# IPv4 & IPv6 Mastery: Adressierung im modernen Dual-Stack Netzwerk
TL;DR / Management Summary Während IPv4 die vertraute Basis ist, wird IPv6 im Enterprise-Umfeld zur Notwendigkeit. OPNsense unterstützt nativen Dual-Stack-Betrieb. Senior Admins nutzen für IPv4 meist Static IPs im LAN und DHCP/NAT am WAN. Für IPv6 implementieren wir Prefix Delegation (PD) vom ISP und nutzen SLAAC oder DHCPv6 im LAN. Ziel ist eine Infrastruktur, die für die Zeit nach dem IPv4-Adressmangel gewappnet ist.
# 1. IPv4 Konfiguration
Statik im LAN, Dynamik am WAN.
# WAN-Konfiguration
In 90% der KMU-Szenarien erhält der WAN-Port die IP via DHCP vom ISP-Modem.
- Wichtig: Aktivieren Sie “Block private networks” und “Block bogon networks”, um unautorisierten Traffic aus dem Internet direkt zu droppen.
# LAN-Konfiguration
Nutzen Sie private Adressbereiche nach RFC 1918.
- Empfehlung: Vermeiden Sie
192.168.1.0/24(Standard bei vielen Routern), um IP-Konflikte bei VPN-Einwahlen zu minimieren. Nutzen Sie stattdessen10.x.y.zNetze.
# 2. IPv6 Konfiguration
Adressen ohne Ende.
IPv6 arbeitet ohne NAT. Jeder PC im LAN bekommt eine echte, weltweit routbare IP-Adresse.
# WAN: Prefix Delegation (PD)
Die meisten ISPs weisen Ihnen ein Präfix (z.B. ein /56 oder /64) zu.
- WAN IPv6 Configuration Type:
DHCPv6. - Prefix delegation size: Entsprechend der ISP-Vorgabe.
- Send IPv6 prefix hint: Aktivieren.
# LAN: Track Interface
Anstatt IP-Adressen manuell zu tippen, sagen Sie dem LAN-Interface: “Nimm das erste verfügbare Subnetz aus dem Präfix, das am WAN ankommt.”
- IPv6 Configuration Type:
Track Interface. - IPv6 Interface:
WAN.
# 3. Deep Dive: SLAAC vs. DHCPv6
Wie der Client seine IP bekommt.
# 1. SLAAC (Stateless Address Autoconfiguration)
Der Client generiert seine IP selbst basierend auf seiner MAC-Adresse (oder Privacy Extensions).
- Vorteil: Funktioniert immer, kein Server nötig.
- Nachteil: Keine zentrale Inventarisierung.
# 2. DHCPv6 (Stateful)
Der NPS/OPNsense weist eine spezifische IP zu.
- Vorteil: Bessere Kontrolle, Integration in DNS möglich.
- Wichtig: Android-Geräte unterstützen nativ kein DHCPv6 (nur SLAAC!).
# 4. Day-2 Operations: NAT & Port-Forwarding
Die IPv4-Krücke meistern.
Da IPv4 Adressen knapp sind, brauchen wir Outbound NAT.
- Aktion: OPNsense erledigt dies automatisch. Prüfen Sie unter
Firewall -> NAT -> Outbound, ob “Automatic outbound NAT” aktiv ist.
# Port-Forwarding (Destination NAT)
Wenn Sie einen Webserver (Artikel 461) im LAN betreiben:
Interface: WAN
Protocol: TCP
Destination: WAN address
Destination Port: 443
Redirect Target IP: 10.0.1.50
Redirect Target Port: 443# 5. Troubleshooting & “War Stories”
Wenn der Dual-Stack klemmt.
# Top 3 Fehlerbilder
-
Symptom: Webseiten laden extrem langsam, Bilder fehlen.
- Ursache: IPv6-Connectivity ist “halb-tot”. Der Browser versucht IPv6, läuft in einen Timeout und macht dann erst den IPv4 Fallback (Happy Eyeballs Problem).
- Lösung: Prüfen Sie das Gateway-Monitoring (
System -> Gateways).
-
Symptom: IPv6 Präfix verschwindet nach 24h.
- Ursache: Dynamic IP Reconnect des ISPs.
- Lösung: “Prevent interface removal” in den WAN-Settings aktivieren.
-
Symptom: Clients im LAN bekommen keine IPv6 IP.
- Ursache: Router Advertisements (RA) sind nicht konfiguriert.
- Fix:
Services -> Router Advertisementsauf “Unmanaged” (für SLAAC) oder “Managed” (für DHCPv6) stellen.
# “War Story”: Der schweigende IPv6-Leck
Ein Admin aktivierte IPv6 “einfach mal so” am WAN. Das Ergebnis: Plötzlich waren alle Drucker und internen Webseiten weltweit über ihre echten IPv6-Adressen erreichbar, da der Admin vergessen hatte, dass bei IPv6 kein NAT schützt. Lehre: Bei IPv6 ist die Firewall-Regel die einzige Grenze zwischen LAN und WAN. Testen Sie Ihre Regeln mit einem externen IPv6-Portscanner!
# 6. Monitoring & Alerting
Adress-Statistiken.
# Wichtige KPIs
- Gateway RTT: Latenz des IPv4 und IPv6 Gateways.
- DHCP Lease Count: Wie viele IPs sind noch frei?
# 7. Fazit & Empfehlung
Dual-Stack ist kein Hexenwerk, erfordert aber ein Umdenken.
- Empfehlung: Nutzen Sie IPv6 Prefix Delegation. Es ist die sauberste Methode für dynamische Anschlüsse.
- Sicherheit: Deaktivieren Sie IPv6 nur als allerletzten Ausweg. Viele moderne Dienste (inkl. Windows Update) bevorzugen IPv6 und funktionieren performanter damit.
# Anhang: Cheatsheet
| Protokoll | Port / Dienst | Admin-Pfad |
|---|---|---|
| IPv4 NAT | Port Forwarding | Firewall -> NAT -> Port Forward |
| IPv6 RA | ICMPv6 Type 134 | Services -> Router Advertisements |
| DHCPv6 | UDP 546/547 | Services -> DHCPv6 |
| Aliasse | Netzgruppen | Firewall -> Aliases |