- Anzeige -

Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Kleiner IPv6-Workshop

Beitragvon mbus » 03.01.2015, 23:02

ich versuchs gerade erstmal übers lan.
pc - fritzbox - telefon (mangels zwiten anschluss mit IPv6)
aber da gehts zumindest mit dem fritzbox link. sprich den [buchstabensalat.myfritz.net] <- der link zur fritzbox geht.
der link vom telefon [https://s675ip.buchstabensalat.myfritz.net] wie auch [s675ip.buchstabensalat.myfritz.net] gehen nicht
ich habs auch über den dyndns-versucht, da gings auch nicht. (und der dürfte ja definitiv übers netz gehen denke ich)

zb. mbus-tel.ignorelist.com -> server nicht erreichbar.

nach dem stöbern im thread mal lookup versucht zur eingrenzung des problems: http://www.bilder-hosting.info/viewer.php?id=opt1420322363m.jpg
https://s675ip.buchstabensalat.myfritz.net wurde von fritzbox nicht gefunden
somit sagt meine fritzbox der server wurde nicht gefunden. egal ob ich des https:// davor weglasse oder nicht, ebenso das mit dem port (:443) was bei IPv6 ja nicht sein muss
aber die eigene adresse findet er so aber auch nicht. *verwirrt ist* ich gebs dran für heute. bis montag
mbus
Kabelneuling
 
Beiträge: 5
Registriert: 03.01.2015, 21:55

Re: Kleiner IPv6-Workshop

Beitragvon Leseratte10 » 04.01.2015, 00:42

Passiert das auch, wenn du einen externen DNS-Server abfragst?

Code: Alles auswählen
nslookup s675ip.asdfghjkl.myfritz.net 8.8.8.8


Außerdem hat das Protokoll in einer DNS-Abfrage nix zu suchen - nicht "https://s675ip.asdf.myfritz.net" sondern "s675ip.asdf.myfritz.net."
Leseratte10
Glasfaserstrecke
 
Beiträge: 1275
Registriert: 07.03.2013, 16:56

Re: Kleiner IPv6-Workshop

Beitragvon kuhno » 09.01.2015, 10:55

Wäre es nicht prinzipiell auch möglich, sich eine Art DS selbst zu bauen?
Ich stelle mir einen Server vor, der ein internes LAN hat, auf WAN-Seite aber zwei Interfaces: UM für IPv6 (also hinter das Modem hängen) und z.B. LTE für IPv4.

Je nach Anfrage soll besagter Server über das entsprechende Interface routen, bzw. wenn eine URI nicht nach IPv6 aufgelöst werden kann, soll IPv4 als Fallback verwendet werden.
Auch dient die IPv4-Anbindung dazu, von nicht v6-fähigen Clients zu mir zu verbinden.
Das interne LAN würde man dann vermutlich zweigleisig per IPv4 und v6 vernetzen.

Wäre soetwas prinzipiell machbar?
Vielleicht sogar in einer FB mit eingestecktem UMTS-Stick?
kuhno
Kabelneuling
 
Beiträge: 4
Registriert: 16.12.2014, 14:42
Wohnort: Aachen

Re: Kleiner IPv6-Workshop

Beitragvon hajodele » 09.01.2015, 11:55

kuhno hat geschrieben:Wäre es nicht prinzipiell auch möglich, sich eine Art DS selbst zu bauen?
Ich stelle mir einen Server vor, der ein internes LAN hat, auf WAN-Seite aber zwei Interfaces: UM für IPv6 (also hinter das Modem hängen) und z.B. LTE für IPv4.

Theoretisch ist das schon möglich.
In der Praxis scheitert das aber schon am erforderlichen Geldaufwand. Da ist es einfacher und billiger einen Businesstarif (mit IPv4) zu nehmen und dort einen entsprechenden (statischen) IPv6-Tunnel zu verwenden.
Da es ja um den Zugang von aussen geht, brauchst du einen DynDNS-Anbieter, bei dem die entsprechenden (A) und (AAAA) Einträge selectiv auf den gleichen Namen eingetragen werden.

kuhno hat geschrieben:Vielleicht sogar in einer FB mit eingestecktem UMTS-Stick?

Das haben wir nicht, und bekommen auch so schnell nicht rein :zwinker: Selbst bei der noch nicht verfügbaren 6490 gibt es das nicht: http://avm.de/nc/service/fritzbox/fritz ... inrichten/

Man beachte vor allem: Die privaten Tarife untersagen den Server-Betrieb.
hajodele
Kabelkopfstation
 
Beiträge: 3963
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 09.01.2015, 12:35

hajodele hat geschrieben:
kuhno hat geschrieben:Wäre es nicht prinzipiell auch möglich, sich eine Art DS selbst zu bauen?
Ich stelle mir einen Server vor, der ein internes LAN hat, auf WAN-Seite aber zwei Interfaces: UM für IPv6 (also hinter das Modem hängen) und z.B. LTE für IPv4.

