datax87
Goto Top

Clients hinter EdgeRouter-X bekommen keine IPv6-Global-Unicast-Adresse

Hallo, hat schon jemand von Euch etwas mehr Erfahrung mit IPv6?

Ich versuche gerade IPv6 in einem kleinen LAN ans Laufen zu bekommen,
so dass die Clients per eigener IPv6-Global-Unicast-Adresse (also eigener öffentlich gültiger IPv6-Adresse)
Verbindungen aufbauen können.

Die Clients befinden sich hinter einem "EdgeRouter-X" von "Ubiquiti" (EdgeOS v1.10.8) und vor
vor dem "EdgeRouter-X" steht eine "FritzBox 7560".

Ich habe mich für die Konfiguration des "EdgeRouter-X" an die Anleitung auf folgender Webseite gehalten:

https://community.ubnt.com/t5/EdgeRouter/IPv6-Newbie/m-p/1397506/highlig ...

Siehe Anleitung im zweiten Post auf obiger Seite.

Aktueller Stand ist der, dass das Interface "eth0" des "EdgeRouter-X" eine Global-Unicast-Adresse bekommen hat,
die Clients, die über "eth1" angeschlossen sind, aber weiterhin nicht.

Auf den Clients ist natürlich das IPv6-Protokoll aktiviert (Windows 10),
habe ich auch überprüft ^^.

Im Moment weiß ich da leider nicht weiter, die "SLAAC" (die Funktion zur Autokonfiguration bei "IPv6")
funktioniert aus irgendeinem Grund nicht.

Kann mir da jemand weiterhelfen?

Von "ipconfig" eines Win10-Clients und "ip addr show dev eth1" auf dem "EdgeRouter" habe ich
Screenshots mit angehängt. Über "eth1" sind wie gesagt die Clients angeschlossen.

Gruß, Datax
unbenannt
eth1

Content-ID: 451038

Url: https://administrator.de/forum/clients-hinter-edgerouter-x-bekommen-keine-ipv6-global-unicast-adresse-451038.html

Ausgedruckt am: 25.12.2024 um 19:12 Uhr

aqui
Lösung aqui 13.05.2019 aktualisiert um 12:19:08 Uhr
Goto Top
hat schon jemand von Euch etwas mehr Erfahrung mit IPv6?
Du bist hier in einem Admin Forum ! Da erübrigt sich in der Regel solche Frage...
Im Moment weiß ich da leider nicht weiter, die "SLAAC" (die Funktion zur Autokonfiguration bei "IPv6") funktioniert aus irgendeinem Grund nicht.
Das kann sie auch nicht wenn du deinem Client Segment eth1 kein IPv6 Netzwerk zugeteilt hast.
Leider hast du hier keinerlei Konfig des Routers gepostet so das wir leider nur im freien Fall raten können. face-sad

Für das eth1 hast du 2 Optionen:
  • Statische Zuweisung
  • Zuweisung per PD (Prefix Delegation) von der FritzBox
Ersteres kannst du vermutlich nicht, da du (geraten ?!) vermutlich einen einfachen v6 Consumer Anschluss hast wo du vom Provider in der regel einen /56er Prefix per PD zugeteilt bekommst und das vermutlich (auch geraten) noch wechselnd. Allerdings ist das sehr unterschiedlich von Provider zu Provider welche PD Größe du bekommst. Das musst du dem Vertrag oder Hotline entnehmen. Diese PD Größe ist aber entscheidend für dein Kommando set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 56 und muss entsprechend richtig angepasst werden ! Passt es nicht, schlägt die v6 Connectivity fehl.
Sprich du musst also diesen Prefix von der FirtzBox weiterverteilen lassen an dein X Router WAN Interface und der vereteilt es dann als /64er an sein eth1 Client Interface.
Hast du das so eingerichtet ? Wichtig ist das deine kaskadierte FB den PD weitergibt mit einem kleineren Prefix z.B. 62.
Wie das z.B. an einer pfSense Firewall geht kannst du hier sehen:
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...
Analog ein Cisco Router:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Ist fast immer die gleiche Prozedur, egal welche HW.
Datax87
Datax87 13.05.2019 um 14:44:20 Uhr
Goto Top
Hi, dass die FritzBox das IPv6-Präfix an den EdgeRouter per Prefix-Deligation weitergeben muss,
hatte ich soweit verstanden.

Aus dem Grund habe ich auf der FritzBox die Option "Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben"
unter "Heimnetz" --> "Netzwerk" --> "Netzwerkeinstellungen" --> "IPv6-Adressen" aktiviert.

Außerdem habe ich den DHCPv6-Server auf der FritzBox aktiviert und dort die Option "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" aktiviert.

Diese Konfiguration soll man laut folgendem AVM-Artikel auf der FritzBox vornehmen,
um ein IPv6-Subnetz einzurichten, das hinter der FritzBox liegt:
https://avm.de/service/fritzbox/fritzbox-3270/wissensdatenbank/publicati ...

Also wie gesagt, die Einrichtung nach diesem Artikel habe ich auf der FritzBox gemacht,
siehe Screenshot, den ich mitgeschickt habe.

Was das öffentliche IPv6-Präfix betrifft, habe ich ein "/56"er-Präfix. Das habe ich auf der FritzBox unter "Internet" --> "Online-Monitor" --> "Internet, IPv6" nachgeschaut. Dort steht bei "IPv6-Präfix" das entsprechende Präfix.

Laut obigem AVM-Artikel verteilt die FritzBox ein "/62"er-Präfix. Muss ich dann nicht auf dem EdgeRouter nicht eigentlich folgenden Befehl eingeben?
set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 62


Ist mir gerade mal so aufgefallen ... hatte nämlich den gleichen Befel mit der Angabe eines "/56"er-Präfix auf dem EdgeRouter eingegeben,
also folgenden Befehl:

set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 56

Werde das später mal testen, wenn ich das so richtig verstanden habe!?

Gruß, Datax
aqui
Lösung aqui 13.05.2019 aktualisiert um 15:59:57 Uhr
Goto Top
Also wie gesagt, die Einrichtung nach diesem Artikel habe ich auf der FritzBox gemacht, siehe Screenshot, den ich mitgeschickt habe.
Das ist dann auf Seiten der FritzBox alles richtig.
Aber...wo ist der Screenshot ? Ist hier im Thread leider nicht zu sehen face-sad
Die o.a. Screenshots zeigen ja nur den den Output vermutlich des Router und eines (vermutlichen) Windows Rechners in dem eth0 Segment des kaskadierten X Routers ?!
An beiden ist zu sehen das es keinerlei gültige Global-Unicast IPv6 Adresse an den beiden Interfaces gibt ! Das lässt dann den Schluss zu das der Router am eth1 falsch oder fehlerhaft konfiguriert wurde bzw. gar kein v6 Netz per DP bekommt.
Hier würden uns das Router Log erheblich weiterhelfen, denn dort sind ja alle Aktivitäten zu sehen. Konfig des Routers würde ebenfalls helfen.
Dort kann man ja schon gleich mit sowas wie show ipv6 interface sehen ob die Adressevergabe per PD erfolgreich war oder nicht !
Muss ich dann nicht auf dem EdgeRouter nicht eigentlich folgenden Befehl eingeben?
Ja, natürlich, denn ein /56er Prefix kann die FB ja logischerweise nicht mehr weiterverteilen wenn sie lokal an ihrem LAN schon ein /64 oder was auch immer verwendet ! Logisch !
Das hast du also richtig verstanden !

Für Grundlagen zu IPv6 siehe auch hier:
https://danrl.com/projects/ipv6-workshop/
Datax87
Datax87 13.05.2019 aktualisiert um 16:42:01 Uhr
Goto Top
Hi, also die Screenshots aus meinem ersten Post zeigen nicht "eth0".

Die Screenshots zeigen die IP-Konfiguration des EdgeRouters auf der "eth1"-Schnittstelle,
das ist das 192.168.1.0/24er-Netz. Über dieses Interface soll das besagte IPv6-Netz konfiguriert werden.

Der andere Screenshot ist die Ausgabe von "ipconfig" eines Win10-PCs in diesem Netz,
der entsprechend eine 192.168.1.0/24er-IP per DHCP bekommen hat. Diese PC (und entsprechend auch
weitere Clients in diesem Netz) sollen auch IPv6-Global-Unicast IPs bekommen, um selbst
IPv6-Endpunkte im Internet ansprechen zu können.

Ich probiere den "set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 62"-Befehl später aus und die Ausgabe von
"show ipv6 interface" reiche ich ebenfalls später nach.

