networkd - scopes, mehrere ipv6

[h1ght]

moin,

da mir gerade etwas langweilig ist, und ich länger schon mich davor herdruxe, wollt ich vom network-manager zu networkd wechseln. mit nm hab ich zusätzlich zu den automatischen link local addressen (fe80/fd00) eine fd00::dead hinzugefügt, weil man das sich schneller merken kann als eine ganze v6.
nun sagt networkctl status enp4s0, nun das gleiche wie im auslieferungszustand.

Code: Alles auswählen

 
Address: 192.168.178.42
              2a00:6020:b228:2000:9e6b:ff:fe05:17a
              fd00::9e6b:ff:fe05:17a
              fe80::9e6b:ff:fe05:17a
Gateway: 192.168.178.1
               fd00::6b4:feff:fe9b:4a7b
               fe80::6b4:feff:fe9b:4a7b
 DNS: 192.168.178.42
         fd00::6b4:feff:fe9b:4a7b
         2a00:6020:b228:2000:6b4:feff:fe9b:4a7b

Code: Alles auswählen

[Match]
Name=enp4s0
[Network]
Address=192.168.178.42/24
Gateway=192.168.178.1
DNS=192.168.178.42
DHCP=no
[Address]
Address=fd00::dead
scope=link

betreibe local adguard home + unbound bei mir, deswegen ist da es noch zusätzlich eingetragen. privacy extension is auscgeschaltet per sysctl. hab ich was gravierendes überlesen?

[JTH]

moin,

Moin.

Code: Alles auswählen

Address=fd00::dead

Da fehlt am Ende die Länge des Netzwerkpräfixes: /64.

Code: Alles auswählen

scope=link

Das dürfte case-sensitiv sein, müsste also

Code: Alles auswählen

Scope=link

lauten.

[cosinus]

Da fehlt am Ende die Länge des Netzwerkpräfixes: /64.

Wieso muss man das eigentlich noch angeben? In einem LAN ist es doch klar, dass man nur /64-Präfixe nutzen kann. Oder ist irgendwann Sub- oder Supernetting für IPv6 vorgesehen?!

[h1ght]

Da fehlt am Ende die Länge des Netzwerkpräfixes: /64.

Wieso muss man das eigentlich noch angeben? In einem LAN ist es doch klar, dass man nur /64-Präfixe nutzen kann. Oder ist irgendwann Sub- oder Supernetting für IPv6 vorgesehen?!

wenn man mit prefix und / angibt würde der doch auch gewissen punkt random eine rausnehmen soweit ich das verstanden hab, das wäre privacy extension. (??)


muss ich ma gucken obs am case sensetive liegt. ich schau mal.

Code: Alles auswählen

[Match]
Name=enp4s0
[Network]
Address=192.168.178.42/24
Gateway=192.168.178.1
DNS=192.168.178.42
DHCP=no
[Address]
Address=[fd00::dead]/64
Scope=link

hab mal geguckt, mit [] gehts auch nicht. meh. networkctl sagt, enp4s0 is configured. mal bei freedesktop mal die manpages nochmal 2 mal lesen.

[cosinus]

wenn man mit prefix und / angibt würde der doch auch gewissen punkt random eine rausnehmen soweit ich das verstanden hab, das wäre privacy extension. (??)

Ähh, nee, mit privacy extensions hat das so nichts zu tun. IIRC hat man das einfach so definiert, dass man als tatsächlich nutzbare Netze bei IPv6 nur die mit Präfix /64 nimmt. Welche mit größerem Präfix, also damit kleinerem Hostanteil, sind nicht vorgesehen. Dann würde nämlich auch sowas wie EUI-64 nicht mehr funktionen, das wird bei SLAAC benötigt, und das funktioniert halt nur, wenn der Hostanteil genau 64 Bit lang ist. Dir privacy extensions sorgen nur dafür, dass zusätzlich eine weitere Adresse generiert wird, bei dem der 64-Bit-Hostanteil komplett gewürfelt ist.

Vom Provider sollte man ein großes 48er oder ein etwas kleineres 56er Netz bekommen. Aber das muss man erstmal subnetten zu einem 64er, bevor man es nutzen kann.

[JTH]

wenn man mit prefix und / angibt würde der doch auch gewissen punkt random eine rausnehmen soweit ich das verstanden hab, das wäre privacy extension. (??)

Ne, dafür gibt es IPv6PrivacyExtensions=.

Code: Alles auswählen

Address=[fd00::dead]/64
Scope=link

hab mal geguckt, mit [] gehts auch nicht.

Warum denn nun in […]? Das ist doch keine URL. Ne reine IPv6-Adresse gibst du hier ohne an: fd00::dead/64. Muss noch nicht dein Problem lösen – das sind nur erstmal offensichtliche Fehler.

[cosinus]

hab mal geguckt, mit [] gehts auch nicht. meh. networkctl sagt, enp4s0 is configured. mal bei freedesktop mal die manpages nochmal 2 mal lesen.

Deine Konfig sieht falsch aus. Probier es mal so:

Code: Alles auswählen

[Match]
Name=enp4s0

[Network]
DHCP=no
Address=fd00::dead/64
Address=192.168.178.42/24
Gateway=192.168.178.1
DNS=9.9.9.9
IPv6PrivacyExtensions=kernel

Per Router Advertisment bekommst du aber dennoch eine "echte" IPv6-Adresse. Deine manuelle statische Adresse fd00::dead ist nämlich nur für internen Verkehr da, ist vergleichbar mit einer Adresse aus 192.168.0.0/16

[h1ght]

wenn man mit prefix und / angibt würde der doch auch gewissen punkt random eine rausnehmen soweit ich das verstanden hab, das wäre privacy extension. (??)

Ne, dafür gibt es IPv6PrivacyExtensions=.

Code: Alles auswählen

Address=[fd00::dead]/64
Scope=link

hab mal geguckt, mit [] gehts auch nicht.

Warum denn nun in […]? Das ist doch keine URL. Ne reine IPv6-Adresse gibst du hier ohne an: fd00::dead/64. Muss noch nicht dein Problem lösen – das sind nur erstmal offensichtliche Fehler.

hab irgendwo das aufgeschnappt, je nach programm etc. ob script usw. wollen die manchmal [] haben. nungut
@cosinus
hab deine conf probiert, dann networkctl new enp4s0, und dann nochmal geguckt. funzt irgendwie nicht. kann es sein das man per networkd keine eigene ula's setzen darf? ich les mal nachher mich mehr rien.

[cosinus]

Du musst aber auch den entsprechenden Dienst aktivieren.

Code: Alles auswählen

systemctl enable systemd-networkd

Hast du das gemacht? Sonst wird das nie etwas mit der config in /etc/systemd/network

[JTH]

Code: Alles auswählen

systemctl enable systemd-networkd

Hast du das gemacht? Sonst wird das nie etwas mit der config in /etc/systemd/network

Würd ich mal von ausgehen, da ja zumindest die IPv4 wie konfiguriert gesetzt ist.

dann networkctl new enp4s0

Ich nehme an, du meinst networkctl renew? Das wäre hier ohne Effekt, da du kein DHCP benutzt. Was du nach Ändern der .network brauchst, ist ein

Code: Alles auswählen

networkctl reload && networkctl reconfigure

[cosinus]

Wurde denn die Konfigdatei interfaces in /etc/network umbenannt zB in sowas wie interfaces.bak?

[h1ght]

Wurde denn die Konfigdatei interfaces in /etc/network umbenannt zB in sowas wie interfaces.bak?

hab die in mein ~home ordner bewegt.
networkd hatte ich vorher enabled, ja networkctl renew, hätte eigentlich von selbst draufkomm könn wenn da dynamisch steht.
für mich beim rumprobieren hat systemctl restart systemd-networkd geholfen, oder alternativ

Code: Alles auswählen

networkctl reload && networkctl reconfigure

ich hab jetzt die zusatz-addressen unter nen eigenen label wieder gesetzt.

Code: Alles auswählen

[Address]
Address=fd00::dead/64

einmal ein layer8 problem wenn man im jargon bleiben möcht.

frag mich wieso die scopes nicht gesetzt wird. ob link oder 253 laut

Code: Alles auswählen

cat /etc/iproute2/rt_scopes
#
# reserved values
#
0       global
255     nowhere
254     host
253     link
#
# pseudo-reserved
#
200     site

[cosinus]

Mach es doch 1:1 erst so wie ich es reingeschrieben habe.

[h1ght]

Mach es doch 1:1 erst so wie ich es reingeschrieben habe.

damit hats auch gefunzt, jedoch wollt ich halt nen scope vergeben, das geht ja nur im [address] label? wollt das es schön aussieht und iproute2 die korrekten scopes anzeigt, sonst steht da global. funzen tuts ja "it just works"

[cosinus]

Versteh ich nicht, wofür brauchst du den scope? Du weist doch manuell eine statische Adresse zu -> fd00::dead
Und Adressen die mit fd anfangen sind eh privat und werden im Internet nicht geroutet. Eben wie die privaten IPv4-Adressen wie zB 192.168.178.44

[h1ght]

Versteh ich nicht, wofür brauchst du den scope? Du weist doch manuell eine statische Adresse zu -> fd00::dead
Und Adressen die mit fd anfangen sind eh privat und werden im Internet nicht geroutet. Eben wie die privaten IPv4-Adressen wie zB 192.168.178.44

das mein ich ja, wenn ich alles per dhcp z.b. automatisch aushandeln lasse zeigt iproute2 korrekt die scopes für die addressen auf. also wenn meine fritte ula erlaubt zu vergeben. da ich halt über scope unter [address] gestolpert bin wäre es nen nice to have wenn man ip addr show macht auch dort das richtige scope stehen würde, standartmäßig sind alle statischen ipv6's automatisch global. wollt halt für die ulas halt nen scope setzen damits halt "korrekter" aussieht, es funzt ja. ist so ähnlich wie bei windows mit TB/TiB.

[wanne]

Wieso muss man das eigentlich noch angeben? In einem LAN ist es doch klar, dass man nur /64-Präfixe nutzen kann. Oder ist irgendwann Sub- oder Supernetting für IPv6 vorgesehen?!

Ja. Natürlich. /64 ist lediglich das kleinste legitime Subnetz. (Als pPerformanceoptimierung, dass Router unabhängig vom Subnetz nie die hinteren 64Bit lesen müssen.) Es ist völlig legitim, ein /54 z haben. Lediglich SLAAC/Autokonfigurierte Netze müssen /64 sein. Welche aus 6to4 /48.

ulas halt nen scope setzen damits halt "korrekter" aussieht

Prinzipiel sind link-local halt für fe80 standardisiert. Sie müssen auch beim Routing gar nicht beachtet werden während du das zumindest ein mal auf Localhost haben willst. Deswegen ist global schon das richtige. Der Standard kennt eigentlich noch Site-local. Das wäre dann FEC0::/10 und würde eigentlich deutlich besser zu deinem Szenario passen. (ULA sollen zufällig generiert sein.) Aber noch nie in Action gesehen.

[cosinus]

Es ist völlig legitim, ein /54 z haben. Lediglich SLAAC/Autokonfigurierte Netze müssen /64 sein. Welche aus 6to4 /48.

Interessant. Ich dachte bisher immer, dass man für sein LAN selbst immer nur 64er-Netze nutzen kann. Vom Provider bekommt man zwar nen 48er- oder 56er-Netz zugewiesen, aber daraus muss man bzw der Router erstmal ein oder mehrere 64er-Netze machen, bevor man das so tatsächlich nutzen kann. Aber ohne SLAAC ist doch eh nur ne theoretische Möglichkeit?

[h1ght]

Es ist völlig legitim, ein /54 z haben. Lediglich SLAAC/Autokonfigurierte Netze müssen /64 sein. Welche aus 6to4 /48.

Interessant. Ich dachte bisher immer, dass man für sein LAN selbst immer nur 64er-Netze nutzen kann. Vom Provider bekommt man zwar nen 48er- oder 56er-Netz zugewiesen, aber daraus muss man bzw der Router erstmal ein oder mehrere 64er-Netze machen, bevor man das so tatsächlich nutzen kann. Aber ohne SLAAC ist doch eh nur ne theoretische Möglichkeit?

ipv6-pd macht dann ausn /56 netzt weitere. aber wie man die als fritzbox-admin managed. keine ahnung. hast lediglich die option es per router-advertising und dhcpv6 weiterzuleiten. dann steht da "/62 delegiert" und bei journalctl systemd-networkd steht da auch drinne das es nen netzt bekomm hat. so wie ich es verstanden hab, sollte es dann keine ports mehr geben, weil dann jeder rechner/netz millionen von addressen selbst generiert. so soll jede app ne eigene ip haben. zumindest hab ich das irgendwo so aufgeschnappt.

Der Standard kennt eigentlich noch Site-local. Das wäre dann FEC0::/10 und würde eigentlich deutlich besser zu deinem Szenario passen. (ULA sollen zufällig generiert sein.) Aber noch nie in Action gesehen.

die "guides" die ich zu ipv6 gelesen hab, meinten fc/fd wäre für "intern" reserviert, site-local hör ich auch zum ersten mal. site sei ja ein pseudo-scope und ich manchen texten die ich las, wäre site wiederum verworfen worden. damals hat meine fritzbox auch immer den falschen ipv6-identifier bei den port-freigaben genomm und nat ging nie. wollt mich dann nie weiter befassen damit weil self hosting damit eh fürn hintern is bzw. nich möglich. subnetze etc. sind für die paar rechner zuhause auch zuviel etc. kannst dir vorstellen wie ich das thema mit einer kneifzange anfasse. denke das wirste nie in action sehen weil es immer noch viele andere so behandeln, keine echte ipv4, kein echter admin so in dem thema. gibt doch haufen seiten wie github die nur ipv4 ausspucken.

[wanne]

Aber ohne SLAAC ist doch eh nur ne theoretische Möglichkeit?

Wie gesagt VPN/Tunnellösungen wie 6to4 nutzen andere Netzmasken. Rein theoretisch kann dhcpv6 im statefull mode, andere Masken angeben. Laut Standard muss da aber 64 stehen. Also ja: In 99% der Fälle willst du das /64 haben, weil das eh schon riesig ist. Das sollte IMHO default sein. Nicht das nutzlose /128.

[cosinus]

so soll jede app ne eigene ip haben. zumindest hab ich das irgendwo so aufgeschnappt.

Da hab ich noch nix von gehört. Aber dafür würde auch schon ein kleines 64er Netz reichen, denn damit hast du ja schon 2^64 also über 18 Trillionen IP-Adressen.

[h1ght]

so soll jede app ne eigene ip haben. zumindest hab ich das irgendwo so aufgeschnappt.

Da hab ich noch nix von gehört. Aber dafür würde auch schon ein kleines 64er Netz reichen, denn damit hast du ja schon 2^64 also über 18 Trillionen IP-Adressen.

damit soll halt nat abgeschaft werden. nat bei ipv6 wird ja aus gewohnheit draufgepackt als port. btw. haste irgendwelche empfehlungen was es als ebook oder so gibt zum thema netzwerk? ich würfel halt mit bissel halbwissen hin & her und weiß dann ebend nich woher ich das hab. glaube wendell von level1 hat davon mal was geschwafelt. ging darum das man als moderner systemer sein system in rack wirft, die mac-addresse in einer config hinzufügt und der rest automatisiert von statten geht docker/kubernetes/ansible etc. sonst gibts ja meist nur primer und setzen drauf an das man perfekt bei v4 netzwerken kann, vorallem rall ich nich wieso subnetze bei ipv6 errechnet werden soll. das ist ja wegen der knappheit.

will lokalen ipv6 prefix den man sich gut merken kann im gegensatz zum gesammten globalen prefix.

[cosinus]

NAT hast und brauchst du bei IPv6 nicht, weil der Adressraum gigantisch ist. Ein 64er-Netz hat einen gewaltigen Platz für Clients. Den bekommste nie voll. Deswegen gibt es auch keinen Grund, in einem LAN ein 62er-Netz zu nutzen.

Das Subnetting braucht man nur, wenn man vom Provider ein statisches 48er oder 56er Netz bekommst und du das manuell in mehrere 64er-Netze zerhacken musst. Aber das ist kein Aufwand, denn ein Block weiter (also bei IPv6 ein Doppelpunkt) bedeutet 16 zum Prefix zu addieren.

[h1ght]

NAT hast und brauchst du bei IPv6 nicht, weil der Adressraum gigantisch ist. Ein 64er-Netz hat einen gewaltigen Platz für Clients. Den bekommste nie voll. Deswegen gibt es auch keinen Grund, in einem LAN ein 62er-Netz zu nutzen.

Das Subnetting braucht man nur, wenn man vom Provider ein statisches 48er oder 56er Netz bekommst und du das manuell in mehrere 64er-Netze zerhacken musst. Aber das ist kein Aufwand, denn ein Block weiter (also bei IPv6 ein Doppelpunkt) bedeutet 16 zum Prefix zu addieren.

mit prefix delegation kann man auch mit dynamischen prefixen umgehen. je nach anwendung/fw dahinter bereitet das aber einen halt kopfschmerzen. man muss ja keine vollen 16 hinzuaddieren, /62 is ja erlaubt bzw. wirft die fritzbox das einem vor die füße mit dem dhclient.

hin und wieder findet man da was gutes. grad bin ich dabei pd für docker netzwerke zu verwenden, mit kleinen erfolgen nur.