Unitymedia Warum ist das IPv6-Netz so wie es ist? Und wie kann ich ein Netz hinter einem zweiten Router aufbaue

[Daniel32748]

Hi,

ich bin ein ziemlicher Noob, was IPv6 angeht. Ich möchte verstehen, warum mein Heimnetz ist, wie es ist.

(IP-Adressen verschleiert)

Meine Fragen sind diese:

1. Mein Computer hat drei öffentliche IPv6-Adressen. die :1c14 ist meine IPv6-Adresse, die :f9e3 und :4fe0 sind temporäre IPv6-Adressen. www.wieistmeineip.de zeigt mir die :4fe0 als meine IPv6 an. Warum zeigt es die temporäre an?

2. Ich habe nur ein IPv6-Gateway in meinem Computer: fe80::A:B:C. Wenn ich aber ein tracert auf google.com mache, dann ist der erste hop 2a02:8070:AA:AA:925c:44ff:fea2:58d1. Ich vermute, das ist mein Router, aber diese IP steht auch nicht in der ConnectBox-Information. Wie kommt es also, dass mein PC diese IP als Default-GW nutzt, obwohl nur eine link-local eingetragen ist?

3. Ich möchte dem zweiten Router (pfSense) eine IPv6-Adresse geben und dahinter (gegenüber den VMs) ein eigenes IPv6-Netz einrichten. Die VMs sollen Internetzugriff erhalten. Geht das überhaupt? Welche IP gebe ich der pfSense und wie verteile ich das Netz dahinter an die VMs?

 

[addicted]

1. Adressen haben eine Präferenz, d.h. es gibt eine Reihenfolge. Wird bei einer neuen Verbindung nicht explizit eine bestimmte Adresse ausgewählt, dann verwendet das Betriebssystem die mit der besten Präferenz.
2. Als default-GW wird schon das genutzt, was eingetragen ist. Aber der Router kann von jeder beliebigen IP-Adresse aus antworten. In der Regel werden global routebare IP-Adressen bevorzugt. fe80::-Adressen sind nur auf dem konkreten Link gültig (quasi innerhalb des LANs). Daher siehst Du die Antwort von einer anderen IP-Adresse.
3. Die pfSense muss von der ConnectBox ein IPv6-Präfix anfordern, d.h. sie erhält (neben einer eigenen IPv6-Adresse), einen Netzbereich, der für die weitere Unterverteilung genutzt werden kann. In der pfSense trägst Du dann für Interfaces einen Teil dieses Präfixes ein.

Wie man 3. konkret macht, kann Dir sicher jemand mit CB und/oder pfSense besser erklären.

 

[Edding]

Hi,

ich bin ein ziemlicher Noob, was IPv6 angeht. Ich möchte verstehen, warum mein Heimnetz ist, wie es ist.

(IP-Adressen verschleiert)

Meine Fragen sind diese:

1. Mein Computer hat drei öffentliche IPv6-Adressen. die :1c14 ist meine IPv6-Adresse, die :f9e3 und :4fe0 sind temporäre IPv6-Adressen. www.wieistmeineip.de zeigt mir die :4fe0 als meine IPv6 an. Warum zeigt es die temporäre an?

Damit man dich nicht "identifizieren" kann .. ausgehende verbindungen nutzen immer diese temporäre die ändert sich jedesmal .. nennt sich übrigens Privacy-extensions.

2. Ich habe nur ein IPv6-Gateway in meinem Computer: fe80::A:B:C. Wenn ich aber ein tracert auf google.com mache, dann ist der erste hop 2a02:8070:AA:AA:925c:44ff:fea2:58d1. Ich vermute, das ist mein Router, aber diese IP steht auch nicht in der ConnectBox-Information. Wie kommt es also, dass mein PC diese IP als Default-GW nutzt, obwohl nur eine link-local eingetragen ist?

Die 2a02 ist die öffentliche IPV6 über die geht es auf der WAN seite nach draussen .. die fe80 im lokalen lan
und das müsste auf deinem screenshot bei IPV6 oben die erste sein

3. Ich möchte dem zweiten Router (pfSense) eine IPv6-Adresse geben und dahinter (gegenüber den VMs) ein eigenes IPv6-Netz einrichten. Die VMs sollen Internetzugriff erhalten. Geht das überhaupt? Welche IP gebe ich der pfSense und wie verteile ich das Netz dahinter an die VMs?

du musst mit der pfsense ein Präfix anfordern.
glaube ein /56 war es in hessen-nrw und /59 in BW.. ob auch kleinere gehen weis ich nicht. und damit baust du dann ein /64

 

[tq1199]

1. Mein Computer hat drei öffentliche IPv6-Adressen. die :1c14 ist meine IPv6-Adresse, die :f9e3 und :4fe0 sind temporäre IPv6-Adressen. www.wieistmeineip.de zeigt mir die :4fe0 als meine IPv6 an. Warum zeigt es die temporäre an?

Hast Du die PE (privacy extensions) aktiviert?

2. Ich habe nur ein IPv6-Gateway in meinem Computer: fe80::A:B:C. Wenn ich aber ein tracert auf google.com mache, dann ist der erste hop 2a02:8070:AA:AA:925c:44ff:fea2:58d1. Ich vermute, das ist mein Router, aber diese IP steht auch nicht in der ConnectBox-Information. Wie kommt es also, dass mein PC diese IP als Default-GW nutzt, obwohl nur eine link-local eingetragen ist?

Bist Du sicher, dass Du nur ein IPv6-gateway in deinem Computer hast? Siehe z. B. die Ausgabe von:

<i>
</i>ip -6 r

(oder gleichwertig, je nach OS). Du hast nur eine v6-default route. Aber für den v6-Internetzugang wird diese nicht benötigt, denn es wird eine _definierte_ v6-Route für den Internetzugang, in deinem Computer geben.

 

[Andreas1969]

du musst mit der pfsense ein Präfix anfordern.

Ich dachte, die ConnectBox könnte keine Prefix Delegation :kratz:

 

[Edding]

du musst mit der pfsense ein Präfix anfordern.

Ich dachte, die ConnectBox könnte keine Prefix Delegation :kratz:

muss zugeben getestet habe ich das noch nicht :hammer:

 

[Andreas1969]

muss zugeben getestet habe ich das noch nicht

Dann müsste man doch im 1. Schritt erst einmal die ConnectBox gegen etwas ordentliches ersetzen, damit die pfSense vernünftig versorgt wird. :winken:

 

[Daniel32748]

Hast Du die PE (privacy extensions) aktiviert?

Ja, sind aktiviert. Wieder was gelernt. Danke.

Bist Du sicher, dass Du nur ein IPv6-gateway in deinem Computer hast? Siehe z. B. die Ausgabe von:
(oder gleichwertig, je nach OS). Du hast nur eine v6-default route. Aber für den v6-Internetzugang wird diese nicht benötigt, denn es wird eine _definierte_ v6-Route für den Internetzugang, in deinem Computer geben.

Ja, 100 prozentig.

 

[Daniel32748]

muss zugeben getestet habe ich das noch nicht

Dann müsste man doch im 1. Schritt erst einmal die ConnectBox gegen etwas ordentliches ersetzen, damit die pfSense vernünftig versorgt wird. :winken:

Will nur experimentieren und das verstehen. Da werde ich jetzt sicher kein Geld und Platz für investieren.

 

[tq1199]

Ja, 100 prozentig.

Du hast geschrieben:

Ich habe nur ein IPv6-Gateway in meinem Computer: fe80::A:B:C

und damit meinst Du sicherlich, das eine default gateway (default route). Aber Du hast auch noch andere Routen in deinem Computer, z. B. u. a. die mit dem IPv6-Präfix definierte Route, für den Zugang ins (v6-)Internet.

 

[boba]

Ich kann dir den ipv6 Artikel aus der wikipedia ans Herz legen: https://de.wikipedia.org/wiki/IPv6
Dort werden die Grundlagen von ipv6 ganz ordentlich erklärt, z.B. das Konzept von Netz- und Hostanteil bei den Adressen und das zuweisen von Adressbereichen von Router zu Router. Auch die speziellen (lokalen) Adressen sind erklärt. Und Basiswissen über dslite kann man dort finden.

Das einzige, was dort zu ipv6 fehlt, ist eine ordentliche Erklärung der Funktionsweise der privacy extensions, die zu den vielen temporären ipv6 Adressen führt. Hier kann man den Absatz aus dem ipv6 Artikel der englischen wikipedia zu Rate ziehen: https://en.wikipedia.org/wiki/IPv6#SLAAC_privacy_extensions

 

[Daniel32748]

und damit meinst Du sicherlich, das eine default gateway (default route). Aber Du hast auch noch andere Routen in deinem Computer, z. B. u. a. die mit dem IPv6-Präfix definierte Route, für den Zugang ins (v6-)Internet.

So sieht das bei mir aus.

IPv6-Routentabelle
===========================================================================
Aktive Routen: If Metrik Netzwerkziel Gateway 9 41 ::/0 fe80::A:B:C:D 1 331 ::1/128 Auf Verbindung 9 41 2a02:8070:AA:AA::/64 Auf Verbindung 9 281 2a02:8070:AA:AA::/64 fe80::A:B:C: 9 281 2a02:8070:AA:AA:cb0:e9f7:6a38:1c14/128 Auf Verbindung 9 281 2a02:8070:AA:AA:146d:1951:e575:f9e3/128 Auf Verbindung 9 281 2a02:8070:AA:AA:a9f1:e4a5:c3d9:4fe0/128 Auf Verbindung 9 281 fe80::/64 Auf Verbindung 19 5256 fe80::/64 Auf Verbindung 9 281 fe80::cb0:e9f7:6a38:1c14/128 Auf Verbindung 19 5256 fe80::101e:1094:697d:69dc/128 Auf Verbindung 1 331 ff00::/8 Auf Verbindung 9 281 ff00::/8 Auf Verbindung 19 5256 ff00::/8 Auf Verbindung
===========================================================================
Ständige Routen: Keine.

2. Als default-GW wird schon das genutzt, was eingetragen ist. Aber der Router kann von jeder beliebigen IP-Adresse aus antworten. In der Regel werden global routebare IP-Adressen bevorzugt. fe80::-Adressen sind nur auf dem konkreten Link gültig (quasi innerhalb des LANs). Daher siehst Du die Antwort von einer anderen IP-Adresse.

Der router kann schon von jeder beliebigen IP-Adresse aus antworten. Aber kann ich wirklich von eine link-local Adresse einen Ping absetzen und den dann über die Global Unicast Adresse empfangen? Das passt für mich irgendwie noch nicht zusammen.

Edit: Cisco schreibt dazu das hier: "IPv6 devices must not forward packets that have link-local source or destination addresses to other links"
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6_basic/configuration/15-mt/ip6b-15-mt-book/ip6-uni-routing.pdf

 

[rv112]

Soweit ich weiß kann die CB keine PD. Ich würde Dir nachdem Du schon etwas Vernünftiges hast wie pfSense dringend ein TC4400 Modem ans Herz legen. Damit läuft dann auch IPv6 sauber. Das Gateway ist zwar eine fe80 Adresse, ist jedoch das Gateway bei UM. UM schickt sein Gateway als fe80 mit, was aber auch durchaus üblich ist und geroutet werden kann. Ein Trace zeigt dann als ersten Hop das Interface welches Dein /64 stellt an. Bei pfSense demnach Dein LAN Interface.

Einen Ping vom LAN aus auf das UM Gateway geht dagegen nicht, da es nicht bis ins LAN zurück geroutet wird. Vom WAN Interface aus erreichst Du aber das UM Gateway.

 

[Andreas1969]

Ich würde Dir nachdem Du schon etwas Vernünftiges hast wie pfSense dringend ein TC4400 Modem ans Herz legen. Damit läuft dann auch IPv6 sauber.

Nö, wird er nicht tun :traurig:

muss zugeben getestet habe ich das noch nicht

Dann müsste man doch im 1. Schritt erst einmal die ConnectBox gegen etwas ordentliches ersetzen, damit die pfSense vernünftig versorgt wird. :winken:

Will nur experimentieren und das verstehen. Da werde ich jetzt sicher kein Geld und Platz für investieren.

 

[addicted]

2. Als default-GW wird schon das genutzt, was eingetragen ist. Aber der Router kann von jeder beliebigen IP-Adresse aus antworten. In der Regel werden global routebare IP-Adressen bevorzugt. fe80::-Adressen sind nur auf dem konkreten Link gültig (quasi innerhalb des LANs). Daher siehst Du die Antwort von einer anderen IP-Adresse.

Der router kann schon von jeder beliebigen IP-Adresse aus antworten. Aber kann ich wirklich von eine link-local Adresse einen Ping absetzen und den dann über die Global Unicast Adresse empfangen? Das passt für mich irgendwie noch nicht zusammen.

Edit: Cisco schreibt dazu das hier: "IPv6 devices must not forward packets that have link-local source or destination addresses to other links"
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6_basic/configuration/15-mt/ip6b-15-mt-book/ip6-uni-routing.pdf

Du verwechselst hier den Next-Hop mit der Destination.
Bei einem Traceroute z.B. zu heise.de ist die Destination des Paketes die IPv6-Adresse von heise.de. Die Source-Adresse ist eine der global routebaren Adressen auf Deinem Device.
Aber für das Routing wird das Paket an den Next-Hop gesendet, weil Du die heise.de-Adresse nicht direkt erreichen kannst. Dieser Next-Hop kann problemlos eine LL-Adresse sein, da sie nur innerhalb des konkreten Links verwendet wird, über den das Paket geht.

Die Antwort innerhalb des Traceroute ist ein ICMP-Paket, welches von Deinem Router an die global routebare Adresse Deines Devices gesendet wird. Deshalb kommt sie von der global routebaren Adresse des Routers.

Wenn Du direkt die LL-Adresse Deines Routers pingst, kommt die Antwort auch von dieser Adresse. Ich überlasse es Dir selbst herauszufinden, welche Quell-Adresse Dein Device für so einen Ping verwendet.

 

[Ragnos]

Soweit ich weiß kann die CB keine PD.

Ich hatte bereits ein Mikrotik RouterBoard HEX v2/v3 an einer ConnectBox mit Prefix Delegation im Betrieb. Wichtig war hier allerdings "Rapid Commit" abzuschalten. Die ConnectBox delegiert dann maximal ein /62.
Allerdings kann mich der Empfehlung des TC4400 nur anschließen, dass läuft wesentlich reibungsloser. Neben dem Puma-Bug bist du gezwungen auch bei gebuchtem DualStack ein Double-NAT zu fahren, alles nicht so toll.