IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen

slu

Wenn ich eine statische IPv6 mit 56er Prefix vom ISP habe, die Einwahl aber PPPoE ist, lege ich die IPv6 trotzdem statisch auf den WAN an oder mache DHCP6?

Hintergrund der Frage, der ISP hat mir gar keine zusätzlichen Informationen wie Gateway oder DNS Server mitgeteilt...? Oder ich blamiere mich gerade mit der Frage dann könnt ich mir heute Abend auslachen

JeGr

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Wenn ich eine statische IPv6 mit 56er Prefix vom ISP habe, die Einwahl aber PPPoE ist, lege ich die IPv6 trotzdem statisch auf den WAN an oder mache DHCP6?

Hängt eigentlich vom Provider ab. Normalerweise wenn du was statisches bekommst, dann geben Sie dir auch Daten mit, was dein v4/v6 Netz mit GW ist. Wenn du nix hast, entweder hinterfragen oder ggf. mal DHCP6 testen. Eventuell - passiert auch manchmal - läuft einfach DHCPv6 via localnet (also fe80:: link local) und sie routen dir dann trotzdem das /56er drauf.

Cheers

Bob.Dig

@slu Ich hab jetzt meine kostenlose Sense in der Oracle Cloud mit fester IP zum WireGuard Endpoint gemacht. Oder genauer gesagt, ich Port Forwarde einen WG-Port von dort nach Hause zu meiner Sense, sowohl IPv4 als auch IPv6, beides mit NAT. Damit sollte einer WG-Verbindung, trotz täglicher Zwangstrennung auf meiner Seite, nichts mehr im Wege stehen.
Ich mache das, um darüber zukünftig Support an Familie & Co geben zu können, jeder kriegt WG auf die Device installiert, sofern erwünscht. Jedes Gerät wird dann zu einem Peer im "Support-Tunnel". Wenn dann Bedarf besteht, kann ich z.B. eine RDP-Verbindung aufbauen. Im Tunnel wird ebenfalls geNATet. Keep alive nutze ich nicht, da ja nur bei Bedarf nötig, aber wenn es bei denen schon läuft, dann soll es sofort funktionieren, ohne WG-Verbindung trennen/neu aufbauen. Wobei Keep Alive werde ich vielleicht doch hinzufügen müssen, sonst müsste der Tunnel halt doch neu gestartet werden...
Kann aktuell nur nicht testen, ob es wirklich wie gewünscht funzt.

slu

Weil es zum Thema passt hier noch ein Topic der dazu passt:
https://forum.netgate.com/topic/163161/using-unique-local-addresses?_=1702908820449

JeGr

@slu Das haben wir u.a. in der NSFW Usergroup schon mit Patrick von OPNsense bequatscht, ULAs sind nicht sehr angenehm zu benutzen und bestimmter HW Kram - wie APPLE - mag das bspw. gar nicht und priorisiert dir knallhart ULAs runter und nutzt die nicht standardmäßig, sondern nimmt dann lieber v4. Also quasi "IPv6 GUA > IPv4 > IPv6 ULA". Damit bist du dann wieder so schlau wie vorher.

Darum hatte Patrick mal gemeint, nutzt er nen he.net Tunnel und "bucht" sich damit einen großen IPv6 Prefix. Der wird dir dann ja zugeteilt. Den nutzt er dann ein- und ausgehend für NPt und übersetzt die Prefixe der Uplinks mit dem statischen GUA von HE.net den er intern statisch durchkonfigurieren kann. Damit erkennt der Apple Murks dann ne saubere GUA, nutzt die und abgehend wird die eine GUA in die andere vom Provider umgeschrieben - profit.

Und wenn man wirklich was statisch erreichen will, kann man den he.net Tunnel durchkonfigurieren und aufbauen, selbst wenn der ein wenig loss hat je nach Gegenstelle, ist man dann trotzdem wenigstens von extern über ne statische IP6 erreichbar auch wenns nicht ganz so performant ist als direkt die Provider Prefixe zu nehmen.

Muss ich mal final endlich testen und nachbauen um das zu checken, aber klingt wie nen guter Workaround für die ganze GUA/ULA Geschichte

Bob.Dig

@JeGr said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Darum hatte Patrick mal gemeint, nutzt er nen he.net Tunnel und "bucht" sich damit einen großen IPv6 Prefix.

Das war nicht Patrick sondern meine Wenigkeit. Patrick nutzt einen anderen GUA-Prefix und ich habe es dann mit HE nachgeahmt.

JeGr

@Bob-Dig Das mag gut sein, ich weiß nur dass er das nochmal erwähnt hatte mit nem HE.net Netz - da warst du wahrscheinlich nicht da und ich habs dann so auf dem Radar gehabt. Anyway es ging mir primär darum, dass es mit ULA da eben - leider - Probleme in der Priorisierung gibt, weil ein paar Hersteller mal wieder Sonderlocken stricken müssen (HALLO APPLE!) sei es nun bei IPv6, Zertifikatslaufzeiten, OpenVPN Konfiguration...

...warum ist das eigentlich immer Apple mit der Extra-Wurst überall? Und da ist jetzt noch nicht mal was dabei, wo man sich rausreden könnte mit "aber das ist toll wegen Security/Privacy" wie sie immer behaupten. Das ist einfach nur jedem mit seltsamem Sonderverhalten das Leben schwer machen...

Ich habe das aber mal vor längerem nur mit ULAs schonmal gebaut und ja das geht - irgendwie - dann so halbwegs. Aber gerade für MultiWAN und mehr als Failover schon irgendwie eher so "meh" gut. Das ist aber tatsächlich einfach ne IPv6 Geschichte per se, denn das Thema Multi-Adressing ist tatsächlich gar nicht so simpel. Selbst mit 2 optimalen Prefixen die statisch sind und GUA wäre es tricky. NPt? Jedem Gerät einfach zwei Adressen geben? Wer selektiert welche genutzt wird? Alles nicht ganz so einfach.

Cheers :)