Hallo Leute!
Ich habe ein kleines Problem mit IPv6 und weiß überhaupt nicht, wie ich anfangen kann...
Also folgendes: ich habe eine normale DSL bei der Telekom und dafür bekomme ich ein dämliches IPv6 dynamisches Netz. Mit ein paar Skripte verteile ich die IPs an den paar Rechner die ich habe.
Nun, alle Rechner, die IPv6 haben, sind im Netz "intlan0". Der Gateway, natürlich hat eine Schnittstelle in diesem VLAN mit einer IPv6.
Nun habe ich seit heute einen kleinen (nennen wir es so!) Server, den ich aber in einem separaten Netz installiert habe, denn es muss nicht voller Zugriff auf den anderen PCs haben. Das VLAN heißt also "server0". Sowohl der Server als auch der Gateway haben also eine IPv4 in diesem Netz und geht alles.
Nun will ich aber dem Server auch eine IPv6 vergeben. Und hier fangen die Probleme an, denn ich habe nur ein 64-er Netz und soweit ich weiß, das ist auch das kleinste Netz, das ich haben kann.
Ich habe schon probiert eine IPv6 der Schnittstelle server0 am Gateway und am Server zu vergeben, aber irgendwie geht nicht, sowohl vom Server zum Gateway, als auch vom Gateway zum Server oder von einem PC zum Server.
Also, um einem Beispiel zu machen:
- Gateway: - intlan0 192.168.10.1 2003:12:3456:7890:1::1 - server0 192.168.40.1 2003:12:3456:7890:10::1 - Server: - server0 192.168.40.11 2003:12:3456:7890:10::11 - PC: - intlan0 192.168.10.3 2003:12:3456:7890:2::1
Ich vermute stark, dass hier ein Denkfehler das Problem ist aber komme nicht weiter...
Kann jemand mir helfen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de (Mi 13 Feb 2019 20:48:48 CET):
Nun will ich aber dem Server auch eine IPv6 vergeben. Und hier fangen die Probleme an, denn ich habe nur ein 64-er Netz und soweit ich weiß, das ist auch das kleinste Netz, das ich haben kann.
Du kannst IPv6 ebenso wie IPv4 in kleinere Netze zerlegen. Ob Du das möchtest, ist die andere Frage. Und ob Dein DSL-Router dann weiß, daß ein Teil Deines /64 sicher hinter einem (internen) Gateway befindet, ist auch eine Frage.
-- Heiko
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Am 13.02.2019 um 21:29 schrieb Heiko Schlittermann:
Du kannst IPv6 ebenso wie IPv4 in kleinere Netze zerlegen. Ob Du das möchtest, ist die andere Frage. Und ob Dein DSL-Router dann weiß, daß ein Teil Deines /64 sicher hinter einem (internen) Gateway befindet, ist auch eine Frage.
Ich habe keinen DSL-Router, sondern nur ein DSL-Modem angeschlossen an einem BananaPI mit Debian 9, also ich kann dort alles machen, was ich möchte. Die Frage ist, dass ich nicht weiß, wie und was ich genau machen soll... :(
Danke Luca Bertoncello (lucabert@lucabert.de)
Hi,
On Wednesday, 13 February 2019 20:48:48 CET Luca Bertoncello wrote:
Also folgendes: ich habe eine normale DSL bei der Telekom und dafür bekomme ich ein dämliches IPv6 dynamisches Netz. Mit ein paar Skripte verteile ich die IPs an den paar Rechner die ich habe.
Nun will ich aber dem Server auch eine IPv6 vergeben. Und hier fangen die Probleme an, denn ich habe nur ein 64-er Netz und soweit ich weiß, das ist auch das kleinste Netz, das ich haben kann.
Du solltest eigentlich 2 Netze bekommen.
Das /64er sollte per Router Advertisement reinkommen und damit automagisch auf das PPP-Interface zugewiesen werden. Dort sollte es auch bleiben. Das ist dazu da den Router ins Netz zu bringen (damit kann er z.B Firmware-Updates oder Debian-Pakete runterladen).
Per DHCPv6 (PD=Prefix Delegation) solltest Du zusaetzlich ein /56 bekommen was Du dann an 256 interne Netze verteilen kannst.
Wenn dem nicht so sein sollte: in den Unterlagen zu Deinem Vertrag findest Du eine Url wo Du deinen Anschluss konfigurieren kannst. Dort kannst Du evtl. noch ein paar Sachen einstellen.
Konrad
Am 13.02.2019 um 22:24 schrieb Konrad Rosenbaum:
Hallo Konrad,
Du solltest eigentlich 2 Netze bekommen.
Das /64er sollte per Router Advertisement reinkommen und damit automagisch auf das PPP-Interface zugewiesen werden. Dort sollte es auch bleiben. Das ist dazu da den Router ins Netz zu bringen (damit kann er z.B Firmware-Updates oder Debian-Pakete runterladen).
So ist es auch!
Per DHCPv6 (PD=Prefix Delegation) solltest Du zusaetzlich ein /56 bekommen was Du dann an 256 interne Netze verteilen kannst.
Ich bekomme allerdings nur eine /64...
Wenn dem nicht so sein sollte: in den Unterlagen zu Deinem Vertrag findest Du eine Url wo Du deinen Anschluss konfigurieren kannst. Dort kannst Du evtl. noch ein paar Sachen einstellen.
Ich habe kein Business-Vertrag, sondern eine normale VDSL für Endnutzer... Damit kann ich nichts konfigurieren... Hätte ich eine /56, dann wäre es natürlich kein Problem und weiß auch, wie es geht...
Andere Ideen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hallo Luca,
On Thu 14.02.2019 06:52:51, Luca Bertoncello wrote:
Am 13.02.2019 um 22:24 schrieb Konrad Rosenbaum:
Per DHCPv6 (PD=Prefix Delegation) solltest Du zusaetzlich ein /56 bekommen was Du dann an 256 interne Netze verteilen kannst.
Ich bekomme allerdings nur eine /64...
Wenn ich das richtig verstanden habe, musst du das /56 erst requesten, damit du es bekommst. Dein Router stellt also eine DHCP-Anfrage Richtung deines Providers, dass du ein Netz zur Weiterverteilung haben möchtest, woraufhin der Provider dir Netze zur Verfügung stellt.
Ich habe hier einen Kabel-Anschluss mit IPv6, der direkt vom Kabel-Model an einen OpenWRT/LEDE Router geht. Dort funktioniert das einwandfrei.
Mein WAN-Interface sieht z.B. so aus: 11: eth0.3@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether e8:94:f6:cd:4f:c2 brd ff:ff:ff:ff:ff:ff inet 77.64.188.94/22 brd 77.64.191.255 scope global eth0.3 valid_lft forever preferred_lft forever inet6 2a02:2454:8000:23:d5eb:8f74:5c6d:cbd5/128 scope global noprefixroute dynamic valid_lft 917006sec preferred_lft 312206sec inet6 fe80::ea94:f6ff:fecd:4fc2/64 scope link valid_lft forever preferred_lft forever
Und mein Router hostet dann dieses Netz: 7: br-lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether e8:94:f6:cd:4f:c2 brd ff:ff:ff:ff:ff:ff inet 172.16.0.1/24 brd 172.16.0.255 scope global br-lan valid_lft forever preferred_lft forever inet6 2a02:2454:8920:1e00::1/64 scope global noprefixroute dynamic valid_lft 225807sec preferred_lft 225807sec
Wenn man genau hinsieht, hat das interne Netz 2a02:2454:8920:1e00::/64 nichts mit dem "Zugangsweg" 2a02:2454:8000:23:d5eb:8f74:5c6d:cbd5/128 zu tun, und ist auch kein Subnetz des WAN.
Wie du jetzt aber die Prefix-Delegation einrichtest, kann ich dir leider nicht sagen, ich weiß nur, das mein OpenWRT das von Haus aus richtig macht ;)
Grüße, Andre
Am 14.02.2019 08:25, schrieb Andre Klärner:
Hallo Andre
Wenn ich das richtig verstanden habe, musst du das /56 erst requesten, damit du es bekommst. Dein Router stellt also eine DHCP-Anfrage Richtung deines Providers, dass du ein Netz zur Weiterverteilung haben möchtest, woraufhin der Provider dir Netze zur Verfügung stellt.
Naja, so wie ich verstehe, sind die /56-Netze bei der Telekom nur für Geschäftskunden... :( Also, über diesem Weg bekomme ich nichts...
Mir ist eine Idee eingefallen, mit dem ich auch zufrieden sein können... Ich gebe dem Router eine zweite IPv6-Adresse, dann per NAT leite ich die Pakete an dem Server weiter. Es ist etwas blöd wegen der dynamischen IPv6, aber ich könnte es mit einem Skript hinkriegen.
Die Frage ist, wie ich diese NAT machen kann. Ich brauche bestimmt eine "private" IPv6-Adresse, die ich dem Server vergeben kann. Ich habe ein paar Tests gemacht, mit 6to4, aber ich kriege das nicht zum laufen, vermutlich bin ich zu doof dafür... Wenn die IPv4 192.168.40.11 ist, sollte die 6to4-Adresse 2002:A828:B00:: sein, richtig? Aber anpingen geht es nicht... ;(
Was mache ich falsch?
Danke Luca Bertoncello (lucabert@lucabert.de)
On Thu, Feb 14, 2019 at 8:35 AM Luca Bertoncello lucabert@lucabert.de wrote:
Naja, so wie ich verstehe, sind die /56-Netze bei der Telekom nur für Geschäftskunden... :(
Stimmt nicht. Telekom Privatkunden-DSL rückt ohne weitere Nachfrage oder Aufpreis /56 heraus. Im Geschäftskundentarif sind dann bei Bedarf gegen Aufpreis sowohl IPv6 Subnetz als auch IPv4-Adresse fest.
Dein PI hinter dem Modem bleibt auf halben Wege stehen. Er läßt sich zwar ein /64 Präfix per Router Advertisement geben, fordert aber kein weiteres Subnetz ab, was er delegieren könnte. Bei einer FritzBox klappt Prefix-Delegation problemlos.
S.a. [1]
Die Frage ist, wie ich diese NAT machen kann.
NAT auf IPv6 hat es nicht/brauchtes nicht /gibt es nicht - Es sind genug IPv6-Adressen da, solche Krücken sind unnötig.
Ich brauche bestimmt eine "private" IPv6-Adresse, die ich dem Server vergeben kann.
Du kannst beliebige Subnetze aus dem Bereich fc00::/7 nutzen. Das heißt Unique Local Unicast Addresses (ULA) - RFC4193
Was mache ich falsch?
Du klebst noch zu sehr am IPv4-Denken.
[1] https://sdq.calle1.de/ipv6_router_presentation.pdf
Am 14.02.2019 09:13, schrieb William Epler:
On Thu, Feb 14, 2019 at 8:35 AM Luca Bertoncello lucabert@lucabert.de wrote:
Naja, so wie ich verstehe, sind die /56-Netze bei der Telekom nur für Geschäftskunden... :(
Stimmt nicht. Telekom Privatkunden-DSL rückt ohne weitere Nachfrage oder Aufpreis /56 heraus. Im Geschäftskundentarif sind dann bei Bedarf gegen Aufpreis sowohl IPv6 Subnetz als auch IPv4-Adresse fest.
OK, dann habe ich was verpasst...
Dein PI hinter dem Modem bleibt auf halben Wege stehen. Er läßt sich zwar ein /64 Präfix per Router Advertisement geben, fordert aber kein weiteres Subnetz ab, was er delegieren könnte. Bei einer FritzBox klappt Prefix-Delegation problemlos.
Aktuell habe ich das in meinem dhcp6c.conf (ich nutze wide-dhcpv6-client um die IPv6 zu bekommen): ------------------------ # Default dhpc6c configuration: it assumes the address is autoconfigured using # router advertisements.
profile default { information-only;
# request domain-name-servers; # request domain-name;
# script "/etc/wide-dhcpv6/dhcp6c-script"; script "/etc/wide-dhcpv6/gotIPv6.sh"; };
interface dsl0 { # Request Prefix Delegation on isp0, and give the received prefix id 0 send ia-pd 0; };
# Use subnets from the prefix with id 0 id-assoc pd 0 { prefix-interface intlan0 { sla-id 0; sla-len 8; }; }; ------------------------
Wenn ich also richtig verstehe, soll ich einfach das noch hinzufügen:
id-assoc pd 0 { prefix-interface server0 { sla-id 0; sla-len 8; }; };
und gleich habe ich eine neue IPv6 auf der Schnittstelle server0, ist es korrekt? Oder soll ich ein anderes Wert für "pd" und "sla-id" geben?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hi Luca,
interface dsl0 { # Request Prefix Delegation on isp0, and give the received prefix id 0 send ia-pd 0; };
Bei uns war es zum Schluß entscheidend, nicht die ia-pd 0 zu nehmen - das lag aber wohl an den "microtik"-Routern des ISP.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ronny@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Am 14.02.2019 09:54, schrieb Ronny Seffner:
Hallo
interface dsl0 { # Request Prefix Delegation on isp0, and give the received prefix id 0 send ia-pd 0; };
Bei uns war es zum Schluß entscheidend, nicht die ia-pd 0 zu nehmen - das lag aber wohl an den "microtik"-Routern des ISP.
Naja, ich muss zugeben, dass ich diese Konfiguration aus dem Internet gefunden habe, und bisher ging es auch. Nun ist das Problem, ein zweites Netz zu bekommen, und da scheitere ich. Siehe meine andere E-Mail mit der Konfiguration für das zweite Netz. Das läuft aber leider nicht... :(
Danke Luca Bertoncello (lucabert@lucabert.de)
Am 14.02.2019 09:13, schrieb William Epler:
On Thu, Feb 14, 2019 at 8:35 AM Luca Bertoncello lucabert@lucabert.de wrote:
Naja, so wie ich verstehe, sind die /56-Netze bei der Telekom nur für Geschäftskunden... :(
Stimmt nicht. Telekom Privatkunden-DSL rückt ohne weitere Nachfrage oder Aufpreis /56 heraus. Im Geschäftskundentarif sind dann bei Bedarf gegen Aufpreis sowohl IPv6 Subnetz als auch IPv4-Adresse fest.
Hallo nochmal.
Ich habe versucht ein zweites Netz zu bekommen, aber scheitert es... Die Konfiguration (dhcp6c.conf): ----------------------------- profile default { information-only;
script "/etc/wide-dhcpv6/gotIPv6.sh"; };
interface dsl0 { # Request Prefix Delegation on isp0, and give the received prefix id 0 send ia-pd 0; send ia-pd 1; };
# Use subnets from the prefix with id 0 id-assoc pd 0 { prefix-interface intlan0 { sla-id 0; sla-len 8; }; };
# Use subnets from the prefix with id 1 id-assoc pd 1 { prefix-interface server0 { sla-id 1; sla-len 8; }; }; -----------------------------
Aber die Schnittstelle server0 hat immer noch keine IPv6... Übrigens, /bin/rdisc6 -1 -v dsl0 (das ich nutze, um das Netz anzufordern) sagt:
Soliciting ff02::2 (ff02::2) on dsl0...
Hop limit : 64 ( 0x40) Stateful address conf. : No Stateful other conf. : Yes Mobile home agent : No Router preference : medium Neighbor discovery proxy : No Router lifetime : 1800 (0x00000708) seconds Reachable time : unspecified (0x00000000) Retransmit time : unspecified (0x00000000) MTU : 1492 bytes (valid) Recursive DNS server : 2003:180:2:6000:0:1:0:53 Recursive DNS server : 2003:180:2::1:0:53 DNS servers lifetime : 14400 (0x00003840) seconds Prefix : 2003:c2:7fff:1443::/64 On-link : Yes Autonomous address conf.: Yes Valid time : 14400 (0x00003840) seconds Pref. time : 1800 (0x00000708) seconds from fe80::106:106:3e9b:f782
das /64 bei Prefix klingt mir so, wie wenn ich doch nur eine /64 habe...
Ich freue mich riesig auf eure Hilfe, denn ein offizielles Netz für die Schnittstelle wäre natürlich die richtige Lösung, und der Rest ist natürlich nur 'ne Krücke...
Danke Luca Bertoncello (lucabert@lucabert.de)
On Thu, Feb 14, 2019 at 9:56 AM Luca Bertoncello lucabert@lucabert.de wrote:
Aber die Schnittstelle server0 hat immer noch keine IPv6...
Die internen Schnittstellen Deines Routers sollen sich nicht selbst konfigurieren, sondern SLAAC und optional DHCPv6 für die nachgeordneten Gerätschaften zur Verfügung stellen. Deshalb mußt Du an Hand des empfangenen Präfixes diese selbst mit IPv6-Adresse als auch mit dem Router Advertising Daemon versehen, siehe https://sdq.calle1.de/ipv6_router_presentation.pdf Seite 12
Schnittstellen und radvd können bei festem Präfix statisch konfiguriert werden Bei sich eingangsseitig ändernden Präfixen (wie bei Privatkunden-DSL) solltest Du das automatisieren - ich nehme dafür Puppet.
-- William Epler
Hallo Luca,
ich habe hier auch eine Weile gebraucht bis dass mit IPv6 vom Provider richtig funktioniert hat. Unter Debian laufen dafür hier jetzt "radvd" und "wide-dhcpv6-client". Vielleicht helfen Dir diese Stichpunkte weiter um a) vom Provider das Netz zu beziehen und es b) nach innen weiterzuverteilen.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ronny@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Am 14.02.2019 09:28, schrieb Ronny Seffner:
Hallo Ronny,
ich habe hier auch eine Weile gebraucht bis dass mit IPv6 vom Provider richtig funktioniert hat.
Wem sagst du... :( Bei mir war es auch 'ne Katastrophe...
Unter Debian laufen dafür hier jetzt "radvd" und "wide-dhcpv6-client". Vielleicht helfen Dir diese Stichpunkte weiter um a) vom Provider das Netz zu beziehen und es b) nach innen weiterzuverteilen.
Wie gesagt, für ein Netz geht es ohne Probleme! Ich nutze auch wide-dhcpv6-client. Ich denke, ich muss also dort einen Abschnitt für das zweite Netz hinzufügen, richtig?
Danke Luca Bertoncello (lucabert@lucabert.de)
lug-dd@mailman.schlittermann.de
-
Andre Klärner -
Heiko Schlittermann -
Konrad Rosenbaum -
Luca Bertoncello -
Ronny Seffner -
William Epler