Dynamische IPv6 (ISP) und Statische IPv6-Adressen (LAN) unter einen Hut bringen
Hallöchen zusammen, ich hab mal wieder eine Frage:
Und zwar muss ich ein bisschen ausholen:
Ich hänge momentan noch bei IPv4 und würde gerne Parallelbetrieb fahren und später dann ganz umsteigen.
Meine aktuelle Config:
1 DSLer
1 Router (Fritz!Box)
1x Firewall (Sophos) mit 5 x 1GBit Ports
1x (W)LAN (10.0.0.0/16) privat
1x Gäste WLAN (192.168.100.0/24)
Die Firewall hängt an der Telekom Fritte mit der IP 192.168.0.2.
Ansonsten natürlich im LAN und im Gäste WLAN. Fürs Gäste WLAN macht sie DHCP und DNS.
Im LAN sorgt für DHCP und DNS ein Windows Server 2012 R2 mit Active Directory.
Ansonsten hängen noch ein Exchange Server, ein VPN Gateway (da die Sophos leider kein OpenVPN als Client unterstützt) und ein Terminalserver im LAN (und natürlich die Clients).
Die Kisten sind alle virtualisiert, was aber tendenziell keine Rolle spielen dürfte.
Die Sophos ist zwar auch virtualisiert, die Netze aber physikalisch getrennt (PCIe 5-Port LAN-Karte mit PCI Passthrough).
Über die Performance möge man sich bitte nicht streiten.
Die Sophos ist auf der Fritte als Exposed Host eingerichtet.
Die IP-Adressen werden bis auf die Sophos, die Fritte und den Domain Controller alle per DHCP verteilt (für die Server mit DHCP-Reservierung).
So nun zum eigentlichen Problem:
Die Telekom Fritte erhält eine IPv6 Adresse und ein /56 IPv6 Präfix.
Ganz so warm bin ich mit IPv6 zwar noch nicht geworden aber soweit ich das richtig verstehe, wird mir das /56 Präfix zugewiesen, damit ich damit meine Clients mit IPv6-Adressen versorgen kann (bzw. die sich mit SLAAC selbst). NAT gibts ja nicht mehr (obwohl es ja auch "private" Adressen gibt: Link Local und Unique Local Unicast Adressen???). So nun dachte ich mir, hast ja ein /56 IPv6 Netz, versorgst du mal alle Server mit statischen Adressen (wegen des DNS). Clients können sich per SLAAC eine Adresse selbst zuweisen und dank DAD gibts auch keine Konflikte mit eventuellen Server Adressen.
Sooo Pustekuchen! Einmal ein Disconnect der Fritte von 30 Sekunden und schon hat man ein neues Präfix (aber noch die alten statischen Adressen).
NAT gibts ja nicht mehr, daher weiß ich nicht genau, ob und inwieweit ich die Link Local bzw. Unique Local Unicast Adressen verwenden kann (sodass es dann auch funktioniert).
Die "optimale" Lösung wäre ja eigentlich eine "halbstatische" Adressierung, d.h. die letzten 64 bzw. 72 bits der Adresse bleiben gleich und nur das Präfix ändert sich, wenn der Router ein neues verteilt, weil er ein neues vom Provider erhält. Jedoch müsste das dann auch wieder im DNS bekannt gemacht werden, also wieder ein Problem.
Ich weiß, Privatanschlüsse sind nicht für Serverkram gemacht, aber da muss es doch irgendeine Strategie dafür geben?
Ich mein für den Ottonormalsurfer reichts natürlich, der kriegt seine IP Adresse und seinen DNS zugeteilt, hat alle Daten lokal und surft durch die Gegend. Der weiß nicht mal, ob er mit IPv4 oder IPv6 surft, geschweige denn, was eine IP-Adresse ist. Aber für so Freaks wie mich ist das dann immer Schwierig...
Sind jetzt alles nur Vorüberlegungen, konfiguriert ist bisher kaum etwas.
Noch eine andere Sache: Komischerweise funktioniert IPv6 scheinbar überhaupt nicht.
Vorweg: Die Fritte verteilt (warum auch immer) an die Sophos ein /62 Netz, dass dann weiterverwendet werden kann (Ethernet Fritte).
Die Sophos kann so konfiguriert werden, dass sie Präfixbekanntmachungen rumschickt (Ethernet LAN) und es gibt eine Option, die automatisch die IPv6 der Sophos ändert, sobald sie ein neues Präfix vom Provider (also in meinem Fall der Fritte) bekommen hat und macht dieses dann auch wieder im Netzwerk bekannt (Ethernet LAN). Das hat allerdings nicht funktioniert (kein Client/Server erhält ne IPv6 Adresse). Komischerweise erhält auch kein Client ne IPv6, wenn ich auf dem Windows Server den IPv6 DHCP anschmeiße...
UPDATE: Nur die Windows Clients haben (auch nach Neustart) keine IPv6 Adressen erhalten. Die linux Clients schon.
Ich hoffe, ihr könnt mir bei meinem Problem etwas weiterhelfen.
Ich hab mich zwar in IPv6 des Öfteren eingelesen, aber bis aufs Grundkonstrukt hab ich wenig verstanden.
Danke euch schonmal
Ketanest
Und zwar muss ich ein bisschen ausholen:
Ich hänge momentan noch bei IPv4 und würde gerne Parallelbetrieb fahren und später dann ganz umsteigen.
Meine aktuelle Config:
1 DSLer
1 Router (Fritz!Box)
1x Firewall (Sophos) mit 5 x 1GBit Ports
1x (W)LAN (10.0.0.0/16) privat
1x Gäste WLAN (192.168.100.0/24)
Die Firewall hängt an der Telekom Fritte mit der IP 192.168.0.2.
Ansonsten natürlich im LAN und im Gäste WLAN. Fürs Gäste WLAN macht sie DHCP und DNS.
Im LAN sorgt für DHCP und DNS ein Windows Server 2012 R2 mit Active Directory.
Ansonsten hängen noch ein Exchange Server, ein VPN Gateway (da die Sophos leider kein OpenVPN als Client unterstützt) und ein Terminalserver im LAN (und natürlich die Clients).
Die Kisten sind alle virtualisiert, was aber tendenziell keine Rolle spielen dürfte.
Die Sophos ist zwar auch virtualisiert, die Netze aber physikalisch getrennt (PCIe 5-Port LAN-Karte mit PCI Passthrough).
Über die Performance möge man sich bitte nicht streiten.
Die Sophos ist auf der Fritte als Exposed Host eingerichtet.
Die IP-Adressen werden bis auf die Sophos, die Fritte und den Domain Controller alle per DHCP verteilt (für die Server mit DHCP-Reservierung).
So nun zum eigentlichen Problem:
Die Telekom Fritte erhält eine IPv6 Adresse und ein /56 IPv6 Präfix.
Ganz so warm bin ich mit IPv6 zwar noch nicht geworden aber soweit ich das richtig verstehe, wird mir das /56 Präfix zugewiesen, damit ich damit meine Clients mit IPv6-Adressen versorgen kann (bzw. die sich mit SLAAC selbst). NAT gibts ja nicht mehr (obwohl es ja auch "private" Adressen gibt: Link Local und Unique Local Unicast Adressen???). So nun dachte ich mir, hast ja ein /56 IPv6 Netz, versorgst du mal alle Server mit statischen Adressen (wegen des DNS). Clients können sich per SLAAC eine Adresse selbst zuweisen und dank DAD gibts auch keine Konflikte mit eventuellen Server Adressen.
Sooo Pustekuchen! Einmal ein Disconnect der Fritte von 30 Sekunden und schon hat man ein neues Präfix (aber noch die alten statischen Adressen).
NAT gibts ja nicht mehr, daher weiß ich nicht genau, ob und inwieweit ich die Link Local bzw. Unique Local Unicast Adressen verwenden kann (sodass es dann auch funktioniert).
Die "optimale" Lösung wäre ja eigentlich eine "halbstatische" Adressierung, d.h. die letzten 64 bzw. 72 bits der Adresse bleiben gleich und nur das Präfix ändert sich, wenn der Router ein neues verteilt, weil er ein neues vom Provider erhält. Jedoch müsste das dann auch wieder im DNS bekannt gemacht werden, also wieder ein Problem.
Ich weiß, Privatanschlüsse sind nicht für Serverkram gemacht, aber da muss es doch irgendeine Strategie dafür geben?
Ich mein für den Ottonormalsurfer reichts natürlich, der kriegt seine IP Adresse und seinen DNS zugeteilt, hat alle Daten lokal und surft durch die Gegend. Der weiß nicht mal, ob er mit IPv4 oder IPv6 surft, geschweige denn, was eine IP-Adresse ist. Aber für so Freaks wie mich ist das dann immer Schwierig...
Sind jetzt alles nur Vorüberlegungen, konfiguriert ist bisher kaum etwas.
Noch eine andere Sache: Komischerweise funktioniert IPv6 scheinbar überhaupt nicht.
Vorweg: Die Fritte verteilt (warum auch immer) an die Sophos ein /62 Netz, dass dann weiterverwendet werden kann (Ethernet Fritte).
Die Sophos kann so konfiguriert werden, dass sie Präfixbekanntmachungen rumschickt (Ethernet LAN) und es gibt eine Option, die automatisch die IPv6 der Sophos ändert, sobald sie ein neues Präfix vom Provider (also in meinem Fall der Fritte) bekommen hat und macht dieses dann auch wieder im Netzwerk bekannt (Ethernet LAN). Das hat allerdings nicht funktioniert (kein Client/Server erhält ne IPv6 Adresse). Komischerweise erhält auch kein Client ne IPv6, wenn ich auf dem Windows Server den IPv6 DHCP anschmeiße...
UPDATE: Nur die Windows Clients haben (auch nach Neustart) keine IPv6 Adressen erhalten. Die linux Clients schon.
Ich hoffe, ihr könnt mir bei meinem Problem etwas weiterhelfen.
Ich hab mich zwar in IPv6 des Öfteren eingelesen, aber bis aufs Grundkonstrukt hab ich wenig verstanden.
Danke euch schonmal
Ketanest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 333672
Url: https://administrator.de/contentid/333672
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
5 Kommentare
Neuester Kommentar
Der Trick ist ein einfacher:
Bei IPv6 ist es vorgesehen, dass ein Interface immer mehrere IPv6-Adressen hat - mindestens eine Link-Local-Adresse (fe80::.....) und dann zusätzlich noch wie in deinem Fall eine oder mehrere Global-Unicast-Adressen (also die aus dem Präfix deines Providers).
Für deinen Internen Netzwerkverkehr benutzt du dann ausschließlich die Link-Local-Adressen, für den externen Verkehr (ins Internet) die Global-Unicasts. Wenn du in deinem internen DNS also nur die fe80-Adressen deiner Server hinterlegst, sind diese im internen Netz immer unter der selben IP-Adresse erreichbar.
Was die "Präfixbekanntmachung" (kurz "RA") angeht:
Per RA wird dem Netz mitgeteilt, welches Präfix es im Netz gibt. Das *MUSS* zwingend ein /64 langes Präfix sein - andere Präfixlängen funktionieren mit autonomer Adressvergabe nicht. Im RA wird ebenfalls bekanntgegeben ob es im Netz einen DHCPv6-Server gibt oder nicht. Wenn das Bit ("Managed Configuration") nicht gesetzt ist, werden die Clients überhaupt nicht erst versuchen, eine IPv6-Adresse zu holen.
Bei IPv6 ist es vorgesehen, dass ein Interface immer mehrere IPv6-Adressen hat - mindestens eine Link-Local-Adresse (fe80::.....) und dann zusätzlich noch wie in deinem Fall eine oder mehrere Global-Unicast-Adressen (also die aus dem Präfix deines Providers).
Für deinen Internen Netzwerkverkehr benutzt du dann ausschließlich die Link-Local-Adressen, für den externen Verkehr (ins Internet) die Global-Unicasts. Wenn du in deinem internen DNS also nur die fe80-Adressen deiner Server hinterlegst, sind diese im internen Netz immer unter der selben IP-Adresse erreichbar.
Was die "Präfixbekanntmachung" (kurz "RA") angeht:
Per RA wird dem Netz mitgeteilt, welches Präfix es im Netz gibt. Das *MUSS* zwingend ein /64 langes Präfix sein - andere Präfixlängen funktionieren mit autonomer Adressvergabe nicht. Im RA wird ebenfalls bekanntgegeben ob es im Netz einen DHCPv6-Server gibt oder nicht. Wenn das Bit ("Managed Configuration") nicht gesetzt ist, werden die Clients überhaupt nicht erst versuchen, eine IPv6-Adresse zu holen.
Ganz so warm bin ich mit IPv6 zwar noch nicht geworden
Das kannst du ganz einfach ändern:https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-praktische-Internet-P ...
Lohnt sich !
Kurze Frage noch an den Lord:
Es ist doch aber so das man als Consumer Endkunde immer einen /56 Prefix mit dynamsicher Prefix Distribution vom Provider bekommt fürs lokale Netz. Diesen /56er Prefix kann man dann selber subnetten in /64er Netze oder was auch immer die man intern nutzt und routet.
Muss man ja sogar, denn ins Internet gehts natürlich nicht mit FE80:er Link Local Adressen und da es kein NAT mehr gibt wird also normal geroutet.
Er muss also dann intern mindestens seinen /56er Prefix verteilen den er übermittelt bekommt sei es mit SLAAC oder DHCPv6 um mit den IP Adressen v6 Internet fähig zu sein.
Durch die Adress Anonymisierung bekommt er vermutlich zyklisch immer neue /56er Prefixe so das ein festes Subnetting im lokalen LAN für Consumer Kunden vermutlich gar nicht möglich ist, denn auch die Subnetze müssten sich ja dann dynamisch ändern.
Also nur FE80 nützen ihm nichts, er muss doch mindestens seinen per Prefix Distribution verteiltes Subnetz intern verteilen.
Sicher, du musst für die Verbindung ins Internet zwingend die Global-Unicast-Adresse aus dem zugewiesenen Präfix benutzen.
Aber der Client (zumindest unter Linux) kann ja trotzdem weiterhin zu seinen bestehenden Link-Local-Adressen weitere globale Adressen, auch dynamisch, zum Interface hinzufügen.
Unter Windows müsste das theoretisch auch gehen, da habe ich es nur bisher nicht probiert.
Aber der Client (zumindest unter Linux) kann ja trotzdem weiterhin zu seinen bestehenden Link-Local-Adressen weitere globale Adressen, auch dynamisch, zum Interface hinzufügen.
Unter Windows müsste das theoretisch auch gehen, da habe ich es nur bisher nicht probiert.