Änderungen im LAN mit IPv6

[TomL]

Moin

Ich beschäftige mich seit kurzem mit IPv6 und muss zugeben, dass ich da einiges nicht verstehe. Der Grund ist, dass in kürze der Provider-Wechsel bei mir ansteht. Ich habe zwar zugesagten Dual-Stack, aber dennoch bin ich daran interessiert, über kurz oder lang die Migration nach IPv6 durchzuführen. Das ist eh nicht aufzuhalten, also will ich gleich von Anfang an schauen, ob ich das hinkriege.... obwohl wegen DS im Moment noch keine Eile besteht.

Die erste und wichtigste Frage, die mich gerade beschäftigt, ist die mit dem "eigenen" LAN-IP-Range. Unter IPv4 habe ich derzeit zwar eine WAN-IP meines IS-Providers, aber nach eigener Ordnung mehrere IPv4/24-Netze mit selbst vergebenen IP-Ranges eingerichtet, z.B. 10.10.1/24 und 10.10.2/4 und 10.10.3/24 usw. Das heisst, zwischen meinen eigenen Netzen und der ISP-WAN-IP gibts es keinen "namentlich" erkennbaren Zusammenhang.

Wenn ich das richtig verstehe, ist das mit IPv6 künfig anders. Ich kann anscheinend keine eigenen Netze mehr konfigurieren, sondern alle Clients erhalten den Subnet-Präfix/64 der ISP-IP und erhalten einen maschinell aus der MAC generierte NIC-Identifier. Letztendlich schließe ich daraus, dass jedes NIC eine weltweite einmalige IPv6 besitzt. Aber heisst das nicht auch, nix mehr mit DHCP oder leicht merkbaren von mir selber festgelegten IP's ....?...

Kann ich möglicherweise heute bei Nutzung eines IPv6-Anschlusses nicht mehr in meiner Fritte eine eigene Netz-IP einrichten und anschließend den Clients dazu passend (unabhängig der ISP-IPv6-IP) eine mir passende IP statisch vergeben und anderen Geräten eine IP aus vorgegebenen Range via DHCP zuteilen lassen?

Wie sind Eure Erfahrungen mit IPv6?

[mludwig]

IPv6 ist erstmal anders, man muss wie du schon gemerkt hast neu lernen, vor allen sich dabei von einigen alten Gewohnheiten trennen.

Zuerst: es gibt alle diese Möglichkeiten die du genannt hast, auch gleichzeitig:

- du erhälst IPv6 Adressen von deinem Provider. Diese sind bei den meisten Providern dynamisch, ändern sich also bei jeder Einwahl. Üblicherweise erhältst du mehrere Netze, die du intern nach belieben verwenden kannst. All diese IPs sind global gültig.
- du kannst für deine eigene Verwendung Unique Local Unicast IPv6 Adressen verwenden. DIese entsprechen etwa den privaten IPv4 Adressen und werden nicht im Internet geroutet, also nur intern geroutet. Wie bei IPv4 auch kann man sich hier ein(ige) Netz(e) aus einem vorgegebenen Bereich frei wählen. (üblich: ein /48 Netz aus dem Bereich fd00::/8 )
- zusätzlich gibt sich jedes Interface der IPv6 fähigen Geräte eine link-lokale Adresse, die nur in einer Broadcast Domain gültig ist. Diese wird üblicherweise aus der MAC Adresse berechnet, geroutet werden sie gar nicht. Bereich fe80::/10

Jede Netzwerkkarte kann also mehrere IPv6 Adressen besitzen, ein Netz ist überlicherweise /64 groß, man könnte es anders machen, aber damit kommen nicht alle Clients zurecht, in kleineren Netzen funktioniert SLAAC nicht. Einfach bei /64 bleiben.

Zur Verteilung in deinem Netz gibt es mehrere Verfahren, von denen man eins wählen oder auch mischen kann. Je nach Clients werden eventuell nicht alle Varianten unterstützt. Da wären DHCPv6 und SLAAC, für Routen gibt es Router Advertisments.

All das sollte beim googlen helfen, indem du du jetzt weist wonach du suchen musst ... oder zum Beispiel mal in Wikipedia nachsehen.

mludwig

[TomL]

Danke für Deine Erklärungen... die haben mir schon ein wenig weitergeholfen. Jetzt hatte ich aber gerade noch einen Gedanken.... und zwar zum Router. Unter IPv4 hat der Router die ISP-WAN-IPv4 und "pflegt" außerdem den IPv4-Range des LANs, der bezogen auf den Netzteil der beiden IP's (LAN vs. WAN) ja ein völlig anderes Netz darstellt.

Unter IPv6 ist es anscheinend heute so, dass wegen des Wiederbelebens von "End-to-End" das Adress-Mapping via NAT unnötig ist. Bedeutet das, dass die im Router vorhandene ISP-WAN-IPv6 auch nur eine Geräte-IP im ISP-Präfix-Subnet ist und er auch nur -wie alle anderen Clients in diesem LAN- einfach nur ein IPv6-Client ist, der seine IP ebenso wie allen anderen LAN-Clients mit der MAC selber generiert?

[wanne]

Ich möchte zuerstmal etwas allgmeines loswerden:
Defakto hat sich an der reinen Funktionsweise von IP eigentlich fast nichts gändert. (Fragmentierung und Checksummen sind weggefallen und die Adressen sind Länger geworden. Außerdem sind ein paar soweiso fast nie genutzte Flags durch mögliche Zusatzheader ersetzt worden) Das war es.
Nichts davon solltest du als Anwender wirklich merken und lediglich Router deutlich schneller (bzw. mit deutlich weniger Rechenleistung bei gleicher Geschwindigkeit) arbeiten lassen. (Fragmentierung eigentlich schon, aber das hat sowieso nie jemand bei irgend was bedacht. Gab dann viel Leid, wenn das mal passiert ist. Siehe VoIP und Co.)

Allerdings hat man gemerkt, dass unter IPv4 einige übliche Nutzungsweisen zu vielen Komplikationen geführt hat. Entsprechend wurden in den Standard viele Sachen wie IP verwendet werden soll. Das fing bei der Klarstellung einiger Namen an. (TTL heißt jetzt Hop Limit und Protocol Next Header.)

Daneben hat man Folgende Sachen eingebaut (in grau von mir abgegebene Erklärungen warm):

• NAT und Layer 4 Filtering macht einfaches und sinnvolles Kommunikationsdesighn schwer und effiziente Weiterenwicklung unmöglich. Außerdem sind NAT (im Vergleich zu Routing) zu enorm viel leistungshungriger. NAT ist eine enorme Verschwendung von Ressoucen.
  Während es für Malware eher ein kleines Problem ist, wenn man NAT-Traversal einbaut, der nur zu 99% funktioniert und extrem schwer zu warten und weiterentwickeln ist, ist das für Produktivsoftware ein echtes Problem. Insbesondere gab es massenhaft Sicherheitslücken, die erst durch NAT(-traversal) Mechanismen aufgeworfen wurden.
  Auch Adressmangel besteht nicht mehr
  Entsprechend hat man NAT für IPv6 erst gar nicht und dann nur für den äußersten Notfall spezifiziert.
• Netzwerkstrukturen ändern sich und es findet vorher nicht bedachte Kommunikation statt.
  Netzwerke die einmal völlig getrennt waren wollen ganz gerne doch irgend wann miteinander Reden. In jedem Unternehmen kann man schon Tage nach dem Einrichten zig VPNs und SSH-portforwardings sehen, die sich durch das Netz spannen und ursprünglich abgetrennte Netze miteinander verbinden.
  Lustig wird das spätestens dann wenn es Plötzlich zwei mal das gleiche Netz oder gar IP gibt und die so verbunden werden. (Hatte vor kurzem mal nen WLAN-Router für Tor gebaut. Der hat überall getan. Bei der Vorführung brach alles zusammen. Grund: Das Ding machte DHCP – und der Veranstelter nutzte das gleiche Netz extern wie ich intern 192.168.23/24 . Sehr hässlich.)
  Ganz abgesehen davon, dass einem das einen Ziemlichen Knoten in den Kopf macht wenn es 3 mal die 10.0.0.3 gibt und die je einen anderen Rechner meint, je nachdem wo man sitzt. und welche VPNs in welcher Reihenfolge gestartet wurden. (Beispiel wo ich arbeite.)
  Deswegn sagt IPv6, dass es jedes Netz nur ein mal geben soll – Und zwar weltweit. das gilt sowohl für das was einem der Provider gibt (Da Managed das die IANA, dass da nicht doppelt vergeben wird.) wie auch für die Privaten ULAs. (Da soll der Zufall dafür sorgen, dass keine zwei Netze gleich sind. Auch wenn das Dopplungen natürlich nicht vollständig ausschließt.)
  So kann man falls man das will jederzeit Rechner oder Netze einfach durch einen Weiteren Eintrag in der Routingtabelle (oder ggf. einen Router, falls da noch keine Verbindung da ist.) miteinander verbinden. Ganz ohne VPN oder sonstige Krücken.
• Netze wachsen. Gerne auch mal um Größenordnungen. (In den 90ern bekam plötzlich jeder ein PC statt nur noch 3 Spezialhansel. Und bald hat vielleicht jede Glühbrine einen Anschluss.) Und Adressen sind bei IPv6 genug da.
  Geht der Platz in einem Netz aus führt das zu extremen Problemen und extrem hässlichen Frikellösungen. Deswegen macht IPv6 Vorgaben zu
  Mindestgrößen.
  • Jedes Subnetz muss /64 sein. => 2⁶⁴ IPs fassen. Ausreichend für jedermann
  • Jeder Provider muss jedem Endkunden mindestens ein /56 (256 Subnetze) geben. Sollte sogar ein /48 weitergeben. So soll verhindert werden, dass einzelne Firmen dann zg Unterschiedliche Subnetze kaufen müssen und da dann völlig wild alles möglcihe zueinander Reinstecken, damit man das auch ja möglichst gut ausnutzt. Admins sollen die Möglichkeit haben Sinnvoll verschiedene Teile in verschiedene Subnetze packen zu können und dabei eben nur ein einzigen Präfix brauchen.
  • Provider selbst sollten mindestens /32 bekommen.

Das alles steht im Standard. Allerdings bauen die neuen Netze wieder die gleichen Leute auf, die schon IPv4 anders benutzt haben. Und gehen tut alles natürlich weiterhin. Man kann natürlich alles genau machen wie früher und Netzwerker hassen Veränderung. Praktisch alle Plastikrouter verhalten sich genau wie früher.
Und machen damit allen Möglichen Nutzen den man aus IPv6 ziehen könnte direkt wieder zu Nichte. In den meisten Firmennetzwerken sieht es ähnlich aus.
Mann kann also auch alles wie Früher machen.

Letztendlich schließe ich daraus, dass jedes NIC eine weltweite einmalige IPv6 besitzt.

Das war die Idee hinter dem Internet Protocol, als es 1982 entwickelt wurde. Das galt auch schon für IPv4. Erst über 10 Jahre später kam die Möglichkeit dazu, Private Adressen zu nutzen.
Allerdings eigentlich nur für wirklich abgetrennte Netze. Übertragungen zwischen Privaten und öffentlichen Adressen waren nicht vorgesehen.
(17 Jahre nach IPv4 gabs die erste RFC zu NAT.)

Aber heisst das nicht auch, nix mehr mit DHCP

Es gibt SLAAC als einfachere Alternative zu DHCP und DHCPv6 als wesentlich mächtigeres Werkzeug als DHCP.
DHCPv6 hat den sehr mächtigen Mechnanismus der Präfixdelegation. Sehr tolles Werkzeug für große Netzwerke. Für Zuhause eher unnötig.
DHCP selbst ist nur für IPv4 geschrieben. Da SLAAC DHCP in fast jeder Hinscht überlegen ist, gab es da keine Erweiterung auf IPv6.

von mir selber festgelegten IPs

Die sind ausdrücklich rausgeflogen. Es gibt ULAs Die sollen aber ausdrücklich zufällig erzeugt werden, damit keine Kollisionen mit gleihnamigen Netzen passieren.

leicht merkbaren von mir selber festgelegten IP's

Zum merken gibt es Hostnamen. Funktioniert 100 mal besser als irgend welche Nummern. Du kannst aber natürlich auch 1:: nutzen. Solang bis du mit jemand zusammen triffst, der die gleiche tolle Idee hatte.

Kann ich möglicherweise heute bei Nutzung eines IPv6-Anschlusses nicht mehr in meiner Fritte eine eigene Netz-IP einrichten und anschließend den Clients dazu passend (unabhängig der ISP-IPv6-IP) eine mir passende IP

Konntest du noch nie. IPs sind schon immer von der IANA vergeben worden.

Bedeutet das, dass die im Router vorhandene ISP-WAN-IPv6 auch nur eine Geräte-IP im ISP-Präfix-Subnet ist

Prinzipiell kann der Router das halten wie er will. Aber bei SLAAC gibt der den Ton an, der die kleinste IP hat. Entpsrechend sollte er den ::-Suffix wählen.

der seine IP ebenso wie allen anderen LAN-Clients mit der MAC selber generiert?

