expertenaustausch > comp.os.* > comp.os.unix.networking.misc

Kay Martinen (14.12.2018, 22:41)
Hallo

nur mal als Grundlegende Frage: In einem Dualstack-Setup, sind die
beiden Varianten IPv4 und IPv6 doch komplett voneinander unabhängig oder?

Ich meine, es dürfte unmöglich sein eine IPv6 Adresse von einer IPv4
Adresse aus zu erreichen. Also weder per ping noch mit einem
anderen/höherem Protokoll.

Ich stelle diese banale und dumme Frage weil es scheint als würde mir
der Versuch opnsense (OPN) mit Dualstack und Prafix-delegation hinter
einem Speedport Hybrid (SPH) nicht gelingen wollen. Selbst wenn ich IPv6
Support komplett deaktivierte scheint es so als ob das ein Eigenleben
führte - nicht nur in OPNsense selbst.

Im OPN Forum fragte ich schon nach und erhielt als Antwort ein /64 würde
nicht reichen. Nicht für ein LAN hinter einem LAN und ich müßte beim SPH
mind. ein /63 anfordern um 2 Subnetze mit /64 zu haben. Das Setup (nach
1.) in dem das per WAN Port mit dhcp und dhcp6 (clientseite) geholt
werden soll und die LAN Seite durch "schnittstelle Aufzeichnen" dann ein
Präfix delegiert bekommt das der dhcpd6 oder radvd dann intern verteilt
funktioniert so nicht. Überhaupt nicht. Offenbar schon WAN-Seitig nicht.

Zweiter versuch alle Ports (LAN und WAN) mittels SLAAC zu konfigurieren
hat für ca. einen halben Tag Adressen in OPN angezeigt die aus dem
Bereich stammen den der SPH als "für das Heimnetzwerk" ausweist (in
seiner UI). Aber heute morgen brach mittendrin die Verbindung durch OPN
ab, nach einem Neustart ging es um 1 Std. später wieder nicht zu gehen.
Heute nachmittag lief es länger doch etwas später klappte es wieder nicht.

Ich habe teils den Eindruck als ob die OPN-WebUI mit veralteten nicht
angezeigten Konfig-daten arbeitet die dann verherung stiften.

Z.b. wird der Dhcp6 Server als gestoppt gezeigt und ist unter Dienste
auch nur als Relay konfigurierbar. Ändere ich auf einem internen (nicht
aktiv genutzten) Interface den V6 Konfigtyp von SLAAC auf "Keinen"
meckert die UI einen laufenden dhcp6 Server an und das ich diesen Erst
stoppen müsste. Dazu noch so Kleinigkeiten wie Meldungen im Systemlog
das dhcpd (ohne 6) ein 'authoritative' als fehlenden Parameter moniert
(auch DER ist nicht aktiviert - auf keinem Interface wird aber gern als
running gezeigt) oder eine rc.filter die moniert das ein inet6 gateway
nicht vorhanden wäre (da war IPv6 schon aus) oder ein IPv4 Defaultgate
Eintrag auf den SPH der nach reload des gateway-dienstes Online scheint,
aber nach wenigen sekunden offline wird (mit voriger meldung im Log).

Ich habe jetzt IPv6 blockiert, ausgesperrt und ausgetreten wo ich es nur
finden konnte und momentan läuft es. Aber die Sache mit der
Präfix-delegation scheint umständlicher zu sein als die "Doku" (eher:
Das Howto set up IPv6) es erwarten ließe.

Jetzt würde mich mal interessieren ob hier OPNsense Nutzer mitlesen und
solche Probleme kennen. Oder mir sagen können was ich evtl. falsch
mache. Von der Rückkehr zu ipfire oder FLI4L mal abgesehen. :-/

Kay

1.
Sven Hartge (14.12.2018, 22:59)
Kay Martinen <kay> wrote:

> nur mal als Grundlegende Frage: In einem Dualstack-Setup, sind die
> beiden Varianten IPv4 und IPv6 doch komplett voneinander unabhängig
> oder?


Die beiden Protokoll sind immer und in jedem Kontext unabhängig, so
unabhängig wie z.B. IP und IPX und DECnet-IV zueinander sind.

