pfSense-Konfiguration: Wie definiere ich die korrekte Address Pool Range für IPv6 DHCP?

Die Migration zu IPv6 ist in vollem Gange und bringt eine Vielzahl neuer Möglichkeiten, aber auch Herausforderungen mit sich. Besonders in Heim- und Kleinunternehmensnetzwerken, wo pfSense als leistungsstarke Firewall und Router oft das Herzstück bildet, ist die korrekte Konfiguration von IPv6 DHCP (genauer: DHCPv6) entscheidend. Eine der häufigsten Fragen betrifft die Definition des passenden Address Pool Range. Dieser Artikel führt Sie detailliert durch den Prozess, erklärt die zugrundeliegenden Konzepte und hilft Ihnen, eine robuste und zukunftssichere IPv6-Netzwerkkonfiguration in pfSense zu implementieren.

Warum ist IPv6 DHCPv6 so wichtig?

Im Gegensatz zu IPv4, wo DHCP die dominierende Methode zur automatischen Adressvergabe ist, bietet IPv6 verschiedene Optionen. Dazu gehören SLAAC (Stateless Address Autoconfiguration), bei dem Clients ihre Adressen selbstständig generieren, und DHCPv6, welches eine zentrale Verwaltung und Verteilung von IP-Adressen sowie weiteren Netzwerkinformationen (wie DNS-Server) ermöglicht. Gerade in komplexeren Umgebungen oder wenn Sie eine vollständige Kontrolle über die zugewiesenen Adressen wünschen – ähnlich wie bei IPv4 – ist DHCPv6 unverzichtbar. Es erlaubt Ihnen, feste Adressen zu vergeben, Leasingszeiten zu definieren und wichtige Optionen zu übermitteln, was die Netzwerkverwaltung erheblich vereinfacht.

Grundlagen des IPv6-Adressierungsschemas verstehen

Bevor wir in die pfSense-Konfiguration eintauchen, ist es wichtig, einige IPv6-Grundlagen zu wiederholen. Jedes Gerät in einem IPv6-Netzwerk hat mindestens eine Link-Local-Adresse, die nur innerhalb des lokalen Segments gültig ist. Für die Kommunikation außerhalb des lokalen Netzwerks benötigt es jedoch eine Global Unicast Address (GUA). Diese wird in der Regel von Ihrem Internet Service Provider (ISP) zugewiesen.

Prefix Delegation (PD) vom ISP

Die meisten ISPs stellen Ihnen nicht nur eine einzelne IPv6-Adresse für Ihr WAN-Interface zur Verfügung, sondern ein komplettes Präfix, oft ein /56 oder /60. Dieses Präfix wird als Prefix Delegation (PD) bezeichnet. Aus diesem größeren Präfix kann Ihr pfSense-Router kleinere Subnetze (standardmäßig /64) für Ihre internen Netzwerke (LAN, WLAN, DMZ etc.) ableiten. Ein /64-Subnetz ist die empfohlene Größe für ein einzelnes Link-Segment in IPv6 und bietet eine astronomische Anzahl von Adressen (ca. 18 Trillionen), was Adressmangel zu einer Geschichte macht.

Das /64-Subnetz: Die Basis Ihrer Pool Range

Jedes lokale Netzwerksegment (z.B. Ihr LAN) muss ein eigenes /64-Subnetz erhalten. Innerhalb dieses /64-Subnetzes werden dann die IP-Adressen für die Clients vergeben. Das ist der entscheidende Punkt: Ihr DHCPv6 Address Pool Range muss sich vollständig innerhalb des für das jeweilige Interface zugewiesenen /64-Subnetzes befinden.

Voraussetzungen für IPv6 DHCPv6 in pfSense

Bevor Sie den DHCPv6-Server konfigurieren, stellen Sie sicher, dass die folgenden Punkte erfüllt sind:

1. Funktionierende IPv6-Internetverbindung (WAN): Ihr pfSense-Router muss über das WAN-Interface eine IPv6-Adresse erhalten und eine Prefix Delegation von Ihrem ISP empfangen. Dies wird meist über DHCPv6 Client auf dem WAN-Interface konfiguriert. Stellen Sie sicher, dass unter Interfaces -> WAN -> IPv6 Konfigurationstyp auf DHCPv6 eingestellt ist und die Option Anfrage für ein IPv6-Präfix aktiviert ist.
2. LAN-Interface für IPv6 konfiguriert: Ihr internes Interface (z.B. LAN) muss eine IPv6-Adresse erhalten haben. Die gängigsten Methoden sind:
   • Track Interface (Empfohlen): Hierbei weist pfSense dem LAN-Interface automatisch ein /64-Subnetz aus dem vom ISP delegierten Präfix zu. Dies ist die einfachste und flexibelste Methode, da sich die LAN-IPv6-Adressen automatisch anpassen, falls sich das delegierte Präfix Ihres ISPs ändert. Konfigurieren Sie dies unter Interfaces -> LAN -> IPv6 Konfigurationstyp auf Track Interface und wählen Sie unter IPv6-Schnittstelle verfolgen Ihr WAN-Interface aus.
   • Statische IPv6: Wenn Sie eine feste IPv6-Adresse und ein /64-Subnetz manuell definieren möchten, wählen Sie Statische IPv6. Dies erfordert jedoch, dass Sie ein /64-Subnetz aus Ihrem delegierten Präfix *manuell* auswählen und dem Interface zuweisen.

Überprüfen Sie nach der Konfiguration des LAN-Interfaces, ob pfSense diesem eine Global Unicast Address im /64-Format zugewiesen hat. Diese finden Sie unter Status -> Interfaces. Merken Sie sich das zugewiesene /64-Subnetz für Ihr LAN, da es die Grundlage für Ihren DHCPv6-Pool bildet.

Zugriff auf die DHCPv6-Server-Einstellungen in pfSense

Navigieren Sie in der pfSense-Weboberfläche zu Dienste -> DHCPv6-Server & RA. Wählen Sie dann das Interface aus (z.B. LAN), für das Sie den DHCPv6-Server konfigurieren möchten.

Stellen Sie sicher, dass der DHCPv6-Server durch Aktivieren des Häkchens bei DHCPv6-Server aktivieren eingeschaltet ist.

Die Definition des korrekten Address Pool Range

Nun kommen wir zum Kern der Sache: der Address Pool Range. Hier müssen Sie die Start- und Endadresse für den Bereich angeben, aus dem pfSense IP-Adressen an Ihre Clients vergibt.

Der entscheidende Grundsatz: Innerhalb des /64-Subnetzes bleiben!

Wie bereits erwähnt, muss Ihr DHCPv6-Pool vollständig innerhalb des /64-Subnetzes liegen, das Ihrem LAN-Interface zugewiesen ist. Wenn Ihr LAN-Interface beispielsweise das /64-Subnetz 2001:db8:1234:5678::/64 verwendet (wobei 2001:db8:1234:5678 der Präfix-Teil und ::/64 der Host-Teil ist), dann müssen alle Adressen in Ihrem Pool mit 2001:db8:1234:5678: beginnen.

Beispiel:

• Angenommen, Ihr pfSense LAN-Interface hat die Adresse 2001:db8:1234:5678::1/64. Das bedeutet, Ihr /64-Subnetz ist 2001:db8:1234:5678::/64.
• Eine korrekte Startadresse könnte 2001:db8:1234:5678::1000 sein.
• Eine korrekte Endadresse könnte 2001:db8:1234:5678::1FFF sein.

Wichtige Hinweise:

1. Verwenden Sie nicht die Router-Adresse: Die Adresse ::1 (oder die spezifische Adresse, die Ihr pfSense-Router selbst im /64-Subnetz hat) sollte nicht im DHCPv6-Pool enthalten sein.
2. Link-Local-Adressen (fe80::/10) sind tabu: Diese Adressen werden automatisch zugewiesen und sind nicht für den DHCPv6-Pool bestimmt.
3. Adressen am Anfang des Subnetzes freihalten: Es ist eine gute Praxis, die ersten paar Adressen (z.B. ::2 bis ::FF oder sogar ::FFF) für statische Zuweisungen an Server, Switches, Access Points oder andere kritische Geräte außerhalb des DHCP-Pools zu reservieren. Dies erhöht die Übersichtlichkeit und vermeidet Konflikte.
4. Größe des Pools: Obwohl ein /64-Subnetz eine riesige Menge an Adressen bietet, müssen Sie nicht den gesamten Bereich für DHCPv6 nutzen. Definieren Sie einen Bereich, der die voraussichtliche Anzahl Ihrer Clients abdeckt und zusätzlich Puffer für Wachstum bietet. Ein Bereich wie ::1000 bis ::1FFF bietet über 4000 Adressen, was für die meisten Heim- und Kleinunternehmensnetzwerke mehr als ausreichend ist.

Praktische Konfiguration im pfSense-Interface:

• Range Start: Geben Sie hier die erste Adresse Ihres DHCPv6-Pools ein, z.B. 2001:db8:1234:5678::1000.
• Range End: Geben Sie hier die letzte Adresse Ihres DHCPv6-Pools ein, z.B. 2001:db8:1234:5678::1FFF.

Achten Sie auf die korrekte IPv6-Syntax (Doppelpunkte, keine führenden Nullen, etc.).

Weitere wichtige DHCPv6-Einstellungen

Neben dem Address Pool Range gibt es weitere Konfigurationsoptionen, die Sie berücksichtigen sollten:

• DNS-Server: Geben Sie hier die IPv6-Adressen Ihrer bevorzugten DNS-Server ein. Dies können Ihre lokalen pfSense-DNS-Resolver/Forwarder (z.B. ::1 oder die LAN-Adresse von pfSense) oder öffentliche DNS-Server (z.B. Google Public DNS: 2001:4860:4860::8888, 2001:4860:4860::8844) sein.
• Domain Search List: Hier können Sie Suffixe für die Domainnamenssuche festlegen (z.B. lokal.meinedomain.de).
• Default Lease Time / Maximum Lease Time: Definieren Sie, wie lange eine zugewiesene IP-Adresse gültig ist, bevor sie erneuert werden muss. Standardwerte sind oft ausreichend.
• DHCPv6-Optionen: Sie können zusätzliche Optionen wie NTP-Server oder SIP-Server konfigurieren.

Router Advertisements (RA) und DHCPv6 Server im Zusammenspiel

Die Router Advertisements (RA) spielen eine zentrale Rolle in der IPv6-Adressvergabe, da sie Clients Informationen über das Netzwerk und verfügbare Router liefern. In pfSense finden Sie die RA-Einstellungen ebenfalls unter Dienste -> DHCPv6-Server & RA, im Tab Router Advertisements.

Es gibt verschiedene Modi, die das Zusammenspiel von SLAAC und DHCPv6 definieren:

• Managed: Dies ist der Modus, der dem traditionellen IPv4 DHCP am nächsten kommt. Hier wird die Managed Flag gesetzt. Clients erhalten *alle* Informationen (IP-Adresse, DNS-Server, etc.) ausschließlich über den DHCPv6-Server. SLAAC wird deaktiviert. Wählen Sie diesen Modus, wenn Sie eine vollständige, zentrale Kontrolle über die IP-Adressen und Netzwerkkonfiguration Ihrer Clients wünschen.
• Other: Hier wird die Other Config Flag gesetzt. Clients nutzen SLAAC, um ihre IPv6-Adressen selbst zu generieren, aber sie fragen zusätzliche Informationen (wie DNS-Server, NTP-Server etc.) über den DHCPv6-Server ab. Dies ist eine gute Option, wenn Sie die Einfachheit von SLAAC beibehalten, aber bestimmte Netzwerkparameter zentral verteilen möchten.
• Assisted: Dieser Modus (oft auch als Stateless DHCPv6 bezeichnet) ist eine Kombination aus SLAAC und DHCPv6. Clients generieren ihre Adresse per SLAAC, können aber optional beim DHCPv6-Server nach weiteren Informationen fragen. Dies ist der Standardmodus und eine gute Balance zwischen Automatisierung und Konfigurierbarkeit.
• Unmanaged: Nur SLAAC ist aktiv. Es gibt keinen DHCPv6-Server. Clients generieren ihre Adressen und versuchen, DNS-Server über RDNSS (Recursive DNS Server) aus den RA-Nachrichten zu beziehen.
• Disabled: Keine Router Advertisements gesendet. Nur für spezielle Anwendungsfälle geeignet.

Für eine vollständige zentrale Verwaltung Ihrer IPv6-Adressen wählen Sie im RA-Tab den Modus Managed. Wenn Sie eine Mischung aus SLAAC für die Adressvergabe und DHCPv6 für zusätzliche Optionen wünschen, ist Other oder Assisted die richtige Wahl.

Fehlerbehebung bei der IPv6 DHCPv6-Konfiguration

Sollten Ihre Clients keine IPv6-Adressen vom DHCPv6-Server erhalten, überprüfen Sie folgende Punkte:

1. WAN-IPv6-Verbindung: Hat Ihr pfSense-Router eine IPv6-Adresse und eine Prefix Delegation vom ISP erhalten? Prüfen Sie unter Status -> Interfaces.
2. LAN-IPv6-Konfiguration: Hat Ihr LAN-Interface die korrekte /64-Adresse erhalten (entweder durch Track Interface oder Statische IPv6)?
3. DHCPv6-Server aktiviert: Ist der DHCPv6-Server für das entsprechende Interface (z.B. LAN) aktiviert?
4. Korrekter Address Pool Range: Befindet sich Ihr definierter DHCPv6-Pool wirklich innerhalb des /64-Subnetzes Ihres LAN-Interfaces? Ist die Syntax korrekt?
5. Router Advertisements (RA): Ist der RA-Modus korrekt eingestellt (z.B. Managed, wenn Sie möchten, dass Clients ausschließlich DHCPv6 nutzen)?
6. Firewall-Regeln: Obwohl der DHCPv6-Verkehr in der Regel standardmäßig erlaubt ist, stellen Sie sicher, dass keine Firewall-Regeln den DHCPv6-Port (UDP 547) blockieren.
7. Client-Konfiguration: Unterstützt Ihr Client DHCPv6? Ist der IPv6-Stack aktiv? Manchmal muss der Client neu gestartet werden oder die Netzwerkkonfiguration erneuert werden.
8. pfSense-Logs: Überprüfen Sie die System-Logs unter Status -> System-Logs -> DHCP und System auf entsprechende Fehlermeldungen.

Best Practices für die IPv6 DHCPv6-Konfiguration

• Dokumentation: Halten Sie fest, welche Präfixe Sie vom ISP erhalten und welche /64-Subnetze Sie Ihren internen Interfaces zugewiesen haben. Dokumentieren Sie auch Ihren DHCPv6-Pool.
• Reserven einplanen: Planen Sie immer Puffer für statische Zuweisungen und zukünftiges Wachstum ein. Beginnen Sie Ihren Pool nicht bei ::2.
• Konsistenz: Versuchen Sie, ein konsistentes Adressierungsschema für Ihre internen Netzwerke zu verwenden.
• Sicherheit: Nutzen Sie die pfSense-Firewall, um IPv6-Traffic genauso wie IPv4-Traffic zu filtern.
• Regelmäßige Überprüfung: Überprüfen Sie die Konfiguration regelmäßig, besonders nach Updates oder Änderungen am Netzwerk.

Fazit

Die korrekte Definition des Address Pool Range für IPv6 DHCP in pfSense ist ein entscheidender Schritt für eine funktionierende und effiziente IPv6-Netzwerkkonfiguration. Indem Sie die Grundlagen der IPv6-Adressierung, die Bedeutung der Prefix Delegation und das Zusammenspiel von DHCPv6 und Router Advertisements verstehen, können Sie eine robuste und wartungsfreundliche Lösung implementieren. Nehmen Sie sich die Zeit, die Einstellungen sorgfältig zu überprüfen, und scheuen Sie sich nicht, die umfangreichen Logging-Funktionen von pfSense zur Fehlerbehebung zu nutzen. Mit dieser Anleitung sind Sie bestens gerüstet, um Ihr IPv6-Netzwerk professionell zu managen.