Die Generierung aus der MAC-Adresse ist eher was für Server.
Für Privatleute gibt es alternativ (oder zusätzlich) /proc/sys/net/ipv6/conf/all/use_tempaddr damit wächselt man jeweils die IP in eine Zufällige in regelmäßigen Abständen um Tracking zu erschweren.

außerdem den IPv4-Range des LANs, der bezogen auf den Netzteil der beiden IP's (LAN vs. WAN) ja ein völlig anderes Netz darstellt.

Du bekommst von deinem Provider (wenn der sich standartkonform verhält) mindestens ein /56 Das kannst du weiter in bis zu 256 unabhänige Subnetze unterteilen.

[wanne]

eine mir passende IP statisch vergeben und anderen Geräten eine IP aus vorgegebenen Range via DHCP zuteilen lassen?

Prinzipiell kannst du DHCPv6 nutzen, mit dem du weiter zuteilen kannst.
Üblicher ist SLAAC. Da entscheidet jeder Client selbst ob er eine Statische IP oder eine zufällige Dynamsiche haben will.
Typischerweise werden satische aus der MAC-Adresse generiert. Man kann aber auch einfach selbst welche wählen. (Um die Merkbarkeit zu verbessern.)
Nur wenn dein Provider das Präfix dauernd wechselt. (Weil er deutsch ist ) Ist da natürlich nichts mehr zu machen mit statischer IP. – Wie bei IPv4.
Da bietet es sich dann an zusätzlich eigene ULAs zu vergeben.

[mludwig]

Das war eine der ersten Sachen, die mir bei IPv6 im privatem Umfeld sauer aufgestoßen ist:

Bei jeder Einwahl bei der Telekom ändern sich die IPs in meinem internen Netz. Bei IPv4 hat das keine Rolle gespielt. Und genau dies war dann auch der Grund, warum ich mir für mein Netz zu Hause ULA konfiguriert habe. Die IPs bleiben, man kann dann sinnvoll Sachen im DNS eintragen und auch zu Hause Hosts per IPv6 ansprechen. Wenn sich die IPv6 dauernd ändert, nervt das einfach nur. Kann man nicht den rosa Riesen überzeugen, auch für private Nutzer statische IPv6 Adressen anzubieten? Vielleicht zusätzlich, sodass auch die Datenschutz-Fetischisten glücklich werden.

[TomL]

Moin

Ein paar Stunden habe ich heute damit verbracht, Eure Antworten und das, was ich passend dazu im Web zu gewissen Stichworten [1] gefunden habe, zu lesen und zu verarbeiten. Mein erster Eindruck: "boar.... *stöhn*". Ist also alles ganz schön kompliziert, wenn man gerne einfach nur ein paar Zusammenhänge verstehen möchte. Ich fasse mal meine Schlüsse zusammen und hoffe auf Korrekturen, wenn ich arg daneben liege.

• IPv6 ist ein 128-Bit-Konstrukt, IPv4 hat im Vergleich dazu nur 32 Bit. Neben vielen weiteren ist eine Auswirkung von IPv6 z.B. die unfassbare Anzahl von möglichen Netzwerk-Clients durch einen 64-Bit-Identifier. IPv4 ermöglicht bei meinem typischen Class-C-Netz (/24-Netz) lediglich nur 256 Client-IP's.
• Eine 128-Bit-IPv6 ist prinzipiell geteilt: in 64 Bit Netzwerk-Prefix und in 64 Bit NIC-Identifier
• Der 64 Bit-Netzwerk-Prefix unterteilt sich weiterhin in ISP-Prefix (z.B. 8,16 o. 32 Bit), Site-ID (Kundennetz) und Subnetz-ID. Kleine Provinz-Provider haben vermutlich einen 32-Bit-Prefix und somit eine geringere Anzahl Site-IDs. Große Provider mit z.B.16 Bit Prefix und 56-Bit-Kunden-Prefix haben einen 40 Bit großen Bereich für Site-IDs. Bei einem (hypothetischen) 32-Bit ISP- und (insgesamt) 56-Bit-Prefix können bis 256 Subnetz-IDs für einen Kunden definiert werden und jeweils 2^64 Client-IPs vergeben werden.
• Der NIC- bzw. Internet-Identifier ist evtl. ebenfalls unterteilt, z.b. in OUA [2], eine Konstante und der OEM-NIC-ID (siehe MAC)
• Ein Client erhält immer mehrere IPv6's, für ein NIC mindestens eine Link Local Unicast Adress (lokale Netz-IP) und eine Global Unicast Adress für den Zugang ins Internet
• Wegen "End-to-End" der Clients ist NAT nicht mehr erforderlich
• DHCP ist nicht mehr notwendig, da die Clients via SLAAC ihre eigenen IP generieren: Lokal mit dem Prefix fe80::/10, global nach Anfrage an den Router (Router Solicitation) nach dem ISP-Prefix.
• Mehrere Gespräche mit Providern haben ergeben, dass eine IPv6 üblicherweise nicht mehr (wie die ISP-IPv4) täglich zwangsgetrennt wird. Die Router-IP bleibt bis zum nächsten Reboot bestehen. Infolgedessen behalten auch die Clients ihre Global Unicast Adress ggf. über längere Zeit.
• Mit dem Umstand der längere Zeit gültigen Internet-IP eines Clients eröffnet sich die Frage der "äußeren nicht autorisierten" Reproduzierbarkeit von Internet-Aktivitäten eines Clients. Kann es deshalb sinnvoll sein, selber den Router regelmäßig zu trennen, um über eine neue ISP-Internet-IP für den Router und infolgedessen auch für die Client eine längere Beobachtung zu erschweren oder einfach nur die Clients zu verschleiern?
• Durch den Wegfall von DHCP und dem Abraten von eigenen Adressranges stelle ich mir gerade in Frage, ob es überhaupt noch sinnvoll ist, lokale Static-IPs für den Client vorzusehen, wenn eine neue Router-Internet-IP sowieso zur Neugenerierung via SLAAC bei den Clients sorgt. Was bringt es überhaupt noch, eine statische lokale IP manuell zu pflegen, wenn die sowieso keine Relevanz für den Internet-Zugang hat?
• Wann ist für mich als (heimischer) Admin eines kleinen Netzes überhaupt noch die explizite Kenntnis und Verwendung irgendeiner IP erforderlich, wenn ich doch intern im Netz alle Clients über DNS und ihren Host-Namen ansprechen kann bzw. können sollte?
• Heute und mit meiner alten Fritte 7270 (die jetzt ausgetauscht wird) habe ich immer wieder mal das Problem, dass ein Client nicht mit dem Hostnamen gefunden wird, sondern nur über die IP. Ist das ein Problem meiner alten Fritte...?... oder meines Customzings? Merkwürdig ist der Umstand, das der Fehler nicht konstant auftritt und nicht gezielt reproduzierbar ist. An dieser Stelle war für mich natürlich die Kenntnis der wenigen Static-IPs meiner wichtigen Rechner relevant. Aber IPv6 auswendig lernen zu müssen ist natürlich keine Alternative.... *hmmm*

Na ja.... das wars erst mal, was mich hierbei beschäftigt hat. Und ich hoffe natürlich, dass ich nicht ganz zu weit daneben liege.... für einige Fragen konnte ich keine Antworten finden. Aber ich denke mal ... was nachher best-praktice ist .... ?... ich glaube, das kriegt man erst raus, wenn mans erfolgreich eingerichtet und 'ne Zeitlang betrieben hat.

[1]
http://www.elektronik-kompendium.de/sit ... 902131.htm
http://www.ipv6-portal.de/
http://www.ipv6-portal.de/informationen ... ifier.html

[2]
Organizationally Unique Identifier = Hersteller

[mludwig]

[*]DHCP ist nicht mehr notwendig, da die Clients via SLAAC ihre eigenen IP generieren: Lokal mit dem Prefix fe80::/10, global nach Anfrage an den Router (Router Solicitation) nach dem ISP-Prefix.

Man kann aber noch DHCPv6 verwenden, wenn man IPs selbst verwalten möchte. Das steht dann im Router Announcement drin - managed vs unmanaged - empfängt der Client ein RA, weiß er das es ein IPv6 fähiges Netz ist, im RA steht die IP des Routers, das Netz, und ob es ein (un)managed Network ist. In einem unmanaged network steht hoffentlich noch die IP des DNS-Servers drin, dann hat der Client alles, um die IPv6 Konnektivität aufzubauen ( IP aus dem Netz per SLAAC bilden, GW und DNS sind bekannt.)

[*]Mit dem Umstand der längere Zeit gültigen Internet-IP eines Clients eröffnet sich die Frage der "äußeren nicht autorisierten" Reproduzierbarkeit von Internet-Aktivitäten eines Clients. Kann es deshalb sinnvoll sein, selber den Router regelmäßig zu trennen, um über eine neue ISP-Internet-IP für den Router und infolgedessen auch für die Client eine längere Beobachtung zu erschweren oder einfach nur die Clients zu verschleiern?

Hierfür wurden die Privacy Extensions erfunden. Clients würfeln dann in festen Abständen eine neue IPv6-Adresse aus, sie wird nicht mehr fest aus der MAC berechnet. Die alte IPv6 Adresse bleibt noch eine Zeitlang für langfristige IP-Verbindungen (Downloads, VPN) erhalten, für neue Verbindungen wird die neue IP benutzt.

[*]Durch den Wegfall von DHCP und dem Abraten von eigenen Adressranges stelle ich mir gerade in Frage, ob es überhaupt noch sinnvoll ist, lokale Static-IPs für den Client vorzusehen, wenn eine neue Router-Internet-IP sowieso zur Neugenerierung via SLAAC bei den Clients sorgt. Was bringt es überhaupt noch, eine statische lokale IP manuell zu pflegen, wenn die sowieso keine Relevanz für den Internet-Zugang hat?

Für den Internetzugang irrelevant, aber für Server, NAS, Drucker und Gateways hätte ich schon gerne statische IPs, die sich dann auch im DNS pflegen lassen und die auch Routing können (Damit fällt link-lokal weg) - zum Beispiel für VPN-Zugriffe oder wenn man zu Hause sein Netz in mehrere Subnetze unterteilt hat (Gäste-WLAN, LAN für die Kinder/fürs Arbeitszimmer etc). Wenn sich dass immer wieder ändert, finde ich das jedenfalls lästig.

[*]Wann ist für mich als (heimischer) Admin eines kleinen Netzes überhaupt noch die explizite Kenntnis und Verwendung irgendeiner IP erforderlich, wenn ich doch intern im Netz alle Clients über DNS und ihren Host-Namen ansprechen kann bzw. können sollte?

Die IP musst du nicht wissen, wenns im DNS eingetragen ist.

Ansonsten: bei mir läuft jetzt alles im Dual-Stack-Betrieb, mal sehen wie lange es dauert bis man IPv4 nicht mehr braucht. Das kann bestimmt noch eine ganze Weile dauern.

mludwig

[TomL]

Für den Internetzugang irrelevant, aber für Server, NAS, Drucker und Gateways hätte ich schon gerne statische IPs, die sich dann auch im DNS pflegen lassen und die auch Routing können (Damit fällt link-lokal weg) - zum Beispiel für VPN-Zugriffe oder wenn man zu Hause sein Netz in mehrere Subnetze unterteilt hat (Gäste-WLAN, LAN für die Kinder/fürs Arbeitszimmer etc). Wenn sich dass immer wieder ändert, finde ich das jedenfalls lästig.

Ja, das scheint sinnvoll zu sein. Um auf Wannes Beispiel zurückzukommen... machst Du dann wirklich mit den lokalen Static-IPs sowas wie:

Subnet 1 und 1-bis n Clients
1::1 z.B. Server
1::2 z.B. Drucker
1::3
1::n

Subnet 2 und 1 bis n Clients
2::1
2::n

Subnet 3 und 1 bis n Clients
3::1
3::2
3::n

Also nur einen 4 oder 8 Bit Prefix und eine (vermutlich maximal) 16-Bit-Client-ID? Würde das so gehen? Da ich mit meinem Heimnetz nicht reise und somit vermutlich nie in Kontakt mit gleicher fremder Netz-Notation käme, kann ich mir einen Konflikt nach außen eigentlich nicht vorstellen.... zumal das ja eh nur LAN ist. Eine solche Benennung ersetzt ja nicht die Globalen ID's. Ist es nicht so, dass der Internet-Traffic doch davon unberührt ist?. Mich irritiert allerdings Dein Hinweis aufs VPN. Bei mir brauchte der VPN-Server auf jeden Fall die Globale IP, da ich ihn ja von außen ansprechen muss.... aber innerhalb des LAN wäre mir egal, welche IP er hat.

Die IP musst du nicht wissen, wenns im DNS eingetragen ist.

Dieser Hinweis hat mich auch irritiert.... denn genau das habe ich bisher nie gemacht. Irgendwie regelt das doch die Fritte automatisch,...oder? Das heisst, die merkt sich doch die Hostnames der Geräte, die sich anmelden....?... nur meine ich bemerkt zu haben, dass das manchmal eben auch nicht klappt.

[mludwig]

Ich vergebe nicht alle IPs von Hand, nur für den Gateway macht sich das mit der ::1 ganz nett. Ich habe mir aus dem Bereich fd00::/8 ein Netz (/48) für mich ausgewürfelt. Soviel werde ich die nächsten Jahre nie brauche, aber es kost ja nix. Je Subnetz ein /64 am Router eingetragen und damit sendet er also auch dafür Router Advertisments. Die Geräte im Netz geben sich also per SLAAC eine IPv6 Adresse (auch) aus diesem Bereich. Da sich dieser Netzbereich ja nie ändert, da statisch von mir vorgegeben, kann ich diese IPs im DNS eintragen, einfach per Copy/Paste. Die eigentliche IP ist mir ja egal, die muss nicht schön sein.

Jetzt kann ich aber z. B. auf der Firewall Clients im Gastnetz Zugriff auf den Drucker im Heimnetz geben, in dem ich Zugriffe auf dessen (feste) IP per Regel freigebe.

VPN-Zugriff von außen: es muss von außen lediglich die IP(v6) Adresse des VPN-GW bekannt sein, das geht so wie bisher mit DynDNS-Anbietern, die inzwischen auch IPv6 unterstützen. Wenn der Tunnel einmal steht und IPv6 kann, greifen dann wieder die Zugriffsregeln, da ja die IPs des VPN-Netzes und des Heimnetzes bekannt sind, die Hosts stehen im DNS. Bei den Tunneln muss man halt entscheiden, nachdem was ich bisher so mitbekommen habe: ein Tunnel transportiert entweder IPv4 oder IPv6, aber nicht beides ...

Deine Fritzbox lernt die IPs (bei IPv4) der Clients schon bei der DHCP-Anfrage, die ja meist den Namen des Clients enthalten. Da sie ja über alle vergebenen IPs sowieso Buch führen muss, damit nichts doppelt vergeben wird, kann sie das auch gleich im DNS eintragen. Da bei IPv6 mit SLAAC ja kein DHCP gemacht wird, fällt dieser Mechanismus weg. Wenn man das also für IPv6 automatisieren will wird wieder DHCP fällig. Falls jemand einen anderen Mechanismus kennt, immer her damit. Windows Clients können das im Active Directory (Verbindung im DNS registrieren heisst hier der Schalter glaube ich), aber für alle anderen Geräte? Windows gehört hier bei mir zu einer aussterbenden Spezies.

mludwig

[mat6937]

..., aber für alle anderen Geräte?

Für Geräte mit Linux kannst Du das z. B. mit nsupdate und einer service-unit (systemd) machen.

[TomL]

Ich vergebe nicht alle IPs von Hand, nur für den Gateway macht sich das mit der ::1 ganz nett. Ich habe mir aus dem Bereich fd00::/8 ein Netz (/48) für mich ausgewürfelt. Soviel werde ich die nächsten Jahre nie brauche, aber es kost ja nix. Je Subnetz ein /64 am Router eingetragen und damit sendet er also auch dafür Router Advertisments. Die Geräte im Netz geben sich also per SLAAC eine IPv6 Adresse (auch) aus diesem Bereich. Da sich dieser Netzbereich ja nie ändert, da statisch von mir vorgegeben, kann ich diese IPs im DNS eintragen, einfach per Copy/Paste. Die eigentliche IP ist mir ja egal, die muss nicht schön sein.

Damit bin ich dann wohl erst mal raus denn im Moment komme ich mir eher wie ein Blinder vor, der am Gespäch über Farben teilnimmt. Diese Möglichkeiten sind in meiner alten Fritzbox gar nicht gegeben. Das heisst, das ist jetzt im Moment alles nur Theorie für mich, ich kann das nicht reproduzieren. Allein die Tatsache mehrere Subnetze in die Fritzbox einzutragen kenn ich bei meinem Router als Möglichkeit nicht. Ich muss jetzt einfach abwarten, bis die neue Fritzbox in den nächsten 2 Wochen hier eintrudelt. Und dann möchte ich das Thema bei Problemen evtl. noch mal ausgraben. Aber eines ist sicher, das hier war für mich bisher sehr erfolgreich ... ich habe viel dazu gelernt. Und ich bin etwas weniger beunruhigt wegen der Neuerungen mit IPv6.

Danke!

[TomL]

Moin @ all

Seit Freitag läuft bei mir der "Dualstack"... im Moment habe ich als sowohl eine WAN-IPv4 als auch einen \56'er ISP-Prefix.

Üblicher ist SLAAC. Da entscheidet jeder Client selbst ob er eine Statische IP oder eine zufällige Dynamsiche haben will.
Typischerweise werden satische aus der MAC-Adresse generiert. Man kann aber auch einfach selbst welche wählen.

Aber genau das hier -SLAAC- will mir nicht gelingen.... und ich kriegs nicht hin festzustellen, was vielleicht vor meinen speziellen Rahmenbedingungen die Ursache ist.

Die Rahmenbedingungen:

• System: Debian Jessie (kein Standard-DE)
• Netzwerk: wird über systemd-networkd gestartet (/etc/init.d/networking und /etc/network/interfaces sind inaktiv)
• Networkmanager: nicht installiert.
• Dhcp: isc-dhcp-client und isc-dhcp-common
• sysctl.conf: use_tempaddr=2, temp_prefered_lft = 43200, temp_valid_lft = 86400 (für default, all und eth0)
• Setting Router-Advertisement: Nur DNS

Das Problem:
Die IPv6-Adressen werden erzeugt. Da vom Router (RA) nur DNS gesendet wird, vermute ich mal via SLAAC

Code: Alles auswählen

ip -6 a
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
    inet6 2003:****:****:****:****:***:****:****/64 scope global temporary dynamic 
       valid_lft 7109sec preferred_lft 1709sec
    inet6 2003:****:****:****:****:***:****:****/64 scope global mngtmpaddr dynamic 
       valid_lft 7109sec preferred_lft 1709sec
    inet6 fe80::****:****:****:/64 scope link 
       valid_lft forever preferred_lft forever

Mein Problem ist die Lifetime. Obwohl die temporary IP (wie man sieht) ein Lifetime-Limit hat, ist sie dennoch faktisch "forever". Ganz einfach dadurch, dass sie regelmäßig bei jedem RA und beim Stand von etwa 900 Sekunden einfach auf den Initialwert von 1800 Sec. resetted wird. Das heisst, die temporary IPv6 wird NIE deprecated.

Ich konnte das RA unmittelbar mit dem Lifetime-Reset zeitlich in Zusammenhang bringen und direkt beobachten:

Code: Alles auswählen

tcpdump -v -ni eth0 'icmp6 and (ip6[40] == 134)'

Meine Befürchtung ist nun, dass systemd-networkd das in Jessie vielleicht schlichtweg nicht ordentlich unterstützt. Beispielsweise produziert dieser Eintrag "IPv6PrivacyExtensions=true" in der /etc/systemd/network/eth0.network den Fehler "unbekannte Einstellung (o.s.ä.).

Jetzt habe ich Hoffnung, dass hier schon mal jemand IPv6 unter ähnlichen Bedingungen ans Laufen gebracht hat und mir mit nem Lesetipp weiterhilft... oder vielleicht sogar erklärt, dass wirklich systemd die Problemquelle ist. Was kann die Ursache für mein Problem sein?

[mat6937]

Meine Befürchtung ist nun, dass systemd-networkd das in Jessie vielleicht schlichtweg nicht ordentlich unterstützt. Beispielsweise produziert dieser Eintrag "IPv6PrivacyExtensions=true" in der /etc/systemd/network/eth0.network den Fehler "unbekannte Einstellung (o.s.ä.).

Versuch mal in der [Network]-Section deiner *.network-Datei, mit dem Eintrag:

Code: Alles auswählen

IPv6PrivacyExtensions=kernel

oder

Code: Alles auswählen

IPv6PrivacyExtensions="kernel"

EDIT:

... und in die [Address]-Section der *.network-Datei, auch:

Code: Alles auswählen

ManageTemporaryAddress=true

eintragen.

[TomL]

Code: Alles auswählen

Nov 13 14:30:15 thomaspc systemd-networkd[1159]: [/etc/systemd/network/eth0.network:8] Unknown lvalue 'IPv6PrivacyExtensions' in section 'Network'
Nov 13 14:30:15 thomaspc systemd-networkd[1159]: [/etc/systemd/network/eth0.network:16] Unknown lvalue 'ManageTemporaryAddress' in section 'Address'

Darauf basiert ja meine Vermutung, dass die vielleicht zu alte systemd-Version in Jessie vielleicht die Ursache der Probleme ist.