> Ich meine, es dürfte unmöglich sein eine IPv6 Adresse von einer IPv4
> Adresse aus zu erreichen. Also weder per ping noch mit einem
> anderen/höherem Protokoll.


Natürlich.

S!
Kay Martinen (14.12.2018, 23:33)
Am 14.12.2018 um 21:59 schrieb Sven Hartge:
> Kay Martinen <kay> wrote:
>> nur mal als Grundlegende Frage: In einem Dualstack-Setup, sind die
>> beiden Varianten IPv4 und IPv6 doch komplett voneinander unabhängig
>> oder?

> Die beiden Protokoll sind immer und in jedem Kontext unabhängig, so
> unabhängig wie z.B. IP und IPX und DECnet-IV zueinander sind.


Okay, das hab ich mir auch so gedacht. Und was ist mit Ethernet
Frametype II oder DIX... Schon gut, Just kidding - und in der Schicht
vergriffen. :-)

>> Ich meine, es dürfte unmöglich sein eine IPv6 Adresse von einer IPv4
>> Adresse aus zu erreichen. Also weder per ping noch mit einem
>> anderen/höherem Protokoll.

> Natürlich.


6to4 oder andere Tunnel ändern daran nichts weil sie nur das eine in das
andere einpacken, richtig? Will fragen: Ist die Trennung 100% absolut,
oder gibt es Abweichungen wo z.b. über IPv6 angefragt und die Antwort
per IPv4 käme, oder umgekehrt?

Denkbar wäre so was wohl, in einem lokalen LAN. Aber sinn macht es
keinen, oder gibt es Krude anwendungsfälle für so was? Ich frage weil
OPN an 1-2 Stellen optionen bietet um IPv6 Informationen über einen IPv4
Link zu beziehen und ich bin nicht sicher ob es sich dabei NUR um einen
PPP-Link handelt (wie im Hinweistext dazu) oder ob das evtl. relevant
für die hiesige Nicht-funktion ist. Denn es ist KEIN ppp-link sondern
eine direkte Ethernet-verbindung. Aber sowohl mit; als auch Ohne; diese
Option funktioniert es nicht.

Zu den anderen Problemen in meinem OP kannst du nichts sagen?

Kay
Sven Hartge (14.12.2018, 23:46)
Kay Martinen <kay> wrote:

> Zu den anderen Problemen in meinem OP kannst du nichts sagen?


Das restliche Post ist mir gerade zu lang zum Lesen. Jemand anderes hat
vielleicht eine Idee.

S!
Marc Haber (16.12.2018, 17:37)
Kay Martinen <kay> wrote:
>nur mal als Grundlegende Frage: In einem Dualstack-Setup, sind die
>beiden Varianten IPv4 und IPv6 doch komplett voneinander unabhängig oder?


Ja.,

>Ich meine, es dürfte unmöglich sein eine IPv6 Adresse von einer IPv4
>Adresse aus zu erreichen. Also weder per ping noch mit einem
>anderen/höherem Protokoll.


Genau.

Jedenfalls, wenn man keine Klimmzüge zur Übertragung verwendet.

>Ich stelle diese banale und dumme Frage weil es scheint als würde mir
>der Versuch opnsense (OPN) mit Dualstack und Prafix-delegation hinter
>einem Speedport Hybrid (SPH) nicht gelingen wollen. Selbst wenn ich IPv6
>Support komplett deaktivierte scheint es so als ob das ein Eigenleben
>führte - nicht nur in OPNsense selbst.
>Im OPN Forum fragte ich schon nach und erhielt als Antwort ein /64 würde
>nicht reichen. Nicht für ein LAN hinter einem LAN und ich müßte beim SPH
>mind. ein /63 anfordern um 2 Subnetze mit /64 zu haben.


Natürlich. Wenn man in IPv6 keine exotischen Klimmzüge machen möchte,
ist es sinnvoll, als kleinsten Prefix ein /64 zu verwenden. Möchte man
zwischen zwei Netzen routen, braucht jedes Netz ein /64.

Der "Spaß" beginnt, wenn sich die Prefixe regelmäßig ändern.

>Zweiter versuch alle Ports (LAN und WAN) mittels SLAAC zu konfigurieren
>hat für ca. einen halben Tag Adressen in OPN angezeigt die aus dem
>Bereich stammen den der SPH als "für das Heimnetzwerk" ausweist (in
>seiner UI). Aber heute morgen brach mittendrin die Verbindung durch OPN
>ab, nach einem Neustart ging es um 1 Std. später wieder nicht zu gehen.
>Heute nachmittag lief es länger doch etwas später klappte es wieder nicht.


Was verändert sich denn an den Interfaces, wenn die "Verbindung
abbricht"? Verschwinden IP-Adressen? Ändern sich IP-Adressen?
Verschwinden Routen? Ändern sich Routen? Was steht im Log der
beteiligten Systeme?

>Ich habe jetzt IPv6 blockiert, ausgesperrt und ausgetreten wo ich es nur
>finden konnte und momentan läuft es. Aber die Sache mit der
>Präfix-delegation scheint umständlicher zu sein als die "Doku" (eher:
>Das Howto set up IPv6) es erwarten ließe.


Ich habe mich um Prefix-Delegation bisher immer gedrückt. Irgendwann
wenn ich mal viel Zeit habe, beschäftige ich mich mal damit.

Und Du weißt ja, was ich von Speedport-Routern halte; einen
Universalschuldigen gibt es in Deinem Netz also auch ;-) [1].

Grüße
Marc

[1] ja, ich weiß dass das bei dem Hybrid-Produkt alternativlos ist.
Ich glaube, da würde ich lieber auf Hybrid verzichten.
Marc Haber (16.12.2018, 17:40)
Kay Martinen <kay> wrote:
>6to4 oder andere Tunnel ändern daran nichts weil sie nur das eine in das
>andere einpacken, richtig? Will fragen: Ist die Trennung 100% absolut,
>oder gibt es Abweichungen wo z.b. über IPv6 angefragt und die Antwort
>per IPv4 käme, oder umgekehrt?


Gibt es, größter Verdächtiger dürfte NAT64 sein. Hast Du aber nicht,
wenn Du es nicht selbst gebaut hast. Würde ich bei Deinen aktuellen
Experimenten erstmal als Verdächtigen ausschließen wollen.

>OPN an 1-2 Stellen optionen bietet um IPv6 Informationen über einen IPv4
>Link zu beziehen und ich bin nicht sicher ob es sich dabei NUR um einen
>PPP-Link handelt


Vermutlich ist das so, ja.

>(wie im Hinweistext dazu) oder ob das evtl. relevant
>für die hiesige Nicht-funktion ist.


Unwahrscheinlich.

>Zu den anderen Problemen in meinem OP kannst du nichts sagen?


Ist denn das IPv6 im transfernetz zwischen OPNsense und Speedport
Hybreid stabil? Eine Möglichkeit für Deine Probleme wären Patzer des
Speedport Hybrid bei der Prefix Delegation. So weit ich weiß ist der
Speedport Hybrid unter der Haube von ZyXEL, da haben sich sozusagen
zwei meiner absoluten Spezialfreunde (Telekom und ZyXEL) in einem
Gerät getroffen. Dem Ding würde ich nicht so weit trauen wie ich es
werfen könnte.

Grüße
Marc
Kay Martinen (16.12.2018, 19:24)
Am 16.12.2018 um 16:37 schrieb Marc Haber:
> Kay Martinen <kay> wrote:
> Natürlich. Wenn man in IPv6 keine exotischen Klimmzüge machen möchte,
> ist es sinnvoll, als kleinsten Prefix ein /64 zu verwenden. Möchte man
> zwischen zwei Netzen routen, braucht jedes Netz ein /64.


Dazu noch eine Verständnisfrage. Das Präfix benennt die Anzahl der Bits
die dem Netzanteil entsprechen oder? Was bei einem 192.168.x/24 nur 253
nutzbare IPs ergibt das sind hier mit /64 deutlich mehr. Warum dann so
groß? So viele IPs brauche ich ja nicht. Wird es einfacher realisierbar
wenn es z.b. nur /120 wäre. Das ergäbe nach meiner Rechnung auch 8 Bit
für den Hostteil.

