Saltar para o conteudo
Avanet

Configurar Delegação de Prefixo IPv6 no Sophos Firewall

Sophos Firewall

Com a Delegação de Prefixo IPv6, um Sophos Firewall pode obter um prefixo IPv6 do fornecedor e utilizá-lo para fornecer redes internas. Isto é particularmente relevante quando a ligação à Internet não fornece uma rede IPv6 estática fixa, mas sim quando o fornecedor delega o prefixo via DHCPv6.

Em ambientes IPv4, muitas vezes pensa-se em NAT, redes privadas e encaminhamento de portas. Com IPv6 é diferente: os clientes podem receber endereços IPv6 públicos, e o firewall controla o acesso através de roteamento, Anúncio de Roteador, parâmetros DHCPv6 e regras de firewall. Por isso, a Delegação de Prefixo deve ser planeada conscientemente e não apenas ativada como uma opção adicional de interface.

Para os fundamentos sobre interfaces, zonas e VLANs, consulte primeiro Configurar Zonas e Interfaces no Sophos Firewall. Se for apenas sobre opções clássicas de DHCP para casos especiais de IPv4, o artigo Opções DHCP no Sophos Firewall (SFOS) é mais adequado.

Quando a Delegação de Prefixo é útil

A Delegação de Prefixo é útil quando o fornecedor fornece um prefixo IPv6 dinamicamente através da ligação WAN e o Sophos Firewall deve distribuir este prefixo para redes internas.

Cenários típicos:

  • Ligação à Internet Dual-Stack com IPv4 e IPv6.
  • O fornecedor fornece um prefixo IPv6 via Delegação de Prefixo DHCPv6.
  • Clientes internos devem usar IPv6 nativamente.
  • Várias redes internas, como LAN, Servidor, Convidados ou DMZ, devem receber IPv6.
  • DNS, registo e regras de firewall devem considerar IPv6 conscientemente.

Nem todas as redes precisam imediatamente de IPv6. No entanto, se o IPv6 estiver ativo nos clientes, deve ser controlado adequadamente através do firewall, regras e registos. Uma configuração IPv6 incompleta pode levar a que os clientes prefiram IPv6, mas os erros sejam procurados na resolução de problemas de IPv4.

Pré-requisitos

Antes da configuração, deve-se esclarecer os seguintes pontos:

  • O fornecedor suporta Delegação de Prefixo IPv6 na ligação.
  • A ligação WAN não utiliza um cenário PPPoE-over-IPv6 para Delegação de Prefixo.
  • A interface de destino interna desejada não é uma interface VLAN, na qual a Sophos não suporta Delegação de Prefixo.
  • As zonas internas e as regras de firewall estão planeadas.
  • Está claro se os clientes devem usar apenas SLAAC ou se precisam de parâmetros DHCPv6 adicionais.
  • O conceito de DNS e a análise de registos consideram IPv6.

⚠️ Duas limitações importantes estão documentadas: a Delegação de Prefixo não é suportada sobre PPPoE over IPv6 e não pode ser usada em interfaces com configuração VLAN. Se as redes internas forem construídas como VLANs, o design deve ser examinado com especial cuidado antes da implementação.

Compreender o objetivo

Na Delegação de Prefixo, várias coisas acontecem em sequência:

  1. O firewall solicita um endereço IPv6 e um prefixo delegado ao fornecedor na interface WAN.
  2. O fornecedor atribui um endereço IPv6 à interface WAN e um prefixo ao firewall.
  3. O firewall delega uma rede IPv6 deste prefixo a uma interface interna, como LAN ou DMZ.
  4. A interface interna distribui informações IPv6 aos clientes através do Anúncio de Roteador.
  5. Opcionalmente, um servidor DHCPv6 fornece parâmetros adicionais, como servidores DNS.

É importante a distribuição de funções: o Anúncio de Roteador garante que os clientes aprendam o seu prefixo IPv6 e o gateway padrão. O DHCPv6 pode fornecer informações complementares. As regras de firewall continuam a decidir qual tráfego é permitido.

Preparar a interface WAN

O primeiro passo é a interface WAN. Aqui, o Sophos Firewall solicita o prefixo IPv6 ao fornecedor.

Caminho do menu:

Network > Interfaces

Procedimento:

  1. Editar a interface WAN afetada.
  2. Abrir IPv6 configuration.
  3. Selecionar DHCP.
  4. Selecionar Manual.
  5. Ativar DHCP only.
  6. Ligar DHCP prefix delegation.
  7. Opcionalmente, configurar Preferred delegated prefix, se o fornecedor e o design da rede o permitirem.
  8. Definir o nome do gateway e o IP do gateway de acordo com a ligação do fornecedor.
  9. Guardar e atualizar a interface.

Em Preferred delegated prefix, deve-se ter cuidado. O fornecedor pode fornecer o prefixo desejado, mas não é obrigado a fazê-lo. Se o prefixo ou o comprimento do prefixo forem alterados posteriormente, pode ser necessário remover o lease DHCP ou reativar a interface WAN para que o firewall atualize o prefixo.

Na prática, deve-se primeiro esclarecer com o fornecedor:

  • Qual é o comprimento do prefixo delegado, por exemplo, /56, /60 ou /64?
  • O prefixo é estável ou pode mudar?
  • É necessário solicitar um valor específico?
  • Existem restrições em configurações de Bridge, PPPoE ou modem-router?

Configurar a interface interna

Após a interface WAN, uma interface interna é fornecida com o prefixo delegado.

Caminho do menu:

Network > Interfaces

Procedimento:

  1. Editar a interface interna, como LAN ou DMZ.
  2. Abrir IPv6 configuration.
  3. Selecionar Delegated.
  4. Em Upstream interface, selecionar a interface WAN que usa Delegação de Prefixo.
  5. Verificar qual prefixo IPv6 aparece no campo IPv6/prefix.
  6. Ativar Router advertisement.
  7. Opcionalmente, ativar DHCPv6 server se os clientes precisarem de parâmetros adicionais.
  8. Guardar e atualizar a interface.

A Sophos permite, de acordo com a documentação, ajustar o endereço IPv6 no campo IPv6/prefix, mas não o comprimento do prefixo. Isso é importante ao planear várias redes internas. O prefixo do fornecedor deve ser grande o suficiente para que vários segmentos internos possam ser fornecidos de forma sensata.

Avaliar realisticamente o design VLAN

Muitas redes produtivas usam VLANs para clientes, servidores, convidados e gestão. É aqui que a Delegação de Prefixo se torna rapidamente complicada, pois a Sophos não suporta a função em interfaces com configuração VLAN.

Se a rede de destino interna for uma VLAN, não se deve simplesmente tentar contornar a estrutura VLAN existente. É melhor uma breve avaliação do design:

  • O IPv6 deve realmente ser ativado nesta VLAN?
  • Existe um design alternativo de interface ou fornecedor?
  • O fornecedor oferece IPv6 estático?
  • Estão planeadas várias redes IPv6 internas?
  • As regras de firewall, DNS, monitorização e documentação já são compatíveis com IPv6?

Para os fundamentos das VLANs, consulte Configurar VLAN no Sophos Firewall e UniFi Switch. O artigo explica principalmente IPv4, mas o planeamento de zonas, troncos e regras também é relevante para IPv6.

Verificar Anúncio de Roteador

Quando a Delegação de Prefixo é ativada na interface interna, o Sophos Firewall cria automaticamente um Anúncio de Roteador para essa interface.

Caminho do menu:

Network > IPv6 router advertisement

Lá deve-se verificar:

  • Existe um servidor RA criado automaticamente para a interface interna?
  • O prefixo esperado é anunciado?
  • Os flags RA correspondem ao comportamento planeado do cliente?
  • O Other flag deve ser definido para que o DHCPv6 forneça parâmetros adicionais?

A Configuração de Anúncio de Prefixo do servidor RA gerado automaticamente não pode ser alterada. Se um prefixo diferente também deve ser anunciado, um servidor RA próprio deve ser criado.

