Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
mbus
Kabelneuling
Beiträge: 5
Registriert: 03.01.2015, 20:55

Re: Kleiner IPv6-Workshop

Beitrag von mbus » 03.01.2015, 22:02

ich versuchs gerade erstmal übers lan.
pc - fritzbox - telefon (mangels zwiten anschluss mit IPv6)
aber da gehts zumindest mit dem fritzbox link. sprich den [buchstabensalat.myfritz.net] <- der link zur fritzbox geht.
der link vom telefon [https://s675ip.buchstabensalat.myfritz.net] wie auch [s675ip.buchstabensalat.myfritz.net] gehen nicht
ich habs auch über den dyndns-versucht, da gings auch nicht. (und der dürfte ja definitiv übers netz gehen denke ich)

zb. mbus-tel.ignorelist.com -> server nicht erreichbar.

nach dem stöbern im thread mal lookup versucht zur eingrenzung des problems: http://www.bilder-hosting.info/viewer.p ... 22363m.jpg
https://s675ip.buchstabensalat.myfritz.net wurde von fritzbox nicht gefunden
somit sagt meine fritzbox der server wurde nicht gefunden. egal ob ich des https:// davor weglasse oder nicht, ebenso das mit dem port (:443) was bei IPv6 ja nicht sein muss
aber die eigene adresse findet er so aber auch nicht. *verwirrt ist* ich gebs dran für heute. bis montag

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Kleiner IPv6-Workshop

Beitrag von Leseratte10 » 03.01.2015, 23:42

Passiert das auch, wenn du einen externen DNS-Server abfragst?

Code: Alles auswählen

nslookup s675ip.asdfghjkl.myfritz.net 8.8.8.8
Außerdem hat das Protokoll in einer DNS-Abfrage nix zu suchen - nicht "https://s675ip.asdf.myfritz.net" sondern "s675ip.asdf.myfritz.net."

kuhno
Kabelneuling
Beiträge: 4
Registriert: 16.12.2014, 13:42
Wohnort: Aachen

Re: Kleiner IPv6-Workshop

Beitrag von kuhno » 09.01.2015, 09:55

Wäre es nicht prinzipiell auch möglich, sich eine Art DS selbst zu bauen?
Ich stelle mir einen Server vor, der ein internes LAN hat, auf WAN-Seite aber zwei Interfaces: UM für IPv6 (also hinter das Modem hängen) und z.B. LTE für IPv4.

Je nach Anfrage soll besagter Server über das entsprechende Interface routen, bzw. wenn eine URI nicht nach IPv6 aufgelöst werden kann, soll IPv4 als Fallback verwendet werden.
Auch dient die IPv4-Anbindung dazu, von nicht v6-fähigen Clients zu mir zu verbinden.
Das interne LAN würde man dann vermutlich zweigleisig per IPv4 und v6 vernetzen.

Wäre soetwas prinzipiell machbar?
Vielleicht sogar in einer FB mit eingestecktem UMTS-Stick?

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitrag von hajodele » 09.01.2015, 10:55

kuhno hat geschrieben:Wäre es nicht prinzipiell auch möglich, sich eine Art DS selbst zu bauen?
Ich stelle mir einen Server vor, der ein internes LAN hat, auf WAN-Seite aber zwei Interfaces: UM für IPv6 (also hinter das Modem hängen) und z.B. LTE für IPv4.
Theoretisch ist das schon möglich.
In der Praxis scheitert das aber schon am erforderlichen Geldaufwand. Da ist es einfacher und billiger einen Businesstarif (mit IPv4) zu nehmen und dort einen entsprechenden (statischen) IPv6-Tunnel zu verwenden.
Da es ja um den Zugang von aussen geht, brauchst du einen DynDNS-Anbieter, bei dem die entsprechenden (A) und (AAAA) Einträge selectiv auf den gleichen Namen eingetragen werden.
kuhno hat geschrieben:Vielleicht sogar in einer FB mit eingestecktem UMTS-Stick?
Das haben wir nicht, und bekommen auch so schnell nicht rein :zwinker: Selbst bei der noch nicht verfügbaren 6490 gibt es das nicht: http://avm.de/nc/service/fritzbox/fritz ... inrichten/

