DHCPv6 + RA nur für Gateway verteilung?

Hallo zusammen,

wir haben bei uns im Netz für die Server IPv4 und IPv6 (statisch konfiguriert) im Einsatz. Klappt soweit wunderbar.

Es sollen nun auch bei allen Clients IPv6 Adressen verteilt werden. Dazu habe ich Windows DHCP Server mit der Verteilung der Adressen + DNS-Server Adressen begonnen. Funktioniert so weit.

Was leider nicht möglich ist, die zuweisung von Gateway und Subnetz.

Auf einem unserer Layer 3 Switche, der auch als Router eingesetzt wird, habe ich das senden von RA aktiviert.
Das funktioniert zwar auch, allerdings sehe ich dann im Client das dieser noch zwei weitere FD... IPv6 Adresse bekommen hat und als Gateway wird die FE... IPv6 Adresse des Routers verwendet statt der FD... Adresse.

Frage(n),
....ist das ein Problem wenn der Client mehrere IPv6 Adressen hat?
.... Ist es möglich den Router so zu konfigurieren das nur seine IPv6 Adresse als Gateway versendet wird?

Switch: PowerConnect DNS4128T



Gruß
Xearo
ipv6

Content-Key: 1074433776

Url: https://administrator.de/contentid/1074433776

Ausgedruckt am: 25.07.2021 um 15:07 Uhr

Mitglied: LordGurke
Lösung LordGurke 22.07.2021 um 11:02:39 Uhr
Goto Top
Dass als Gateway die fe80-Adresse verwendet wird, ist by design so und die beste Lösung. Das hat keine Nachteile.

Um die Vergabe weiterer temporärer Adressen aus dem per RA advertiseten Präfix zu unterbinden, solltest du das RA so konfigurieren, dass keine autonome Adressvergabe stattfindet — dann hören die Clients auf, sich Adressen zu geben.
Zusätzlich kannst du auch das Advertisement des On-Link-Präfix unterbinden, dann wissen die Clients nichtmal, welches Präfix es gäbe.
Mitglied: tikayevent
Lösung tikayevent 22.07.2021 um 11:10:29 Uhr
Goto Top
Das Verhalten, was du beschreibst ist ganz normal.

DHCPv4 und DHCPv6 arbeiten grundlegend anders. Bei DHCPv4 liegt alles in der Hand des Servers und dieser ist dafür verantwortlich, alle Informationen zu liefern. Bei der Entwicklung von DHCPv4 war Auto-Adressierung noch nicht vorgesehen und daher ist hier ein gesonderter DHCP-Client nötig.
IPv6 hingegen hat eine native Auto-Adressierung, SLAAC genannt. Also die Aussendung und Auswertung von RA-Nachrichten. DHCPv6 erweitert die Funktionen nur, ohne diese zu ersetzen. Vergleich einfach mal die Anzahl der Optionen, die der Windows Server per DHCPv4 und per DHCPv6 ausliefern kann. Bei v4 gehen die Optionen meine ich mittlerweile bis hoch in die 200, bei v6 sind es vielleicht zehn. Der einzige sinnvolle Zweck für DHCPv6 ist die Dokumentation der Adressen und die Auslieferung der DNS-Informationen.
In jedem Fall muss ein Client erstmal die RA auswerten und bekommt dann die Information, über das Managed-Flag, dass er sich, wenn er kann, noch beim DHCPv6-Server melden soll.

Da eine zwingende Vorgabe von SLAAC und damit aller darauf aufbauenden Techniken ein /64-Subnetz ist, ist eine abweichende Angabe nicht möglich, sondern würde die Auto-Adressierung zerstören.

Das gleiche gilt für das Gateway. Es wird aus den RA-Meldungen herausgelesen und nicht per DHCPv6 geliefert. RA-Meldungen sind immer Link-Local, daher auch zwingend die FE80-Adresse.

Zu den mehreren IP-Adressen: Ist bei IPv6 konzeptionell so vorgesehen, aber du hast auch noch die Privacy Extensions aktiv, die du auch aktiv lassen solltest, für den Fall, dass du mal eine IPv6-fähige Internetanbindung erwägen solltest (aktuell arbeitest du ja noch mit ULA). Ohne die Privacy Extensions bräuchte man keine Tracker und Cookies mehr, um deine Gewohnheiten zu erfassen.
Mitglied: aqui
Lösung aqui 22.07.2021 aktualisiert um 11:17:09 Uhr
Goto Top
Kommt immer drauf an welches Flag deine RAs vom Switch senden. Kollege @LordGurke hat es oben schon gesagt. Leider hast du das in deinem Thread nicht erwähnt.
https://www.elektronik-kompendium.de/sites/net/1902141.htm
Die 2te Adresse sind die sog. Privacy Extensions die die Adresse anonymisieren um keinerlei Rückschlüsse auf den Client zu ermöglichen (EUI64 Format). v6 Clients haben deshalb in der Regel immer mehrere Adressen pro Interface was normal ist.
Nur mal nebenbei:
Du nutzt ULA v6 Adressen intern (fc00::/7) was nicht besonders inelligent ist, denn damit ist eine Internet Connectivity ausgeschlossen. Die v6 ULA Adressen entsprechen den v4 RFC 1918 IP Adressen und sind im Internet nicht geroutet. Da es kein NAT bei IPv6 gibt begibst du dich hier in eine adresstechnische Sackgasse die dir irgendwann ganz sicher auf die Füße fällt und du zwangsweise ändern muss. Keine gute Wahl also bei der v6 Adressierung. Normal verteilst du bei Prefix Delegation intern deinen dir vom Provider zugeteilten v6 Prefix in deine v6 Segmente mit einem lokalen /64er Prefix oder nutzt ein dir statisch zugeteiltes v6 Subnetz. Das solltest du immer auf dem Radar haben !
Mitglied: LordXearo
LordXearo 22.07.2021 um 11:21:09 Uhr
Goto Top
Danke für eure Hilfen. Mit der COnfig am Switch hat es geklappt.

ipv6 nd managed-config-flag
ipv6 nd prefix default no-advertise no-autoconfig
ipv6 nd send-ra

Wir nutzen intern keine fc Adressen, sondern fd.

