windows10gegner
Goto Top

DHCPv6 mit DNS unter Cisco IOS einrichten

Hallo,
ich bin aktuell dabei einen weiteren Punkt der IPv6-Einführung im Netz daheim zu etablieren, das wäre DNSv6.
Die Auflösung per IPv6 geht bereits, jetzt wäre die Verteilung der Adresse an die PCs noch zu machen. Das würde ich gerne per DHCPv6 machen.

Im Cisco 886va gibt es bereits einen entsprechenden Eintrag für den DHCP-Pool für IPv6, der funktioniert auch, es werden Adressen vergeben, aber kein DNSv6, das Feld IPv6-DNS-Server bei Windows bleibt leer. Was liegt hier falsch?

ipv6 dhcp pool DHCPv6
*dns-server 2001:470:XXX:xxxx::1
Problem ist, dass die Clients von dem neuen Eintrag nichts mitbekommen. Dies trifft sowohl auf Ubuntu als auch auf Win 7 zu (andere nicht getestet).
interface Vlan1
 description internal_LAN
 ip address 10.0.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ipv6 address 2001:470:XXXX:XXXX::1/64      #gleiche Adresse wie oben bei dns-server
 ipv6 enable
 ipv6 dhcp server DHCPv6
!
Des Weiteren frage ich mich, ob es auch sinnvoll ist, dem VLAN1 eine feste IPv6-Adresse aus dem Raum fe80::/64 zu geben und als DNS zu verteilen, damit die Auflösung auch ohne globale Adresse funktioniert.
Der hat nämlich eine, aber die ist nicht von mir festgelegt worden, wird aber als IP für das Gateway für das Routing genutzt, da läuft auch der DNS-Dienst drauf.

LG Win10-Gegner

Content-Key: 583139

Url: https://administrator.de/contentid/583139

Printed on: February 24, 2024 at 00:02 o'clock

Member: aqui
aqui Jun 28, 2020, updated at Jul 05, 2020 at 20:34:31 (UTC)
Goto Top
So sieht eine korrekte IPv6 Konfig am Beispiel des Telekom IP Netzes, die mit IPv6 Prefix Delegation (/56er) arbeitet, aus:
(Die v4 Kommandos sind der Übersichts halber weggelassen).
!
ipv6 unicast-routing
ipv6 dhcp pool DHCPv6
import dns-server
domain-name win10gegner.home.arpa
!
interface Vlan1
description Lokales LAN
zone-member security LAN
ip tcp adjust-mss 1448
ipv6 address provider-v6-prefix ::1:0:0:0:1/64
(VLAN ID reincodiert in die lokale v6 Netz Adresse)
ipv6 enable
ipv6 nd other-config-flag
no ipv6 redirects
no ipv6 unreachables
ipv6 dhcp server DHCPv6
!
interface Dialer0
description PPPoE T-Com VDSL
mtu 1488
zone-member security Internet
ipv6 address autoconfig default
ipv6 enable
ipv6 nd autoconfig default-route
no ipv6 redirects
ipv6 dhcp client pd provider-v6-prefix rapid-commit
ipv6 dhcp client request vendor
ipv6 verify unicast reverse-path
no keepalive
!

! (Optional bei ZFW Konfig)
ipv6 access-list ICMPv6
sequence 10 permit icmp any any unreachable
sequence 20 permit icmp any any packet-too-big
sequence 30 permit icmp any any hop-limit
sequence 40 permit icmp any any reassembly-timeout
sequence 50 permit icmp any any header
sequence 60 permit icmp any any next-header
sequence 70 permit icmp any any parameter-option
sequence 80 permit icmp any any echo-request
sequence 90 permit icmp any any echo-reply
sequence 100 permit icmp any any dhaad-request
sequence 110 permit icmp any any dhaad-reply
sequence 120 permit icmp any any mpd-solicitation
sequence 130 permit icmp any any mpd-advertisement
!
!
ipv6 access-list ALLOWv6
sequence 10 permit udp any eq 547 any eq 546
!


Essentiell ist deine Firewall Konfig im Cisco und ob du ein altes CBAC Konzept nutzt oder die modernere Zone Based Firewall.
Bei letzterer ist es entscheidend ob du dort auch eine Absicherung auf das WAN (Dialer) Interface machst über die Zone self.
Wenn das der Fall ist dann musst du der Firewall zwingen iv6 DHCP erlauben, denn die Prefix Delegation passiert mit DHCPv6 was sonst in der self Filterliste geblockt wird.
Machts du keine Firewall Absicherung auf das self Interface oder CBAC kannst du diesen Punkt ignorieren.
Zudem musst du verpflichtend ein paar v6 ICMP Pakete auf das interne LAN durch die Firewall durchlassen ! Siehe dazu hier:
https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2016-09-1/NET-2016-09-1_ ...
(Kapitel 3.2) Sowie der RFC 4890 der dieses festlegt:
https://tools.ietf.org/html/rfc4890
Im Gegensatz zu v4 basiert, wie du sicher selber weisst, ein erheblicher Teil der IPv6 Protokoll Steuerung auf ICMPv6 so das diese ICMP Pakete durch die Firewall müssen, ansonsten drohen Fehlfunktionen im IPv6 Protokoll Handling.
Deshalb ist oben das nur einmal rudimentär angerissen, da du keinerlei Angaben zu deiner Firewall Konfig machst ! face-sad
Mit einem show ipv6 int brief kannst du immer sofort sehen ob die Prefix Delegation sauber gelaufen ist.
Dann klappt auch sofort ein v6 Ping auf z.B. www.heise.de
CiscoRouter>ping www.heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:2E0:3FE:1001:7777:772E:2:85, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/12 ms
CiscoRouter> 
Alles andere wie immer im hiesigen Cisco Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Member: Windows10Gegner
Windows10Gegner Jun 28, 2020 at 16:38:59 (UTC)
Goto Top
Also vom Cisco gehen Pings raus und die PCs können auch ganz normal per IPv6 ins Internet und auch aus diesem erreicht werden.
Ich nutze das CBAC-Konzept.
Ich habe zudem den HE-Tunnel aktiv, es gibt kein natives IPv6.
Das Problem ist, dass die Clients keine DNSv6-IP bekommen, der Server selbst (Cisco-Router) ist erreichbar und löst auch per IPv6 auf.

cisco886va#sh run
Building configuration...

Current configuration : 6891 bytes
!
! Last configuration change at 16:23:00 CEST Sun Jun 28 2020 by admin
! NVRAM config last updated at 16:23:11 CEST Sun Jun 28 2020 by admin
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco886va
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
enable secret 5 Kennwort
!
aaa new-model
!
!
aaa authentication login local_auth local
aaa authentication login clientauth local
aaa authorization network groupauth local 
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!


!
ip dhcp binding cleanup interval 600
ip dhcp excluded-address 10.0.0.190 10.0.0.254
ip dhcp excluded-address 10.0.0.1 10.0.0.105
!
ip dhcp pool lokales-netz
 network 10.0.0.0 255.255.255.0
 default-router 10.0.0.254 
 option 42 ip 130.149.17.8 
 dns-server 10.0.0.254 
!
ip dhcp pool Asus-Router
 host 10.0.0.2 255.255.255.0
 client-identifier 019c.5c8e.ca99.38
 default-router 10.0.0.254 
 dns-server 10.0.0.254 
 client-name Asus-RTN12D1
!
ip dhcp pool fritz7170
 host 10.0.0.20 255.255.255.0
 client-identifier 0100.1c4a.ad81.e2
 default-router 10.0.0.254 
 client-name fritz7170
 dns-server 10.0.0.254 
!
ip dhcp pool ryzen-m
 host 10.0.0.77 255.255.255.0
 client-identifier 0100.0e2e.911a.8a
 dns-server 10.0.0.254 
 default-router 10.0.0.254 
!
ip dhcp pool fb7170-marco
 host 10.0.0.5 255.255.255.0
 client-identifier 0100.1a4f.f77e.a7
 dns-server 10.0.0.254 
 default-router 10.0.0.254 
!
!
!
ip host asus.intern 10.0.0.2
ip host fritz.box 10.0.0.20
ip host gateway 10.0.0.254
ip name-server 2A00:5A60::AD1:FF
ip name-server 2A00:5A60::AD2:FF
ip name-server 23.253.163.53
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw telnet
ip inspect name myfw dns
ip inspect name myfw icmp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw tcp router-traffic
ip ddns update method myupdate
 HTTP
  add entfernt
 interval maximum 0 0 0 30
 interval minimum 0 0 0 30
!
ip ddns update method hurricane
 HTTP
  add entfernt /nicht funktionstüchtig
 interval maximum 0 0 0 30
 interval minimum 0 0 0 30
!
ip cef
ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool DHCPv6
 dns-server 2001:xxx:xxx:3DA::1
!
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
license udi pid C886VA-K9 sn FCZ1831C17A
!
!
!
no spanning-tree vlan 1
username admin privilege 15 password 7 Kennwort
!
!
!
!
!
controller VDSL 0
 firmware filename flash:VA_B_38V_d24m.bin
!
!         
!
!
!
!
!
!
!
!
!
!
interface Loopback0
 no ip address
!
interface Tunnel0
 description Hurricane Electric IPv6 Tunnel Broker
 no ip address
 ip inspect myfw out
 ipv6 address 2001:470:xxx:xxx::2/64
 ipv6 enable
 ipv6 mtu 1472
 tunnel source eigene IP
 tunnel mode ipv6ip
 tunnel destination 216.66.80.30
!
interface ATM0
 description DSL-Port-Config
 no ip address
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 description DSL-Port-Config
 pvc 1/32 
  pppoe-client dial-pool-number 1
 !
!
interface BRI0
 description isdn-Port
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 description Virtual-Ethernet-interface-for-VDSL
 no ip address
 shutdown
!
interface FastEthernet0
 description LAN-zu-Fritzbox
 no ip address
!
interface FastEthernet1
 description LAN-zu-Dachboden
 no ip address
 speed 10
!
interface FastEthernet2
 description LAN-zu-Marco
 no ip address
!
interface FastEthernet3
 description Dachboden2
 no ip address
!         
interface Vlan1
 description internal_LAN
 ip address 10.0.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ipv6 address 2001:470:xxxx:xxxx::1/64
 ipv6 enable
 ipv6 dhcp server DHCPv6
!
interface Dialer0
 description DSL-Dialup
 ip ddns update hostname entfernt
 ip ddns update myupdate
 ip ddns update hurricane
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip proxy-arp
 ip mtu 1492 //hier meinte mal jemand, ich soll 1492 statt 1488 nehmen
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no ipv6 redirects
 no ipv6 unreachables
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username entfernt
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.0.0.77 51413 interface Dialer0 51413
ip nat inside source static udp 10.0.0.77 51413 interface Dialer0 51413
ip nat inside source static tcp 10.0.0.115 443 interface Dialer0 443
ip nat inside source static tcp 10.0.0.115 22 interface Dialer0 22
ip nat inside source static tcp 10.0.0.115 21 interface Dialer0 21
ip nat inside source static tcp 10.0.0.115 20 interface Dialer0 20
!
dialer-list 1 protocol ip permit
ipv6 route ::/0 Tunnel0
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq 22
access-list 111 permit tcp any any eq 443
access-list 111 permit tcp any any eq ftp-data
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any eq domain any
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any timestamp-reply
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any
access-list 111 permit 41 any any
access-list 111 permit ipinip any any
access-list 111 permit tcp any any eq 51413
access-list 111 permit udp any any eq 51413
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit ip any any
access-list 111 permit udp any eq 5060 any
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
banner motd ^Ccisco^C
!
line con 0
 no modem enable
line aux 0
 no activation-character
 no exec
 transport preferred none
 transport input all
line vty 0 4
 login authentication local_auth
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server 130.149.17.8 minpoll 9 source Dialer0
ntp server 129.6.15.28
ntp server 130.149.17.21 minpoll 10 source Dialer0
onep
!
end

cisco886va#
Member: aqui
Solution aqui Jun 29, 2020 updated at 09:41:55 (UTC)
Goto Top
OK, wenn du einen HE Tunnel verwendest, dann bekommst du ja auch keinen Prefix per DHCPv6 Delegation zugeteilt. HE macht das m.E. ja statisch, das du einen statischen festen v6 Prefix bekommst.
Dann musst du natürlich den DHCPv6 Server auf dem Router mit einem Adresspool und DNS Server versehen.
Dann sollte deine Konfig von oben ausreichen und auch richtig sein.
Allerdings hast du ein entscheidendes Kommando auf dem lokalen LAN (vlan 1 Interface) vergessen:
ipv6 nd other-config-flag
Ohne das sendet die Maschine keine v6 DHCP ND Frames aus.
Wenn du das nachträgst sollte das fehlerfrei klappen.

Zum Thema MTU:
hier meinte mal jemand, ich soll 1492 statt 1488 nehmen
Sieh dir das selber an mit einem MTU Rechner wenn du die Header Optionen "PPPoE" und "802.1qVLAN" addierst was dann für die MTU noch über bleibt:
https://baturin.org/tools/encapcalc/
Der Wert 1492 wäre also nicht richtig bei VDSL mit einem VLAN Tagging zum Provider (z.B. 7 bei der T-Com)
"Wäre" (Konjunktiv) deshalb, weil du hier in deiner Konfig noch klassisches ADSL 2+ nutzt ohne Provider VLAN Tagging !
Folglich hast du dann einzig nur den PPPoE Header und damit ist 1492 dann in deinem Falle auch der korrrekte Wert.
Wechselst du aber irgendwann mal auf VDSL müsstest du das korrekterweise anpassen wenn dein VDSL Provider ein VLAN Tagging über PPPoE macht, was die meisten ja tun.
Ich habe zudem den HE-Tunnel aktiv, es gibt kein natives IPv6.
Aber das ist doch dann natives IPv6 !!! Nur das du es eben halt per Tunnelstandleitung bekommst statt PPPoE vom Provider. Wie auch immer...du bist damit dann Teil des nativen IPv6 Internets ! face-wink
add entfernt /nicht funktionstüchtig
Was dein DynDNS anbetrifft liegt der Fehler hier meist an der falschen- oder fehlerhaften URL Konfig des Update URLs !! In der Regel funktioniert DynDNS auf dem Cisco fehlerlos.
Das hiesige Cisco Tutorial hat ein Update dazu:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV