So ganz klar verstehe ich den IPV6-Adressaufbau und die Subnetze noch nicht, da werde ich mich auf jedenfall noch genauer einlesen (müssen). Vielleicht hast du da auch eine gute Quelle / Tipp / Buch?
Es sieht nur anders aus, aber es funktioniert im Kern genauso wie bei IPv4.
Eine IPv4-Adresse hat 32 Bit, diese schreibt man der Einfachheit halber als Folge von 4 dezimal wiedergegebenen Bytes:
192.168.1.100
Die Subnetmask gibt dabei an,
welche der
Bits aus dieser Angabe zum Subnet und wie viele zur Host-Adresse gehören:
255.255.255.0
Bedeutet, daß alle Bits des ersten, zweiten und dritten Bytes unveränderlich sind, also das Subnet angeben, und kein Bit des 4. Bytes.
255 dez entspricht nämlich 11111111 Binär, also sind alle 8 Bits des Bytes auf 1 (= fix).
255.255.255.0 entspricht also dual 11111111.11111111.11111111.00000000 , wobei die Punkte hierbei nur noch der Lesbarkeit dienen.
Da die für das Subnet zu verwendenden Bits immer vorne und die für die Hosts zu verwendenden immer hinten sind, kann man das auch einfacher schreiben, indem man nur die
Anzahl der Subnet-Bits angibt:
192.168.1.100/
24 würde also denselben Host im selben Subnet spezifizieren wie die Angabe 192.168.1.100 Netmask 255.255.255.0 (=24 Bits, siehe duale Wiedergabe oben).
Spätestens, wenn Du diese Angabe mal in hex (192d = C0h, 168d=A8h, 1d=1h, 100d=64h) umrechnest
C0.A8.01.64/24
und die Bytes einfach nur anders gruppierst ....
c0a8:0164/24
... müßtest Du erkennen, daß es in diesem Bezug genau gar keinen Unterschied zwischen IPv4 und IPv6 gibt.
Nun zum Subnetting:
Damit hatten die wenigsten bei IPv4 zu tun, weil man als Privat- oder auch kleiner Geschäftskunde meist nur eine einzige IPv4-Adresse bekam.
Auch mit den 5 fixen Adressen aus dem aktuellen Business-Tarif läßt sich kein Subnetting mehr betreiben.
Großkunden hingegen haben auch schon mit IPv4 Subnetting betrieben und zwar so:
Angenommen, der Anbieter A vergibt dem Kunden K das Subnet 178.100.200.128/25,
dann entspricht das der Subnetmask 255.255.255.128 oder dual 11111111.11111111.11111111.10000000
dem Kunden stehen also die letzten 7 Bits und somit die Adressen 178.100.200.128 bis 178.100.200.255 zur Verfügung.
Die Adressen 178.100.200.0 bis 178.100.200.127 kann er nicht annehmen, da ja das höchstwertige Bit (die 128) des letzten Bytes zum Subnet und nicht zum Adressbereich des Kunden gehören.
Jetzt braucht der Kunde aber nicht einfach die 126 möglichen Adressen (128 mögliche minus Netzwerk-Adresse minus Broadcast-Adresse), sondern will weitere Subnetze bauen, nämlich je eines für jeden seiner beiden Standorte.
Also bildet er die Subnetze
178.100.200.128/26 für Standort 1
178.100.200.192/26 für Standort 2
Der Kunde hat also das höchstwertige "seiner" Bits nun für weiteres Subnetting verwendet, so daß sich das ihm insgesamt zur Verfügung stehende Netz
178.100.200.128/
25 = 178.100.200.128 Netmask 255.255.255.
128 (= dual 11111111.11111111.11111111.1
0000000)
nun in die zwei Netze
- 178.100.200.128/26 = 178.100.200.128 Netmask 255.255.255.192 (= dual 11111111.11111111.11111111.11000000)
Netzwerkadresse = 178.100.200.128
Erster Host = 178.100.200.129
Letzter Host = 178.100.200.190
Broadcast = 178.100.200.191
und - 178.100.200.192/26 = 178.100.200.192 Netmask 255.255.255.192 (= dual 11111111.11111111.11111111.11000000)
Netzwerkadresse = 178.100.200.192
Erster Host = 178.100.200.193
Letzter Host = 178.100.200.254
Broadcast = 178.100.200.255
aufteilt.
Schreiben wir das alles mal aus Jux in hex um ...
Gesamtes Kundennetz = 178.100.200.128/25 ^= B2.64.C8.80/
25 ^= b264:c880/
25 Kunden-Subnet 1 = 178.100.200.128/26 ^= B2.64.C8.80/
26 ^= b264:c880/
26 Kunden-Subnet 2 = 178.100.200.192/26 ^= B2.64.C8.C0/
26 ^= b264:c8c0/
26 ... sehen wir auch hier wieder die nicht vorhandenen Unterschiede
IPv6-Adressen sind nun im Wesentlichen einfach nur länger, nämlich 4x so lang wie eine IPv4-Adresse.
Bei IPv4 ist das dann eine elendige Hin- und Herschieberei und Knobelei mit VLSM (Variable Length of Subnet Mask), um die (immer knappen) zur Verfügung stehenden IPv4-Adressen sinnvoll in Subnetze aufzuteilen, so daß man einerseits die gewünschten Subnetz-Strukturen erreicht und einzelne Subnetze nicht zu knapp dimensioniert, andererseits aber auch möglichst wenig Resourcen (IPs) verschwendet werden.
Hier liegt dann der große Unterschied zwischen IPv4 und IPv6, weniger im technischen Bereich als im Bereich der zur Verfügung stehenden Resourcen und damit des Planungsaufwandes: Der Adressbereich von IPv6 ist so gigantisch, daß jeder Hinz und Kunz problemlos ein /56 oder /57 Subnet (von 128 Bit) kriegen kann, also eines,
das deutlich größer ist als der gesamte Adressraum des IPv4-Internets.
SixXS stellt mir sogar ein /48er Präfix zur Verfügung ...
Demzufolge braucht man auch nicht mehr zu knobeln, ob man für eine Abteilung mit 55 Arbeitsplätzen ein Subnet mit nur 62 Hosts vorsieht und damit riskiert, daß 2 neue Kollegen und ein Schwung Netzwerkdrucker das Subnetz sprengen, oder ob man eines mit 126 Hosts einplant und damit riskiert, daß die zusätzlichen 64 Hosts woanders fehlen ...
Nein, man macht einfach jedes Subnetz 64 Bit groß, das reicht für 18.446.744.073.709.551.616 Hosts, also 4.294.967.296 Mal das gesamte IPv4-Internet.
Wir halten als 1. Unterschied fest: Ein Subnet unter IPv6 ist in aller Regel immer ein /64er, egal wieviele Hosts tatsächlich beherbergt werden müssen. Jedes einzelne IPv6-Subnetz könnte somit nach Anzahl und Art der Adressvergabe (Wenn SLAAC verwendet wird)
alle IP-fähigen Geräte auf der Erde aufnehmen, sogar das WLAN-Gastnetzwerk einer einzelnen Fritz!Box.
IPv4 Subnetze hingegen richten sich - wenn sie aus öffentlichen IPs gebildet werden - in der Größe nach der Anzahl der zu beherbergenden Hosts und einer (möglichst knappen) Reserve.
Daraus folgend ergibt sich der zweite Unterschied:
Man betrachtet einen vom ISP zur Verfügung gestellten Adressbereich nicht mehr vom ersten bis zum letzten Bit als variabel in weitere Subnetze und Hostteile aufzuteilen, sondern nur die ersten 64 Bit abzgl. der zugewiesen Präfixlänge als die mögliche Anzahl von /64er Subnetzen. Bei einem /57er Präfix stünden 64-57 = 7 Bits für Subnetze zur Verfügung, also 128 Subnetze. Bei einem größeren Bedarf würde man als richtiger Geschäftskunde bei einem richtigen Geschäftskundenprovider auch jederzeit problemlos einen größeren Adressbereich kriegen, die reine Betrachtung des Bedarfs ist also ausreichend.
Bei IPv4 würde man das zugewiesene Subnetz, egal wie groß, immer als variabel zwischen eigenen Subnetzen und den Hosts aufzuteilen betrachten. 178.100.192.0/18 würde man je nach Bedarf für irgendwas zwischen 16382 Hosts in einem einzigen Netz, zwei Subnetze a 8190 Hosts, ......., 2048 Subnetze a 6 Hosts und 4096 Subnetze a 2 Hosts verwenden.
Technisch betrachtet ist es also das selbe (Subnet-Bits vs. Host-Bits), nur daß der knappe Adressraum bei IPv4 einen ungleich höheren Planungsbedarf durch unterschiedlich große Subnetze erzeugt:
- Bedarfsermittlung (Welche Standorte/Abteilungen mit wievielen Rechnern gibt es, hinzu kommen die reinen Routerverbindungen Router X <> Router Y)
- Bestimmung der tatsächlich benötigten Subnet-Größen durch Abgleich mit den Zweierpotenzen minus 2
Es sind nur Subnetze a 2 (2^2 = 4 minus 2), 6 (2^3 = 8 minus 2), 14 (2^4 = 16 minus 2), 30, 62, 126, 254, 510, 1022, 2046, 4094 usw. usf. Hosts möglich, keine Zwischenschritte. - Parallel zu Schritt 1 und/oder 2 ist eine Reserve für zukünftige Hosts in den einzelnen Subnetzen zu berücksichtigen.
- Abgleich der Summe der sich ergebenden Hosts mit dem zur Verfügung stehenden Adressraum.
Wenn überschritten: - Dumm gelaufen.
- Mit der Geschäftsleitung absprechen
- Hosts einsparen
oder - Adressraum mindestens verdoppeln (= Kosten)
- Sortieren nach Größe (absteigend)
- Berechnung der Subnetze
Demgegenüber bei IPv6:
- Wieviele Subnetze werden benötigt?
- Reicht meine Präfixlänge für diese Anzahl?
- Ggf, aber unwahrscheinlich: Kürzeres Präfix (= mehr Subnetze) anfordern
Ich hatte jetzt das Problem, dass sich wohl nach einiger Zeit die IPv6-Adresse und das Präfix geändert haben und die ZyWALL nichts mitbekommen hat.
Sagen wir es mal so:
Sich ändernde Präfixe sind auch zutiefst unprofessionell.
Das zeigt einem mal wieder, daß es sich bei den UM-"Business-Tarifen" eher um Premium-Privatkunden- und Kleinstunternehmer-Tarife denn um richtige Geschäftskundentarife handelt.
Die ursprünglichen Gründe für dynamische IPs sind mit IPv6 weggefallen, davon war der vordringlichste die Adressknappheit verbunden mit der Tatsache, daß bei Einwahlverbindungen eh nie alle Kunden gleichzeitig online waren. Durch dynamische Vergabe der IPs an diejenigen Kunden, die gerade tatsächlich online waren, konnte man somit IPs für diejenigen Kunden einsparen, die gerade offline waren.
Dieser Grund ist weggefallen, seitdem auch im Privatkundenbereich überall Router stehen, die die Verbindung dauerhaft halten. Die Anbieter haben es aber, ergänzt um eine 24h-Zwangstrennung, trotzdem beibehalten, um Serverdienste zu erschweren und dafür die Ausrede "Datenschutz" lanciert, ganz so als ob sie nicht jedem dahergelaufenen Rechtsanwalt die persönlichen Daten des Kunden zur Verfügung stellen würden, der ihnen die IP in Verbindung mit Datum/Uhrzeit der Verwendung nennt.
Mit der Einführung von IPv6 hätten an sich auch Privatkunden die Möglichkeit bekommen sollen, jederzeit und ohne Gehampel mit DynDNS-Diensten auf heimische Server (Gebäudeautomatisierung, NAS, ...) zugreifen zu können, dynamische Präfixe erschweren das unnötig. Die deutschen Provider vergeben trotzdem unter dem Vorwand des Datenschutzes (s.o.) und dem tatsächlichen Grund der Erschwerung von Serverdiensten dynamische Präfixe und manche Soft- oder Hardware hat damit halt noch so ihre Probleme, offenbar auch Deine ZyWall. Verständlich, denn die liegt in einem Preissegment, das üblicherweise nicht an solchen Kasperle-Theater-Anschlüssen zur Verwendung kommt.
Daß Du an einem Geschäftskundenanschluß mit
statischer IPv4 überhaupt ein dynamisches IPv6-Präfix bekommst ist schon ein starkes Stück ...
Noch was anderes:
NAT gibt es bei IPv6 ja nicht mehr so wie bei IPv4, da ja mit IPv6 jeder Rechner eine öffentliche IPv6-Adresse erhält. Wie können hier "Portfreigaben" dann realisiert werden? V.a. mit dynamischen Präfixen?! Oder Webserver via IPv6 erreicht werden?
Das kann ich Dir nicht beantworten, wie die ZyWall das realisiert.
Prinzipiell entfällt lediglich die Umadressierung, da das Paket bereits an den richtigen Host und nicht wie bei IPv4 mit NAT an den Router adressiert ist.
Angenommen, Du hast die öffentliche IPv4 178.100.200.187 und lokal zwei ssh-Server 192.168.178.10 und 192.168.178.11, dann sind von außen eintreffende Pakete für diese Server ja trotzdem immer an 178.100.200.187 adressiert, wobei der Router dann anhand des verwendeten Ports und einer "Umleitungsregel" den Traffic dem einen oder dem anderen ssh-Server zuführt.
Vernachlässigen wir mal die Filterung nach Quell-IP, Protokoll u.ä. ...
Port-Weiterleitungsregeln:
178.100.200.187:22 -> 192.168.178.10:22
178.100.200.187:23 -> 192.168.178.11:22
= eingehender Traffic auf der öffentlichen IPv4, Port 22 soll auf den lokalen Rechner 192.168.178.10 Port 22 und eingehender Traffic auf der öffentlichen IPv4, Port 23 soll auf den lokalen Rechner 192.168.178.11 Port 22 geleitet werden.
Einer IPv6-Portfreigabe/Firewall-Ausnahme hingegen reicht die eigentliche Zieladresse, da die ja auch bei Paketen von außerhalb richtig ist und die Umleitung entfällt:
2a02:8071:9183:f500:0:02ab:12ff:fe89:1234:22
2a02:8071:9183:f500:0:0234:56ff:fe89:4567:22
= eingehender Traffic auf den Port 22 soll für die Ziel-Hosts 2a02:8071:9183:f500:0:02ab:12ff:fe89:1234 und auch 2a02:8071:9183:f500:0:0234:56ff:fe89:4567 erlaubt sein.
Dein Problem ist also nun, daß das Präfix dynamisch ist und sich somit gelegentlich ändert, Du kannst also nicht
2a02:8071:9183:f500:0:02ab:12ff:fe89:1234 und 2a02:8071:9183:f500:0:0234:56ff:fe89:4567
als Hosts eintragen, da dieselben Hosts nach Präfix-Änderung z.B.
2a02:8071:9275:ab00:0:02ab:12ff:fe89:1234 und 2a02:8071:9275:ab00:0:0234:56ff:fe89:4567
heißen könnten.
Bei ip6tables ist das m.W. tatsächlich ein Problem, denn ip6tables erwartet genau das, eine vollständige Hostangabe.
ip6tables muß man also bei jedem Präfixwechsel umschreiben ...
Die Firewall der Fritz!Boxen ist da cleverer und begnügt sich mit der "Interface-ID", also den letzten 64 Bit der Host-Adresse, also für obiges Beispiel
::02ab:12ff:fe89:1234 und ::0234:56ff:fe89:4567
während sie das Präfix/Subnet selber ergänzt und somit auch mit dynamischen Präfixen leben kann.
Du müßtest jetzt halt die ZyWall danach durchforsten, wie sie das löst. Für IPv4-Regeln gibt es ja Adress-Objekte, also sollte es die für IPv6 auch geben. Wenn man da lediglich komplette Host-Adressen eingeben darf, wärst Du ziemlich angeschmiert. Erlaubt sie intelligentere IPv6-Adress-Objekte, z.B. basierend auf dem zugewiesenen Subnetz plus der Interface-ID oder der MAC oder der DHCPv6 DUID, dann müßtest Du diese auch nutzen.
