IPV6 Fragen
-
Hallo Satras,
kannst du das mit ISP und VPN Provider noch etwas erläutern und vor allem wie deine pfSense Box am ISP oder VPN Provider angedockt ist?
Dann kann man dir auch sicher weiterhelfen (ich nutze - etwas umständlich leider - IPv6 zu Hause wie auf Arbeit inzwischen problemlos).Grüße
Jens -
Sicher, danke für die Zeit das Posting zu lesen. :)
WAN:
Ich habe ein FritzBox (FB) die für mich die Einwahl ins Internet macht. Dort bekomme ich eine IPv4 und IPv6 zugewiesen. An der FB hängen keine Clients dran, weder per LAN noch per WLAN, direkt hinter der FB hängt meine pfSense. pfSense bekommt von der FB per DHCP eine IPv4 und IPv6 von der FB zugewiesen.
VPN:
Ich habe ein VPN Client eingerichtet der zu einem externen VPN Dienstleister eine Verbindung aufbaut. Von diesem bekomme ich ebenfalls eine IPv4 und IPv6 zugewiesen.
Meine Firewall Regeln leiten allen Traffic durch diesen Tunnel (Ausnahme ist ein VOIP Client und ein Rechner der gelegentlich bei mir im Netz ist). Zudem habe ich per Priorisierung noch einige Regeln eingebaut, die hier aber nicht ins Gewicht schlagen sollten. Alle Regeln sind IPv4 basiert und greifen somit natürlich nicht für IPv6. Deshalb hatte ich, zum testen, die IPv6 Regel ganz oben angesetzt aber bin schon beim zuweisen des Gateway gescheitert. Floating Regeln habe ich keine.Habe ich was vergessen ? Soll ich noch was erklären oder Screenshots einfügen ?
Satras
-
Hi,
prinzipiell würde ich der pfSense hinter der FB zwar feste IPs geben, wenn aber alles läuft soll das OK sein :)
Frage zu den IPs vom VPN Dienstleister: Was bekommst du hier geliefert? Eine feste v4? Oder ein Netz? ein /64er Netz v6 oder bekommst du das geroutet?
Grüße
-
Hatte ne Zeit lang eine Feste IP an der FB, dann hatte ich das aber mal geändert zu troubelshooting und dann wieder vergessen zu ändern, nun bleibt es erstmal so ;)
vom VPN Anbieter bekomme ich kein feste IPv4/6 geliefert, die wechselt ständig. Bei IPv6 kommt bei mir, wenn ich das richtig unter interfaces sehe, ein 112er Netz an ? (Sorry ich lerne gerade ncoh IPv6)
Status up MAC address 00:00:00:00:00:00 IPv4 address 10.8.0.28 Subnet mask IPv4 255.255.0.0 Gateway IPv4 GWMVDE1 10.8.0.1 IPv6 Link Local fe80::222:64ff:fea4:dfe8%ovpnc1 IPv6 address fd97:xxxx:xxx:x::101a Subnet mask IPv6 112 In/out packets 38911162/23160374 (45.93 GB/3.07 GB) In/out packets (pass) 38911162/23160374 (45.93 GB/3.07 GB) In/out packets (block) 16802/1999 (1.76 MB/210 KB) In/out errors 0/0 Collisions 0
-
Also ich dachte eigentlich das meine Frage extrem Simpel ist. :o
Wenn ich das richtig verstanden habe, hab ich vom VPN Anbieter X IPv6 Adressen bekommen die ich in meinem Netz jetzt verteilen kann.
Meine Frage ist wie ich das nun anstelle?Ich hab hier auch mal gelesen das man (bei pfSense?) nur /64 Netze Routen kann ?
Dann würde ich natürlich statt dessen in meinem Netz eigen IPv6 Adressen verteilen und dann per NAT? in das VPN IPv6 Netz übergeben ? -
Ich würde gern verstehen wo das Problem liegt ? Ist die Aufgabenstellung wirklich so Komplex ?
Ein Interface wird mit IPv4 und IPv6 Versorgt und ich will beide Routen nutzen können. Das müsste doch für einige von euch in Minuten erledigt sein ?
Danke für die Zeit.
-
Sorry, Urlaub und danach krank ;)
So richtig verstehe ich noch nicht was du bauen möchtest. Vom VPN bekommst du keine fixen Adressen, nur (anscheinend) vom Provider. Wenn du aber deinen ganzen Verkehr durch den Tunnel schicken willst, dann kannst du ja nicht gleichzeitig auf den Povider v6 Adressen Dienste antworten lassen wollen. Das passt dann ja so nicht zusammen.
