Alle IPv6-Adressen gelten als öffentlich, der korrekte Begriff ist globale Unicast-Adressen, das bedeutet, dass alle unsere Geräte aus dem Internet sichtbar sind.

In IPv6 ist das in IPv4 bekannte Konzept der NAT (Network Address Translation) aufgrund des riesigen verfügbaren Adressraums praktisch unnötig, sodass praktisch jedes Gerät eine global eindeutige Adresse haben kann.

In bestimmten Szenarien möchten Sie jedoch möglicherweise eine Form der Isolierung oder Zugriffskontrolle ähnlich wie NAT implementieren, um den Datenverkehr zwischen einem „privaten“ Netzwerk und dem „öffentlichen“ Internet über IPv6 zu verwalten.

Im Folgenden beschreiben wir, wie Sie ein allgemeines Szenario in MikroTik konfigurieren, um mit dieser Situation umzugehen:

Schritt 1: IPv6-Adresszuweisung

Stellen Sie zunächst sicher, dass Ihr Internetdienstanbieter (ISP) Ihnen einen Block von IPv6-Adressen zugewiesen hat. Einen Teil dieses Blocks nutzen Sie für Ihr internes Netzwerk.

1. Weisen Sie der WAN-Schnittstelle Adressen zu: Konfigurieren Sie Ihre WAN-Schnittstelle in MikroTik so, dass sie eine IPv6-Adresse von Ihrem ISP erhält, entweder statisch oder über DHCPv6, je nachdem, wie Ihr ISP IPv6-Konnektivität bereitstellt.
2. Weisen Sie dem internen Netzwerk Adressen zu: Definieren Sie ein Segment Ihres IPv6-Blocks für Ihr lokales Netzwerk. Dies kann in MikroTik im IPv6-Menü erfolgen, indem Sie statische Adressen zuweisen oder einen DHCPv6-Server verwenden, um Adressen an Ihre internen Geräte zu verteilen.

Schritt 2: Firewall-Konfiguration

Obwohl NAT nicht notwendig ist, spielt die Firewall eine entscheidende Rolle für die Sicherheit Ihres IPv6-Netzwerks, indem sie ein- und ausgehenden Datenverkehr gemäß Ihren Richtlinien filtert.

1. Eingehende Firewallregeln: Konfigurieren Sie Regeln in der MikroTik-Firewall, um den unbefugten Zugriff aus dem Internet auf Ihr internes Netzwerk zu beschränken. Dies kann das Blockieren bestimmter Ports oder Protokolle und das Zulassen nur bestimmten eingehenden Datenverkehrs zu definierten Diensten umfassen.
2. Ausgehende Firewallregeln: Ebenso können Sie Regeln zur Verwaltung des ausgehenden Datenverkehrs konfigurieren, obwohl die meisten Firewalls standardmäßig den gesamten ausgehenden Datenverkehr zulassen.

Schritt 3: Präfixdelegierung konfigurieren (falls zutreffend)

Wenn sich hinter Ihrem MikroTik-Router Geräte befinden, die ebenfalls globale IPv6-Adressen benötigen, können Sie mithilfe der Präfixdelegierung Segmente Ihres zugewiesenen IPv6-Blocks auf diese Geräte oder Subnetze verteilen.

Schritt 4: IPv6-Datenschutzerweiterungen konfigurieren (falls gewünscht)

Datenschutzerweiterungen für SLAAC (Stateless Address Autoconfiguration) ermöglichen es Geräten in Ihrem Netzwerk, IPv6-Adressen zu verwenden, die sich regelmäßig ändern, wodurch die Privatsphäre der Benutzer erhöht wird.

Weitere Überlegungen

• Sicherheit: Obwohl IPv6 NAT für die Adressverwaltung überflüssig macht, sollte die Sicherheit nicht außer Acht gelassen werden. Stellen Sie sicher, dass Sie eine solide Sicherheitsstrategie implementieren, die eine gut konfigurierte Firewall umfasst.
• Geräteunterstützung: Stellen Sie sicher, dass alle Ihre Geräte IPv6 unterstützen. Obwohl dies bei den meisten modernen Geräten der Fall ist, sind einige ältere Geräte möglicherweise nicht kompatibel.

Die Konfiguration von IPv6 in MikroTik für ein „öffentliches“ zu „privatem“ Netzwerkszenario umfasst hauptsächlich die Verwaltung von Adresszuweisungen und Firewall-Konfigurationen, um Ihr Netzwerk sicher zu halten, ohne dass NAT erforderlich ist.

Dies zeigt den Fortschritt und die verbesserten Funktionen, die IPv6 gegenüber IPv4 in Bezug auf Adressverwaltung und Netzwerksicherheit bietet.