Bedeutet das, dass da im Juniper etwas nicht richtig konfiguriert ist?
Dürften die /64 Netz ausserhalb von 2a02:17b0:4000:a100::/64 garnicht mit dem Gateway 2a02:17b0:4000:a100::1 funktionieren?

Ich werde die nächsten Tage mal noch testen, dass ich den Cloud Gateway Ultra, direkt an einen LAN Port an den Juniper hänge mit der Konfiguration, die du abgesegnet hast.
Dahinter dann ein Laptop und schauen was geht.

Dann kann ich alle hauseigenen Netzwerkgeräte dazwischen ausschließen.
Wenn das dann nicht geht, ist es wohl sinnvoll, ein Ticket bei NetCom aufzumachen und die Kofiguration und Problematik darlegen.

ich danke euch auf jeden Fall für eure Mühe und investierte Zeit, dass ihr euch mit dem Problem befasst habt.

Grüße

Das ist aber falsch. Gateway in deinem LAN ist immer der eigene Router. und nur im Router selbst ist das Gateway das vom Provider !! Nexthop Prinzip! Grundlagen => https://www.cisco.com/c/de_de/support/docs/dial-access/floating-static-r ...

Habe mal bei dem Raspberry Pi geschaut.
Dort habe ich ein /64er Netz angegeben mit der static IPv6 2a02:17b0:4000:a102:xy
Als Gateway habe ich auch den vom Provider vorgegebenen 2a02:17b0:4000:a100::1 drin.

Ich erreiche mit einem Telekomanschluss (also nicht hier mit selben Netz) IPv4 und IPv6 über eine Fritzbox (da ist halt alles mit automatischer Konfiguration) den Apache mit default Page über die IPv6 mit http://[XY] im Internet.

Auf dem Raspberry mit Ubuntu 24.04 ist nur die IPv6 eingerichtet.

Wie gesagt, ich verstehe das nicht. Die direkten Einrichtungen aus dem Transfernetz oder mit einem eigenen /64 Netz oder auch mit /56 und immer mit dem Gateway der vorgegeben ist, ist das kein Problem.
Konfigurieren und direkt im Internet.

Aber ich möchte ja die IPv6 Kisten hinter einem Router/Firewall haben.

Da bin ich mit meinem Latein am Ende.

Hi, die CA Queue ist leer.

Die Logs hab ich heruntergeladen. Mit was kann man die Logs öffnen? Beim Notepad kommen nur chinesische Zeichen .


Freundliche Grüße

Danke für den Tip! Funktioniert das auch mit Office-Dateien? (Word, Excel, Powerpoint)

Klar da über RAs die Gegenstelle gelernt wird, ist so aber trotzdem Bullshit. Der Nexthop muss immer eine direkt erreichbare Adresse sein.

Das "müsste" bringt mich schon zum schmunzeln. Offensichtlich sind die sich selbst gar nicht sicher was sie da konfiguriert haben .

Ja bei der Konfiguration auf dem Laptop.
Aber es funktioniert. Ich bin gerade an dem Laptop am schreiben und auch der Ping unter Windows wurde auf dem Laptop mit der Konfiguration gemacht.

NetCom schreibt ja (ich verstehe das aber mit IPv6 noch nicht):

E-Mail vom Provider Zitat:
".... für unsere Kunden XY ist das gesamte IPv6 Präfix 2a02:17a0:4000:a100::/56 vorgesehen.
Aus dem gesamten Präfix ist am Router (Juniper SRX340) ein IPv6-Transfernetz abgespaltet und konfiguriert: 2a02:17b0:4000:a100::/64
In diesem Transfernetz hat unser Router die Gateway-Adresse 2a02:17b0:4000:a100::1/64
Nun kann der Kunde innerhalb dieses /64-Transfernetz z.B. eine Firewall mit einer innerhalb des /64-Präfix gültigen Adresse einrichten.
Die gesamte Adressen des /56-Präfix müssten dann nutzbar sein......."

Ich habe da jetzt die IPs nicht verändert, wie im Eingangs Post, weil in den Ping Bildern und den Konfigurationen sind auch die orginalen drin.

Ich sitze gerade hier und schreibe und kann die IPv6 Adressen mit https://[xy.......] direkt im Browser aufrufen.

Somit habe ich als einziger hier eine funktionierende IPv6 Anbindung.
Hier ein ping und ein curl auf ipv6.google.com



Ich schaue mal kurz ob das auch geht wenn ich IPv4 deaktiviere und nur mit IPv6 im Netz bin.

Moinsen,

Na, du hast einen Vertrag bei ISP XY, der gibt dir bei Vertragsabschluss deine Anmeldedaten (meist "Benutzerkennung" und Passwort, damit du dich in dessen Netz anmelden kannst und dieses zukünftig nutzen kannst...ohne Anmeldedaten kein Internet.

Hallo,
ich nutze zur Dateisuche (auch für Inhalte) den TotalCommander.
LG
SH

Die IP und das Default-Gateway liegen bei einer 64er Maske nicht im selben Subnetz ....

You asked, I replied.
Your comments aren't really relevant.
Other solutions, like Google and Apple, also offer similar features for personal accounts.
Would companies change their minds with this kind of feature... Here is the question

Nachtrag zum vorherigen Post.

Hier die aktuelle IPv6 Konfiguration an einem Lenovo P17.
Der Laptop ist mit der Dockingstation über USB C verbunden und mit Dockingstation LAN konfiguriert.

Weil die LAN Buchse am Laptop frei ist habe ich dort IPv4 Häckchen rausgenommen und IPv6 konfiguriert. Diesmal ausserhalb vom Transfernetz.
Damit habe ich in unserem IPv4 Netz hier eine wunderbare IPv6 Anbindung an die große weite Welt.
Allerdings hängt mit dieser IPv6 Adresse das Laptop direkt im Internet.

Ist fast so wie früher als man nur ein Modem hatte und der PC die PPPoE Daten enthielt

I told you so... self-promotion.

We implemented this in the OpenOTP server, but the purpose of the post was to gather feedback on whether it would be beneficial for companies and users (for users for sure) to replace the traditional password rotation routine with this type of mechanism.

Hallo zusammen,

danke für eure schnelle Rückmeldung.
Ist für mich schon beeindruckend wie ihr das analysiert.

Ich schildere kurz noch einmal mein Problem.

Das Positive zuerst.
Ich kann in Betriebssystem mit oder ohne GUI, an das Netz hängen und mit IPv6 static konfigurieren und das funktioniert wunderbar.

Der Aufbau noch einmal kurz:
Der Juniper SRX340 vom Provider und danach nur noch Switche und Patchpanels.

Der erste Switch nach dem Juniper ist ein EdgeSwitch8. Bei dem habe ich mir die Zugangsdaten geben lassen und die neuste Firmeware 1.10.4 geflasht.
Auf dem Switch habe ich eine IPv6 static Adresse und das IPv6 Gateway eingerichtet und erreiche damit mit IPv6, den Switch, direkt im Internet.

Ich kann auch ein Raspberry mit einem Apache2 aufsetzten und haben ihn dann direkt mit default Page im Internet mit IPv6. Ich muss natürlich die IPv6 konfigurieren.
An dem Juniper gibt es bei IPv6 und IPv4 kein DHCP. Mit IPV4 haben wir das eingerichtet und erfreuen uns an einer 600 syncronen Leitung.

Was mir nicht gelingt, ist es, mit einem Router MikroTik, pfsense, OpenWRT oder Unifi eine WAN - LAN IPv6 Verbindung aufzubauen, in der die Clienten hinter dem Router bzw. der pfsense diekt eine Internetverbindung bekommen.

Mit IPv4 wie gesagt kein Problem.

Der Ping auf das Gateway 2a02:17b0:4000:a100::1 wird nicht geblock. Ich kann von einem Client, den ich direkt konfiguriere einen Ping setzen.

Deshalb war meine Überschrift im Thread so formuliert. Ich benötige ein funktionierendes LAN WAN IPv6 Setting mit static IPv6. Eben so wie in der Frage formuliert.

Ich habe mir damit erhofft, dass ich erkennen kann, mit euerer Hilfe, wo das Problem ist.
Wie geschrieben haben wir ein IPv6 /56 Prefix mit einem Transfernetz, das mit einzelnen Clienten wunderbar funktioniert.

Ich kann dabei IPv6 static IP aus dem /64er Transerfernetz nehmen oder aus dem /56 er Netz.
Ich richte ein Gerät ein mit static IPv6, mit dem Gateway 2a02:17b0:4000:a100::1 und den DNS Server vom Provider und die Sache läuft.

Dann wollte ich mal schnell einen Router konfigurieren.

Also das WAN Interface eingerichtet:

und dann das LAN Interface:

und ........... Kacke wars.

Ich habe mich schon mal etwas gefreut, als mit catrell geschrieben hat, dass die Konfiguration so stimmt.
Aber die Clienten bekommen zwar eine IP Adresse, im Beispiel aus dem Netz 2a02:17b0:4000:a101::/64er Netz aber die Internetverbindung geht nicht.

Danke euch für eure Hilfe und Grüße

So which system do you recommend?

@aqui:

Ich kann dir nur berichten, was Unifi macht. Wenn ich im Unifi-Controller diese Option aktiviere, dann ist nur die Kommunikation zwischen Clients am selben AP unterbunden. Insofern muss ich zusätzlich auf Layer-2-Ebene auf dem Switch regeln. Wie soll das denn anders funktionieren? Wenn ich weitere VLANs oder PVLANs einrichten würde, so wäre die Regelung natürlich nicht auf dem Switch, sondern auf der pfSense.

Sorry wenn ich ein wenig begriffsstutzig bin, aber was meinst du mit Anmeldedaten (die zum Anschluss gehören)?


Ah ok, das habe ich dann komplett falsch verstanden, aufgrund von dieser Aussage:


Ich hatte es so verstanden, weil der Speedport Router DHCP übernimmt. Aber vielleicht gibt es hier auch gerade Überschneidungen von den Themen Pihole und VPN. Würde mir erstmal das Wireguard Tutorial komplett zu Gemüte führen.

The system checks passwords against a database of millions of known weak or leaked passwords. The process starts with locally hashing the user's password. Only the first five characters of the hash are then transmitted and a service compares this partial hash to its database and returns possible matches, allowing verification if the full hash is compromised locally.

The moderator monitors this 😉

It will come.

Yes, but he was stupid to put the link in. So you can just do it for him...

Spam Spam Spam ...

Nah....How real-time is real-time? And who notices the data breach? If it's breached by capable people, it will take months for the breach to be discovered.
The problem is not the management of passwords, but the passwords themselves.

Client Isolation per SSID isoliert nicht die Clients, unabhängig vom AP?

Vielen Dank, DocFetcher hört sich sehr vielversprechend an, v.a. dass es den Index kontinuierlich auf dem Laufenden hält und keine regelmässigen Komplett-Indexierungen zu machen scheint. Werde ich mal ausprobieren.

@goscho: Nur mittels Windows Update, eigentlich möchten wir keine unnötigen Software auf unseren Geräte installieren. Was ich festgestellt habe das wenn man das Notebook anschliesst an das USB-C Kabel (Ausgang 65 Watt am Monitor), dann geht es bis 20 Minuten bis das LAN vorhanden ist, bis dahin hat man nur die Weltkugel, bei meinem Monitor von HP auch mit eingebauter Dockingstation kann ich das Notebook starten und hjabe sofort das Netzwerk, und auch da ist das Netzwerkkabel am Monitor eingesteckt.

Moin,

seit langem arbeite ich selber mit MS Office, habe aber selber allen, die nicht über das "Normale" ein Office nutzen wollen, Libre Office empfohlen. Keiner hat sich beklagt.

Vorgestern habe ich aus Spaß an der Freud, und weil es hier auch empfohlen wurde, "SoftMaker Office Standard 2021 für Windows, Mac und Linux" über diesen Link erworben:

Softmaker Office 2021 Standard for free

Es gibt bestimmt immer mehr User die es mal probieren möchten :>))

BG BM

Hallo ThePinky777,

die Scopes sind natürlich so eingestellt. Das Problem war trotzdem vorhanden :-o.

Ich habe inzwischen auf den DNS-Servern der Cache gelöscht und nun scheint es zu funktionieren.

Ich beobachte die Sache aber noch....

VG

Z.B.

• https://docfetcher.sourceforge.io/de/index.html
• https://www.wincatalog.com/file-indexing.html

Gruß catrell

Diese Leute wird es immer geben, meinen bisherigen Erfahrungen nach würde ich drei Typen unterscheiden:

- Geizige, meist ältere Chefs die gar nicht einsehen warum sie mal etwas neues brauchen und die auch keinen Vorteil darin sehen - schließlich lief es früher ja auch gut damit. Schlimm vor allem, wenn sie "eh nicht mehr lange" tätig sind.

- Leute, die sich für deinen wichtigsten Kunden halten, weil sie so toll sind.

- Und die Kriminellen, die jede Scham verloren haben und überall versuchen, noch ein paar Euro abzugreifen. Die findet man oft in der Leitung von Pflegediensten oder in Branchen, wo man einfach systematisch Abrechnungsbetrug begehen kann.

Allen ist gemein das man sie relativ schnell daran erkennt, wie sie z.B. ihre Mitarbeiter behandeln. In meiner Ausbildung haben die Kunden meinem Chef leider nicht die Bude eingerannt, daher haben wir auch solche Problemkunden gehabt.

Ich spiele an auf: Win-setup booten, shift f10 - regedit. Von dort aus kann man all das manuell tun, was man braucht, um Kennwörter zu resetten.

Naja, die Meldung ist jetzt wieder eine Andere...

deinem Zertifikat wird nicht vertraut.
Musst das Zertifikat im Computer oder User Zertifikatsstore unter "Trusted Publishers" hinterlegen wenn es nur ein self-signed Cert ist. Evtl. noch als Trusted Root Certification Authority, das müsstest du aber mal probieren.

Wenn du eine richtige CA verwendest musst du die Zertifikats-Chain korrekt hinterlegen, damit denen überhaupt vertraut wird und das Signing Cert bei den Clients im Trusted Publishers Store hinterlegen.

Ich glaube es wäre sinnvoll sich etwas in Zertifikate reinzulesen...

VG

Stimmt, bin auf deine doppelte Verneinung reingefallen...sorry für die Verwirrung! 🙈
Für eine statische IP Route?? 🤔 Wohl kaum...
Nur um weiteren Missverständnissen vorzubeugen: Das Setup des lokal verwendeten DNS Servers (hier dein PiHole) steht immer in der Wireguard Client Setup Datei und nicht im Router! (Siehe WG Tutorial!)
Nicht das du hier 2 völlig getrennte Baustellen mit einmal DDNS (im Router) und einmal dem internen DNS Server bei Wireguard (nur WG Client Setup) verwechselst. Beide haben nicht das Geringste miteinander zu tun!
Bei aktivem VPN Tunnel verwendet der Client dann statt des lokal erlernten DNS den der ihm im Wireguard Setup mitgegeben wird. Hier im Beispiel 172.16.2.1, bei dir dann die IP deines PiHole.
Kannst du mit ipconfig -all und mit den entsprechenden DNS Testtools wie nslookup oder host auch ganz einfach selber testen und verifizieren! Via Smartphone erledigen das die bekannten HE.NET Tools aus dem jeweiligen App Store.

Moinsen,
das kann eigentlich nicht sein:
in deinem Bild gehören im oberen Teil die Daten, die dein ISP für deinen Vertrag angegeben hat.
Der untere Teil ist einfach für die IP des gewünschten DNS Servers, und das kann auch dein Pihole sein und dafür werden auch keine Credentials für Anmeldungen erwartet...
Also: oben am Besten NICHT Telekom (automatisch) wählen, sondern hier einen eigenen Eintrag mit den Anmeldedaten (die zum Anschluss gehören!) angeben, unten dann frei die IP des DNS eintragen, speichern...das sollte es auch schon gewesen sein.

Moin,
Kann ich aus dem Stehgreifen nicht beurteilen, ob das so (nicht) ist. Aber sowie ich dich kenne, hast du bereits ausführlich bei Microsoft recherchiert. Spielst du auf den Weg mit Hilfe der cmd.exe an?


Gruß,
Dani

Ich glaube du hast mich missverstanden. Ich benutze NICHT 443 sondern einen Port zwischen zwischen 49152 und 65535. So abwertende Implikationen finde ich etwas unnötig. Vielleicht können wir einfach sachlich bleiben.


Habe es versucht. Die UI vom Speedport erwartet, dass ich Accountdaten angebe

@Lochkartenstanzer: Zu "PS: Was benutzen die Leute auch "uralte" Officeversionen." -> Ist noch im offiziellen Support und ein Updates hat's kaputt gemacht.

Aber als Nachtrag: Wollte es am heutigen 14.11. melden, aber Microsoft hat es inzwischen bestätigt. Ist im Blog-Beitrag mit Workarounds nachgetragen.

@Lochkartenstanzer: Zu "Selbst ein Office 2000 würde für die meisten heutzutage noch reichen." - ich habe weiterhin hier ein Word 2000 und Excel 2000 unter Win10 2019 IoT Enterprise LTSC am Start - für die seltenen Überarbeitungen meiner Rest-Buchprojekte weiß ich, dass Word 2000 den Workflow mit Macros unterstützt.

Ansonsten kommt hat LibreOffice zum Einsatz. Aber wie wusste schon Konrad Adenauer "ich stelle fest, ich bin einzich ..."

Glücklicherweise hat dein Fehler keinen Capture Filter auf ICMPv6 zu setzen dazu geführt das man auch anderen Traffic sehen kann insbesondere den DNS Traffic.
Dort sieht man das dein Router mit der 2a02:17b0:4000:a100::2 Absender IP den v6 DNS Server erfolgreich kontaktiert und ihn zu Hostnamen befragt, was zeigt das die v6 Connectivity vom Router im Trace ohne Filter generell gegeben ist.
Kollege @150940 war schneller... Das du die 2a02:17b0:4000:a100::1 nicht pingen kannst kann in der Tat schlicht und einfach daran liegen das der Provider ICMPv6 mit Typ 128 (Echo Requests) in seinem Router per ACL blockt um Ping Attacken usw. zu unterbinden. Das ist generell nicht unüblich bei Providern. Hast du das mit deren Hotline geklärt ob dem so ist ansonsten pingst du dir einen Wolf?! Du solltest deshalb eher www.heise.de oder andere v6 Ziele pingen. Bekommst du da eine v6 Antwort ist die v6 Connectivity ok.
Leider fehlt auch dieser Ping Trace mit und ohne Filter aus dem lokalen ...::a101 LAN.
Nebenbei: Administrator.de scheitert, weil @Frank es traurigerweise immer noch nicht geschafft hat das Forum auch per v6 erreichbar zu machen.

Der Fake WSUS funktioniert. Glaub mir, den kann MS nicht deaktivieren.

Moin,

das hast Du gut gemacht. Genau die richtige Reaktion. 👍
Hier hasde 'ne ☕Kaffee / Tee und 'n 🥐

Gruss Penny.

Im Packet 99 des gefilterten traces sieht man das der Ping vom Client rausgeht, aber keine Antwort eintrifft, also ist hier deine Firewall schon mal nicht schuld. Ebenso die Pings vom Gateway an Google und Cloudflare kommen nicht durch . Der vorgelagerte Router verbietet wohl die ICMPv6-Kommunikation (echo request) über das Gateway.
Verifizierst du z.B. schnell mittels openssl s_client -connect ipv6.google.com:443 . Wenn das erfolgreich durchgeht wird icmp gefiltert.
Was klar sein sollte ist, das du mit IPv6 only natürlich nur auf per IPv6 erreichbare Gegenstellen zugreifen kannst. Wenn du per IPv6only auch auf IPv4only-Resourcen zugreifen willst benötigst du zusätzlich Techniken wie NAT64/DNS64.

Hallo,
noch mal kurz ein bisschen Senf zu dem Thema von mir. Allerdings eher so von der Client-Seite.
Du möchtest eine zuverlässig Lösung? Trenne den Server vollständig vom Internet.

In den letzten Jahren habe ich alles Mögliche probiert um Win10/11 Clients davon abzuhalten Updates ungefragt zu installieren oder neu zu starten. Hoffnungslos.

Microsoft ignoriert seine eigenen Vorgaben/Einstellungen, deaktivert ungefragt Deine Änderungen, Installiert Updates mit Dual-Scan an allen Einstellungen vorbei. Teilweise sogar über die "Abkürzung" von anderen Clients im LAN, etc.

Ich hatte mal eine Meldung im Eventlog die Sinngemäß diesen Inhalt enthielt: Der WSUS-Server hat seit längerem keine neuen Updates bereitgestellt. Ich installiere jetzt Updates von einer Online-Quelle. (Der WSUS war ein echte WSUS der aber keine Updates enthielt. Also nur ein Blocker).

Stefan

Hallo zusammen,

ich hatte nun endlich wieder Zeit, mit IPv6 weiter zu testen.

Ich habe von einem Laptop aus, mit Wireshark eine SSH Verbindung auf den Unif Cloud Gatway Ultra gestartet und Wiresark laufen lassen.

Könnt ihr mir sagen, wie ihr das interpretiert.

Hier mal ohne Filter und mit ICMP Filter:


Die LAN und WAN Einstellungen mit IPv6 sind wie oben beschrieben.
Vom Laptop aus kann ich noch mit Erfolg die WAN IP (2a02:17b0:4000:a100::2) im Cloud Gateway Ultra anpingen aber den WAN Gateway (2a02:17b0:4000:a100::1) nicht mehr.

Danke euch