- Anzeige -

DualStack auch über BridgeMode?

Alles über DOCSIS 3.0

Re: DualStack auch über BridgeMode?

Beitragvon SpaceRat » 18.06.2014, 09:30

Uffda.

Also das Teil ist zu aufwendig zu konfigurieren, um das mal eben für Dich auszuknobeln.
Auf den Screenshots kann ich ja auch nicht alle Eigenschaften der diversen "Objekte" sehen und ich habe das dumpfe Gefühl, daß Du da auch der Anleitung nicht wirklich genau gefolgt bist.

Folge der Anleitung, Kapitel 2.6.

  1. Kapitel 2.6
  2. Kapitel 2.6.1
  3. überspringe Kapitel 2.6.2
    (Saublöd geschriebene Anleitung. Der Hinweis, daß Kapitel 2.6.2 bei PD durch den ISP entfällt, ist der letzte Satz ...)
  4. Kapitel 2.6.3
    • überspringe 2.6.3.1, der Part ist längst erledigt
    • Kapitel 2.6.3.2
    • Kapitel 2.6.3.3:
      In diesem Kapitel in
      - der Address from DHCPv6 Prefix Delegation nicht ::1111:0:0:0:1/128 sondern ::0:0:0:0:1/128 eintragen.
      - der Advertised Prefix from ... table nicht ::1111/64 sondern ::0/64 eintragen
  5. Kapitel 2.6.4
  6. Kapitel 2.6.5
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 18.06.2014, 09:48

Wenn ich unter IPv6 Address Assignment die IPv6 Address/Prefix Length auf "2a02:8071:918c:6c00::/56" stelle bekommt das LAN-Interface eine statische IP (STATIC: "2a02:8071:918c:6c00::/56") und der Zugriff auf den Clients aufs Internet funktioniert. Das Advertised Präfix steht dabei auf ::0/64.

Was aber wenn der Präfix mal wechselt?

EDIT:
Okay... FB neu gestartet...
--> IPv6 Adresse ändert sich, Präfix natürlich auch... Präfix wieder manuell in der "Adress from Präfix Delegation" auf "2a02:8071:91c1:7a00::/56" gestellt, das "Advertised Präfix" auch auf "::0/64". Client hat wieder Internet via IPv6.

Ich brauche nun also eine Möglichkeit, dass er das Präfix wieder anfrägt und verteilt, so wie es eigentlich in der unten stehenden Anleitung von ZyXEL beschrieben wird.
Er frägt das Präfix mit dem Objekt "Request_WAN1_PD" an und gibt es auch richtig wieder (2a02:8071:91c1:7a00::/56) will dann eine Suffix und bilded daraus das DHCP-Netzwerk für das LAN1-Interface.
Ich habe es jetzt mal auf "::/56" gestellt, er zeigt in der Adresse dann wieder "2a02:8071:91c1:7a00::/56" an. Das Advertised Präfix für das LAN steht noch bei "::0/64". Der Client hat wieder Internetzugriff via IPv6.

Zum Test nochmal neustart der Fritzbox, neue IPv6, neues Präfix... Objekte wurden auf der ZyWall aktualisiert und weitergegben. Der Client hat Zugriff via IPv6.

Ist das des Rätsels Lösung?!




Kapitel 2.6.3.3:
[...]
In diesem Kapitel in
- der Address from DHCPv6 Prefix Delegation nicht ::1111:0:0:0:1/128 sondern ::0:0:0:0:1/128 eintragen.
- der Advertised Prefix from ... table nicht ::1111/64 sondern ::0/64 eintragen


Super dass andere auch dieses Hanbuch fast als "Müll" ansehen! Gott sei dank! Ich dachte schon ich kapiere es nicht... Die Hinweise am Ende der Anleitung habe ich auch schon verflucht! :)

Diese Einstellungen habe ich auch schon probiert, da erhalten wir dann auf dem LAN Interface: DHCP 2a02:8071:918c:6c00::1/128 und die Clients haben keinen Internetzugriff mehr. Habe nun auch wie im Handbuch beschrieben, alle Objekte entfernt und die o.g. Suffixadressen eingegeben. also (::0:0:0:0:1/128 und ::0/64), leider auch negativ. Die DNS-Server kommen jetzt auch nicht mehr mit (das sind die Objekte, die ZyWALL ist sehr Objektorientiert.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon SpaceRat » 24.06.2014, 02:30

Mike0185 hat geschrieben:Er frägt das Präfix mit dem Objekt "Request_WAN1_PD" an und gibt es auch richtig wieder (2a02:8071:91c1:7a00::/56) will dann eine Suffix und bilded daraus das DHCP-Netzwerk für das LAN1-Interface.
Ich habe es jetzt mal auf "::/56" gestellt, er zeigt in der Adresse dann wieder "2a02:8071:91c1:7a00::/56" an. Das Advertised Präfix für das LAN steht noch bei "::0/64". Der Client hat wieder Internetzugriff via IPv6.

Zum Test nochmal neustart der Fritzbox, neue IPv6, neues Präfix... Objekte wurden auf der ZyWall aktualisiert und weitergegben. Der Client hat Zugriff via IPv6.

Funktioniert es jetzt also oder wie muß ich diesen Post verstehen? :)

Mal was zu den Präfix-Größen:
Größere Subnetze als ein /64er Präfix (Also Präfixe mit unter 64 Bit) braucht man nicht, die bei /64 verbleibenden 64 Bit (128 Bit insgesamt minus Präfix-Größe) sind genau das, was die Clients brauchen um sich automagisch eine Adresse selber per SLAAC zu geben, größere Präfixe machen keinen Sinn.

Kleinere Subnetze als /64 (Also /65 oder mehr Präfixlänge) macht man auch nur, wenn es zwingend nötig ist (Wenn man also vom ISP nur ein /64er Präfix bekommt und trotzdem subnetten will, dann muß man aber auch auf SLAAC verzichten, also Bild).

Die Präfixe < /64 kommen erst dann ins Spiel, wenn sie an nachgeschaltete Router delegiert werden sollen:
Du könntest nun z.B. hinter der ZyWall
- ein /64er Subnetz für direkt angeschlossene Clients announcen
und
- drei weitere Router (geschäftlich, privat, Kinder) anschließen und diesen jeweils ein /62er (Das ist die von Fritz!Boxen bevorzugte Größe, da diese wiederum LAN und Gast-Netz trennen) Präfix delegieren

Danach wären die Clients hinter den jeweils anderen Routern aus Sicht der Clients hinter einem der Router genauso außerhalb des eigenen LAN/Heimnetzes wie jeder andere Rechner im weltweiten Netz auch.
Das Beispiel "geschäftlich, privat, Kinder" ist bewußt so gewählt, denn damit kann man erreichen, daß
- ein von den Kindern in deren Netz eingeschleppter Trojaner garantiert nicht an Patienten-/Klientendaten im geschäftlichen Netz kommen kann, dito natürlich für einen im privaten Netz
- die Sprechstundenhilfe/der Anwaltsgehilfe sich nicht angucken kann, was auf dem NAS im privaten Netz liegt
- usw. usf.

Dito wäre auch statt eines der o.g. Netze oder als viertes Netz eines für einen Web/FTP/Mail/o.ä.-Server möglich. Selbst wenn dieser von außen gehackt werden sollte, wäre der Angreifer bezogen auf die sensiblen Netze immer noch genauso "draußen" wie zuvor auch.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 24.06.2014, 08:13

Bisher scheint es zu funktionieren. ich hatte zwar noch ein Probleme, da gehe ich aber später hier im Text drauf ein.

Zunächst noch einmal: Vielen Dank für deine Ausführlichkeit! Ich weiß das sehr zu schätzen und finde es auch extrem wichtig, solche Antworten in einem Forum zu finden, wie von dir! :super:

So wie ich die ZyWall nun verstehe erhalte ich eine IPv6-Adresse via SLAAC auf dem WAN-Interface (128 Bit). Zudem frägt sie über das WAN-Interface das Präfix (2a02:8071:9183:f500::/56) von KBW ab und erfrägt zusätzlich die DNSv6-Server.

Das LAN1-Interface sieht jetzt so aus:

IPv6 Address Assignment:
Address from DHCPv6 Prefix Delegation: Request WAN1_PD (also das erfragte Präfix von KBW über wan1) und will dann zwingend ein Suffix. Hier habe ich ihm das: "::/56" vorgegeben, damit bildet er dann die als Adresse: 2a02:8071:9183:f500::/56.

Der DHCPv6-Server gibt auf dem LAN-Interface die DNSv6-Server von KBW weiter, die er auch über wan1 erfragt hat.

IPv6 Router Advertisement Setting:
[x] Advertised Prefix from DHCPv6 Prefix Delegation; Hier will er auf dem WAN1_PD auch ein Suffix. Ich habe ihm hier die "::0/64" mitgegeben (Handbuch). Er zeigt hier dann bei Adresse: 2a02:8071:9183:f500::/64 an. Hierüber beziehen auch die Clients die IPv6-Adressen.

Mit dieser Einstellung funktioniert das ganze. Ich gehe aufgrund des IPv6 Router Advertisement Setting und dem Suffix "::/64" aus, dass ich die Clients in einem 64-Netz haben sollte...
Wenn ich am Address from DHCPv6 Prefix Delegation (::/56) rumspiele, funktioniert der Inet-Zugriff auf den Clients nicht mehr.

So ganz klar verstehe ich den IPV6-Adressaufbau und die Subnetze noch nicht, da werde ich mich auf jedenfall noch genauer einlesen (müssen). Vielleicht hast du da auch eine gute Quelle / Tipp / Buch?

Ich hatte jetzt das Problem, dass sich wohl nach einiger Zeit die IPv6-Adresse und das Präfix geändert haben und die ZyWALL nichts mitbekommen hat. Demnach hatten die Clients wieder kein Zugriff. Als ich dann die Konfiguration des WAN1-Interface nochmals aufgerufen habe und geschlossen habe, hat er es aber aktualisiert und die Clients hatten wieder einen Zugriff.
Ich habe dann im LAN1-Interface den Punkt "Information Refresh Time" gefunden und dort mal "600 Sekunden" hinterlegt. Im WAN1-Interface gibt es eine solche Option nicht... Ich bin gespannt, ob nach einer Neuzuteilung das ganze sauber wieder rüber läuft....

Noch was anderes:
NAT gibt es bei IPv6 ja nicht mehr so wie bei IPv4, da ja mit IPv6 jeder Rechner eine öffentliche IPv6-Adresse erhält. Wie können hier "Portfreigaben" dann realisiert werden? V.a. mit dynamischen Präfixen?! Oder Webserver via IPv6 erreicht werden?


Danke und Grüße
Mike
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon SpaceRat » 25.06.2014, 08:39

Mike0185 hat geschrieben:So ganz klar verstehe ich den IPV6-Adressaufbau und die Subnetze noch nicht, da werde ich mich auf jedenfall noch genauer einlesen (müssen). Vielleicht hast du da auch eine gute Quelle / Tipp / Buch?

Es sieht nur anders aus, aber es funktioniert im Kern genauso wie bei IPv4.

Eine IPv4-Adresse hat 32 Bit, diese schreibt man der Einfachheit halber als Folge von 4 dezimal wiedergegebenen Bytes:
192.168.1.100

Die Subnetmask gibt dabei an, welche der Bits aus dieser Angabe zum Subnet und wie viele zur Host-Adresse gehören:
255.255.255.0

Bedeutet, daß alle Bits des ersten, zweiten und dritten Bytes unveränderlich sind, also das Subnet angeben, und kein Bit des 4. Bytes.
255 dez entspricht nämlich 11111111 Binär, also sind alle 8 Bits des Bytes auf 1 (= fix).
255.255.255.0 entspricht also dual 11111111.11111111.11111111.00000000 , wobei die Punkte hierbei nur noch der Lesbarkeit dienen.

Da die für das Subnet zu verwendenden Bits immer vorne und die für die Hosts zu verwendenden immer hinten sind, kann man das auch einfacher schreiben, indem man nur die Anzahl der Subnet-Bits angibt:
192.168.1.100/24
würde also denselben Host im selben Subnet spezifizieren wie die Angabe 192.168.1.100 Netmask 255.255.255.0 (=24 Bits, siehe duale Wiedergabe oben).

Spätestens, wenn Du diese Angabe mal in hex (192d = C0h, 168d=A8h, 1d=1h, 100d=64h) umrechnest
C0.A8.01.64/24
und die Bytes einfach nur anders gruppierst ....
c0a8:0164/24
... müßtest Du erkennen, daß es in diesem Bezug genau gar keinen Unterschied zwischen IPv4 und IPv6 gibt.

Nun zum Subnetting:
Damit hatten die wenigsten bei IPv4 zu tun, weil man als Privat- oder auch kleiner Geschäftskunde meist nur eine einzige IPv4-Adresse bekam.
Auch mit den 5 fixen Adressen aus dem aktuellen Business-Tarif läßt sich kein Subnetting mehr betreiben.

Großkunden hingegen haben auch schon mit IPv4 Subnetting betrieben und zwar so:
Angenommen, der Anbieter A vergibt dem Kunden K das Subnet 178.100.200.128/25,
dann entspricht das der Subnetmask 255.255.255.128 oder dual 11111111.11111111.11111111.10000000
dem Kunden stehen also die letzten 7 Bits und somit die Adressen 178.100.200.128 bis 178.100.200.255 zur Verfügung.
Die Adressen 178.100.200.0 bis 178.100.200.127 kann er nicht annehmen, da ja das höchstwertige Bit (die 128) des letzten Bytes zum Subnet und nicht zum Adressbereich des Kunden gehören.

Jetzt braucht der Kunde aber nicht einfach die 126 möglichen Adressen (128 mögliche minus Netzwerk-Adresse minus Broadcast-Adresse), sondern will weitere Subnetze bauen, nämlich je eines für jeden seiner beiden Standorte.
Also bildet er die Subnetze
178.100.200.128/26 für Standort 1
178.100.200.192/26 für Standort 2

Der Kunde hat also das höchstwertige "seiner" Bits nun für weiteres Subnetting verwendet, so daß sich das ihm insgesamt zur Verfügung stehende Netz
178.100.200.128/25 = 178.100.200.128 Netmask 255.255.255.128 (= dual 11111111.11111111.11111111.10000000)
nun in die zwei Netze
  • 178.100.200.128/26 = 178.100.200.128 Netmask 255.255.255.192 (= dual 11111111.11111111.11111111.11000000)
    Netzwerkadresse = 178.100.200.128
    Erster Host = 178.100.200.129
    Letzter Host = 178.100.200.190
    Broadcast = 178.100.200.191
    und
  • 178.100.200.192/26 = 178.100.200.192 Netmask 255.255.255.192 (= dual 11111111.11111111.11111111.11000000)
    Netzwerkadresse = 178.100.200.192
    Erster Host = 178.100.200.193
    Letzter Host = 178.100.200.254
    Broadcast = 178.100.200.255
aufteilt.

Schreiben wir das alles mal aus Jux in hex um ...
Gesamtes Kundennetz = 178.100.200.128/25 ^= B2.64.C8.80/25 ^= b264:c880/25
Kunden-Subnet 1 = 178.100.200.128/26 ^= B2.64.C8.80/26 ^= b264:c880/26
Kunden-Subnet 2 = 178.100.200.192/26 ^= B2.64.C8.C0/26 ^= b264:c8c0/26
... sehen wir auch hier wieder die nicht vorhandenen Unterschiede ;)

IPv6-Adressen sind nun im Wesentlichen einfach nur länger, nämlich 4x so lang wie eine IPv4-Adresse.