Man beachte vor allem: Die privaten Tarife untersagen den Server-Betrieb.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 09.01.2015, 11:35

hajodele hat geschrieben:
kuhno hat geschrieben:Wäre es nicht prinzipiell auch möglich, sich eine Art DS selbst zu bauen?
Ich stelle mir einen Server vor, der ein internes LAN hat, auf WAN-Seite aber zwei Interfaces: UM für IPv6 (also hinter das Modem hängen) und z.B. LTE für IPv4.
Theoretisch ist das schon möglich.
In der Praxis scheitert das aber schon am erforderlichen Geldaufwand. Da ist es einfacher und billiger einen Businesstarif (mit IPv4) zu nehmen und dort einen entsprechenden (statischen) IPv6-Tunnel zu verwenden.
Für 50 MBit/s ist das korrekt.

Bei allen Tarifen über 50 MBit/s kann sich folgender Aufbau rechnen:
TC7200 mit IPv6-Firewall disabled + OpenWrt-Router mit IPv6 im Firewall-Modus (IPv6 relay = Nicht wirklich Router aber auch nicht wirklich nur Access Point) + VPN-Anbieter (Nach Möglichkeit per IPv6 erreichbar) für IPv4.

OpenWrt hat allerdings drei gravierende Nachteile:
- Es ist eine Qual im 4rsch zu konfigurieren
- Die Performance ist grottig (Das Hardware-NAT der Router geht verloren, damit wird die NAT-Leistung mindestens halbiert)
- Die IPv6-Firewall basiert auf iptables und kann immer noch nicht anständig mit wechselnden Präfixen umgehen

Aber:
- Schlimmer als das TC7200 ist OpenWrt auch nicht
- Ein per IPv6 erreichbarer Tunnel, welcher dann eine statische IPv4 tunnelt, ist bereits für 4,20 EUR/mtl. zu haben, der Business-Tarif mit 100 MBit/s hingegen hat einen deutlich höheren Aufpreis ggü. dem Privatkundentarif mit 120 MBit/s.

Der Grundaufbau ist relativ banal:
1. Der OpenWrt-Router teilt sich die native IPv6-Anbindung mit dem TC7200, der sie bereitstellt.
2. Die IPv6-Firewall des TC7200 wird komplett deaktiviert (Dann aber bitte keine Geräte mehr direkt am TC7200 anstecken), diese Aufgabe übernimmt OpenWrt
3. Im OpenWrt-Router wird ein VPN eingerichtet, welches über IPv6 aufgebaut wird und die statische IPv4 des Tunnelanbieters "nach Hause holt".
4. Dieses VPN wird nun nicht, wie bei einem echten VPN, in die Firewall-Zone "vpn" oder "lan" gepackt, sondern in die Zone "wan".

Nun kann man sich entscheiden:
5a. Das o.g. VPN wird als alleinige IPv4-WAN-Anbindung verwendet (Traffic-Limits beachten)
5b. Die IPv4-lite-Verbindung wird zusätzlich zum VPN eingerichtet (Ein Ergebnis ähnlich einem Dual-WAN)

Bei 5a ist hinter dem OpenWrt-Router vom IPv4-lite nichts mehr übrig, es ist eine echte Dual-Stack-Anbindung (Mit lediglich etwas reduzierter MTU für IPv4 durch den Tunneloverhead). Man hat jedoch die Traffic-Limits des Tunnelanbieters zu beachten.

Bei Variante 5b kann die IPv4-lite-Anbindung weiterhin für ausgehenden IPv4-Traffic herhalten um den VPN-Tunnel vom Traffic zu entlasten. Die VPN-Anbindung wird nur für eingehenden IPv4-Traffic genutzt oder solchen ausgehenden, bei dem der Server unbedingt die erreichbare IPv4 als Absender-IP sehen soll.
Diese Variante ist natürlich deutlich aufwendiger zu pflegen, da man schlimmstenfalls für jeden weiteren Server, den man durch den VPN-Tunnel erreichen will, eine weitere Route anlegen muß ...


Ob das sinnvoll ist, muß jeder für sich entscheiden.
Ich sehe das so:
Wir habe nicht mehr 1998, so langsam sind die Serverbetreiber, Hardwarehersteller, Provider, usw. schon in der Pflicht, voll funktionsfähige Produkte anzubieten, also solche mit IPv6-Support.
Damit lösen sich sämtliche Probleme die durch fehlendes IPv6 entstehen von selber auf.

Es kann nicht immer noch auf den Benutzer oder die Provider mit IPv6 abgewälzt werden, für Retro-Hardware, Retro-Anschlüsse, usw. usf. workarounds zu implementieren.
Wenn myvideo (IPv4-only) ruckelt und youtube (Dual Stack) nicht, dann ist MyVideo und nicht Unitymedia oder der Benutzer in der Pflicht, das Problem abzustellen.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitrag von hajodele » 09.01.2015, 12:55

Es geht ja nur darum, dass es keine vernünftige ausschließlich interne Lösung gibt.

Wenn es z.B. nur darum geht, dass man nur von einer abzählbaren Menge an Internetanschlüssen zugreifen muss, kann man dort auch schlicht einen IPv6-Tunnel kostenlos einrichten.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 09.01.2015, 13:07

hajodele hat geschrieben:Es geht ja nur darum, dass es keine vernünftige ausschließlich interne Lösung gibt.
Das ist logisch, denn schon das Problem ist ja im Kern auch ein rein externes.

Wenn Du nix eingekauft hast, ist und bleibt der Kühlschrank leer, egal wie lange Du am Kühlschrank herum reparierst.

kuhno
Kabelneuling
Beiträge: 4
Registriert: 16.12.2014, 13:42
Wohnort: Aachen

Re: Kleiner IPv6-Workshop

Beitrag von kuhno » 09.01.2015, 15:35

hajodele hat geschrieben: Theoretisch ist das schon möglich.
In der Praxis scheitert das aber schon am erforderlichen Geldaufwand.

Man beachte vor allem: Die privaten Tarife untersagen den Server-Betrieb.
Danke für die Antwort, ich werde es versuchen.

Finanzieller Aufwand dürfte bei mir kaum anfallen, Zugriff auf fähige Hardware und wenn nötig performante Server zum Tunneln/Proxen nabe ich.

Als Serverbetrieb würde ich das ganze auch nicht bezeichnen, es geht in meinem Szenario darum, max. ein hatbes Dutzend Freunde von außerhalb z.B. auf unsere Minecraftmap zu lassen. Dass man das auch als Serverdienst sehen kann, dessen bin ich mir bewusst.

Idee war, einen BarebonePC, der als WG-interner Server rumsteht, als Gateway zu verwenden, der eben per LAN1 mit dem Modem und per LAN2 mit unserem LAN (welches idealerweise als v4 und v6 existiert) verbunden ist, der NAT für die IPv4-Verbindung spielt und für v6 auch NAT oder nur Gateway.
Das Problem wird die Logik sein, die die Anfragen auf die 2 verfügbaren Upstreams aufteilt, am besten v4 eben nur als Fallback für Ziele verwendet, die kein v6 beherrschen.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 09.01.2015, 16:21

kuhno hat geschrieben:Das Problem wird die Logik sein, die die Anfragen auf die 2 verfügbaren Upstreams aufteilt, am besten v4 eben nur als Fallback für Ziele verwendet, die kein v6 beherrschen.
Mal ein paar Anregungen:
  • Es gibt DNS-Server, die für jeden IPv4-only-Server trotzdem auch eine IPv6-Adresse ausspucken (DNS64), der Zugriff auf die IPv4-only-Server durch IPv6-fähige Clients erfolgt dann durch ein NAT64-Gateway.
    Für DNSMasq:
    server=2001:8b0:6464::1
    server=2001:8b0:6464::2
    server=217.169.20.26

    Nur die Clients die selber auch kein IPv6 können nutzen dann noch die ebenfalls zurückgemeldeten originalen IPv4-Adressen.
    Damit wird man schon mal eine ganze Menge Traffic auf dem IPv4-WAN-Interface los.

    Für bestimmte Server/Dienste darf oder sollte man das allerdings nicht nutzen, hier mal eine kleine Kollektion an Ausnahmen in DNSMasq-Syntax:
    # Horizon akzeptiert nur UM/KBW-IPv4-Adressen als Quelle, Google DNS zur Auflösung verwenden:
    server=/horizon.tv/2001:4860:4860::8888
    server=/omtrdc.net/2001:4860:4860::8888
    server=/link.theplatform.com/2001:4860:4860::8888

    # Zeitserver:
    server=/ntp.org/8.8.8.8

    # Paypal, einfach nur um den Traffic nicht durch ein fremdes System zu jagen:
    server=/paypal.com/2001:4860:4860::8888
    server=/paypal.de/2001:4860:4860::8888
  • Rest primär über default route
    Die default route sollte natürlich prinzipiell auf die IPv4-lite-Anbindung zeigen, um das VPN zu entlasten.

    Wenn man allerdings viel mit IPSec zu Gegenstellen mit dynamischen IPs oder mit eMule oder sonstigen Protokollen hantiert, bei denen die Absende-IP mit im Paket enthalten ist, wäre die default route über das VPN vorzuziehen.
  • Rest über statische Routen
    Das kann mehr oder weniger Arbeit sein, je nachdem, wie man sich im vorherigen Schritt entschieden hat.
    Normal sollte es weniger Arbeit sein, hier die wenigen Ziele zu benennen, die über IPv4-lite nicht funktionieren (= default über IPv4-lite, nur wenige Routen für Hosts/Netze mit Routing via VPN), statt umgekehrt (Default route über VPN, also braucht man möglichst umfassende Routen, die Traffic doch wieder auf's IPv4-lite lenken).

kuhno
Kabelneuling
Beiträge: 4
Registriert: 16.12.2014, 13:42
Wohnort: Aachen

Re: Kleiner IPv6-Workshop

Beitrag von kuhno » 09.01.2015, 16:28

Ich bin echt erstaunt über die Hilfe und Anregungen. Das hatte ich echt nicht erwartet! :super:

Mit VPN wollte ich eigentlich nicht arbeiten, auch wenn das der übliche Weg ist, v4 selbst zu tunneln. Ich hätte dafür UMTS/LTE als v4-only-Interface verwendet. Das hätte den Vorteil einer höheren Datenrate, eine SIM mit ausreichend Volumen habe ich auch noch hier liegen. Außerdem hat LTE sogar eine höhere Uploadgeschwindigkeit als 3play200.

Kann man nicht einfach auf einen DNS ausweichen, der diese embedded v4 nicht generiert?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 09.01.2015, 17:48

kuhno hat geschrieben:Mit VPN wollte ich eigentlich nicht arbeiten, auch wenn das der übliche Weg ist, v4 selbst zu tunneln.
Es ist der naheliegendste:
- Kann sogar auf relativ günstigen Plastikroutern realisiert werden
- Begrenzt - zumindest theoretisch - nicht die Geschwindigkeit
- VPNs sind auch für üppige Übertragungsvolumen buchbar
kuhno hat geschrieben:Ich hätte dafür UMTS/LTE als v4-only-Interface verwendet. Das hätte den Vorteil einer höheren Datenrate, eine SIM mit ausreichend Volumen habe ich auch noch hier liegen. Außerdem hat LTE sogar eine höhere Uploadgeschwindigkeit als 3play200.
Es gibt da nicht "die eine" richtige Lösung.

Bei LTE wäre ich aber skeptisch, ob das auch auf Dauer die versprochenen Geschwindigkeiten bietet.
Und je nach Vertrag hast Du dort auch noch CGN, also eine für eingehende Verbindungen genauso wertlose IPv4 wie schon beim IPv4-lite.
Abhängig vom Standort mußt Du vielleicht sogar noch Aufwand treiben, um guten Empfang zu haben.
Dazu kommen die doch recht hohen Latenzen über Funk. Die zusätzlichen Latenzen durch IPv4-2-IPv6-Port-Proxies sind lächerlich dagegen.

Wenn Du allerdings
- guten Empfang
- ein hohes Volumen im Vertrag (Wobei: Definiere hoch. Ich jubel pro Monat 3 TB durch die Leitung. Wo kriege ich einen solchen LTE-Vertrag?)
- eine derzeit und auch auf absehbare Zeit kaum belastete Funkzelle
und
- keine Server mit hohen Anforderungen an die Latenz (Game-Server, CS, ...)
hast, steht dem natürlich nix im Wege.
kuhno hat geschrieben:Kann man nicht einfach auf einen DNS ausweichen, der diese embedded v4 nicht generiert?
Könnte man, macht man aber nicht.

IPv6 wird - bei nativer Anbindung - sowieso immer bevorzugt (Es sei denn, die Client-Software ist schlecht programmiert), die zusätzlich zurückgemeldete IPv4 ist also irrelevant.

Andererseits gibt es aber durchaus Clients, die gar kein IPv6 können. Der DNS-Server müßte also wissen, welche Clients das sind, um diesen dann doch auch wieder IPv4 zurückzumelden, sonst würden diese ja nur noch ein "Non-existent domain." bekommen.
D.h. man müßte am DNS-Server ständig nachjustieren, daß z.B. der Fernseher (Für seine Internet-Apps), die Dreamkotz 800, o.ä. doch noch IPv4-Adressen mitgeteilt bekommen sollen, aber der PC nicht.
Und selbst dann guckt der PC blöd, wenn die Anfrage von eMule oder sonst einem Programm kommt, welches mit IPv6 partout nicht umgehen kann.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Kleiner IPv6-Workshop

Beitrag von Leseratte10 » 10.01.2015, 23:38

Einige der Bilder im IPv6-Workshop sind nicht mehr online: http://www.unitymediakabelbwforum.de/vi ... 25#p262325

tokon
Übergabepunkt
Beiträge: 342
Registriert: 04.12.2014, 11:13
Wohnort: Baden-Württemberg

Re: Kleiner IPv6-Workshop

Beitrag von tokon » 10.01.2015, 23:58

Ist bekannt:
http://www.unitymediakabelbwforum.de/vi ... 44#p303844
2play PLUS 120/ISDN * FB6360 (FRITZ!OS 06.52) * Auerswald 5020 VoIP * ASUS RT-N66U als AP
Bild

mbus
Kabelneuling
Beiträge: 5
Registriert: 03.01.2015, 20:55

Re: Kleiner IPv6-Workshop

Beitrag von mbus » 15.01.2015, 06:29

Leseratte10 hat geschrieben:Passiert das auch, wenn du einen externen DNS-Server abfragst?

Code: Alles auswählen

nslookup s675ip.asdfghjkl.myfritz.net 8.8.8.8
Außerdem hat das Protokoll in einer DNS-Abfrage nix zu suchen - nicht "https://s675ip.asdf.myfritz.net" sondern "s675ip.asdf.myfritz.net."
also:
fritzbox über der dns wird gefunden.
das telefon wird auch dort leider nicht gefunden. deutet wohl auf einen konfigurationsfehler hin.

Citrusman
Kabelneuling
Beiträge: 3
Registriert: 26.01.2015, 15:02

Re: Kleiner IPv6-Workshop

Beitrag von Citrusman » 26.01.2015, 15:07

Moin,

ich hab mir hier jetzt alles durchgelesen und soweit auch eingestellt gehabt.
Vielen Dank dafür! :)

Das einzige, was mir jetzt noch nicht zu 100% klar ist, ist wie ich meine alten Ipv4 Ports (55380 - 55390 TCP und UCP) freigebe.
Zuvor hatte ich eine ältere FitzBox, bei der alles soweit wunderbar geklappt hat.
Nach dem Wechsel zu KabelBW hab ich nun den Ubee EVW 3226 an der Backe.

Kann mir da jemand weiterhelfen?

Gruß
C.

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: Kleiner IPv6-Workshop

Beitrag von Leseratte10 » 26.01.2015, 15:39

Das ist ja gerade die Änderung mit DS-Lite:

Über IPv4 bist du nun nicht mehr erreichbar - Portfreigaben kannst du nicht anlegen.

Für IPv6 musst du die Firewall (im Fall des Ubee komplett) deaktivieren - nicht zu empfehlen, denn dann sind alle Geräte ungeschützt im Internet erreichbar.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.01.2015, 15:48

Die bei 2play/3play einfachste und komfortabelste Lösung ist und bleibt es auch vorerst, in den sauren Apfel zu beißen und 5 EUR mehr für die Fritz!Box 6360 (und zukünftig die 6490) auszugeben.
Alternativ eben der Wechsel in einen Business-Tarif.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Citrusman
Kabelneuling
Beiträge: 3
Registriert: 26.01.2015, 15:02

Re: Kleiner IPv6-Workshop

Beitrag von Citrusman » 26.01.2015, 16:06

Moin,

ah na klasse.. was nen technischer Fortschritt ..
Klemmt man die FritzBox dafür einfach dazwischen oder ersetzt die den anderen Kasten?

Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?

Gruß
C.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.01.2015, 16:13

Citrusman hat geschrieben:Klemmt man die FritzBox dafür einfach dazwischen oder ersetzt die den anderen Kasten?
Die Fritz!Boxen 6320, 6340, 6360 und 6490 sind Kabel-Modelle, die enthalten bereits ein Kabel-Modem.
D.h. die ersetzen dann das Drecknikotzlor DK7200 oder das ÜBEL EVIL3226.

Leider ist UM/KBW scharf darauf, die Kundenanschlüsse zu kastrieren, deshalb wird der Einsatz der 6320 und 6340 - die gab es eine Zeit lang ohne die Komfort-Option dazu - madig gemacht (Keine Hochschaltung auf 200 MBit/s und auch ansonsten werden sie gerne grundlos gegen DK7200 oder EVIL3226 ausgetauscht), damit bleibt wirklich nur die Komfort-Option.
Citrusman hat geschrieben:Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?
Du kannst den TP-Link AP auch an der Fritz!Box betreiben, ja.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Citrusman
Kabelneuling
Beiträge: 3
Registriert: 26.01.2015, 15:02

Re: Kleiner IPv6-Workshop

Beitrag von Citrusman » 26.01.2015, 16:22

SpaceRat hat geschrieben:
Citrusman hat geschrieben:Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?
Du kannst den TP-Link AP auch an der Fritz!Box betreiben, ja.
War blöd ausgedrückt von mir, ich meinte ob ich den an den Ubee klemmen kann für die Portgeschichte.
Ich war nämlich der Meinung das das Ding auch eine Portfreigabeoption hatte. Sicher bin ich mir allerdingsnicht mehr.

Gruß
C.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.01.2015, 19:16

Citrusman hat geschrieben:War blöd ausgedrückt von mir, ich meinte ob ich den an den Ubee klemmen kann für die Portgeschichte.
Ich war nämlich der Meinung das das Ding auch eine Portfreigabeoption hatte. Sicher bin ich mir allerdingsnicht mehr.
Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.

Du kannst ihn dann auch hinter den ÜBEL klemmen und Portfreigaben vornehmen.
Alles, was Du dann im TP-Link freigibst kannst Du aus dem Netz des ÜBEL erreichen ...

Mensch ....

Es muß doch irgendwie mal in die Köppe reinzukriegen sein, daß Router Netze trennen (Daher auch schon mal "Border Device", auf Deutsch also "Grenz(übergangs)gerät", genannt) und deshalb nienicht mitten in ein Netz gehören.
Und in einem Netz braucht man keine Portfreigaben.

Und wenn ich einen zweiten Router hinter den ersten kaskadiere, dann habe ich eben auch das vom ersten Router erzeugte private Netz vor dem zweiten und nicht mehr das Internet. Was der erste Router nicht durchläßt, kann der zweite doch nicht auf einmal wieder bekommen ...

Wenn Du Deinen Briefschlitz zunagelst, dann kannst Du hinter der Haustür 10 Briefkästen aufstellen, es landet einfach keine Post drin.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Banis
Kabelneuling
Beiträge: 4
Registriert: 31.01.2015, 11:41

Re: Kleiner IPv6-Workshop

Beitrag von Banis » 31.01.2015, 11:52

Hallo zusammen,

ich stehe nun auch vor dem Problem, dass ich einen neuen Vertrag bei KabelBW abgeschlossen haben und mich deshalb mit dem DS-Lite Verfahren begnügen muss. Vielen Dank an dieser Stelle an SpaceRat für den tollen Workshop.
SpaceRat hat geschrieben:Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.
Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitrag von hajodele » 31.01.2015, 11:59

Banis hat geschrieben:Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt.
Leider funktioniert das aktuell nur mit den Fritzboxen, da die Präfix des JuHu nicht weitergereicht wird.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 31.01.2015, 12:32

Banis hat geschrieben:Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?
Ja, der Denkfehler ist, daß Du nicht weitergelesen hast.

Es wurde nun schon x Mal klargestellt, daß Router Netze trennen, wenn man also mehrere Router hintereinander kaskadiert, erzeugt man mehrere Netze (und nicht eines, wie das im heimischen LAN normal gewünscht wird).
Weiter hinten liegende Router hängen dementsprechend auch nicht mehr "im Internet" sondern immer nur im privaten LAN des vorgeschalteten.

Damit sollte eigentlich auch klar sein, daß Portweiterleitungen auf nachgeschalteten Routern zwar durchaus funktionieren, aber nicht das machen, was man voraussichtlich wirklich will.

IPv4-Port-Weiterleitungen im Router sorgen dafür, daß Geräte hinter dem Router (Also in dessen LAN) aus dem davor liegenden Netz erreichbar sind. Das funktioniert immer. Nur daß bei einer Router-Kaskade das vorgeschaltete Netz eben nicht mehr das Internet ist, sondern nur ein anderes privates Netz.


Aber weil Du OpenWrt erwähnt hast:
Man kann einen Router mit OpenWrt¹ so hinter das DK7200 oder ÜBEL EVIL klemmen, daß IPv4-mäßig zwar besagte Router-Kaskade entsteht² , IPv6-mäßig jedoch der OpenWrt-Router im selben Netz hängen wird wie das DK7200 oder das ÜBEL EVIL. Der OpenWrt-Router arbeitet dann für IPv6 nicht mehr als Router (Trennt also keine Netze, sondern verbindet sie), läßt aber seine IPv6-Firewall aktiv.
Es funktioniert immerhin so gut, daß ich die Dinger fertig konfiguriert verkaufen kann *g*, daher auch der Archer C7 in meiner Signatur.
Was ich verkaufe muß ich auch bereit sein, selber zu essen ;)

Die Grundkonfiguration ist jetzt gar nicht mal so schwer, in /etc/config/network sieht der Abschnitt wan6 so aus:

Code: Alles auswählen

config interface 'wan6'
        option ifname '@wan'
        option proto 'dhcpv6'
        option reqaddress 'try'
        option peerdns '0'
        option dns '2001:4860:4860::8888 2001:4860:4860::8844'
        option reqprefix 'no'
und in /etc/config/dhcp so:

Code: Alles auswählen

config dhcp 'wan6'
        option dhcpv6 'relay'
        option ra 'relay'
        option ndp 'relay'
        option master '1'
        option interface 'wan'
        option ignore '1'
        option ra_management '1'
Das reicht, damit Geräte hinter dem OpenWrt-Router IPv6-Adressen aus dem gemeinsamen IPv6-Netz von DK7200/ÜBEL EVIL3226 und OpenWrt-Router erhalten.
IPv6-Freigaben für nachgeschaltete Geräte gestalten sich bei UM/KBW allerdings wegen des dynamischen Präfixes schwer, denn mit dynamisch veränderlichen Adressen mag die Firewall nicht so recht.

IPv6-Freigaben auf dem OpenWrt-Router selber sind hingegen kein Problem, denn für diese Freigaben braucht man die Zieladresse nicht.
Das wiederum reicht, um einen OpenVPN-Server auf dem OpenWrt-Router laufen zu lassen und darüber von überall aus Vollzugriff auf's eigene LAN zu erhalten. In Verbindung mit einem IPv4-to-IPv6-Port-Proxy wie dem von feste-ip.net sogar aus reinen IPv4-Netzen (Wie z.B. Mobilfunk).

Will man unbedingt Geräte im LAN unmittelbar (also nicht erst über das VPN) freigeben, dann sollte das mit einem NAT-ähnlichen Konstrukt via tcpproxy (Ab Chaos Calmer der Ersatz für 6tunnel in OpenWrt) möglich sein, sogar für Server, die selber nur IPv4 sprechen.



1 = Ich empfehle, den aktuellen Chaos Calmer trunk zu verwenden und nicht Barrier Breaker oder älter. Dazu muß der Router aber mehr als 4 MB Flash haben, sonst gibt's keine grafische Oberfläche LuCi.
2 = Nicht schön, aber akzeptabel, da von außen eh nix mehr per IPv4 ankommt
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Banis
Kabelneuling
Beiträge: 4
Registriert: 31.01.2015, 11:41

Re: Kleiner IPv6-Workshop

Beitrag von Banis » 02.02.2015, 11:01

Vielen Dank für die Ausführliche Anleitung. Ich werde dies im Laufe der Woche mal ausprobieren.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste