domenę.

Sprawdzenie zasad firewalla i dostępu do urządzeń

Ruch IPv6 wymaga odpowiednich zasad firewalla. Istniejący zestaw zasad IPv4 nie jest automatycznie kompletną koncepcją bezpieczeństwa IPv6.

Przed zatwierdzeniem należy sprawdzić:

  • Czy istnieją zasady dla odpowiedniej strefy źródłowej i docelowej?
  • Czy ruch IPv6 jest logowany tam, gdzie jest to potrzebne do rozwiązywania problemów lub zgodności?
  • Czy DNS, NTP, sieć Web i potrzebne aplikacje są dozwolone?
  • Czy połączenia przychodzące z Internetu są nadal świadomie blokowane lub celowo dozwolone?
  • Czy istnieją oddzielne zasady dla stref klientów, serwerów, gości i zarządzania?

W przypadku IPv6 należy szczególnie unikać sytuacji, w której klienci wewnętrzni są niekontrolowanie dostępni bezpośrednio z Internetu. Publiczne adresy IPv6 nie oznaczają, że połączenia przychodzące muszą być dozwolone. Zasady firewalla pozostają centralną granicą.

Również Device Access musi być uwzględniony. Jeśli klienci wewnętrzni mają używać firewalla jako serwera DNS, DNS musi być dozwolony dla odpowiedniej strefy. Usługi zarządzania, takie jak WebAdmin lub SSH, nie powinny być jednak szerzej dostępne przez nową konfigurację IPv6. Utwardzenie lokalnych usług firewalla jest opisane w Dostęp do urządzeń i lokalna ACL na Sophos Firewall.

Testy po konfiguracji

Po wdrożeniu należy nie tylko sprawdzić, czy klient otrzymał jakikolwiek adres IPv6. Kluczowe jest, czy cała ścieżka działa kontrolowanie.

Sensowne testy:

  1. Interfejs WAN pokazuje adres IPv6 i delegowany prefiks.
  2. Wewnętrzny interfejs pokazuje delegowany prefiks IPv6.
  3. W Network > IPv6 router advertisement widoczny jest automatyczny serwer RA.
  4. Klient testowy otrzymuje adres IPv6 z oczekiwanego prefiksu.
  5. Klient testowy ma domyślną bramę IPv6.
  6. Rozwiązywanie nazw DNS działa dla nazw wewnętrznych i zewnętrznych.
  7. Ping IPv6 lub HTTPS do znanego zewnętrznego celu działa.
  8. Log Viewer pokazuje odpowiednią zasadę firewalla dla ruchu testowego.
  9. Test przychodzący IPv6 z Internetu jest dozwolony tylko wtedy, gdy istnieje na to świadoma zasada.

Dla pojedynczych połączeń pomocne jest Testowanie zasad firewalla za pomocą Log Viewer, Policy Test i Packet Capture. Jeśli chodzi o podstawowe problemy z interfejsem lub DNS, najpierw należy sprawdzić status interfejsu, ogłoszenia routera i konfigurację DNS.

Typowe błędy

Klienci nie otrzymują adresu IPv6

Najpierw sprawdź, czy interfejs WAN rzeczywiście otrzymał prefiks. Jeśli prefiks nie jest widoczny, problem zazwyczaj leży po stronie dostawcy, interfejsu WAN, projektów PPPoE/mostka lub żądania delegacji prefiksu.

Jeśli na WAN jest prefiks, ale klienci nie otrzymują adresu, należy sprawdzić wewnętrzny interfejs, ogłoszenia routera i sieć klienta.

Klienci mają IPv6, ale brak Internetu

Wtedy delegacja prefiksu zasadniczo nie musi być problemem. Częste przyczyny to:

  • brak odpowiedniej zasady firewalla,
  • DNS nie działa,
  • klient preferuje IPv6, ale strona docelowa lub ścieżka jest zakłócona,
  • niewłaściwy wewnętrzny interfejs,
  • RA lub DHCPv6 dostarcza niekompletne parametry,
  • ścieżka powrotna lub routing dostawcy nie pasuje.

DNS działa tylko częściowo

W przypadku IPv6 problemy z DNS często pojawiają się późno, ponieważ niektóre aplikacje przełączają się między IPv4 a IPv6. Należy testować osobno:

  • rozwiązywanie nazw zewnętrznych DNS,
  • domeny wewnętrzne,
  • odwrotne wyszukiwania, jeśli logi lub raporty mają wyświetlać nazwy,
  • serwer DNS, którego klient faktycznie używa.

Prefiks zmienia się po zmianie dostawcy lub ponownym uruchomieniu

Jeśli dostawca przydziela dynamiczny prefiks, może się on zmienić. Wtedy mogą przestać działać statyczne adresy IPv6, ręczne wpisy DNS, zewnętrzne udostępnienia lub zasady monitorowania.

Dla serwerów produkcyjnych, opublikowanych usług lub złożonych sieci lokalizacyjnych należy sprawdzić, czy potrzebny jest stabilny prefiks dostawcy lub inny projekt IPv6.

Sieć VLAN ma otrzymać IPv6

Tutaj należy poważnie potraktować ograniczenie Sophos. Jeśli delegacja prefiksu nie jest możliwa na żądanym interfejsie VLAN, nie należy stosować przypadkowych obejść. Lepiej jest podjąć czystą decyzję projektową: statyczne IPv6, inny projekt interfejsu, wyjaśnienie z dostawcą lub świadoma rezygnacja z IPv6 w tym segmencie.

Lista kontrolna operacyjna

  • Udokumentowana długość i stabilność prefiksu dostawcy.
  • Interfejs WAN otrzymuje adres IPv6 i delegowany prefiks.
  • Wewnętrzny interfejs używa Delegated z odpowiednim interfejsem upstream.
  • Ogłoszenie routera jest aktywne i widoczne.
  • DHCPv6 jest aktywowane tylko wtedy, gdy potrzebne są dodatkowe parametry.
  • Sprawdzono koncepcję DNS dla nazw wewnętrznych i zewnętrznych.
  • Zasady firewalla dla IPv6 zostały świadomie utworzone lub potwierdzone.
  • Dostęp do urządzeń przez IPv6 nie został niepotrzebnie rozszerzony.
  • Log Viewer pokazuje ruch testowy w sposób zrozumiały.
  • Zmiany prefiksu lub dostawcy są dokumentowane.

FAQ

Czym jest delegacja prefiksu IPv6 na Sophos Firewall?

Delegacja prefiksu IPv6 oznacza, że firewall żąda od dostawcy prefiksu IPv6 i dostarcza go do wewnętrznych interfejsów z IPv6. Klienci otrzymują swoje informacje IPv6 za pomocą ogłoszeń routera i opcjonalnie DHCPv6.

Czy delegacja prefiksu działa przez PPPoE?

PPPoE over IPv6 nie jest obsługiwane dla delegacji prefiksu. Jeśli połączenie internetowe używa PPPoE, projekt dostawcy i modemu/routera musi być wcześniej sprawdzony.

Czy można używać delegacji prefiksu na interfejsach VLAN?

Ważnym ograniczeniem jest to, że delegacja prefiksu nie może być używana na interfejsach z konfiguracją VLAN. W środowiskach VLAN należy szczególnie starannie planować projekt IPv6.

Czy przy delegacji prefiksu potrzebny jest serwer DHCPv6?

Nie zawsze. Ogłoszenia routera mogą dostarczać klientom prefiks i bramę. DHCPv6 jest szczególnie istotne, gdy mają być rozdzielane dodatkowe parametry, takie jak serwery DNS lub inne opcje DHCPv6.

Dlaczego klienci otrzymują IPv6, ale niektóre usługi nie działają?

Należy wtedy sprawdzić zasady firewalla, DNS, ogłoszenia routera, parametry DHCPv6 i logi. Obecność adresu IPv6 dowodzi tylko, że adresowanie działa, nie że cała ścieżka jest poprawnie dozwolona i rozwiązywalna.