117471
Goto Top

IPv6 "Einarbeitungsbastelei": Präfix Delegation Range für 48er Subnetz (Cisco AccessPoint hinter pfSense)

Hallo,

der Papa lernt gerade "learning by doing" IPv6. Aus diesem Grunde möchte ich Eingangs meine Erkenntnisse vorstellen und würde mich freuen, wenn Ihr das hinterfragt / bestätigt.

Daheim habe ich eine Fritz!Box 6360 von Kabel Deutschland. Diese stellt mir ein knauseriges /62 Netz zur Verfügung, welches momentan so aussieht:
2a02:8109:1640:5a54::/62

Daraus schlussfolgere ich, dass ich vier /64 Netze habe:
  • 2a02:8109:1640:5a54::/64
  • 2a02:8109:1640:5a55::/64
  • 2a02:8109:1640:5a56::/64
  • 2a02:8109:1640:5a57::/64

Ich meine gelesen zu haben, dass die Fritz!Box die ersten beiden Netze für interne Zwecke (z.B. das LAN) verwendet. Mit der pfSense fordere ich also ein /63 Präfix an und erhalte auf der WAN-Schnittstelle zwei der /64 Netze:
  • 2a02:8109:1640:5a56::/64
  • 2a02:8109:1640:5a57::/64

Auf der LAN-Schnittstelle habe ich die Prefix mit der ID 0 ausgewählt. Letztendlich habe ich dann folgendes Netz auf dem LAN:
  • 2a02:8109:1640:5a56::/64

Das lässt sich verifizieren. Die pfSense zeigt in der Übersicht tatsächlich Adressen aus den Bereichen an:
  • WAN liegt in 2a02:8109:1640:5a54::/64
  • LAN liegt in 2a02:8109:1640:5a56::/64

Der nächste Schritt in Richtung Client wäre dann DHCPv6/RA. Hier habe ich einen Range von :: bis ::ffff:ffff:ffff:ffff angegeben.

Auf dem Client bekomme jetzt tatsächlich eine Adresse aus dem Netz 2a02:8109:1640:5a56::/64 und http://ipv6-test.com/ gewährt mir schon mal fette 17 von 20 Punkten (wir haben gerade ein internes "Rennen", wer zuerst auf 20 kommt^^).

Habe ich das soweit alles korrekt verstanden / wiedergegeben?

Jetzt geht es nämlich noch einen Schritt weiter. Ich habe an der LAN-Schnittstelle einen Cisco RV110w Access Point als NAT-Router. D.h., der Cisco sieht die pfSense (als DHCP-Client) auf WAN und spannt ein zusätzliches LAN / WLAN mit eigenem DHCP-Server auf.

Hier möchte ich natürlich auch IPv6 haben face-smile

Meinem bisherigen Verständnis folgend müsste ich jetzt also einen Teil des Netzes, welches die pfSense hat, per DHCP zum Cisco schubsen. Ein /48 wäre von der Anzahl der Adressen her vollkommen ausreichend (ein iPhone, eine Apple Watch, in iPhone, ein Windows-Notebook, ein Macbook und eine Personenwaage).

Allerdings meine ich gelesen zu haben, dass man alles unter /64 nicht mehr aufteilen soll - also lieber die Finger von dem Gedanken lassen?

Falls es dennoch sinnvoll / möglich ist, ein /48 zu delegieren: Wie würden dann die Einträge für den "Prefix Delegation Range" im DHCPv6/RA von der pfSense aussehen? So "rein pragmatisch" kommen mir folgende Konstrukte in den Sinn:
  • von :: bis ::ffff:ffff:ffff:ffff:ffff
  • von :: bis ::ffff:0000:0000:0000:0000

Irgendwie habe ich das Gefühl, dass ich auf den Holzweg gerate. Ergo: Ich lasse mich gerne eines Besseren belehren! face-smile

Gruß,
Jörg

Content-ID: 365015

Url: https://administrator.de/forum/ipv6-einarbeitungsbastelei-praefix-delegation-range-fuer-48er-subnetz-cisco-accesspoint-hinter-pfsense-365015.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

aqui
aqui 16.02.2018, aktualisiert am 17.02.2018 um 17:10:04 Uhr
Goto Top
Habe ich das soweit alles korrekt verstanden
Jein !
99% alles korrekt aber die DHCP Range ist falsch !
Verglichen mit einem IPv4 24 Bit Prefix hast du dann eine Range von .0 bis .255 freigegeben.
Mal abgesehen davon das die .0 und auch die .255 respektive :: und ::ffff:ffff:ffff:ffff gar keine gültigen Endgeräte IP Adressen sind würde auch kein Netzwerker den gesamten IP Bereich des Subnetzes freigeben als DHCP. Zumindest müsste minimal ja die IP Adresse des Router selbst zwingend excluded werden damit es hier nie zu einer Überschneidung kommt.
Da ist wohl die Euphorie mit den 17 Punkten etwas zu doll mit dir durchgegangen.
Das solltest du also besser nochmal auf plausible Werte korrigieren.
DHCPv6 wäre auch nicht zwingend nötig, denn auch per SLAAC würdest du bei IPv6 gültige IPs bekommen.
dass man alles unter /64 nicht mehr aufteilen soll
Das ist richtig. Wenigstens nicht bei Global Unicast Adressen, da das etablierter Standard ist obwohl es technisch möglich wäre.
Falls es dennoch sinnvoll / möglich ist, ein /48 zu delegieren:
Wie sollte das techisich gehen wenn du nur ein /62 vom Provider bekommst ??? Das wäre ja unmöglich daraus ein /48 zu machen. Bei v4 kannst du auch nicht aus einem /24 ein /16 machen.

Sehr gute Literatur dazu ist:
https://www.amazon.de/IPv6-Address-Planning-Designing-Future/dp/14919027 ...
und auch
https://www.amazon.de/dp/1547047380/ref=sxbs_sxwds-stvp_1?pf_rd_m=A3JWKA ...
Die Anschaffung beider Bücher lohnt.
LordGurke
Lösung LordGurke 16.02.2018 um 18:59:31 Uhr
Goto Top
Zitat von @aqui:
Mal abgesehen davon das die .0 und auch die .255 respektive :: und ::ffff:ffff:ffff:ffff gar keine gültigen Endgeräte IP Adressen sind würde auch kein Netzwerker den gesamten IP Bereich des Subnetzes freigeben als DHCP. Zumindest müsste minimal ja die IP Adresse des Router selbst zwingend excluded werden damit es hier nie zu einer Überschneidung kommt.

Das ist doch Quatsch.
a) Gibt es die Einschränkung mit Netzwerk- und Broadcast-Adresse (um mal bei der IPv4-Analogie zu bleiben) bei IPv6 nicht und
b) Muss der Router sich nicht in dem Präfix befinden, welches er bereitstellt. Wenn du per DHCPv6 die Adressen stateful verteilst musst du ja weiterhin die Defaultroute per RA announcen. Und da steht der Router dann mit seiner Link-Local-Adresse (fe80...) drin.
117471
117471 16.02.2018 aktualisiert um 19:56:55 Uhr
Goto Top
Hallo,

ich wüsste nicht, was das mit Freitags-Trollerei bzw. Fischen zu tun hat? Also kann ich den Bereich so stehen lassen?

Woher kommen denn die Adressen bei SLACC? Von der vorgelagerten Fritz!Box?

Ich kann momentan nicht genau nachvollziehen, was für SLACC spricht und kann auch nicht nachvollziehen, welche Vorteile eine Eingrenzung des Adressbereiches hat. Da die pfSense eh das gesamte /64 bekommt, gibt es doch eh keine anderweitige Verwendung, oder?

Was mache ich denn mit dem zweiten /64, dass ich mit einer /63 Anforderung über das Präfix 1 anfordern könnte? Liegt das jetzt brach, oder wäre es legitim, das z.B. auf eine anderen Router zu ziehen?

Den Cisco habe ich übrigens in den Bridgemodus versetzt.

Noch eine Frage: http://ipv6-test.com/ sagt mir, dass ich nicht via ICMPv6 erreichbar bin. Das allerdings auch dann, wenn ich mein iPad direkt auf der Fritz!Box anmelde und für das iPad den IPV6 Filter komplett abschalte. Bevor ich da jetzt weitersuche: Wie dramatisch ist das denn, habe ich da als Kabel Deutschland Kunde überhaupt eine Chance oder verlaufe ich mich schon wieder?

Gruß,
Jörg
aqui
aqui 17.02.2018 aktualisiert um 17:11:30 Uhr
Goto Top
Stimmt, das mit dem v6 Broadcast war die Hitze des Gefechts und ist Unsinn, da existiert bei v6 natürlich nur Multicast. Sorry für den Fauxpas: http://ipv6friday.org/blog/2011/12/ipv6-multicast/
Die Netzwerk Notation mit dem all zero Hostteil gibt es aber sehr wohl noch bei v6. Also nur halb falsch.
Und aus einem /62er Prefix kann man keinen /48 machen.
117471
117471 17.02.2018 um 18:50:44 Uhr
Goto Top
Hallo,

und wie „verwurste“ ich jetzt das letzte/64? face-smile

Gruß,
Jörg