Jul 18, 2020

18009

Feste IP Vergabe bei IPV6 funktioniert nicht

Hi Leute,
Ich habe jetzt schon mehrfach recherchiert und darüber diskutiert, aber komme nicht weiter.
Ich habe einen AVM 6591 Cable Router, bisher war nur IPV4 aktiviert. Durch einen reset des Routers kam ich darauf die IPV6 Unterstützung zu aktivieren, funktioniert auch alles soweit.
Nun nutze ich aber PIHole und dort ein Group Management wo ich die Clients einsortiere, leider tauchen dort nur immer wieder neue IP Adressen der Geräte auf (20a..., fd00.... und fe80...)
Wieso erstellt der ständig neue Adressierungen? Ich hab in der FritzBox ULA immer zuweisen aktiviert und DHCPv6 sowie ULA Präfix manuell festlegen gesetzt.
Ich weis mittlerweile das bei IPV6 mehrere Adressen pro Gerät erstellt werden, aber wieso immer wieder neue? Gibt es da nichts festes?

Ich danke euch

Please also mark the comments that contributed to the solution of the article

Content-Key: 588787

Url: https://administrator.de/contentid/588787

Printed on: April 25, 2024 at 13:04 o'clock

25 Comments

Latest comment

Moin,

Hast Du die pricacy-extensions deaktiviert?

https://www.elektronik-kompendium.de/sites/net/1601271.htm#:~:text=Priva ....

lks

Hallo

Zitat von @Lochkartenstanzer:

Moin,

Hast Du die pricacy-extensions deaktiviert?

lks

Vielleicht will man die gar nicht deaktivieren?

Mach Dich etwas besser mit IPv6 vertraut, z.B. hier

Grüße

lcer

Zitat von @lcer00:

Hallo

Zitat von @Lochkartenstanzer:

Moin,

Hast Du die pricacy-extensions deaktiviert?

lks

Vielleicht will man die gar nicht deaktivieren?

Zum testen kann man das schon machen.

lks

PS: Wenn man auf den Link vom Elektronikkompendium klickt sieht man, daß es da eher ums aktivieren statt ums deaktivieren geht.

Moin,

Also nochmal:

Wenn Du in der Fritzbox ULA aktiviert hast, wie z.B. hier

sollten unter den v6-Adressen auch welche sein, den ULA-Prefix haben und mit der MAC-Adresse des Interfaces enden, wie in meinem Beispiel (hier sind nicht alle v6-Adressen aufgeführt, sondern nur die zu dem ULA-Prefix!).

br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.31.17.3  netmask 255.255.255.0  broadcast 172.31.17.255
        inet6 fdde:ad00:abba:0:16da:e9ff:fedc:901  prefixlen 64  scopeid 0x0<global>
        inet6 fdde:ad00:abba:0:3d4e:cb49:d669:8fc9  prefixlen 64  scopeid 0x0<global>
        inet6 fdde:ad00:abba:0:6042:205a:c2bd:9b93  prefixlen 64  scopeid 0x0<global>
        inet6 fdde:ad00:abba:0:7850:90bb:550:ad9b  prefixlen 64  scopeid 0x0<global>
        inet6 fdde:ad00:abba:0:dc15:1240:e7f4:4f47  prefixlen 64  scopeid 0x0<global>
        ether 14:da:e9:dc:09:01  txqueuelen 1000  (Ethernet)

Also mach mal ein ifconfig -a oder ein ipconfig /all, damit wir sehen, welche IP-Adressen Du hast.

Die zusätzlichen v6-Adressen kommen über die Privacy-Extensions.

lks

PS: Die ULA sind nur lokal, bzw innerhalb Deiner Organisation gültig. Nach außen werden die i.d.R nicht geroutet.

PS: Die ULA sind nur lokal, bzw innerhalb Deiner Organisation gültig. Nach außen werden die i.d.R nicht geroutet.

Genau deswegen ist es auch sinnfrei die zu aktivieren. Die werden im Internet NICHT geroutet und entsprechen quasi den IPv4 RFC 1918 Privaten IPs.
Da es bei IPv6 aber kein NAT und damit auch keine privaten Adressen gibt ist es vollkommen überflüssig und auch kontraproduktiv ULAs zu aktivieren ! Wozu auch wenn man einen v6 Provider hat der einen gültige v6 IP übermittelt ?! (Die 20a.::.. beim TO)
Hier sollte man also immer "...zuweisen solange keine IPv6 Verbindung besteht" klicken !
Alles andere wäre Quatsch.
Der TO geht vermutlich mit der falschen (IPv4) NAT Denke an IPv6 Netze ran und vergisst das es bei v6 kein NAT mehr gibt und er über die Prefix Delegation immer einen öffentlichen v6 Prefix vom Provider bekommt !
Kollege @lcer00 hat also recht: Dringenst was zum v6 Verständnis tun !!: https://danrl.com/projects/ipv6-workshop/

Hallo,

20a... kommt vom Provider (dynamisch), fe80... sind lokal. Wenn die fd00... Adresse vom DHCP der Fritz!Box kommt, dann sollte das auch immer die Gleiche sein.

Gruß,
Jörg

Hallo,

Zitat von @aqui:

Da es bei IPv6 aber kein NAT und damit auch keine privaten Adressen gibt ist es vollkommen sinnfrei ULAs zu aktivieren !

Falsch. Klassisches Szenario ist der PiHole mit einer (statischen) IPv6-ULA-Adresse, die via DHCP verteilt wird. Ich könnte mir sogar vorstellen, den gesamten internen Traffic via IPv6-ULA-Adressen abzufrühstücken. Dafür sind sie schließlich da.

Gruß,
Jörg

Zitat von @aqui:

Der TO sollte also "...zuweisen solange keine IPv6 Verbindung besteht" klicken !
Alles andere wäre Quatsch.

Außer in Testumgebungen, stand bei mir oben aber dabei, iirc.

lks

Zitat von @117471:

Ich könnte mir sogar vorstellen, den gesamten internen Traffic via IPv6-ULA-Adressen abzufrühstücken. Dafür sind sie schließlich da.

In manchen AD-Szenarien sogar notwendig.

lks

Hallo,

Zitat von @Lochkartenstanzer:

In manchen AD-Szenarien sogar notwendig.

Eben. Zumal Du immer davon ausgehen musst, dass auch providerseitig etwas nicht funktioniert. Ich würde die Existenz von ULA-Adressen jedenfalls nicht von externen Einflüssen abhängig machen wollen. Sprich: Ich schalte das immer ein - auch dann, wenn die Fritz!Box eine IPv6-Adresse hat. Was man hat, das hat man.

Gruß,
Jörg

Falsch. Klassisches Szenario ist der PiHole mit einer (statischen) IPv6-ULA-Adresse, die via DHCP verteilt wird.

Ist aber auch so nicht richtig.
Die v6 IP verteilt der Router per SLAAC und über das Setzen des ND-other Management Flags in den RAs werden auch die Provider DNS Server über den Router v6 DHCP verteilt.
So bekommt auch der PiHole seine v6 IP mit dem Provider Prefix aber niemals eine (überflüssige) ULA Adresse.
Es sei denn man lässt den PiHole im Netz als DHCPv6 Server laufen was aber bei dynamischen v6 Prefixes höchst unklug wäre !
ULA Adressen sind völlig überflüssig bei einer gültigen v6 Internet Anbindung und internen FE80:: Link Local Adressen.
Das Lesen des o.a. IPv6 Workshop Buches hilft wirklich...

Zitat von @aqui:

ULA Adressen sind völlig überflüssig bei einer gültigen v6 Internet Anbindung und internen FE80:: Link Local Adressen.

Man will aber nicht immer im lokalen Linksegment "unterwegs" sein. Und v6-Adressen vom Provider sind nur dann "da", wenn auch die Internetverbindung da ist.

lks

OK, wenn diese 2 Bedingungen zusammenkommen dann hast du natürlich Recht.

Hallo

Zitat von @Lochkartenstanzer:

Zitat von @aqui:

ULA Adressen sind völlig überflüssig bei einer gültigen v6 Internet Anbindung und internen FE80:: Link Local Adressen.

Man will aber nicht immer im lokalen Linksegment "unterwegs" sein. Und v6-Adressen vom Provider sind nur dann "da", wenn auch die Internetverbindung da ist.

lks

Also wenn man die ULAs intern routet, muss der Client die richtige IPv6-Absenderadresse wählen (nämlich die ULA) sonst wird es unter Umständen nix. Wobei, bei Netzwerken mit nur einer öffentlichen IP ist das auch egal.

Grüße

lcer

Um es mal auf den Punkt zu bringen:

Wenn man v6 verwendet und nicht nur in einem Netzwerksegment unterwegs ist, muß man, wie auch schon bei IPv4, die Infrastruktur gut planen. Insbesondere dann, wenn es mehr als nur zwei Segmente werden und es auch Segmente gibt, die keine Internet-Konnektivität haben sollen (oder nur über Proxies). In solchen Szenarien wird man in der Regel ULAs haben wollen.

In "Standardnetzen" mit einem Segment und Internetkonnektivität sollte man an ULAs keine Engergie verschwenden.

lks

In solchen Szenarien wird man in der Regel ULAs haben wollen.

So pauschal einfach kann man das aber auch nicht sagen. Deine Annahme ist ein einfacher Consumer Account für Heimnutzer, der einen wechselnden v6 Prefix hat. Das wird man aber bei größeren, segmentierten Netzen nicht machen, dann dann wird ein vernünftiger Netzwerker sich immer einen festen Prefix zuteilen lassen. Damit sind ULAs dann überflüssig.
Aber auch bei segmentierten v6 Netzen mit dynamischen Prefixes ist das nicht zwingend. Man verteilt dann den dynamisch erteilten Prefix (in der regel /56) im internen Netz selber per Prefix Delegation und einer verkleinerten Maske an seine internen Router weiter. Letztlich ist das aber unrealistisch da schwer managebar. So lässt sich kein vernüftiger Betrieb mit Servern oder Geräten die auf feste Adressen angewiesen sind langfristig realisieren.
Eine feste statische Zuordnung ist dann logischerweise immer das Mittel der Wahl für solche Netze.
ULAs braucht man eigentlich nur wenn man Spielen oder Testen will in einem isolierten Netz ohne Internet Connectivity.
Aber auch da könnte man sich auch Testadressen aus aktuellen nicht vergebenen Netzen außerhalb des offizellen 2000::/3 Blocks vergeben. Ist ja alles isoliert und nicht genutzt.

Bei v4 nutzen viele wider besseren Wissens ja auch offiziell registrierte IPs.

Hallo,

Zitat von @aqui:

Deine Annahme ist ein einfacher Consumer Account für Heimnutzer,

Was denkst Du, worüber wir hier, in diesem Thread, reden? Um ein pragmatisch gestricktes SOHO-Netz oder um die Infrastruktur von Siemens Nixdorff?

Die Kunst eines guten(!) IT'lers ist letztendlich, auf den Kunden einzugehen und die gesamte Komplexität für ihn zu übersetzen und eine für ihn sinnvolle Lösung zu finden. Wer das nicht beherrscht, ist letztendlich nicht mehr Wert als Google...

Zusammenfassung meines Vorschlages: ULA aktivieren und auch dann, wenn der Router IPv6 bekommt und alles, was IPv6 sprechen möchte, an die ULAs kleben. Ich behaupte mal, dass das zu einem verlässlichen und sicheren Szenario führt, dass jeglichen Anforderungen des TO gerecht wird.

Gruß,
Jörg

P.S.: Ich nutze auch öffentliche Netze für private Zwecke. Z.B. die, die der NSA gehören

Um ein pragmatisch gestricktes SOHO-Netz oder um die Infrastruktur von Siemens Nixdorff?

Gibts die überhaupt noch ?!

Auch bei einem einfachen SoHo Netz kann man formlos und immer kostenlos bei jedem Provider einen festen v6 Prefix beantragen. Sollte man bei Segmentierungs Gelüsten dann auch immer machen.
95% aller SoHo Netze sind aber eh ein einziges dummes, flaches Segment wo sich die Frage dann eher gar nicht stellt.
Fazit:
Auch im einfachen SoHo Netz von Klempnermeister Röhricht reicht ein Segment und keine ULAs bei aktivem Dual Stack...

Mein Vorschlag:
ULAs nur dann aktivieren wenn kein v6 Dual Stack Internet Zugang aktiv ist. Selbst AVM bevorzugt dieses Setup was man ja mit dem "empfohlen" klar macht.
Da bringen ULAs ja gerade gar nichts und sind dann kontraproduktiv, weil sie gerade das Netz unnötig für einen Laien verkomplizieren und man sich so wieder von der von dir zu Recht angesprochenen sinnvollen Lösung weit entfernt.
Zwingend ULAs benötigt er eigentlich nur wenn er ohne v6 Internet spielen will. Dann muss er aber auch erst gar nicht den v6 Zugang auf seiner FritzBox aktivieren !
Die Adress Design Geschmäcker sind halt verschieden...

Mach Dich etwas besser mit IPv6 vertraut, z.B. hier

Grüße

lcer

Dieser Link wird ja ständig gepostet, so nötig das Ding zu vermarkten?

Der Output von ifconfig -a lautet:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.58 netmask 255.255.255.0 broadcast 192.168.178.255
inet6 2a02:810d:903f:e1b8:7c38:59cf:3352:3ba9 prefixlen 64 scopeid 0x0<global>
inet6 fe80::1565:4931:6445:f226 prefixlen 64 scopeid 0x20<link>
ether dc:a6:32:0a:75:3a txqueuelen 1000 (Ethernet)
RX packets 265820 bytes 63656753 (60.7 MiB)
RX errors 0 dropped 2 overruns 0 frame 0
TX packets 213699 bytes 33641629 (32.0 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 26148 bytes 4627327 (4.4 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 26148 bytes 4627327 (4.4 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
wlan0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
ether 76:74:24:ec:4d:e0 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Mittlerweile habe ich die ULA Zuweisung auf „ULA zuweisen solange keine Internet Verbindung besteht“ zurückgestellt.

Uff ich merke schon das IPV6 Thema ist deutlich komplexer als IPv4.
Verstehe ich das jetzt richtig,
Diese 2... Adressierung ist die, über die der Client extern erreichbar ist.
Die fe80... ist die lokale Adressierung des Clients und die fd00... ist ULA Adresse.
Es gibt also keinen einfach weg, ähnlich wie bei IPV4 einen Haken (immer die gleiche Adresse zuweisen), zu setzen und immer die selbe lokale fe... Adressierung zu erhalten?
Mmh vielleicht sollte ich dann die IPv6 Unterstützung wieder deaktivieren, bisher hat es ja auch ohne funktioniert.
Allerdings habe ich mir nun diverser Berichte und Threads durch gelesen, dort war immer von Einbußen bei Deaktivierung die Rede. Das möchte ich natürlich auch nicht :/

PS: ich danke euch vielmals für eure Unterstützung!

Hallo

Zitat von @clipse:

Uff ich merke schon das IPV6 Thema ist deutlich komplexer als IPv4.
Verstehe ich das jetzt richtig,
Diese 2... Adressierung ist die, über die der Client extern erreichbar ist.
Die fe80... ist die lokale Adressierung des Clients und die fd00... ist ULA Adresse.

Genau.

Es gibt also keinen einfach weg, ähnlich wie bei IPV4 einen Haken (immer die gleiche Adresse zuweisen), zu setzen und immer die selbe lokale fe... Adressierung zu erhalten?

Doch. Du kannst auch bei IPv6 feste Adressen zuweisen, und dann gibt es da noch dhcpv6, aber das läuft auch etwas anders als die v4 Variante.

Mmh vielleicht sollte ich dann die IPv6 Unterstützung wieder deaktivieren, bisher hat es ja auch ohne funktioniert.

kannst Du, aber mit IPv6 läuft es doch auch oder?

Allerdings habe ich mir nun diverser Berichte und Threads durch gelesen, dort war immer von Einbußen bei Deaktivierung die Rede. Das möchte ich natürlich auch nicht :/

Einbußen hast Du, wenn nich durchgängig IPv6 verfügbar ist. Wenn der Client vom DNS-Server sowohl eine IPV4 als such eine IPv6 Adresse als Antwort bekommt, versucht er normalerweise zuerst den Server per IPv6 zu kontaktieren, wenn am Client IPv6 aktiviert ist. Wenn dann zum Beispiel der Router kein IPv6 kann, bleibt die Anfrage hängen, der Timeout wird abgewartet und erst dann erfolgt der Fallback auf IPv4. Das kostet Zeit.

PS: ich danke euch vielmals für eure Unterstützung!

gerne

Grüße

lcer

Dieser Link wird ja ständig gepostet, so nötig das Ding zu vermarkten?

Nein, denn das gibt es kostenlos wie du ja sicher selber siehst und die Art und Weise deiner Fragen zeigen das diese Lektüre für dich sehr empfehlenswert ist !

Uff ich merke schon das IPV6 Thema ist deutlich komplexer als IPv4.

Nein, nicht wirklich ! Nur die Adressen sind ein klein wenig länger. Der Rest ist bis auf etwas mehr ICMP aber völlig identisch.

PS: ich danke euch vielmals für eure Unterstützung!

Immer gerne...

Bitte dann auch
How can I mark a post as solved?
nicht vergessen !

Zitat von @lcer00:

Es gibt also keinen einfach weg, ähnlich wie bei IPV4 einen Haken (immer die gleiche Adresse zuweisen), zu setzen und immer die selbe lokale fe... Adressierung zu erhalten?

Doch. Du kannst auch bei IPv6 feste Adressen zuweisen, und dann gibt es da noch dhcpv6, aber das läuft auch etwas anders als die v4 Variante.

Ja aber wie? Oder habe ich das überlesen?

Den Workshop werde ich mir am Wochenende mal durchlesen!

Sollte ich dhcpv6 in der FritzBox aktiviert oder deaktiviert lassen?

Wenn du einen Dual Stack Provider hast lass es ruhig aktiviert. Langfristig gesehen wird es alles auf IPv6 migrieren ! Spätestens wenn der 5G Ausbau großflächig anrollt. 5G basiert ausschliesslich auf v6.
Es ist also nicht falsch beides aktiv zu haben.

German Question Protocols Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments