Unitymedia ConnectBox/DSLite: Nachgeschalteter Router

[addicted]

Wie ist das bei der ConnectBox an nem DSLite Anschluss, kann die Prefix Delegation?
Wie verhält es sich mit der Firewall für v6, kann man die pauschal abschalten oder nur per EUI64?

 

[hajodele]

Ich habe zum Glück nur Wissen vom höherensagen.
Anscheinend funktioniert inzwischen die Prefix Delegation.

Gefunden irgendwo in den unübersichtlichen Weiten der Unitymedia Community.
Es war keiner dieser komischen Guides sondern ein ganz normaler User, der für mich glaubwürdig war.

 

[ggditto2]

Mit OpenWRT als Alternativ FW geht das Definitiv. Ansonsten ich hab bis jetzt das geschafft:

Ich hab Connect Box + FB 6320 (Kabel Deaktiviert)

Meine FB ist in Router-Modus und mit Connect-Box verbunden.
Ich hab zuerst eine Sicherung von FB erstellt und wie folgt konfiguriert:

webui { username = ""; password = ""; expertmode = yes; wizard_completed = no; event_filter = 1; read_access_without_login = no; cookie = "1"; app_enabled = no; ipv6_hidden = no; ipv4_hidden = no; ipv6_fw_hidden = no; ipv6_native_hidden = no; ds_lite_hidden = no; ata_hidden = no; lanbridges_gui_hidden = no; voip_2ndPVC_hidden = no; providerlist_persistent = "medium=cable";
}

Danach unter Zugangsart/IPv6 das ausgewählt:

nach dem Neustart, bekommt FB seine eigene IPv6 Adresse und damit ist er von außen über seine WAN Adresse erreichbar. MyFritz funktioniert auch wunderbar!

aber er bekommt einen /62er Präfix, zum verteilen in seinem LAN. Das Prefix ist nicht ganz Identisch mit tatsächlicher Präfix-Länge , daher versorgt er andere Geräte mit falschem Präfix.
Man muss den Endgeräten eine statische IPv6 mit richtigem Präfix konfigurieren. dann geht das.

 

[Leseratte10]

Was ist denn "richtiges Präfix"? Wenn die geräte von der Fritzbox ein icht funktionierendes Präfix bekommn, bedeutet das, die Prefix Delegation in der Connect Box funktioniert nicht korrekt ...

 

[ggditto2]

Was ist denn "richtiges Präfix"? Wenn die geräte von der Fritzbox ein icht funktionierendes Präfix bekommn, bedeutet das, die Prefix Delegation in der Connect Box funktioniert nicht korrekt ...

Ja Klar es funktioniert nicht vernünftig.
Als ich TC-7200 hatte, meine FB hat gar keine IPv6 zugeteilt bekommen, und Myfritz ging auch nicht, weil FB keine Globale IPv6 im Netz gehabt hat.
Jetzt ist FB selbst über IPv6 erreichbar und hat eine Globale IPv6 Adresse. Der bekommt eine leicht abweichende Präfix, z.B 2a02:x:x.N::/62 obwohl tatsächliche Präfix 2a02:x:x:L::/64 ist.
Es kann an 62er Maske liegen.

Ich hab in VMware einen eigenen Router mit OpenWRT gebaut. Ich arbeite nächstes Wochenende daran.


.

 

[MartinDJR]

2a02:x:x.N::/62 obwohl tatsächliche Präfix 2a02:x:x:L::/64 ist.
Es kann an 62er Maske liegen.

Bei IPv6 hat das kleinste Netzsegment (also ohne Router dazwischen) immer das Präfix /64. Bei standardkonformen Routern (rein theoretisch wäre es auch anders machbar) kann man hinter einem Router, der ein /64-er Präfix hat, keinen weiteren Router dahinterschalten.

Der vordere Router (der, der direkt am DSL- oder Kabelanschluss hängt), bekommt ein großes Präfix (z.B. /60, also z.B. 2001B8:1234:5670::/60).

