Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst DHCPv6 mit DNS unter Cisco IOS einrichten

Mitglied: Windows10Gegner

Windows10Gegner (Level 2) - Jetzt verbinden

28.06.2020 um 16:32 Uhr, 247 Aufrufe, 3 Kommentare

Hallo,
ich bin aktuell dabei einen weiteren Punkt der IPv6-Einführung im Netz daheim zu etablieren, das wäre DNSv6.
Die Auflösung per IPv6 geht bereits, jetzt wäre die Verteilung der Adresse an die PCs noch zu machen. Das würde ich gerne per DHCPv6 machen.

Im Cisco 886va gibt es bereits einen entsprechenden Eintrag für den DHCP-Pool für IPv6, der funktioniert auch, es werden Adressen vergeben, aber kein DNSv6, das Feld IPv6-DNS-Server bei Windows bleibt leer. Was liegt hier falsch?

Problem ist, dass die Clients von dem neuen Eintrag nichts mitbekommen. Dies trifft sowohl auf Ubuntu als auch auf Win 7 zu (andere nicht getestet).
Des Weiteren frage ich mich, ob es auch sinnvoll ist, dem VLAN1 eine feste IPv6-Adresse aus dem Raum fe80::/64 zu geben und als DNS zu verteilen, damit die Auflösung auch ohne globale Adresse funktioniert.
Der hat nämlich eine, aber die ist nicht von mir festgelegt worden, wird aber als IP für das Gateway für das Routing genutzt, da läuft auch der DNS-Dienst drauf.

LG Win10-Gegner
Mitglied: aqui
28.06.2020, aktualisiert 29.06.2020
So sieht eine korrekte IPv6 Konfig am Beispiel des Telekom IP Netzes, die mit IPv6 Prefix Delegation (/56er) arbeitet, aus:
(Die v4 Kommandos sind der Übersichts halber weggelassen).
!
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
import dns-server
domain-name win10gegner.home.arpa
!
interface Vlan1
description Lokales LAN
zone-member security LAN
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
(VLAN ID reincodiert in die lokale v6 Netz Adresse)
ipv6 enable
ipv6 nd other-config-flag
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp server DHCPv6
!
interface Dialer0
description PPPoE T-Com VDSL
mtu 1488
zone-member security Internet
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ipv6 dhcp client request vendor
ipv6 verify unicast reverse-path
no keepalive
!

! (Optional bei ZFW Konfig)
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!


Essentiell ist deine Firewall Konfig im Cisco und ob du ein altes CBAC Konzept nutzt oder die modernere Zone Based Firewall.
Bei letzterer ist es entscheidend ob du dort auch eine Absicherung auf das WAN (Dialer) Interface machst über die Zone self.
Wenn das der Fall ist dann musst du der Firewall zwingen iv6 DHCP erlauben, denn die Prefix Delegation passiert mit DHCPv6 was sonst in der self Filterliste geblockt wird.
Machts du keine Firewall Absicherung auf das self Interface oder CBAC kannst du diesen Punkt ignorieren.
Zudem musst du verpflichtend ein paar v6 ICMP Pakete auf das interne LAN durch die Firewall durchlassen ! Siehe dazu hier:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
(Kapitel 3.2) Sowie der RFC 4890 der dieses festlegt:
https://tools.ietf.org/html/rfc4890
Im Gegensatz zu v4 basiert, wie du sicher selber weisst, ein erheblicher Teil der IPv6 Protokoll Steuerung auf ICMPv6 so das diese ICMP Pakete durch die Firewall müssen, ansonsten drohen Fehlfunktionen im IPv6 Protokoll Handling.
Deshalb ist oben das nur einmal rudimentär angerissen, da du keinerlei Angaben zu deiner Firewall Konfig machst !
Mit einem show ipv6 int brief kannst du immer sofort sehen ob die Prefix Delegation sauber gelaufen ist.
Dann klappt auch sofort ein v6 Ping auf z.B. www.heise.de
Alles andere wie immer im hiesigen Cisco Tutorial:
https://administrator.de/wissen/cisco-880-890-isr-router-konfiguration-x ...
Bitte warten ..
Mitglied: Windows10Gegner
28.06.2020 um 18:38 Uhr
Also vom Cisco gehen Pings raus und die PCs können auch ganz normal per IPv6 ins Internet und auch aus diesem erreicht werden.
Ich nutze das CBAC-Konzept.
Ich habe zudem den HE-Tunnel aktiv, es gibt kein natives IPv6.
Das Problem ist, dass die Clients keine DNSv6-IP bekommen, der Server selbst (Cisco-Router) ist erreichbar und löst auch per IPv6 auf.

Bitte warten ..
Mitglied: aqui
LÖSUNG 29.06.2020, aktualisiert um 11:41 Uhr
OK, wenn du einen HE Tunnel verwendest, dann bekommst du ja auch keinen Prefix per DHCPv6 Delegation zugeteilt. HE macht das m.E. ja statisch, das du einen statischen festen v6 Prefix bekommst.
Dann musst du natürlich den DHCPv6 Server auf dem Router mit einem Adresspool und DNS Server versehen.
Dann sollte deine Konfig von oben ausreichen und auch richtig sein.
Allerdings hast du ein entscheidendes Kommando auf dem lokalen LAN (vlan 1 Interface) vergessen:
ipv6 nd other-config-flag
Ohne das sendet die Maschine keine v6 DHCP ND Frames aus.
Wenn du das nachträgst sollte das fehlerfrei klappen.

Zum Thema MTU:
hier meinte mal jemand, ich soll 1492 statt 1488 nehmen
Sieh dir das selber an mit einem MTU Rechner wenn du die Header Optionen "PPPoE" und "802.1qVLAN" addierst was dann für die MTU noch über bleibt:
https://baturin.org/tools/encapcalc/
Der Wert 1492 wäre also nicht richtig bei VDSL mit einem VLAN Tagging zum Provider (z.B. 7 bei der T-Com)
"Wäre" (Konjunktiv) deshalb, weil du hier in deiner Konfig noch klassisches ADSL 2+ nutzt ohne Provider VLAN Tagging !
Folglich hast du dann einzig nur den PPPoE Header und damit ist 1492 dann in deinem Falle auch der korrrekte Wert.
Wechselst du aber irgendwann mal auf VDSL müsstest du das korrekterweise anpassen wenn dein VDSL Provider ein VLAN Tagging über PPPoE macht, was die meisten ja tun.
Ich habe zudem den HE-Tunnel aktiv, es gibt kein natives IPv6.
Aber das ist doch dann natives IPv6 !!! Nur das du es eben halt per Tunnelstandleitung bekommst statt PPPoE vom Provider. Wie auch immer...du bist damit dann Teil des nativen IPv6 Internets !
add entfernt /nicht funktionstüchtig
Was dein DynDNS anbetrifft liegt der Fehler hier meist an der falschen- oder fehlerhaften URL Konfig des Update URLs !! In der Regel funktioniert DynDNS auf dem Cisco fehlerlos.
Das hiesige Cisco Tutorial hat ein Update dazu:
https://administrator.de/wissen/cisco-880-890-isr-router-konfiguration-x ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
IPv6 - AD - DNS - RA + DHCPv6
Frage von SebMausLAN, WAN, Wireless1 Kommentar

Ich habe eine Frage zum Grundsätzlichen Umgang mit IPv6 in Umgebungen in denen nicht nur Client und der Router ...

Router & Routing

Open DNS Resolver in Cisco IOS abschalten

Frage von ef8619Router & Routing3 Kommentare

Hallo Leute, kurze Frage: wie kann man möglichst einfach den Port 53 (DNS) für eingehende Anfragen am Cisco Router ...

LAN, WAN, Wireless

Stateless DHCPv6 Win10 übernimmt DNS nicht

Frage von MaschdeLAN, WAN, Wireless8 Kommentare

Hallo zusammen! Ich habe folgendes Problem mit IPv6: Mein Router verteilt sein Präfix per Router Advertisement (RA), zusätzlich habe ...

LAN, WAN, Wireless

Cisco IOS Load Balancing

gelöst Frage von PharITLAN, WAN, Wireless2 Kommentare

Hallo allerseits, bevor ich mir einen zweiten Internetanschluss anschaffe, wollte ich mal folgendes fragen: Mein Cisco 891er hat nur ...

Neue Wissensbeiträge
Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 2 TagenDatenschutz

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 4 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 5 TagenOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 5 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Verschiedene Subnetzmaske in der Praxis: Völlig unnötig für kleine Netzwerke!?
Frage von media0815Netzwerkgrundlagen16 Kommentare

Hallo, mal eine ketzerische Frage: Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: ...

LAN, WAN, Wireless
CAT 5 (nicht CAT 5e) vs. 1 GBit - kann man das "heilen" (bspw. durch Adern zu manipulieren o.ä.)?
Frage von xdevelxLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich habe nun endlich eine Internet-Leitung erhalten, die die 100 MBit-Grenze übersteigt - leider kann ich zu ...

Ubuntu
Wie kann man zwei Spalten austauschen und dabei das Trennzeichen " " durch ":" ersetzen?
gelöst Frage von 144803Ubuntu9 Kommentare

Guten Tag an alle, ich habe eine Datei: Was ich brauche ist folgendes: Wie kann man das realisieren? Das ...

Router & Routing
Routingproblem 2 Router
gelöst Frage von e1ns2woRouter & Routing8 Kommentare

Hallo zusammen, ich habe hinter meiner Fritzbox (Routerzwang Provider) noch einen Asus RT-AC68U Router hängen. Der Asus Router ist ...