So eine z.B.
fdcd:9e0c:1234:ff01::253/64

Das sollte doch i.O. sein?
Mitglied: tikayevent
tikayevent 22.07.2021 aktualisiert um 11:32:26 Uhr
Goto Top
Wir nutzen intern keine fc Adressen, sondern fd.

Du nutzt ULA v6 Adressen intern (fc00::/7)
@LordXearo: Du hast die Prefixlänge ignoriert. fc00::/7 geht von fc00:: bis fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff.

@aqui:
Da es kein NAT bei IPv6 gibt
Es gibt mittlerweile NPT66 bzw. NAT66. Die ULA-Nutzung intern ist also kein Hindernis für einen Internetzugang. Man sollte es aber, wenn möglich, vermeiden. Leider klappt es bei Multi-Homing-Szenarien nicht so ganz, da man hier sonst auf Unterstützung des Providers angewiesen wäre (AS, LISP oder andere Techniken), um ohne Umadressierung wieder Online zu kommen, da ist dann NPT66 die einfachere Lösung. Es muss nur von der Perimeter-Hardware unterstützt werden.
Mitglied: aqui
aqui 22.07.2021 aktualisiert um 11:43:12 Uhr
Goto Top
Wir nutzen intern keine fc Adressen, sondern fd.
Mit IP Subnetzmasken kann du umgehen und weisst auch was die bedeuten ?? Kollege @tikayevent hat es ja schon gesagt. NPT66 hat einige Nachteile das sollte man sich also gut überlegen ob man damit frickeln will. Ein Ziel von v6 war ja gerade das ungeliebte NAT endlich loszuwerden...
Mitglied: LordXearo
LordXearo 22.07.2021 um 12:01:02 Uhr
Goto Top
Ok ok. Ist jetzt verstanden. Ich hatte nur noch im Kopf das es eine Unterscheidung zwischen dem Präfix fc und fd gab.
Das die Adressen das äquivalent zu privaten IPv4 Adressen ist war mir bewusst und erstmal so vorgesehen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.07.2021 um 12:21:46 Uhr
Goto Top
Zitat von @aqui:

Nur mal nebenbei:
Du nutzt ULA v6 Adressen intern (fc00::/7) was nicht besonders inelligent ist, denn damit ist eine Internet Connectivity ausgeschlossen. Die v6 ULA Adressen entsprechen den v4 RFC 1918 IP Adressen und sind im Internet nicht geroutet.

Das gilt aber nur, wenn man ausschlließlich ULA-Adressen nutzt. Da man bei v6 aber meist diese zusätzlich zu den Provider-Präfixes nutzt, kann es durchaus sinnvoll sein, für Intern noch ULAs zu haben.

lks
Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 1 TagFrageBenchmarks50 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit18 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
2U Home-Server Frage zur HardwaremossoxVor 1 TagFrageServer-Hardware12 Kommentare

Hallo zusammen, ich habe in den letzten Jahren auf die Systeme von Synology gesetzt. Im Wesentlichen ging es immer nur um simple CIFS Dienste, nichts ...

question
Firmengelände Glasfaser mehrere GebäudeTonLichtVideoVor 1 TagFrageNetzwerke5 Kommentare

Hallo zusammen, Ist Zustand: Firmengelände mit mehreren großen Hallen die zentral per Glasfaser verbunden werden sollen. Längen zwischen 100 und 400 Metern. Aufgrund der Zukunftssicherheit ...

question
Powershell Ordner löschen die älter als x Tage sind gelöst sascha46Vor 1 TagFrageEntwicklung7 Kommentare

Hallo Ich würde gerne in einem Verzeichnis alle Ordner die älter als X Tage sind löschen. Aber irgendwie bekomme ich das nicht hin. Bisher habe ...

report
Erfahrungsbericht Vodafone - Die endlose VertragsänderunganteNopeVor 6 StundenErfahrungsberichtFlatrates12 Kommentare

Hallo zusammen, natürlich ist es öffentlich bekannt, dass Vodafone nicht gerade der "beste" Anbieter ist. Für mich persönlich ist Vodafone an Inkompetenz nicht zu überbieten ...

question
Cisco 2702 Autonomous Mode gelöst interface31Vor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hi, habe gerade paar 2702 AP im Auto Mode an Netz gehängt. Mir kommt es vor das diese mit ihrer SSID aber nicht sichtbar sind. ...

question
Abfrageprob in Access gelöst martenkVor 2 TagenFrageVB for Applications4 Kommentare

Hallo, meine Tabelle Reservierungen sieht so aus id_Objekt_Anreise_Abreise_Miete 1_A2_01.02.2021_07.02.2021_350 2_A3_02.02.2021_06.02.2021_150 3_A2_02.02.2021_03.02.2021_50 4_A2_15.02.2021_26.02.2021_500 5_A3_08.02.2021_12.02.2021_300 jetzt gebe ich im HF z.b. den Bereich ein 01.01. - 03.03. ...