PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : IPv6 Zuhause: Worauf achten?


mekakic
2015-11-12, 17:06:07
Hi, was muss man beachten, wenn man IPv6 Zuhause aktivieren möchte? Konkret mit Telekom VDSL und FritzBox 7490. Einfach in der FritzBox einschalten und alle Endgeräte bekommen zusätzlich eine IPv6 Adresse? Ich würde es ungern sehen, dass per Default jedes Endgerät damit auch aus dem Internet erreichbar ist. Wie ist das umgesetzt... wäre das Standard oder gibt es dafür Standardmäßig eine Firewall für die Endgeräte?

Bei AVM finde ich nur, wie ich es anschalte, nicht was es für mein Heimnetz bedeutet.

Hat jemand da Erfahrungen gemacht? Danke!

lumines
2015-11-12, 17:20:08
AVM schaltet standardmäßig auch für IPv6 eine Firewall. Eingehende Verbindungen werden dadurch blockiert. Als normaler Benutzer muss man eigentlich nur wissen, dass es quasi genau so konfiguriert ist wie für IPv4, nur eben ohne NAT.

nalye
2015-11-12, 17:42:15
Es gibt auch v6-Adressen, die nicht geroutet werden (wie z.Bsp. bei v4 10.0.0.0/8), eben jene bekommen Deine Endgeräte

lumines
2015-11-12, 18:12:46
Muss man aber nicht machen. Dadurch gewinnt man auch nichts an Sicherheit. Das ist, glaube ich, eher dazu da, dass man trotzdem IPv6 benutzen kann, auch wenn man noch kein Präfix vom Provider bekommen hat. Ich glaube bei AVM werden die auch nur genau dann benutzt und sonst nicht.

Aber selbst das muss man nicht zwingend bei IPv6 machen, gibt ja auch noch SLAAC. Das macht DHCP zu einem gewissen Grad überflüssig.

Jedenfalls kommt die Sicherheit dabei durch die zustandsorientierte Firewall (genau wie bei IPv4 auch).

Birdman
2015-11-12, 18:54:57
Aber selbst das muss man nicht zwingend bei IPv6 machen, gibt ja auch noch SLAAC. Das macht DHCP zu einem gewissen Grad überflüssig.
Leider nein, via SLAAC können u.A. keine DNS Server mitgegeben werden und auch das konfigurieren des default Gateways ist damit nur eingeschränkt möglich.
Daher braucht man in einem IPv6 Netz quasi immer RA sowie DHCP :freak:

lumines
2015-11-12, 19:00:12
Schon klar, deshalb meinte ich ja auch nur zu einem gewissen Grad. Ganz ohne RA geht's natürlich nicht. Darüber kann man aber mittlerweile auch DNS-Server mitgeben.

mekakic
2015-11-13, 09:21:14
Okay... dann probiere ich das einfach mal aus. :)

Mosher
2016-09-02, 19:32:10
Ich hijacke diesen Thread mal:


Habe zuhause eine Fritzbox 7362 SL mit nachgeschaltetem (WAN-Port) Linksys E3000 mit DD-WRT 24sp2 mega Firmware.


Alter Stand:

Alles IPv4
Fritzbox: 192.168.3.1, DHCP aus, einige Portweiterleitungen an 192.168.3.2 (Linksys E3000)

Linksys E3000: 192.168.3.2 WAN-Seitig, 192.168.1.1 LAN-Seitig. DHCP an, Adressvergabe an Clients per MAC-Tabelle.

So weit, so gut.

Nun habe ich seit gestern VDSL mit nativem IPv4 und IPv6 (also kein DS-Lite für IPv4)

Ist ja zunächst mal ganz nett, da ich dann einfach mein komplettes IPv4-Setup behalten kann und wie gewohnt mit meinem DynDNS-Dienst von außerhalb auf meine Router zugreifen kann.


Habe mich die Tage mal ein wenig in IPV6 eingelesen und habe ein paar Fragen, die mir hoffentlich jmd. beantworten kann:


1. Warum ist meine IP-Adresse keine "Teilmenge" des Präfixes?

https://abload.de/img/prfixxbsjr.png

Bis :cb stimmen beide noch überein, jedoch sind es bis dahin ja nur 40 und keine 56 bit.
Wo ist hier mein Denkfehler?
2. Was muss ich in der Fritzbox einstellen, damit der Linksys-Router das Präfix und den DNS übermittelt bekommt und dann selbst im LAN verteilt?

https://abload.de/img/ipv6settings1l2s67.png

https://abload.de/img/ipv6settings2ays25.png

3. Preisfrage: Was muss ich im Linksys einstellen, damit meine Clients nun ihre IPv6 bekommen?

Das hier (https://www.dd-wrt.com/wiki/index.php/IPv6) hilft mir leider nicht weiter.
https://abload.de/img/dd-wrt4jsh1.png




Stand IPv4:
Aktuell habe ich eine recht lange Liste an Geräten (Rechner Laptop(s), Handys, Tablets, Drucker...), die mit ihrer MAC im Linksys registriert sind und darüber ihre IP bekommen.
Ein paar Ports werden an bestimmte IPs weitergeleitet.

Mein Verständnis von IPv6 war jetzt Folgendes:
Alle meine IPv6-Clients haben fortan nach außen hin eine IP-Adresse bestehend aus dem Präfix, das der Linksys von der Fritzbox erhält und weiterverteilt und einem Device-Identifier. zB eine verwurschtelung der MAC zu irgendwas anderem.

--> Was hat es damit auf sich, dass die Fritzbox zwar ein 56er PF bekommt, der Linksys aber auch zB ein 60er Präfix anfragen und verteilen kann?

--> Warum haben die Clients im LAN wieder ein anderes Präfix?

--> Was bedeutet und was könnte die Ursache für "kein Internetzugriff" hier sein?
https://abload.de/img/keininternetzugriffv3ueu.png


Aktuell habe ich das Gefühl, dass bei IPv6 in der Theorie zwar alles toll und durchdacht ist, aber in der Praxis noch zu viel Gefrickel notwendig ist, um ein ähnliches Setup wie mit IPv4 + NAT hinzubekommen.

Oder bin ich einfach zu doof?

Vielen Dank für jede Hilfe,

Grüße,
Mosher

lumines
2016-09-02, 19:44:58
Grundsätzlich würde ich DD-WRT einstampfen. Ich hatte genau mit dem Router und DD-WRT schon das Vergnügen. Erst einmal ist es ein Broadcom-Chipsatz und deshalb gibt es nur proprieträre WLAN-Treiber, die bei DD-WRT gegen einen uralten 2.6er-Kernel kompiliert sind, der einfach ein unnötiges Sicherheitsrisiko ist. DD-WRT hinkt auch generell der Entwicklung massiv hinterher, daher würde ich deshalb auch keinen so tollen IPv6-Support erwarten. Die Fritzbox ist da bedeutend weiter. Die Default-Einstellungen in FritzOS machen IPv6 quasi zu Plug & Play.

Neben FritzOS sind OpenWRT / LEDE momentan so die Speerspitze beim IPv6-Support. In LEDE findet man auch noch so Sachen wie Homenet (https://blog.toreanderson.no/2015/10/11/making-a-homenet-router-out-of-openwrt.html), aber das ist noch Zukunftsmusik, auch wenn das in Zukunft wahrscheinlich eine große Rolle spielen könnte, weil es Netzwerkkram insgesamt massiv vereinfachen wird. Sowohl in FritzOS als auch OpenWRT muss man aber ansonsten nichts großartig für IPv6 konfigurieren.

Ich habe übrigens nie eine stabil laufende DD-WRT-Version für den E3000 gefunden. Irgendetwas war immer kaputt. Mit irgendeiner Option in den WLAN-Einstellungen kann man ihn auch bricken. War spaßig.

In deinem Screenshot sieht man übrigens nur die Link-Lokal-Adresse, das ist aber keine routbare Adresse.

Aktuell habe ich das Gefühl, dass bei IPv6 in der Theorie zwar alles toll und durchdacht ist, aber in der Praxis noch zu viel Gefrickel notwendig ist, um ein ähnliches Setup wie mit IPv4 + NAT hinzubekommen.


In deinem Fall hast du wahrscheinlich bisher einfach doppeltes NAT genutzt, aber das ist eigentlich nicht Sinn der Sache und auch kein richtiges Setup, weil das einen Haufen Kompatibilitätsprobleme erzeugt, die man vielleicht nur selten merkt, aber trotzdem da sind.

IPv6 leidet auch eher an einem Wildwuchs an seltsamen Implementierungen, die eben so über die Jahre entstanden sind, weil es sich nie wirklich durchsetzen konnte. Manche Hardware-Hersteller behandeln es noch immer wie eine Adressierungsart zweiter Klasse (hallo Samsung!), obwohl es eigentlich schon längst IPv4 abgelöst haben sollte. Das ist mit der Grund, warum es in manchen Konstellationen noch immer frickelig ist. So Sachen wie Homenet zeigen aber, wie einfach man Netzwerke haben könnte, wenn die von Grund auf für IPv6 designet worden wären.

Mosher
2016-09-02, 20:23:34
[...]

Hallo,

Danke für deine Ausführungen. Ich hatte sowas leider schon befürchtet.
Ich denke, ich werde dann einfach noch bei meinem IPv4-Setup bleiben und mich nach einem Router mit ordentlicher IPv6-Unterstützung umsehen, wenn ich
a) schnelleres WLAN brauche, oder
b) IPv6 sich langsam richtig durchsetzt.

Da ich ja wie erwähnt nicht mit DS-Lite abgespeist werde, funktioniert mein Setup ja nach wie vor.



In deinem Screenshot sieht man übrigens nur die Link-Lokal-Adresse (+ eine durch die Privacy Extensions), das ist aber keine routbare Adresse.


Welchen Screenshot meinst du? :D

Ich hoffe doch sehr, diesen hier:

https://abload.de/img/keininternetzugriffv3ueu.png

Kannst du mir bitte noch meine Frage 1 erklären? Ich denke, ich habe da noch etwas nicht gerafft, wie das mit der Verteilung der Präfixe von

RIR --> ISP --> Fritzbox (allgemein: Endnutzergerät) --> nachgeschaltete Router --> LAN funktioniert.

Vielen Dank,

Grüße,
Mosher

lumines
2016-09-02, 22:40:47
Hallo,

Danke für deine Ausführungen. Ich hatte sowas leider schon befürchtet.
Ich denke, ich werde dann einfach noch bei meinem IPv4-Setup bleiben und mich nach einem Router mit ordentlicher IPv6-Unterstützung umsehen, wenn ich
a) schnelleres WLAN brauche, oder
b) IPv6 sich langsam richtig durchsetzt.

Da ich ja wie erwähnt nicht mit DS-Lite abgespeist werde, funktioniert mein Setup ja nach wie vor.

Schon klar, aber du fährst offenbar doppeltes NAT. Das bricht einige Protokolle und erfordert massive Hacks. Das würde ich so oder so einmal überdenken, weil NAT für so etwas auch gar nicht gedacht ist. Wenn du das etwas vereinfachst, sollte auch IPv6 kein Problem sein.

So ganz grundsätzlich: Ich weiß zwar nicht genau, warum du NAT zwischen der Fritzbox und dem Linksys fährst, aber ich würde das zu einem „flachen“ Netzwerk umwandeln und das meiste die Fritzbox übernehmen lassen. Das würde die ganze Sache sehr viel einfacher machen. Den E3000 kannst du trotzdem noch als reinen Access Point konfigurieren und das WLAN davon benutzen. Deine Fritzbox hat schon sehr ordentliche IPv6-Unterstützung, vielleicht sogar für den Heimgebrauch mit die einfachste. Du kannst die Fritzbox auch mit einem separaten Access Point nachrüsten. Dafür braucht man nicht zwangsläufig einen neuen Router.

Je nach dem, für was du den Linksys brauchst (wahrscheinlich wird gar kein NAT notwendig sein), könnte man das vielleicht auch anders und einfacher umsetzen mit weniger Nachteilen. Das mit dem flachen Netzwerk war jetzt nur ein Vorschlag, um das möglichst schnell und einfach richtig ans Laufen zu bekommen.

Ich hoffe doch sehr, diesen hier:

https://abload.de/img/keininternetzugriffv3ueu.png

Ja, genau den. Diese Link-Local-Adressen sind nur für lokalen Zugriff im Netzwerk.

Kannst du mir bitte noch meine Frage 1 erklären? Ich denke, ich habe da noch etwas nicht gerafft, wie das mit der Verteilung der Präfixe von

RIR --> ISP --> Fritzbox (allgemein: Endnutzergerät) --> nachgeschaltete Router --> LAN funktioniert.

Ich habe das noch nie mangels Anwendungsfall gemacht, aber eigentlich sollte ein DHCPv6-Client auf dem Linksys am entsprechenden Interface laufen und der sollte dann die Infos von der Fritzbox beziehen. Der Linksys verteilt das dann wiederum mit Router Advertisements an die angeschlossenen Clients. Habe ich in DD-WRT aber auch noch nie ausprobiert, kenne ich nur so von anderen Systemen.

Gast
2016-09-02, 23:22:39
@Mosher

Für die Ethernet-Schnittstelle im Windows erstmal die ULA der Fritzbox als DNSv6 eintragen.

Im Linksys die Prefix Length auf /56 und ebenfalls die ULA der Fritzbox als static DNS.

%17 ist keine Präfixlänge sondern das Interface.

Und besser die Fritzbox mit dem LAN- statt dem WAN-Port des Linksys verbinden.

Mosher
2016-09-03, 07:40:53
Ja stimmt, ich hatte quasi doppeltes NAT, hat aber alles funktioniert und war kein großer Aufwand.

Der Grund, warum ich überhaupt 2 Router habe, ist schlicht der, dass die Fritzbox keine so umfangreichen Funktionen zur IP-Verteilung bietet (nur dieses "diesen Computer merken?") und dass sich mein Wohnzimmer und Büro am anderen Ende des Hauses befinden und ich es einfacher fand, nur ein LAN-Kabel von FB zum E3000 zu legen und dort dann meine eigentliches Netzwerk aufzubauen.
Das hier fand ich ungemein hilfreich, da ich die Erfahrung gemacht hatte, dass die Hostname-Auflösung eh nur mäßig (cross-platform) funktioniert und mir deshalb lieber die IPs merke.
Geht einfacher, wenn diese nach einer gewissen Logik durchnummeriert sind.
Die Fritzbox kann das nicht. (Die Liste geht bis 192.168.1.41)


https://abload.de/img/statidnsgouv7.png


Andererseits: Bei IPv6 funktioniert das ja sowieso nicht mehr und auch mit dem IP-Merken wird das so eine Sache.
Die lokalen IPv6-Adressen sollten sich ja nicht ändern, oder? Das lokale Präfix bleibt gleich, der Identifier auch. Oder wirken sich die privacy extensions auch auf das LAN aus? Das wäre ungünstig :/






Ich könnte mir jetzt überlegen, den E3000 durch einen IPv6-fähigen Switch(mit integriertem WLAN-AP) zu ersetzen. Dann wäre die FB halt wieder mein DHCP(v6), aber ich hätte das Geschiss nicht mit Präfix durchreichen etc.

Was passiert denn eigentlich, wenn ich den E3000 nicht über WAN, sondern LAN anschließe, DHCP dort deaktiviere und die FB übernehmen lasse? Reicht der E3000 dann ohne Setup auch IPv6-Verkehr durch?

Meine Clients wären ja nach wie vor üner

Soll ich's probieren, oder wird's eh nicht funktionieren?

Mosher
2016-09-03, 07:55:50
Die Fritzbox kann das nicht.


https://abload.de/img/statidnsgouv7.png




Kommando zurück, sie kann es (gab wohl irgendwann mal ein FW-Update).

https://abload.de/img/fbmacw1sz2.png


Gut, dann kann ich ja zumindest IPv4-mäßig schon mal alles auf Fritzbox umstellen und den E3000 nur als Switch verwenden.
Ob das für IPv6 auch so funktioniert, wird sich herausstellen.

Mosher
2016-09-03, 08:25:32
Und so schnell kann's gehen :)

Funktioniert alles, wie ich es haben möchte und ich verliere sogar nicht mal den WAN-Port am E3000, da dieser sich der LAN-Seite zuweisen lässt.

Danke für den Tipp mit dem "vereinfache doch dein Setup" :)
Moshi hat mal wieder zu kompliziert gedacht.

Darkman.X
2016-09-03, 08:40:22
Nur mal so aus Neugierde:
Wieso machst du dir die Mühe alle Endgeräte schön durch zu nummerieren? Ein kleiner Ordnungswahn? ;) (wirklich nicht böse gemeint)

Ich wäre viel zu faul dafür. Ich gebe meinen angemeldeten Geräten höchstens einen schönen Namen, weil ich sie dann auch immer mit "Name.fritz.box" ansprechen kann statt der IP-Adresse.

Und IPv6 wird deine Pläne eh über den Haufen werfen. Da alles SLAAC-mäßig läuft, kannst du dort keine IP-Adressen schön durchnummeriert verteilen. Und "Name.fritz.box" funktioniert auch nur mit IPv4. Du könntest natürlich deine ganzen Endgeräte mit fd00::1, fd00::2 usw. durchnummerieren, aber das scheitert wiederum an den Android-/iOS-Endgeräten. Ohne Root-Rechten kannst du dort nichts verstellen.

Ich sehe schwere Zeiten auf dich zukommen ;)

Mosher
2016-09-03, 09:02:13
Hehe, ja, es ist zum einen digitaler Ordnungswahn, aber auch einfach der Logik meiner Nummerierung geschuldet.

Anders kann ich mir die Zuordnung von IP-Adresse -> Gerät bei ca. 40 Clients nicht merken.

Das mit dem Hostnamen schön und gut, aber ich habe auch schon ein paar mal erlebt, dass die Auflösung nicht geklappt hat und musste dann doch wieder auf die IP zurückgreifen.

Ja, IPv6 wird noch spannend werden. Mal sehen, wie ich das dann mache, aber vielleicht funktioniert ja bis dahin auch die Namensauflösung zuverlässig.

Wie kann ich eigentlich meine Clients per IPv6 nach außen hin per DynDNS erreichbar machen? Bei der Fritzbox ist es klar, die teilt dem DDNS-Service einfach ihre neure IP mit, aber wie funktioniert das jetzt zB auf meinem Raspberry?

lumines
2016-09-03, 11:33:42
Das mit dem Hostnamen schön und gut, aber ich habe auch schon ein paar mal erlebt, dass die Auflösung nicht geklappt hat und musste dann doch wieder auf die IP zurückgreifen.

Da kann ich dir sogar sagen, warum das so ist. DD-WRT und Co. benutzen fast alle dnsmasq für DHCP und DNS, aber das speichert die DHCP-Leases nicht auf dem Flash-Speicher, sondern nur im RAM (spart Schreibzyklen). Wenn man den Router dann neu startet, weiß der erst einmal nichts mehr von den Leases und den Hostnamen. Die meisten Clients erneuern nach der Hälfte der eingestellten Lease-Time wieder ihren Lease und erst dann kann man auch wieder die Hostnamen auflösen. Kann man ein bisschen beschleunigen, wenn man eine kurze Lease-Time wie 2h einstellt.

Die Fritzbox speichert diese Leases aber, meine ich. Da sollte man das Problem auch nach Reboots nicht haben.

Wie kann ich eigentlich meine Clients per IPv6 nach außen hin per DynDNS erreichbar machen? Bei der Fritzbox ist es klar, die teilt dem DDNS-Service einfach ihre neure IP mit, aber wie funktioniert das jetzt zB auf meinem Raspberry?

Es gibt so DynDNS-Dienste, die auch IPv6 können. Muss man dann auf dem Pi selbst einrichten.

IPv6 ist generell bei so etwas ganz nett. Mit NAT müsste man ja Port Forwarding machen, weil man nur eine öffentliche Adresse hat und das geht immer nur für ein Gerät je Port. Deshalb haben auch so viele Leute Probleme bei ihren Konsolen „offenes NAT“ zu bekommen, wenn sie mehr als eine Konsole benutzen. Zweimal den gleichen Port auf zwei unterschiedliche Geräte zu forwarden ist schwierig, wenn man nur eine IP hat. Bei IPv6 öffnet man einfach nur für das Gerät in der Firewall den Port und das war's. So kann man z.B. auch zwei Webserver auf Port 80 oder 443 mit unterschiedlichem Inhalt hosten. Bei IPv4 wäre der Port mit einem Gerät schon direkt „verbrannt“.

Und IPv6 wird deine Pläne eh über den Haufen werfen. Da alles SLAAC-mäßig läuft, kannst du dort keine IP-Adressen schön durchnummeriert verteilen. Und "Name.fritz.box" funktioniert auch nur mit IPv4. Du könntest natürlich deine ganzen Endgeräte mit fd00::1, fd00::2 usw. durchnummerieren, aber das scheitert wiederum an den Android-/iOS-Endgeräten. Ohne Root-Rechten kannst du dort nichts verstellen.

Also lokales DNS über die Hostnamen funktioniert auch einwandfrei mit IPv6. Setzt natürlich Stateful DHCPv6 voraus, was Android leider nicht kann. Aber IPv4 fällt ja auf absehbare Zeit auch nicht weg. Ich benutze für meine internen Sachen und Services auch ganz unheilig nur IPv4, solange es nicht überall Stateful DHCPv6 gibt. :^) IPv6 benutze ich eigentlich nur für Sachen, die außerhalb meines LANs laufen. Ist zwar nicht die reine Lehre™, aber was soll's. Wenigstens gehen mir so keine Vorteile von IPv6 verloren.

Man könnte natürlich auch einfach sagen, dass man sich für die genauen IPv6-Adressen der Clients eh nicht interessiert und die ihre Adresse per SLAAC generieren (einmal öffentlich, einmal ULA mit fd00:: ) und die Server einfach statische ULA-Adressen bekommen. Die könnte man dann ja auch einfach für lokales DNS benutzen und fest eintragen. Ich meine sogar, dass ich genau das einmal gemacht habe. Aber wie gesagt, fürs LAN ist es quasi Wurst, ob man per IPv4 oder IPv6 adressiert und da man aus Kompatibilitätsgründen eh auf lange Sicht nicht einfach IPv4 aufgeben kann, kann man auch einfach dafür noch IPv4 benutzen.

Mosher
2016-09-03, 12:23:04
Ok, ich werde mir das mal alles zu Gemüte führen und mein Setup nach und nach auf IPv6 umstellen. Lieber jetzt, wo ich jederzeit mein IPv4-"Fallback" habe, als in x Jahren, wenn ich dann panikartig aller zerkonfiguriere und nix mehr geht.

Vielen Dank lumines für deine Ausführungen!

Grüße,
Mosher

Mosher
2016-09-19, 19:12:26
Nachtrag: Habe jetzt auf meinem PI, meinem NAS und meinem Windowsrechner Scripte laufen, die meinem DynDNS-Anbieter das neue Präfix schicken.

Klappt wunderbar und meine Geräte sind jetzt mit eigenem Hostnamen erreichbar.
Man spart sich natürlich Portweiterleitungen und kann Ports auch doppelt belegen.

Wird doch langsam und soooo kompliziert war's jetzt (auch dank eurer Hilfe) nicht.
Mich schreckten bei der ganzen IPv6-Thematik hauptsächlich die vielen neuen Begriffe und Abkürzungen ab, von denen sich die meisten aber wie üblich nur als Luftblasen entpuppten.

Wer also ähnliches vorhat: Nur zu, ist halb so wild