OpenBSD als DualStack Relay Agent für IPv4 und IPv6? Incl. Routeradvertisement

Hallo Leute,

als erstes muss ich einmal zugestehen das ich von OpenBSD relativ wenig Ahnung habe, normalerweise arbeite ich mit Debian inkl. Samba , Windows Servern und CISCO.

Ich habe die folgende Aufgabenstellung: OpenBSD als Backrouter mit Verbindung zum Windwos 2008R2 Server und Debian mit Samba als zweiter AD Server, vorrangig macht der Windows Server sowohl DNS für v4 und v6 inkl. reverse und DHCP für v4 und v6. Das Client Netz hängt an einer anderen Schnittstelle des OpenBSD. Alle Server wie auch die Router-Ports haben statische v4 und V6 Adressen. Nun ist es für mich kein Problem gewesen OpenBSD als DHCPv4 Relay einzurichten. Wie bekomme ich es hin dass die Clients über das DHCP-Relay bzw. ggf. das Router-Advertisement nicht nur eine IPv4 bekommen sondern auch eine IPv6 vom Windows-Server.
Ich würde mich sehr freuen wenn mir da jemand weiterhelfen könnte, bitte falls möglich mit Konfigurationsbeispielen.

Danke, Katharina
 
Erst danke für die Antwort, die hilft mir aber nicht!

1. Nicht wenn im man vom dhcrelay steht das v4 und v6 nicht auf der gleichen Schnittstelle ausgeführt werden können.
2. Nicht wenn durch das rtavd der DHCPv6 Server nicht bekannt gegeben werden kann.
3. Was hat slaacd damt zu tun ???? autoconf kann ich nicht benutzen, da die ipv6 Adresse von einem DHCPv6 host kommen soll der nicht auf dem OpenBSD ausgeführt wird.
4. Auch im man vom rtavd finde ich nichts bezüglich der Verbreitung eines DHCPv6 Servers.

Kann natürlich sein, dass ich irgendetwas übersehen habe oder nicht ganz verstanden habe.

Ich bitte nochmals um Hilfe (nach Möglichkeit mit Konfigurationsbeispielen)
Danke im voraus,

Katharina
 
Ich verstehe das Setup gar nicht. Wenn der Windows-Server DHCP/rtadv macht, wozu muss zwischen dem und den Clients noch eine OpenBSD-Maschine stehen? Und reicht es in dem Fall nicht, einfach die Interfaces mit einer bridge zu verbinden?

Rob
 
OpenBSD so vermutlich als fw laufen.

Wenn man unbedingt dhcp6 machen will dann. Muss man sich zusätzlich noch die entsprechenden Dämon installieren.

Ist im Basis System nicht enthalten.
 
Zur genaueren Erklärung hier eine PDF der ungefähren Netzwerktopologie.

Wobei zu beachten ist, dann sämtliche Server im Bereich dmz, vpn und dmz2 Debian Server sind.

Der als Backfirewall bezeichnete Server ist der OpenBSD Server.

Im Client Netzbereich gibt es sowohl Debian Clients als auch Windows Clients, in diesem Netz sind keine Server erlaubt.

Im Dienste Netzt stehen aber folgende Server:
Windows 2008R2 AD mit DNS und DHCP sowohl v4 als auch v6,
Debian Samba 4.9 AD Server,
Debian Mail Server,
Debian Samba Fileserver,
Debian TFTP Server mit gleichzeitigem DNS Backup des im DMZ1 befindlichem Debian DNS Servers.

Sämtliche Netze (DMZ1, DMZ2, Dienste,...) haben eigene IP v4 und ip v6 Netzbereiche

Das Client Netz soll sowohl seine IPv4 als auch seine IPv6 Adresse vom Windows AD Server erhalten und ggf. auch darüber Booten (PXE).

Im VPN Bereich steht noch ein weiterer Windows 2008R2 Member Server der Direct Access gewährleistet.
 

Anhänge

  • Netzwek.pdf
    436,7 KB · Aufrufe: 296
Angenommen, du nimmst statt OpenBSD auf der Kiste auch ein Debian.
Würdest du diese Aufgabenstellung dann umsetzen können?

Rob
 
Hi
Setzt das doch Protokoll weise um.

D.h. erst ipv4 dann ipv6.

Wobei ich persönlich das mit dem DHCP für ipv6 sein lassen würde .

Die obsd Kiste bekommt via slaac vom
Windows Server das Netz und schick dafür dann Router ADV an das Client Netz.



Deswegen hatte ich auch slaac erwähnt.

Holger
 
Angenommen, du nimmst statt OpenBSD auf der Kiste auch ein Debian.
Würdest du diese Aufgabenstellung dann umsetzen können?

Rob
Das Problem dabei ist, dass der Rechner der jetzt per OpenBSD die Backfirewall und den Router übernimmt aus Sicherheitsaspekten kein Debian oder Ubuntu sein darf, da sich ein potenzieller Angreifer durch die Sicherheit verschiedener Systeme hacken müssen sollte!
 
Hi
Setzt das doch Protokoll weise um.

D.h. erst ipv4 dann ipv6.

Wobei ich persönlich das mit dem DHCP für ipv6 sein lassen würde .

Die obsd Kiste bekommt via slaac vom
Windows Server das Netz und schick dafür dann Router ADV an das Client Netz.



Deswegen hatte ich auch slaac erwähnt.

Holger
beim obsd sind sämtliche Schnittstellen aus Sicherheitsgründen nur statisch zu konfigurieren!
D.H. statische Link Lokale als auch statische Lokal Unicast!
 
beim obsd sind sämtliche Schnittstellen aus Sicherheitsgründen nur statisch zu konfigurieren!
D.H. statische Link Lokale als auch statische Lokal Unicast!

hi ich habe hier sowas in der art laufen die fw und meine server haben statische ipv6 addr , der rest laeuft per rtadvd .

somit würde ich behaupten das ein "client" netz durchaus via router adv versorgt werden kann , wobei der Router / firewall
eine statische ip hat.

siehe auch https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast

das ich nur ein dynamisches slaac netz von meine provider bekommen , mache ich ich lieber ein 6to6 nat.

holger
 
Zurück
Oben