pixel24
Goto Top

Server an IPv6 Anschluss. Hosts erreichbar machen

Hallo zusammen,

ich musste meinen Server kurzfristig zu meiner Freundin stellen da die Wohnung umgebaut wird. Was ich nicht bedachte habe, im Gegensatz zu meinen Dual-Stack Zuhause hat sie einen IPv6-Aanschluss bei Vodafone. Ich glaube das nennt sich DS-Lite. Da gibt es natürlich kein Portforwarding face-sad

Ich skizziere mal kurz was ich habe. Zuhause hängt mein Server direkt an einem Technicolor-Kabelmodem was mit besagtem Vodafone-Anschluss verbunden ist. Aus dem Server (Proxmox) läuft eine pfSense die mittels HA-Proxy die HTTPS-Anfragen auf verschiedene VM's verteilt.

Ich habe mich mit IPv6 noch nicht wirklich beschäftigt. Die IPv4-Adresse die mir "wieistmeineip" anzeigt ist ja, soweit ich weiß die vom Tunnel-Gateway vom Provider. Sprich mit dieser kann ich ja nichts anfangen.

Mein erstes Problem beginnt, denke ich zumindest bei Strato. Ich habe für jede lokale VM die erreichbar sein soll dort eine entsprechende Subdomain angelegt und die IPv4 Adresse eingetragen. Eine IPv6 Adresse kann ich bei Strato nicht setzen. Zumindest habe ich nicht gefunden.

Habe ich irgend eine Möglichkeit meine Hosts wieder von extern zu erreichen? Eine, zugegeben sehr kurze, Suche im Web brachte mir die Erkenntnis dass ich eine Tunnel-Software benötige. Davon habe ich allerdings keine Ahnung da ich das noch nie gemacht habe.

Beste Grüße
pixel24

Content-ID: 8177026772

Url: https://administrator.de/forum/server-an-ipv6-anschluss-hosts-erreichbar-machen-8177026772.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 31.01.2024 um 12:44:53 Uhr
Goto Top
Zitat von @pixel24:

Ich habe mich mit IPv6 noch nicht wirklich beschäftigt. Die IPv4-Adresse die mir "wieistmeineip" anzeigt ist ja, soweit ich weiß die vom Tunnel-Gateway vom Provider. Sprich mit dieser kann ich ja nichts anfangen.

Moin,

Mit der v4-Adresse zwar nciht, aber wieistmeineip.de zeigt Dir auch die v6-Adresse an. das ist dei IP-Adresse, auf diie Du Dich verbinden kannst, wenn du das vom Server aus abfragst. per dyndns kannsr Du sogar die v6-Adresse aktuell halten, um immer die korrekte zu nehmen.


Mein erstes Problem beginnt, denke ich zumindest bei Strato. Ich habe für jede lokale VM die erreichbar sein soll dort eine entsprechende Subdomain angelegt und die IPv4 Adresse eingetragen. Eine IPv6 Adresse kann ich bei Strato nicht setzen. Zumindest habe ich nicht gefunden.

Doch geht auch (AAAA-Record).


Habe ich irgend eine Möglichkeit meine Hosts wieder von extern zu erreichen? Eine, zugegeben sehr kurze, Suche im Web brachte mir die Erkenntnis dass ich eine Tunnel-Software benötige. Davon habe ich allerdings keine Ahnung da ich das noch nie gemacht habe.

Per v6 sollte das gehen. Mußt du nur im Router freischalten. Alternativ eine vm las jumphost für v4-VPNs nehmen.

lks
pixel24
pixel24 31.01.2024 um 13:02:09 Uhr
Goto Top
Danke schon mal für die Hilfe trotz der Tatsache dass ich nicht groß selbst recherchiert habe.

Ok, bei "wieistmeineip" wird mir eine IPv6-Adresse angezeigt. Diese habe ich jetzt zum testen bei Strato in den AAAA-Record eingetragen. Wenn es dann funktioniert muss ich prüfen ob der DDNS-Client den ich nutze (Strato auf der pfSense) auch IPv6 kann.

Wenn ich die Subdomain, bei welcher ich den AAAA-Record gesetzt habe, nun von einem externen Gerät mit Dig auflöse wird mir auch diese IPv6-Adresse angezeigt.

An der pfSense ist die Option (Erweiterte Einstellungen):

IPv6 erlauben [x]

aktiv. Daneben gibt es noch die Option:

IPv6 over IPv4 Tunnelung [ ]
welche inaktiv ist.

In der Schnittstellen-Konfiguration für die WAN-Schnitstelle habe ich DHCP6 gewählt. Danach hat das WAN-Interface welches ja an der ConnectBox hängt eine IPv6-Adresse bekommen.

Gibt es jetzt noch weitere Änderungen die ich anpassen muss? Ich hoffe mal die internen VM's können auf IPv4 bleiben.
TweaxME
Lösung TweaxME 31.01.2024 um 13:07:38 Uhr
Goto Top
Vielleicht nicht die Ideallösung, aber man hat die Möglichkeit, bei Vodafone die Vergabe einer IPv4 Adresse zu erzwingen:

- Kabelmodem in den "Bridge Mode" schalten
- Router davorschalten

Von da an wird keine IPv6 Adresse mehr vergeben.
Vielleicht eine Lösung, falls ein Router vorhanden ist.
pixel24
pixel24 31.01.2024 um 13:09:46 Uhr
Goto Top
Ja, das ist mir bekannt. Genau das habe ich ja Zuhause. Der Server wird hier für 4-6 Wochen, bis die Umbauarbeiten in meiner Wohnung abgeschlossen sind, stehen.

Von dieser Seite wäre mir es lieber es ohne Vodafone-Zusatzpaket hin zu bekommen face-smile
Lochkartenstanzer
Lösung Lochkartenstanzer 31.01.2024 um 13:55:16 Uhr
Goto Top
Zitat von @pixel24:

Danke schon mal für die Hilfe trotz der Tatsache dass ich nicht groß selbst recherchiert habe.

Immer wieder gerne.


Ok, bei "wieistmeineip" wird mir eine IPv6-Adresse angezeigt. Diese habe ich jetzt zum testen bei Strato in den AAAA-Record eingetragen. Wenn es dann funktioniert muss ich prüfen ob der DDNS-Client den ich nutze (Strato auf der pfSense) auch IPv6 kann.

Aufpassen. Die v6-Adresse gilt nur für das System, von dem Du aus die Webseite aufrufst, d.h. wenn Du es von einem Client aufruft, ist das die vom Client.d7e v6-Adressen haben i.d.R auch eine begrenzte "Lebensdauer", sofern Du beim sever nicht einstellst, daß er sich nicht dauernd eine neue würfeln soll.

Und Du mußt natürlich deinem Router oder Deiner Firewall sagen, daß die Adresse von draußen kontaktiert werden darf.



Wenn ich die Subdomain, bei welcher ich den AAAA-Record gesetzt habe, nun von einem externen Gerät mit Dig auflöse wird mir auch diese IPv6-Adresse angezeigt.

An der pfSense ist die Option (Erweiterte Einstellungen):

IPv6 erlauben [x]

Das ist o.k


aktiv. Daneben gibt es noch die Option:

IPv6 over IPv4 Tunnelung [ ]
welche inaktiv ist.

Das auch


In der Schnittstellen-Konfiguration für die WAN-Schnitstelle habe ich DHCP6 gewählt. Danach hat das WAN-Interface welches ja an der ConnectBox hängt eine IPv6-Adresse bekommen.

Gibt es jetzt noch weitere Änderungen die ich anpassen muss? Ich hoffe mal die internen VM's können auf IPv4 bleiben.

Du mußt bezüglich den Präfix, den Fu von Vodafone bekommst an di internen Systeme verteilen.

lks
pixel24
pixel24 31.01.2024 um 14:06:39 Uhr
Goto Top
Ah OK, ich habe "wieistmeineip" von meinem Laptop aus aufgerufen. Dann ist das ja die Adresse vom Client und bringt mich nicht weiter.

Ich habe in dieser Konstellation also zwei Router hintereinander. Am Anschluss hängt die Box von Vodafone und dahinter jetzt meine pfSense die ja auch als Router fungiert.

Ich bräuchte also die IPv6 Adresse von der ConnectBox. Habe da vorhin mal rein geschaut aber da sehe ich nichts.
godlie
Lösung godlie 31.01.2024 um 14:24:29 Uhr
Goto Top
@Lochkartenstanzer:

IPV6 ist zwar nett, wird aber kaum geroutet von dem Providern, bitte das nicht zu vergessen

grüße
aqui
Lösung aqui 31.01.2024 aktualisiert um 14:39:16 Uhr
Goto Top
wird aber kaum geroutet von dem Providern
Das ist lange passe! Heute sind eher Provider die kein v6 können die hinter dem Mond lebenden Exoten! So gut wie alle die DS-Lite anbieten oder erzwingen routen prinzipbedingt v6. Allein die gesamten Mobilfunknetze LTE und 5G basieren vollständig auf v6.
Wenn man einen Dual Stack Anschluss hat sollte man v6 darauf auch aktivieren.
https://www.heise.de/ratgeber/Netzwerk-Management-Warum-Admins-auf-IPv6- ...
Ok, bei "wieistmeineip" wird mir eine IPv6-Adresse angezeigt.
Bedenke auch das sich diese IPv6 Adressen an Consumer Anschlüssen je nach Provider alle Naslang ändern. Das ist bedingt durch die dynamische IPv6 Prefix Delegation (PD) und gilt sowohl für DS-Lite als auch Dual Stack Consumer Anschlüsse! DDNS und CNAME ist ggf. dein Freund.
Desweiteren werden an DS-Lite prinzipbedingt nur IPv6 Clients deine Server erreichen können nicht aber IPv4 Clients. Kollege @Lochkartenstanzer sagte es oben ja schon. IPv4 erfordert einen Jumphost.
Das solltest du auf dem Radar haben...
pixel24
pixel24 31.01.2024 um 14:35:18 Uhr
Goto Top
Ja, das mit DynDNS nutze ich an meinem Anschluss Zuhause mit IPv4 mit dem Dienst auf der pfSense ja auch. Ändert sich die IP trägt die pfSense diese in den A-Revord bei Strato ein.

Ich wollte, bevor ich an DynDNS gehe erst mal das Setup testen und die IPv6 Adresse von Hand eintragen.

Sehe ich das richtig:

Ich brauche die IPv6 WAN-Ip von der ConnectBox (hängt direkt am Anschluss)

In der ConnectBox kann ich eine IPv6 Exposed eintragen, hier kann ich nur eine MAC Adresse eintragen. Ich vermute dort trage ich die MAC der pfSese WAN Schnittstelle ein.

Ich aktivieren das o.g. Tunneling.

Also muss ich jetzt noch irgendwie die IPv6 WAN IP der ConnectBox herausfinden.

Ich hoffe ich habe alles richtig verstanden.
aqui
Lösung aqui 31.01.2024 aktualisiert um 14:45:41 Uhr
Goto Top
In der ConnectBox kann ich eine IPv6 Exposed eintragen
Exposed? Du hast auf dem Radar das es kein NAT bei IPv6 gibt? Kein NAT kein exposed Host. face-wink
Der Server hat lokal eine öffentliche IPv6 (Prefix Delegation). Du erstellst lediglich nur eine Firewall Regel das du für die Host v6 IP Zugang von außen erlaubst. Hier z.B. für die Fritzbox:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6360/845_IPv6-Frei ...
Lochkartenstanzer
Lösung Lochkartenstanzer 31.01.2024 um 16:46:50 Uhr
Goto Top
Zitat von @godlie:

@Lochkartenstanzer:

IPV6 ist zwar nett, wird aber kaum geroutet von dem Providern, bitte das nicht zu vergessen

Das wäre mir aber neu, daß die kein v6 routen. Es ist inzwischen zum Glück eher die Ausnahme als die Regel, daß die ISPs kein v6 können. Ich gebe zwar zu, daß man dem ein oder andere ISP-Supporter noch v6 erklären muß, aber die meisten kennen zumindest die Grundlagen. face-smile

lks
pixel24
pixel24 31.01.2024 um 16:49:36 Uhr
Goto Top
Ok, ja da war was. IPv6 wurde ja genau deswegen aus der Taufe gehoben das man eben kein NAT mehr braucht *Schäm*

Ich habe jetzt auf der ConnectBox geschaut. Dort ist die WAN IPv6 ersichtlich. Diese habe ich jetzt erst mal fix in den AAAA-Record einer Subdomain eingetragen.

Das mit dem Exposed Host waren Fake News face-sad Das nennt sich:

IPv6 Host Exposure

In der Connect Box steht dazu:

"Verbinden Sie entfernte Computer mit Ihrem privaten Netzwerk. Verwenden Sie Host Exposure, um die Verbindung mit einem bestimmten Gerät zu steuern."

Hier kann man einen Port(Bereich) und eine MAC Adresse eintragen. Hier habe ich 443 für HTTPS gewählt sowie die MAC-Adresse des pfSense WAN-Interface. Ist das korrekt?

Auf der pfSense, also der nächsten Station (Router) wollte ich jetzt noch:

IPv6 über IPv4 Tunneling aktivieren

aktiviert. Die Erklärung zur Option:

"Diese Optionen erzeugen einen RFC 2893-kompatiblen Mechanismus für die IPv4 NAT-Kapselung von IPv6-Paketen, der dazu verwendet werden kann, IPv6-Pakete über IPv4-Routing-Infrastrukturen zu tunneln. Die IPv6-Firewall-Regeln sind also erforderlich, um den gekapselten Datenverkehr zu kontrollieren und weiterzuleiten."

Allerdings muss ich dort noch einen Wert für:


IPv4 Adresse der Tunnelgegenstelle

eintragen. Hier habe ich jetzt die IPv4 Adresse die mir "wieistmeineip" angezeigt wird eingetragen. Diese ist ja die Tunnel-Gegenstelle wenn ich das richtig verstanden habe.

Allerdings komme ich per HTTPS nicht auf meine VM.

Was habe ich übersehen?
aqui
Lösung aqui 31.01.2024 um 17:35:17 Uhr
Goto Top
Allerdings komme ich per HTTPS nicht auf meine VM
Hast du überhaupt erstmal mit ip a gecheckt ob die VM lokal auch eine öffentliche IPv6 Adresse bekommen hat und diese in der Firewall für 443 von außen freigegeben ist?? Sonst wäre ein Connect Versuch von extern ja eh sinnfrei.
Lochkartenstanzer
Lösung Lochkartenstanzer 31.01.2024 um 17:58:38 Uhr
Goto Top
Zitat von @pixel24:



IPv6 Host Exposure

In der Connect Box steht dazu:

"Verbinden Sie entfernte Computer mit Ihrem privaten Netzwerk. Verwenden Sie Host Exposure, um die Verbindung mit einem bestimmten Gerät zu steuern."

Hier kann man einen Port(Bereich) und eine MAC Adresse eintragen. Hier habe ich 443 für HTTPS gewählt sowie die MAC-Adresse des pfSense WAN-Interface. Ist das korrekt?

Auf der pfSense, also der nächsten Station (Router) wollte ich jetzt noch:

IPv6 über IPv4 Tunneling aktivieren

aktiviert. Die Erklärung zur Option:

"Diese Optionen erzeugen einen RFC 2893-kompatiblen Mechanismus für die IPv4 NAT-Kapselung von IPv6-Paketen, der dazu verwendet werden kann, IPv6-Pakete über IPv4-Routing-Infrastrukturen zu tunneln. Die IPv6-Firewall-Regeln sind also erforderlich, um den gekapselten Datenverkehr zu kontrollieren und weiterzuleiten."

Allerdings muss ich dort noch einen Wert für:


IPv4 Adresse der Tunnelgegenstelle

eintragen. Hier habe ich jetzt die IPv4 Adresse die mir "wieistmeineip" angezeigt wird eingetragen. Diese ist ja die Tunnel-Gegenstelle wenn ich das richtig verstanden habe.

Nope


1. Du betreibst eine Router/Firewall-kaskade.
2. Deine Router/firewalls und Deine internenen Netze sollten alle ipv6 konfiguriert haben.
3. Dein Internetrouter muß die v6-Netze hinter der pfsense kennen, d.h. dafür Routingeinträge haben
4. Dein Host brauch eine öffentliche v6-Adresse, die es durch die delegierten prefix der an die pfsense weitgerreicht werden sollte festgelegt wird. Diese IP-Adresse sollte von außen erreichbar sein.

lks
aqui
Lösung aqui 31.01.2024 um 18:03:10 Uhr
Goto Top
3. Dein Internetrouter muß die v6-Netze hinter der pfsense kennen, d.h. dafür Routingeinträge haben
Bzw. die Prefix Delegation des Providers an die pfSense weitergeben wie hier bei einer Fritze: face-wink
IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
https://www.kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamis ...
pixel24
pixel24 01.02.2024 um 09:05:55 Uhr
Goto Top
Ich lese gerade den Artikel für Kabel Deutschland -> FB -> pfSense.

Aber die Hosts hinter der pfSense die ich erreichen möchte (Jellyfin, Nextcloud, OX ...) brauchen keine IPv6 Konfiguration, oder? Die pfSense macht ja hier weiterhin NAT und setzt die ankommenden Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?
aqui
Lösung aqui 01.02.2024 aktualisiert um 09:14:15 Uhr
Goto Top
brauchen keine IPv6 Konfiguration, oder?
Wie willst du sie dann mit einem DS-Lite Anschluss von extern erreichen? IPv4 geht ja prinzipbedingt nicht bei DS-Lite wie dir oben mehrfach erklärt wurde.
Die pfSense macht ja hier weiterhin NAT
Nur für IPv4, nicht für v6.
und setzt die ankommenden Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?
Du meintest sicher... "und setzt die ankommenden IPv4 Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?"
Da es aber bei einem DS-Lite Anschluss CG-NAT bedingt niemals "ankommende IPv4 Anfragen" geben kann sondern einzig nur ankommende IPv6 Anfragen ist da auch nix IPv4 technisches was die FW umsetzen kann. Eine v4 v6 Protokolltranslation macht sie ganz sicher nicht. face-wink
Lochkartenstanzer
Lösung Lochkartenstanzer 01.02.2024 aktualisiert um 09:32:28 Uhr
Goto Top
Zitat von @pixel24:

Ich lese gerade den Artikel für Kabel Deutschland -> FB -> pfSense.

Aber die Hosts hinter der pfSense die ich erreichen möchte (Jellyfin, Nextcloud, OX ...) brauchen keine IPv6 Konfiguration, oder? Die pfSense macht ja hier weiterhin NAT und setzt die ankommenden Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?

Da liegst Du falsch. Wenn Du V6 nutzt, kannst Du zwar NAT(66) machen, a6ch wenn sas nich selten einer macht., aber das ist dann V6 NAT! Daher ist es egal, was Du auf der pfsense nutzt, die Hosts müssen V6 können.

lks

PS: https://blogs.infoblox.com/ipv6-coe/you-thought-there-was-no-nat-for-ipv ...
pixel24
pixel24 01.02.2024 um 10:08:09 Uhr
Goto Top
ok, dann versuche ich mich mal daran und fange auf der pfSense an. Oben wurde gesagt dass ich auf der pfSense die Option "Enable IPv6 over IPv4 tunneling" aktivieren soll. Diese will ja zwingend einen Wert für "IPv4 address of Tunnel Peer". Welche gebe ich hier an? Die IPv4 Adresse der ConnectBox?
pixel24
pixel24 01.02.2024 aktualisiert um 10:46:17 Uhr
Goto Top
Wir hatten IPv6 in der Schule zwar angesprochen, jedoch nicht praktisch umgesetzt. Ich versuche gerade die Lücken zu schließen. So einfach wie ich es mir vorgestellt habe dass die pfSense einfach IPv6 auf intern IPv4 umsetzt ist es nicht face-sad

Was ich aus der Einführung:
https://www.elektronik-kompendium.de/sites/net/1905101.htm

herauslese ist dass ich zunächst mein LAN auf IPv6 erweitern muss bzw. dessen Parallelbetrieb konfigurieren.

Wie ich mein internes LAN mit IPv6 plane erschließt sich mir noch nicht so richtig. Also welchen Netzbereich ich hier festlege. Die Unterscheidung wie bei v4 (Öffentlich / Privat) gibt es in der Form bei v6 nicht. Das wird ja mit sog. Scopes gemacht.

NAT fällt ja auch flach. Bedeutet das für mich dass ich im LAN einen Network-Präfix nutzen soll/muss der innerhalb des vom Provider zugewiesenen liegt?
aqui
Lösung aqui 01.02.2024 aktualisiert um 11:00:02 Uhr
Goto Top
Wir hatten IPv6 in der Schule zwar angesprochen, jedoch nicht praktisch umgesetzt.
Sehr lesenswert dazu:
https://danrl.com/ipv6/

Die Unterscheidung wie bei v4 (Öffentlich / Privat) gibt es in der Form bei v6 nicht.
Das stimmt so nicht! Siehe Workshop oben!
Bei IPv6 sind das bekanntlich die ULAs (Unique Local Addresses)
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
Bedeutet das für mich dass ich im LAN einen Network-Präfix nutzen soll/muss der innerhalb des vom Provider zugewiesenen liegt?
"Muss" nicht. Eigentlich gibt es kein NAT bei v6 aber du kannst es dennoch machen indem du z.B. interne statische ULAs wie bei IPv4 NATest. Ist zwar verpönt bei v6, geht aber.
Ansonsten bekommst du über die Provider Prefix Delegation im LAN öffentliche v6 Adressen. Wegen deren Dynamik bei Consumer Anschlüssen musst du dann aber dort mit DDNS arbeiten. Anders sieht es aus wenn du bei dem Provider einen festen v6 Prefix beantragst was die sauberste Variante ist. Das geht meist kostenfrei.
pixel24
pixel24 01.02.2024 um 11:39:04 Uhr
Goto Top
Also dass ich in den nächsten Tage wieder Musik auf meinem Handy vom lokalen Jellyfin hören werde kann ich mir abschminken face-sad

Ich arbeite jetzt erst mal den geteilten Workshop durch was etwas dauern wird. Danke schon mal dafür! Ich werde diesen Beitrag dann wieder aufgreifen da ich mir sicher bin das ich dann noch weiter Unterstützung benötigen werde face-smile
pixel24
pixel24 02.02.2024 um 14:52:34 Uhr
Goto Top
Ich bin in dem Workshop bei Punkt:

3.6 | Ein Tunnel ins IPv6-Internet

Hier steht als Erklärung: "Sollten Sie in der glücklichen Lage sein, bereits von Ihrem In-
ternetanbieter mit einem ausreichend großen Präfix ausgestattet worden zu sein, dann können Sie sich die Einrichtung des Tunnels sparen
."

..

Mehrere /64-Präfixe sollten es mindestens sein, besser ist ein /56-Präfix.
Die Angaben in den folgenden Kapiteln sind dann jeweils an die Gege-
benheiten anzupassen.



Im Bild ist, wenn ich das korrekt interpretiere, zu sehen dass ich von Vodafone eine Präfixlänge von /64 delegiert bekomme.

Bedeutet dass ich benötige zwangsläufig einen Tunnelbrokers?
vodafone-ipv6-1
aqui
Lösung aqui 02.02.2024 aktualisiert um 15:03:56 Uhr
Goto Top
Bedeutet dass ich benötige zwangsläufig einen Tunnelbrokers?
Jein! Du bekommst ja dann lokal zumindestens ein öffentliches IPv6 Netz (2a02:xxxx:2181:85e0:: /64) per PD dynamisch zugewiesen. Wenn du allerdings weitere Segmente benötigst ist das nicht so dolle und spricht nicht gerade für ein intelligentes PD des Providers. face-sad
Theoretisch kann man ein /64er auch subnetten wenn du mehrere Segmente benötigst aber dann um den Verlust von einige IPv6 spezifischen Grundfunktionen die nur in den normierten /64 Netzen funktionieren.
Einen Tunnelbroker benötigst du immer nur dann wenn du partout kein IPv6 bekommst und in einer reinen v4 Welt lebst. Heute ja üblicherweise eher die Ausnahme.
pixel24
pixel24 02.02.2024 um 15:29:37 Uhr
Goto Top
Ok, danke für die Klärung. Ich brauche keine weiteren Sequmente da ich ja lediglich drei Hosts per HTTPS erreichen möchte. Dann lese ich das Kapitel aber setze es nicht um.
pixel24
pixel24 03.02.2024 um 09:19:56 Uhr
Goto Top
Im Workshop dreht sich alles um den via SixXS aufgebauten Tunnel und an dem Debian-Router fuzzball wird mittels Radvd das "Router Advertisement" eingerichtet. Darüber hinaus soll die Konfiguration der lokalen Ipv6 Adressen mit einem Präfix dass von außen erreichbar ist, also global gültig ist, automatisch eingerichtet werden. Also ohne DHCP.

Das ist jetzt der Punk wo der Workshop für mich nur noch bedingt hilfreich ist.

Ich habe mal eine Grundlegende Frage zu meinem aktuellen Stand.

Die ConnectBox von Vodafone hat am WAN-Interface ja die Adresse:

2a02:xxxx:2100::16d7/62

Darüber hinaus delegiert die ConnectBox das Präfix (Netz):

2a02:xxxx:2181:85e0::/64 

Im Workshop habe ich gelernt: "Je größer das Präfix, desto kleiner das Netz"

Das Präfix was die ConnectBox delegiert ist doch dass was ich in meinem LAN verwenden muss damit diese auf Global erreichbar sind, richtig?

Jetzt mal völlig unabhängig davon wie die Hosts eine gültige Adresse erhalten. Nur damit ich das Prinzip verstehe.
pixel24
pixel24 03.02.2024 um 09:39:12 Uhr
Goto Top
Meine Server-VM's würde ich also so auf IPv6 abbilden. Die Server-VM's sollen ja keine automatische IPv6-Adressen erhalten:

192.168.xx.5 (SRV01: ADS): 2a02:xxxx:2181:85e0::5/64
192.168.xx.6 (GW01: Jitsi/Rocketchat): 2a02:xxxx:2181:85e0::6/64
192.168.xx.10 (MEDIA01: Jellyfin): 2a02:xxxx:2181:85e0::a/64
192.168.xx.11 (DEV01): 2a02:xxxx:2181:85e0::b/64
192.168.xx.12 (CLOUD01: Nextcloud): 2a02:xxxx:2181:85e0::c/64
192.168.xx.20 (GW02: Groupware): 2a02:xxxx:2181:85e0::14/64
192.168.xx.254 (GATE01: pfSense LAN-Schnittstelle): 2a02:xxxx:2181:85e0::fe/64

Passt das so?
aqui
Lösung aqui 03.02.2024 aktualisiert um 09:48:03 Uhr
Goto Top
Im Workshop habe ich gelernt: "Je größer das Präfix, desto kleiner das Netz"
Eine simple Binsenweisheit da ja nicht anders als wie bei IPv4! face-wink
Das Präfix was die ConnectBox delegiert ist doch dass was ich in meinem LAN verwenden muss
Das ist richtig und Prinzip verstanden! Mal davon abgesehen das deine Endgeräte es per SLAAC schon von selber verwenden ohne ein "Muss". face-wink
Die Server-VM's sollen ja keine automatische IPv6-Adressen erhalten:
Eigentlich nicht, denn SLAAC ist immer aktiv. Es sei denn du hast das entsprechend konfiguriert und deaktiviert oder verwendest statische Adressen. Ein "ip a" (unixoides OS) zeigt dir doch immer an was los ist. (ipconfig -all Winblows)
Statische Adressen wäre aber ziemlich kontraproduktiv bei dynamischer PD, denn ändert sich die PD ändert sich auch sofort das lokale LAN in der v6 Adressierung und deine (alten) statischen v6 Adressen sind unerreichbar...oder dann woanders.
Das Vodkafön allerdings nur ein mickriges /64er per PD vergibt ist schon eher eine Ausnahme. Andere Provider sind da deutlich großzügiger und verteilen in der Regel kleinere Präfixes.
pixel24
pixel24 03.02.2024 um 10:07:57 Uhr
Goto Top
Ich habe schon mal auf meinen UCS-Systemen geschaut jedoch noch nichts eingerichtet Siehe Bild. Hier kann SLAAC aktivieren oder eine statische konfigurieren.

In anderen Quellen habe ich gelesen dass man für die Server keine automatische Konfiguration mittels SLAAC verwenden soll. Deshalb bin ich nun unschlüssig.

Wenn ich SLAAC aktiviere ändern sich die IPv6 Adressen doch und sind nicht statisch und wenn ich von extern immer auf einer bestimmte Maschine landen möchte muss diese doch statisch sein, oder?
ucs-ipv6-1
aqui
Lösung aqui 03.02.2024 aktualisiert um 11:37:54 Uhr
Goto Top
In anderen Quellen habe ich gelesen dass man für die Server keine automatische Konfiguration mittels SLAAC verwenden soll.
Das ist per se natürlich auch richtig. Warum sollten dort auch andere Kriterien gelten als bei IPv4?! face-wink
Allerdings in einem dynamischen PD Umfeld steckst du dann in einem Dilemma weil sich dein lokales v6 Netzwerk ja alle Naslang ändert.
Guckst du dazu auch hier:
https://www.heise.de/select/ct/2018/19/1536650923067816
pixel24
pixel24 04.02.2024 um 10:42:52 Uhr
Goto Top
Und genau das ist für mich völlig unlogisch. IPv6 wurde ja hauptsächlich deswegen konzipiert dass jedes Atom auf dem blauen Planeten eine IP-Adresse haben kann. Warum delegiert der Provider ein dynamisches Präfix?

Leider nur im Plus-Abo face-sad

Wenn ich das bisher richtig verstanden habe benötige ich, um dieses Problem mit dynamischen PD zu lösen "Router Advertisement" auf meinem Router. Ich würde annehmen ich muss das auf der pfSense einrichten. Auf der ConnectBox kann ich ja nichts installieren.
pixel24
pixel24 04.02.2024 um 10:47:34 Uhr
Goto Top
und sehe ich es grundsätzlich richtig dass ich meinen Server-VM's eine statische IPv6 mit dem Scop "Site-Local" konfiguriere und mittels "Router Advertisement" werden sie zusätzlich mit Adressen mit dem Scope "Global" versorgt?
pixel24
pixel24 04.02.2024 um 13:13:20 Uhr
Goto Top
Ich arbeite erst mal diverse Schriftstücke zu den Grundlagen zu IPv6 durch. Die größte Schwierigkeit ist nicht die höhere Komplexität als vielmehr aus den alten IPv4-Denkmustern abzulegen.

Soweit ich das sehe konfiguriere ich meine Server (VM's) nicht wie o.g. mit Adressen unterhalb des PD sondern nutze hierfür ULA's also fd00:: /8

Diese funktionieren nur im lokalen Netzwerk und auch dann wenn der Provider mal ausfällt. Die globalen Adressen die vom Provider delegiert werden verteilt der Router mittels"Router Advertisement" im lokalen Netz.

