ithg13
Goto Top

IPv6 mit mehreren Uplinks, Addressierung von Netzwerkkomponenten und Routing

Hallo Leute,

die Einführung von IPv6 haben wir zugunsten einiger anderer Projekte seit langem etwas schleifen lassen. Mittlerweile würde wir die Implementation gerne angehen . Nach einigen Seiten in Sachbüchern, Foren und Online-Artikeln dachte ich mir: "Versuchs doch einfach mal - am 'lebenden Objekt' lernst du am besten". Kurzum habe ich die IPv6-Unterstützung an unserer Firewall aktiviert und losgelegt.

Es gab grundsätzlich keine Probleme. Aufgrund der mangelnden Erfahreungen hätte ich aber dennoch ein paar Fragen die sich auf die Verwendung von zwei ISP-Uplinks, die Server/Router-Addressierung und das Routing im "internen Netz" beziehen.

1) Mehrere ISP-Uplinks

zeichnung1

Seit eh und je haben wir zwei Anschlüsse der Telekom. Es ging hier weniger um Redundanz sondern viel eher um Performance. Begonnen hat der "Spaß" mit der steigenden vernetzung der IT und dem mangelden Ausbaugrad der Internetanschlüsse an unserem Standort. Zunächst konnte die Telekom nur 16.000/2.000 ADSL liefern, später dann 50.000/10.000 VDSL und jetzt schließlich 250/40.000 SVDSL. Zu den 16.000er-Zeiten haben wir uns einfach zwei Leitungen bestellt. Durch Policy-Based-Routing haben wir ausgehenden Traffic auf die einzelnen Uplinks verteilt. IPSec-VPNs haben wir ebenfalls händisch entweder über den einen oder den anderen Anschluss laufen lassen. Diesem "Konzept" sind wir bis heute treu geblieben. Ich weiß, die Sache hätte man auch automatisiert machen können, aber die Aufteilung von Hand hat uns damals ebenfalls zum Ziel gebracht - durch PAT/NAT in Zusammenspiel mit privater/öffentlicher Adressierung ist diese "Multi-Uplink-Konfig" im IPv4 Zeitalter relativ einfach umzusetzen (finde ich zumindest).

IPv6 lässt PAT/NAT verschwinden und führt zu transparentem Routing und direkter Adressierung. Die ISPs weisen /56 Präfixe zu die dann in eigene Subnetze gegliedert werden können. Un unserem Fall erhalten wir, durch die beiden Uplinks, auch zwei Präfixe zugewiesen. Uplink1=2003:b:16:b300::/56 und Uplink2=2003:b:200b:7600::/56.

Schön und gut. Zwar können bei IPv6 einem Adapter mehrere Adressen zugewiesen werden, aber unsere Firewall lässt auf dem internen Interface nur eine Präfix-Bekanntmachung zu - Ich muss also wählen: Lasse ich den Präfix von Uplink1 verteilen oder den von Uplink2.

Gehen wir davon aus, dass ich mich für den Präfix von Uplink1 entschieden habe und meine Firewall lässt dieses Präfix bekannt machen. Im Policy-Based-Routing habe ich definiert, dass HTTP-Traffic aber über Uplink2 "rausgeschossen" wird. Sofern die Telekom diese Pakete überhaupt routet, müsste die Rückantwort ja aufgrund der Absendeadresse am anderen Anschluss wieder ankommen. Sofern diese Kommunikation überhaupt zustande kommt, finde ich diese Konstellation etwas unglücklich denn der Uplink1 ist ja trotzdem immer involviert.

Habe ich hier was grundlegend nicht verstanden und kann mich jemand des besseren belehren?

2) Server/Router-Adressierung

zeichnung2

Bleiben wir beim genannten Beispiel mit der Firewall und den beiden Uplinks. Die Firewall sitzt am Rand des Netzwerks und sichert die Kommunikation mit der Außenwelt ab. Intern ist diese Firewall über ein Transfer-Netz mit einem Layer3-Switch verbunden. Dieses Switch übernimmt das interne Routing (die FW ist das Standardgateway für das Switch). Das Switch gliedert das Netz in die VLANs Clients A, Server B, Sonstige C. Der zugwiesene Präfix lässt 8 Bit zum Subnetting übrig. Das Transfernetz erhält die Subnetzadresse 2003:b:16:b301::/64 wobei das FW-Interface die ::1 und das Switch-Interface die ::2 erhält. Im Switch lasse ich das IPv6 Std-Gateway auf ebendiese, vom Präfix abgeleitete, Global-Unicast-Adresse der FW zeigen. Den übrigen VLAN-Interfaces des Switchs werden ebenfalls mit, vom Präfix abgeleiteten, Subnetzen und dazu passenden festen IP-Adressen versehen. In den jeweiligen VLANs würde dann per SLAAC und DHCPv6 die Adressierung der Clients vollzogen werden. SLAAC konfiguriert das Std-GW der Clients Standardmäßig mit der Link-Local-Adresse des Routers bzw. in diesem Fall des VLAN-Interfaces.

Wie sieht es bei der Adressierung von Servern aus? AD, Exchange und so weiter -> Manuell/Fest vergebene Global-Unicast-Adressen oder SLAAC mit DHCPv6? Bei manueller vergabe muss das Standardgateway dabei auch, wie bei SLAAC, die Link-Local-Adresse sein oder gebe ich dort ebenfalls die Global-Unicast-Adresse des Routers ein?
Die Verwendung von Global-Unicast-Adressen und die manuelle/feste Vergabe von Adressen an Routern/VLAN-Interfaces ist aber an sich korrekt, oder?

3) Routing

zeichnung3

Auch hier: bleiben wir beim in 2) geschilderten Szenario. Allerdings kommt hier noch eine dritte Instanz dazu. Konkret: Wir haben ein Tochterunternehmen über eine eigene Glasfaser-Leitung an uns angeschlossen. Das Tochterunternehmen hat einen eigenen Internet-Anschluss mit eigener Firewall. Die Firewall des Tochterunternehmens hat ebenfalls noch ein "Bein" im Transfernetz. In der IPv4-Welt haben wir einfach eine Route auf deren privates IPv4 Netz gesetzt. In IPv6 wird ja auch deren Netz über Global-Unicast-Adressen von überall erreichbar sein (Sofern die FW mitspielt). Allerdings macht es ja wenig Sinn über das Internet zu routen, wenn eine direkte Glasfaser-Verbindung vorhanden ist.

Gehe ich richtig in der Annahme, dass man in so einem Fall am Router (hier das Switch) einfach eine feste Route für den IPv6-Präfix des Tochternuternehmens setzt, der dann alles über das Transfernetz direkt zur Firewall des Tochternuternehmens schickt?

---

Ich hoffe ich konnte meine Probleme nachvollziehbar rüber bringen und bin gespannt auf eure Antworten...

Vielen Dank im Voraus!

Content-ID: 400437

Url: https://administrator.de/contentid/400437

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

aqui
aqui 05.02.2019 um 11:00:07 Uhr
Goto Top
Versuchs doch einfach mal - am 'lebenden Objekt' lernst du am besten".
Ist auch so... face-wink
erhalten wir, durch die beiden Uplinks, auch zwei Präfixe zugewiesen.
Bedenke immer das das KEINE festen Prefixe sind ! Die ändern sich zyklisch. Es sei denn ihr habt einen Business Anschluss und bekommt per Prefix Delegation immer einen festen /56er Prefix, was aber ungewöhnlich ist.
PD machen die Provider in der Regel auf Consumer Anschlüssen, da diese ja nicht mit festen IPv6 Netzen arbeiten müssen. Haben sie bei IPv4 ja auch nicht durch die wechselnden v4 Provider IPs.
Kurzum ist in einem Firmenumfeld eine IPv6 Adressierung mit dynamischen v6 Netzen per PD unbrauchbar sofern du auch von außen erreichbar sein willst ! Siehe dazu auch hier:
https://www.heise.de/select/ct/2018/19/1536650923067816
für den Präfix von Uplink1 entschieden habe und meine Firewall lässt dieses Präfix bekannt machen.
Etwa statisch ?? Das wird dann in die Hose gehen wenn dein Provider dir per PD einen neuen Prefix zuweist.
Du musst über weitere DHCP Prefix Delegation selber diesen dir dynamisch zugewiesenen Bereich weitergeben. Klar, denn der Provider routet immer nur das Subnetz zu dir was er dir dynmiasch per PD gegeben hat.
Wenn du das mit etwas statischem "übermangelst" jast du irgendwann v6 IP Adressen die nicht mehr stimmen, das klappt also nicht.
Sofern die Telekom diese Pakete überhaupt routet,
Wie kommst du da drauf das sie das NICHT machen würde ?? Mit deinen IPv4 Paketen macht sie das ja auch...?!
Dieses Switch übernimmt das interne Routing
Der Switch ist ein Mann !
Klassisches, stinknormales Layer 3 Konzept auf dem Core Switch also...
Deinen IPv6 Adressierung ist vom Prinzip aus absolut korrekt und richtig. Allerdings hast du vermutlich hier wieder die PD Dynamik übersehen. Denn hast du diese Netze statisch eingetragen, hast du ein Problem wenn der Provider diese ändert ! Du müsstest alles neu konfigurieren auf den dann neuen per PD zugewiesenen Prefix.
Mal ganz davon abgesehen, das der Prefix der vom anderen Link kommt routingtechnisch ins Nirwana geht. Auch nicht besonders gut...
Wie sieht es bei der Adressierung von Servern aus?
Warum sollte es hier anderes sein als bei IPv4 ?
Auch hier gilt das Server, und Infrastruktur immer feste statische IPs bekommen sollte. Das gilt dann auch für beide IP Versionen.
und die manuelle/feste Vergabe von Adressen an Routern/VLAN-Interfaces ist aber an sich korrekt, oder?
Ja, das ist korrekt.
Allerdings kommt hier noch eine dritte Instanz dazu.
Auch hier hast du Adress technisch alles richtig gemacht. Auch die statische Route ist richtig sofern du intern immer statisch routest und keine dynamischen Routing Protokolle wie OSPFv6 oder RIPng benutzt.

