- Anzeige -

DualStack auch über BridgeMode?

Alles über DOCSIS 3.0

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 17.06.2014, 14:51

Über den Bridge-Anschluss ist die Fritte nicht im LAN über die loakel Adresse erreichbar. (Das ist aber normal).
Wenn ich einen Computer auf LAN3 oder LAN4 klemme schon, dann umgeht man aber auch die ZyWall und dann kann man die FB auch als Router nutzen.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon tq1199 » 17.06.2014, 14:57

Mike0185 hat geschrieben:Über den Bridge-Anschluss ist die Fritte nicht im LAN über die loakel Adresse erreichbar.

OK, aber das ist klar und das meinte ich nicht.
Mike0185 hat geschrieben:Wenn ich einen Computer auf LAN3 oder LAN4 klemme schon, ... dann kann man die FB auch als Router nutzen.

OK, das meinte ich und deine FB6360 kann als Router in deinem (W)LAN fungieren und für diesen Teil der FB6360 hast Du auch DS. Was die IPv6-Adresse für den Bridge-Anschluss mit der festen IPv4-Adresse bedeutet, weiß ich nicht.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: DualStack auch über BridgeMode?

Beitragvon hajodele » 17.06.2014, 16:26

Mike0185 hat geschrieben:Auf der Fritzbox (nicht über das LAN mehr erreichbar da Bridge) habe ich eine:

IPv6-Adresse: 2a02:8071:9100::xxxx:xxxx:xxxx:xxxx, Gültigkeit: 1144882/540082s,
IPv6-Präfix: 2a02:8071:xxxx:xxxx::/56, Gültigkeit: 1144882/540082s


An der WAN-Schnittstelle der ZyWALL kommt eine Präfix-Delegation 202a:8071:..../56 an.
Ich erhalte wohl scheinbar auch eine IPv6-Adresse: 202a:8071:9100:0:752f:xxxx:xxxx:xxxx/128

ist das nur ein Tippfehler?
Hast du mal probiert, was passiert wenn du an der Fritzbox IPv6 deaktivierst?
hajodele
Kabelkopfstation
 
Beiträge: 3961
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 17.06.2014, 16:51

ist das nur ein Tippfehler?


Sorry.... :wand: ja... da war ich zu schnell!


Hast du mal probiert, was passiert wenn du an der Fritzbox IPv6 deaktivierst?


Ja, gerade eben. Die FB bekommt ne neue IPv4, die IPv6 ist natürlich weg und die ZyWALL erhält trotzdem scheinbar ne IPv6-Adresse
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon SpaceRat » 17.06.2014, 19:24

Durch die ganze Aus-X-erei wird es bei IPv6 erheblich erschwert, Fehler zu erkennen.

Bei IPv4 - wo man ja in der Regel nur eine für das LAN irrelevante IP-Adresse erhält und lokal eh nur nicht-öffentliche IPv4-Adressen nutzt (Die man auch nicht aus-x-t) - war das alles kein Problem.
Wenn man aber IPv6-Adressen, die ja nun alle öffentlich sind (oder sein sollten), bis zur Unkenntlichkeit entstellt, dann kann man genau gar nichts mehr erkennen.

Woher sollen wir aus lauter X erkennen, ob da ein Präfix delegiert wurde oder nicht oder ob die ZyXel Firewall IPv6-Adressen aus dem Netz der Fritte verteilt oder nicht ... ?

Also bitte:
Wenn Du schon meinst, die IPv6 verfälschen zu müssen, dann bitte sinnerhaltend.