Das blöde an den letzteren ist dass sie sich ändern können und das wohl auch häufig tun. Dementsprechend muss die veränderte globale Adresse für jeden Host der erreichbar sein soll mit DDNS in den AAAA-Record beim Domainhoster eingetragen werden.

Hoffe ich habe es jetzt halbwegs verstanden face-smile
Lochkartenstanzer
Lösung Lochkartenstanzer 04.02.2024 um 13:37:48 Uhr
Goto Top
Zitat von @pixel24:

... Dementsprechend muss die veränderte globale Adresse für jeden Host der erreichbar sein soll mit DDNS in den AAAA-Record beim Domainhoster eingetragen werden.

Das ist einfacher, wenn man seinen eigenen Nameserver betreibt, ggf unter einer Subdomain.

lks
pixel24
pixel24 04.02.2024 um 15:37:15 Uhr
Goto Top
Das ist einfacher, wenn man seinen eigenen Nameserver betreibt, ggf unter einer Subdomain.

ok, darauf komme ich dann später zurück. Will mich erst mal weiter mit den Grundlagen vertraut machen.

Ich habe bei SIXXS mir ein ULA-Präfix generieren lassen und auch registriert. Hab dann alle lokalen Server innerhalb dieses Präfix mit einer statischen IPv6 konfiguriert:


2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 5e:20:3a:f7:e3:ee brd ff:ff:ff:ff:ff:ff
    altname enp6s18
    inet 192.168.xx.10/24 brd 192.168.xx.255 scope global dynamic ens18
       valid_lft 42953sec preferred_lft 42953sec
    inet6 fdd0:a0xx:f4c::a/64 scope global 
...

Der ping6 unter den VM's funktioniert auch. Was mich irritiert ist dass er mir auf allen Servern diese Adresse als Scope "global" anzeigt. Ist das normal oder liegt hier ein Fehler vor?
aqui
Lösung aqui 04.02.2024 um 18:33:38 Uhr
Goto Top
für jeden Host der erreichbar sein soll mit DDNS in den AAAA-Record beim Domainhoster eingetragen werden.
Deutlich einfacher ist es wenn man das mit DDNS betreibt dann passiert das alles automatisch. face-wink
pixel24
pixel24 05.02.2024 um 17:40:39 Uhr
Goto Top
Da habe ich glaube ich noch so ein paar Verständnisschwierigkeiten. In den Erklärungen zu IPv6 habe ich gelesen dass man zunächst mal eine ULA-Addresse einrichtet damit die Systeme auch über IPv6 kommunizieren können wenn die Internetanbindung ausfällt.

Danach würde man dann globale Adressen zusätzlich konfigurieren.

Was mir noch nicht wirklich klar ist wie ich global gültige Adressen die innerhalb des Präfix, welches von Vodafone delegiert wird, dynamisch auf meine Server VM's bekommen.

Aktuell haben jetzt alle Server inkl der pFsense (LAN Interface) eine ULA-Adresse. Diese gültigen globalen Addressen müssen, nach meinem Verständnis, von der ConnectBox verteilt werden. Oder sehe ich das falsch?

Im oben verlinkten Tutorila für Kabel Deutschland und Fritz!Box muss hier zunächst die Option:

[x] DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen

aktiviert werden. Diese Option habe ich jedoch auf der ConnectBox nicht. Die einzige Option die ich hier habe ist:

IPv6 Host Exposure

unter welcher ich eine MAC-Adressen, einen Port(Bereich) und das Protokoll angeben kann.
pixel24
pixel24 05.02.2024 um 18:33:17 Uhr
Goto Top
An der Box von Vodafone gibt es wie gesagt die Option wie auf der FB nicht. Wenn ich die pfSense wie im Tutorial konfiguriere (bis zum Punkt: Status -> Schnittstellen) sehe ich dass diese auf dem LAN Interface keine globale Ipv6-Adresse erhält (siehe Bild). Das dürfte das Problem sein face-sad

pfsense_nic_status
aqui
Lösung aqui 05.02.2024 aktualisiert um 20:02:40 Uhr
Goto Top
zunächst mal eine ULA-Addresse einrichtet
Dann setzt du aber das NAT Konzept um was ULAs auf die öffentliche WAN IP NATet. Sprich also exakt wie bei v4 nur mit v6.
Danach würde man dann globale Adressen zusätzlich konfigurieren.
Das wäre dann sinnfrei. Das sind ja die v6 IPs die sich alle Naslang durch den wechselnden PD ändern. Andere globale v6 IPs hast du doch gar nicht.
welches von Vodafone delegiert wird, dynamisch auf meine Server VM's bekommen.
Indem du einen verkleinerten PD deinerseits auf deine Firewall weitergibt und die dann als /64er an seine lokalen LANs und dann an deine VMs.
https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pf ...
Usw. usw.
Diese Option habe ich jedoch auf der ConnectBox nicht.
Typisch für diese billigen Plaste Schrottrouter die es als Provider Dreingabe gibt. Die können nix und davon sollte man genau aus den Gründen die Finger lassen. face-sad
Damit gehen dann deine Chancen gegen Null...
pixel24
pixel24 06.02.2024 um 09:37:31 Uhr
Goto Top
Ich habe heute Nacht noch diverse Foren (Vodafone) gesucht und es scheint mit dieser ConnectBox nicht zu funktionieren. Das diese Boxen vom Provider nichts taugen war mir ja auch klar. Zuhause habe ich ein Technicolor Kabelmodem was genau deshalb angeschafft wurde.

Da der Server hier nur temporär steht werde ich das hier nicht ändern.

Ich werde aber weiter mit IPv6 herum spielen um etwas Erfahrung zu sammeln.

Eine Sache in diesem Kontext ist mir nicht ganz klar. Unabhängig davon dass es mit dem durchreichen nicht funktioniert.

Wenn ich einen Client direkt in die Connectbox einstecke und auf DHCP6 konfiguriere erhalte ich eine IPv6 Adresse aus dem Bereich den die Box hat. Allerdings mit einem Präfix /128 wie es oben im Bild auch die pfSense auf dem WAN-Interface hatte.

Warum das Präfix /128 ist verstehe ich nicht. Das müsste doch /64 sein, oder?
aqui
Lösung aqui 06.02.2024 um 09:47:19 Uhr
Goto Top
und es scheint mit dieser ConnectBox nicht zu funktionieren.
Was hattest du denn ernsthaft von solch einem Elektroschrott erwartet?? Einen full featured Router?
Das ist mit deiner Installation zuhause keineswegs zu vergleichen in Bezug auf die Features. Das ist so als wenn du von einem AMG Mercedes in eine Seifenkiste steigst.
Warum das Präfix /128 ist verstehe ich nicht. Das müsste doch /64 sein, oder?
Das ist vermutlich eine Laune der Anzeige bei dieser Box. Normalerweise hat eine reine Host Adresse im IPv4 ja auch einen /32er Präfix. Gleiches gilt dann bei einer v6 Hostadresse mit einem /128er Präfix.
Ist vermutlich eher ein kosmetische Anzeigethema ob man das mit dem Netz- oder dem Hostpräfix anzeigt.
pixel24
pixel24 20.02.2024 um 12:08:17 Uhr
Goto Top
Will mal kurz Info geben. Unabhängig ob der Vertrag meiner Freundin (der Kleinste/Günstigste mit 60 MBit) das her gibt oder nicht habe ich für sie jetzt erst mal einen: "AVM FRITZ!Box 6690 Modem" bestellt.

Ich denke das ist in jedem Fall sinnvoll und ich werde, sobald dieser da ist, es weiter probieren und berichten face-smile
aqui
Lösung aqui 20.02.2024 um 17:29:00 Uhr
Goto Top
Wir sind gespannt...! 😉
pixel24
pixel24 20.02.2024 um 19:32:14 Uhr
Goto Top
Ein Gedanke treibt mich noch um. Ich vermute mal die PD von Vodafone ist abhängig vom Tarif und in diesem Fall ja /64

Das bedeutet dass ich kein Subnetting betreiben kann richtig?

Ich habe gelernt das Router verschiedene Subnetze trennt. Das bedeutet doch dann das ich die neue FB in den Bridge-Modus setzen muss da ja dahinter mit der pfSense ein weiterer Router hängt, oder?
aqui
Lösung aqui 21.02.2024 aktualisiert um 10:08:11 Uhr
Goto Top
Ich vermute mal die PD von Vodafone ist abhängig vom Tarif und in diesem Fall ja /64
Wäre bei dem Provider nicht groß verwunderlich. Ein /64er per PD zu bekommen ist eher unüblich. Telekom und andere verteilen einen /56er Präfix womit man 256 v6 Netze adressieren könnte.
Das bedeutet dass ich kein Subnetting betreiben kann richtig?
Jein. Auch ein /64er kannst du subnetten allerdings funktionieren dann klassische Dinge wie SLAAC usw. nicht mehr da die auf einen klassischen /64er Präfix ausgelegt sind (EUI-64).
Ich habe gelernt das Router verschiedene Subnetze trennt.
Der tiefere Sinn eines Routers... 😉
Das bedeutet doch dann das ich die neue FB in den Bridge-Modus setzen muss
Nein. Warum sollte es das bedeuten??! Du kannst doch prinzipiell beliebig viele Router hintereinader kaskadieren und die einzelnen Netze routen. Dafür sind Router ja gemacht.
Das "Problem" ist die "sparsame" PD mit einem /64. Warum Vodafone da so überaus knauserig ist und nur ein Subnetz rausgibt an Kunden wissen wohl nur die selber. Die meinen sicher das normale Consumer nicht mehr als ein einziges v6 Netz brauchen. In 95% der Fälle stimmt das vermutlich auch weil diese 95% nicht mal wissen wie man IPv6 schreibt... face-wink
pixel24
pixel24 24.02.2024 um 17:17:51 Uhr
Goto Top
Zwischenstand: Die FritzBox ist da, die Freischaltung durch Vodafone dauert jedoch noch. Kann leider Montag werden.

Was ich in Erfahrung bringen konnte ist, dass ich über die FB in den IPv6-Einstellungen explizit ein 59er Präfix anfordern muss.

Damit sollte es doch hoffentlich funktionieren.
aqui
Lösung aqui 24.02.2024 um 20:57:22 Uhr
Goto Top
Das sollte es!! face-wink
pixel24
pixel24 27.02.2024 um 14:14:46 Uhr
Goto Top
Die FB wurde gerade nach knapp 4 Tagen aktiviert face-smile

Ich beginne mit der Anleitung ganz von vorne.

In der FB sehe ich nun die 59er PD:

Internet, IPv6
IPv6-Adresse: 2a02:xxxx:2100::570/64, Gültigkeit: 84805/41605s
IPv6-Präfix: 2a02:xxxx:2180:8e00::/59, Gültigkeit: 84805/41605s

In der Anleitung wird mit dem dort verlinkten Subnetrechner das delegierte PD in vier Subnetze vorgenommen. Dem folge ich entsprechend:

1	2a02:xxxx:2180:8e00::/61    [LAN]
2	2a02:xxxx:2180:8e08::/61    [Gastzugang]
3	2a02:xxxx:2180:8e10::/61    [Geräte "Heimnetzwerk"]  
4	2a02:xxxx:2180:8e18::/61    [Geräte "Heimnetzwerk"]  

Wie man Subnetting umsetzt ist mir soweit bekannt, wenngleich ich hierbei bisher nur Erfahrung mit IPv4 habe.

Folgt die Zuordnung (Verwendungszweck): LAN, Gast... etc. bestimmten Regeln oder ist diese einfach frei gewählt?

Ich lege dann die letzten beiden zu einem /62er zusammen:

2a02:xxxx:2180:8e10::/62

?
pixel24
pixel24 27.02.2024 um 14:30:35 Uhr
Goto Top
Und bevor ich das bis ans Ende durchführe noch eine Frage vorab. Hinter meiner pfSense hängt ein UCS Primary Directory Node der als ADS, DHCP, DNS etc. fungiert.

Wenn ich Anleitung richtig verstehe wird mit dem "Router Advertisement" der pfSense ermöglicht diese Adressen in LAN hinter der pfSense zu verteilen. Bedeutet dass die pfSense muss im LAN als DHCP-Server fungieren?
pixel24
pixel24 27.02.2024 aktualisiert um 16:21:16 Uhr
Goto Top
Ich denke ich kann einen ersten Teilerfolg verzeichnen. Bin der Anleitung sinngemäß gefolgt. Mit Ausnahme das ich wie erwähnt ein /62 anstatt /63 eingetragen habe.

Mein Notebook (Debian) welches am WLAN hinter der pfSense (nicht direkt an der FB) hängt hat eine IPv6-Adresse aus dem vom Provider delegierten Bereich face-smile

Danach habe ich auf einer UCS-VM in den Netzwerkeinstellungen für IPv6 SLAAC aktiviert wonach diese ebenfalls eine IPv6-Adresse aus dem vom Provider delegierten Bereich hat.

Du hast erwähnt dass sich diese Adressen jedoch ständig ändern (was ich bei IPv6 nicht nachvollziehen kann warum es so ist) was bedeutet ich brauche DDNS.

Da die pfSense die Adressen nach intern verteilt müsste ich das doch auf der pfSense einrichten, richtig?

Die pfSense hat bisher DDNS (strato) durchgeführt um die IPv4-Adressen in den entsprechenden A-Record (für die jeweilige Subdomain) bei Strato einzutragen.

Optionen für IPv6 finde ich hier jedoch keine face-sad
aqui
Lösung aqui 27.02.2024 aktualisiert um 18:11:02 Uhr
Goto Top
was ich bei IPv6 nicht nachvollziehen kann warum es so ist
Das wurde dir oben aber schon mehrfach erklärt.
Der Provider stößt regelmässig eine neue Prefix Delegation an was dir denn einen neuen /62er Prefix und damit neue v6 Adressen beschert.
Kannst du auch leicht selber verifizieren wenn du die FB einmal kurz vom VDSL abziehst, bis 3 zählst und wieder ansteckst.
Damit solltest du einen neuen Prefix und damit neue v6 IPs bekommen. face-wink
Da die pfSense die Adressen nach intern verteilt müsste ich das doch auf der pfSense einrichten, richtig?
Richtig! Guckst du auch hier
Fortlaufenden Interface Index nicht vergessen!
pixel24
pixel24 27.02.2024 um 19:46:59 Uhr
Goto Top
Das wurde dir oben aber schon mehrfach erklärt.
Der Provider stößt regelmässig eine neue Prefix Delegation an was dir denn einen neuen /62er Prefix und damit > neue v6 Adressen beschert.

Ja, das der Provider das tut habe ich schon verstanden. Warum er es tut ist mir nicht klar. Es gibt doch bei IPv6 unfassbar viele Adressen.

Kannst du auch leicht selber verifizieren wenn du die FB einmal kurz vom VDSL abziehst, bis 3 zählst und wieder
ansteckst.
Damit solltest du einen neuen Prefix und damit neue v6 IPs bekommen.

Das habe ich gerade, bevor ich deine Antwort gelesen habe, aus Neugierde ausprobiert. Ist zwar kein DSL sondern Kabel vom VF. Ich habe die heute schon zweimal mehr als eine Minute vom Strom getrennt und wieder eingeschaltet. Das delegierte Subnet/Präfix ist immer gleich geblieben.

Richtig! Guckst du auch hier
Fortlaufenden Interface Index nicht vergessen!

Das schaue ich mir gleich an. Habe es nur kurz überflogen. Das ist ja im Großen und Ganzen die gleiche Einrichtung wie sie in der Anleitung (Kabel Deutschland & pfSense), die du ganz oben verlinkt hast.

Allerdings wird hier die Option:

[x] Fordere lediglich ein IPv6 Prefix an aber keine IPv6 Adresse

aktiviert. Über DDNS steht da ja nichts.

Ich habe auch mal recherchiert aber nichts gefunden. Primäe muss ich doch zuerst klären ob es bei Strato, hier sindie Subdomains für die Hosts im DNS angelegt. Im Dortigen Backend kann ich bei beim A-Record dynamische Updates aktivieren. Dieser wurde dann mit dem DDNS-Client auf der pfSense dynamisch befüllt.

Für den AAAA-Record finde ich hier keine Einstellung.
aqui
Lösung aqui 27.02.2024 um 20:03:06 Uhr
Goto Top
Das delegierte Subnet/Präfix ist immer gleich geblieben.
Du könntest Glück haben das das bei dir statisch ist. Möglich ist aber auch das die Lifetime entsprechend lang ist und solange die nicht abgelaufen ist es dabei bleibt.
pixel24
pixel24 27.02.2024 um 20:38:58 Uhr
Goto Top
Ich versuche gerade mal den externen Zugriff zu testen.

die pfSense hat

WAN-IP:

inet6 2a02:xxxx:2180:8e00:6ce5:7bff:fe10:c05b prefixlen 128 pltime 3600 vltime 7200

LAN-IP:

inet6 2a02:xxxx:2180:8e1c:64b2:19ff:fef9:5232 prefixlen 64

Hinter der pfSense hat ein UCS-Host über SLAAC die Adresse:

inet6 2a02:xxxx:2180:8e1c:2001:c4ff:fe93:a8aa/64 scope global dynamic mngtmpaddr

und hierauf läuft das Webinterface auf Port 443. Ich habe es auch zunächst von intern getestet und im Browser:

https://[a02:xxxx:2180:8e1c:2001:c4ff:fe93:a8aa]

aufgerufen. Funktioniert.


Nun habe ich auf der FB für IPv6 die WAN-Adresse (IPv6) der pfSense als Exposed-Host eingerichtet.

fb-ipv6-freigabe

Ich denke das ist notwendig damit der ankommende IPv6-Verkehr auch auf der pfSense landet.

Auf der pfSense habe ich eine Regel eingerichtet:

pfsense-ipv6-regel-1

und siehe da es funktioniert face-smile

Jetzt muss ich noch irgendwie das Thema DDNS hin bekommen. Für jeden Host hinter der pfSense die erreichbar sein soll ist bei Strato eine Subdomain eingerichtet. Mit einem IPv4-Anschluss wie ich ihn Zuhause habe funktioniert das ja. Der DDNS-Dienst auf der pfSense trägt die Adresse bei einer Änderung in den A-Record bei STrato ein.

Ob und wie das mit IPv6 funktioniert weiß ich im Moment nicht und habe bisher im Web auch nichts brauchbares gefunden.
Lochkartenstanzer
Lösung Lochkartenstanzer 27.02.2024 um 23:11:40 Uhr
Goto Top
Zitat von @pixel24:

Das wurde dir oben aber schon mehrfach erklärt.
Der Provider stößt regelmässig eine neue Prefix Delegation an was dir denn einen neuen /62er Prefix und damit > neue v6 Adressen beschert.

Ja, das der Provider das tut habe ich schon verstanden. Warum er es tut ist mir nicht klar. Es gibt doch bei IPv6 unfassbar viele Adressen.


Moin,

Ganz einfach: Er will statische Präfixe gegen Geld verkaufen. face-smile

Wenn der Präfix dauernd wechselt, kannst Du lokal keine Internetservices laufen lassen, die darauf angewiesen sind, längere Zeit unter der gleichen IP-Adresse zu laufen, zumindest wenn naiv die Sache angeht.

Außerdem wird das als Sicherheitsfeature verkauft, so ähnlich wie früher sich die v4-Adressen sich dauernd geändert haben und man damit sich nicht auf ein Ziel "einschießen" konnte.

Letztendlich könnten die Provider tatsächlich jdem einen fixen Präfix geben, machen sie aber nicht, weil so so mehr Geld verdienen wollen.

lks
pixel24
pixel24 27.02.2024 um 23:20:31 Uhr
Goto Top
Ja, ich denke nicht dass es statisch ist. Es wird sich ändern, wenn auch nicht oft. Zuhause (Auch Vodafone, allerdings: Cable Max 1000 mit IPv4) war die IP auch oft mehrere Wochen gleich, aber dann plötzlich eine andere.

Ich werde Morgen im pfSense-Forum fragen ob jemand Strato, sowie einen Anschluss mit dynamischer IPv6, hat. Die geänderte IP soll dynamisch in den AAA-Record. Es funktioniert mit IPv4 doch auch, nur eben mit dem A-Record und der IPv4-Adresse.

Besten Dank für die Hilfe!
Lochkartenstanzer
Lochkartenstanzer 27.02.2024 um 23:47:46 Uhr
Goto Top
D
Zitat von @pixel24:

Ja, ich denke nicht dass es statisch ist. Es wird sich ändern, wenn auch nicht oft. Zuhause (Auch Vodafone, allerdings: Cable Max 1000 mit IPv4) war die IP auch oft mehrere Wochen gleich, aber dann plötzlich eine andere.

Ich werde Morgen im pfSense-Forum fragen ob jemand Strato, sowie einen Anschluss mit dynamischer IPv6, hat. Die geänderte IP soll dynamisch in den AAA-Record. Es funktioniert mit IPv4 doch auch, nur eben mit dem A-Record und der IPv4-Adresse.

Besten Dank für die Hilfe!

Moin,

Dyndns bei Strato funktioniert auch mit ipv6

https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihr ...

lks
pixel24
pixel24 28.02.2024 um 08:10:21 Uhr
Goto Top
Ja, ich habe es auch geschaft den AAAA-Record bei Strato dynamisch zu befüllen.

Allerdings ist das nicht so wie ich es brauche face-sad auf der pfSense läuft der DDNS-Dienst für alle Hosts. Unter IPv4 war das ja kein Problem da hier für alle Subdomains die IPv4-WAN-IP der pfSense bei Strato gesetzt wurde. Der HA-Proxy (ebenfalls auf der pfSense) hat die ankommenden HTTPS-Anfragen dynamisch auf die internen Hosts verteilt.

Nun habe ich den DDNS-Client auf der pfSense auf CostumV6 umgestellt. Das bewirkt dass bei Strato in allen Subdomains die IPv6-WAN-IP der pfSense gesetzt wird.

Das ist natürlich Quatsch. Ich habe noch keine Möglichkeit gefunden dass die pfSense hierfür die automatisch an den entsprechenden Client durchgereichte IPv6-Adresse nutzt.
Lochkartenstanzer
Lochkartenstanzer 28.02.2024 um 08:36:04 Uhr
Goto Top
Zitat von @pixel24:

Das ist natürlich Quatsch. Ich habe noch keine Möglichkeit gefunden dass die pfSense hierfür die automatisch an den entsprechenden Client durchgereichte IPv6-Adresse nutzt.

Du mußt auf jedem Client, dessen ip-Adresse per DNS Auflösung sein soll den dyndns-client verwenden. Oder per entralem Skript aus dem Präfix und der zugeordneten lokalen hostadresse dir die v6-adresse zusammenbauen und und dem dyndnsserver mitteilen.

lks
aqui
aqui 28.02.2024 aktualisiert um 10:14:02 Uhr
Goto Top
habe ich auf der FB für IPv6 die WAN-Adresse (IPv6) der pfSense als Exposed-Host eingerichtet.
Da solltest du besser etwas Vorsicht walten lassen!! Damit kann die ganze Welt auf deine Fritzbox per v6 zugreifen. Sicher keine gute Idee diesen Haken zu setzen!!
Jetzt muss ich noch irgendwie das Thema DDNS hin bekommen.
Ist auf einem Linux Rechner ja eine Kleinigkeit. Denke daran das es auf dem Host direkt gemacht werden muss und nicht auf dem Router/Firewall! Du sprichst bei v6 ja immer direkt den Host an und nicht den Router/Firewall.
pixel24
pixel24 28.02.2024 um 10:18:05 Uhr
Goto Top
Ja, hatte ich befürchtet. Da es aber lediglich 5 VM's sind werde ich den DDNS-Client auf der jeweiligen VM einrichten.

Ein Frage treibt mich in diesem Kontext noch um.

Die Situation nochmal in Kürze:

- Das von Codafone delegierte Präfix wird von der FB an die pfSense weitergegeben
- Die pfSense lässt diese ins LAN durch
- Die Server-VM's sind für IPv6 auf SLAAC konfiguriert und bekommen eine gültige IPv6 aus dem PD
- Der DDNS-Client auf der jeweiligen VM aktualisiert diese IPv6 in der entsprechenden Subdomain bei Strato

Wie soll ich das an der Firewall handhaben? Wenn sich die IPv6 der internen Server-VM ändert müsste ich ja jedes mal die FW-Regel anpassen (Destination-IP).

Mein Gedanke war dass ich den Server-VM's sowohl eine per SLAAC bezogene öffentliche IPv6 gebe und zusätzlich eine statische ULA. Für letzteres habe ich mir bei ip-six ja ein ULA-Präfix generiert und dieses auch registriert.

Das Problem dabei ist dass ich in der UCS-Konfiguration, sobald ich SLAAC aktiviert habe, keine weitere IPv6 eintragen kann.
pixel24
pixel24 09.03.2024 aktualisiert um 11:10:06 Uhr
Goto Top
Ein Frage zum Setup hätte ich noch face-smile

Da an der FB ja keine IPv4 anliegt bzw. vom Provider zur Verfügung gestellt wird, erreiche ich meine Systeme wie gewünscht aus dem mobilen Handynetz (O2) und alle "modernen" Internet-Anschlüssen bei Freunden die IPv6 unterstützen.

Getestet habe ich es bisher bei Freunden mit Telekom- bzw. Vodafone- Anschluss. Dort gehe ich ins WLAN und alles funktioniert.

Das ich meine Systeme nicht über alte DSL-Anschlüsse erreiche ist klar da diese IPv6 nicht unterstützen.

Bei einigen Freunden, diese besitzen Vodafone-Anschlüsse die IPv6 unterstützen, habe ich als Router eine pfSense installiert. Wenn ich mich bei denen im Netz befinde erreiche ich meine Systeme jedoch nicht.

Jetzt möchte ich bei denen natürlich nicht einen kompletten Duals-Stack mit IPv4 und IPv6 einrichten.

Was wäre den als Minimal-Setup an der pfSense notwendig damit ich aus deren Netze mein IPv6-Netz erreiche?
aqui
aqui 09.03.2024 aktualisiert um 12:59:59 Uhr
Goto Top
Da an der FB ja keine IPv4 anliegt bzw. vom Provider zur Verfügung gestellt wird
Das ist so nicht richtig und weisst du auch selber. Da liegt sehr wohl eine IPv4 Adresse an allerdings ist das wegen des CG-NATs auf Providerseite eine im Internet nicht geroutete RFC 1918 oder RFC 6598 IP Adresse. Siehe in das FB Dashboard!
Das ich meine Systeme nicht über alte DSL-Anschlüsse erreiche ist klar da diese IPv6 nicht unterstützen.
Auch das stimmt so nicht bzw. ist falsch formuliert. Die meisten Anschlüsse sind heutzutage Dual Stack Anschlüsse oder eben DS-Lite. Wenn aber zumindestens bei Dual Stack Anschlüssen deren Besitzer IPv6 im Router oder Firewall gar nicht aktivieren gibt es im internen LAN natürlich auch keine IPv6 Adresse und deine Verbindung scheitert, das ist klar. Wie z.B. DU bei deinen pfSense Freunden.
Hier aber dann von "alt" zu sprechen und das diese v6 "nicht unterstützen" ist zumindestest aus Netzwerk Sicht sicher unglücklich und nicht korrekt ausgedrückt. face-sad
Bei einigen Freunden, diese besitzen Vodafone-Anschlüsse die IPv6 unterstützen, habe ich als Router eine pfSense installiert.
Das ist dann aber eine peinliche Angelegenheit für dich, denn denen hast du dann schlicht und einfach durch deine falsche Firewall Konfiguration die IPv6 Funktion vorenthalten. face-sad
Jetzt möchte ich bei denen natürlich nicht einen kompletten Duals-Stack mit IPv4 und IPv6 einrichten.
Dann mal los, denn das war ja kein Ruhmesblatt für dich als Netzwerker: 🧐
Haken setzen in den Advanced Settings und das WAN Interface auf Tracking setzen hätte es ganz einfach aktiviert!
v6gen
v6wan
Lokale LAN Indices dann je nach Anzahl der lokalen Interfaces von 0 aufsteigend zuweisen:
v6track
Steht aber alles auch in der Netgate Doku für IPv6!
pixel24
pixel24 10.03.2024 um 09:59:28 Uhr
Goto Top
Das ist so nicht richtig und weisst du auch selber. Da liegt sehr wohl eine IPv4 Adresse an allerdings ist das wegen des CG-NATs auf Providerseite eine im Internet nicht geroutete RFC 1918 oder RFC 6598 IP Adresse. Siehe in das FB Dashboard!

Ja, unglücklich ausgedrückt. Das war mir so schon klar dass an einem Provider-Gateway die IPv4-Adresse anliegt die mir aber nicht weiter hilft da ich darauf ja nicht einwirken kann. Das ist die IPv4-Adresse die mir angezeigt wird wenn ich im Browser "wieistmeineip" aufrufe. In der FB habe ich durchaus nachgeschaut:

fb-online-monitor

Auch das stimmt so nicht bzw. ist falsch formuliert. Die meisten Anschlüsse sind heutzutage Dual Stack Anschlüsse oder eben DS-Lite. Wenn aber zumindestens bei Dual Stack Anschlüssen deren Besitzer IPv6 im Router oder Firewall gar nicht aktivieren gibt es im internen LAN natürlich auch keine IPv6 Adresse und deine Verbindung scheitert, das ist klar. Wie z.B. DU bei deinen pfSense Freunden.

In dem Fall wo ich es getestet habe stimmt das schon. Bei einem Freund (Kneipe wo ich öfter Musik von meinem Jellyfin-Server abspiele) liegt ein sehr sehr alter DSL-Anschluss an und da ist im Router nichts mit IPv6 zum aktivieren. So gesehen war die Aussage schon korrekt. Dieser Fall dürfte auch nur bei sehr alten Anschlüssen vorzufinden sein.

Das ist dann aber eine peinliche Angelegenheit für dich, denn denen hast du dann schlicht und einfach durch deine falsche Firewall Konfiguration die IPv6 Funktion vorenthalten.

Da gebe ich dir recht! IPv6 habe ich aktiviert. Das LAN-Interface auf Tracking zu setzen habe ich vergessen face-sad Das werde ich nächste Woche gleich testen.
aqui
aqui 10.03.2024 um 10:06:42 Uhr
Goto Top
liegt ein sehr sehr alter DSL-Anschluss an und da ist im Router nichts mit IPv6 zum aktivieren.
Das hat dann aber nix mit dem Anschluss per se zu tun sondern mit dem antiken Router den der Freund vergessen hat gegen ein modernes und aktuelles Modell zu tauschen! face-wink
Lochkartenstanzer
Lochkartenstanzer 10.03.2024 um 10:27:49 Uhr
Goto Top
Zitat von @aqui:

liegt ein sehr sehr alter DSL-Anschluss an und da ist im Router nichts mit IPv6 zum aktivieren.
Das hat dann aber nix mit dem Anschluss per se zu tun sondern mit dem antiken Router den der Freund vergessen hat gegen ein modernes und aktuelles Modell zu tauschen! face-wink

Es soll gerüchteweise aber da draußen noch (kleine) ISPs geben, denen man v6 immer noch erklären muß. face-wink

lks