Umstieg auf IPv6

A Former User

Moin!

Ich bin gerade dabei, alles auf IPv6 umzustellen.

Ich kenne mich mit IPv4 sehr gut aus und habe vielleicht deshalb einige Fragen.
(und nein, bitte keine Diskussion ob IPv6 Sinn macht oder nicht)

Grundsätzlich funktioniert IPv6 hier schon- VDSL Telekom Anschluss (/64 bzw. /56), WAN als auch LAN haben eine IPv6 Adresse, einige meiner internen Clients bekommen ebenfalls eine IPv6 Adresse und können via IPv6 ins Internet. Mein bind auf der pfSense spricht auf IPv6. Soweit, so gut.

Jetzt blicke ich mit der dynamischen Sache bei IPv6 noch nicht so durch.

Ok, SLAAC scheint hier soweit ja gut zu funktionieren. Da bekommt der Client eine IP aus dem NEtz des Providers, ebenso wie den Provider-IPv6-DNS, richtig?

Ich will nun aber meinen Clients auf jeden Fall den bind-IPv6-DNS der pfSense zuweisen. Muss ich dafür DHCPv6 einsetzen und SLAAC deaktivieren?

Danke& Grüße
/KNEBB

nonick

@knebb said in Umstieg auf IPv6:

Ok, SLAAC scheint hier soweit ja gut zu funktionieren. Da bekommt der Client eine IP aus dem NEtz des Providers

Nein. Vom Provider erhältst du immer nur den Präfix nicht aber den Identifier. Dieser wird entweder per DHCPv6 in dem von dir festgelegten Bereich vergeben, oder bei SLAAC automatisch generiert.

ebenso wie den Provider-IPv6-DNS, richtig?

Nicht unbedingt. Nutzt du generell den Provider DNS dann ja, wenn du den DNS Resolver der Sense nutzt dann nicht. Deine Clients bekommen dann (SLACC sowie DHCPv6) die IPv6 Adresse von der jeweiligen Netzwerkschnittstelle der Sense zugewiesen die auf DNS Anfragen lauscht. Grundsätzlich ist das aber eine Frage der Konfiguration.

A Former User

@nonick said in Umstieg auf IPv6:

Da bekommt der Client eine IP aus dem NEtz des Providers

Nein. Vom Provider erhältst du immer nur den Präfix nicht aber den Identifier. Dieser wird entweder per DHCPv6 in dem von dir festgelegten Bereich vergeben, oder bei SLAAC automatisch generiert.

Ok, falsch ausgedrückt. Der Client bastelt sich seine IP aus der Präfix-Info der pfSense zusammen.

ebenso wie den Provider-IPv6-DNS, richtig?

Nicht unbedingt. Nutzt du generell den Provider DNS dann ja, wenn du den DNS Resolver der Sense nutzt dann nicht. Deine Clients bekommen dann (SLACC sowie DHCPv6) die IPv6 Adresse von der jeweiligen Netzwerkschnittstelle zugewiesen die auf DNS Anfragen lauscht. Grundsätzlich ist das aber eine Frage der Konfiguration.

Im Bereich IPv4 nutze ich den bind der pfSense. Der kann auch grundsätzlich mittlerweile IPv6:

root@pc41:~# host -6 ipv6.test.domain 23:d003:e00f:f:22:55:fed2:ec 
Using domain server:
Address: 23:d003:e00f:f:22:55:fed2:ec#53
Aliases: 

ipv6.test.domain has IPv6 address 23:4323:17:3e:1d:a8f:fdc:5b

Baue ich mir einen (Debian) Client auf, der nur IPv6 machen soll, kriegt der aber keinen DNS Resolver zugewiesen (via SLAAC). Klappt das mit dem DNS nur, wenn man den "normalen" Resolver der pfSense nimmt? Und nicht mit bind?

Andere Frage in dem Zusammenhang:
Ich möchte (wie bisher) einige Systeme mit einer fixen, aber per DHCP zugewiesenen IP Adresse versorgen, so dass ich sie auch per Namen ansprechen kann. Wie kann das klappen? Dann aber wirklich nur mit DHCPv6, oder?

Danke!

/KNEBB

nonick

@knebb said in Umstieg auf IPv6:

Baue ich mir einen (Debian) Client auf, der nur IPv6 machen soll, kriegt der aber keinen DNS Resolver zugewiesen (via SLAAC).

Funktioniert mit dem DNS Resolver von der pfSense.

Ich möchte (wie bisher) einige Systeme mit einer fixen, aber per DHCP zugewiesenen IP Adresse versorgen

Da gehen die Probleme mit der dynamischen Präfix Vergabe los. Daher wird sich die IPv6 Adresse auch ändern wenn sie per DHCPv6 vergeben wird. Bei der Telekom spätestens nach 180 Tagen. Du kannst aber bei DHCPv6 über den von die vergebenen Hostnamen den Client/Server ansprechen. Auch kann man eine ULA IPv6 Adresse vergeben und NAT Mapping aktivieren.

A Former User

@nonick

Ok, danke. Verstanden.

Macht für mich also doch keinen Sinn. Bringt mir ja nichts, wenn ich meine lokalen IP-Adressen zwangsweise alle 180 Tage geändert bekomme. Oder bei der vorgeschlagenen Alternative wieder mit NAT arbeiten muss. Das habe ich auch bei IPv4.

Werde das dann mal wieder alles abschalten....

Alles klar. Danke nochmal!

/KNEBB

nonick

@knebb Es ist schon bescheiden das man keinen statischen IPv6 Präfix bekommt. Es macht das ganze viel aufwendiger und kompliziert. Man bekommt es schon zum Laufen aber immer mit unnötigen Umgehungslösungen.

Bob.Dig

@knebb said in Umstieg auf IPv6:

Werde das dann mal wieder alles abschalten....

Wenn man den DHCPv6 und Resolver benutzt, ist das kein Problem, diese mit Hostnamen anzusprechen. Man muss halt wollen.

nonick

@bob-dig said in Umstieg auf IPv6:

Wenn man den DHCPv6 und Resolver benutzt, ist das kein Problem.

Ich sehe aber auch da noch ne Menge an Problemen.

A Former User

@bob-dig said in Umstieg auf IPv6:

Wenn man den DHCPv6 und Resolver benutzt, ist das kein Problem.

Es mag funktionieren, hat aber dann keine Vorteile gegenüber IPv4. Ich habe dann zwar meine lokalen, festen IP Adressen, aber dafür auch wieder NAT.
Vielleicht lasse ich meine Clients parallel mit IPv6 laufen... aber eine komplette Umstellung ist nicht praktikabel.

/KNEBB

Bob.Dig

@nonick Der wechselnde Prefix wird dann automatisch mitgeändert, von daher sehe ich da keines, wenn man mit static mappings arbeitet.

So sieht das dann z.B. aus, man beachte meine Kreativität beim bilden der IPv6 Adresse.

Der Host lässt sich jederzeit z.B. mit voip.home.arpa ansprechen.
Wenn man nun einen Alias kreiert (der nur voip enthalten muss), dann kann man mit diesem auch Rules kreieren. Alles passt sich immer automatisch am jeweiligen neuen Prefix an.

nonick

@knebb said in Umstieg auf IPv6:

aber eine komplette Umstellung ist nicht praktikabel

Das wird es auch in absehbarer Zeit nicht sein. Ein Parallelbetrieb von IPv4 und IPv6 wird noch lange notwendig sein.

A Former User

@bob-dig said in Umstieg auf IPv6:

@nonick Der wechselnde Prefix wird dann automatisch mitgeändert, von daher sehe ich da keines, wenn man mit static mappings arbeitet.

Kannst Du das genauer ausführen?

nonick

@bob-dig

Prefix wird dann automatisch mitgeändert, von daher sehe ich da keines.

Es funktioniert nur nicht 100% zuverlässig mit Firewallregeln und Aliasen.

Bob.Dig

@nonick Doch, siehe oben.

nonick

@bob-dig Ich habe es erst wieder vor kurzem getestet, es läuft einfach nicht zuverlässig.

Bob.Dig

@nonick Sagen wir so, was bei mir Probleme macht ist der Prefix-Wechsel, da die Sense hinter einem anderen Router ist und so die nix mitbekommt, dann muss ich sie tatsächlich neustarten. Dies wäre aber wohl nicht der Fall, wenn sie direkt am Internet hinge.

Aber ja, IPv4 ist definit einfacher und komplett auf IPv6 only umstellen, klingt extremst maso.

A Former User

@bob-dig
@nonick

Wie man es auch drehen und wenden mag- letztendlich kriegen die lokalen Kisten alle 180 Tage eine neue IP.
Und das ist Mist, egal, ob man eine Namensauflösung irgendwie sauber hinbekommt.

Ne, bleibt deaktiviert.

/KNEBB

Bob.Dig

@knebb said in Umstieg auf IPv6:

Wie man es auch drehen und wenden mag- letztendlich kriegen die lokalen Kisten alle 180 Tage eine neue IP.
Und das ist Mist, egal, ob man eine Namensauflösung irgendwie sauber hinbekommt.

Mir ist das sogar recht, ich provoziere den Wechsel täglich, sowohl von IPv4 als auch IPv6. Immer die gleiche IP zu haben ist mir nix.

nonick

@bob-dig Das werde ich nie verstehen.

m0nji

@bob-dig said in Umstieg auf IPv6:

@nonick Der wechselnde Prefix wird dann automatisch mitgeändert, von daher sehe ich da keines, wenn man mit static mappings arbeitet.

So sieht das dann z.B. aus, man beachte meine Kreativität beim bilden der IPv6 Adresse.

Der Host lässt sich jederzeit z.B. mit voip.home.arpa ansprechen.
Wenn man nun einen Alias kreiert (der nur voip enthalten muss), dann kann man mit diesem auch Rules kreieren. Alles passt sich immer automatisch am jeweiligen neuen Prefix an.

Das geht aber auch nur wenn der dhcpv6 Server läuft, sonst trägt er die Hostnamen nicht in den DNS Server ein?! Gerade bei einem Multiwan Setup ist dhcpv6 ziemlich bescheiden.
Gleichzeitig stelle ich mir da die Frage, wie du bei den wechselnden Präfixes die Erreichbarkeit von außen gewährleistest? Bisher ist mir kein Dienst bekannt, der dynamisch ipv6 Adressen bei cloudflare und co updaten kann. (mal abgesehen von der Interface Adresse...)

Ich mach das nach wie vor mit einem gif Tunnel über eine kleine Hetzner pfsense. Somit habe ich einen statischen ipv6 Präfix, wenn auch leider nur einen 64er, welchen ich dann auf der lokalen pfsense verwenden kann.