Dazu kommt, dass die v6 Adresse, die vom Provider vergeben wird, wohl tatsächlich aus einem /112er Netz ist. Ich glaube aber nicht, dass DAS das Netz ist, was du geroutet bekommst, denn es gibt bei v6 Vorgaben, dass als Minimalgröße an Kunden ein /64er Netz abzugeben ist. Das liegt allein schon daran, dass bspw. IPv6 SLAAC (stateless autoconfiguration) und andere Dienste des Protokolls auf bestimmten Mindestgrößen aufbauen, um Kollisionen zu vermeiden (SLAAC bspw. berechnet aus der MAC Adresse der Netzwerkkarte und dem v6 Prefix eine eindeutige IP Adresse, die im (lokalen) Netz garantiert nicht mehr auftauchen sollte).
Deshalb bin ich zumindest verwirrt :)
-
Hi,
ich hoffe erst nach dem Urlaub krank geworden ;)Also die IPv6 von meinem ISP kannst du ignorieren, die will ich eigentlich vorerst nicht nutzen, sondern ausschließlich den VPN Tunnel.
Das mit dem /64er netz hatte ich hier schon irgendwie gelesen. Interessanterweise steht auf meiner FB auch nur ein /56er Netz zur Verfügung :( .Zum VPN IPv6, ich hab gesehen das ich dort nur einer "Private" IPv6 zugewiesen bekomme (stimmt doch, oder ? "fd97:xxxx:xxx:101a").
Also ich hab das noch nicht ganz verstanden wie das bei v6 gedacht ist. Wo ist das Problem die 254 IPv6 IP's die ich verwenden könnte, per DHCP oder wie auch immer, an meine Hand voll Clients zu verteilen ?
Funktioniert IPv6 nur, wenn ich mit Tausenden von IP Adressen totgeworfen werde, nur damit man ein kompliziertes verfahren nutzen kann, dass die MAC mit einschließt, mir dafür aber den DHCP sparen kann ?
Mein VPN Interface hat sich ja eine IPv6 per DHCP gegriffen, warum kann man das nichtt einfach durchreichen bis zum nachsten Netz (DHCP Proxy?).Wer gibt meinen Clients bei SLAAC eigentlich die info "Hey Jungs, greift euch mal eine IP aus dem fd97er netz, aber verwürfelt eure MAC noch mit rein".
Kein Wunder das noch kein Mensch mit IPv6 online ist wenn das so ein krampf ist…
Dank dir für die Mühe bislang !
-
Interessanterweise steht auf meiner FB auch nur ein /56er Netz zur Verfügung :( .
Nur? Dir ist schon klar, dass ein /56er Netz größer ist als ein /64er und demzufolge Größer als ein /112er? ;)
Zum VPN IPv6, ich hab gesehen das ich dort nur einer "Private" IPv6 zugewiesen bekomme (stimmt doch, oder ? "fd97:xxxx:xxx:101a").
Der Prefixbeginn fd:: ist eigentlich der Unique Local Unicast Bereich fc00::/7 (fc00… bis fdff…). Sprich Adressen daraus sind in etwa vergleichbar mit den privaten IPv4 Adressen wie 10/8, 172.16/12 und 192.168/16.
Also ich hab das noch nicht ganz verstanden wie das bei v6 gedacht ist. Wo ist das Problem die 254 IPv6 IP's die ich verwenden könnte, per DHCP oder wie auch immer, an meine Hand voll Clients zu verteilen ?
Nein das ist kein Problem. Das "Problem" entsteht lediglich aus deinem VPN Anbieter, der dir eben KEIN Netz zur Verfügung stellt, sondern lediglich eine IPv6 Adresse über die dein Traffic geroutet wird (wahrscheinlich wieder mit NAT seufz). Sinn und Zweck von IPv6 war aber, dass man eben genau keinen Grund mehr haben sollte, Trickserei-Techniken wie NAT und Co. zu nutzen, sondern so viele Adressen im Adressraum hat, dass man gar nicht erst in die Notlage kommen sollte, Adressknappheit zu haben.
Funktioniert IPv6 nur, wenn ich mit Tausenden von IP Adressen totgeworfen werde, nur damit man ein kompliziertes verfahren nutzen kann, dass die MAC mit einschließt, mir dafür aber den DHCP sparen kann ?
Nein, IPv6 funktioniert natürlich auch, wenn man nicht tausende IP Adressen nutzt/hat. Es gibt aber gute Gründe, warum man beschlossen hat, dass ein Endkunde mindestens einen /64er Bereich bekommen soll (eigentlich sogar mehr). Denn SLAAC bspw. generiert aus den Blöcken der MAC Adresse zusammen mit dem /64er Prefix, welches er vom Router des Netzes signalisiert bekommt, eine IP Adresse, die in diesem Prefix/Netz eindeutig sein sollte (wenn nicht 2 Karten die gleiche MAC haben, was es nie geben darf!). Ist diese Adresse warum auch immer bereits belegt, wird eine andere generiert die das Gerät dann behält. Genau deshalb (Autokonfiguration) braucht es freundlicherweise keine "Krücke" mehr wie DHCP um dynamische Adressen zu erzeugen, da sich die Geräte schneller selbst eine erstellen können als erst eine zugewiesen zu bekommen. Über Mechanismen wie Nachbarerkennung etc. wird dann auch detektiert ob jemand die Adresse vllt. schon hat etc.
Das alles funktioniert aber nur in Netzen die mind. /64 groß sind (weil z.B. ein Großteil der MAC Adresse zur Erzeugung des Identifiers genutzt wird). Außerdem erhält ein Gerät nicht zwingend nur eine v6 Adresse, da sich dann wieder Leute über Privacy und Co beschwehrt hätten, deshalb wird bspw. zusätzlich noch eine oder mehrere rotierende IPv6 temporary address gebunden, mit dem das System nach außen kommuniziert. Auch das geht automatisch.
Und dann hat noch jedes Gerät eine link-local Adresse, mit dem es - quasi im Nahbereich - mit anderen Geräten kommunizieren kann (bspw. mit dem Router um das verwendete Prefix anzufragen).Funktioniert IPv6 nur, wenn ich mit Tausenden von IP Adressen totgeworfen werde, nur damit man ein kompliziertes verfahren nutzen kann, dass die MAC mit einschließt, mir dafür aber den DHCP sparen kann ?
Das Verfahren ist gar nicht kompliziert, im Gegenteil. Außerdem ist es recht schnell (da Adressen lokal berechnet werden können) und autonom. Es geht aber gar nicht darum, sich den DHCP zu sparen, der wird spätestens dann für Extensions oder DNS/NTP/etc. benötigt, es geht um möglichst einfaches automatisches "funktionieren" von Adressen. Es geht mehr darum die Grundlage zu schaffen, dass alles recht einfach und schnell autonom und automatisch funktioniert und man trotzdem nicht schnell wieder in Adressnot kommt (spätestens dann, wenn das "Internet der Dinge" konkreter wird und jedes Minidevice seine eigene IP braucht).Mein VPN Interface hat sich ja eine IPv6 per DHCP gegriffen, warum kann man das nichtt einfach durchreichen bis zum nachsten Netz (DHCP Proxy?).
Und die IP zu bekommen ist überhaupt kein Problem wie du siehst :) Durchreichen kann man auch - per Routing Solicitaion bzw. Routing Announcements. Das wiederum ist aber etwas, bei dem sich AVM leider einen ziemlichen Fuckup erlaubt hat (um es mal böse zu sagen). Die FritzBoxen haben zwar angeblich RS/RA Features, sind aber gelinde gesagt zu doof, ein weitergereichte Netze dann auch korrekt zu routen und zu announcen (letzte Firmware kenne ich noch nicht, aber die Kabel-Fritzboxen sind noch zu dumm dazu).
Ansonsten würde es genauso funktionieren wie du vermutest: Provider lässt deine FB einwählen und vergibt ihr eine IP aus seinem eigenen v6 Netz. Gleichzeitig bekommst du (sieht man in der FB ÜBersicht recht schön) ein /56er oder /60er Netz (meistens) zugewiesen. Die FB sollte jetzt eigentlich per v6 RS/RA diese Netze zur Verfügung stellen, damit ein dahintergeschalteter Router (wie die pfSense) das dann nutzen kann. Geht auch bis zum WAN, nur das LAN, dass sich die pfSense dann greift, wird auf der FB noch erkannt und korrekt geroutet, womit dann die schöne Kette im Eimer ist. Könnte man auf der FB einfach v6 Routen anlegen (was jeder Dusselrouter kann), wäre auch das kein Problem, dann könnte man das einfach manuell machen - geht aber nicht. Möp.
An genau dem Problem bin ich gescheitert, da mein Kabelprovider mir zwar ein /56er durchreicht, die FB es aber zwischendrin versaut. Ergo hab ich mir ein /64er Netz bei einem Tunnelbroker wie HE oder Sixxs besorgt. Die routen mir das v6 Netz dann zu mir und ich kann es intern einfach manuell konfigurieren et voilà -> v6 ready und working. Funktioniert somit prima und ich habe über diesen v6 Tunnel auch einige Dienste v6 only bei mir laufen, die extern (bspw. auf Arbeit) problemlos erreichbar sind.
Wer gibt meinen Clients bei SLAAC eigentlich die info "Hey Jungs, greift euch mal eine IP aus dem fd97er netz, aber verwürfelt eure MAC noch mit rein".
Der Router des Netzes. Also in unserem Fall die pfSense. Die Antwortet über ihre Link-Lokal Adresse (das sind die fe80:…) auf eine Broadcast Anfrage und sagt quasi "Ich Router, das hier Prefix, do your thing!"
Kein Wunder das noch kein Mensch mit IPv6 online ist wenn das so ein krampf ist...
Das Schlimme ist, dass das gar nicht der Grund ist. Es ist weder ein Krampf (nicht mehr als es v4 auch ist, denn Techniken wie SLAAC musst du bspw. auch gar nicht benutzen, es soll nur eben einfach möglich sein) noch schwierig. Das Problem ist mal wieder ein Henne-Ei-Problem, dass die Provider ewig gewartet haben bis es nicht mehr anders ging und jetzt v6 zwar einführen oder eingeführt haben, aber teils
- keine Ahnung haben, was sie da tun
- sie selbst noch mit v4-legacy Kram rumkaspern, obwohl das mit v6 anders funktionieren würde
- teils umständliche oder unverständliche Vergaberichtlinien haben
- mitunter alte Zwangs-Schund-Router/Modems am Start haben, die per default nicht mal IPv6 aktiviert haben (Beispiel: Neuer Telekom Anschluß, default-shipped Router hatte kein v6 aktiv)
Dass dann im Umkehrschluß viele Dienstanbieter sagen "hey es nutzt kaum einer v6 warum soll ich mir Streß machen" führt dann wieder dazu, dass die ISPs sagen "hey es gibt ja kaum Angebote, also warum soll ich Streß machen"... rinse & repeat.
Grüße
-
WoW ! :o
Ganz liebe Dank für die Zeit die du dir nimmst um mir hier mehr als ausführlich zu helfen ! Dickes Lob.
56er Netz ist hüstel natürlich größer als nur ein 64er ;) Ich war halt noch so geschockt das hier nichts geht :D
Ich hab bei meinem VPN Anbieter nachgefragt warum ich nur ein 112er Netz (ist doch auch ein Netz, oder ? weil du geschrieben hast das ich von meinem VPN Anbieter nur eine IP Zugewiesen bekomme.) bekomme,
gerade wenn bei dem gewählten Bereich kostenlos viel größere Netze möglich sind. Mal schauen ob die sich bewegen.
Sollte ich auf dem 112er Netz "sitzen bleiben", was muss ich einstellen um trotzdem über IPv6 online gehen zu können. Wie gesagt ich möchte über den VPN Anbieter online gehen nicht über mein ISP welcher an der FB anliegt. -
Ganz liebe Dank für die Zeit die du dir nimmst um mir hier mehr als ausführlich zu helfen ! Dickes Lob.
Danke schön. Freut einen immer, wenn man liest, dass es nicht ganz auf taube Ohren stößt. :D
Ich habe das Glück oder auch Pech, gerade selbst erst zu Hause im Homeoffice v6 eingeführt zu haben und es nun im Betrieb langsam aber sicher einführen zu können (als Hoster wirds da m.E. höchste Zeit, dann hat man noch einen kleinen Vorteil ggü. der Konkurrenz ;))Ich hab bei meinem VPN Anbieter nachgefragt warum ich nur ein 112er Netz (ist doch auch ein Netz, oder ? weil du geschrieben hast das ich von meinem VPN Anbieter nur eine IP Zugewiesen bekomme.) bekomme,
Jap, ein /112er enthält immer noch sportliche 64k Adressen (65535). Bringt allerdings nicht ganz so viel (außer bei manueller Vergabe bzw. DHCP), da wie gesagt viele Mechanismen von IPv6 auf /64er Netze ausgelegt sind. Man kann damit durchaus herumspielen, aber Dienste wie SLAAC o.ä. werden nicht funktionieren. Konfigurieren kann man es jedoch trotzdem.
Grüße
-
Ok, alles rumgequatsche hilft anscheinend nicht beim VPN ISP. Die wollen wohl wegen mir das nicht um konfigurieren und mein Wissen rund um IPv6 ist zu begrenzt das ich es ordentlich erklären kann.
Kannst du mir dabei helfen es also ohne SLAAC, also mit der jetzigen Konfiguration zum laufen zu bringen ?
-
bump würde mich über heilfe freuen ! Danke :)