Theoretisch ist das schon möglich.
In der Praxis scheitert das aber schon am erforderlichen Geldaufwand. Da ist es einfacher und billiger einen Businesstarif (mit IPv4) zu nehmen und dort einen entsprechenden (statischen) IPv6-Tunnel zu verwenden.


Für 50 MBit/s ist das korrekt.

Bei allen Tarifen über 50 MBit/s kann sich folgender Aufbau rechnen:
TC7200 mit IPv6-Firewall disabled + OpenWrt-Router mit IPv6 im Firewall-Modus (IPv6 relay = Nicht wirklich Router aber auch nicht wirklich nur Access Point) + VPN-Anbieter (Nach Möglichkeit per IPv6 erreichbar) für IPv4.

OpenWrt hat allerdings drei gravierende Nachteile:
- Es ist eine Qual im 4rsch zu konfigurieren
- Die Performance ist grottig (Das Hardware-NAT der Router geht verloren, damit wird die NAT-Leistung mindestens halbiert)
- Die IPv6-Firewall basiert auf iptables und kann immer noch nicht anständig mit wechselnden Präfixen umgehen

Aber:
- Schlimmer als das TC7200 ist OpenWrt auch nicht
- Ein per IPv6 erreichbarer Tunnel, welcher dann eine statische IPv4 tunnelt, ist bereits für 4,20 EUR/mtl. zu haben, der Business-Tarif mit 100 MBit/s hingegen hat einen deutlich höheren Aufpreis ggü. dem Privatkundentarif mit 120 MBit/s.

Der Grundaufbau ist relativ banal:
1. Der OpenWrt-Router teilt sich die native IPv6-Anbindung mit dem TC7200, der sie bereitstellt.
2. Die IPv6-Firewall des TC7200 wird komplett deaktiviert (Dann aber bitte keine Geräte mehr direkt am TC7200 anstecken), diese Aufgabe übernimmt OpenWrt
3. Im OpenWrt-Router wird ein VPN eingerichtet, welches über IPv6 aufgebaut wird und die statische IPv4 des Tunnelanbieters "nach Hause holt".
4. Dieses VPN wird nun nicht, wie bei einem echten VPN, in die Firewall-Zone "vpn" oder "lan" gepackt, sondern in die Zone "wan".

Nun kann man sich entscheiden:
5a. Das o.g. VPN wird als alleinige IPv4-WAN-Anbindung verwendet (Traffic-Limits beachten)
5b. Die IPv4-lite-Verbindung wird zusätzlich zum VPN eingerichtet (Ein Ergebnis ähnlich einem Dual-WAN)

Bei 5a ist hinter dem OpenWrt-Router vom IPv4-lite nichts mehr übrig, es ist eine echte Dual-Stack-Anbindung (Mit lediglich etwas reduzierter MTU für IPv4 durch den Tunneloverhead). Man hat jedoch die Traffic-Limits des Tunnelanbieters zu beachten.

Bei Variante 5b kann die IPv4-lite-Anbindung weiterhin für ausgehenden IPv4-Traffic herhalten um den VPN-Tunnel vom Traffic zu entlasten. Die VPN-Anbindung wird nur für eingehenden IPv4-Traffic genutzt oder solchen ausgehenden, bei dem der Server unbedingt die erreichbare IPv4 als Absender-IP sehen soll.
Diese Variante ist natürlich deutlich aufwendiger zu pflegen, da man schlimmstenfalls für jeden weiteren Server, den man durch den VPN-Tunnel erreichen will, eine weitere Route anlegen muß ...


Ob das sinnvoll ist, muß jeder für sich entscheiden.
Ich sehe das so:
Wir habe nicht mehr 1998, so langsam sind die Serverbetreiber, Hardwarehersteller, Provider, usw. schon in der Pflicht, voll funktionsfähige Produkte anzubieten, also solche mit IPv6-Support.
Damit lösen sich sämtliche Probleme die durch fehlendes IPv6 entstehen von selber auf.

Es kann nicht immer noch auf den Benutzer oder die Provider mit IPv6 abgewälzt werden, für Retro-Hardware, Retro-Anschlüsse, usw. usf. workarounds zu implementieren.
Wenn myvideo (IPv4-only) ruckelt und youtube (Dual Stack) nicht, dann ist MyVideo und nicht Unitymedia oder der Benutzer in der Pflicht, das Problem abzustellen.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon hajodele » 09.01.2015, 13:55

Es geht ja nur darum, dass es keine vernünftige ausschließlich interne Lösung gibt.

Wenn es z.B. nur darum geht, dass man nur von einer abzählbaren Menge an Internetanschlüssen zugreifen muss, kann man dort auch schlicht einen IPv6-Tunnel kostenlos einrichten.
hajodele
Kabelkopfstation
 
Beiträge: 3963
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 09.01.2015, 14:07

hajodele hat geschrieben:Es geht ja nur darum, dass es keine vernünftige ausschließlich interne Lösung gibt.

Das ist logisch, denn schon das Problem ist ja im Kern auch ein rein externes.

