DHCPv6 mit DNS unter Cisco IOS einrichten
Hallo,
ich bin aktuell dabei einen weiteren Punkt der IPv6-Einführung im Netz daheim zu etablieren, das wäre DNSv6.
Die Auflösung per IPv6 geht bereits, jetzt wäre die Verteilung der Adresse an die PCs noch zu machen. Das würde ich gerne per DHCPv6 machen.
Im Cisco 886va gibt es bereits einen entsprechenden Eintrag für den DHCP-Pool für IPv6, der funktioniert auch, es werden Adressen vergeben, aber kein DNSv6, das Feld IPv6-DNS-Server bei Windows bleibt leer. Was liegt hier falsch?
Problem ist, dass die Clients von dem neuen Eintrag nichts mitbekommen. Dies trifft sowohl auf Ubuntu als auch auf Win 7 zu (andere nicht getestet).
Des Weiteren frage ich mich, ob es auch sinnvoll ist, dem VLAN1 eine feste IPv6-Adresse aus dem Raum fe80::/64 zu geben und als DNS zu verteilen, damit die Auflösung auch ohne globale Adresse funktioniert.
Der hat nämlich eine, aber die ist nicht von mir festgelegt worden, wird aber als IP für das Gateway für das Routing genutzt, da läuft auch der DNS-Dienst drauf.
LG Win10-Gegner
ich bin aktuell dabei einen weiteren Punkt der IPv6-Einführung im Netz daheim zu etablieren, das wäre DNSv6.
Die Auflösung per IPv6 geht bereits, jetzt wäre die Verteilung der Adresse an die PCs noch zu machen. Das würde ich gerne per DHCPv6 machen.
Im Cisco 886va gibt es bereits einen entsprechenden Eintrag für den DHCP-Pool für IPv6, der funktioniert auch, es werden Adressen vergeben, aber kein DNSv6, das Feld IPv6-DNS-Server bei Windows bleibt leer. Was liegt hier falsch?
ipv6 dhcp pool DHCPv6
*dns-server 2001:470:XXX:xxxx::1
interface Vlan1
description internal_LAN
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
ipv6 address 2001:470:XXXX:XXXX::1/64 #gleiche Adresse wie oben bei dns-server
ipv6 enable
ipv6 dhcp server DHCPv6
!
Der hat nämlich eine, aber die ist nicht von mir festgelegt worden, wird aber als IP für das Gateway für das Routing genutzt, da läuft auch der DNS-Dienst drauf.
LG Win10-Gegner
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 583139
Url: https://administrator.de/forum/dhcpv6-mit-dns-unter-cisco-ios-einrichten-583139.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
3 Kommentare
Neuester Kommentar
So sieht eine korrekte IPv6 Konfig am Beispiel des Telekom IP Netzes, die mit IPv6 Prefix Delegation (/56er) arbeitet, aus:
(Die v4 Kommandos sind der Übersichts halber weggelassen).
!
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
import dns-server
domain-name win10gegner.home.arpa
!
interface Vlan1
description Lokales LAN
zone-member security LAN
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64 (VLAN ID reincodiert in die lokale v6 Netz Adresse)
ipv6 enable
ipv6 nd other-config-flag
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp server DHCPv6
!
interface Dialer0
description PPPoE T-Com VDSL
mtu 1488
zone-member security Internet
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ipv6 dhcp client request vendor
ipv6 verify unicast reverse-path
no keepalive
!
! (Optional bei ZFW Konfig)
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!
Essentiell ist deine Firewall Konfig im Cisco und ob du ein altes CBAC Konzept nutzt oder die modernere Zone Based Firewall.
Bei letzterer ist es entscheidend ob du dort auch eine Absicherung auf das WAN (Dialer) Interface machst über die Zone self.
Wenn das der Fall ist dann musst du der Firewall zwingen iv6 DHCP erlauben, denn die Prefix Delegation passiert mit DHCPv6 was sonst in der self Filterliste geblockt wird.
Machts du keine Firewall Absicherung auf das self Interface oder CBAC kannst du diesen Punkt ignorieren.
Zudem musst du verpflichtend ein paar v6 ICMP Pakete auf das interne LAN durch die Firewall durchlassen ! Siehe dazu hier:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
(Kapitel 3.2) Sowie der RFC 4890 der dieses festlegt:
https://tools.ietf.org/html/rfc4890
Im Gegensatz zu v4 basiert, wie du sicher selber weisst, ein erheblicher Teil der IPv6 Protokoll Steuerung auf ICMPv6 so das diese ICMP Pakete durch die Firewall müssen, ansonsten drohen Fehlfunktionen im IPv6 Protokoll Handling.
Deshalb ist oben das nur einmal rudimentär angerissen, da du keinerlei Angaben zu deiner Firewall Konfig machst !
Mit einem show ipv6 int brief kannst du immer sofort sehen ob die Prefix Delegation sauber gelaufen ist.
Dann klappt auch sofort ein v6 Ping auf z.B. www.heise.de
Alles andere wie immer im hiesigen Cisco Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
(Die v4 Kommandos sind der Übersichts halber weggelassen).
!
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
import dns-server
domain-name win10gegner.home.arpa
!
interface Vlan1
description Lokales LAN
zone-member security LAN
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64 (VLAN ID reincodiert in die lokale v6 Netz Adresse)
ipv6 enable
ipv6 nd other-config-flag
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp server DHCPv6
!
interface Dialer0
description PPPoE T-Com VDSL
mtu 1488
zone-member security Internet
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ipv6 dhcp client request vendor
ipv6 verify unicast reverse-path
no keepalive
!
! (Optional bei ZFW Konfig)
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!
Essentiell ist deine Firewall Konfig im Cisco und ob du ein altes CBAC Konzept nutzt oder die modernere Zone Based Firewall.
Bei letzterer ist es entscheidend ob du dort auch eine Absicherung auf das WAN (Dialer) Interface machst über die Zone self.
Wenn das der Fall ist dann musst du der Firewall zwingen iv6 DHCP erlauben, denn die Prefix Delegation passiert mit DHCPv6 was sonst in der self Filterliste geblockt wird.
Machts du keine Firewall Absicherung auf das self Interface oder CBAC kannst du diesen Punkt ignorieren.
Zudem musst du verpflichtend ein paar v6 ICMP Pakete auf das interne LAN durch die Firewall durchlassen ! Siehe dazu hier:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
(Kapitel 3.2) Sowie der RFC 4890 der dieses festlegt:
https://tools.ietf.org/html/rfc4890
Im Gegensatz zu v4 basiert, wie du sicher selber weisst, ein erheblicher Teil der IPv6 Protokoll Steuerung auf ICMPv6 so das diese ICMP Pakete durch die Firewall müssen, ansonsten drohen Fehlfunktionen im IPv6 Protokoll Handling.
Deshalb ist oben das nur einmal rudimentär angerissen, da du keinerlei Angaben zu deiner Firewall Konfig machst !
Mit einem show ipv6 int brief kannst du immer sofort sehen ob die Prefix Delegation sauber gelaufen ist.
Dann klappt auch sofort ein v6 Ping auf z.B. www.heise.de
CiscoRouter>ping www.heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:7777:772E:2:85, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/12 ms
CiscoRouter>
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
OK, wenn du einen HE Tunnel verwendest, dann bekommst du ja auch keinen Prefix per DHCPv6 Delegation zugeteilt. HE macht das m.E. ja statisch, das du einen statischen festen v6 Prefix bekommst.
Dann musst du natürlich den DHCPv6 Server auf dem Router mit einem Adresspool und DNS Server versehen.
Dann sollte deine Konfig von oben ausreichen und auch richtig sein.
Allerdings hast du ein entscheidendes Kommando auf dem lokalen LAN (vlan 1 Interface) vergessen:
Hier hast du 2 Optionen:
Entscheidend ist das ipv6 nd other-config-flag Kommando was du oben vergessen hast was den Clients über die SLAAC (Other Manged Flag) mitteilt das sie weitere Konfig Daten über andere Wege bekommen was in der Regel immer DHCPv6 ist.
Ohne ipv6 nd other-config-flag fehlt den Clients diese Information und damit ihre IPv6 DNS Server!
Wenn du das nachträgst sollte das fehlerfrei klappen.
Zum Thema MTU:
https://baturin.org/tools/encapcalc/
Der Wert 1492 wäre also nicht richtig bei VDSL mit einem VLAN Tagging zum Provider (z.B. 7 bei der T-Com)
"Wäre" (Konjunktiv) deshalb, weil du hier in deiner Konfig noch klassisches ADSL 2+ nutzt ohne Provider VLAN Tagging !
Folglich hast du dann einzig nur den PPPoE Header und damit ist 1492 dann in deinem Falle auch der korrrekte Wert.
Wechselst du aber irgendwann mal auf VDSL müsstest du das korrekterweise anpassen wenn dein VDSL Provider ein VLAN Tagging über PPPoE macht, was die meisten ja tun.
Das hiesige Cisco Tutorial hat ein Update dazu:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dann musst du natürlich den DHCPv6 Server auf dem Router mit einem Adresspool und DNS Server versehen.
Dann sollte deine Konfig von oben ausreichen und auch richtig sein.
Allerdings hast du ein entscheidendes Kommando auf dem lokalen LAN (vlan 1 Interface) vergessen:
Hier hast du 2 Optionen:
- Die DNS Server mit den Router Advertisements (RA) am LAN Interface automatisch an die Clients zu verteilen:
interface Vlan1
description internal_LAN
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
ipv6 address 2001:470:xxxx:xxxx::1/64
ipv6 enable
ipv6 nd router-preference High
ipv6 nd ra dns server 2001:xxx:xxx:3DA::1
- Oder du lässt die DNS Server Konfig weg und nutzt DHCPv6 dafür:
ipv6 dhcp pool DHCPv6
dns-server 2001:xxx:xxx:3DA::1
domain-name win10gegner.internal
!
interface Vlan1
description internal_LAN
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
ipv6 address 2001:470:xxxx:xxxx::1/64
ipv6 enable
ipv6 nd router-preference High
ipv6 nd other-config-flag
ipv6 dhcp server DHCPv6 rapid-commit allow-hint
Ohne ipv6 nd other-config-flag fehlt den Clients diese Information und damit ihre IPv6 DNS Server!
Wenn du das nachträgst sollte das fehlerfrei klappen.
Zum Thema MTU:
hier meinte mal jemand, ich soll 1492 statt 1488 nehmen
Sieh dir das selber an mit einem MTU Rechner wenn du die Header Optionen "PPPoE" und "802.1qVLAN" addierst was dann für die MTU noch über bleibt:https://baturin.org/tools/encapcalc/
Der Wert 1492 wäre also nicht richtig bei VDSL mit einem VLAN Tagging zum Provider (z.B. 7 bei der T-Com)
"Wäre" (Konjunktiv) deshalb, weil du hier in deiner Konfig noch klassisches ADSL 2+ nutzt ohne Provider VLAN Tagging !
Folglich hast du dann einzig nur den PPPoE Header und damit ist 1492 dann in deinem Falle auch der korrrekte Wert.
Wechselst du aber irgendwann mal auf VDSL müsstest du das korrekterweise anpassen wenn dein VDSL Provider ein VLAN Tagging über PPPoE macht, was die meisten ja tun.
Ich habe zudem den HE-Tunnel aktiv, es gibt kein natives IPv6.
Aber das ist doch dann natives IPv6 !!! Nur das du es eben halt per Tunnelstandleitung bekommst statt PPPoE vom Provider. Wie auch immer...du bist damit dann Teil des nativen IPv6 Internets ! add entfernt /nicht funktionstüchtig
Was dein DynDNS anbetrifft liegt der Fehler hier meist an der falschen- oder fehlerhaften URL Konfig des Update URLs !! In der Regel funktioniert DynDNS auf dem Cisco fehlerlos.Das hiesige Cisco Tutorial hat ein Update dazu:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV