Hoppa till innehållet
Avanet

Konfigurera IPv6 Prefix Delegation på Sophos Firewall

Sophos Firewall

Med IPv6 Prefix Delegation kan en Sophos Firewall få ett IPv6-prefix från leverantören och använda det för att förse interna nätverk. Detta är särskilt relevant när internetanslutningen inte levererar ett fast statiskt IPv6-nätverk, utan leverantören delegerar prefixet via DHCPv6.

I IPv4-miljöer tänker man ofta i NAT, privata nätverk och portvidarebefordran. Med IPv6 är det annorlunda: Klienter kan få offentliga IPv6-adresser, och brandväggen styr åtkomsten via routing, Router Advertisement, DHCPv6-parametrar och brandväggsregler. Därför bör Prefix Delegation planeras medvetet och inte bara aktiveras som ett extra gränssnittsalternativ.

För grunderna om gränssnitt, zoner och VLAN, se först Konfigurera zoner och gränssnitt på Sophos Firewall. Om det bara handlar om klassiska DHCP-alternativ för IPv4-specialfall, är Sophos Firewall DHCP Options (SFOS) den bättre artikeln.

När Prefix Delegation är meningsfullt

Prefix Delegation är meningsfullt när leverantören dynamiskt tillhandahåller ett IPv6-prefix via WAN-anslutningen och Sophos Firewall ska distribuera detta prefix till interna nätverk.

Typiska scenarier:

  • Dual-stack internetanslutning med IPv4 och IPv6.
  • Leverantören levererar ett IPv6-prefix via DHCPv6 Prefix Delegation.
  • Interna klienter ska använda IPv6 nativt.
  • Flera interna nätverk, till exempel LAN, server, gäster eller DMZ, ska få IPv6.
  • DNS, loggning och brandväggsregler ska medvetet beakta IPv6.

Inte alla nätverk behöver omedelbart IPv6. Men om IPv6 är aktivt på klienter bör det kontrolleras noggrant via brandvägg, regler och loggar. En halvkonfigurerad IPv6-inställning kan annars leda till att klienter föredrar IPv6, men fel söks i IPv4-felsökning.

Förutsättningar

Innan konfigurationen bör man klargöra dessa punkter:

  • Leverantören stöder IPv6 Prefix Delegation på anslutningen.
  • WAN-anslutningen använder inte PPPoE-over-IPv6-scenario för Prefix Delegation.
  • Det önskade interna målgränssnittet är inte ett VLAN-gränssnitt där Sophos inte stöder Prefix Delegation.
  • De interna zonerna och brandväggsreglerna är planerade.
  • Det är klart om klienter bara ska använda SLAAC eller om de också behöver DHCPv6-parametrar.
  • DNS-koncept och loggutvärdering beaktar IPv6.

⚠️ Två viktiga begränsningar är dokumenterade: Prefix Delegation stöds inte över PPPoE over IPv6 och kan inte användas på gränssnitt med VLAN-konfiguration. Om interna nätverk är uppbyggda som VLAN måste designen granskas noggrant innan implementering.

Förstå målbilden

Vid Prefix Delegation sker flera saker i följd:

  1. Brandväggen begär en IPv6-adress och ett delegerat prefix från leverantören på WAN-gränssnittet.
  2. Leverantören tilldelar WAN-gränssnittet en IPv6-adress och brandväggen ett prefix.
  3. Brandväggen delegerar från detta prefix ett IPv6-nätverk till ett internt gränssnitt, till exempel LAN eller DMZ.
  4. Det interna gränssnittet distribuerar IPv6-information till klienter via Router Advertisement.
  5. Valfritt levererar en DHCPv6-server ytterligare parametrar, till exempel DNS-servrar.

Viktigt är rollfördelningen: Router Advertisement säkerställer att klienter lär sig sitt IPv6-prefix och standardgateway. DHCPv6 kan ge kompletterande information. Brandväggsregler bestämmer fortfarande vilken trafik som är tillåten.

Förbereda WAN-gränssnittet

Det första steget är WAN-gränssnittet. Här begär Sophos Firewall IPv6-prefixet från leverantören.

Menypath:

Network > Interfaces

Förfarande:

  1. Redigera det berörda WAN-gränssnittet.
  2. Öppna IPv6 configuration.
  3. Välj DHCP.
  4. Välj Manual.
  5. Aktivera DHCP only.
  6. Slå på DHCP prefix delegation.
  7. Valfritt konfigurera Preferred delegated prefix, om leverantören och det egna nätverksdesignen tillåter det.
  8. Ställ in Gateway-namn och Gateway-IP som passar leverantörsanslutningen.
  9. Spara och uppdatera gränssnittet.

Vid Preferred delegated prefix bör man vara försiktig. Leverantören kan leverera det önskade prefixet, men måste inte. Om prefixet eller prefixlängden ändras senare kan det vara nödvändigt att ta bort DHCP-leasen eller binda om WAN-gränssnittet så att brandväggen uppdaterar prefixet.

I praktiken bör man först klargöra med leverantören:

  • Vilken prefixlängd delegeras, till exempel /56, /60 eller /64?
  • Är prefixet stabilt eller kan det ändras?
  • Måste ett specifikt värde begäras?
  • Finns det begränsningar vid Bridge-, PPPoE- eller Router-Modem-inställningar?

Konfigurera internt gränssnitt

Efter WAN-gränssnittet förses ett internt gränssnitt med det delegerade prefixet.

Menypath:

Network > Interfaces

Förfarande:

  1. Redigera internt gränssnitt, till exempel LAN eller DMZ.
  2. Öppna IPv6 configuration.
  3. Välj Delegated.
  4. Under Upstream interface välj WAN-gränssnittet som använder Prefix Delegation.
  5. Kontrollera vilket IPv6-prefix som visas i fältet IPv6/prefix.
  6. Aktivera Router advertisement.
  7. Valfritt aktivera DHCPv6 server om klienter ska få ytterligare parametrar.
  8. Spara och uppdatera gränssnittet.

Enligt dokumentationen tillåter Sophos att IPv6-adressen i fältet IPv6/prefix justeras, men inte prefixlängden. Detta är viktigt om man planerar flera interna nätverk. Leverantörsprefixet måste vara tillräckligt stort för att flera interna segment ska kunna försörjas på ett meningsfullt sätt.

Realistisk granskning av VLAN-design

Många produktiva nätverk använder VLAN för klienter, servrar, gäster och hantering. Här blir Prefix Delegation snabbt komplicerat eftersom Sophos inte stöder funktionen på gränssnitt med VLAN-konfiguration.

Om det interna målgränssnittet är ett VLAN bör man inte bara försöka kringgå den befintliga VLAN-strukturen. Bättre är en kort designgranskning:

  • Ska IPv6 verkligen aktiveras i detta VLAN?
  • Finns det ett alternativt gränssnitts- eller leverantörsdesign?
  • Erbjuder leverantören statisk IPv6?
  • Är flera interna IPv6-nätverk planerade?
  • Passar brandväggsregler, DNS, övervakning och dokumentation redan för IPv6?

För grunderna om VLAN hjälper Konfigurera VLAN på Sophos Firewall och UniFi Switch. Artikeln förklarar främst IPv4, men zon-, trunk- och regelplanering är också relevant för IPv6.

Kontrollera Router Advertisement

När Prefix Delegation aktiveras på det interna gränssnittet skapar Sophos Firewall automatiskt en Router Advertisement för detta gränssnitt.

Menypath:

Network > IPv6 router advertisement

Där bör man kontrollera:

  • Finns det en automatiskt skapad RA-server för det interna gränssnittet?
  • Annonseras det förväntade prefixet?
  • Passar RA-flaggorna till det planerade klientbeteendet?
  • Ska Other flag sättas så att DHCPv6 levererar ytterligare parametrar?

Prefix Advertisement Configuration för den automatiskt genererade RA-servern kan inte ändras. Om ett annat prefix också ska annonseras måste en egen RA-server skapas.

För de flesta miljöer gäller: Kontrollera först om klienter får IPv6-adresser korrekt med den automatiskt genererade RA innan ytterligare RA-servrar eller specialkonfigurationer läggs till.

Använd DHCPv6 endast för rätt ändamål

DHCPv6 är inte detsamma som DHCPv4. I många IPv6-designs får klienter sin adress via SLAAC och ytterligare information via DHCPv6. Därför bör man klargöra vad DHCPv6 ska uppnå innan aktivering.

Typiska DHCPv6-parametrar är:

  • DNS-servrar.
  • DNS-sökdomän.
  • Ytterligare DHCPv6-alternativ, om en klient verkligen behöver dem.

Om klienter får en IPv6-adress men inte kan lösa namn är det inte automatiskt Prefix Delegation som är fel. Ofta saknas då den rätta DNS-servern, RA-/DHCPv6-kombinationen är oklar eller klienten använder en annan DNS-väg än förväntat.

För interna domäner och Split-DNS-scenarier är Konfigurera DNS Request Routes på Sophos Firewall relevant. IPv6 ändrar inte grundfrågan om vilken DNS-server som ansvarar för vilken domän.

Kontrollera brandväggsregler och Device Access

IPv6-trafik behöver lämpliga brandväggsregler. Ett befintligt IPv4-regelverk är inte automatiskt ett komplett IPv6-säkerhetskoncept.

Innan godkännande bör man kontrollera:

  • Finns det regler för den berörda Source zone och Destination zone?
  • Loggas IPv6-trafik där det behövs för felsökning eller efterlevnad?
  • Är DNS, NTP, web och nödvändiga applikationer tillåtna?
  • Är inkommande anslutningar från internet fortfarande medvetet blockerade eller specifikt tillåtna?
  • Finns det separata regler för klient-, server-, gäst- och hanteringszoner?

Med IPv6 bör man särskilt undvika att göra interna klienter okontrollerat direkt tillgängliga från internet. Offentliga IPv6-adresser betyder inte att inkommande anslutningar måste tillåtas. Brandväggsreglerna förblir den centrala gränsen.

Även Device Access måste beaktas. Om interna klienter ska använda brandväggen som DNS-server måste DNS tillåtas för den lämpliga zonen. Hanteringstjänster som WebAdmin eller SSH bör däremot inte bli mer tillgängliga genom en ny IPv6-konfiguration. Härdningen av lokala brandväggstjänster beskrivs i Device Access och Local Service ACL på Sophos Firewall.

Tester efter konfigurationen

Efter implementeringen bör man inte bara kontrollera om en klient har fått någon IPv6-adress. Avgörande är om hela vägen fungerar kontrollerat.

Meningsfulla tester:

  1. WAN-gränssnittet visar en IPv6-adress och ett delegerat prefix.
  2. Internt gränssnitt visar ett delegerat IPv6-prefix.
  3. Under Network > IPv6 router advertisement är den automatiska RA-servern synlig.
  4. Testklient får en IPv6-adress från det förväntade prefixet.
  5. Testklient har en IPv6-standardgateway.
  6. DNS-upplösning fungerar för interna och externa namn.
  7. IPv6-ping eller HTTPS till ett känt externt mål fungerar.
  8. Log Viewer visar den lämpliga brandväggsregeln för testtrafiken.
  9. En inkommande IPv6-test från internet är endast tillåten om det finns en medveten regel för det.

För enskilda anslutningar hjälper Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture. Om det handlar om grundläggande gränssnitts- eller DNS-problem bör man först kontrollera gränssnittsstatus, Router Advertisement och DNS-konfiguration.

Vanliga fel

Klienter får ingen IPv6-adress

Kontrollera först om WAN-gränssnittet verkligen har fått ett prefix. Om inget prefix är synligt där ligger problemet oftast hos leverantören, WAN-gränssnittet, PPPoE-/Bridge-design eller Prefix Delegation-begäran.

Om ett prefix finns på WAN men klienter inte får någon adress bör man kontrollera internt gränssnitt, Router Advertisement och klientnätverk.

Klienter har IPv6, men inget internet

Då är Prefix Delegation i grunden inte nödvändigtvis problemet. Vanliga orsaker är:

  • ingen lämplig brandväggsregel,
  • DNS fungerar inte,
  • klienten föredrar IPv6, men målsidan eller vägen är störd,
  • fel internt gränssnitt,
  • RA eller DHCPv6 levererar ofullständiga parametrar,
  • returväg eller leverantörsrouting passar inte.

DNS fungerar bara delvis

Med IPv6 ser man DNS-problem ofta sent eftersom vissa applikationer växlar mellan IPv4 och IPv6. Man bör testa separat:

  • extern DNS-upplösning,
  • interna domäner,
  • reverse-lookups, om loggar eller rapporter ska visa namn,
  • DNS-servern som klienten faktiskt använder.

Prefix ändras efter leverantörsbyte eller omstart

Om leverantören tilldelar ett dynamiskt prefix kan prefixet ändras. Då kan statiska IPv6-adresser, manuella DNS-poster, externa tillstånd eller övervakningsregler brytas.

För produktiva servrar, publicerade tjänster eller komplexa platsnätverk bör man därför kontrollera om ett stabilt leverantörsprefix eller en annan IPv6-design är nödvändig.

VLAN-nätverk ska få IPv6

Här måste man ta Sophos-begränsningen på allvar. Om Prefix Delegation inte är möjligt på det önskade VLAN-gränssnittet bör man inte arbeta med slumpmässiga lösningar. Bättre är ett rent designbeslut: statisk IPv6, annan gränssnittsdesign, leverantörsklarering eller medvetet avstående från IPv6 i detta segment.

Driftschecklista

  • Leverantörsprefixlängd och stabilitet dokumenterad.
  • WAN-gränssnitt får IPv6-adress och delegerat prefix.
  • Internt gränssnitt använder Delegated med rätt Upstream Interface.
  • Router Advertisement är aktiv och synlig.
  • DHCPv6 är endast aktiverat om ytterligare parametrar behövs.
  • DNS-koncept för interna och externa namn kontrollerat.
  • Brandväggsregler för IPv6 medvetet skapade eller bekräftade.
  • Device Access har inte onödigt utökats med IPv6.
  • Log Viewer visar testtrafik på ett spårbart sätt.
  • Ändringar av prefix eller leverantör dokumenteras.

FAQ

Vad är IPv6 Prefix Delegation på Sophos Firewall?

IPv6 Prefix Delegation innebär att brandväggen begär ett IPv6-prefix från leverantören och använder det för att förse interna gränssnitt med IPv6. Klienter får sin IPv6-information därefter via Router Advertisement och valfritt DHCPv6.

Fungerar Prefix Delegation över PPPoE?

PPPoE over IPv6 stöds inte för Prefix Delegation. Om internetanslutningen använder PPPoE måste leverantörs- och modem-/routerdesignen kontrolleras i förväg.

Kan man använda Prefix Delegation på VLAN-gränssnitt?

En viktig begränsning är att Prefix Delegation inte kan användas på gränssnitt med VLAN-konfiguration. I VLAN-miljöer bör man därför planera IPv6-designen särskilt noggrant.

Behöver man en DHCPv6-server vid Prefix Delegation?

Inte alltid. Router Advertisement kan ge klienter prefix och gateway. DHCPv6 är främst relevant när ytterligare parametrar som DNS-servrar eller andra DHCPv6-alternativ ska distribueras.

Varför får klienter IPv6, men vissa tjänster fungerar inte?

Då bör man kontrollera brandväggsregler, DNS, Router Advertisement, DHCPv6-parametrar och loggar. En befintlig IPv6-adress bevisar bara att adressering fungerar, inte att hela vägen är korrekt tillåten och upplösbar.