  • IPv6-Adressen vollständig wiedergeben, keine X
  • Bei den ersten beiden Tupeln macht Verfälschen gar keinen Sinn, die sind nämlich immer "2a02:908:" (Unitymedia) oder "2a02:8070:" / "2a02:8071:" (Kabel BW).
  • Die Tupel 3 & 4 dürftest Du verfälschen, dabei aber bitte identische Zahlen auch nur durch wieder identische ersetzen.
    Also wenn Du in einem Post die Adressen
    2a02:8071:abcd:1234::1 und 2a02:8071:abcd:1234:012e:b010:2345:4673 hast und willst die verfälschen, dann bitte zu z.B.
    2a02:8071:4567:c0c0::1 und 2a02:8071:4567:c0c0:012e:b010:2345:5678
    aber nicht zu
    2a02:8071:4567:c0c0::1 und 2a02:8071:6547:affe:012e:b010:2345:5678
    Bei letzterem Beispiel ist nicht mehr zu sehen, daß die Adressen aus demselben Subnet stammen.
  • Das 5. und 8. Tupel kannst Du ebenfalls verfälschen, das 5. aber bitte nicht, wenn es leer ist und das 8. nicht, wenn es 1 oder 2 ist.
    Bei mehreren Adressen des selben Gerätes ist auch hier wieder unbedingt darauf zu achten, daß identische Tupel auch wieder identisch ersetzt werden.
    Beispiel:
    Die Adressen
    2a02:8071:bcde:2345:012e:b010:2345:4673 und fd5c:1234:abcd:1234:012e:b010:2345:4673 wären so zu verfälschen
    2a02:8071:bcde:2345:012e:affe:2345:c0c0 und fd5c:1234:abcd:1234:012e:affe:2345:c0c0
    aber nicht so:
    2a02:8071:bcde:2345:012e:affe:2345:c0c0 und fd5c:1234:abcd:1234:012e:3456:2345:7890
    (Zusammengehörigkeit nicht mehr erkennbar)
  • Das 6. und 7. Tupel hingegen sollte nicht verfälscht werden, da uns das xxff:fexx verrät, ob aus der MAC generierte Adressen oder Zufallsadressen ("privacy" extensions) verwendet werden
  • Wenn vorhanden, sind Subnetzangaben (z.B. "/57") unverfälscht anzugeben.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2618
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 17.06.2014, 19:55

Hallo SpaceRat,

natürlich hast du vollkommen recht! Dadurch verkompliziere ich das natürlich noch tiefer... Aber auch: Danke für die Aufklärung!

Ich versuche hier nun die derzeitige "Lage" darzustellen:

KBW --> FB6360 --> BridgeAnschluss LAN2 --> ZyXEL ZyWALL USG 100 --> Clients

USG 100:

Übersicht:

wan1
DHCP -- 2a02:8071:9100:0:5536:f50c:53a5:8948/128
LINK LOCAL -- fe80::b2b2:dcff:fe2e:a3d9/64

lan1
DHCP -- 2a02:8071:918c:7d11::1/128
LINK LOCAL -- fe80::b2b2:dcff:fe2e:a3db/64

Konfiguration-WAN1:
IPv6 Address Assignment:
[X] Enable Stateless Address Auto-configuration (SLAAC)
DHCPv6 Setting: Client
[X] Request Address:
Request DNS-Server1: 2a02:8070:0:201:82:212:62:62
Request DNS-Server2: 2a02:8071:2000:201:78:42:43:62
Request WAN1-Präfix: 2a02:8071:918c:6c00::/56

Konfiguration-LAN1:
IPv6 Address Assignment:
[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111:0:0:0:1/128" (Adress: 2a02:8071:918c:7d11::1/128)
DHCPv6 Setting: Server
[x] DUID as MAC
DHCPv6 Lease: DNS-Server1: 2a02:8070:0:201:82:212:62:62
DHCPv6 Lease: DNS-Server2: 2a02:8071:2000:201:78:42:43:62
IPv6 Router Advertisement Setting:
[x] Enable Router Advertisement
[x] Advertised Hosts Get Other Configuration From DHCPv6
Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111/64" (Adress: 2a02:8071:918c:7d11::/64)

Streng nach Handbuch von ZyXEL


Auf einem reinen IPv6-Client sieht das dann so aus:

IPv6 Konnektivität: Kein Internet
MAC: 08-00-27-58-c9-f5
IPv6-Adresse: 2a02:8071:918c:7d11:a5a8:8719:7329:5499
Temporär: 2a02:8071:918c:7d11:d552:9baf:d813:9187
Link Local: fe80::a5a8:8719:7329:5449
Gateway: fe80::b2b2:dcff:fe2e:a3db
DNS1: 2a02:8070:0:201:82:212:62:62
DNS2: 2a02:8071:2000:201:78:42:43:62


VIELEN DANK! Bei mir ist jetzt die Verwirrung komplett :)

Mike
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon SpaceRat » 17.06.2014, 20:39

Mike0185 hat geschrieben:KBW --> FB6360 --> BridgeAnschluss LAN2 --> ZyXEL ZyWALL USG 100 --> Clients
USG 100:

Es wäre hilfreich, wenn Du auch die Lage an der Fritz!Box mal darstellen könntest, damit man sieht, ob das ZyXel-Präfix aus dem Präfix der Fritte geschnitten ist oder ein von KBW zugewiesenes eigenständiges.

Mike0185 hat geschrieben:Konfiguration-WAN1:
Request DNS-Server1: 2a02:8070:0:201:82:212:62:62
Request DNS-Server2: 2a02:8071:2000:201:78:42:43:62
Request WAN1-Präfix: 2a02:8071:918c:6c00::/56

Wie es momentan aussieht, kriegt die ZyXel-Firewall ein schönes /56er Präfix "2a02:8071:918c:6c00::".

Den sich ergebenden Adressbereich kann man hier ausrechnen lassen:
2a02:8071:918c:6c00:0000:0000:0000:0000-2a02:8071:918c:6cff:ffff:ffff:ffff:ffff

Mike0185 hat geschrieben:Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111/64"

Was soll die 1111 dort?

Mike0185 hat geschrieben:(Adress: 2a02:8071:918c:7d11::/64)
Streng nach Handbuch von ZyXEL

So wie es aussieht, wertet die ZyXel-Firewall die Eingabe an der Stelle, wo Du 1111 eingetragen hast als mit dem 4. Tupel per "oder" zu verknüpfende Maske (= Addition):

6c00 = 0110110000000000
OR
1111 = 0001000100010001
=
7D11

7d11 liegt aber außerhalb des Subnets, das Du zugewiesen bekommen hast, denn das geht ja nur bis 6cff (s.o.).

Mike0185 hat geschrieben:Auf einem reinen IPv6-Client sieht das dann so aus:
IPv6 Konnektivität: Kein Internet
IPv6-Adresse: 2a02:8071:918c:7d11:a5a8:8719:7329:5499

Kein Wunder, daß es keine Internet-Konnektivität gibt, da Dir die Adresse gar nicht gehört.

Ändere den angesprochenen Wert "1111" mal um in einen Wert zwischen 0 und ff.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2618
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 17.06.2014, 21:11

Erstmal danke für wieder ein sehr hilfreicher und ausführlicher post!

Es wäre hilfreich, wenn Du auch die Lage an der Fritz!Box mal darstellen könntest, damit man sieht, ob das ZyXel-Präfix aus dem Präfix der Fritte geschnitten ist oder ein von KBW zugewiesenes eigenständiges.


An der Fritte war bisher nur IPv4 aktiviert, die ZyWALL hängt am Bridge-Anschluss. Bisher habe ich das so verstanden, dass dann Einstellungen an der FB nur Auswirkung auf das Netzwerk der Fritzbox haben. Habe jetzt mal IPv6 dazu geschalten. ([x] Unterstützung für IPv6 aktiv; Immer eine native IPv4-Anbindung nutzen (empfohlen), Zunächst wird eine native IPv4-Verbindung aufgebaut. Falls per DHCP ein 6RD-Server gelernt wurde, wird ein 6RD-Tunnel aufgebaut. Ansonsten wird versucht, eine native IPv6-Verbindung aufzubauen (Dual Stack).) Erhalte dann neben der 4er-IP eine 6er: IP: 2a02:8071:9100::403b:7a6a:47af:450a; Präfix: 2a02:8071:9183:6a00::/56.


Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111/64"

Was soll die 1111 dort?


Ich muss gestehen, dass ich das auch nicht verstehe und immernoch nicht verstehe... Das von dir hört sich "logisch" an :)


Ändere den angesprochenen Wert "1111" mal um in einen Wert zwischen 0 und ff.


Ich habe ihn mal in:
[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)
und
Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)

geändert, die IP-Adressen haben sich auf dem Client auch geändert. Aber funktioniert weiterhin nicht.
Welcher Adressraum "gehört" mir denn?
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon SpaceRat » 17.06.2014, 23:52

Mike0185 hat geschrieben:
Es wäre hilfreich, wenn Du auch die Lage an der Fritz!Box mal darstellen könntest, damit man sieht, ob das ZyXel-Präfix aus dem Präfix der Fritte geschnitten ist oder ein von KBW zugewiesenes eigenständiges.
An der Fritte war bisher nur IPv4 aktiviert, die ZyWALL hängt am Bridge-Anschluss. Bisher habe ich das so verstanden, dass dann Einstellungen an der FB nur Auswirkung auf das Netzwerk der Fritzbox haben.

Das ist auch richtig.
Die Information zielte auch genau darauf ab, ob das Bridging hier richtig funktioniert ...

Mike0185 hat geschrieben:Erhalte dann neben der 4er-IP eine 6er: IP: 2a02:8071:9100::403b:7a6a:47af:450a; Präfix: 2a02:8071:9183:6a00::/56.

...
Mike0185 hat geschrieben:Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)

Also unterschiedliche /56er, demnach bezieht die ZyXel-Firewall ihr Subnet unabhängig von der Fritz!Box direkt von UM, da Fritz!Box und ZyXel völlig unterschiedliche Subnetze erhalten.

Mike0185 hat geschrieben:Welcher Adressraum "gehört" mir denn?

Im Netz der Fritz!Box (Wovon sie aber nur einen kleinen Teil nutzt):
2a02:8071:9183:6a00:0000:0000:0000:0000 bis 2a02:8071:9183:6aff:ffff:ffff:ffff:ffff

Im Netz hinter der ZyXel-FW:
2a02:8071:918c:6c00:0000:0000:0000:0000 bis 2a02:8071:918c:6cff:ffff:ffff:ffff:ffff

Deine neue Zuweisung 1a ist also korrekt, denn
2a02:8071:918c:6c1a:0000:0000:0000:0000 bis 2a02:8071:918c:6c1a:ffff:ffff:ffff:ffff
liegt in diesem Bereich.

Warum es trotzdem nicht geht, weiß ich nicht, was auch stark daran liegt, daß ich die ZyXel-Firewall als solches und auch ihren Funktionsumfang nicht kenne.

Was mich stutzig macht ist die Tatsache, daß Du eine Adresse
"[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)"
und ein Präfix
"Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)"
einstellen mußt/kannst.

Das sieht mir mehr danach aus, als würde hier ein nachgeschalteter IPv6-Router (Der dann die Adresse 2a02:8071:918c:6c1a::1/128 hätte) und nicht nur ein Subnetz (Hier: 2a02:8071:918c:6c1a::/64) konfiguriert werden.
Was passiert denn, wenn Du den Haken bei "Address from DHCPv6 ..." wegmachst und nur ein Subnet/Advertised Prefix konfigurierst?

Hast Du einen funktionsfähigen IPv6-tauglichen Router (z.B. Fritz!Box >7170/7270v1) zur Verfügung, den Du dort mal anschließen könntest?
Es wäre interessant zu sehen, ob der dann genau diese Adresse und dieses Prefix bekäme.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2618
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 18.06.2014, 08:43

Guten Morgen!

Und nochmal: Danke für deinen Beitrag. So macht das Spass! Sehr ausführlich und detailliert.

Deine neue Zuweisung 1a ist also korrekt, denn
2a02:8071:918c:6c1a:0000:0000:0000:0000 bis 2a02:8071:918c:6c1a:ffff:ffff:ffff:ffff
liegt in diesem Bereich.


Nur damit ich es jetzt auch richtig verstehe: KBW weist mir (bzw. die ZyWALL fordert es an) ein v6-WAN-Präfix /56 zu (2a02:8071:918c:6c00::/56) und zeigt mir die zur Verfügung stehenden DNSv6-Server. Daneben vergibt KBW auch eine IPv6 an meinen WAN-Port der ZyWall (2a02:8071:9100:0:5536:f50c:53a5:8948/128). Aus dem WAN-Präfix /56 errechnet sich mein "persönliches" zugewiesenes Subnetz, das ich für meine internetfähigen Kaffeemaschinen und Kühlschränke vergeben darf, nämlich: 2a02:8071:918c:6c00:0000:0000:0000:0000 bis 2a02:8071:918c:6cff:ffff:ffff:ffff:ffff. Die Clients müssen sich also alle in diesem Adressraum befinden, damit dies überhaupt funktionieren kann.

Der LAN-Port stellt also nun ebenfalls einen DHCPv6-Server zur Verfügung (DHCP 2a02:8071:918c:6a::/128) und verteilt die Adressen im /64-Bereich?

Was mich stutzig macht ist die Tatsache, daß Du eine Adresse
"[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)"
und ein Präfix
"Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)"
einstellen mußt/kannst.


Dieser Punkt ist für mich auch der Knackpunkt bisher. Die Auswirkungen sind mir einfach nicht wirklich klar. Wenn ich die Einstellungen schmeiße oder umschreibe, dann werden die Einstellungen entweder verworfen oder der Client erhält plötzlich keine Adresse mehr. Ich habe dir die gesamte Übersicht (3 Screenshots) der LAN-Konfiguration mal zusammen gepackt:

"Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)" - Packe ich diesen Bereich an, hat die ZyWALL keine DHCP-Adresse mehr für sich selbst, sondern nur noch eine Link Lokale. Packe ich den "Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)"-Bereich an, dann erhalten meine Clients keine IPv6-Adresse mehr.

Übersicht der Anschlüsse und Zuweisungen im IPv6-Bereich:
Bild

LAN1-Konfiguration:
Bild
Bild

Vielleicht hilft das noch weiter um weitere Einstellungen zu testen....


Hast Du einen funktionsfähigen IPv6-tauglichen Router (z.B. Fritz!Box >7170/7270v1) zur Verfügung, den Du dort mal anschließen könntest?
Es wäre interessant zu sehen, ob der dann genau diese Adresse und dieses Prefix bekäme.


Leider nicht...


Vielen Dank für deine Bemühungen.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

VorherigeNächste

Zurück zu DOCSIS 3.0 - bis zu 400 Mbit/s

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste