Unitymedia LISP-Protokoll

[Andreas1969]

Hat sich eigentlich schon mal jemand intensiver mit dem LISP-Protokoll auseinander gesetzt?

Das ist ja mittlerweile von AVM etwas umfangreicher dokumentiert:

LISP: FRITZ!Box als LISP-Router
LISP ist eine Routing-Architektur, in der Ort und Identität getrennte
Informationen sind. Es gibt zwei IP-Adressen: eine für
den Ort und eine für die Identität.
Die FRITZ!Box kann als LISP-Router konfiguriert werden.
Dieses Kapitel wendet sich an Systemadministratoren.
Sie erhalten eine kurze Einführung in LISP.
Sie erhalten einen Überblick über die Nutzungsmöglichkeiten
von LISP.
Das Kapitel enthält eine Anleitung, wie Sie die FRITZ!Box
als LISP-Router einrichten.
Definition und Komponenten
LISP: Definition
LISP: Locator/Identifier Separation Protocol
IP-Protokoll LISP ist ein Protokoll für die Übertragung von
IP-Paketen.
IP-Adresspaare LISP verwendet IP-Adresspaare:
Eine IP-Adresse für die Identifikation, der
sogenannte EID (Endpoint Identifier). Der
EID kann die IP-Adresse eines Hosts oder
eines ganzen IP-Subnetzes sein.
Eine IP-Adresse für den Ort, der sogenannte
RLOC (Routing Locator). Der RLOC ist die
IP-Adresse des LISP-Routers.
Tunnel-Protokoll LISP ist ein Tunnelprotokoll.
Ein LISP-Paket besteht aus einem inneren IPPaket
und einem zusätzlichen äußeren Header.
Der Header des inneren Pakets enthält
den EID, der äußere Header enthält den RLOC.
Eigenschaften von RLOC und EID
Komponenten eines LISP-Systems
RLOC gibt den Ort an, an dem sich das adressierte Netzwerk
(Netzwerksegment oder Netzwerkgerät) befindet
wird vom Internetanbieter zugewiesen
ist eine öffentliche IP-Adresse
steht im äußeren Header des LISP-Pakets
kann eine IPv4-Adresse sein
kann eine IPv6-Adresse sein
EID identifiziert ein Netzwerk (Netzwerksegment oder
Netzwerkgerät)
wird vom LISP-Provider zugewiesen
steht im inneren Header des LISP-Pakets
kann eine IPv4-Adresse sein
kann eine IPv6-Adresse sein
kann eine öffentliche IP-Adresse sein
kann eine private, nicht öffentliche IP-Adresse sein
Mapping-System Das Mapping-System ist für die Zuordnung
von EIDs zur RLOCs verantwortlich.
ETR (Egress Tunnel
Router)
Der ETR nimmt IP-Pakete an, in deren äußerem
Header als Ziel-IP-Adresse die eigene RLOC
des ETR steht. ETR entpackt die LISP-Pakete.
ITR (Ingress Tunnel
Router)
Der ITR nimmt IP-Pakete von Teilnehmern des
lokalen IP-Netzes (EID-Netz) an und packt diese
zu LISP-Paketen. Im äußeren Header des
LISP-Pakets trägt er als Ziel-Adresse den RLOC
des Zielnetzwerks (entferntes EID-Netz) ein.
PETR (Proxy ETR) Ein PETR ist für die Kommunikation zwischen
LISP- und Nicht-LISP-Seiten erforderlich. Auf
der LISP-Seite arbeitet er wie ein LISP-Router,
auf der Nicht-LISP-Seite wie ein nativer IP-Router.
PITR (PROXY ITR) Ein PITR ist für die Kommunikation zwischen
Nicht-LISP-Seiten und LISP-Seiten erforderlich.
Auf der LISP-Seite verhält er sich wie ein
ITR, auf der Nicht-LISP-Seite wie ein nativer IPRouter,
der auch die LISP-Netze bekannt gibt.
xTR xTR ist die Bezeichnung einer Komponente,
die sowohl ETR als auch ITR ist. xTR wird auch
Tunnel- oder Kapselung-Endpunkt genannt.
Nutzungsmöglichkeiten
LISP ist geeignet, wenn Sie aus technischen oder organisatorischen
Gründen immer dieselben IP-Adressen haben
möchten, auch wenn Sie den Internetanbieter wechseln.
Beispiel Mobilität: Bei einem Ortswechsel verlieren Geräte
nicht ihre Identität (Host-Geräte, VM).
LISP ist geeignet für die Kommunikation zwischen IPv4-
und IPv6-Netzen.
Adressfamilien-Transport: IPv4 über IPv4, IPv4 über
IPv6, IPv6 über IPv6, IPv6 über IPv4
Beispiel: Durch Kapselung von IPv6-Paketen in IPv4-
Header können IPv6-Websites über IPv4 verbunden werden.
FRITZ!Box als LISP-Router einrichten
FRITZ!Box als LISP-Router
Die FRITZ!Box kann als LISP-Router konfiguriert werden.
Als LISP-Router ist die FRITZ!Box ein xTR (ETR und ITR).
Vorbereitungen
Sie benötigen einen LISP-Provider.
Registrieren Sie sich bei einem LISP-Provider.
Alle Informationen, die Sie benötigen, um die FRITZ!Box als
LISP-Router einzurichten, erhalten Sie vom LISP-Provider.
LISP-Router einrichten
1. Öffnen Sie die Benutzeroberfläche der FRITZ!Box.
2. Schalten Sie die erweiterte Ansicht ein.
3. Wählen Sie das Menü „Internet / Zugangsdaten“ aus.
4. Wählen Sie den Tab „LISP“ aus.
5. Aktivieren Sie die Einstellung „LISP-Unterstützung aktiv“.
6. Tragen Sie in die Felder die Angaben ein, die Sie vom
LISP-Provider erhalten haben.



Gruß Andreas

 

[addicted]

Sie benötigen einen LISP-Provider.

Man könnte sich das ein bisschen wie VoIP mit einem Drittanbieter vorstellen:
Deine Rufnummern sind unabhängig von Deinem Internetzugang, d.h. Du kannst Sie mit wechselnden IP Adressen an unterschiedlichen Orten nutzen.
Am ehesten vergleichbar mit anderen existierenden Technologien sind da die VPN-Server Anbieter mit fester IP-Adresse. Nach der Einwahl wird dir die IP durch den VPN-Tunnel geschickt.

LISP ist auch nicht unbedingt neu, aber wohl so das erste, was es bis zur praktischen Integration in irgendwelche Devices geschafft hat. Vorher gab es z.B. die IPv6 Mobility Extensions.

Praktisch anwendbar ist das in vielen Fällen nicht - der Traffic läuft dann sowohl über Deinen Zugangsanbieter alsauch über den LISP Anbieter. Wenn beide kein entsprechend ausgehandeltes Peering haben, kostet das jeweils.

Mich würde aber interessieren, was die Devs von AVM da als Use Case sehen, sie werden das ja nicht zum Spaß eingebaut haben.

 

[Andreas1969]

LISP ist geeignet für die Kommunikation zwischen IPv4-
und IPv6-Netzen.
Adressfamilien-Transport: IPv4 über IPv4, IPv4 über
IPv6, IPv6 über IPv6, IPv6 über IPv4

Vielleicht entwickelt sich daraus ja eine Alternative zur VPN Standortvernetzung, um das DSLITE Problem zu umgehen? :kratz:

Demnach wäre es ja dann egal, ob die einzelnen Standorte IPV6 only, Dual Stack, DSLITE oder IPV4 only haben.

Die Frage ist nur, wie baut man das auf? :kratz:

Ich könnte mir da folgendes Szenario vorstellen :
Auf dem Raspberry an meinem IPV4 only Anschluss läuft ein LISP-SERVER und meine restlichen 3 DSLITE Anschlüsse bauen eine LISP Verbindung zu dem LISP Server auf dem Raspberry auf.
Damit wären dann eingehende Verbindung über die einzige IPV4 Adresse zu allen 4 Standorten möglich.
So etwas würde ich gerne aufbauen wollen.
Mir fehlt da im Moment nur der Ansatz, wie man das bewerkstelligen kann.

Gruß Andreas

 

[Gizeh775]

LISP ist geeignet für die Kommunikation zwischen IPv4-
und IPv6-Netzen.
Adressfamilien-Transport: IPv4 über IPv4, IPv4 über
IPv6, IPv6 über IPv6, IPv6 über IPv4

Vielleicht entwickelt sich daraus ja eine Alternative zur VPN Standortvernetzung, um das DSLITE Problem zu umgehen? :kratz:

Demnach wäre es ja dann egal, ob die einzelnen Standorte IPV6 only, Dual Stack, DSLITE oder IPV4 only haben.

Die Frage ist nur, wie baut man das auf? :kratz:

Ich könnte mir da folgendes Szenario vorstellen :
Auf dem Raspberry an meinem IPV4 only Anschluss läuft ein LISP-SERVER und meine restlichen 3 DSLITE Anschlüsse bauen eine LISP Verbindung zu dem LISP Server auf dem Raspberry auf.
Damit wären dann eingehende Verbindung über die einzige IPV4 Adresse zu allen 4 Standorten möglich.
So etwas würde ich gerne aufbauen wollen.
Mir fehlt da im Moment nur der Ansatz, wie man das bewerkstelligen kann.

Gruß Andreas

Wieso kein OpenVPN-Server auf dem Rasp? Oo

 

[addicted]

Hm, mag sein, dass man das damit abbilden kann, aber der primäre Zweck ist das sicher nicht.

Ein LISP Router würde mehrere IP-Adressen und/oder Netze verwalten, und diese dann an die LISP Clients routen/tunneln. Das hast du ja nicht an einem Privatkundenanschluss von UM.
Und die Beschreibung von AVM klingt eher danach, als ob die FB zwar LISP Client kann, aber nicht unbedingt LISP Server, auch wenn das bis auf die Routingregeln kein großer Unterschied ist.

 

[Andreas1969]

Wieso kein OpenVPN-Server auf dem Rasp? Oo

Dann brauchte ich an den 3 DSLITE Standorten ja jeweils auch noch einen Raspberry.
Das möchte ich erstmal vermeiden, wenn diese Methode eventuell über die Bordmittel der Fritzbox funktioniert.

Gruß Andreas

 

[Andreas1969]

Und die Beschreibung von AVM klingt eher danach, als ob die FB zwar LISP Client kann, aber nicht unbedingt LISP Server

Deshalb ja auch der LISP Server auf dem Raspberry am IPV4 Standort und die anderen 3 DSLITE Standorte mit dem Fritzbox LISP Client an den Raspberry am IPV4 Standort anbinden. :super:

Gruß Andreas

 

[SpaceRat]

Schon interessant, was Du Dir so vorstellst.
Du bräuchtest ja für den LISP-Server auch öffentliche IP-Adressen, mit denen die anderen LISP-Knoten dann versorgt werden.

Man kann übrigens tatsächlich LISP in der Fritz!Box nutzen, um z.B. einen IP4- oder einen DS-lite-Anschluß mit Dual-Stack zu versehen:
Über den eingebauten LISP-Support der Fritz!Box kann man sich mit dem Test-Netz verbinden und erhält daraus dann IPv4- und IPv6-Adressen (Die IPv4-Adressen hat Cisco aus seinem Pool gespendet).

In der Praxis gestaltet sich das so:
Nach der Einrichtung sieht man die Provider-Verbindung (Also die zu Unitymedia, Vodafone, etc. pp.) nicht mehr in der Fritz!Box, sondern stattdessen die öffentlichen IPs aus dem LISP-Netz.

Ich sage Euch aber gleich, daß die Latenzen und erreichbaren Übertragungsraten eher mau sind.

 

[Andreas1969]

Not macht halt erfinderisch.

Gruß Andreas

 

[dan3o3]

Sorry wenn ich den Threat nochmal rauskrame aber hat jemand von euch das mit der UM 6490 erfolgreich nutzen können?
Bei mir tut sich null wenn ich die Daten eingebe, bis auf ein paar Ping Aussetzer passiert gar nichts, Logs etc. schweigen sich aus.

Ich dachte schon UM hat die Funktion abgeklemmt oder nutzt das einer von euch erfolgreich? Wenn ja mit welchem Zugang?

Dan

 

[addicted]

Sieht nicht so aus, als ob es irgendwer nutzt.
Was hast Du denn für Daten eingegeben?

 

[Leseratte10]

Habe es mal genutzt, mit UM-6360 und Businesstarif. Mittlerweile aber nicht mehr.

 

[GoaSkin]

LISP sieht mir so aus, als hätte man das Rad für Sachen neu erfunden, die es im Prinzip schon gibt.

- es gibt mehrere Protokolle, um IPv4 über IPv6 zu transportieren und umgekehrt
- es gibt bereits seit den Urzeiten des Internets die Möglichkeit, IPv4-Pakete in IPv4-Paketen zu tunneln, in dem einem IP-Header ganze IP-Pakete folgen. Der Klassiker unter den Banalen ist IPIP. Mit Verschlüsselung z.B. CIPE, GRE aber immernoch recht einfach mit Bordmitteln der Betriebssysteme und vielen Routern ohne komplexe VPN-Software umsetzbar
- fast alle VPN-Lösungen eignen sich, um IPv6-Netze durch IPv4 zu tunneln und umgekehrt; Manche eignen sich sogar, um Non-IP Protokolle (z.B. IPX) durch eine IP-Infrastruktur durchzutunneln.

Da frage ich mich, warum eine Fritzbox ausgerechnet LISP unterstützt, statt einwenig Auswahl anzubieten.

 

[addicted]

Entweder gibt's nen Provider, der das produktiv einsetzt, oder ein anderes Interesse an der Verbreitung des Protkolls, z.B. vom Anbieter einer Severlösung.
Ich nehme an, jemand hat's bezahlt

 

[dan3o3]

Cisco will das Protokoll in den Markt bringen, die sind auch derzeit der einzige Hersteller der den "Servermode" in ihren Routern implementiert.
Alle Lösungen incl. Linux & BSD sind aktuell reine Clients, auf die Serverfunktionalität scheint Cisco momentan noch das Monopol zu haben.

Zum Thema Performance:

- Alle LISP Tunnel des Beta Networks laufen aktuell über USA, sprich Pingzeiten sind ~150ms
- Bandbreite ist schwer Endgeräteabhängig, aktuell erreiche ich mit OpenWRT ca. 16Mbit, laut Admin des Networks sind ca. 30Mbit schon gemessen worden

Das Ganze kann IMHO also nur als Not-Tür für v4 Connectivität genutzt werden, leider scheiden Fritzboxen hier aus weil sie LISP dann automatisch als Default Route übernehmen.
Aktuell geht mir die Ignoranz von AVM gehörig auf die Nerven, V6 ist schon lange ein Thema und selbst die ersten Mobilfunker haben Dualstack laufen.
Was immer noch nicht geht ist ein armseliges VPN auf die Fritzbox via IPv6!

Ergo bleibt nur die Show mit mehreren Geräten, blöd wenn man weiß das eigentlich 1 Gerät reichen würde...

Dan

 

[Andreas1969]

Aktuell geht mir die Ignoranz von AVM gehörig auf die Nerven,

Da bin ich bei Dir.
Mir geht diese Ignoranz auch auf die Nerven.

Laut Aussage AVM wäre IPV6 kaum verbreitet, eher ein Nischenprodukt. Daher würde sich der Aufwand für eine Implementierung nicht lohnen. :wand: :wand: :wand:

Gruß Andreas

 

[dan3o3]

Laut Aussage AVM wäre IPV6 kaum verbreitet, eher ein Nischenprodukt. Daher würde sich der Aufwand für eine Implementierung nicht lohnen. :wand: :wand: :wand:

Noch besser finde ich die Aussage von gestern, man reicht es an das Produktmanagement weiter (... von denen ich nie etwas hören werde...) und der Knaller war folgendes:

Leider können wir Ihnen noch keinen Zeitpunkt benennen, wann es eine abschließende IPv6-Lösung für VPN-Verbindungen geben wird. Die FRITZ!Box ist hier auch nur ein Einzelteil in der gesamten Infrastruktur, die bei einer solchen Kommunikation benötigt wird.

Also für die VPN Verbindung sind für mich genau 2 "Einzelteile" erforderlich, der Client (nicht das Bier von AVM) und die Fritzbox als Server. Mehr sehe ich da nicht!
Vielleicht hat jemand eine Idee was diese weiteren "Einzelteile" betrifft?

Der Implementierungsaufwand sollte sich in Grenzen halten wenn man bedenkt das diverse OpenSource IPSEC Implementierungen problemlos IPv6 unterstützen...

So bleibt also nur die Möglichkeit mit 2 Geräten rum zu eiern, schönen Gruß vom e-Werk!

Dan

 

[addicted]

Ich hatte letztes Jahr Gelegenheit mir eine Firewall-Appliance von Sophos anzusehen. Das Teil ist ziemlich mächtig, kann haufenweise Anwednungsfälle für Netztopologien, -aufteilung und so'n Kram. Ist seit der letzten Major Version (irgendwann Anfang 2016 oder so) angeblich komplett IPv6-fähig.

Es gibt eine Methode AccessPoints einzubinden, die nennt sich RemoteEthernetDevice. Damit kann die Appliance dann direkt Konfiguration auf den WiFi Interfaces vornehmen.
In einer bestimmten Konfiguration (gebridged, ich glaube ohne VLAN) lief darüber kein IPv6.

Der Fehler waren die fest eingestellten (=nicht konfigurierbaren) Filterregeln der Bridge, welche kein Protokoll 0x86dd durch ließen.

Es kann also schon eine ganze Menge dazugehören, um so ein System komplett v6-fähig zu machen.