Para a maioria dos ambientes, aplica-se: Primeiro verificar se os clientes recebem endereços IPv6 corretamente com o RA gerado automaticamente antes de adicionar servidores RA adicionais ou configurações especiais.

Usar DHCPv6 apenas para o propósito correto

DHCPv6 não é o mesmo que DHCPv4. Em muitos designs IPv6, os clientes recebem o seu endereço via SLAAC e informações adicionais via DHCPv6. Portanto, deve-se esclarecer antes da ativação o que o DHCPv6 deve realizar.

Parâmetros típicos de DHCPv6 são:

  • Servidor DNS.
  • Domínio de pesquisa DNS.
  • Outras opções DHCPv6, se um cliente realmente precisar delas.

Se os clientes receberem um endereço IPv6, mas não conseguirem resolver nomes, não significa automaticamente que a Delegação de Prefixo está errada. Frequentemente, falta o servidor DNS adequado, a combinação RA/DHCPv6 é confusa ou o cliente usa um caminho DNS diferente do esperado.

Para domínios internos e cenários de DNS dividido, Configurar Rotas de Pedido DNS no Sophos Firewall continua relevante. O IPv6 não altera a questão fundamental de qual servidor DNS é responsável por qual domínio.

Verificar Regras de Firewall e Acesso ao Dispositivo

O tráfego IPv6 precisa de regras de firewall adequadas. Um conjunto de regras IPv4 existente não é automaticamente um conceito de segurança IPv6 completo.

Antes da liberação, deve-se verificar:

  • Existem regras para a zona de origem e zona de destino afetadas?
  • O tráfego IPv6 é registado onde é necessário para resolução de problemas ou conformidade?
  • DNS, NTP, Web e aplicações necessárias são permitidas?
  • As conexões de entrada da Internet continuam bloqueadas conscientemente ou permitidas de forma direcionada?
  • Existem regras separadas para zonas de clientes, servidores, convidados e gestão?

Com IPv6, deve-se evitar especialmente tornar os clientes internos acessíveis diretamente da Internet sem controlo. Endereços IPv6 públicos não significam que as conexões de entrada devem ser permitidas. As regras de firewall continuam a ser a fronteira central.

Também deve-se considerar o Acesso ao Dispositivo. Se os clientes internos usarem o firewall como servidor DNS, o DNS deve ser permitido para a zona apropriada. Serviços de gestão como WebAdmin ou SSH não devem, no entanto, tornar-se mais acessíveis através de uma nova configuração IPv6. O fortalecimento dos serviços locais do firewall é descrito em Acesso ao Dispositivo e ACL de Serviço Local no Sophos Firewall.

Testes após a configuração

Após a implementação, não se deve apenas verificar se um cliente recebeu algum endereço IPv6. O crucial é se todo o caminho funciona controladamente.

Testes úteis:

  1. A interface WAN mostra um endereço IPv6 e um prefixo delegado.
  2. A interface interna mostra um prefixo IPv6 delegado.
  3. Em Network > IPv6 router advertisement, o servidor RA automático é visível.
  4. O cliente de teste recebe um endereço IPv6 do prefixo esperado.
  5. O cliente de teste tem um gateway padrão IPv6.
  6. A resolução DNS funciona para nomes internos e externos.
  7. Ping IPv6 ou HTTPS para um destino externo conhecido funciona.
  8. O Log Viewer mostra a regra de firewall apropriada para o tráfego de teste.
  9. Um teste de entrada IPv6 da Internet só é permitido se houver uma regra conscientemente existente para isso.

Para conexões individuais, consulte Testar Regras de Firewall com Log Viewer, Teste de Política e Captura de Pacotes. Se houver problemas básicos de interface ou DNS, deve-se primeiro verificar o status da interface, Anúncio de Roteador e configuração DNS.

Erros comuns

Clientes não recebem endereço IPv6

Primeiro, verifique se a interface WAN realmente recebeu um prefixo. Se nenhum prefixo for visível lá, o problema geralmente está no fornecedor, na interface WAN, em designs PPPoE/Bridge ou no pedido de Delegação de Prefixo.

Se houver um prefixo na WAN, mas os clientes não receberem um endereço, deve-se verificar a interface interna, Anúncio de Roteador e rede do cliente.

Clientes têm IPv6, mas não têm Internet

Então, a Delegação de Prefixo não é necessariamente o problema. Causas comuns são:

  • nenhuma regra de firewall adequada,
  • DNS não funciona,
  • o cliente prefere IPv6, mas o site de destino ou o caminho está interrompido,
  • interface interna errada,
  • RA ou DHCPv6 fornece parâmetros incompletos,
  • caminho de retorno ou roteamento do fornecedor não está correto.

DNS funciona apenas parcialmente

Com IPv6, os problemas de DNS muitas vezes só são percebidos tarde, porque algumas aplicações alternam entre IPv4 e IPv6. Deve-se testar separadamente:

  • resolução DNS externa,
  • domínios internos,
  • pesquisas reversas, se os registos ou relatórios devem mostrar nomes,
  • servidor DNS que o cliente realmente usa.

Prefixo muda após troca de fornecedor ou reinício

Se o fornecedor atribuir um prefixo dinâmico, o prefixo pode mudar. Então, endereços IPv6 estáticos, entradas DNS manuais, permissões externas ou regras de monitorização podem falhar.

Para servidores produtivos, serviços publicados ou redes de locais complexas, deve-se verificar se é necessário um prefixo estável do fornecedor ou outro design IPv6.

Rede VLAN deve receber IPv6

Aqui, deve-se levar a sério a limitação da Sophos. Se a Delegação de Prefixo não for possível na interface VLAN desejada, não se deve trabalhar com soluções alternativas aleatórias. É melhor uma decisão de design limpa: IPv6 estático, outro design de interface, esclarecimento do fornecedor ou renúncia consciente ao IPv6 nesse segmento.

Lista de verificação operacional

  • Comprimento e estabilidade do prefixo do fornecedor documentados.
  • Interface WAN recebe endereço IPv6 e prefixo delegado.
  • Interface interna usa Delegated com a interface upstream correta.
  • Anúncio de Roteador está ativo e visível.
  • DHCPv6 está ativado apenas se parâmetros adicionais forem necessários.
  • Conceito de DNS para nomes internos e externos verificado.
  • Regras de firewall para IPv6 conscientemente criadas ou confirmadas.
  • Acesso ao Dispositivo não ampliado desnecessariamente por IPv6.
  • Log Viewer mostra tráfego de teste de forma compreensível.
  • Alterações no prefixo ou fornecedor são documentadas.

FAQ

O que é Delegação de Prefixo IPv6 no Sophos Firewall?

A Delegação de Prefixo IPv6 significa que o firewall solicita um prefixo IPv6 ao fornecedor e utiliza-o para fornecer interfaces internas com IPv6. Os clientes recebem suas informações IPv6 posteriormente através de Anúncio de Roteador e opcionalmente DHCPv6.

A Delegação de Prefixo funciona sobre PPPoE?

PPPoE over IPv6 não é suportado para Delegação de Prefixo. Se a ligação à Internet usar PPPoE, o design do fornecedor e do modem/roteador deve ser verificado antecipadamente.

Pode-se usar Delegação de Prefixo em interfaces VLAN?

Uma limitação importante é que a Delegação de Prefixo não pode ser usada em interfaces com configuração VLAN. Em ambientes VLAN, o design IPv6 deve ser planeado com especial cuidado.

É necessário um servidor DHCPv6 na Delegação de Prefixo?

Nem sempre. O Anúncio de Roteador pode fornecer aos clientes o prefixo e o gateway. O DHCPv6 é principalmente relevante quando parâmetros adicionais, como servidores DNS ou outras opções DHCPv6, devem ser distribuídos.

Por que os clientes recebem IPv6, mas alguns serviços não funcionam?

Deve-se verificar regras de firewall, DNS, Anúncio de Roteador, parâmetros DHCPv6 e registos. Um endereço IPv6 existente apenas prova que o endereçamento funciona, não que todo o caminho está corretamente permitido e resolvível.