Wenn Du nix eingekauft hast, ist und bleibt der Kühlschrank leer, egal wie lange Du am Kühlschrank herum reparierst.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon kuhno » 09.01.2015, 16:35

hajodele hat geschrieben:Theoretisch ist das schon möglich.
In der Praxis scheitert das aber schon am erforderlichen Geldaufwand.

Man beachte vor allem: Die privaten Tarife untersagen den Server-Betrieb.

Danke für die Antwort, ich werde es versuchen.

Finanzieller Aufwand dürfte bei mir kaum anfallen, Zugriff auf fähige Hardware und wenn nötig performante Server zum Tunneln/Proxen nabe ich.

Als Serverbetrieb würde ich das ganze auch nicht bezeichnen, es geht in meinem Szenario darum, max. ein hatbes Dutzend Freunde von außerhalb z.B. auf unsere Minecraftmap zu lassen. Dass man das auch als Serverdienst sehen kann, dessen bin ich mir bewusst.

Idee war, einen BarebonePC, der als WG-interner Server rumsteht, als Gateway zu verwenden, der eben per LAN1 mit dem Modem und per LAN2 mit unserem LAN (welches idealerweise als v4 und v6 existiert) verbunden ist, der NAT für die IPv4-Verbindung spielt und für v6 auch NAT oder nur Gateway.
Das Problem wird die Logik sein, die die Anfragen auf die 2 verfügbaren Upstreams aufteilt, am besten v4 eben nur als Fallback für Ziele verwendet, die kein v6 beherrschen.
kuhno
Kabelneuling
 
Beiträge: 4
Registriert: 16.12.2014, 14:42
Wohnort: Aachen

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 09.01.2015, 17:21

kuhno hat geschrieben:Das Problem wird die Logik sein, die die Anfragen auf die 2 verfügbaren Upstreams aufteilt, am besten v4 eben nur als Fallback für Ziele verwendet, die kein v6 beherrschen.


Mal ein paar Anregungen:

  • Es gibt DNS-Server, die für jeden IPv4-only-Server trotzdem auch eine IPv6-Adresse ausspucken (DNS64), der Zugriff auf die IPv4-only-Server durch IPv6-fähige Clients erfolgt dann durch ein NAT64-Gateway.
    Für DNSMasq:
    server=2001:8b0:6464::1
    server=2001:8b0:6464::2
    server=217.169.20.26

    Nur die Clients die selber auch kein IPv6 können nutzen dann noch die ebenfalls zurückgemeldeten originalen IPv4-Adressen.
    Damit wird man schon mal eine ganze Menge Traffic auf dem IPv4-WAN-Interface los.

    Für bestimmte Server/Dienste darf oder sollte man das allerdings nicht nutzen, hier mal eine kleine Kollektion an Ausnahmen in DNSMasq-Syntax:
    # Horizon akzeptiert nur UM/KBW-IPv4-Adressen als Quelle, Google DNS zur Auflösung verwenden:
    server=/horizon.tv/2001:4860:4860::8888
    server=/omtrdc.net/2001:4860:4860::8888
    server=/link.theplatform.com/2001:4860:4860::8888

    # Zeitserver:
    server=/ntp.org/8.8.8.8

    # Paypal, einfach nur um den Traffic nicht durch ein fremdes System zu jagen:
    server=/paypal.com/2001:4860:4860::8888
    server=/paypal.de/2001:4860:4860::8888
  • Rest primär über default route
    Die default route sollte natürlich prinzipiell auf die IPv4-lite-Anbindung zeigen, um das VPN zu entlasten.

    Wenn man allerdings viel mit IPSec zu Gegenstellen mit dynamischen IPs oder mit eMule oder sonstigen Protokollen hantiert, bei denen die Absende-IP mit im Paket enthalten ist, wäre die default route über das VPN vorzuziehen.
  • Rest über statische Routen
    Das kann mehr oder weniger Arbeit sein, je nachdem, wie man sich im vorherigen Schritt entschieden hat.
    Normal sollte es weniger Arbeit sein, hier die wenigen Ziele zu benennen, die über IPv4-lite nicht funktionieren (= default über IPv4-lite, nur wenige Routen für Hosts/Netze mit Routing via VPN), statt umgekehrt (Default route über VPN, also braucht man möglichst umfassende Routen, die Traffic doch wieder auf's IPv4-lite lenken).
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon kuhno » 09.01.2015, 17:28

Ich bin echt erstaunt über die Hilfe und Anregungen. Das hatte ich echt nicht erwartet! :super:

Mit VPN wollte ich eigentlich nicht arbeiten, auch wenn das der übliche Weg ist, v4 selbst zu tunneln. Ich hätte dafür UMTS/LTE als v4-only-Interface verwendet. Das hätte den Vorteil einer höheren Datenrate, eine SIM mit ausreichend Volumen habe ich auch noch hier liegen. Außerdem hat LTE sogar eine höhere Uploadgeschwindigkeit als 3play200.

Kann man nicht einfach auf einen DNS ausweichen, der diese embedded v4 nicht generiert?
kuhno
Kabelneuling
 
Beiträge: 4
Registriert: 16.12.2014, 14:42
Wohnort: Aachen

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 45 Gäste