Ich brauche eigentlich keine zwei IPv6 Netze. Nur eines in das ich
aktuelle Linux und Windows-Clients stecken will und das möglichst
kompletten Dualstack-support haben soll - hinter meiner eigenen Firewall
(wie z.b. OPN). Das muß natürlich dort hindurch zum Speedport, da aber
nur als Transfernetz. Und in dem gibt es nur 3 Teilnehmer. Den SPH, den
ISDN-Adapter und OPN. Evtl. hätte ich da noch gern ein Mini-Gateway zu
einem Nachbar-WLAN platziert aber das ist Zukunfts-musik (Multi-WAN,
Ausfallsicherung)

> Der "Spaß" beginnt, wenn sich die Prefixe regelmäßig ändern.


Nun, bisher habe ich aus Vorsicht oder Privatsphären-bedenken darauf
verzichtet den sogenannten "Telekom Datenschutz" aus zu schalten.

Da gibt es soweit ich es übersehe drei Stufen.

- Stufe 1: Wechsel von IP und Präfix alle 24 Std. (aktiv)
- Stufe 2: Wechsel von IP und Präfix alle 4 Tage.
- Stufe 0: Aus. Dauernde Zuweisung so weit ich das verstehe.

Wobei "Aus" wohl nur heißen wird das nach Neustart, Reboot (z.b. Bei
Wechsel der Internen Router IP. Dauer ca. 3 Min.) oder Stromausfall DOCH
wieder neue IP und Präfixe zugeteilt werden.

Also entweder habe ich das Problem einmal am Tag, alle 4 Tage oder wenn
hier was geändert werden muß´oder der Strom ausfällt.

Darum hatte ich gleich mit dhcp und dhcp6 los gelegt, auch weil das die
Präfix-delegation ermöglichen soll (Schnittstelle Aufzeichnen nennen sie
das). Da OPN das können soll schien mir das die logische Option das zu
umgehen.

> Was verändert sich denn an den Interfaces, wenn die "Verbindung
> abbricht"? Verschwinden IP-Adressen? Ändern sich IP-Adressen?
> Verschwinden Routen? Ändern sich Routen? Was steht im Log der
> beteiligten Systeme?


Ich habe anfangs dort nur IPv4 Adressen gesehen, später dazu Link-lokale
(fe80:) und erst zuletzt für eine kurze Zeit Adressen die mit 2003:xyz
anfangen und dem entsprechen was der Speedport im Menü für das Heimnetz
ausweist. Gelegentlich war auch eine IPv6 Gateway und DNS-Adresse zu
sehen. Unter Schnittstellen-Übersicht bei WAN.

Ich war schon so weit Frustriert das ich annahm dort stünde so etwas
nie, bis es auftauchte. Und wieder verschwand. Ich habe aber keine
spezifischen Aufzeichnungen dazu.

>> Ich habe jetzt IPv6 blockiert, ausgesperrt und ausgetreten wo ich es nur
>> finden konnte und momentan läuft es. Aber die Sache mit der
>> Präfix-delegation scheint umständlicher zu sein als die "Doku" (eher:
>> Das Howto set up IPv6) es erwarten ließe.

> Ich habe mich um Prefix-Delegation bisher immer gedrückt. Irgendwann
> wenn ich mal viel Zeit habe, beschäftige ich mich mal damit.


Welche anderen Möglichkeiten gibt es denn ein Internes DualStack Netz
über einen Software-router mit dem Providerrouter zu verbinden?

Wenn ich auf den LAN-Ports fixes IPv6 einrichte dann ändern sich m.E.
die Adressen auf der WAN-Seite dennoch. Und ich denke das wird Absehbar
Probleme geben wenn routing oder Firewall regeln dann die Falschen
Adressen anfassen. Irgendeine Form von Adress-tracking muß da also her.
Was sonst außer PD kommt denn da in Frage?

> Und Du weißt ja, was ich von Speedport-Routern halte; einen
> Universalschuldigen gibt es in Deinem Netz also auch ;-) [1].
> [1] ja, ich weiß dass das bei dem Hybrid-Produkt alternativlos ist.
> Ich glaube, da würde ich lieber auf Hybrid verzichten.


Wollte ich auch drauf verzichten. Aber die Telekom-Mafia hat mir "ein
Angebot gemacht das ich nicht ablehnen konnte" ;-) Sprich: 25? Pro
Monat, ab 2. Jahr 35 für 16Mbit, inkl. alle vorh. Telefonummern.

Bei der einzigen Alternative hätte (V)DSL 16Mbit allein schon knapp 40
gekostet, 10? für die Telefonie (inkl. 2 Nr.) und jede weitere
Nummer(nmitnahme) 2 Euro drauf. Macht in Summe über 50 Euro/Monat.

Weniger Leistung zum Doppelten Preis? Kennt man eigentlich eher vom
Ex-Monopolisten oder? Dem Regionalen Anbieter seine Investition zu
Amortisieren klingt in der Theorie gerecht, nur mein Etat macht da nicht
mit. Ergo: Alternativlos.

OBTW, nur FYI. Die Leitung hier ist 4,7 Km lang. DSL-Technisch kann die
T-Kom hier nur 2 Mbit hin liefern und auch das nur über einen
Rate-Adaptive Port (den ich bisher behielt und erst seit ein paar Jahren
habe). Vor Ort geht also nur das oder mit LTE (IMHO auf 800Mhz, Mast nur
wenige 100 M entfernt) gebündelt. Ausgebaut wird von der T-Kom HIER
nicht, da war der Regionale Anbieter früher. Die T-Kom baut aber den
Nachbarort jetzt aus (AFAIR auf 100Mbit) in dem die Vermittlung; und
meine DSL-Leitung; endet.

Nein, umziehen kommt nicht in Frage. :)

Kay
Ralph Aichinger (16.12.2018, 19:39)
Kay Martinen <kay> wrote:
> Dazu noch eine Verständnisfrage. Das Präfix benennt die Anzahl der Bits
> die dem Netzanteil entsprechen oder? Was bei einem 192.168.x/24 nur 253
> nutzbare IPs ergibt das sind hier mit /64 deutlich mehr. Warum dann so
> groß? So viele IPs brauche ich ja nicht. Wird es einfacher realisierbar
> wenn es z.b. nur /120 wäre. Das ergäbe nach meiner Rechnung auch 8 Bit
> für den Hostteil.


Es stecken vermutlich unterschieliche Überlegungen dahinter, u.a.:

* Weil man es kann ;)
* Weil es einfach zu rechnen ist, wenn man weiter unterteilen will
* Weil man bei zufälliger Zuteilung dann rein statistisch keine
Kollisionen erwarten darf

> Ich brauche eigentlich keine zwei IPv6 Netze. Nur eines in das ich
> aktuelle Linux und Windows-Clients stecken will und das möglichst
> kompletten Dualstack-support haben soll - hinter meiner eigenen Firewall
> (wie z.b. OPN). Das muß natürlich dort hindurch zum Speedport, da aber
> nur als Transfernetz. Und in dem gibt es nur 3 Teilnehmer. Den SPH, den
> ISDN-Adapter und OPN. Evtl. hätte ich da noch gern ein Mini-Gateway zu
> einem Nachbar-WLAN platziert aber das ist Zukunfts-musik (Multi-WAN,
> Ausfallsicherung)


Wenn man kann, dann nimmt man bei IPv6 *immer* mindestens ein /64.
Auch für 3 Hosts.

Ich hab daheim auch nicht viel mehr Rechner als die meisten, aber:

inet6 2a02:ab8:201:5b1:521:809f:b1ce:3e89/64 scope global dynamic noprefixroute
valid_lft 6890sec preferred_lft 1490sec

/ralph
Sven Hartge (16.12.2018, 19:53)
Kay Martinen <kay> wrote:

> Dazu noch eine Verständnisfrage. Das Präfix benennt die Anzahl der Bits
> die dem Netzanteil entsprechen oder? Was bei einem 192.168.x/24 nur 253
> nutzbare IPs ergibt das sind hier mit /64 deutlich mehr. Warum dann so
> groß?


Weil man es kann.

> So viele IPs brauche ich ja nicht.


Theoretisch passen in ein /64 ja 18 Trillionen Geräte, aber das Ganze
ist natürlich nicht für diese Menge designt worden und auch nicht die
Idee dahinter.

Löse dich von der Vorstellung, dass man bei IPv6 die Netzgröße anhand
der intendierten Nutzung bestimmt, wie man es bei IPv4 auf Grund der
Knappheit der Adressen machen muss. ("Die DMZ ist nur /29, weil da nicht
viel drin ist, das WLAN braucht aber /23, weil bis zu 300 Leute
gleichzeitig auf der Tagung sind, ...")

64 Bit für den Hostanteil ermöglichen Dinge wie z.B. die kollisionsfreie
automatische serverlose Adressvergabe (SLAAC) und erzeugt ganz nebenbei
einen netten Schutz gegen Port/IP-Scans (wenn man nicht alle Systeme in
die ersten 20 Adressen zwängt).

S!
Marc Haber (16.12.2018, 20:12)
Kay Martinen <kay> wrote:
>Dazu noch eine Verständnisfrage. Das Präfix benennt die Anzahl der Bits
>die dem Netzanteil entsprechen oder?


Genau wie bei IPv4.

>Was bei einem 192.168.x/24 nur 253
>nutzbare IPs ergibt das sind hier mit /64 deutlich mehr. Warum dann so
>groß?


Weil weise Menschen sich das so ausgedacht habe, viele Protokolle -
darunter SLAAC zur Adreßzuweisung - stillschweigend davon ausgehen und
man es besser so macht wie es alle machen.

>Ich habe anfangs dort nur IPv4 Adressen gesehen, später dazu Link-lokale
>(fe80:) und erst zuletzt für eine kurze Zeit Adressen die mit 2003:xyz
>anfangen und dem entsprechen was der Speedport im Menü für das Heimnetz
>ausweist. Gelegentlich war auch eine IPv6 Gateway und DNS-Adresse zu
>sehen. Unter Schnittstellen-Übersicht bei WAN.
>Ich war schon so weit Frustriert das ich annahm dort stünde so etwas
>nie, bis es auftauchte. Und wieder verschwand. Ich habe aber keine
>spezifischen Aufzeichnungen dazu.


Dann hat es aber noch nie funktioniert.

>> Ich habe mich um Prefix-Delegation bisher immer gedrückt. Irgendwann
>> wenn ich mal viel Zeit habe, beschäftige ich mich mal damit.

>Welche anderen Möglichkeiten gibt es denn ein Internes DualStack Netz
>über einen Software-router mit dem Providerrouter zu verbinden?


Wenn Du wegen wechselnde Präfixe nicht statisch konfigurieren kannst
und keine Lust auf Application / Circuit Level Gateways hast, keine.

>Wenn ich auf den LAN-Ports fixes IPv6 einrichte dann ändern sich m.E.
>die Adressen auf der WAN-Seite dennoch.


Dann ändern sich natürlich auch deine Adressen auf der LAN-Seite, weil
die sind ja aus demselben Prefix. NAT möchtest Du da nicht. Bitte gar
nicht erst angewöhnen.

>Nein, umziehen kommt nicht in Frage. :)


Nebel ist doch schön! Gibt leckere Waffeln.

Grüße
Marc
Kay Martinen (16.12.2018, 20:55)
Am 16.12.2018 um 19:12 schrieb Marc Haber:
> Kay Martinen <kay> wrote:
>> Dazu noch eine Verständnisfrage. Das Präfix benennt die Anzahl der Bits
>> die dem Netzanteil entsprechen oder?

> Genau wie bei IPv4.


IT ist schon komisch oder. Nennt sich Präfix, wird aber beim Schreiben
hinten dran gestellt (wie ein Suffix) :-)

>> Was bei einem 192.168.x/24 nur 253
>> nutzbare IPs ergibt das sind hier mit /64 deutlich mehr. Warum dann so
>> groß?

> Weil weise Menschen sich das so ausgedacht habe, viele Protokolle -
> darunter SLAAC zur Adreßzuweisung - stillschweigend davon ausgehen und
> man es besser so macht wie es alle machen.


Soll das heißen SLAAC klappt nur mit /64, oder DHCPd6 auch?

>>> Was verändert sich denn an den Interfaces, wenn die "Verbindung
>>> abbricht"? Verschwinden IP-Adressen? Ändern sich IP-Adressen?
>>> Verschwinden Routen? Ändern sich Routen? Was steht im Log der
>>> beteiligten Systeme?


Ich hab dir dazu mal einen mitschnitt per Mail geschickt. Vielleicht
kannst du da mehr draus lesen als ich. Der ist vom 12.12. Da hat es auch
nicht wirklich gut funktioniert, aber es gab noch keine merklichen Abbrüche.

>> Ich habe anfangs dort nur IPv4 Adressen gesehen, später dazu Link-lokale
>> (fe80:) und erst zuletzt für eine kurze Zeit Adressen die mit 2003:xyz
>> anfangen und dem entsprechen was der Speedport im Menü für das Heimnetz
>> ausweist. Gelegentlich war auch eine IPv6 Gateway und DNS-Adresse zu
>> sehen. Unter Schnittstellen-Übersicht bei WAN.

> Dann hat es aber noch nie funktioniert.


Möglich. Ich scheine einen Fehler zu jagen der evtl. noch und auch ein
Denkfehler sein könnte.

>>> Ich habe mich um Prefix-Delegation bisher immer gedrückt. Irgendwann
>>> wenn ich mal viel Zeit habe, beschäftige ich mich mal damit.

>> Welche anderen Möglichkeiten gibt es denn ein Internes DualStack Netz
>> über einen Software-router mit dem Providerrouter zu verbinden?

> Wenn Du wegen wechselnde Präfixe nicht statisch konfigurieren kannst
> und keine Lust auf Application / Circuit Level Gateways hast, keine.


Heißt das NAT6?

>> Wenn ich auf den LAN-Ports fixes IPv6 einrichte dann ändern sich m.E.
>> die Adressen auf der WAN-Seite dennoch.

> Dann ändern sich natürlich auch deine Adressen auf der LAN-Seite, weil
> die sind ja aus demselben Prefix.


Das verstehe ich jetzt noch nicht. Ich nahm an das man PD braucht damit
die LAN-Seitigen Adressen sich mit änderenden Präfixen der WAN-Seite mit
ändern. Wenn ich LAN mit "irgendeiner" (welcher? Woher nehmen oder
erfinden?) IPv6 Adresse statisch konfigurieren würde, dann würde ich
annehmen das es dabei bleibt. Immer. Wie könnte die sich also ändern
wenn sich die WAN-Seite ändert?

Liegt hier evtl. mein Verständnis-problem?

> NAT möchtest Du da nicht. Bitte gar
> nicht erst angewöhnen.


Eine Firewall die nur IPv6 Traffic durchlässt den ich auch haben will
reicht mir da eigentlich. Und auf der IPv4 Seite macht der SPH ja
zwangsläufig schon NAT und da brauche ich m.E. auch kein zweites NAT in
OPN. Eher auch nur eine FW die nur durchlässt was auch durch soll.

>> Nein, umziehen kommt nicht in Frage. :)

> Nebel ist doch schön! Gibt leckere Waffeln.


Bei Jens im Friesencafe, klar! :)

Kay
Sven Hartge (16.12.2018, 21:27)
Kay Martinen <kay> wrote:
> Am 16.12.2018 um 19:12 schrieb Marc Haber:
>> Kay Martinen <kay> wrote:
>>> Dazu noch eine Verständnisfrage. Das Präfix benennt die Anzahl der Bits
>>> die dem Netzanteil entsprechen oder?

>> Genau wie bei IPv4.


> IT ist schon komisch oder. Nennt sich Präfix, wird aber beim Schreiben
> hinten dran gestellt (wie ein Suffix) :-)


Nyet, "/64" ist nicht der Präfix, sondern "2001:DB8:DEAD:BEEF::/64" als
ganzes ist der Präfix und der steht nun einmal *vor* dem Hostanteil.

>>> Was bei einem 192.168.x/24 nur 253 nutzbare IPs ergibt das sind hier
>>> mit /64 deutlich mehr. Warum dann so groß?


>> Weil weise Menschen sich das so ausgedacht habe, viele Protokolle -
>> darunter SLAAC zur Adreßzuweisung - stillschweigend davon ausgehen und
>> man es besser so macht wie es alle machen.


> Soll das heißen SLAAC klappt nur mit /64, oder DHCPd6 auch?


Ersteres ja. Zweiteres nicht (IIRC), aber dennoch gibt es keinen Grund
auf Nicht-Point-to-Point-Links kein /64 zu nutzen.

S!
Marc Haber (16.12.2018, 22:14)
Kay Martinen <kay> wrote:
>Am 16.12.2018 um 19:12 schrieb Marc Haber:
>IT ist schon komisch oder. Nennt sich Präfix, wird aber beim Schreiben
>hinten dran gestellt (wie ein Suffix) :-)


Nein, der Netzanteil steht vorne.

>Soll das heißen SLAAC klappt nur mit /64, oder DHCPd6 auch?


SLAAC klappt nur mit /64, weil das Verfahren, das die Interface-ID aus
der MAC-Adresse würfelt, halt 64 bit lange Ergebnisse hat. Ich hab
keine Ahnung, wie DHCPv6 das handhabt, habe ich nie probiert.

>Ich hab dir dazu mal einen mitschnitt per Mail geschickt. Vielleicht
>kannst du da mehr draus lesen als ich. Der ist vom 12.12. Da hat es auch
>nicht wirklich gut funktioniert, aber es gab noch keine merklichen Abbrüche.


Der "Client" schickt keine DHCPv6-Anfragen.

>>> Ich habe anfangs dort nur IPv4 Adressen gesehen, später dazu Link-lokale

>> Wenn Du wegen wechselnde Präfixe nicht statisch konfigurieren kannst
>> und keine Lust auf Application / Circuit Level Gateways hast, keine.

>Heißt das NAT6?


Ein Application Level Gateway wäre z.B. sowas wie squid; ein Circuit
Level Gateway wäre SOCKS.

>Das verstehe ich jetzt noch nicht. Ich nahm an das man PD braucht damit
>die LAN-Seitigen Adressen sich mit änderenden Präfixen der WAN-Seite mit
>ändern. Wenn ich LAN mit "irgendeiner" (welcher? Woher nehmen oder
>erfinden?) IPv6 Adresse statisch konfigurieren würde, dann würde ich
>annehmen das es dabei bleibt. Immer.


Ja. Und Du könntest nicht mit dem Internet kommunizieren.

>Wie könnte die sich also ändern
>wenn sich die WAN-Seite ändert?


z.B. über DHCP Prefix Delegation. Alles andere wäre übler Pfucsh.

>> NAT möchtest Du da nicht. Bitte gar
>> nicht erst angewöhnen.

>Eine Firewall die nur IPv6 Traffic durchlässt den ich auch haben will
>reicht mir da eigentlich. Und auf der IPv4 Seite macht der SPH ja
>zwangsläufig schon NAT und da brauche ich m.E. auch kein zweites NAT in
>OPN. Eher auch nur eine FW die nur durchlässt was auch durch soll.


Du brauchst funktionierendes Routing und dazu erstmal Adressen.

>>> Nein, umziehen kommt nicht in Frage. :)

>> Nebel ist doch schön! Gibt leckere Waffeln.

>Bei Jens im Friesencafe, klar! :)


Wir waren immer im D*rnsk an K**gem.

Grüße
Marc
Ralph Aichinger (16.12.2018, 22:25)
Kay Martinen <kay> wrote:
> Soll das heißen SLAAC klappt nur mit /64,


SLAAC will /64

> oder DHCPd6 auch?


DHCPv6 kannst du auch mit kleineren Netzen machen. Aber rechne damit,
daß vieles an Geräten das du einstöpselst SLAAC machen will,
ab Werk, wenn es IPv6 macht.

> Heißt das NAT6?


Welches ;) NAT66, NAT64, NAT46 ...

/ralph
Sven Hartge (16.12.2018, 22:41)
Ralph Aichinger <ra> wrote:

> DHCPv6 kannst du auch mit kleineren Netzen machen. Aber rechne damit,
> daß vieles an Geräten das du einstöpselst SLAAC machen will,
> ab Werk, wenn es IPv6 macht.


Android z.B. kann nichts anderes. Google weigert sich beharrlich, einen
DHCPv6-Client einzubauen, mit (für mich) komischen Argumenten.

Die einzige Möglichkeit, auf einem Android-System DHCPv6 zu bekommen,
ist, das Gerät zu rooten. Mit allen weiteren Problemen, die sich dabei
ergeben.

S!

Ähnliche Themen