Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Dynamische IPv6 (ISP) und Statische IPv6-Adressen (LAN) unter einen Hut bringen

Mitglied: ketanest112

ketanest112 (Level 1) - Jetzt verbinden

30.03.2017, aktualisiert 22:57 Uhr, 7253 Aufrufe, 5 Kommentare, 1 Danke

Hallöchen zusammen, ich hab mal wieder eine Frage:

Und zwar muss ich ein bisschen ausholen:
Ich hänge momentan noch bei IPv4 und würde gerne Parallelbetrieb fahren und später dann ganz umsteigen.
Meine aktuelle Config:

1 DSLer
1 Router (Fritz!Box)
1x Firewall (Sophos) mit 5 x 1GBit Ports
1x (W)LAN (10.0.0.0/16) privat
1x Gäste WLAN (192.168.100.0/24)

Die Firewall hängt an der Telekom Fritte mit der IP 192.168.0.2.
Ansonsten natürlich im LAN und im Gäste WLAN. Fürs Gäste WLAN macht sie DHCP und DNS.
Im LAN sorgt für DHCP und DNS ein Windows Server 2012 R2 mit Active Directory.
Ansonsten hängen noch ein Exchange Server, ein VPN Gateway (da die Sophos leider kein OpenVPN als Client unterstützt) und ein Terminalserver im LAN (und natürlich die Clients).

Die Kisten sind alle virtualisiert, was aber tendenziell keine Rolle spielen dürfte.
Die Sophos ist zwar auch virtualisiert, die Netze aber physikalisch getrennt (PCIe 5-Port LAN-Karte mit PCI Passthrough).
Über die Performance möge man sich bitte nicht streiten.

Die Sophos ist auf der Fritte als Exposed Host eingerichtet.

Die IP-Adressen werden bis auf die Sophos, die Fritte und den Domain Controller alle per DHCP verteilt (für die Server mit DHCP-Reservierung).

So nun zum eigentlichen Problem:
Die Telekom Fritte erhält eine IPv6 Adresse und ein /56 IPv6 Präfix.
Ganz so warm bin ich mit IPv6 zwar noch nicht geworden aber soweit ich das richtig verstehe, wird mir das /56 Präfix zugewiesen, damit ich damit meine Clients mit IPv6-Adressen versorgen kann (bzw. die sich mit SLAAC selbst). NAT gibts ja nicht mehr (obwohl es ja auch "private" Adressen gibt: Link Local und Unique Local Unicast Adressen???). So nun dachte ich mir, hast ja ein /56 IPv6 Netz, versorgst du mal alle Server mit statischen Adressen (wegen des DNS). Clients können sich per SLAAC eine Adresse selbst zuweisen und dank DAD gibts auch keine Konflikte mit eventuellen Server Adressen.
Sooo Pustekuchen! Einmal ein Disconnect der Fritte von 30 Sekunden und schon hat man ein neues Präfix (aber noch die alten statischen Adressen).

NAT gibts ja nicht mehr, daher weiß ich nicht genau, ob und inwieweit ich die Link Local bzw. Unique Local Unicast Adressen verwenden kann (sodass es dann auch funktioniert).
Die "optimale" Lösung wäre ja eigentlich eine "halbstatische" Adressierung, d.h. die letzten 64 bzw. 72 bits der Adresse bleiben gleich und nur das Präfix ändert sich, wenn der Router ein neues verteilt, weil er ein neues vom Provider erhält. Jedoch müsste das dann auch wieder im DNS bekannt gemacht werden, also wieder ein Problem.

Ich weiß, Privatanschlüsse sind nicht für Serverkram gemacht, aber da muss es doch irgendeine Strategie dafür geben?
Ich mein für den Ottonormalsurfer reichts natürlich, der kriegt seine IP Adresse und seinen DNS zugeteilt, hat alle Daten lokal und surft durch die Gegend. Der weiß nicht mal, ob er mit IPv4 oder IPv6 surft, geschweige denn, was eine IP-Adresse ist. Aber für so Freaks wie mich ist das dann immer Schwierig...

Sind jetzt alles nur Vorüberlegungen, konfiguriert ist bisher kaum etwas.

Noch eine andere Sache: Komischerweise funktioniert IPv6 scheinbar überhaupt nicht.
Vorweg: Die Fritte verteilt (warum auch immer) an die Sophos ein /62 Netz, dass dann weiterverwendet werden kann (Ethernet Fritte).
Die Sophos kann so konfiguriert werden, dass sie Präfixbekanntmachungen rumschickt (Ethernet LAN) und es gibt eine Option, die automatisch die IPv6 der Sophos ändert, sobald sie ein neues Präfix vom Provider (also in meinem Fall der Fritte) bekommen hat und macht dieses dann auch wieder im Netzwerk bekannt (Ethernet LAN). Das hat allerdings nicht funktioniert (kein Client/Server erhält ne IPv6 Adresse). Komischerweise erhält auch kein Client ne IPv6, wenn ich auf dem Windows Server den IPv6 DHCP anschmeiße...
UPDATE: Nur die Windows Clients haben (auch nach Neustart) keine IPv6 Adressen erhalten. Die linux Clients schon.

Ich hoffe, ihr könnt mir bei meinem Problem etwas weiterhelfen.

Ich hab mich zwar in IPv6 des Öfteren eingelesen, aber bis aufs Grundkonstrukt hab ich wenig verstanden.

Danke euch schonmal
Ketanest
Mitglied: LordGurke
LÖSUNG 30.03.2017 um 23:25 Uhr
Der Trick ist ein einfacher:
Bei IPv6 ist es vorgesehen, dass ein Interface immer mehrere IPv6-Adressen hat - mindestens eine Link-Local-Adresse (fe80::.....) und dann zusätzlich noch wie in deinem Fall eine oder mehrere Global-Unicast-Adressen (also die aus dem Präfix deines Providers).
Für deinen Internen Netzwerkverkehr benutzt du dann ausschließlich die Link-Local-Adressen, für den externen Verkehr (ins Internet) die Global-Unicasts. Wenn du in deinem internen DNS also nur die fe80-Adressen deiner Server hinterlegst, sind diese im internen Netz immer unter der selben IP-Adresse erreichbar.

Was die "Präfixbekanntmachung" (kurz "RA") angeht:
Per RA wird dem Netz mitgeteilt, welches Präfix es im Netz gibt. Das *MUSS* zwingend ein /64 langes Präfix sein - andere Präfixlängen funktionieren mit autonomer Adressvergabe nicht. Im RA wird ebenfalls bekanntgegeben ob es im Netz einen DHCPv6-Server gibt oder nicht. Wenn das Bit ("Managed Configuration") nicht gesetzt ist, werden die Clients überhaupt nicht erst versuchen, eine IPv6-Adresse zu holen.
Bitte warten ..
Mitglied: ketanest112
30.03.2017 um 23:36 Uhr
Ahhhh
Jetzt wird einiges klar.
Super, danke für die schnelle Antwort!

Heißt das, ich konfiguriere einfach fest eine Link Local ein und er holt sich automatisch noch eine Global Unicast oder funktioniert das dann nicht mehr, wenn ich ihm fest eine IP zugewiesen hab?

Grüße
Max
Bitte warten ..
Mitglied: aqui
31.03.2017, aktualisiert um 10:42 Uhr
Ganz so warm bin ich mit IPv6 zwar noch nicht geworden
Das kannst du ganz einfach ändern:
https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-praktische-Internet-P ...
Lohnt sich !
Kurze Frage noch an den Lord:
Es ist doch aber so das man als Consumer Endkunde immer einen /56 Prefix mit dynamsicher Prefix Distribution vom Provider bekommt fürs lokale Netz. Diesen /56er Prefix kann man dann selber subnetten in /64er Netze oder was auch immer die man intern nutzt und routet.
Muss man ja sogar, denn ins Internet gehts natürlich nicht mit FE80:er Link Local Adressen und da es kein NAT mehr gibt wird also normal geroutet.
Er muss also dann intern mindestens seinen /56er Prefix verteilen den er übermittelt bekommt sei es mit SLAAC oder DHCPv6 um mit den IP Adressen v6 Internet fähig zu sein.
Durch die Adress Anonymisierung bekommt er vermutlich zyklisch immer neue /56er Prefixe so das ein festes Subnetting im lokalen LAN für Consumer Kunden vermutlich gar nicht möglich ist, denn auch die Subnetze müssten sich ja dann dynamisch ändern.
Also nur FE80 nützen ihm nichts, er muss doch mindestens seinen per Prefix Distribution verteiltes Subnetz intern verteilen.
Bitte warten ..
Mitglied: LordGurke
31.03.2017 um 11:03 Uhr
Sicher, du musst für die Verbindung ins Internet zwingend die Global-Unicast-Adresse aus dem zugewiesenen Präfix benutzen.
Aber der Client (zumindest unter Linux) kann ja trotzdem weiterhin zu seinen bestehenden Link-Local-Adressen weitere globale Adressen, auch dynamisch, zum Interface hinzufügen.
Unter Windows müsste das theoretisch auch gehen, da habe ich es nur bisher nicht probiert.
Bitte warten ..
Mitglied: aqui
LÖSUNG 31.03.2017, aktualisiert um 11:07 Uhr
OK, dann passt das wieder
Ja, Winblows (7 und 10) und Mac OS machen das identisch so.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
IPv6 im LAN bzw. Intranet?
gelöst Frage von 134408Netzwerkmanagement8 Kommentare

Hallo, wir haben ein LAN bzw. Intranet mit 3 Servern und ca. 500 Clients und nutzen derzeit IPv4. Nun ...

Windows Netzwerk
IPv6 - auch im LAN sinnvoll?
gelöst Frage von ral9004Windows Netzwerk34 Kommentare

Guten Tag Eine Verständnissfrage. Das die IPv4 die in das Internet gerotet werden knapper und knapper werden ist klar. ...

Netzwerkgrundlagen
IPv6 Fragen
gelöst Frage von CharlyXLNetzwerkgrundlagen10 Kommentare

Hallo zusammen, ich möchte gerne meinen neuen Server gleich mit Server 2019 ordentlich aufsetzen und für die Zukunft bereit ...

Netzwerke
IPv6 Port Freigabe mit IPv6 Tunnel
gelöst Frage von danielr1996Netzwerke3 Kommentare

Hallo Leute, ist es möglich mit einem IPv6 Tunnel seine Geräte im Heimnetzwerk direkt anzusprechen? Im Moment benutze ich ...

Neue Wissensbeiträge
Microsoft
The Premier Field Engineering Blog is MOVING!
Information von Dani vor 15 StundenMicrosoft

Hello to all of our AWESOME readers that have helped us build the Premier Field Engineering TechCommunity blog up ...

Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 1 TagSicherheit3 Kommentare

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 3 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 6 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Backup einer an die FRITZBox angeschlossenen Festplatte
Frage von DJ-KeyFestplatten, SSD, Raid35 Kommentare

Habe eine Frstplatte, die mehrere Partitionen beherbergt. Die Festplatte die an der FRITZ!Box als NAS dient ist schon älter ...

Windows Server
Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Frage von it-froschWindows Server30 Kommentare

Hallo Kollegen, Windows Server 2012 Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden. Die ...

Exchange Server
Exchange CAL Lizenzen?
gelöst Frage von KleinProfiExchange Server16 Kommentare

Hallo Jungs, wir sind in der Firma 10 Mann, haben aber auf dem Exchange 15 Postfächer bzw. 15 User ...

Grafikkarten & Monitore
Multi Monitor HDMI Bildschirm verschwindet
Frage von FMParadisoGrafikkarten & Monitore15 Kommentare

Hallo Zusammen, ich habe ein Problem mit meinem Monitor-Setup. Leider weiß ich auch, dass es wohl locker (mindestens) 5 ...