Unitymedia Kleiner IPv6-Workshop

[hajodele]

Es geht ja nur darum, dass es keine vernünftige ausschließlich interne Lösung gibt.

Wenn es z.B. nur darum geht, dass man nur von einer abzählbaren Menge an Internetanschlüssen zugreifen muss, kann man dort auch schlicht einen IPv6-Tunnel kostenlos einrichten.

 

[SpaceRat]

Es geht ja nur darum, dass es keine vernünftige ausschließlich interne Lösung gibt.

Das ist logisch, denn schon das Problem ist ja im Kern auch ein rein externes.

Wenn Du nix eingekauft hast, ist und bleibt der Kühlschrank leer, egal wie lange Du am Kühlschrank herum reparierst.

 

[kuhno]

Theoretisch ist das schon möglich.
In der Praxis scheitert das aber schon am erforderlichen Geldaufwand.

Man beachte vor allem: Die privaten Tarife untersagen den Server-Betrieb.

Danke für die Antwort, ich werde es versuchen.

Finanzieller Aufwand dürfte bei mir kaum anfallen, Zugriff auf fähige Hardware und wenn nötig performante Server zum Tunneln/Proxen nabe ich.

Als Serverbetrieb würde ich das ganze auch nicht bezeichnen, es geht in meinem Szenario darum, max. ein hatbes Dutzend Freunde von außerhalb z.B. auf unsere Minecraftmap zu lassen. Dass man das auch als Serverdienst sehen kann, dessen bin ich mir bewusst.

Idee war, einen BarebonePC, der als WG-interner Server rumsteht, als Gateway zu verwenden, der eben per LAN1 mit dem Modem und per LAN2 mit unserem LAN (welches idealerweise als v4 und v6 existiert) verbunden ist, der NAT für die IPv4-Verbindung spielt und für v6 auch NAT oder nur Gateway.
Das Problem wird die Logik sein, die die Anfragen auf die 2 verfügbaren Upstreams aufteilt, am besten v4 eben nur als Fallback für Ziele verwendet, die kein v6 beherrschen.

 

[SpaceRat]

Das Problem wird die Logik sein, die die Anfragen auf die 2 verfügbaren Upstreams aufteilt, am besten v4 eben nur als Fallback für Ziele verwendet, die kein v6 beherrschen.

Mal ein paar Anregungen:

• Es gibt DNS-Server, die für jeden IPv4-only-Server trotzdem auch eine IPv6-Adresse ausspucken (DNS64), der Zugriff auf die IPv4-only-Server durch IPv6-fähige Clients erfolgt dann durch ein NAT64-Gateway.
  Für DNSMasq:
  server=2001:8b0:6464::1
  server=2001:8b0:6464::2
  server=217.169.20.26
  
  Nur die Clients die selber auch kein IPv6 können nutzen dann noch die ebenfalls zurückgemeldeten originalen IPv4-Adressen.
  Damit wird man schon mal eine ganze Menge Traffic auf dem IPv4-WAN-Interface los.
  
  Für bestimmte Server/Dienste darf oder sollte man das allerdings nicht nutzen, hier mal eine kleine Kollektion an Ausnahmen in DNSMasq-Syntax:
  # Horizon akzeptiert nur UM/KBW-IPv4-Adressen als Quelle, Google DNS zur Auflösung verwenden:
  server=/horizon.tv/2001:4860:4860::8888
  server=/omtrdc.net/2001:4860:4860::8888
  server=/link.theplatform.com/2001:4860:4860::8888
  
  # Zeitserver:
  server=/ntp.org/8.8.8.8
  
  # Paypal, einfach nur um den Traffic nicht durch ein fremdes System zu jagen:
  server=/paypal.com/2001:4860:4860::8888
  server=/paypal.de/2001:4860:4860::8888
• Rest primär über default route
  Die default route sollte natürlich prinzipiell auf die IPv4-lite-Anbindung zeigen, um das VPN zu entlasten.
  
  Wenn man allerdings viel mit IPSec zu Gegenstellen mit dynamischen IPs oder mit eMule oder sonstigen Protokollen hantiert, bei denen die Absende-IP mit im Paket enthalten ist, wäre die default route über das VPN vorzuziehen.
• Rest über statische Routen
  Das kann mehr oder weniger Arbeit sein, je nachdem, wie man sich im vorherigen Schritt entschieden hat.
  Normal sollte es weniger Arbeit sein, hier die wenigen Ziele zu benennen, die über IPv4-lite nicht funktionieren (= default über IPv4-lite, nur wenige Routen für Hosts/Netze mit Routing via VPN), statt umgekehrt (Default route über VPN, also braucht man möglichst umfassende Routen, die Traffic doch wieder auf's IPv4-lite lenken).

 

[kuhno]

Ich bin echt erstaunt über die Hilfe und Anregungen. Das hatte ich echt nicht erwartet! :super:

Mit VPN wollte ich eigentlich nicht arbeiten, auch wenn das der übliche Weg ist, v4 selbst zu tunneln. Ich hätte dafür UMTS/LTE als v4-only-Interface verwendet. Das hätte den Vorteil einer höheren Datenrate, eine SIM mit ausreichend Volumen habe ich auch noch hier liegen. Außerdem hat LTE sogar eine höhere Uploadgeschwindigkeit als 3play200.

Kann man nicht einfach auf einen DNS ausweichen, der diese embedded v4 nicht generiert?

 

[SpaceRat]

Mit VPN wollte ich eigentlich nicht arbeiten, auch wenn das der übliche Weg ist, v4 selbst zu tunneln.

Es ist der naheliegendste:
- Kann sogar auf relativ günstigen Plastikroutern realisiert werden
- Begrenzt - zumindest theoretisch - nicht die Geschwindigkeit
- VPNs sind auch für üppige Übertragungsvolumen buchbar

Ich hätte dafür UMTS/LTE als v4-only-Interface verwendet. Das hätte den Vorteil einer höheren Datenrate, eine SIM mit ausreichend Volumen habe ich auch noch hier liegen. Außerdem hat LTE sogar eine höhere Uploadgeschwindigkeit als 3play200.

Es gibt da nicht "die eine" richtige Lösung.

Bei LTE wäre ich aber skeptisch, ob das auch auf Dauer die versprochenen Geschwindigkeiten bietet.
Und je nach Vertrag hast Du dort auch noch CGN, also eine für eingehende Verbindungen genauso wertlose IPv4 wie schon beim IPv4-lite.
Abhängig vom Standort mußt Du vielleicht sogar noch Aufwand treiben, um guten Empfang zu haben.
Dazu kommen die doch recht hohen Latenzen über Funk. Die zusätzlichen Latenzen durch IPv4-2-IPv6-Port-Proxies sind lächerlich dagegen.

Wenn Du allerdings
- guten Empfang
- ein hohes Volumen im Vertrag (Wobei: Definiere hoch. Ich jubel pro Monat 3 TB durch die Leitung. Wo kriege ich einen solchen LTE-Vertrag?)
- eine derzeit und auch auf absehbare Zeit kaum belastete Funkzelle
und
- keine Server mit hohen Anforderungen an die Latenz (Game-Server, CS, ...)
hast, steht dem natürlich nix im Wege.

Kann man nicht einfach auf einen DNS ausweichen, der diese embedded v4 nicht generiert?

Könnte man, macht man aber nicht.

IPv6 wird - bei nativer Anbindung - sowieso immer bevorzugt (Es sei denn, die Client-Software ist schlecht programmiert), die zusätzlich zurückgemeldete IPv4 ist also irrelevant.

Andererseits gibt es aber durchaus Clients, die gar kein IPv6 können. Der DNS-Server müßte also wissen, welche Clients das sind, um diesen dann doch auch wieder IPv4 zurückzumelden, sonst würden diese ja nur noch ein "Non-existent domain." bekommen.
D.h. man müßte am DNS-Server ständig nachjustieren, daß z.B. der Fernseher (Für seine Internet-Apps), die Dreamkotz 800, o.ä. doch noch IPv4-Adressen mitgeteilt bekommen sollen, aber der PC nicht.
Und selbst dann guckt der PC blöd, wenn die Anfrage von eMule oder sonst einem Programm kommt, welches mit IPv6 partout nicht umgehen kann.

 

[Leseratte10]

Einige der Bilder im IPv6-Workshop sind nicht mehr online: http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=25148&p=262325#p262325

 

[tokon]

Ist bekannt:
http://www.unitymediakabelbwforum.de/viewtopic.php?p=303844#p303844

 

[mbus]

Passiert das auch, wenn du einen externen DNS-Server abfragst?

nslookup s675ip.asdfghjkl.myfritz.net 8.8.8.8

Außerdem hat das Protokoll in einer DNS-Abfrage nix zu suchen - nicht "https://s675ip.asdf.myfritz.net" sondern "s675ip.asdf.myfritz.net."

also:
fritzbox über der dns wird gefunden.
das telefon wird auch dort leider nicht gefunden. deutet wohl auf einen konfigurationsfehler hin.

 

[Citrusman]

Moin,

ich hab mir hier jetzt alles durchgelesen und soweit auch eingestellt gehabt.
Vielen Dank dafür!

Das einzige, was mir jetzt noch nicht zu 100% klar ist, ist wie ich meine alten Ipv4 Ports (55380 - 55390 TCP und UCP) freigebe.
Zuvor hatte ich eine ältere FitzBox, bei der alles soweit wunderbar geklappt hat.
Nach dem Wechsel zu KabelBW hab ich nun den Ubee EVW 3226 an der Backe.

Kann mir da jemand weiterhelfen?

Gruß
C.

 

[Leseratte10]

Das ist ja gerade die Änderung mit DS-Lite:

Über IPv4 bist du nun nicht mehr erreichbar - Portfreigaben kannst du nicht anlegen.

Für IPv6 musst du die Firewall (im Fall des Ubee komplett) deaktivieren - nicht zu empfehlen, denn dann sind alle Geräte ungeschützt im Internet erreichbar.

 

[SpaceRat]

Die bei 2play/3play einfachste und komfortabelste Lösung ist und bleibt es auch vorerst, in den sauren Apfel zu beißen und 5 EUR mehr für die Fritz!Box 6360 (und zukünftig die 6490) auszugeben.
Alternativ eben der Wechsel in einen Business-Tarif.

 

[Citrusman]

Moin,

ah na klasse.. was nen technischer Fortschritt ..
Klemmt man die FritzBox dafür einfach dazwischen oder ersetzt die den anderen Kasten?

Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?

Gruß
C.

 

[SpaceRat]

Klemmt man die FritzBox dafür einfach dazwischen oder ersetzt die den anderen Kasten?

Die Fritz!Boxen 6320, 6340, 6360 und 6490 sind Kabel-Modelle, die enthalten bereits ein Kabel-Modem.
D.h. die ersetzen dann das Drecknikotzlor DK7200 oder das ÜBEL EVIL3226.

Leider ist UM/KBW scharf darauf, die Kundenanschlüsse zu kastrieren, deshalb wird der Einsatz der 6320 und 6340 - die gab es eine Zeit lang ohne die Komfort-Option dazu - madig gemacht (Keine Hochschaltung auf 200 MBit/s und auch ansonsten werden sie gerne grundlos gegen DK7200 oder EVIL3226 ausgetauscht), damit bleibt wirklich nur die Komfort-Option.

Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?

Du kannst den TP-Link AP auch an der Fritz!Box betreiben, ja.

 

[Citrusman]

Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?

Du kannst den TP-Link AP auch an der Fritz!Box betreiben, ja.

War blöd ausgedrückt von mir, ich meinte ob ich den an den Ubee klemmen kann für die Portgeschichte.
Ich war nämlich der Meinung das das Ding auch eine Portfreigabeoption hatte. Sicher bin ich mir allerdingsnicht mehr.

Gruß
C.

 

[SpaceRat]

War blöd ausgedrückt von mir, ich meinte ob ich den an den Ubee klemmen kann für die Portgeschichte.
Ich war nämlich der Meinung das das Ding auch eine Portfreigabeoption hatte. Sicher bin ich mir allerdingsnicht mehr.

Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.

Du kannst ihn dann auch hinter den ÜBEL klemmen und Portfreigaben vornehmen.
Alles, was Du dann im TP-Link freigibst kannst Du aus dem Netz des ÜBEL erreichen ...

Mensch ....

Es muß doch irgendwie mal in die Köppe reinzukriegen sein, daß Router Netze trennen (Daher auch schon mal "Border Device", auf Deutsch also "Grenz(übergangs)gerät", genannt) und deshalb nienicht mitten in ein Netz gehören.
Und in einem Netz braucht man keine Portfreigaben.

Und wenn ich einen zweiten Router hinter den ersten kaskadiere, dann habe ich eben auch das vom ersten Router erzeugte private Netz vor dem zweiten und nicht mehr das Internet. Was der erste Router nicht durchläßt, kann der zweite doch nicht auf einmal wieder bekommen ...

Wenn Du Deinen Briefschlitz zunagelst, dann kannst Du hinter der Haustür 10 Briefkästen aufstellen, es landet einfach keine Post drin.

 

[Banis]

Hallo zusammen,

ich stehe nun auch vor dem Problem, dass ich einen neuen Vertrag bei KabelBW abgeschlossen haben und mich deshalb mit dem DS-Lite Verfahren begnügen muss. Vielen Dank an dieser Stelle an SpaceRat für den tollen Workshop.

Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.

Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?

 

[hajodele]

Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt.

Leider funktioniert das aktuell nur mit den Fritzboxen, da die Präfix des JuHu nicht weitergereicht wird.

 

[SpaceRat]

Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?

Ja, der Denkfehler ist, daß Du nicht weitergelesen hast.

Es wurde nun schon x Mal klargestellt, daß Router Netze trennen, wenn man also mehrere Router hintereinander kaskadiert, erzeugt man mehrere Netze (und nicht eines, wie das im heimischen LAN normal gewünscht wird).
Weiter hinten liegende Router hängen dementsprechend auch nicht mehr "im Internet" sondern immer nur im privaten LAN des vorgeschalteten.

Damit sollte eigentlich auch klar sein, daß Portweiterleitungen auf nachgeschalteten Routern zwar durchaus funktionieren, aber nicht das machen, was man voraussichtlich wirklich will.

IPv4-Port-Weiterleitungen im Router sorgen dafür, daß Geräte hinter dem Router (Also in dessen LAN) aus dem davor liegenden Netz erreichbar sind. Das funktioniert immer. Nur daß bei einer Router-Kaskade das vorgeschaltete Netz eben nicht mehr das Internet ist, sondern nur ein anderes privates Netz.


Aber weil Du OpenWrt erwähnt hast:
Man kann einen Router mit OpenWrt¹ so hinter das DK7200 oder ÜBEL EVIL klemmen, daß IPv4-mäßig zwar besagte Router-Kaskade entsteht² , IPv6-mäßig jedoch der OpenWrt-Router im selben Netz hängen wird wie das DK7200 oder das ÜBEL EVIL. Der OpenWrt-Router arbeitet dann für IPv6 nicht mehr als Router (Trennt also keine Netze, sondern verbindet sie), läßt aber seine IPv6-Firewall aktiv.
Es funktioniert immerhin so gut, daß ich die Dinger fertig konfiguriert verkaufen kann *g*, daher auch der Archer C7 in meiner Signatur.
Was ich verkaufe muß ich auch bereit sein, selber zu essen

Die Grundkonfiguration ist jetzt gar nicht mal so schwer, in /etc/config/network sieht der Abschnitt wan6 so aus:

config interface 'wan6' option ifname '@wan' option proto 'dhcpv6' option reqaddress 'try' option peerdns '0' option dns '2001:4860:4860::8888 2001:4860:4860::8844' option reqprefix 'no'

und in /etc/config/dhcp so:

config dhcp 'wan6' option dhcpv6 'relay' option ra 'relay' option ndp 'relay' option master '1' option interface 'wan' option ignore '1' option ra_management '1'

Das reicht, damit Geräte hinter dem OpenWrt-Router IPv6-Adressen aus dem gemeinsamen IPv6-Netz von DK7200/ÜBEL EVIL3226 und OpenWrt-Router erhalten.
IPv6-Freigaben für nachgeschaltete Geräte gestalten sich bei UM/KBW allerdings wegen des dynamischen Präfixes schwer, denn mit dynamisch veränderlichen Adressen mag die Firewall nicht so recht.

IPv6-Freigaben auf dem OpenWrt-Router selber sind hingegen kein Problem, denn für diese Freigaben braucht man die Zieladresse nicht.
Das wiederum reicht, um einen OpenVPN-Server auf dem OpenWrt-Router laufen zu lassen und darüber von überall aus Vollzugriff auf's eigene LAN zu erhalten. In Verbindung mit einem IPv4-to-IPv6-Port-Proxy wie dem von feste-ip.net sogar aus reinen IPv4-Netzen (Wie z.B. Mobilfunk).

Will man unbedingt Geräte im LAN unmittelbar (also nicht erst über das VPN) freigeben, dann sollte das mit einem NAT-ähnlichen Konstrukt via tcpproxy (Ab Chaos Calmer der Ersatz für 6tunnel in OpenWrt) möglich sein, sogar für Server, die selber nur IPv4 sprechen.



1 = Ich empfehle, den aktuellen Chaos Calmer trunk zu verwenden und nicht Barrier Breaker oder älter. Dazu muß der Router aber mehr als 4 MB Flash haben, sonst gibt's keine grafische Oberfläche LuCi.
2 = Nicht schön, aber akzeptabel, da von außen eh nix mehr per IPv4 ankommt

 

[Banis]

Vielen Dank für die Ausführliche Anleitung. Ich werde dies im Laufe der Woche mal ausprobieren.

 

[lip]

Auch von mir vielen Dank @SpaceRat. Jedoch bekomme ich es nicht ans Laufen. Ich habe bereits letztes Wochenende etwas rumgedoktort und es jetzt erneut versucht. Auch habe ich alles einmal komplett resetet, dabei möchte ich doch nur das meine IPv6 Connectivity hinterm OpenWRT erhalten bleibt.
Neuste trunk Version, und nur deine Änderung übernommen funktionieren leider nicht bei mir, er verpasst meinen Geräten dennoch selbst eine Adresse (fd9e:f8e:8cd::24f/128). Ich verzweil noch Dabei fühle ich mich jetzt nicht so unfit in solchen Sachen. Habe auch die Befehle bestmöglich nachvollzogen und denke das sollte auch passen soweit (hier & hier).
Es widerstrebt mir auch nach einer DAU-Anleitung zu fragen, aber hättest du Hinweise zum Troubleshooting?
Wenn ich das Gerät testweile direkt ans TC7200 hänge bekomme ich auch die gewünschte IPv6, jedoch nicht später hinterm OpenWRT. Weiß nicht ob irgendetwas sonst auf TC7200 Seite zu beachten wäre, wobei ich die Firewall zeitweise auch mal deaktiviert hatte.
Ich bin zumindest leider am Ende, da ich jetzt auch nicht weiß wie ichs richtig eingrenzen könnte. Falls du Ideen hast, wäre ich dir sehr dankbar!

Schönes Wochenende in jedem Fall! Ich glaub ich geh mal vor die Tür...

 

[SpaceRat]

er verpasst meinen Geräten dennoch selbst eine Adresse (fd9e:f8e:8cd::24f/128).

Das sagt leider gar nix:
Diese Adressen (ULAs) verpaßt OpenWrt den angeschlossenen Geräten immer, egal ob WAN-seitig IPv4-only, Dual Stack, DS-lite, ... anliegt.

Wenn die WAN-Seite korrekt für IPv6 konfiguriert ist, stören diese Adressen auch nicht weiter.
Sie sind dann sogar im Gegenteil praktisch, wenn man auch im LAN mit IPv6 arbeiten will, da sie sich im Gegensatz zu den öffentlichen Adressen von UM nie ändern.
In dem Fall kriegen die Geräte diese ULA zusätzlich zur öffentlichen IPv6.

Ist die WAN-Seite hingegen nicht richtig für IPv6 konfiguriert, dann kriegen die Geräte diese ULA immer noch und manche - fehlerhafte - Programme schließen dann daraus, daß IPv6-Konnektivität vorhanden ist und nutzen sie auch. Entweder dauert es dann "ewig", bis "Dual Stack"-Server erreicht werden können (Weil zuerst erfolglos IPv6 versucht wird, bevor ein Rückfall auf IPv4 erfolgt) oder Verbindungsversuche schlagen sogar komplett fehl.

Es widerstrebt mir auch nach einer DAU-Anleitung zu fragen, aber hättest du Hinweise zum Troubleshooting?

Mir fällt grad aus dem Stegreif nix Schlaues dazu ein, dazu gibt es zu viele Variablen in der Gleichung.
Ich habe Dir aber auch noch eine PN geschickt ...

Weiß nicht ob irgendetwas sonst auf TC7200 Seite zu beachten wäre, wobei ich die Firewall zeitweise auch mal deaktiviert hatte.

Wenn/sobald alles läuft, sollte die IPv6-Firewall des DK7200 sogar ganz ausgeschaltet werden (Dann aber keine Geräte mehr direkt am DK7200 anschließen), damit sich OpenWrt allein um die Firewall-Regeln kümmern kann.

 

[Conan179]

Mal eine frage, ich hab einen root server der eine fest ip hat. besteht irgendwie die möglichkeit, das ich die ports vom avm vpn über die feste ipv4 addresse auf meinen ds-lite anschluss umleiten kann, so das die verbindung hinhaut?
Es ist ein Linux server, mit ds anschluss.

 

[SpaceRat]

Mal eine frage, ich hab einen root server der eine fest ip hat. besteht irgendwie die möglichkeit, das ich die ports vom avm vpn über die feste ipv4 addresse auf meinen ds-lite anschluss umleiten kann, so das die verbindung hinhaut?

Nein.
Das AVM-VPN nutzt IPSec, da ist es mit ein paar Port-Proxies nicht getan.

 

[Conan179]

tja war ein versuch wert, muss halt doch ne openvpn verbindung herhalten.