- Anzeige -

Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 26.01.2015, 20:16

Citrusman hat geschrieben:War blöd ausgedrückt von mir, ich meinte ob ich den an den Ubee klemmen kann für die Portgeschichte.
Ich war nämlich der Meinung das das Ding auch eine Portfreigabeoption hatte. Sicher bin ich mir allerdingsnicht mehr.

Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.

Du kannst ihn dann auch hinter den ÜBEL klemmen und Portfreigaben vornehmen.
Alles, was Du dann im TP-Link freigibst kannst Du aus dem Netz des ÜBEL erreichen ...

Mensch ....

Es muß doch irgendwie mal in die Köppe reinzukriegen sein, daß Router Netze trennen (Daher auch schon mal "Border Device", auf Deutsch also "Grenz(übergangs)gerät", genannt) und deshalb nienicht mitten in ein Netz gehören.
Und in einem Netz braucht man keine Portfreigaben.

Und wenn ich einen zweiten Router hinter den ersten kaskadiere, dann habe ich eben auch das vom ersten Router erzeugte private Netz vor dem zweiten und nicht mehr das Internet. Was der erste Router nicht durchläßt, kann der zweite doch nicht auf einmal wieder bekommen ...

Wenn Du Deinen Briefschlitz zunagelst, dann kannst Du hinter der Haustür 10 Briefkästen aufstellen, es landet einfach keine Post drin.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Banis » 31.01.2015, 12:52

Hallo zusammen,

ich stehe nun auch vor dem Problem, dass ich einen neuen Vertrag bei KabelBW abgeschlossen haben und mich deshalb mit dem DS-Lite Verfahren begnügen muss. Vielen Dank an dieser Stelle an SpaceRat für den tollen Workshop.

SpaceRat hat geschrieben:Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.


Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?
Banis
Kabelneuling
 
Beiträge: 4
Registriert: 31.01.2015, 12:41

Re: Kleiner IPv6-Workshop

Beitragvon hajodele » 31.01.2015, 12:59

Banis hat geschrieben:Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt.

Leider funktioniert das aktuell nur mit den Fritzboxen, da die Präfix des JuHu nicht weitergereicht wird.
hajodele
Kabelkopfstation
 
Beiträge: 3953
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 31.01.2015, 13:32

Banis hat geschrieben:Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?

Ja, der Denkfehler ist, daß Du nicht weitergelesen hast.

Es wurde nun schon x Mal klargestellt, daß Router Netze trennen, wenn man also mehrere Router hintereinander kaskadiert, erzeugt man mehrere Netze (und nicht eines, wie das im heimischen LAN normal gewünscht wird).
Weiter hinten liegende Router hängen dementsprechend auch nicht mehr "im Internet" sondern immer nur im privaten LAN des vorgeschalteten.

Damit sollte eigentlich auch klar sein, daß Portweiterleitungen auf nachgeschalteten Routern zwar durchaus funktionieren, aber nicht das machen, was man voraussichtlich wirklich will.

IPv4-Port-Weiterleitungen im Router sorgen dafür, daß Geräte hinter dem Router (Also in dessen LAN) aus dem davor liegenden Netz erreichbar sind. Das funktioniert immer. Nur daß bei einer Router-Kaskade das vorgeschaltete Netz eben nicht mehr das Internet ist, sondern nur ein anderes privates Netz.


Aber weil Du OpenWrt erwähnt hast:
Man kann einen Router mit OpenWrt¹ so hinter das DK7200 oder ÜBEL EVIL klemmen, daß IPv4-mäßig zwar besagte Router-Kaskade entsteht² , IPv6-mäßig jedoch der OpenWrt-Router im selben Netz hängen wird wie das DK7200 oder das ÜBEL EVIL. Der OpenWrt-Router arbeitet dann für IPv6 nicht mehr als Router (Trennt also keine Netze, sondern verbindet sie), läßt aber seine IPv6-Firewall aktiv.
Es funktioniert immerhin so gut, daß ich die Dinger fertig konfiguriert verkaufen kann *g*, daher auch der Archer C7 in meiner Signatur.
Was ich verkaufe muß ich auch bereit sein, selber zu essen ;)

Die Grundkonfiguration ist jetzt gar nicht mal so schwer, in /etc/config/network sieht der Abschnitt wan6 so aus:
Code: Alles auswählen
config interface 'wan6'
        option ifname '@wan'
        option proto 'dhcpv6'
        option reqaddress 'try'
        option peerdns '0'
        option dns '2001:4860:4860::8888 2001:4860:4860::8844'
        option reqprefix 'no'


und in /etc/config/dhcp so:
Code: Alles auswählen
config dhcp 'wan6'
        option dhcpv6 'relay'
        option ra 'relay'
        option ndp 'relay'
        option master '1'
        option interface 'wan'
        option ignore '1'
        option ra_management '1'


Das reicht, damit Geräte hinter dem OpenWrt-Router IPv6-Adressen aus dem gemeinsamen IPv6-Netz von DK7200/ÜBEL EVIL3226 und OpenWrt-Router erhalten.
IPv6-Freigaben für nachgeschaltete Geräte gestalten sich bei UM/KBW allerdings wegen des dynamischen Präfixes schwer, denn mit dynamisch veränderlichen Adressen mag die Firewall nicht so recht.

IPv6-Freigaben auf dem OpenWrt-Router selber sind hingegen kein Problem, denn für diese Freigaben braucht man die Zieladresse nicht.
Das wiederum reicht, um einen OpenVPN-Server auf dem OpenWrt-Router laufen zu lassen und darüber von überall aus Vollzugriff auf's eigene LAN zu erhalten. In Verbindung mit einem IPv4-to-IPv6-Port-Proxy wie dem von feste-ip.net sogar aus reinen IPv4-Netzen (Wie z.B. Mobilfunk).

Will man unbedingt Geräte im LAN unmittelbar (also nicht erst über das VPN) freigeben, dann sollte das mit einem NAT-ähnlichen Konstrukt via tcpproxy (Ab Chaos Calmer der Ersatz für 6tunnel in OpenWrt) möglich sein, sogar für Server, die selber nur IPv4 sprechen.



1 = Ich empfehle, den aktuellen Chaos Calmer trunk zu verwenden und nicht Barrier Breaker oder älter. Dazu muß der Router aber mehr als 4 MB Flash haben, sonst gibt's keine grafische Oberfläche LuCi.
2 = Nicht schön, aber akzeptabel, da von außen eh nix mehr per IPv4 ankommt
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Banis » 02.02.2015, 12:01

Vielen Dank für die Ausführliche Anleitung. Ich werde dies im Laufe der Woche mal ausprobieren.
Banis
Kabelneuling
 
Beiträge: 4
Registriert: 31.01.2015, 12:41

Re: Kleiner IPv6-Workshop

Beitragvon lip » 07.02.2015, 14:10

Auch von mir vielen Dank @SpaceRat. Jedoch bekomme ich es nicht ans Laufen. Ich habe bereits letztes Wochenende etwas rumgedoktort und es jetzt erneut versucht. Auch habe ich alles einmal komplett resetet, dabei möchte ich doch nur das meine IPv6 Connectivity hinterm OpenWRT erhalten bleibt.
Neuste trunk Version, und nur deine Änderung übernommen funktionieren leider nicht bei mir, er verpasst meinen Geräten dennoch selbst eine Adresse (fd9e:f8e:8cd::24f/128). Ich verzweil noch :D Dabei fühle ich mich jetzt nicht so unfit in solchen Sachen. Habe auch die Befehle bestmöglich nachvollzogen und denke das sollte auch passen soweit (hier & hier).
Es widerstrebt mir auch nach einer DAU-Anleitung zu fragen, aber hättest du Hinweise zum Troubleshooting?
Wenn ich das Gerät testweile direkt ans TC7200 hänge bekomme ich auch die gewünschte IPv6, jedoch nicht später hinterm OpenWRT. Weiß nicht ob irgendetwas sonst auf TC7200 Seite zu beachten wäre, wobei ich die Firewall zeitweise auch mal deaktiviert hatte.
Ich bin zumindest leider am Ende, da ich jetzt auch nicht weiß wie ichs richtig eingrenzen könnte. Falls du Ideen hast, wäre ich dir sehr dankbar!

Schönes Wochenende in jedem Fall! Ich glaub ich geh mal vor die Tür... :)
lip
Kabelneuling
 
Beiträge: 1
Registriert: 07.02.2015, 13:37

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 07.02.2015, 14:33

lip hat geschrieben:er verpasst meinen Geräten dennoch selbst eine Adresse (fd9e:f8e:8cd::24f/128).

Das sagt leider gar nix:
Diese Adressen (ULAs) verpaßt OpenWrt den angeschlossenen Geräten immer, egal ob WAN-seitig IPv4-only, Dual Stack, DS-lite, ... anliegt.

Wenn die WAN-Seite korrekt für IPv6 konfiguriert ist, stören diese Adressen auch nicht weiter.
Sie sind dann sogar im Gegenteil praktisch, wenn man auch im LAN mit IPv6 arbeiten will, da sie sich im Gegensatz zu den öffentlichen Adressen von UM nie ändern.
In dem Fall kriegen die Geräte diese ULA zusätzlich zur öffentlichen IPv6.

Ist die WAN-Seite hingegen nicht richtig für IPv6 konfiguriert, dann kriegen die Geräte diese ULA immer noch und manche - fehlerhafte - Programme schließen dann daraus, daß IPv6-Konnektivität vorhanden ist und nutzen sie auch. Entweder dauert es dann "ewig", bis "Dual Stack"-Server erreicht werden können (Weil zuerst erfolglos IPv6 versucht wird, bevor ein Rückfall auf IPv4 erfolgt) oder Verbindungsversuche schlagen sogar komplett fehl.

lip hat geschrieben:Es widerstrebt mir auch nach einer DAU-Anleitung zu fragen, aber hättest du Hinweise zum Troubleshooting?

Mir fällt grad aus dem Stegreif nix Schlaues dazu ein, dazu gibt es zu viele Variablen in der Gleichung.
Ich habe Dir aber auch noch eine PN geschickt ...

lip hat geschrieben:Weiß nicht ob irgendetwas sonst auf TC7200 Seite zu beachten wäre, wobei ich die Firewall zeitweise auch mal deaktiviert hatte.

Wenn/sobald alles läuft, sollte die IPv6-Firewall des DK7200 sogar ganz ausgeschaltet werden (Dann aber keine Geräte mehr direkt am DK7200 anschließen), damit sich OpenWrt allein um die Firewall-Regeln kümmern kann.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Conan179 » 07.02.2015, 16:57

Mal eine frage, ich hab einen root server der eine fest ip hat. besteht irgendwie die möglichkeit, das ich die ports vom avm vpn über die feste ipv4 addresse auf meinen ds-lite anschluss umleiten kann, so das die verbindung hinhaut?
Es ist ein Linux server, mit ds anschluss.
BildBildBild
Conan179
Kabelexperte
 
Beiträge: 119
Registriert: 25.01.2015, 23:38

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 07.02.2015, 18:02

Conan179 hat geschrieben:Mal eine frage, ich hab einen root server der eine fest ip hat. besteht irgendwie die möglichkeit, das ich die ports vom avm vpn über die feste ipv4 addresse auf meinen ds-lite anschluss umleiten kann, so das die verbindung hinhaut?

Nein.
Das AVM-VPN nutzt IPSec, da ist es mit ein paar Port-Proxies nicht getan.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Conan179 » 07.02.2015, 18:06

tja war ein versuch wert, muss halt doch ne openvpn verbindung herhalten.
BildBildBild
Conan179
Kabelexperte
 
Beiträge: 119
Registriert: 25.01.2015, 23:38

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Majestic-12 [Bot] und 48 Gäste