Active Directory: IPv6 / Fritzbox / Sophos UTM / Domain Controller

Vorwort

IPv6 zählt bisher nicht zu meinen Stärken. Wie wahrscheinlich viele Andere auch, habe ich das Thema IPv6 bisher auf die lange Bank geschoben: “Ich gucke mir das mal an, wenn es sich durch gesetzt hat…”

Nunja, es hat sich durchgesetzt und zwar schon länger. IPv4 wird durch IPv6 abgelöst, soviel ist sicher. Daher ist es so langsam an der Zeit, mein privates Netzwerk auf IPv6 umzustellen.

Einen Teil meines Netzwerks habe ich nun umgestellt und der folgende Artikel beschreibt meine ersten Gehversuche. Daher kann dieser Artikel nicht als HowTo durchgehen, aber immerhin als eine von mehreren Möglichkeiten für kleine Netze.

Der Artikel beschreibt meine bisherige Konfiguration, es gibt aber noch viel zu tun und auch viel zu lernen, zumindest für mich.

Umgebung

Meine Umgebung ist wie folgt aufgebaut:

Domain Controller IPv6

Die Internetverbindung wird über eine Fritzbox hergestellt. An der Fritzbox ist die Sophos UTM als Firewall angeschlossen. An der Sophos UTM ist wiederum der Domain Controller angeschlossen.

Mein Provider hat mir ein /56er IPv6 Netz zugewiesen. Die Fritzbox gibt daraus ein /62er Subnetz an die UTM weiter. Dieses /62er Netz möchte ich hinter der UTM in 4 x /64er Netze aufteilen. Wie schon eingangs erwähnt, geht es hier zunächst um die mit IPv6 eingeführte automatische Konfiguration. In diesem Fall ist kein DHCP Server nötig, denn die Clients weisen sich ihre IPv6 Adresse selbst zu.

Fritzbox

Bisher hatte ich IPv6 an der Fritzbox deaktiviert, daher muss zunächst die IPv6 Unterstützung an der Fritzbox aktiviert werden:

image

In den Netzwerkeinstellungen der Fritzbox, können dann die relevanten Einstellungen zu den IPv6 Adressen vorgenommen werden:

SNAGHTML22f101

Unique Local Adressen werden in diesem Fall nicht benötigt. Wichtig sind die folgenden Einstellungen, damit die UTM die entsprechenden Netze bilden kann:

  • Auch IPv6 Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben
  • DNS-Server, Präfix und IPv6 Adresse zuweisen

Die Einstellungen sind in den folgenden zwei Screenshots dokumentiert:

SNAGHTML2212e6

image

Nachdem die Fritzbox für IPv6 konfiguriert wurde, geht es mit der Sophos UTM weiter.

Sophos UTM

Auch an der Sophos UTM wird zunächst IPv6 aktiviert:

image

Danach wird das Feature “Umnummerierung (Renumbering)” aktiviert:

image

Für die WAN Schnittstelle der UTM wird nun IPv6 aktiviert. Die WAN Adresse erhält die UTM vom DHCPv6 Server der Fritzbox:

image

Jetzt sollte für die WAN Schnittstelle der UTM bereits eine IPv6 Adresse sichtbar sein:

SNAGHTML288d0a

In den IPv6 Übersicht der UTM ist nun bereits ein /62er Netz sichtbar:

image

Das /62er Netz möchte ich nun in 4 /64er Netze aufteilen. Dafür nehme ich den IPv6 Subnet Calculator zur Hilfe:

Hier kann nun das delegierte &62er Netz eingetragen und auf “4 network /64” Übersicht geklickt werden:

image

In der Übersicht können nun die einzelnen /64er Netze angezeigt werden:

image

Hier werden nun die 4 /64er Netze angezeigt:

image

Ich wähle die erste Adresse aus dem zweiten Subnetz für die interne Schnittstelle der UTM aus. In diesem Fall ist es 2003:a:867:39fd::1 (2003:a:867:39fd:0000:0000:0000:1). Diese Adresse wird nun der Schnittstelle fest zugewiesen, die für das Netz des Domain Controllers zuständig ist. In meinem Fall ist es das Interface mit dem Namen “Datacenter”:

SNAGHTML46b6f7

In den IPv6 Einstellungen der UTM wird nun das neue IPv6 Netz bekannt gegeben. Hier wird ebenfalls schon die IP-Adresse des Domain Controllers, bzw des DNS Servers angegeben. Die IPv6 Adresse 2003:a:867:39fd::9 wird im nächsten Schritt dem Domain Controller zugewiesen.

image

Die Konfiguration der UTM ist abgeschlossen, zum Schluss wird der Domain Controller, bzw. der DNS-Server konfiguriert.

Domain Controller

Die IPv6 Adresse 2003:a:867:39fd::9 die vorher in der Präfix Bekanntmachung der UTM definiert wurde, wird nun am Domain Controller fest vergeben:

image

Der Domain Controller sollte sich nun bereits mit seiner IPv6 Adresse im DNS eingetragen haben:

SNAGHTML44203f

Jetzt wird noch eine IPv6 Reverse Lookupzone benötigt.

image

Die folgenden Dialoge können mit “Weiter” bestätigt werden. Es wird eine IPv6 Lookupzone mit dem Präfix 2003:a:867:39fd::/64 erstellt:

image

image

Die DNS Einstellungen können nun überprüft werden:

SNAGHTML4caa28

Und auch die Verbindung mittels IPv6 sollte funktionieren.

image

Andere Clients im Netzwerk konfigurieren nun ihre IPv6 Adresse selbst und verwenden den Domain Controller als DNS Server.

Fazit

Mittels IPv6 Autokonfiguration funktioniert diese Konstellation bei mir bisher problemlos. Der nächste Schritt ist ein DHCPv6 Server. Zunächst baue ich aber mein privates Netzwerk etwas um. Die Fritzbox soll durch ein reines VDSL Modem ersetzt werden:

DrayTek Vigor 130 Router (Gigabit Ethernet, ADSL2/2+)

Das IPv6 Netz des Providers soll also zukünftig direkt an der UTM anliegen und nicht schon von der Fritzbox unterteilt werden.

17 Gedanken zu „Active Directory: IPv6 / Fritzbox / Sophos UTM / Domain Controller“

  1. Hi,

    IPv6 ist für mich ebenfalls Neuland.
    Da ich jetzt inen FTTH Anschluss bekomme muss ich mich damit beschäftigen.

    Besteht die Möglichkeit IPv6 nur an Fritzbox und UTM zu aktivieren und den DNS-Eintrag bei Cloudfalre auf IPv6 zu ändern um weiterhin meine Webdienste etc nach außen zur Verfügung zu stellen? Ich hab gelesen die UTM übernimmt die Übersetzung der ipv6 Anfragen zu den internen IPv4 Diensten.

    Antworten
  2. Hallo Frank,

    Ich habe dein Setup mal nachgebaut, allerdings habe ich bei mehreren Internetseite das Problem das die Verbindung zwischendrin unterbrochen wird. Sprich die Seite fängt an zu laden und bricht dann ab. Hattest du auch so ein Problem.

    Des weiteren irritiert mich deine interne IPv6 Adresse der Fritzbox, bei mir ist diese nicht anpingbar. Weder von der Sophos noch vom dahinter angeschlossenen PC.

    Antworten
  3. moin

    hatte auch mal das Vigor getestet, habe auch fritze (o2-allip) und sophos dahinter
    erst 50er, nun 100/40 Vectoring anschluss
    das vigor ging schnell wieder zurück, soo schlechter sync, egal welche Firmware
    (war vor ca. 1 Jahr) – schlechter als das Allnet
    hab dann ein Allnet Modem gekauft, da war der sync schon besser
    aber die Fritze synct immer noch am besten
    die haben zwar alle den gleichen DSL chipsatz, aber die AVM treiber sind immer noch die besten
    gerade beim umzug wieder getestet:
    das allnet – 100/8-15mbit
    7490 – 109/38-40mbit

    habe noch kein NUR vectoring Modem gefunden, das so gut und stabil synct
    zumindest nicht unter 200,-

    da ist es fast einfacher eine gaanz einfach fritze zu kaufen und die als Modem zu konfigurieren
    (ich nutze die Telefonie am Anschluss)
    die Fritzbox läuft zwar auch hinter der Sophos als client, aber für eine stabile Telefonie (mit den O2 Nummern) muss sehr viel aufgemacht und eingestellt werden.
    und auch extra DNS Server von O2 für die Telefonie genutzt werden
    (sipgate geht immer ohne Probleme)

    daher aktuell wieder fritze und sophos dahinter – also 2 mal NAT – leider

    Antworten
    • Hallo Ingo,
      deine Erfahrung kann ich bestätigen. Ich habe hier das Draytek Vigor 120 Modem. Das Vigor handelt 98/20 aus, die alte Fritzbox 7360 108/40. Zudem verliert das Vigor Modem ziemlich häufig die Synchronisation, bei der Fritzbox kam dies zwar auch ab und zu vor, jedoch nicht so häufig. Das Allnet Modem hatte ich bisher nicht getestet.
      Gruß, Frank
      PS: Da die Fritzbox nun aber in Rente muss, werde ich es wohl mal mit Lancom probieren.

      Antworten
  4. Hallo Oliver,

    bei mir läuft die selbe Software Konstellation. Prinzipiell verstehe ich Deine Anleitung und kann sie auch umsetzen. Aaaaallerdings: Verstehe ich das richtig, daß Du von Deinem Anbieter einen Adressblock zugeteilt bekommst, der sich nicht ändert? Im Prinzip würde sich nämlich die ganze Aufteilung aufs interne LAN erledigen. Zwar kann man allen Systemen im Netz dynamische Adressen zuweisen lassen, die sich auch bei jeder Adressblockänderung mitändern, aber da wären noch die Active Directory Server, den man ja schon irgendwie statische Adressen zuweisen muß.

    MIr fallen da jetzt zwei Lösungen ein, mit keiner bin ich konzeptionell wirklich zufrieden:
    1. Ich lasse allen Hosts mit jeder Einwahl neue Adressen zuweisen. Den AD Servern gebe ich statische Adresen, sonst kann ich die ja nicht wirklich adressieren. Wie kommen die Clients jetzt überhaupt an die AD Server ran, wenn sie in unterschiedlichen Netzen sind? Ich habe auf der Sophos eine Interface Route angelegt. Die IP Verbindung kommt so „irgendwie“ zustande.
    2. Ich lege einen DHCP v6 Range auf den bisherigen DHCP Servern an. Hierbei muß ich aber aufgrund der täglichen Änderung eben Adressbereiche verwenden, die nichts mit denen zu haben, die ich von meinem Anbieter zugewiesen bekomme. Das zwingt mich dann nach althergebrachter Art NAT zu machen – mit v6 Adressen.

    Hat jemand noch eine Anregung, wie man das schöner lösen kann?

    Antworten
  5. Abend,

    danke für den Beitrag. IPv6 ist echt ein Thema, aber die Zusammensetzung der Adresse hm und mit IP Adresse „merken“ ist es auch dahin.

    @Nathan: Die Funktion PPOE Passthrough unterstützt AVM Werksseitig laut deren FAQ, zumindest bei einigen Modellen.

    https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/3232_PPPoE-Passthrough-in-FRITZ-Box-einrichten/

    @Frank: Benutz Du denn die VOIP / SIP Helper in der UTM?

    Gruß,
    Oliver

    Antworten
    • Kann mich da nur anschließen, auf den SIP Helper der UTM (Ist mehr Ärger als Helfer) einfach verzichten.

      Auch wenn’s jetzt schon älter ist, aber vielleicht stolpert ja mal jemand drüber.

      Es gibt jetzt bei mir zwei Konfigurationen ohne Helper, die sich erfolgreich durchgesetzt haben.
      1. Ohne Fritz, DNAT der benötigten Ports auf die TK-Anlage, in meinem Fall eine Agfeo ES-512.
      Hier z.B. die Ports UDP 5004:50013, UDP 5064:5083 und TCP/UDP 5060 auf die Anlage leiten.
      2. Falls eine Fritz vorgeschaltet ist, in dieser für jede Nummer einen Benutzer erstellen und ihn in der Anlage als ext. Konfigurieren. Natürlich zusätzlich zu Punkt 1.
      Beides funktioniert problemlos im Anlagenbetrieb uns sollte sich auch auf einzelne VoIP Telefon übertragen lassen.

      Antworten
  6. Bzgl. DSL Modem:
    Die FritzBox kann nach wie vor PPoE Passthrougt, auch wenn es nicht in der GUI konfiguierbar ist.
    Laut verschiedenen Forenbeiträgen kann man dafür die ar7.cfg editieren – was man bei einem Bastler-Homebetrieb sicher riskieren kann.
    Bei einem Kunden hat der Provider eine FritzBox für eine Sophos als reines Modem geliefert.

    Antworten
  7. „Daher ist es so langsam an der Zeit, mein privates Netzwerk auf IPv6 umzustellen.“

    Könntest du diesen Satz näher erläutern? Im Heimnetz hat man doch keine Vorteile zur IPv6, eher im Gegenteil. Zumindest ich werde selbst in 10 Jahren noch auf IPv4 im Heimnetzwerk setzen.

    Antworten
    • Hi Simon,
      der Vorteil für mich ist, dass ich ein ganzes Subnetz mit IPv6 Adressen habe aber nur eine IPv4 Adresse. Ich kann mir also in Zukunft das verbiegen von Ports sparen um mehrere Dienste öffentlich erreichbar zu machen. Folgende Dienste würde ich gerne alle mittels HTTPs auf Port 443 erreichbar haben:
      -SSL VPN
      -User Portal (UTM)
      -Mail Quarantäne (UTM)
      -Exchange
      -diverse andere interne Webservices

      Die Webservices bekomme ich gut über die UTM Webserver Protection abgefackelt. Bei den anderen Diensten wird es schwierig. Da kommen mir die IPv6 Adressen sehr gelegen.
      Gruß, Frank

      Antworten
  8. Du hast aber wohl immer noch einen „Internet-Only“ Anschluss. Wenn du den gleichen DSL auch für Telefonie (Stichwort „AllIP“ nutzt) dann wird das wohl nichts mit einem DSL-Modem statt Router und DSL direkt an der UTM oder ?. Sonst musst du ja noch VoIP hinter der UTM umsetzen. Also nichts für den „HomeUser“ :-), der über sein DSL auch noch telefoniert.

    Antworten
    • Hi Frank,
      nein, ich habe einen AllIP Anschluss. Der Telefonie Teil hat hinter der UTM ein eigenes VLAN. In diesem VLAN befindet sich dann ein VoIP Telefon (Gigaset C430A Go). Die Fritzbox macht derzeit tatsächlich nur noch die DSL Einwahl. Mit Telefonie und WLAN hat die Fritzbox nichts mehr zu tun. Ich möchte die Fritzbox eigentlich gegen ein Modem ersetzen, damit ich kein doppeltes NAT mehr habe.
      Gruß, Frank

      Antworten
  9. Schöner Artikel. Ich glaube so wie dir geht es den meisten mit Ipv6. Wenn man nicht gerade beruflich damit in Kontakt kommt zwingt sich kaum jemand sich näher damit zu beschäftigen. Gerade im Bereich Netzwerk bleibt man seinen Gewohnheiten treu. Bin gespannt auf deine weiteren IPv6 Erfahrungen.

    Antworten

Schreibe einen Kommentar