Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst IPv6 Multi-WAN Load Balancing ohne NAT?

Mitglied: dkweb19

dkweb19 (Level 1) - Jetzt verbinden

18.10.2019 um 00:00 Uhr, 318 Aufrufe, 5 Kommentare

Hallo zusammen :D

Ich bin mit dem Aufbau und der Funktion kleinerer einfacher IPv6-Netze und den IPv6-Grundlagen vertraut.

Was ich bisher allerdings noch nie versucht habe (bzw. konnte mangels zweiter WAN-Leitung) war die Realisierung eines Load Balancing über zwei WAN-Leitungen (sowohl IPv4 als auch IPv6). Ich gehöre jedoch seit letzten Monat zum kleinen glücklichen Teil der Bevölkerung, der einen FTTH-Anschluss hat und habe parallel bis April auch noch meine alte DSL-Leitung. Da kann ich mir die Chance nicht entgehen lassen, die beiden auch zu nutzen. Beide Leitungen verfügen über eine Dual-Stack Lite Anbindung und erhalten jeweils ein Global durchgeroutetes /56 IPv6-Präfix.

Alle folgenden Grafiken und Gedanken sind erstmal nur Theorie, ich muss mir erst noch einen Semi-Profi Router besorgen, mit den Fritzboxen werde ich wohl nicht weit kommen. Aber gedanklich und auf dem Papier möchte ich den Aufbau zumindest schon mal grob durchplanen, zumal ich für die IPv6-Lösung noch nicht so recht weiß, wie sich ein IPv6 Multi-WAN Load Balancing realisieren lassen könnte.

Mit IPv4 scheint ein Multi-WAN Load Balancing ja kein großes Problem zu sein mittels NAT und Equal-cost Multipath, das habe ich von der Theorie her verstanden und es gibt auch jede Menge Lehrbeispiele dazu.

Deswegen konzentriere ich mich an dieser Stelle also rein auf IPv6, da finde ich nicht so viel zu diesem Thema und stoße auch logisch nachgedacht auf ein Problem, wenn ich nun versuchen wollen würde ich ein Multi-WAN Load Balancing wie auf IPv4 Basis mit ECMP zu realisieren. Bei IPv6 ist der Einsatz von NAT ja grundsätzlich nicht mehr nötig, auch wenn ich aus eigener Erfahrung weiß, dass es beispielsweise mit ip6tables trotzdem geht. Jedenfalls möchte ich (natürlich nur soweit möglich), auf IPv6 NAT verzichten, denn es scheint keinen so wirklich anerkannten Standard für IPv6 NATs zu geben. Es muss also damit gerechnet werden, dass neuere Layer-7-Protokolle irgendwann in der Zukunft mit einem IPv6 NAT nicht zurechtkommen könnten, weil die Entwickler einfach damit nicht rechnen oder bewusst ignorieren.

Ich habe mal zur Veranschaulichung eine Skizze erstellt, wie ich mir ein IPv6-Netzwerk mit zwei WAN-Leitungen vorstelle:
ipv6_netzwerk - Klicke auf das Bild, um es zu vergrößern

Und die IPv6 Routing Tabelle des Heim-Router mit den beiden Default-Routen:
routing_table - Klicke auf das Bild, um es zu vergrößern

Vom grundsätzlichen Gedankengang her sollte doch ECMP auf dem Heimrouter für IPv6 genauso funktionieren, wie für IPv4. Das Problem sind jedoch die Global-Unicast Adressen des PCs. Er muss ja praktisch immer zwei Global-Unicast Adressen haben, einmal eine aus dem ISP1-Präfix und eine aus dem ISP2-Präfix. Er kann jedoch nicht vorhersehen, über welche der beiden WAN-Leitungen der Router seine IPv6-Pakete routen wird. Das müsste er aber wissen, damit er die korrekte Global-Unicast Adresse als Source einträgt. Die beiden ISP-Router werden ja wohl kaum IPv6-Pakete akzeptieren, die als Source-Adresse eine Adresse eines fremden Präfixes eingetragen haben...

Desto mehr ich darüber ich nachdenke, desto mehr befürchte ich, dass es ohne IPv6 NAT wohl doch nicht geht... Aber noch wehre ich mich gegen diese Vorstellung :D. Vielleicht hat ja jemand eine Idee wie es auch ohne NAT klappen könnte oder hat so etwas sogar schon einmal realisiert
.
Mitglied: clSchak
LÖSUNG 18.10.2019 um 00:07 Uhr
Hi

deine Fritzbox nicht, aber eine pfSense kann es, mit der kannst du auch das LB machen, siehe auch: https://docs.netgate.com/pfsense/en/latest/routing/multi-wan-for-ipv6.ht ... - ist kein Hexenwerk, das kannst auch mit 2 x RasPi machen und das dann im HA laufen lassen, dann hast dort sogar eine Absicherung und der Stromverbrauch ist auch gering.

Gruß
@clSchak
Bitte warten ..
Mitglied: aqui
18.10.2019, aktualisiert um 10:18 Uhr
Hat das einen Grund warum der Thread wechselseitig großen und kleinen Font in einem wilden unverständlichen Mix hat ?!? Eine Freude das zu lesen ist das nicht gerade und der Übersichtlichkeit ist es eher abträglich, aber egal.
Vom grundsätzlichen Gedankengang her sollte doch ECMP auf dem Heimrouter für IPv6 genauso funktionieren, wie für IPv4
Ja, dem ist auch so. Wenn du 2 statische Default Routen hast machen Standard Router mit mehreren Ports immer ein per Session Balancing über diese Default Gateways. Das sollte also jeder Router können der mehrere Interfaces hat wie Mikrotik, Cisco und Co.
Komplette Balancing Systeme können dann zusätzlich mit entsprechenden Policies noch nach TCP/UDP Ports, Adress Ranges, Hosts usw. balancen. Das ist alles bei IPv6 genau so wie bei v4.
Das Problem sind jedoch die Global-Unicast Adressen des PCs.
Nöö, wieso ?
Du machst hier einen Denkfehler und gehst von einem Anschluss aus der mit Prefix Delegation arbeitet. Das ist dein Fehler. Prefix Delegation ist aber in der Tat in so einem Design ein Problem und sollte man deshalb nicht machen.
In so einem Setup sollte man sich immer einen eigenen festen Prefix bzw. v6 Subnetz zuteilen lassen als "sein" Netz und keine Prefix Delegation machen.
Denn im Delegation Fall (und nur dann) hast du Recht. Für dein internes LAN musst du dich entscheiden ob du dann die Delegation von ISP1 oder 2 nimmst. Hast du dann aber ein delegiertes Prefix von 1 kannst du das über 2 nicht routen und andersrum.
Die Delegation ist also dein Problem, keinesfalls aber die Unicast Adressen an sich.
Delegation gibt es aber nur bei den Standard Consumer Anschlüssen. Wenn du wirklich das v6 Netz produktiv mit Servern usw. über 2 Provider nutzt, dann lässt du dir logischerweise immer ein eigenes v6 Subnetz zuteilen !
Bitte warten ..
Mitglied: dkweb19
18.10.2019, aktualisiert um 16:30 Uhr
@aqui
Zitat von aqui:
Nöö, wieso ?
Du machst hier einen Denkfehler und gehst von einem Anschluss aus der mit Prefix Delegation arbeitet. Das ist dein Fehler. Prefix Delegation ist aber in der Tat in so einem Design ein Problem und sollte man deshalb nicht machen.

Das kann ich nicht so ganz nachvollziehen. Ob der DHCPv6-Client auf dem Heimrouter die Adressen auf die Interfaces legt, oder ob ich das per Hand mache sollte doch eigentlich erstmal völlig egal sein?! Aber trotzdem danke für den Tipp, evtl. könnte ich das WAN-Interface zur FTTH-Leitung tatsächlich statisch konfigurieren, da erhalte ich nähmlich ein konstantes /56-Präfix. Am DSL-Anschluss wirds wohl eher nicht klappen, da wechselt es leider bei jeder Neuverbindung.

Trotzdem bringt mich das bei dem Problem mit den Global-Unicast-Adressen nicht wirklich weiter, selbst wenn ich beide WAN-Interfaces statisch ohne DHCPv6-PD und auch das LAN-Interfaces ohne SLAAC konfigurieren würde und dem PC die IPv6-Adresse statisch eintrage, denn...

Zitat von aqui:
Für dein internes LAN musst du dich entscheiden ob du dann die Delegation von ISP1 oder 2 nimmst. Hast du dann aber ein delegiertes Prefix von 1 kannst du das über 2 nicht routen und andersrum.

...ich kann mir wahrlich nicht vorstellen, dass ich meine IPv6-Pakete über ISP2 routen lassen kann, wenn diese als Source-Adresse eine IPv6-Adresse von ISP1 haben. Umgekehrt natürlich auch. Aber nun gut, ich werde es testen :D .


@clSchak
Danke für den intressanten Link. Das bassiert allerdings wie befürchtet auf NAT bzw. NPTv6. Die technische Grundlage zu NPTv6 ist das RFC 6296.

Dieses wird jedoch zurzeit als experimental eingestuft. In meinem aktuellen Fall möchte ich ein IPv6-Multi WAN LB für mich privat für mein Heimnetz realisieren, da ist das zum Ausprobieren und Herumspielen in Ordnung^^. In einer Unternehmensumgebung würde ich experimentelle Standards aber nicht einsetzen. Doch gerade da wäre das Haupteinsatzgebiet von IPv6 Multi-WAN LB. Sollte es zur Zeit keine bessere Lösung geben, würde es mich kaum wundern, warum IPv6 nur sehr schleppend in den IT-Abteilungen der Unternehmen ankommt (...abgesehen vom fehlenden Wissen natürlich).
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.10.2019 um 16:57 Uhr
Ob der DHCPv6-Client auf dem Heimrouter die Adressen auf die Interfaces legt, oder ob ich das per Hand mache sollte doch eigentlich erstmal völlig egal sein?!
Da hast du natürlich recht aber du steckst ja in dem Dilemma das du dich, wenn es sauber sein soll, für die Delegation eines ISP entscheiden musst. Andernfalls fährst du 2 v6 Netze in einer L2 Collision Domain was nicht besonders sauber ist. Du steckst also im Delegation Dilemma.
Solche Delegations sind ja in der Regel für die Masse der Consumer Kunden gedacht und nicht für Anwender die statische v6 Adressen nutzen.
Das gravierende Folgeproblem was du denn daraus hast ist die Tatsache das auch deine Server ewig wechselnde v6 IPs haben. Willst du z.B. einen solchen Server von außen erreichbar machen geht das nicht oder nur eine Zeitlang bist du einen anderen Prefix delegiert bekommst. Solche Installationen sind dann unbrauchbar und machen wenigs Sinn. Letztlich landest du dann wieder bei einem eigenen Subnetz.
Trotzdem bringt mich das bei dem Problem mit den Global-Unicast-Adressen nicht wirklich weiter,
Ist jetzt irgendwie unverständlich wenn du dich für einen Prefix entscheidest. Dann ist doch alles OK. Was genau bringt dich da denn nicht weiter ??
Dein Router hat dann 2 statische Default Routen und macht dann Session basiertes Balancing. Dafür muss man sogar nichtmal einen speziellen Balancing Router haben. Simpler Standard...
wenn diese als Source-Adresse eine IPv6-Adresse von ISP1 haben.
Richtig, das wird niemals gehen. Deshalb ja auch der Rat ein eigenes Subnetz zu betreiben.
Sowas muss man dann mit den ISPs besprechen und das Netz dort per OSPF oder BGP anliefern. Das ist aber auch bei v4 genau so wenn man ohne NAT arbeitet.
Bitte warten ..
Mitglied: dkweb19
18.10.2019 um 17:21 Uhr
Alles klar, dann erstmal vielen Dank für eure Mühen.
Dann halte ich fest: Will man als Privatperson oder kleineres Unternehmnen ohne Business-Verträge auskommen und trotzdem IPv6 WAN Loadbalancing realisieren, muss man wohl mit NPTv6 leben :/. Bleibt zu hoffen, dass NPTv6 irgendwann aus dem experimental herauskommt. Umzusetzen scheinen es ja immerhin einige Routerhersteller.
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense NAT mit Multi Wan
Frage von Michael-EFirewall8 Kommentare

Hallo zusammen, ich brauche eure Hilfe zu einer Hürde bzgl. NAT mit mehreren WAN Netzen, wahrscheinlich einfach, nur gerade ...

DSL, VDSL
Dual WAN Router mit Load-Balancing
gelöst Frage von wuurianDSL, VDSL13 Kommentare

Hallo zusammen, muss derzeit ein Netzwerk neu einrichten. Derzeit wird eine 6000er Leitung von Vodafone benutzt, kommen auch fast ...

LAN, WAN, Wireless

Suche Firewall WLAN routing WAN Load Balancing

Frage von razer1993LAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich suche eine gute Firewall für unser Unternehmen. Bislang erledigt das unser Lancom Router, deshalb soll ein ...

LAN, WAN, Wireless

Cisco IOS Load Balancing

gelöst Frage von PharITLAN, WAN, Wireless2 Kommentare

Hallo allerseits, bevor ich mir einen zweiten Internetanschluss anschaffe, wollte ich mal folgendes fragen: Mein Cisco 891er hat nur ...

Neue Wissensbeiträge
Windows 10
Die tickende DSGVO-Zeitbombe von Microsoft
Information von Frank vor 16 StundenWindows 104 Kommentare

Hier ein guter Beitrag von Golem.de zum Thema DSGVO und das Windows 10 aktuell nicht DSGVO konform ist! Das ...

Microsoft Office

Gebrandete OEM-Version von Office 2003 auf Nachfolgerechner installieren

Tipp von Lochkartenstanzer vor 17 StundenMicrosoft Office

Hallo Kollegen, gerade mal wieder ein Kundensystem mit Widows 10 in den Fingern gehabt, bei dem der Besitzer sein ...

Windows Server

Ein Feature, welches einem das Arbeiten mit Windows-2019-Coreservern erleichtern kann

Information von DerWoWusste vor 18 StundenWindows Server3 Kommentare

Man kann mittels Kommando nun folgendes auf Server 2019 in der Coreversion v1809 freischalten, so dass man es lokal ...

Windows 10
MS möchte offenbar lokale Konten abschaffen
Information von UweGri vor 1 TagWindows 1011 Kommentare

Guten Tag Admins, ab und an lese ich bei Dr.-Windows Bei dieser Meldung dachte ich, wird MS jetzt offen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
MS-Hotline-Telefonterror
Frage von HenereErkennung und -Abwehr22 Kommentare

Servus zusammen, seit ca 3 Wochen haben wir immer wieder Anrufe von unbekannten Nummern, teils aus dem Ausland. Nach ...

Batch & Shell
Active Directory Picker - Get-ADGroup kann nicht in den Typ konvertiert werden
Frage von dispatcherBatch & Shell17 Kommentare

Mahlzeit zusammen, Im folgenden Skript erhalte ich immer die Meldung: Get-ADGroup : "System.Object " kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADGroup" ...

Windows Netzwerk
DNS und DHCP Server Einträge stimmen nicht überein
Frage von gabeBUWindows Netzwerk12 Kommentare

Hallo Zusammen Ich habe ein Problem bei meinen zwei DC's (Beide Windows Server 2012 64-Bit, virtualisiert über VMWARE). Seit ...

Windows 10
Windows 10 mit kaputtem .Net 4.8
Frage von krischeuWindows 1012 Kommentare

Hi, ich habe mit dem Programm ADDISON ein Stabilitätsproblem. Es stürzt regelmäßig während des Arbeitens ab. In der Ereignisanzeige ...