Dein Konzept krankt daran das du von deinem Provider keinen festen IPv6 Prefix beantragt hast. Dadurch bekommst du und das Tochterunternhemen immer wechselnde IP Prefixe per PD.
Man muss dich sicher nicht fragen wie du sowas auf einer Firewall abbilden willst ??
Gut es gibt mittlerweile FW und auch Router Firewalls die damit umgehen können. Siehe hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Aber ein granulares Regelwerk auf einer Firewall ist mit dynamschen sich ändernden Netzen so schwer umzusetzen.
Fazit:
Feste IPv6 Adressen für euch und das Tochterunternehmen vom Provider beantragen. So wie sich das anhört arbeitest du da ja mit Consumer v6 Anschlüssen.
ITHG13
ITHG13 05.02.2019 aktualisiert um 16:01:28 Uhr
Goto Top
Schon mal vielen Dank für die Antwort!

Wir haben zwei Business-Anschlüsse und laut Telekom auch feste Prefixe (Wenn eine statische IPv4 gebucht wurde ist anscheinend auch auch fester IPv6-Prefix mit an Bord). Von daher bleibt der Prefix solange wie wir diesen Anschluss besitzen.

In Enterprise-Umgebungen empfhielt das BSI die Verwendung von Unique-Local-Adressen. Für den Zugriff auf das Internet soll dann ein/mehrere Proxy(s) sorgen. Diese Lösung verletzt zwar wieder den Ende-zu-Ende-Gedanke aber zur Zeit ist das bei uns im IPv4-Umfeld auch so - die FW macht alles "dicht" und lässt nur den Proxy auf 80/443/etc raus. Sollten dann doch noch Geräte einen "nativen" Zugang zum Internet benötigen, werden die halt in ein eigenes VLAN verfrachtet und mit den GUAs vom Provider versorgt - hauptsache die alten v4 Krücken wie z.B. (P)NAT sind weg. Dieses Konzept hört sich erst einmal ziemlich sinnvoll an...so löst man sich doch ein wenig von der Willkür des Providers (Sollte die von Aqui angesprochene Neuzuweisung des Prefix doch mal auftreten, betrifft es halt nur die paar Geräte mit nativen Internetzugang) und die Sicherheit ist durch den Proxy sowie die Verwendung von nicht global gerouteten ULA's etwas erhöht, oder was meint ihr?

---
Was du mir jetzt nicht beantwortet hast (vielleicht war meine Frage auch einfach doof gestellt): Wie bekomme ich denn das Policy Based Routing mit zwei ISP-Uplinks hin? Man könnte beide Prefix announcen, sodass die Geräte einfach zwei globale Adressen haben. Aber das bringt einen ja nicht weiter, denn die Entscheidung was wie geroutet wird, trifft logischerweise die Firewall wenn das Paket schon unterwegs ist.
aqui
aqui 06.02.2019 um 15:26:50 Uhr
Goto Top
und laut Telekom auch feste Prefixe
OK, dann nehme ich oben alles zurück mit den dynamischen PDs und behaupte das Gegenteil ! face-smile
Das solltest du allerdings absolut wasserdicht klären, da deine v6 Connectivity davon abhängt !
Dann sind natürlich deine v6 Adressierungen absolut korrekt oben.
Wie bekomme ich denn das Policy Based Routing mit zwei ISP-Uplinks hin?
Guckst du hier:
Cisco Router 2 Gateways für verschiedene Clients
Das gilt natürlich identisch so auch für IPv6.
Man könnte beide Prefix announcen
Du meinst intern, im internen Netz ??
denn die Entscheidung was wie geroutet wird, trifft logischerweise die Firewall
So ist es. Dann entscheide dich für einen Prefix und nutze den. Besser wäre natürlich dann ein Balancing Router oder Firewall mit 2 WAN Ports und entsprechenden PBR bzw. Balancing Regeln.
Philipp711
Philipp711 17.10.2019, aktualisiert am 18.10.2019 um 08:34:13 Uhr
Goto Top
Oh man ist ja schon langer her aber ich habe diesen Beitrag völlig vergessen...Schande über mein Haupt, sorry! Hoffe du/ihr könnt mir noch weiterhelfen, weil ich mir auch endlich mal wieder Gedanken darüber machen kann...

Zitat von @aqui:
.
Wie bekomme ich denn das Policy Based Routing mit zwei ISP-Uplinks hin?
Guckst du hier:
Cisco Router 2 Gateways für verschiedene Clients
Das gilt natürlich identisch so auch für IPv6.

Okay, aber so ganz blicke ich da bei ipv6 nicht durch. Bei IPv4 wird ja nach der Routing-Entscheidung durch das PBR (z.B. Schicke http über Uplink2 raus) mittles NAT die interne IP durch die öffentliche IP des ausgehenden Uplink2 getauscht. Das heißt ja, dass diese „genattete“ Adresse auch als Antwortadresse vom Ziel verwendet wird. Es geht am Uplink2 raus und kommt auch genau dort wieder an…

Bei IPv6 ist das ja alles transparent...entscheide ich mich beispielsweise für den Prefix von Uplink1 (und verteile auch nur diesen im Netz; im Prinzip so wie du unten angemerkt hast) und definiere auch hier im PBR, dass z.B. http über uplink2 raus soll, so steht ja mangels NAT immer noch die Absende-Adresse aus dem Prefix-Bereich von Uplink1 im IP-Header, sodass die Rückantwort ja theoretisch auch über Uplink1 wieder rein kommt. Das widerspricht ja so ein wenig dem Sinn des PBR...so wäre ja Uplink1 bei jeder Kommunikation irgendwie im Boot (anders wie bei ipv4)...das ist doch irgendwie blöd wenn’s um Lastenausgleich etc. geht

Man könnte beide Prefix announcen
Du meinst intern, im internen Netz ??

Jap…

denn die Entscheidung was wie geroutet wird, trifft logischerweise die Firewall
So ist es. Dann entscheide dich für einen Prefix und nutze den. Besser wäre natürlich dann ein Balancing Router oder Firewall mit 2 WAN Ports und entsprechenden PBR bzw. Balancing Regeln.

Siehe oben...

P.S.: Sorry für die Verwirrung mit den Accounts...ich habe auf den Beitrag meines Kollegen geantwortet (wir haben den damals zusammen geschrieben) und gedacht es wäre meiner...
aqui
aqui 18.10.2019 um 11:33:19 Uhr
Goto Top
Philipp711
Philipp711 18.10.2019 aktualisiert um 13:17:25 Uhr
Goto Top

Hui, vielen Dank!

Verstehe ich das richtig, dass mir mein ISP (z.B. Telekom) dann für beide Anschlüsse einen identischen Präfix zuweisen bzw. routen muss?

Was meinst du in dem verlinkten Beitrag mit „Präfix Delegation ist das Problem“? -> Sofern meine Annahme mit der Anweisung an den ISP über beide Anschlüsse einen Präfix zu Routen richtig wäre, würde dieses Präfix dann nicht vom ISP per PD an meinen Router verteilt, sondern müsste fest per Hand vergeben werden?