expertenaustausch > comm.* > comm.protocols.tcp-ip

Holger (08.04.2020, 01:04)
Liebe Leute,

ich habe ein technisches Problem mit meinem Kabelanschluß von Vodafone,
es geht um IPv6. Der von Vodafone gestellte Router kann sowohl IPv4 und
auch IPv6 angeschlossenen Rechnern routen, ich kann beide Protokolle
nutzen. Dies geht aber nur, wenn kein zweiter Router zwischen den
Rechnern und dem Router von Vodafone steht. Für IPv4 ist das alles
unproblematisch. Ich stellte den Router von Vodafone in den sogenannten
Bridge Mode um und benutze jetzt nur noch das dort eingebaute
Kabelmodem. Funktioniert für IPv4 gut. Für IPv6 geht das auch, wenn ich
einen Rechner direkt mit dem Vodafone-Gerät verbinde. Allerdings wird
mir der Spaß verhagelt, schalte ich einen eigenen Router wieder
dazwischen, wegen Portfreigaben und WLAN übrigens, was das Vodafonegerät
zur Zeit nicht kann.

Ich bekomme via DHCP6 via Vodafone-Gerät nun eine IPv6-Adresse und einen
davon abweichenden IPv6-Präfix für ein /64-Netz. Mein Pouter stellt als
Ipv6-Assign-Type "DHCPv6-Server" für das LAN ein und vergibt auch
IPv6-Adressen, "link local" genauso wie öffentliche IPv6-Adressen.

Haken an der Sache ist allerdings dieser: Diese Adressen werden zwar
vergeben, aber nicht geroutet. Im Status sieht man für das WAN keinen
IPv6-Default-Gateway.

Das soll sich nur ändern, wenn ich von einem Privatkundenvertrag in
einen Geschäftskundenvertrag wechsele. Meine Frage ist also diese: Wie
kann ich als Privatkunde über einen eigenen Router ins IPv6-Netz, ohne
einen Geschäftskundentarif buchen zu müssen, der rund doppelt so teuer
wäre wie mein Privatkundentarif?

Holger
Peter Aulich (08.04.2020, 02:16)
Hallo,

AFAIK bekommt man im Bridgemode nur IPV4 ans WAN Interface.

Eine Moeglichkeit waere eine eigene Cable Fritzbox. Da bekommt man wohl
zur Zeit sogar noch echtes Dual-Stack geschaltet.
Bei Gebrauchtkauf nur aufpassen, ehemalige Leihboxen schaltet Vodafone
nicht frei! Im vodafonekabelforum.de gibt es Beitraege ueber die
Produktnummern der Fritzboxen die freigeschaltet werden.

Gruesse

P.A.
Marc Haber (08.04.2020, 13:34)
Holger <me> wrote:
>Ich bekomme via DHCP6 via Vodafone-Gerät nun eine IPv6-Adresse und einen
>davon abweichenden IPv6-Präfix für ein /64-Netz.


Das ist nur _ein_ Netz. Vodafone müsste Dir für Deine Routerkaskade
ein weiteres /64 bereitstellen. Das hierfür üblicherweise verwendete
Verfahren heißt Prefix Delegation.

>Mein Pouter stellt als
>Ipv6-Assign-Type "DHCPv6-Server" für das LAN ein und vergibt auch
>IPv6-Adressen, "link local" genauso wie öffentliche IPv6-Adressen.
>Haken an der Sache ist allerdings dieser: Diese Adressen werden zwar
>vergeben, aber nicht geroutet.


Link Local Adressen in IPv6 werden nicht vergeben.

Grüße
Marc
Holger (08.04.2020, 16:12)
Am 08.04.20 um 13:34 schrieb Marc Haber:
> Holger <me> wrote:
> Das ist nur _ein_ Netz. Vodafone müsste Dir für Deine Routerkaskade
> ein weiteres /64 bereitstellen. Das hierfür üblicherweise verwendete
> Verfahren heißt Prefix Delegation.
> Link Local Adressen in IPv6 werden nicht vergeben.


Sorry, wenn ich mich nicht standesgemäß ausdrücke, ich habe mich heute
das erste Mal mit IPv6 auf einem Router beschäftigt. Bisher reichte mir
IPv4. Aber hier enstehen Link-Local-Adressen nun mal, und mir ist es
erstmal egal, ob die nun vergeben oder gebildet oder selbst zugewiesen
werden. Bedeutsam ist, von allem Details abstrahiert, deren Existenz.
Richtigstellende Papiere bezüglich der Ausdrucksweise und des genauen
Verfahrens kann ich später immer noch lesen. Mich interessiert, was hier
falsch läuft, und ob ich das mittels Konfiguration ändern kann oder nicht.

Da es mich nicht das Genick brechen wird, hier die vergebenen
IPv6-Adressen für das WAN, linksseitig leicht verfälscht dargestellt:

Router: 3c02:8109:0:1b:3900:a3d6:c0e5:d579
Adresspräfix: 3c02:8109:d80:473c::/64
Eingestellt ist: Get IPv6 Address Prefix.
WAN Connection Type: DHCPv6
IPv6 Default Gateway: Keine Angabe.

Für das LAN:

Pv6 Address Assign Type: DHCPv6 Server (wurde automatisch so eingestellt.)
LAN IPv6 Address: 3c02:8109:d80:473c:fa1a:67ff:fe56:98be/64
Link Local Address:
fe80::fa1a:67ff:fe56:98be/64

Holger
Marc Haber (08.04.2020, 18:24)
Holger <me> wrote:
>Sorry, wenn ich mich nicht standesgemäß ausdrücke, ich habe mich heute
>das erste Mal mit IPv6 auf einem Router beschäftigt. Bisher reichte mir
>IPv4. Aber hier enstehen Link-Local-Adressen nun mal, und mir ist es
>erstmal egal, ob die nun vergeben oder gebildet oder selbst zugewiesen
>werden. Bedeutsam ist, von allem Details abstrahiert, deren Existenz.
>Richtigstellende Papiere bezüglich der Ausdrucksweise und des genauen
>Verfahrens kann ich später immer noch lesen. Mich interessiert, was hier
>falsch läuft, und ob ich das mittels Konfiguration ändern kann oder nicht.


Eine Link Local Adresse wird nicht geroutet, weil sie nicht geroutet
werden. Das steht so im Standard.

Wikipedia sagt:
|Link-Local-Adressen[23] sind nur innerhalb abgeschlossener
|Netzwerksegmente gültig. Ein Netzwerksegment ist ein lokales
|Netz, gebildet mit Switches oder Hubs, bis zum ersten Router.
|Reserviert ist hierfür der Bereich ?fe80::/10?.[24][25] Nach diesen
|10 Bits folgen 54 Bits mit dem Wert 0, sodass die Link-Local-Adressen
|immer das Präfix ?fe80::/64? haben:
|10 Bits 54 Bits 64 Bits
|1111111010 0 Interface ID
|
|Link-Local-Adressen nutzt man zur Adressierung von Knoten in
|abgeschlossenen Netzwerksegmenten sowie zur Autokonfiguration oder
|Neighbour-Discovery. Dadurch muss man in einem Netzwerksegment
|keinen DHCP-Server zur automatischen Adressvergabe konfigurieren.

Die englische Wikipedia beschreibt das ein wenig weniger schrecklich.

Für die Kommunikation mit dem Internet taugen link local Adressen
nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
einem die Möglichkeit, sich über die Router von einem Netzwerksegment
zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
Prefix delegieren lassen.

IPv6 ist ein von IPv4 völlig unterschiedliches Protokoll, das bekommt
man nicht ans Laufen ohne vorher Doku zu lesen. Dabei ist dringend zu
empfehlen, alles was man über IPv4 weiß zu vergessen, das belastet
beim Lernen von IPv6 nur.

Grüße
Marc
Holger (08.04.2020, 18:56)
Am 08.04.20 um 18:24 schrieb Marc Haber:

> Für die Kommunikation mit dem Internet taugen link local Adressen
> nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
> einem die Möglichkeit, sich über die Router von einem Netzwerksegment
> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
> Prefix delegieren lassen.


Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
"nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
ich bekomme keine Routen zum IPv6-Internet für meine am Router
angeschlossenen Rechner.

> IPv6 ist ein von IPv4 völlig unterschiedliches Protokoll, das bekommt
> man nicht ans Laufen ohne vorher Doku zu lesen. Dabei ist dringend zu
> empfehlen, alles was man über IPv4 weiß zu vergessen, das belastet
> beim Lernen von IPv6 nur.


Den Eindruck habe ich auch. Aber ich bilde mir ein, dass ein tieferes
Verständnis von IPv6 auch der weitgehenden Auto-Konfiguration eines
Heimrouters folgen kann. Ich habe doch die Daten aus dem Router unter
mein letztes Post kopiert. Magst du da einen Blick drüber werfen?

Holger
Juergen Ilse (08.04.2020, 19:24)
Hallo,

Holger <me> wrote:
> Am 08.04.20 um 18:24 schrieb Marc Haber:
> Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
> ich bekomme keine Routen zum IPv6-Internet für meine am Router
> angeschlossenen Rechner.


Wenn der 2. Router sich komplett aus DHCP, SLAAC, etc. heraushaelt und
sowohl IPv4 als auch IPv6 bridged, solltest du kein Problem haben, denn
dann bedient der 1. Router auch die Geraete hinter dem 2. Router mit,
er sieht dann noch nicht einmal, dass da noch ein Router dazwischen
haengt ...
Wenn du vom 2. Router nur das WLAN nutzen willst, weil das aktivieren von
WLAN auf dem ersten Router kostet, duerfte der Betrieb als Bridge doch
voellig ausreichen ...

>> IPv6 ist ein von IPv4 völlig unterschiedliches Protokoll, das bekommt
>> man nicht ans Laufen ohne vorher Doku zu lesen. Dabei ist dringend zu
>> empfehlen, alles was man über IPv4 weiß zu vergessen, das belastet
>> beim Lernen von IPv6 nur.

> Den Eindruck habe ich auch.


Eigentlich ist das halb so wild. Wo Marc allerdings recht hat: versuche
*niemals* IPv4-Wissen auf IPv6 uebertragen, das geht in den meisten Fael-
len schief ...
Du hast i.d.R. bei IPv6 bei "SOHO-Equipment! kein NAT (und wenn, dann nur
1 zu 1 NAT fuer gesamte /64 Netze, sprich es wird nur der /64 Prefix um-
geschrieben).

Tschuess,
Juergen Ilse (juergen)
Marc Haber (08.04.2020, 20:13)
Holger <me> wrote:
>Am 08.04.20 um 18:24 schrieb Marc Haber:
>Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
>geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>"nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>ich bekomme keine Routen zum IPv6-Internet für meine am Router
>angeschlossenen Rechner.


Der Router von Deinem Kabelanbieter gibt dem Segment zwischen ihm und
Deinem Router IPv6-Adressen aus dem einen /64. Dein Router müsste ich
dann für das Netzwerksegment hinter ihm ein weiteres /64 zuweisen
lassen. Das scheint er nicht zu tun.

Grüße
Marc
Marc Haber (08.04.2020, 20:14)
Juergen Ilse <news> wrote:
>Holger <me> wrote:
>Wenn der 2. Router sich komplett aus DHCP, SLAAC, etc. heraushaelt und
>sowohl IPv4 als auch IPv6 bridged,


.... dann ist er kein Router, sondern eine Bridge.

Grüße
Marc
Holger (08.04.2020, 20:19)
Am 08.04.20 um 20:13 schrieb Marc Haber:
> Holger <me> wrote:
> Der Router von Deinem Kabelanbieter gibt dem Segment zwischen ihm und
> Deinem Router IPv6-Adressen aus dem einen /64. Dein Router müsste ich
> dann für das Netzwerksegment hinter ihm ein weiteres /64 zuweisen
> lassen. Das scheint er nicht zu tun.


Ich möchte nochmals sagen, dass der Router vom Vodafone Kabel im
Bridge-Modus läuft. Ich nehme also an, das Gerät ist in diesem Modus ein
reines Kabelmodem ohne Router-Funktionalität.

Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
ich kriege kein Gateway ins IPv6-Internet.

Holger
Kay Martinen (08.04.2020, 21:58)
Ich hänge mich hier mal dran mit meiner Problematik.

Am 08.04.20 um 20:13 schrieb Marc Haber:
> Holger <me> wrote:
>> Am 08.04.20 um 18:24 schrieb Marc Haber:
>>> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
>>> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
>>> Prefix delegieren lassen.


Das ist auch bei meinem Speedport Hybrid das Problem. Der Delegiert kein
Prefix. Und da er gemietet ist will ich den auch nicht Bricken^WUmfFlashen.

>> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>> ich bekomme keine Routen zum IPv6-Internet für meine am Router
>> angeschlossenen Rechner.


Ist es noch Routing wenn IPv6 durch einen 2. Router "hindurch" geht?

> Der Router von Deinem Kabelanbieter gibt dem Segment zwischen ihm und
> Deinem Router IPv6-Adressen aus dem einen /64.


Da Prefix Delegation bei mir auch nicht geht und ich nicht weiß ob/wie
ich ein 1:1 NAT/NDP oder sonstwas (böses!?) in Router-appliances wie
opn, pfsense o. plain linux umsetze... ist es vermutlich die einfachste
lösung; da ich meine internen Netze eh schon aufteilen will; meinen
internen Router IPv6 komplett durch zu lassen. Zumindest in das eine
Segment in dem ich voll internet-taugliche Geräte setzen will. ?

Braucht es da noch mehr als nur eine Regel der art "Allow All IPv6
In/out" zwischen WAN und SegmentX? evtl. ein igmp oder
multicast-proxying um auch alles zu erwischen? Oder einen weiteren Radvd
der RouterAdvertisements weiterleitete? Grund: Ich bin nicht sicher ob
z.b. bei OPN eine Schlichte Regel reicht und es nicht evtl. versteckte
regeln gäbe die RA's o.a. aufhalten...

Den Segmenten die Intern bleiben sollen kann ich IPv6 dann ja komplett
verbieten. Sollte man einer DMZ IPv6 erlauben?

IPv6 Only sehe ich als Problematisch an. Kann man doch auch noch IPv4
auf die Klassische Art (dhcpd) konfiguriert parallel betreiben - dann
halt für Verbindungen zu internen Ressourcen oder domains die noch kein
IPv6 haben/brauchen. Ohne Dualstack müsste ich sonst IMHO von einer
Link-local Adresse zu einer Anderen LLA in einem anderen Segment
"routen" (oder: Bridgen) was mich wieder vor ein Verständnisproblem führte.

Kay
Juergen Ilse (08.04.2020, 22:17)
Hallo,

Marc Haber <mh+usenetspam1118> wrote:
> Juergen Ilse <news> wrote:
> ... dann ist er kein Router, sondern eine Bridge.


Das ist mir klar, nur vielleicht genuegt ihm das ja fuer seine Zwecke?

Tschuess,
Juergen Ilse (juergenqusenet-verwaltung.de)
Marc Haber (10.04.2020, 09:56)
Holger <me> wrote:
>Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
>ich kriege kein Gateway ins IPv6-Internet.


Gebetsmühle: Prefix Delegation.

Mehr kann ich dazu nicht sagen, weil das IPv6 in meinem LAN über einen
OpenVPN-Tunnel kommt. Die Nutzung des von meinem Anbieter inzwischen
bereitgestellten nativen IPv6 steht aktuell auf Platz 3 meiner
privaten Technik-Todo-Liste hinter "Blog wieder aufsetzen" und "neues
Mobiltelefon". Wird also vielleicht dieses Jahr noch was.

Grüße
Marc
Marc Haber (10.04.2020, 09:58)
Kay Martinen <kay> wrote:
>Am 08.04.20 um 20:13 schrieb Marc Haber:
>Ist es noch Routing wenn IPv6 durch einen 2. Router "hindurch" geht?


Das ist mehr Routing als bei IPv4, wo es ja eigentlich eher NAPT ist.

>Da Prefix Delegation bei mir auch nicht geht und ich nicht weiß ob/wie
>ich ein 1:1 NAT/NDP oder sonstwas (böses!?) in Router-appliances wie
>opn, pfsense o. plain linux umsetze... ist es vermutlich die einfachste
>lösung; da ich meine internen Netze eh schon aufteilen will; meinen
>internen Router IPv6 komplett durch zu lassen. Zumindest in das eine
>Segment in dem ich voll internet-taugliche Geräte setzen will. ?


1:1 NAT kannst Du ja nur machen, wenn Du genug Adressen hast. Hast Du
nicht, wenn dein Provider dir keine gibt. Dann bleibt nur noch Pest,
Cholera oder Corona: Kein IPv6, Application Level Gateways oder NATv6.

>IPv6 Only sehe ich als Problematisch an. Kann man doch auch noch IPv4
>auf die Klassische Art (dhcpd) konfiguriert parallel betreiben - dann
>halt für Verbindungen zu internen Ressourcen oder domains die noch kein
>IPv6 haben/brauchen. Ohne Dualstack müsste ich sonst IMHO von einer
>Link-local Adresse zu einer Anderen LLA in einem anderen Segment
>"routen" (oder: Bridgen) was mich wieder vor ein Verständnisproblem führte.


Für den Zugang zum IPv4-Internet aus einem IPv6-Only Netzwerk gibt es
etliche Methoden, z.B. Application Level Gateways oder NAT64/DNS64.

Grüße
Marc
Juergen Ilse (10.04.2020, 12:30)
Hallo,

Marc Haber <mh+usenetspam1118> wrote:
> Holger <me> wrote:
>>Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
>>ich kriege kein Gateway ins IPv6-Internet.

> Gebetsmühle: Prefix Delegation.


.... waere zumindest die universellste Moeglichkeit. Wenn man ein statisches
IPv6 Prefix haette, koennte man davon ggfs. ein /64 subnet statisch routten,
aber bei dynamisch vergebenem IPv6 Prefix muesste man dann bei jedem Prefix-
wechsel manuell die Konfiguration aendern, was das ganze in der Praxis un-
brauchbar machen wuerde ... Beide Loesungen erfordern u.U. Zugriff auf die
Konfiguration des "aeusseren" routers, die aber (soweit ich das verstanden
nicht vorliegt (es sei denn, der "aeussere" Router wuerde bereits prefix-
delegation machen, was ich persoenlich aber fuer unwahrscheinlich halte).

> Mehr kann ich dazu nicht sagen, weil das IPv6 in meinem LAN über einen
> OpenVPN-Tunnel kommt. Die Nutzung des von meinem Anbieter inzwischen
> bereitgestellten nativen IPv6 steht aktuell auf Platz 3 meiner
> privaten Technik-Todo-Liste hinter "Blog wieder aufsetzen" und "neues
> Mobiltelefon". Wird also vielleicht dieses Jahr noch was.


Bei mir kommt ein statisches IPv6 Netz sowie ein kleines statisches IPv4
Netz ueber einen auf meiner Cisco ASA terminierenden IPSEC-Tunnel zu
meinem Broetchengeber in mein Netz ...
Es hatte etwas Muehe und ausprobieren gekostet, den IPSEC-Tunnel trotz
dynamischer IP-Adresse eines Tunnelendpunktes als site-to-site VPN aufzu-
setzen ...

Tschuess,
Juergen Ilse (juergen)

Ähnliche Themen