Dieses teilt er dann in mehrere kleinere Präfixe auf - z.B:

2001B8:1234:5670::/64 für Rechner, die direkt am Router hängen
2001B8:1234:5674::/62 für einen Router, der hinter dem ersten Router hängt
2001B8:1234:5678::/62 für einen zweiten Router, der hinter dem ersten Router hängt

Nehmen wir an, hinter dem zweiten Router hängt nochmal ein Router (also drei Router hintereinander). Dann teilt der zweite Router das Präfix wieder auf:

2001B8:1234:5678::/64 für Rechner, die direkt hinter dem zweiten Router hängen
2001B8:1234:567E::/63 für den dritten Router
Die Rechner am dritten Router werden sich dann z.B. in einem Netz 2001B8:1234:567E::/64 befinden...

In der Regel befinden sich Rechner, die selbst keine Router sind, in einem /64-er Netz.

PS.: Bei IPv4 funktioniert das genau so, wenn man ohne NAT routet...

 

[addicted]

Bei einer Routerkette müssen aber die jeweils weiterverteilten Subnetze innerhalb der übergeordneten Delegation sein, also in Deinem Beispiel

2001B8:1234:567A::/63 für den dritten Router

Ansonsten richtig.

 

[Andreas1969]

Alles schön und gut :hirnbump:

Allerdings bringt das Ganze nichts.
Die FritzBox Oberfläche ist dann zwar per IPV6 aus einem IPV6 Netz erreichbar, mehr aber auch nicht.

Das größte Problem ist, daß die FritzBoxen intern absolut Null IPV6 unterstützen.
Da ist AVM auch nicht besser, als die ganzen IPV4 only Provider und Betreiber.

Die FritzBox kann zwar einen Internetzugang über IPV6 herstellen, unterstützt DSLITE und stellt IPV6 Netzwerkadresen für die angeschlossenen Clients, mehr aber auch nicht.

Sämtliche Apps (Fritz!Fon, MyFritz, Fritz!Media, VPN, usw...) bieten null IPV6 Funktionalität.
Im Prinzip ist die FriztzBox ein IPV4 only Gerät, wie sämtliche veralteteten Netzwerkgeräte auch, die
kein IPV6 unterstützen und von den Herstellern auch nicht mehr upgedatet werden.
Da ist AVM kein Deut besser. :wand:


Gruß Andreas

 

[ggditto2]

[
Bei IPv6 hat das kleinste Netzsegment (also ohne Router dazwischen) immer das Präfix /64. Bei standardkonformen Routern (rein theoretisch wäre es auch anders machbar) kann man hinter einem Router, der ein /64-er Präfix hat, keinen weiteren Router dahinterschalten.
Der vordere Router (der, der direkt am DSL- oder Kabelanschluss hängt), bekommt ein großes Präfix (z.B. /60, also z.B. 2001B8:1234:5670::/60).
Dieses teilt er dann in mehrere kleinere Präfixe auf - z.B:

Der TC-7200 hatte immer ein /59-er Präfix. Connect-Box zeigt in seiner Weboberfläche kein info darüber. Ich muss nochmal mit Tools schauen ob er wirklich ein /64-er Präfix hat.
Immerhin Myfritz funktioniert jetzt über IPv6. Vielleicht weil hier FB wie ein Client behandelt wird. Bei mir ging das mit TC-7200 nicht, Also Connect Box macht mir Hoffnung.

Wenn ich mit deinem Muster vergleiche, und davon ausgehe dass CB ein /60-er Präfix hat, dann Präfix-Delegation müsste wohl funktioniert haben. Das ist der FB der ärger macht.

.

 

[ggditto2]

.
Rätsel gelöst . CB Firewall müsste ausgeschaltet werden (Ist nicht Normal aber ist so). Mein Connect Box macht problemlos Prefix-Delegation .

Das Prefix wird fehlerfrei delegiert und kommt an der FB bzw. einem anderen nachgeschalteten Router an.
Endgeräte erhalten auch IPv6 Adressen aus diesem delegierten Subnetz und können darüber im Internet kommunizieren.
Zugriffe von außen werden auch von der delegierenden CB an den FB (bzw. nachgeschalteter Router) mit dem delegierten Subnetz weitergereicht.

Konfiguration, wie oben beschrieben, zusätzlich CB Firewall ausschalten (Ich kann mir auch eine Freigabe nur für delegierten Subnetz vorstellen)



.

 

[MetalSystem]

.
Mein Connect Box macht problemlos Prefix-Delegation.
.

.

Das ist eine Revolution , ich wollte beinah einen eigenen Kabel-Router kaufen.
Wie sieht das Ganze mit TP-Link Router aus !?

 

[SpaceRat]

Das ist eine Revolution , ich wollte beinah einen eigenen Kabel-Router kaufen.

Eine Revolution wäre es, wenn man jetzt noch den DS-lite-Tunnel auf der ConnectBox abschalten und stattdessen auf dem nachgeschalteten Router aufbauen könnte.

Wie sieht das Ganze mit TP-Link Router aus !?

Wenn die ConnectBox Prefix Delegation macht, dann funktioniert dahinter jeder Router, der IPv6 per DHCPv6 beziehen kann.

Übrigens kann man in der Fritz!Box einstellen, welche Präfix-Länge sie haben will.
Wenn wir von "Der TC-7200 hatte immer ein /59-er Präfix" ausgehen, könnte man probeweise in der Fritz!Box auch einstellen, daß sie ein /60er Präfix wünscht.

Der Standard ist /62 (4 Subnetze), weil sie selber mit mehr eh nix anfangen kann.
Sie nutzt das erste daraus für ihr LAN, das zweite meines Wissens für das Gastnetz, ein drittes braucht sie schon nicht mehr.

Ein /62 statt eines /63 fordert sie deshalb an, weil die o.g. Ordinalzahlen um eins zu erhöhen sind, wenn die Fritz!Box selber schon eine IPv6 aus dem ersten Subnet kriegt.
Dann bekommt das LAN das zweite Subnet, das Gastnetz das dritte und im ersten befindet sich nur die Fritz!Box.

Mehr als /62 braucht die Fritz!Box halt nur, wenn sie selber auch noch mal weiterdelegieren soll.

 

[addicted]

Das ist eine komische Eigenart bei einigen PD Clients... die sollten nämlich eine vom Präfix unabhängige IP direkt vom Router bekommen und auf der WAN-Schnittstelle verwenden.

 

[SpaceRat]

Zwei Fragen wären allerdings offen:

Öffnet das komplette Abschalten der Firewall (Um das delegierte Präfix auch wirklich nutzen zu können) auch das administrative Interface der ConnectBox nach außen?
Das wäre sch...

Wenn man es jetzt noch hinkriegen würde, den DS-lite-Tunnel direkt in der Fritz!Box/dem nachgeschalteten Router aufzubauen, dann wäre dieser Betrieb nahezu gleichwertig zum Betrieb der ConnectBox als Modem.

 

[Andreas1969]

Wenn man es jetzt noch hinkriegen würde, den DS-lite-Tunnel direkt in der Fritz!Box/dem nachgeschalteten Router aufzubauen, dann wäre dieser Betrieb nahezu gleichwertig zum Betrieb der ConnectBox als Modem.

Warum dann nicht gleich die ConnectBox im Modem Betrieb nutzen. Dann wäre diese ganze Bastelei doch garnicht nötig.
Es sollten möglichst viele Nutzer der Hotline mit dem Wunsch der Freischaltung des Modem Betriebs in der ConnectBox auf die Eier gehen, vielleicht merken die dann mal so langsam was und geben das frei. :super:

Gruß Andreas

 

[MetalSystem]

Techniker von Unitymedia meinte dass DS-lite + Bridge Modus ist Technisch unmöglich.

Ich habe jetzt meinen TP-Link Router nach Connect-Box an LAN 1 angeschlossen . Mein Laptop hatte zuerst eine IPv6 Adresse bekommen , aber keine Internet Verbindung über IPv6 !!!
Ich habe Firewall in Connect Box abgeschaltet und plötzlich ging alles . Komischerweise wenn ich Firewall wieder anschalte , IPv6 Verbindung geht immer noch , also das war nur einmalig notwendig.

 

[Andreas1969]

Techniker von Unitymedia meinte dass DS-lite + Bridge Modus ist Technisch unmöglich.

Quatsch, wenn der nachgeschaltete Router (z.B. eine aktuelle Fritzbox) DSLITE kann, ist das ohne Einschränkungen möglich.

Gruß Andreas

 

[MetalSystem]

Welche Vorteile bringt das !?

 

[SpaceRat]

Z.B. daß man die ganzen Verrenkungen bzgl. Firewall des vorgeschalteten Routers nicht mehr machen muß.
Oder daß der eigene Router das AFTR-Gateway direkt per DHCPv6 vom Unitymedia-DHCPv6-Server lernt.

 

[Andreas1969]

Z.B. daß man die ganzen Verrenkungen bzgl. Firewall des vorgeschalteten Routers nicht mehr machen muß.
Oder daß der eigene Router das AFTR-Gateway direkt per DHCPv6 vom Unitymedia-DHCPv6-Server lernt.

Genau so ist es :super:
Es wäre eine wahnsinnige Erleichterung. :smile:

Gruß Andreas

 

[addicted]

Vielleicht sind die AFTR ja auch aus den delegierten Präfixen heraus erreichbar und funktional? Dann brauchst du ja bloß die Adresse und dann machst Du einfach Deinen eigenen Tunnel auf.

 

[ggditto2]

...... Komischerweise wenn ich Firewall wieder anschalte , IPv6 Verbindung geht immer noch , also das war nur einmalig notwendig.

CB braucht ein Schock :hammer: dann trägt er neue Sub-Netz, in seinem Routing-Tabelle :mussweg:

Ich hab folgende Regel erstellt um sicher zu stellen dass keine Probleme mit Firewall auftaucht.

 

[MetalSystem]

meine Connect Box hat seit gestern neues Präfix, TP-Link kann keine Verbindung aufbauen und FritzBox zeigt folgende Meldung:

19:51:17 IPv6-Präfix konnte nicht bezogen werden, Fehlergrund: 6

was ist schon wieder los !?

 

[dmk]

.
Rätsel gelöst . CB Firewall müsste ausgeschaltet werden (Ist nicht Normal aber ist so). Mein Connect Box macht problemlos Prefix-Delegation .

Das Prefix wird fehlerfrei delegiert und kommt an der FB bzw. einem anderen nachgeschalteten Router an.
Endgeräte erhalten auch IPv6 Adressen aus diesem delegierten Subnetz und können darüber im Internet kommunizieren.
Zugriffe von außen werden auch von der delegierenden CB an den FB (bzw. nachgeschalteter Router) mit dem delegierten Subnetz weitergereicht.

Konfiguration, wie oben beschrieben, zusätzlich CB Firewall ausschalten (Ich kann mir auch eine Freigabe nur für delegierten Subnetz vorstellen)



.

Meine Connectbox scheint kein PD zu tun. Wie hast du sie konfiguriert? Wenn ich mir das ganze mittels Wireshark anschaue, scheint die CB einfach die DHCP Anfragen zur Prefixdelegation zu ignorieren.
UM Hotline ist am recherchieren, aber ehrlich gesagt glaube ich, die haben mittlerweile das Ticket still und heimlich zu gemacht.

 

[Nuklearspuerhund]

Huhu,
kann mir vieleicht noch jemand bei Prefix-Delagation und DD-WRT(31899) helfen?
Nach einem langen Werksreset kriegt mein Asus AC66U auch ein /62er Präfix auf br0(LAN), was nicht dem tatsächlichen Präfix entspricht.
In der ConnectBox unter DHCPv6 steht: 2a02:908:e850:6780::/64, DD-WRT will 2a02:908:e850:6779::/62 verteilen?! Als weiteres hat der Router selber eine ipv6 mit falschem Präfix. Allerdings kann er damit andere hosts pingen und als Absender Adresse kommt natürlich wieder das richtige 6780er Präfix. DD-WRT erstellt eine radvd.conf mit dem falschen Präfix,
wenn ich das korrigiere:
interface br0
{
IgnoreIfMissing on;
AdvSendAdvert on;
MinRtrAdvInterval 3;
MaxRtrAdvInterval 10;
AdvHomeAgentFlag off;
AdvManagedFlag off;
AdvOtherConfigFlag on;
AdvLinkMTU 1500;
prefix 2a02:908:e850:6780::/64
{
AdvOnLink on;
AdvAutonomous on;
};
RDNSS 2a02:908:2:a::1 2a02:908:2:b::1 {};
};

dann will er trozdem das falsche Präfix auf br0 verteilen. Ich hab schon diverse Submasks durch, und Stateful in der Connectbox hab ich auch ausprobiert.
UM will hier doch (aktiv) verhindern das man erfolgreich PD benutzt... die werden dafür büßen wenn hier erstmal Glasfaser verfügbar ist...
hat noch jemand vorschläge... bin für alles dankbar.