Wie kann ich mir bei meinem EdgeRouter die Config ausgeben lassen?
Weißt du das zufällig spontan? Ich google es sonst nachher und reiche die Config entsprechend auch hier nach.

Im Anhang übrigens zwei Screenshots der FritzBox,
die ich im letzten Post zu meiner Schande vergessen habe mit anzuhängen ;).
fb_2
fb
aqui
aqui 13.05.2019 um 17:45:44 Uhr
Goto Top
Ich probiere den "set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 62"-Befehl später aus
Wir sind gespannt...! face-wink
Wie kann ich mir bei meinem EdgeRouter die Config ausgeben lassen?
Handbuch ?!?
https://help.ubnt.com/hc/en-us/articles/204960084-EdgeRouter-Archiving-a ...
Datax87
Datax87 13.05.2019, aktualisiert am 15.05.2019 um 18:10:58 Uhr
Goto Top
Hm, habe immer noch keine IPv6-Adresse auf dem "eth0"-Interface ^^.

Habe die IPv6-Konfiguration von "eth0" zuvor gelöscht und danach folgende Befehle eingeben:

set interfaces ethernet eth0 dhcpv6-pd pd 0 (Präfix-Delegation auf "eth0" aktivieren)
set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 62 (Präfix für "eth0" auf "/62" festlegen)
commit (zum Aktivieren der Konfiguration)
save (zum Speichern der Config)

Hier meine aktuelle Config von "eth0" sowie "eth1" und darunter Screenshots von "ip addr show" auf dem EdgeRouter:

interfaces {
    ethernet eth0 {
        address 192.168.178.2/24
        description "eth0 - WAN"  
        dhcpv6-pd {
            pd 0 {
                prefix-length 62
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                name WAN-IN
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
        }
        speed auto
    }
    ethernet eth1 {
        address 192.168.1.1/24
        description "eth1 - LAN"  
        duplex auto
        firewall {
            in {
                name LAN-IN
            }
            out {
                name LAN-OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag true
                max-interval 600
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }

Ausgabe von "ip addr show" auf dem EdgeRouter:

4: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether fc:ec:da:71:0e:04 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.2/24 brd 192.168.178.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::feec:daff:fe71:e04/64 scope link
       valid_lft forever preferred_lft forever
5: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether fc:ec:da:71:0e:05 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::feec:daff:fe71:e05/64 scope link
       valid_lft forever preferred_lft forever
Datax87
Datax87 13.05.2019, aktualisiert am 15.05.2019 um 18:11:47 Uhr
Goto Top
So, jetzt habe ich auf "eth0" eine globale IPv6-Adresse bekommen ^^.

Musste die Präfix-Vergabe an den EdgeRouter manuell anstoßen,
indem ich im "IPv6-Adressen"-Menü der FritzBox nochmal auf "OK" geklickt habe.

Obwohl ich vorhin wie in meiner zuletzt geposteten Config zu sehen eine "/62"er-Präfix-Anforderung für "eth0" konfiguriert habe,
hat "eth0" eine IPv6-Adresse mit "/64"er-Präfix bekommen.

Habe danach nochmal als Test eine "/60"er-Präfix-Anforderung auf "eth0" konfiguriert mit unten stehenden Befehlen,
aber "eth0" hat weiterhin das "/64"er-Präfix:
set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60 (Präfix für "eth0" auf "/62" festlegen)  
commit (zum Aktivieren der Konfiguration)
save (zum Speichern der Config)

Meine aktuelle Config für "eth0" und "eth1":

ethernet eth0 {
        address 192.168.178.2/24
        description "eth0 - WAN"  
        dhcpv6-pd {
            pd 0 {
                prefix-length 60
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                name WAN-IN
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
        }
        speed auto
    }
    ethernet eth1 {
        address 192.168.1.1/24
        description "eth1 - LAN"  
        duplex auto
        firewall {
            in {
                name LAN-IN
            }
            out {
                name LAN-OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag true
                max-interval 600
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }

Habe auf unten stehender Webseite gelesen, dass für ein funktionierendes "SLAAC" kein Präfix > "/64" verwendet werden kann,
sprich "eth1" darf kein IPv6-Netz mit einem Prafix > "/64" sein:

https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...

Das ist mir im Moment nicht möglich zu realisieren, weil ja wie oben erwähnt "eth0" zur Zeit meine Präfix-Anforderung von z.B. "/60"
irgendwie ignoriert. "eth0" bekommt wie gesagt deshalb immer das "/64"er-Präfix verpasst, das ich eigentlich auf "eth1" bräuchte.
"eth0" braucht deshalb logischerweise ein kleineres Präfix als "/64", beispielsweise "/60".

Eine Idee was ich da auf dem EdgeRouter falsch mache?
aqui
Lösung aqui 14.05.2019 aktualisiert um 09:11:55 Uhr
Goto Top
Hm, habe immer noch keine IPv6-Adresse auf dem "eth0"-Interface
Nimm dir mal einen Wireshark Sniffer und sieh dir das PD Verfahren an. Da scheint ja dann irgend etwas nicht zu stimmen ?!
Kann es sein das da noch irgendwas Firewall technisches aktiv ist was das evtl. filtert ?
Habe die IPv6-Konfiguration von "eth0" zuvor gelöscht und danach folgende Befehle eingeben:
Das ist eigentlich falsch, denn der Edge Router soll ja selber kein PD machen auf dem eth0 Interface (Koppelport zur FB). Dort ist er ja DHCPv6 Client und bekommt ja die Adresse per PD von der FB !
Mit rapid-commit musst du auch vorsichtig sein, das supporten nicht alle Provider. Ggf. immer erst ohne aufsetzen und später, wenns klappt, aktivieren. Ist eine Falle weniger !
Ausgabe von "ip addr show" auf dem EdgeRouter:
Zeigt ja das es keinerlei gültige IPv6 Adresse die via PD kommen soll gibt. Also stimmt was mit der Delegation nicht.
Musste die Präfix-Vergabe an den EdgeRouter manuell anstoßen,
OK, klingt gut. Wobei das Setup ja gruselig ist. Andere Hersteller lösen sowas erheblich eleganter. Zeigt mal wieder deutlich das das eigentlich eine WLAN Bude ist aber keine Netzwerk bzw. Router Spezialisten face-sad
hat "eth0" eine IPv6-Adresse mit "/64"er-Präfix bekommen.
Das ist auch völlig normal. Denk mal bitte selber etwas nach. Er kann ja keine /62 Maske bekommen, dann könnte er gar nicht routen weil das ja alle /64er Netze inkludieren würde.
Das ist also normal so. Bzw. du gibst das mit der Konfig ja auch vor. Nimm den oben genannten Cisco z.B. der hat dort ipv6 address provider-v6-prefix ::1:0:0:0:1/64 . Provider Prefix Variable die mit der PD kommt wird um das /64er Subnetz 1 ergänzt und als /64 am Interface konfiguriert. Genau das gleiche Spielchen machen alle Router also auch deine Edge Gurke.
dass für ein funktionierendes "SLAAC" kein Präfix > "/64" verwendet werden kann,
Das ist natürlich Quatsch ! SLAAC funktioniert in allen erdenklichen Subnetzen ! Bitte lesen:
https://danrl.com/projects/ipv6-workshop/
"eth0" braucht deshalb logischerweise ein kleineres Präfix als "/64", beispielsweise "/60".
Nein, warum ? eth0 und eth1 bekommen immer /64er aus dem übergeordneten PD Netz. Die FB "weiss" ja das sie das /62 Subnetz an die Edge Gurke gegeben hat. Ob die das dann in mehrere /64er aufteilt (was normal wäre) ist ja dann egal.
Datax87
Datax87 14.05.2019, aktualisiert am 15.05.2019 um 18:13:29 Uhr
Goto Top
Hi, hast natürlich Recht.

Die FritzBox vergibt ein "/62"er-Netz,
welches dann auf dem EdgeRouter in mehrere "/64"er-Netze aufgeteilt wird.

Ist ja logisch

Das ist natürlich Quatsch ! SLAAC funktioniert in allen erdenklichen Subnetzen ! Bitte lesen:
https://danrl.com/projects/ipv6-workshop/#

Ja, okay. Danke für den Hinweis, dann funktioniert "SLAAC" also auch mit Präfixen jenseits von "/64".

Habe gerade nochmal versucht "eth1" korrekt für ein zu verteilendes "/64"er-IPv6-Netz zu konfigurieren mit
unten stehenden Befehlen:

set interfaces ethernet eth1 ipv6 dup-addr-detect-transmits 1
set interfaces ethernet eth1 ipv6 router-advert cur-hop-limit 64
set interfaces ethernet eth1 ipv6 router-advert link-mtu 0
set interfaces ethernet eth1 ipv6 router-advert managed-flag true
set interfaces ethernet eth1 ipv6 router-advert max-interval 600
set interfaces ethernet eth1 ipv6 router-advert other-config-flag false
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' autonomous-flag true  
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' on-link-flag true  
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' valid-lifetime 7200  
set interfaces ethernet eth1 ipv6 router-advert reachable-time 0
set interfaces ethernet eth1 ipv6 router-advert retrans-timer 0
set interfaces ethernet eth1 ipv6 router-advert send-advert true

Die Befehle habe ich von folgender Webseite (unterhalb von "Step 3: activate router advertisements for the IPv6 networks:"):
https://www.o-schroeder.de/sysadmin/DSLite/edgerouter.php

Also auf "eth0" bekomme ich weiterhin wie gesagt eine öffentliche IPv6-Adresse,
wobei ich nach einem Reboot des EdgeRouters jedes Mal auf die FritzBox in das besagte "IPv6-Adressen"-Menü gehen
und dort ein Mal auf "OK" klicken muss, um die Präfix-Delegation anzustoßen ^^.

Auf "eth1" habe ich jedoch weiterhin nur eine "fe80::/10"-Adresse (Link-Local-Adresse),
aber keine öffentliche IPv6-Adresse wie auf "eth0" und entsprechend funktioniert "SLAAC" über "eth1" nicht
(Clients also ebenfalls weiterhin ohne öffentliche IPv6-Adresse).

Habe auf dem EdgeRouter auch mal testweise die Firewall auf "Durchzug" geschaltet und ALLES erlaubt,
hat aber bezogen auf "eth1" leider nicht zum Erfolg geführt (keine öffentliche IPv6-Adresse).
Meine aktuelle Conig von "eth0" und "eth1":

 ethernet eth0 {
        address 192.168.178.2/24
        description "eth0 - WAN"  
        dhcpv6-pd {
            pd 0 {
                interface eth1 {
                    host-address ::1
                    prefix-id :0
                    service slaac
                }
                prefix-length /62
            }
            rapid-commit enable
        }
        duplex auto
        firewall {
            in {
                name WAN-IN
            }
            out {
                name WAN-OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
        }
        speed auto
    }
    ethernet eth1 {
        address 192.168.1.1/24
        description "eth1 - LAN"  
        duplex auto
        firewall {
            in {
                name LAN-IN
            }
            out {
                name LAN-OUT
            }
        }
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag true
                max-interval 600
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 7200
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }
Ausgabe von "ip addr" für "eth0" und "eth1":

4: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether fc:ec:da:71:0e:04 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.2/24 brd 192.168.178.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 xxxx:xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxx/64 scope global dynamic
       valid_lft 7102sec preferred_lft 3502sec
    inet6 fe80::feec:daff:fe71:e04/64 scope link
       valid_lft forever preferred_lft forever
5: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether fc:ec:da:71:0e:05 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::feec:daff:fe71:e05/64 scope link
       valid_lft forever preferred_lft forever
aqui
Lösung aqui 14.05.2019 um 16:19:41 Uhr
Goto Top
Sieht ja schon mal ganz gut aus außer das Interface eth1 keinerlei gültige IPv6 Adresse hat !
Das ist auch kein Wunder, denn nur mit autoconf kann das ja logischerweise nix werden. Da ist ja nix zum Autoconfen...!
Du musst die Prefix Variable nehmen, da eine Adresse dranhängen. Genau wie beim Cisco Beispiel. Der Prefix steckt ja in der Variablen "pd 0". Ich kenne die EdgeX Gurken nicht aber geraten müsste da ja sowas wie das hier hin an eth1:
edit interfaces ethernet eth1
set dhcpv6-pd pd 0 prefix-length /64
set dhcpv6-pd pd 0 interface eth1 host-address ::1
set dhcpv6-pd pd 0 interface eth1 prefix-id :0
set dhcpv6-pd pd 0 interface eth1 service slaac

Hier ein Beispiel für mehrere Interfaces:
https://techsmix.net/ubiquti-edgemax-lite/
Ohne das du die eth1 IPv6 Adresse aus dem POrefix und der Hostadresse dort konfigurierst kann es nicht gehen. Autoconfig setzt das Interface einzig nur in dem SLAAC Client Mode. Deshalb bleibt das auch der Lokalen FE80.... Adresse.
Datax87
Datax87 14.05.2019, aktualisiert am 15.05.2019 um 18:14:09 Uhr
Goto Top
Hi, habe es jetzt am Laufen. Zumindest bekommen die Clients jetzt jeweils eine eigene öffentliche IPv6-Adresse.
Die Zuweisung der IPv6-Adressen läuft jetzt aber über den DHCPv6-Server meiner FritzBox.
Über "SLAAC" bekomme ich es einfach nicht ans Rennen.

Zur Konfiguration der Prefix-Deligation für "eth1":
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 prefix-id ':0'
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 host-address '::1'
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 service slaac
set interfaces ethernet eth1 ipv6 router-advert prefix ::/64

Zur Konfiguration von "Router Advertisment" für "eth1":
set interfaces ethernet eth1 ipv6 dup-addr-detect-transmits 1
set interfaces ethernet eth1 ipv6 router-advert cur-hop-limit 64
set interfaces ethernet eth1 ipv6 router-advert link-mtu 0
set interfaces ethernet eth1 ipv6 router-advert managed-flag true
set interfaces ethernet eth1 ipv6 router-advert max-interval 600
set interfaces ethernet eth1 ipv6 router-advert other-config-flag false
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' autonomous-flag true
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' on-link-flag true
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' valid-lifetime 7200
set interfaces ethernet eth1 ipv6 router-advert reachable-time 0
set interfaces ethernet eth1 ipv6 router-advert retrans-timer 0
set interfaces ethernet eth1 ipv6 router-advert send-advert true

Nach einem Reboot des EdgeRouters hatte "eth1" immer noch keine öffentliche IPv6-Adresse,
weshalb ich dann nochmal testweise die Firewall auf "Durchzug" geschaltet habe, brachte aber nichts.

Habe dann auf der Seite, die du verlinkt hattest, gelesen, dass der DHCPv6-Server des vorgeschalteten Routers verwendet wird.
Hier der Link, den ich meine: https://techsmix.net/ubiquti-edgemax-lite/
Deshalb habe ich dann auf der FritzBox einfach die Verteilung von IPv6-Adressen per DHCPv6-Server aktiviert,
siehe Screenshot im Anhang.

Wie gesagt, die Clients bekommen jetzt alle eine öffentliche IPv6-Adresse.

Zur Konfiguration der Firewall (Erstellen der Firewallregeln für IPv6) habe ich mich dann an das Beispiel
gehalten, das ich auf oben genannter (von dir verlinkter) Seite gefunden habe.

Über https://ipv6-test.com/ wird mir angezeigt, dass mein Test-Client (Windows 10) IPv6 supportet
und wenn ich mit diesem im Internet surfe, dann sehe ich per "TCPView", dass IPv6-angebundene WebServer
eben auf deren IPv6-Adresse angesprochen werden.
unbenannt
aqui
Lösung aqui 15.05.2019 um 09:00:39 Uhr
Goto Top
Wenn du einen Client am Edge Router hast was sagt denn ein:
und ein
Bzw. auch ein traceroutev6 www.heise.de sollte dir ja den kompletten IPv6 Hop ans Ziel dann anzeigen !
Datax87
Datax87 15.05.2019 aktualisiert um 18:14:46 Uhr
Goto Top
Hi, danke für den Tipp ^^.

Also es ist definitiv ein Problem mit dem IPv6-Routing.

Wenn ich auf dem EdgeRouter ein v4-traceroute auf www.google.de mache,
dann erreiche ich den Google-Server problemlos:

ubnt@ubnt:~$ traceroute www.google.de
traceroute to www.google.de (172.217.168.227), 30 hops max, 38 byte packets
 1  192.168.178.1 (192.168.178.1)  1.060 ms  0.786 ms  0.654 ms
 2  rec1001aihr001.versatel.de (62.214.63.85)  24.486 ms  16.827 ms  12.223 ms
 3  62.214.36.160 (62.214.36.160)  6.530 ms  6.673 ms  6.545 ms
 4  62.214.37.154 (62.214.37.154)  14.740 ms  14.377 ms  62.214.37.158 (62.214.37.158)  40.501 ms
 5  72.14.222.28 (72.14.222.28)  16.279 ms  15.053 ms  14.919 ms
 6  108.170.253.35 (108.170.253.35)  15.196 ms  108.170.253.68 (108.170.253.68)  15.625 ms  108.170.253.85 (108.170.253.85)  15.674 ms
 7  216.239.54.171 (216.239.54.171)  15.793 ms  108.170.225.178 (108.170.225.178)  15.328 ms  216.239.54.171 (216.239.54.171)  16.368 ms
 8  172.253.50.214 (172.253.50.214)  20.796 ms  20.113 ms  20.032 ms
 9  74.125.37.171 (74.125.37.171)  23.733 ms  23.484 ms  172.253.66.16 (172.253.66.16)  23.641 ms
10  216.239.42.210 (216.239.42.210)  23.123 ms  27.965 ms  216.239.42.212 (216.239.42.212)  23.213 ms
11  108.170.241.161 (108.170.241.161)  24.151 ms  108.170.241.129 (108.170.241.129)  23.146 ms  22.999 ms
12  216.239.49.13 (216.239.49.13)  23.590 ms  209.85.252.245 (209.85.252.245)  23.617 ms  23.432 ms
13  ams15s40-in-f3.1e100.net (172.217.168.227)  23.014 ms  22.884 ms  22.719 ms


Wenn ich ein v6-traceroute auf den www.google.de mache,
dann bekomme ich direkt die ICMP-Rückmeldung, dass das Ziel nicht erreichbar ist mangels Route:
ubnt@ubnt:~$ traceroute6 www.google.de
traceroute6: can't connect to remote host: Network is unreachable

Wenn ich meinen Win10-Test-Client starte, dann kann ich dort per "TCPView" auch sehen,
dass Windows selbst noch beim Hochfahren der Dienste versucht Verbindungen zu v6-Adressen aufzubauen
("SYN_SENT" in "TCPView" zu sehen). Diese Verbindungen kommen aber nicht zu Stande.
Entsprechend werden auf dem Win10-Client auch WebServer auf deren v4-Adressen angesprochen, weil Windows halt bemerkt hat,
dass es per v6 nicht nach draußen "sprechen" kann (wenn ich per "Google Chrome" auf "www.google.de" gehe,
dann wird also die v4-Adresse angesprochen).

Komischerweise kommt es aber auch vor, dass es hin und wieder funktioniert.
Sprich, der EdgeRouter kommt per v6 nach draußen und entsprechend dann auch der Win10-Test-Client.

Warum hat der EdgeRouter manchmal die nötigen v6-Routen und manchmal nicht!?
Datax87
Datax87 15.05.2019 aktualisiert um 18:26:25 Uhr
Goto Top
Hi, jetzt funktioniert IPv6 wieder ^^.

Der Win10-Test-Client kann also problemlos v6-Webseiten aufrufen.

Auf dem EdgeRouter sieht ein "traceroute6" auf "www.google.de" wie folgt aus:

ubnt@ubnt:~$ traceroute6 www.google.de
traceroute to www.google.de (2a00:1450:400e:80c::2003), 30 hops max, 16 byte packets
 1  200116b806988400eadf70fffe56bfbc.dip.versatel-1u1.de (2001:16b8:698:8400:eadf:70ff:fe56:bfbc)  1.978 ms  1.111 ms  0.752 ms
 2  2001:1438::62:214:63:85 (2001:1438::62:214:63:85)  7.345 ms  6.310 ms  5.949 ms
 3  2001:1438:0:1::2:151 (2001:1438:0:1::2:151)  5.619 ms  5.444 ms  5.409 ms
 4  2001:1438:0:1::7:2302 (2001:1438:0:1::7:2302)  13.646 ms  13.807 ms  13.541 ms
 5  2001:4860:1:1::bd0 (2001:4860:1:1::bd0)  14.753 ms  13.958 ms  14.781 ms
 6  2001:4860:0:12e5::5 (2001:4860:0:12e5::5)  14.533 ms  14.385 ms  14.091 ms
 7  2001:4860::c:4001:ebf (2001:4860::c:4001:ebf)  19.492 ms  18.017 ms  17.981 ms
 8  2001:4860::c:4001:5c4 (2001:4860::c:4001:5c4)  18.972 ms  18.958 ms  18.618 ms
 9  2001:4860::c:4000:d9aa (2001:4860::c:4000:d9aa)  24.579 ms  22.786 ms  28.945 ms
10  2607:f8b0:e000:8000::3 (2607:f8b0:e000:8000::3)  22.458 ms  22.367 ms  22.347 ms
11  *  2001:4860:0:1::25d9 (2001:4860:0:1::25d9)  22.417 ms  22.719 ms
12  ams16s32-in-x03.1e100.net (2a00:1450:400e:80c::2003)  21.456 ms  21.588 ms  20.967 ms

Auf dem Win10-Test-Client sieht es entsprechend auch gut aus:

****C:\Windows\system32>tracert www.google.de

Routenverfolgung zu www.google.de [2a00:1450:400e:80c::2003]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  200116b8069884fdfeecdafffe710e05.dip.versatel-1u1.de [2001:16b8:698:84fd:feec:daff:fe71:e05]
  2     2 ms     1 ms     1 ms  fritz.box [2001:16b8:698:8400:eadf:70ff:fe56:bfbc]
  3    12 ms     6 ms     6 ms  2001:1438::62:214:63:85
  4     7 ms     6 ms     6 ms  2001:1438:0:1::2:151
  5    14 ms    14 ms    14 ms  2001:1438:0:1::7:2302
  6    15 ms    14 ms    14 ms  2001:4860:1:1::bd0
  7    22 ms    27 ms    17 ms  2001:4860:0:12e4::3
  8    23 ms    22 ms    22 ms  2001:4860::c:4001:ec1
  9    24 ms    23 ms    23 ms  2001:4860::c:4001:5c7
 10    23 ms    22 ms    22 ms  2607:f8b0:e000:8000::4
 11    23 ms    22 ms    22 ms  2001:4860::1:0:cd13
 12    23 ms    23 ms    22 ms  2001:4860:0:f8d::1
 13    23 ms    23 ms    22 ms  2001:4860:0:1::25d9
 14    23 ms    22 ms    21 ms  ams16s32-in-x03.1e100.net [2a00:1450:400e:80c::2003]

Ablaufverfolgung beendet.****
Das Aufrufen von v6-Webseiten funktioniert also ebenfalls auf dem Win10-Test-Client.
Weiß nicht genau, woran es liegt, dass es zwischenzeitlich mal nicht funktioniert.

Kann es sein, dass es etwas dauert, bis auf dem EdgeRouter das IPv6-Routing in Ordnung ist bzw.
die entsprechenden Routen gesetzt/aktiviert sind!?

Habe nämlich festgestellt, dass vor allem kurz nach einem Neustart des EdgeRouters das Aufrufen von
v6-Webseiten nicht funktioniert.
Wenn ich nach dem Neustart des EdgeRouters etwas warte, dann funktioniert das Aufrufen von v6-Webseiten auf dem Win10-Client.

Das ist zumindest eine Beobachtung, die ich gemacht habe.

An der v6-Firewall auf dem EdgeRouter kann es normal nicht liegen,
weil diese zu dem Zeitpunkt, wo der Aufruf von v6-Webseiten funktioniert genauso konfiguriert ist wie
zu einem Zeitpunkt, wo der Aufruf von v6-Webseiten nicht funktioniert.
aqui
aqui 15.05.2019 aktualisiert um 18:32:13 Uhr
Goto Top
Kann es sein, dass es etwas dauert,
Normal nicht wirklich. Aber bei der HW ist alles möglich. Auch das Konfig CLI ist ja mehr als gruselig. Wer sich sowas antut ist sicher Masochist face-wink Na ja was will man erwarten wenn eine WLAN Bude sich an Routern versucht...
Aber egal...alles gut wenns nun rennt wie es soll face-wink

Case closed !
Datax87
Datax87 16.05.2019 um 06:34:04 Uhr
Goto Top
Hehe, okay.

Mir gefällt der EdgeRouter bisher ganz gut,
finde die CLI sowie die GUI beide gut bedienbar.

Bisher habe ich damit alle (zugegeben eher kleinen) Setups hinbekommen,
die ich mir bisher vorgenommen habe.

Einen Mikrotik-Router habe ich hier auch noch bei mir und eine pfSense-Firewall (als VM installiert) werde ich mir bei Zeit auch mal genauer anschauen ^^.

Danke dir für deine Unterstützung in diesem Thread hier.
aqui
aqui 16.05.2019 um 11:41:22 Uhr
Goto Top
Mir gefällt der EdgeRouter bisher ganz gut,
Es gibt erheblich Besseres. Aber wie immer Geschmackssache face-wink
werde ich mir bei Zeit auch mal genauer anschauen
Solltest du in jedem Falle machen face-wink !