Bei IPv4 ist das dann eine elendige Hin- und Herschieberei und Knobelei mit VLSM (Variable Length of Subnet Mask), um die (immer knappen) zur Verfügung stehenden IPv4-Adressen sinnvoll in Subnetze aufzuteilen, so daß man einerseits die gewünschten Subnetz-Strukturen erreicht und einzelne Subnetze nicht zu knapp dimensioniert, andererseits aber auch möglichst wenig Resourcen (IPs) verschwendet werden.

Hier liegt dann der große Unterschied zwischen IPv4 und IPv6, weniger im technischen Bereich als im Bereich der zur Verfügung stehenden Resourcen und damit des Planungsaufwandes:
Der Adressbereich von IPv6 ist so gigantisch, daß jeder Hinz und Kunz problemlos ein /56 oder /57 Subnet (von 128 Bit) kriegen kann, also eines, das deutlich größer ist als der gesamte Adressraum des IPv4-Internets.
SixXS stellt mir sogar ein /48er Präfix zur Verfügung ...
Demzufolge braucht man auch nicht mehr zu knobeln, ob man für eine Abteilung mit 55 Arbeitsplätzen ein Subnet mit nur 62 Hosts vorsieht und damit riskiert, daß 2 neue Kollegen und ein Schwung Netzwerkdrucker das Subnetz sprengen, oder ob man eines mit 126 Hosts einplant und damit riskiert, daß die zusätzlichen 64 Hosts woanders fehlen ...
Nein, man macht einfach jedes Subnetz 64 Bit groß, das reicht für 18.446.744.073.709.551.616 Hosts, also 4.294.967.296 Mal das gesamte IPv4-Internet.

Wir halten als 1. Unterschied fest: Ein Subnet unter IPv6 ist in aller Regel immer ein /64er, egal wieviele Hosts tatsächlich beherbergt werden müssen.
Jedes einzelne IPv6-Subnetz könnte somit nach Anzahl und Art der Adressvergabe (Wenn SLAAC verwendet wird) alle IP-fähigen Geräte auf der Erde aufnehmen, sogar das WLAN-Gastnetzwerk einer einzelnen Fritz!Box.
IPv4 Subnetze hingegen richten sich - wenn sie aus öffentlichen IPs gebildet werden - in der Größe nach der Anzahl der zu beherbergenden Hosts und einer (möglichst knappen) Reserve.

Daraus folgend ergibt sich der zweite Unterschied:
Man betrachtet einen vom ISP zur Verfügung gestellten Adressbereich nicht mehr vom ersten bis zum letzten Bit als variabel in weitere Subnetze und Hostteile aufzuteilen, sondern nur die ersten 64 Bit abzgl. der zugewiesen Präfixlänge als die mögliche Anzahl von /64er Subnetzen. Bei einem /57er Präfix stünden 64-57 = 7 Bits für Subnetze zur Verfügung, also 128 Subnetze.

Bei einem größeren Bedarf würde man als richtiger Geschäftskunde bei einem richtigen Geschäftskundenprovider auch jederzeit problemlos einen größeren Adressbereich kriegen, die reine Betrachtung des Bedarfs ist also ausreichend.
Bei IPv4 würde man das zugewiesene Subnetz, egal wie groß, immer als variabel zwischen eigenen Subnetzen und den Hosts aufzuteilen betrachten.
178.100.192.0/18 würde man je nach Bedarf für irgendwas zwischen 16382 Hosts in einem einzigen Netz, zwei Subnetze a 8190 Hosts, ......., 2048 Subnetze a 6 Hosts und 4096 Subnetze a 2 Hosts verwenden.

Technisch betrachtet ist es also das selbe (Subnet-Bits vs. Host-Bits), nur daß der knappe Adressraum bei IPv4 einen ungleich höheren Planungsbedarf durch unterschiedlich große Subnetze erzeugt:
  1. Bedarfsermittlung (Welche Standorte/Abteilungen mit wievielen Rechnern gibt es, hinzu kommen die reinen Routerverbindungen Router X <> Router Y)
  2. Bestimmung der tatsächlich benötigten Subnet-Größen durch Abgleich mit den Zweierpotenzen minus 2
    Es sind nur Subnetze a 2 (2^2 = 4 minus 2), 6 (2^3 = 8 minus 2), 14 (2^4 = 16 minus 2), 30, 62, 126, 254, 510, 1022, 2046, 4094 usw. usf. Hosts möglich, keine Zwischenschritte.
  3. Parallel zu Schritt 1 und/oder 2 ist eine Reserve für zukünftige Hosts in den einzelnen Subnetzen zu berücksichtigen.
  4. Abgleich der Summe der sich ergebenden Hosts mit dem zur Verfügung stehenden Adressraum.
    Wenn überschritten:
    • Dumm gelaufen.
    • Mit der Geschäftsleitung absprechen
    • Hosts einsparen
      oder
    • Adressraum mindestens verdoppeln (= Kosten)
  5. Sortieren nach Größe (absteigend)
  6. Berechnung der Subnetze

Demgegenüber bei IPv6:
  1. Wieviele Subnetze werden benötigt?
  2. Reicht meine Präfixlänge für diese Anzahl?
  3. Ggf, aber unwahrscheinlich: Kürzeres Präfix (= mehr Subnetze) anfordern

Mike0185 hat geschrieben:Ich hatte jetzt das Problem, dass sich wohl nach einiger Zeit die IPv6-Adresse und das Präfix geändert haben und die ZyWALL nichts mitbekommen hat.

Sagen wir es mal so:
Sich ändernde Präfixe sind auch zutiefst unprofessionell.
Das zeigt einem mal wieder, daß es sich bei den UM-"Business-Tarifen" eher um Premium-Privatkunden- und Kleinstunternehmer-Tarife denn um richtige Geschäftskundentarife handelt.

Die ursprünglichen Gründe für dynamische IPs sind mit IPv6 weggefallen, davon war der vordringlichste die Adressknappheit verbunden mit der Tatsache, daß bei Einwahlverbindungen eh nie alle Kunden gleichzeitig online waren. Durch dynamische Vergabe der IPs an diejenigen Kunden, die gerade tatsächlich online waren, konnte man somit IPs für diejenigen Kunden einsparen, die gerade offline waren.
Dieser Grund ist weggefallen, seitdem auch im Privatkundenbereich überall Router stehen, die die Verbindung dauerhaft halten. Die Anbieter haben es aber, ergänzt um eine 24h-Zwangstrennung, trotzdem beibehalten, um Serverdienste zu erschweren und dafür die Ausrede "Datenschutz" lanciert, ganz so als ob sie nicht jedem dahergelaufenen Rechtsanwalt die persönlichen Daten des Kunden zur Verfügung stellen würden, der ihnen die IP in Verbindung mit Datum/Uhrzeit der Verwendung nennt.

Mit der Einführung von IPv6 hätten an sich auch Privatkunden die Möglichkeit bekommen sollen, jederzeit und ohne Gehampel mit DynDNS-Diensten auf heimische Server (Gebäudeautomatisierung, NAS, ...) zugreifen zu können, dynamische Präfixe erschweren das unnötig. Die deutschen Provider vergeben trotzdem unter dem Vorwand des Datenschutzes (s.o.) und dem tatsächlichen Grund der Erschwerung von Serverdiensten dynamische Präfixe und manche Soft- oder Hardware hat damit halt noch so ihre Probleme, offenbar auch Deine ZyWall. Verständlich, denn die liegt in einem Preissegment, das üblicherweise nicht an solchen Kasperle-Theater-Anschlüssen zur Verwendung kommt.
Daß Du an einem Geschäftskundenanschluß mit statischer IPv4 überhaupt ein dynamisches IPv6-Präfix bekommst ist schon ein starkes Stück ...

Mike0185 hat geschrieben:Noch was anderes:
NAT gibt es bei IPv6 ja nicht mehr so wie bei IPv4, da ja mit IPv6 jeder Rechner eine öffentliche IPv6-Adresse erhält. Wie können hier "Portfreigaben" dann realisiert werden? V.a. mit dynamischen Präfixen?! Oder Webserver via IPv6 erreicht werden?

Das kann ich Dir nicht beantworten, wie die ZyWall das realisiert.

Prinzipiell entfällt lediglich die Umadressierung, da das Paket bereits an den richtigen Host und nicht wie bei IPv4 mit NAT an den Router adressiert ist.
Angenommen, Du hast die öffentliche IPv4 178.100.200.187 und lokal zwei ssh-Server 192.168.178.10 und 192.168.178.11, dann sind von außen eintreffende Pakete für diese Server ja trotzdem immer an 178.100.200.187 adressiert, wobei der Router dann anhand des verwendeten Ports und einer "Umleitungsregel" den Traffic dem einen oder dem anderen ssh-Server zuführt.

Vernachlässigen wir mal die Filterung nach Quell-IP, Protokoll u.ä. ...

Port-Weiterleitungsregeln:
178.100.200.187:22 -> 192.168.178.10:22
178.100.200.187:23 -> 192.168.178.11:22
= eingehender Traffic auf der öffentlichen IPv4, Port 22 soll auf den lokalen Rechner 192.168.178.10 Port 22 und eingehender Traffic auf der öffentlichen IPv4, Port 23 soll auf den lokalen Rechner 192.168.178.11 Port 22 geleitet werden.

Einer IPv6-Portfreigabe/Firewall-Ausnahme hingegen reicht die eigentliche Zieladresse, da die ja auch bei Paketen von außerhalb richtig ist und die Umleitung entfällt:
2a02:8071:9183:f500:0:02ab:12ff:fe89:1234:22
2a02:8071:9183:f500:0:0234:56ff:fe89:4567:22
= eingehender Traffic auf den Port 22 soll für die Ziel-Hosts 2a02:8071:9183:f500:0:02ab:12ff:fe89:1234 und auch 2a02:8071:9183:f500:0:0234:56ff:fe89:4567 erlaubt sein.

Dein Problem ist also nun, daß das Präfix dynamisch ist und sich somit gelegentlich ändert, Du kannst also nicht
2a02:8071:9183:f500:0:02ab:12ff:fe89:1234 und 2a02:8071:9183:f500:0:0234:56ff:fe89:4567
als Hosts eintragen, da dieselben Hosts nach Präfix-Änderung z.B.
2a02:8071:9275:ab00:0:02ab:12ff:fe89:1234 und 2a02:8071:9275:ab00:0:0234:56ff:fe89:4567
heißen könnten.

Bei ip6tables ist das m.W. tatsächlich ein Problem, denn ip6tables erwartet genau das, eine vollständige Hostangabe.
ip6tables muß man also bei jedem Präfixwechsel umschreiben ...

Die Firewall der Fritz!Boxen ist da cleverer und begnügt sich mit der "Interface-ID", also den letzten 64 Bit der Host-Adresse, also für obiges Beispiel
::02ab:12ff:fe89:1234 und ::0234:56ff:fe89:4567
während sie das Präfix/Subnet selber ergänzt und somit auch mit dynamischen Präfixen leben kann.

Du müßtest jetzt halt die ZyWall danach durchforsten, wie sie das löst. Für IPv4-Regeln gibt es ja Adress-Objekte, also sollte es die für IPv6 auch geben. Wenn man da lediglich komplette Host-Adressen eingeben darf, wärst Du ziemlich angeschmiert. Erlaubt sie intelligentere IPv6-Adress-Objekte, z.B. basierend auf dem zugewiesenen Subnetz plus der Interface-ID oder der MAC oder der DHCPv6 DUID, dann müßtest Du diese auch nutzen.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 25.06.2014, 11:03

Wahnsinn! :super: :super: :super: :super:

Danke mal wieder für einen megamäßig detailierten, ausführlichen, erklärenden und einfach tollen Beitrag!

Ich habe einige Zeit jetzt gebraucht diese ganzen Infos aufzusaugen und setzen zu lassen...

Ich werde mich mal bei ZyXEL erkundigen und mal etwas forschen was die IPv6-Freigaben betrifft.
Vielleicht frage ich auch mal bei der Businesskunden-Hotline an, warum eine statische IPv4-Adresse möglich ist aber das IPv6-Präfix sich dynamisch ändert...



Gruß
Mike
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon magentis » 25.06.2014, 12:38

Mike0185 hat geschrieben:
Ich werde mich mal bei ZyXEL erkundigen und mal etwas forschen was die IPv6-Freigaben betrifft.
Vielleicht frage ich auch mal bei der Businesskunden-Hotline an, warum eine statische IPv4-Adresse möglich ist aber das IPv6-Präfix sich dynamisch ändert...


Ich denk bei Business gibt es nur IPv4? Von daher sag ich als Laie, woher kommt dann die IPv6 und wird vergeben?
3Play Premium 100
DigitalTV Allstars + HD Option
Echostar Recorder
Cisco EPC 3208
Firmwarename: e3200-E10-5-v302r125562-130611c_upc.bin Jun 19 17:34:31 2013
Config-File: generic_100000_5000_ipv4_ncs_wifi-on.bin
Asus RT-N66U
Samsung UE40F6500
Sky Buli + Sport HD auf Sky Recorder
Synology DS213+

Die Moral von der Geschicht, traue keinen Versprechungen der UM-Hotliner.
magentis
Übergeordneter Verstärkerpunkt
 
Beiträge: 586
Registriert: 15.03.2013, 10:00

Re: DualStack auch über BridgeMode?

Beitragvon SpaceRat » 25.06.2014, 12:41

magentis hat geschrieben:Ich denk bei Business gibt es nur IPv4? Von daher sag ich als Laie, woher kommt dann die IPv6 und wird vergeben?

KabelBW hatte zwischenzeitlich auch "Dual Stack"-Profile genutzt (Tun sie aber nicht mehr, kriegt man auch nicht mehr).
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2619
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: DualStack auch über BridgeMode?

Beitragvon Mike0185 » 25.06.2014, 12:48

SpaceRat hat geschrieben:KabelBW hatte zwischenzeitlich auch "Dual Stack"-Profile genutzt (Tun sie aber nicht mehr, kriegt man auch nicht mehr).


Dann hatte ich einfach Glück?
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin
Mike0185
Kabelexperte
 
Beiträge: 209
Registriert: 05.11.2013, 18:46

Re: DualStack auch über BridgeMode?

Beitragvon magentis » 25.06.2014, 12:54

SpaceRat hat geschrieben:KabelBW hatte zwischenzeitlich auch "Dual Stack"-Profile genutzt (Tun sie aber nicht mehr, kriegt man auch nicht mehr).



Stimmt, KabelBW hatte es ja mal anders und besser und von daher denk ich nicht immer an die Bestandskunden.
3Play Premium 100
DigitalTV Allstars + HD Option
Echostar Recorder
Cisco EPC 3208
Firmwarename: e3200-E10-5-v302r125562-130611c_upc.bin Jun 19 17:34:31 2013
Config-File: generic_100000_5000_ipv4_ncs_wifi-on.bin
Asus RT-N66U
Samsung UE40F6500
Sky Buli + Sport HD auf Sky Recorder
Synology DS213+

Die Moral von der Geschicht, traue keinen Versprechungen der UM-Hotliner.
magentis
Übergeordneter Verstärkerpunkt
 
Beiträge: 586
Registriert: 15.03.2013, 10:00

VorherigeNächste

Zurück zu DOCSIS 3.0 - bis zu 400 Mbit/s

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste