Server 2019 IPv6 - WAN - LAN - Telekom dyn. Prefix wie bekomme ich das an die Clients?

loom2006
Goto Top
HI!

ich teste und lerne mich gerade ins Thema IPv6 ein.

Lab Aufbau:
Server 2019 AD, DHCP(IPv4), DNS(IPv4)
WAN Schnittstelle an Router der Telekom(192.168.1.1) WAN IP:192.168.1.2
LAN Schnittstelle -> zur Verbindung clients ins Netz (10.0.0.1)
Server Routet also NAT Router für die dahinterliegenden Clients klappt auf IPv4 wunderbar.

Wenn ich nun IPv6 am Telekom Router aktiviere, selbiges an der LAN und WAN Schnittstelle des Servers, bekomme ich eine Verbindungslokale IP fe80: an der WAN Schnittstelle und eine Globale IP 2003::.... (Prefix des Telekomrouters) ebenso am WAN Interface, LAN bekommt nur fe80:: ???

Problem 1:
Da ich aber kein Geschäftskunde bin wechselt das Prefix der Telekom nach jedem Neustart des Routers.

Problem 2: Clients bekommen nur die fe80: Verbindungslokale IP keine Global gültige mit dem Telekom Prefix, d.h. selbst wenn ich set advertising=enable forwarding=enable in der Netshell auf die LAN Schnittstelle gebe funktioniert das Durchreichen des Prefix etc. nicht :( face-sad
Wie reiche ich das Prefix des Telekomrouters durch bis an die clients?

Gibt's denn nicht irgendwo hier oder im Netz eine Anleitung mit deren Hilfe ich die Clients hinter der LAN Schnittstelle ins Internet per IPv6 bekomme bzw. wie man sowas Step by Step löst.

Danke euch!

Update:
@aqui, sorry hast Recht Fehler meinerseits:
Speedport Hybrid Router der Telekom, unter Heimnetzwerk IPV6 ULA verwenden (FD74:xxxxx) aktiviert mehr kann ich dort nicht konfigurieren :( face-sad, als reines DSL Modem umschlaten funktioniert bei diesem leider nicht am normalen Speedport mit ADSL Anschluss geht das ja ... also ähnliche Konfiguration wie die FB könnte ich im Testnetz 2 probieren.

Content-Key: 553764

Url: https://administrator.de/contentid/553764

Ausgedruckt am: 29.06.2022 um 21:06 Uhr

Mitglied: aqui
aqui 03.03.2020 um 19:48:31 Uhr
Goto Top
Das korrekte Verhalten bei IPv6 hängt bekanntlich zu 98% von der Konfiguration deines Internet Routers ab. Dort ist ganz sicher ein Konfig Fehler gemacht worden der den v6 Prefix der Telekom nicht an dein lokales LAN Segment weitergibt. Ggf. ist IPv6 dort auch generell deaktiviert.
Da du keinerlei Angaben zur Konfig des Routers weiter machst und nicht einmal das Modell hier gepostet hast bleibt uns ja leider auch nur die berühmte Kristallkugel ! :-( face-sad
Hier findest du z.B. die Konfig Schritte für eine FritzBox:
https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...
Mitglied: loom2006
loom2006 09.03.2020 um 21:05:06 Uhr
Goto Top
HI @ll,

also nachdem nun zwischenzeitlich nicht mal mehr die WAN Schnittstelle des Servers eine IPv6 bekommen hat musste ich
"netsh" int ipv6 -> reset durchführen und den Telekom Router mal komplett resetten.

jetzt hat die WAN Schnittstelle eine öffentliche IPv6 Adresse bekommen:
2003:c2:ff11:xxxxxxxx sowie eine Link Lokale IPv6 fd74:4267.. alles konform zu den Angaben im Telekom Hybrid Router:

Punkt IPv6 unter Heimnetz:
Lokale IPv6-Adresse (ULA) verwenden: x
Lokale IPv6-Adresse (ULA): fd74:4267:3584:0001::1
Nutzbarer IPv6-Adressbereich für Heimnetzwerk:
Folgenden Bereich nutzen: 2003:00c2:ff11:2040/64

soweit so gut.

So... wie mach ich nun weiter ? Ich bekomme auf biegen und brechen, auf dem LAN Adapter keine IPv6 adresse zugewiesen und somit auch auf den Clients keine IPv6 - firewall etc alles aus bzw. ebenso icmpv6 zulassen auf allen Adaptern in alle Richtungen zulassen eingestellt. :( face-sad


Danke für eure Mühe!
Mitglied: aqui
aqui 10.03.2020 um 09:58:01 Uhr
Goto Top
Ich bekomme auf biegen und brechen, auf dem LAN Adapter keine IPv6 adresse zugewiesen und somit auch auf den Clients keine IPv6
Dann ist davon auszugehen das der Router vermutlich die Prefix Delegation nicht lokal weiterreichen kann oder einen Firmware Bug hat. Letzteres ist nicht unüblich in dem Bereich billiger Consumer Router.
Der Router ist auf die aktuellste Firmware mit neuestem Stand geflasht ?
Das ist bei IPv6 zwingend.
Mitglied: loom2006
loom2006 10.03.2020 um 10:41:27 Uhr
Goto Top
@aqui
Ja der Router ist up to date.

Die IPv6 Adresse auf dem LAN Adapater sowie auf den Clients wird doch per ICMPv6 und Neighbourdiscovery gebildet richtig .?!
Ich muss eigentlich nicht zwingend ein Forwarding von WAN auf LAN Adapter erstellen im Server bzw. wäre das bei automatischer IPv6 am WAN Port
nicht sogar falsch?

Also müsste der theoretisch wenn der Router richtig advertised auch eine IPv6Adresse bekommen... also liegts dann höchstwahrscheinlich am Router :( face-sad
Mitglied: aqui
aqui 10.03.2020 aktualisiert um 15:26:23 Uhr
Goto Top
Ja, kann nur der Router sein.
Leider hast du es ja hier nicht geschafft wenigstens mal das Modell zu nennen und noch wichtiger ein paar IPv6 Setup Screenshots zu posten um sicher zu gehen das du keinen Konfig Fehler in der Prefix Weiterleitung gemacht hast.
Den /56er Prefix den du von der Telekom bekommst musst du ja als /64er Prefix im lokalen LAN weiterreichen.
Genau dieser Konfig Screenshot des Setups wäre hier hilfreich um zu sehen ob du dort evtl. einen gravierenden Fehler gemacht hast.
Kannst du das ausschliessen, kann es dann nur noch die Router Hardware an sich sein.
Dann kann dir nur die Telekom, oder wer auch immer diesen Router geliefert hat, weiterhelfen.
Verwunderlich das der Router an so einer simplen und banalen Konfig scheitert. Würde nicht gerade für Qualität sprechen, denn sowas Simples wie IPv6 Routing kann heutzutage bekanntlich ja jede FritzBox wenn nicht jeder Baumarkt Router.
Mitglied: loom2006
loom2006 10.03.2020 um 17:13:22 Uhr
Goto Top
@aqui ich hatte meinen ersten Beitrag editiert nach Deinem ersten Kommentar, anbei jetzt Screenshot des Router Setups was ich tun kann:
also nicht wirklich viel ausser ula verwenden oder nicht ... das wars :( face-sad
ashampoo_snap_2020.03.10_17h10m50s_002_
ashampoo_snap_2020.03.10_17h16m47s_003_
Mitglied: aqui
aqui 10.03.2020 aktualisiert um 18:19:33 Uhr
Goto Top
Der Server hat 2 Netzwerkkarten (NIC) und ist in einer Kaskade mit dem Router, sprich also so:

(Internet)===Router----WANnic_SERVER_LANnic----(LokalesLAN)----PC

Ist das richtig ? Sprich der Server routet selber nochmal zwischen seinen beiden NICs ? (Siehe auch hier).
Dann siehst das doch aber alles richtig aus am WAN Port des Servers ?
Du hast doch dann richtigerweise eine 2003:c2:... IPv6 Adresse am WAN Port wie es sein soll.
Das sieht dann doch oben OK aus...?!
Mitglied: loom2006
loom2006 10.03.2020 aktualisiert um 21:47:44 Uhr
Goto Top
Ja der Server hat 2 NICs welche NAT im IPv4 Netz machen.
Und ja der Server hat am WAN NIC eine öffentliche IPv6 im LAN aber nicht ...
fehlt mir demnach nur das Forwarding am WAN NIC?
Damit die Clients + die LAN NIC auch vom Internetrouter bedient werden mit IPv6 Adressen oder muss ich nun explizit ein DHCPv6 für die LAN Seite einstellen?
Das ist mir eben nicht wirklich klar, meine Theorie war das der Router bis zum letzten PC im Netz alle mit IPv6 Adressen versorgt damit NAT am Schluss komplett entfällt, sowie das Routing entfallen kann? Da der Adressspace ja gross genug ist für alle evntuellen Fälle ... oder lieg ich da falsch?

D.h. am Schluss möchte ich kein Routing und kein NAT der Server soll einfach nur simpel das Prefix 2003:xxx oder wegen mir, wenn ich damit ins Internet komme und auch wieder zureuck zu den Clients aus dem Internet, über den Router fd74:xxx an die Clients rausgeben. Das ist doch am Ende das Prinzip von IPv6? ISP schickt mir ein Prefix und dieses verwende ich dann für meine Rechner im LAN und kann somit auf alle von aussen zugreifen und alle können ins Internet ohne das ich mich darum kümmern muss.
:) face-smile
Mitglied: aqui
Lösung aqui 11.03.2020 aktualisiert um 08:48:15 Uhr
Goto Top
welche NAT im IPv4 Netz machen.
Nur mal der Neugierde halber gefragt: Was soll der tiefere Sinn dieser Maßnahme sein ?? Der Router macht ja schon NAT und Firewall und damit hättest du dann doppeltes NAT im Netz was nicht wirklich performant ist. Normalerweise sollte ja ein Server "serven" und nicht mit Netzinfrastruktur Dingen wie Routing und NAT zusätzlich noch belastet werden ?!
Und ja der Server hat am WAN NIC eine öffentliche IPv6 im LAN aber nicht ...
Ja, das ist doch aber auch vollkommen logisch ! Denke doch bitte mal selber etwas nach !
Der Server ist in diesem Falle ja auch nichts anderes als ein Router aus Netzwerk Sicht, logisch !
Er müsste dann aus IPv6 Sicht dann natürlich auch eine Prefix Delegation machen an sein internes LAN und auch dort dann per DHCPv6 oder zumindestens per SLAAC Adressen verteilen.
Das alles sind aber Routing Funktionen die ein Microsoft Server so per se nicht hat bzw. auf ihm erstmal aktiviert werden müssten was du mit an Sicherheit grenzender Wahrscheinlichkeit gar nicht gemacht hast.
Folglich ist es dann doch mehr als logisch das sich erwartbar das oben beschrieben Verhalten zeigt !
IP technisch ist es so das der Internet Router sein /56er Prefix per Delegation an den Server weitergibt z.B. dann als /60er Prefix und der Server verteilt dann von sich aus per Prefix Delegation die /64er an seine lokalen Ports.
Das kann er aber nur wenn man ihm die PD Funktion und DHCPv6 beibringt, klar !
meine Theorie war das der Router bis zum letzten PC im Netz alle mit IPv6 Adressen versorgt
Diese Annahme wäre ja Unsinn, da der Server ja schon durch die physische Position im Netzwerk Design immer zwingend als Router arbeuten muss. Er muss also immer 2 IP Netzwerk Segmente sowohl im IPv4 als auch im IPv6 Routen.
D.h. am Schluss möchte ich kein Routing und kein NAT
Das kann dann aber so in dem physischen Design niemals gehen. So wie der Server jetzt angeschlossen ist muss der immer routen. Logisch, denn wie sollte sonst ein IP Forwarding zwischen seinen beiden Netzwerkkarten passieren.
Da gäbe es dann nur eine einzige Ausnahme:
Wenn du beide Netzwerk Karten als Netzwerk Brücke (Bridging) zusammenfasst. Dann agiert das Pakte Forwarding rein nur auf Layer 2 (Mac Adressen) und dann klappt es.
Nur...das ist dann eine völlig sinnfreie Konfiguration, denn dann kann man Server und PCs auch einbeinig an einen Switch anbinden, also eine klassische Banalkonfiguration eines kleinen Netzes. Router, Switch, Server und PCs zusammenstecken...fertisch !
über den Router fd74:xxx an die Clients rausgeben. Das ist doch am Ende das Prinzip von IPv6?
Nein, hier hast du komplett was missverstanden. Die FD74:... Adressen sind Unique Local Unicast Adressen und entsprechen den Privaten RFC 1918 IP Adressen im IPv4. Dieser werden im Internet NICHT geroutet und sind rein nur für den lokalen Betrieb. Damit kommt man niemals ins IPv6 Internet.
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
ISP schickt mir ein Prefix und dieses verwende ich dann für meine Rechner im LAN und kann somit auf alle von aussen zugreifen
Ja, wenn man nur einen Router hat !
Du hast aber 2 ! Deshalb wäre dann der Satz so richtig:
ISP schickt mir ein Prefix und dieses verwende ich um ihn über die anderen Router intern unterteilt in kleiner Prefixe weiterzugeben an die lokalen Segmente die dann für Rechner im lokalen LAN gelten.

Du kannst das auch ganz einfach selber mal testen indem du dir dein Prefix was du bekommst selber in zwei /64er Netze einteilst und diese dann einmal statisch an den beiden Netzwerk Segmenten des Servers konfigurierst. Default Route ::/0 an den Router und gut iss.
Das funktioniert dann sofort.
Allerdings bei dynamischen Prefixen wie sie an Consumer Anschlüssen leider üblich sind dann nur eine begrenzte Zeit für ein paar Tage bis dir wieder ein neuer Prefix zugeteilt wird. Aber zum Testen des Prinzips reicht es ! ;-) face-wink
Du bist hier vermutlich etwas weltfremd und unwissend an das IPv6 Thema gegangen, kann das sein ?!
Hier gibts gute und kostenfreie Literatur zu dem Thema:
https://danrl.com/projects/ipv6-workshop/