Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 09.01.2015, 17:48

kuhno hat geschrieben:Mit VPN wollte ich eigentlich nicht arbeiten, auch wenn das der übliche Weg ist, v4 selbst zu tunneln.
Es ist der naheliegendste:
- Kann sogar auf relativ günstigen Plastikroutern realisiert werden
- Begrenzt - zumindest theoretisch - nicht die Geschwindigkeit
- VPNs sind auch für üppige Übertragungsvolumen buchbar
kuhno hat geschrieben:Ich hätte dafür UMTS/LTE als v4-only-Interface verwendet. Das hätte den Vorteil einer höheren Datenrate, eine SIM mit ausreichend Volumen habe ich auch noch hier liegen. Außerdem hat LTE sogar eine höhere Uploadgeschwindigkeit als 3play200.
Es gibt da nicht "die eine" richtige Lösung.

Bei LTE wäre ich aber skeptisch, ob das auch auf Dauer die versprochenen Geschwindigkeiten bietet.
Und je nach Vertrag hast Du dort auch noch CGN, also eine für eingehende Verbindungen genauso wertlose IPv4 wie schon beim IPv4-lite.
Abhängig vom Standort mußt Du vielleicht sogar noch Aufwand treiben, um guten Empfang zu haben.
Dazu kommen die doch recht hohen Latenzen über Funk. Die zusätzlichen Latenzen durch IPv4-2-IPv6-Port-Proxies sind lächerlich dagegen.

Wenn Du allerdings
- guten Empfang
- ein hohes Volumen im Vertrag (Wobei: Definiere hoch. Ich jubel pro Monat 3 TB durch die Leitung. Wo kriege ich einen solchen LTE-Vertrag?)
- eine derzeit und auch auf absehbare Zeit kaum belastete Funkzelle
und
- keine Server mit hohen Anforderungen an die Latenz (Game-Server, CS, ...)
hast, steht dem natürlich nix im Wege.
kuhno hat geschrieben:Kann man nicht einfach auf einen DNS ausweichen, der diese embedded v4 nicht generiert?
Könnte man, macht man aber nicht.

IPv6 wird - bei nativer Anbindung - sowieso immer bevorzugt (Es sei denn, die Client-Software ist schlecht programmiert), die zusätzlich zurückgemeldete IPv4 ist also irrelevant.

Andererseits gibt es aber durchaus Clients, die gar kein IPv6 können. Der DNS-Server müßte also wissen, welche Clients das sind, um diesen dann doch auch wieder IPv4 zurückzumelden, sonst würden diese ja nur noch ein "Non-existent domain." bekommen.
D.h. man müßte am DNS-Server ständig nachjustieren, daß z.B. der Fernseher (Für seine Internet-Apps), die Dreamkotz 800, o.ä. doch noch IPv4-Adressen mitgeteilt bekommen sollen, aber der PC nicht.
Und selbst dann guckt der PC blöd, wenn die Anfrage von eMule oder sonst einem Programm kommt, welches mit IPv6 partout nicht umgehen kann.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Leseratte10
Glasfaserstrecke
Beiträge: 1423
Registriert: 07.03.2013, 15:56

Re: Kleiner IPv6-Workshop

Beitrag von Leseratte10 » 10.01.2015, 23:38

Einige der Bilder im IPv6-Workshop sind nicht mehr online: http://www.unitymediakabelbwforum.de/vi ... 25#p262325

tokon
Übergabepunkt
Beiträge: 342
Registriert: 04.12.2014, 11:13
Wohnort: Baden-Württemberg

Re: Kleiner IPv6-Workshop

Beitrag von tokon » 10.01.2015, 23:58

2play PLUS 120/ISDN * FB6360 (FRITZ!OS 06.52) * Auerswald 5020 VoIP * ASUS RT-N66U als AP
Bild

mbus
Kabelneuling
Beiträge: 5
Registriert: 03.01.2015, 20:55

Re: Kleiner IPv6-Workshop

Beitrag von mbus » 15.01.2015, 06:29

Leseratte10 hat geschrieben:Passiert das auch, wenn du einen externen DNS-Server abfragst?

Code: Alles auswählen

nslookup s675ip.asdfghjkl.myfritz.net 8.8.8.8
Außerdem hat das Protokoll in einer DNS-Abfrage nix zu suchen - nicht "https://s675ip.asdf.myfritz.net" sondern "s675ip.asdf.myfritz.net."
also:
fritzbox über der dns wird gefunden.
das telefon wird auch dort leider nicht gefunden. deutet wohl auf einen konfigurationsfehler hin.

Citrusman
Kabelneuling
Beiträge: 3
Registriert: 26.01.2015, 15:02

Re: Kleiner IPv6-Workshop

Beitrag von Citrusman » 26.01.2015, 15:07

Moin,

ich hab mir hier jetzt alles durchgelesen und soweit auch eingestellt gehabt.
Vielen Dank dafür! :)

Das einzige, was mir jetzt noch nicht zu 100% klar ist, ist wie ich meine alten Ipv4 Ports (55380 - 55390 TCP und UCP) freigebe.
Zuvor hatte ich eine ältere FitzBox, bei der alles soweit wunderbar geklappt hat.
Nach dem Wechsel zu KabelBW hab ich nun den Ubee EVW 3226 an der Backe.

Kann mir da jemand weiterhelfen?

Gruß
C.

Leseratte10
Glasfaserstrecke
Beiträge: 1423
Registriert: 07.03.2013, 15:56

Re: Kleiner IPv6-Workshop

Beitrag von Leseratte10 » 26.01.2015, 15:39

Das ist ja gerade die Änderung mit DS-Lite:

Über IPv4 bist du nun nicht mehr erreichbar - Portfreigaben kannst du nicht anlegen.

Für IPv6 musst du die Firewall (im Fall des Ubee komplett) deaktivieren - nicht zu empfehlen, denn dann sind alle Geräte ungeschützt im Internet erreichbar.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.01.2015, 15:48

Die bei 2play/3play einfachste und komfortabelste Lösung ist und bleibt es auch vorerst, in den sauren Apfel zu beißen und 5 EUR mehr für die Fritz!Box 6360 (und zukünftig die 6490) auszugeben.
Alternativ eben der Wechsel in einen Business-Tarif.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Citrusman
Kabelneuling
Beiträge: 3
Registriert: 26.01.2015, 15:02

Re: Kleiner IPv6-Workshop

Beitrag von Citrusman » 26.01.2015, 16:06

Moin,

ah na klasse.. was nen technischer Fortschritt ..
Klemmt man die FritzBox dafür einfach dazwischen oder ersetzt die den anderen Kasten?

Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?

Gruß
C.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.01.2015, 16:13

Citrusman hat geschrieben:Klemmt man die FritzBox dafür einfach dazwischen oder ersetzt die den anderen Kasten?
Die Fritz!Boxen 6320, 6340, 6360 und 6490 sind Kabel-Modelle, die enthalten bereits ein Kabel-Modem.
D.h. die ersetzen dann das Drecknikotzlor DK7200 oder das ÜBEL EVIL3226.

Leider ist UM/KBW scharf darauf, die Kundenanschlüsse zu kastrieren, deshalb wird der Einsatz der 6320 und 6340 - die gab es eine Zeit lang ohne die Komfort-Option dazu - madig gemacht (Keine Hochschaltung auf 200 MBit/s und auch ansonsten werden sie gerne grundlos gegen DK7200 oder EVIL3226 ausgetauscht), damit bleibt wirklich nur die Komfort-Option.
Citrusman hat geschrieben:Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?
Du kannst den TP-Link AP auch an der Fritz!Box betreiben, ja.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Citrusman
Kabelneuling
Beiträge: 3
Registriert: 26.01.2015, 15:02

Re: Kleiner IPv6-Workshop

Beitrag von Citrusman » 26.01.2015, 16:22

SpaceRat hat geschrieben:
Citrusman hat geschrieben:Hab hier noch einen TP-Link AP rumfliegen, kann man den evtl. irgendwie dazwischen basteln?
Du kannst den TP-Link AP auch an der Fritz!Box betreiben, ja.
War blöd ausgedrückt von mir, ich meinte ob ich den an den Ubee klemmen kann für die Portgeschichte.
Ich war nämlich der Meinung das das Ding auch eine Portfreigabeoption hatte. Sicher bin ich mir allerdingsnicht mehr.

Gruß
C.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.01.2015, 19:16

Citrusman hat geschrieben:War blöd ausgedrückt von mir, ich meinte ob ich den an den Ubee klemmen kann für die Portgeschichte.
Ich war nämlich der Meinung das das Ding auch eine Portfreigabeoption hatte. Sicher bin ich mir allerdingsnicht mehr.
Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.

Du kannst ihn dann auch hinter den ÜBEL klemmen und Portfreigaben vornehmen.
Alles, was Du dann im TP-Link freigibst kannst Du aus dem Netz des ÜBEL erreichen ...

Mensch ....

Es muß doch irgendwie mal in die Köppe reinzukriegen sein, daß Router Netze trennen (Daher auch schon mal "Border Device", auf Deutsch also "Grenz(übergangs)gerät", genannt) und deshalb nienicht mitten in ein Netz gehören.
Und in einem Netz braucht man keine Portfreigaben.

Und wenn ich einen zweiten Router hinter den ersten kaskadiere, dann habe ich eben auch das vom ersten Router erzeugte private Netz vor dem zweiten und nicht mehr das Internet. Was der erste Router nicht durchläßt, kann der zweite doch nicht auf einmal wieder bekommen ...

Wenn Du Deinen Briefschlitz zunagelst, dann kannst Du hinter der Haustür 10 Briefkästen aufstellen, es landet einfach keine Post drin.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Banis
Kabelneuling
Beiträge: 4
Registriert: 31.01.2015, 11:41

Re: Kleiner IPv6-Workshop

Beitrag von Banis » 31.01.2015, 11:52

Hallo zusammen,

ich stehe nun auch vor dem Problem, dass ich einen neuen Vertrag bei KabelBW abgeschlossen haben und mich deshalb mit dem DS-Lite Verfahren begnügen muss. Vielen Dank an dieser Stelle an SpaceRat für den tollen Workshop.
SpaceRat hat geschrieben:Wenn's ein zum Access Point umfunktionierter Router ist (Bei den TP-Link durchaus sinnvoll, die reinen AP sind teurer als die Router), dann hat er u.U. Portfreigaben, ja.
Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?

hajodele
Kabelkopfstation
Beiträge: 4816
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitrag von hajodele » 31.01.2015, 11:59

Banis hat geschrieben:Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt.
Leider funktioniert das aktuell nur mit den Fritzboxen, da die Präfix des JuHu nicht weitergereicht wird.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 31.01.2015, 12:32

Banis hat geschrieben:Verstehe ich das richtig, dass ich also die Firewall des Ubee ausschalten könnte und dahinter einen zweiten OpenWRT Router platzieren könnte, der extern eine IPv6 Adresse hat und ein neues IPv4 Subnetz erzeugt in dem meine NAS hängt. Dann müsste es doch möglich sein von Extern auf den OpenWRT zuzugreifen und diese Anfragen über ein Portforwaring an meine NAS weiterleiten. Oder habe ich hier einen Denkfehler?
Ja, der Denkfehler ist, daß Du nicht weitergelesen hast.

Es wurde nun schon x Mal klargestellt, daß Router Netze trennen, wenn man also mehrere Router hintereinander kaskadiert, erzeugt man mehrere Netze (und nicht eines, wie das im heimischen LAN normal gewünscht wird).
Weiter hinten liegende Router hängen dementsprechend auch nicht mehr "im Internet" sondern immer nur im privaten LAN des vorgeschalteten.

Damit sollte eigentlich auch klar sein, daß Portweiterleitungen auf nachgeschalteten Routern zwar durchaus funktionieren, aber nicht das machen, was man voraussichtlich wirklich will.

IPv4-Port-Weiterleitungen im Router sorgen dafür, daß Geräte hinter dem Router (Also in dessen LAN) aus dem davor liegenden Netz erreichbar sind. Das funktioniert immer. Nur daß bei einer Router-Kaskade das vorgeschaltete Netz eben nicht mehr das Internet ist, sondern nur ein anderes privates Netz.


Aber weil Du OpenWrt erwähnt hast:
Man kann einen Router mit OpenWrt¹ so hinter das DK7200 oder ÜBEL EVIL klemmen, daß IPv4-mäßig zwar besagte Router-Kaskade entsteht² , IPv6-mäßig jedoch der OpenWrt-Router im selben Netz hängen wird wie das DK7200 oder das ÜBEL EVIL. Der OpenWrt-Router arbeitet dann für IPv6 nicht mehr als Router (Trennt also keine Netze, sondern verbindet sie), läßt aber seine IPv6-Firewall aktiv.
Es funktioniert immerhin so gut, daß ich die Dinger fertig konfiguriert verkaufen kann *g*, daher auch der Archer C7 in meiner Signatur.
Was ich verkaufe muß ich auch bereit sein, selber zu essen ;)

Die Grundkonfiguration ist jetzt gar nicht mal so schwer, in /etc/config/network sieht der Abschnitt wan6 so aus:

Code: Alles auswählen

config interface 'wan6'
        option ifname '@wan'
        option proto 'dhcpv6'
        option reqaddress 'try'
        option peerdns '0'
        option dns '2001:4860:4860::8888 2001:4860:4860::8844'
        option reqprefix 'no'
und in /etc/config/dhcp so:

Code: Alles auswählen

config dhcp 'wan6'
        option dhcpv6 'relay'
        option ra 'relay'
        option ndp 'relay'
        option master '1'
        option interface 'wan'
        option ignore '1'
        option ra_management '1'
Das reicht, damit Geräte hinter dem OpenWrt-Router IPv6-Adressen aus dem gemeinsamen IPv6-Netz von DK7200/ÜBEL EVIL3226 und OpenWrt-Router erhalten.
IPv6-Freigaben für nachgeschaltete Geräte gestalten sich bei UM/KBW allerdings wegen des dynamischen Präfixes schwer, denn mit dynamisch veränderlichen Adressen mag die Firewall nicht so recht.

IPv6-Freigaben auf dem OpenWrt-Router selber sind hingegen kein Problem, denn für diese Freigaben braucht man die Zieladresse nicht.
Das wiederum reicht, um einen OpenVPN-Server auf dem OpenWrt-Router laufen zu lassen und darüber von überall aus Vollzugriff auf's eigene LAN zu erhalten. In Verbindung mit einem IPv4-to-IPv6-Port-Proxy wie dem von feste-ip.net sogar aus reinen IPv4-Netzen (Wie z.B. Mobilfunk).

Will man unbedingt Geräte im LAN unmittelbar (also nicht erst über das VPN) freigeben, dann sollte das mit einem NAT-ähnlichen Konstrukt via tcpproxy (Ab Chaos Calmer der Ersatz für 6tunnel in OpenWrt) möglich sein, sogar für Server, die selber nur IPv4 sprechen.



1 = Ich empfehle, den aktuellen Chaos Calmer trunk zu verwenden und nicht Barrier Breaker oder älter. Dazu muß der Router aber mehr als 4 MB Flash haben, sonst gibt's keine grafische Oberfläche LuCi.
2 = Nicht schön, aber akzeptabel, da von außen eh nix mehr per IPv4 ankommt
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Banis
Kabelneuling
Beiträge: 4
Registriert: 31.01.2015, 11:41

Re: Kleiner IPv6-Workshop

Beitrag von Banis » 02.02.2015, 11:01

Vielen Dank für die Ausführliche Anleitung. Ich werde dies im Laufe der Woche mal ausprobieren.

lip
Kabelneuling
Beiträge: 1
Registriert: 07.02.2015, 12:37

Re: Kleiner IPv6-Workshop

Beitrag von lip » 07.02.2015, 13:10

Auch von mir vielen Dank @SpaceRat. Jedoch bekomme ich es nicht ans Laufen. Ich habe bereits letztes Wochenende etwas rumgedoktort und es jetzt erneut versucht. Auch habe ich alles einmal komplett resetet, dabei möchte ich doch nur das meine IPv6 Connectivity hinterm OpenWRT erhalten bleibt.
Neuste trunk Version, und nur deine Änderung übernommen funktionieren leider nicht bei mir, er verpasst meinen Geräten dennoch selbst eine Adresse (fd9e:f8e:8cd::24f/128). Ich verzweil noch :D Dabei fühle ich mich jetzt nicht so unfit in solchen Sachen. Habe auch die Befehle bestmöglich nachvollzogen und denke das sollte auch passen soweit (hier & hier).
Es widerstrebt mir auch nach einer DAU-Anleitung zu fragen, aber hättest du Hinweise zum Troubleshooting?
Wenn ich das Gerät testweile direkt ans TC7200 hänge bekomme ich auch die gewünschte IPv6, jedoch nicht später hinterm OpenWRT. Weiß nicht ob irgendetwas sonst auf TC7200 Seite zu beachten wäre, wobei ich die Firewall zeitweise auch mal deaktiviert hatte.
Ich bin zumindest leider am Ende, da ich jetzt auch nicht weiß wie ichs richtig eingrenzen könnte. Falls du Ideen hast, wäre ich dir sehr dankbar!

Schönes Wochenende in jedem Fall! Ich glaub ich geh mal vor die Tür... :)

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 07.02.2015, 13:33

lip hat geschrieben:er verpasst meinen Geräten dennoch selbst eine Adresse (fd9e:f8e:8cd::24f/128).
Das sagt leider gar nix:
Diese Adressen (ULAs) verpaßt OpenWrt den angeschlossenen Geräten immer, egal ob WAN-seitig IPv4-only, Dual Stack, DS-lite, ... anliegt.

Wenn die WAN-Seite korrekt für IPv6 konfiguriert ist, stören diese Adressen auch nicht weiter.
Sie sind dann sogar im Gegenteil praktisch, wenn man auch im LAN mit IPv6 arbeiten will, da sie sich im Gegensatz zu den öffentlichen Adressen von UM nie ändern.
In dem Fall kriegen die Geräte diese ULA zusätzlich zur öffentlichen IPv6.

Ist die WAN-Seite hingegen nicht richtig für IPv6 konfiguriert, dann kriegen die Geräte diese ULA immer noch und manche - fehlerhafte - Programme schließen dann daraus, daß IPv6-Konnektivität vorhanden ist und nutzen sie auch. Entweder dauert es dann "ewig", bis "Dual Stack"-Server erreicht werden können (Weil zuerst erfolglos IPv6 versucht wird, bevor ein Rückfall auf IPv4 erfolgt) oder Verbindungsversuche schlagen sogar komplett fehl.
lip hat geschrieben:Es widerstrebt mir auch nach einer DAU-Anleitung zu fragen, aber hättest du Hinweise zum Troubleshooting?
Mir fällt grad aus dem Stegreif nix Schlaues dazu ein, dazu gibt es zu viele Variablen in der Gleichung.
Ich habe Dir aber auch noch eine PN geschickt ...
lip hat geschrieben:Weiß nicht ob irgendetwas sonst auf TC7200 Seite zu beachten wäre, wobei ich die Firewall zeitweise auch mal deaktiviert hatte.
Wenn/sobald alles läuft, sollte die IPv6-Firewall des DK7200 sogar ganz ausgeschaltet werden (Dann aber keine Geräte mehr direkt am DK7200 anschließen), damit sich OpenWrt allein um die Firewall-Regeln kümmern kann.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 07.02.2015, 15:57

Mal eine frage, ich hab einen root server der eine fest ip hat. besteht irgendwie die möglichkeit, das ich die ports vom avm vpn über die feste ipv4 addresse auf meinen ds-lite anschluss umleiten kann, so das die verbindung hinhaut?
Es ist ein Linux server, mit ds anschluss.
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 07.02.2015, 17:02

Conan179 hat geschrieben:Mal eine frage, ich hab einen root server der eine fest ip hat. besteht irgendwie die möglichkeit, das ich die ports vom avm vpn über die feste ipv4 addresse auf meinen ds-lite anschluss umleiten kann, so das die verbindung hinhaut?
Nein.
Das AVM-VPN nutzt IPSec, da ist es mit ein paar Port-Proxies nicht getan.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 07.02.2015, 17:06

tja war ein versuch wert, muss halt doch ne openvpn verbindung herhalten.
BildBildBild

Rooby
Kabelneuling
Beiträge: 17
Registriert: 17.02.2015, 22:40

Re: Kleiner IPv6-Workshop

Beitrag von Rooby » 17.02.2015, 23:36

Hallo

Ich bräuchte mal eure technische Hilfe.
Ich habe mir den TCP/IP-Workshop - IPv6 und IPv4 reingezogen, bin aber immer noch nicht 100%ig sicher was wie möglich ist. Da ich in den Raum Stuttgart ziehe überlege ich mir einen (kastrierten) Kabel BW Internet Anschluss zu holen. D.h. ich werde vermutlich nur ein DS-lite bekommen da ich die 10Mbit upload möchte. Business mit IPV4 -10Mbit upload ist da viel zu teuer.
Nun zu meinem Problem/Konfig:
Derzeit nutze ich ein modem+Asus Router (VDSL50, RT-AC66U+Asus Merlin Firmware). Der Router meiner Frau und der meiner Eltern (alle gleiche HW aber ADSL und alle nur IPV4) verbinden sich automatisch via OpenVPN mit meine Router und ich kann dann bequem auf alle Geräte (IP Kamera, Solaranlage, NAS, Netzwerksteckdose etc.) zugreifen. Alles wird über OpenVPN getunnelt und hat lokale IPV4 Adressen.
So und jetzt, wenn ich zu Kabel BW und DS-lite wechsle ist die Frage ob ich das überhaupt noch so wieder hinbekomme. Ich bin gerade dabei herauszufinden ob ich hinter meinem Routern alle Geräte generell auf IPV6 umstellen kann. Das muss ich noch klären. Andererseits es bleibt das Problem, dass der internet Anschluss der andren Routern derzeit noch IPV4 haben.
Alle Router möchte ich jedenfalls behalten.
Wie könnte das Setup aussehen damit ich wieder auf mein Geräte und die anderen Router auf meinem OpenVPN Server (im Router) von außen verbinden können. Ich vermute ich brauche einen tunnel provider. Wenn ich ein ubee evw3226 bekomme kann ich dann meinen Router noch irgendwie im routing modus betreiben. Ich möchte den ubee möglichts nur als modem nutzen (brige mode wird ja leider wegkastriert..). Ich trau auch Kabel BW nicht. So wie ich gehört habe, haben die generell remote Zugriff auf den ubee. Deshalb möchte ich alles irgendwie über meinen Router abkapseln.
Vielleicht kann das ja jemand skizzieren wie so ein Setup aussehen könnte oder ob das überhaupt so möglich ist. Konfigurationsdetails kann ich mir selbst erarbeiten. Ich brauche nur eine Übersicht wie so ein Setup aussehen könnte und was man braucht. Ich kann auch auf dem Router Skripte, cron jobs etc laufen lassen um z.B. spezielle DynDNS server zu kontaktieren.
Ich will vermeiden, dass ich dann 2 Jahre lange einen Anschluss habe mit dem ich nicht viel anfangen kann. Und einen Anschluss auf Probe gibts ja leider nicht.

Danke im voraus.

hajodele
Kabelkopfstation
Beiträge: 4816
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Kleiner IPv6-Workshop

Beitrag von hajodele » 17.02.2015, 23:42

Rooby hat geschrieben:Ich will vermeiden, dass ich dann 2 Jahre lange einen Anschluss habe mit dem ich nicht viel anfangen kann. Und einen Anschluss auf Probe gibts ja leider nicht.
Indirekt gibt es den schon: "Highspeedversprechen" 2 Monate.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 18.02.2015, 00:16

Rooby hat geschrieben:Derzeit nutze ich ein modem+Asus Router (VDSL50, RT-AC66U+Asus Merlin Firmware). Der Router meiner Frau und der meiner Eltern (alle gleiche HW aber ADSL und alle nur IPV4) verbinden sich automatisch via OpenVPN mit meine Router und ich kann dann bequem auf alle Geräte (IP Kamera, Solaranlage, NAS, Netzwerksteckdose etc.) zugreifen. Alles wird über OpenVPN getunnelt und hat lokale IPV4 Adressen.
Das sind soweit fast die perfekten Voraussetzungen.

Theoretisch genügt es, in den fremden Routern 6in4-Tunnel z.B. von Hurricane Electric/Tunnelbroker einzurichten und OpenVPN in den Dual-Stack-Betrieb zu konfigurieren.
Beides ist kein Hexenwerk:
  • Eine Anleitung für die Tunneleinrichtung unter AsusWrt gibt es hier
    Merlin sollte da nicht gravierend abweichen.
  • OpenVPN umzustellen besteht aus nichts weiter als in den Konfigurationsdateien "tcp-server" bzw. ""tcp-client" in "tcp6-server" bzw. ""tcp6-client" zu ändern (udp geht theoretisch genauso, würde ich aber vermeiden, dazu später mehr).
    Mit diesen Einstellungen steht der Server sowohl per IPv6 als auch per IPv4 zur Verfügung. Clients probieren zuerst IPv6, fallen aber auch auf IPv4 zurück, wenn IPv6 nicht zur Verfügung steht.
    Umgestellt ist damit nur das Trägernetz, innerhalb des VPNs - also bei der Payload - bleibt alles beim Alten.
  • Auf dem OpenVPN-Server brauchst Du natürlich auch eine entsprechende Freigabe des OpenVPN-Ports für IPv6, damit das klappt.
Das solltest Du sogar jetzt schon hinkriegen, indem Du auf allen drei Routern einen solchen 6in4-Tunnel einrichtest.

Jetzt kommen die Aber:
In der Theorie ändert sich dann beim Umzug an den KBW-Anschluß nur, daß IPv6 dann nativ zur Verfügung steht ...
In der Praxis bin mir aber nicht sicher, ob der Asus-Router hinter dem Übel EVIL3226 oder TC7200 ein IPv6-Präfix erhalten wird. Sollte er zwar, aber sicher bin ich mir da nicht.
Außerdem kann es sein, daß er zwar ein Präfix erhält, aber Adressen aus dem an den Asus delegierten Präfix nicht von außen erreichbar sind.

In dem Fall wäre ein Wechsel auf einen Router mit OpenWrt (Am besten das neueste "Chaos Calmer") sinnvoll, da OpenWrt auch ein vorhandenes Präfix eines vorgeschalteten Routers mitbenutzen kann (Bei der IPv6-WAN-Verbindung wird dazu alles, also DHCPv6, NDP, ... auf "Relay" gestellt). Der OpenWrt-Router arbeitet dann als reine IPv6-Firewall (und IPv4-Router).

Rooby hat geschrieben:Wie könnte das Setup aussehen damit ich wieder auf mein Geräte und die anderen Router auf meinem OpenVPN Server (im Router) von außen verbinden können.
tcp -> tcp6
oder
udp -> udp6
Das ist im Prinzip alles, sofern Merlin IPv6-fähige OpenVPN-Binaries enthält.

Du solltest tcp verwenden, weil Du das zusätzlich oder alternativ auch über einen Port-Proxy (z.B. http://www.feste-ip.net) per IPv4 bereitstellen kannst (Um z.B. vom IPv4-only Mobilfunk aus in Dein VPN zu kommen). udp kann man so aber nicht proxien.

Rooby hat geschrieben:Ich vermute ich brauche einen tunnel provider.
Wenn in Merlin IPv6-fähige OpenVPN enthalten sind, wäre das die eleganteste Lösung.
Die Clients kriegen dabei gratis noch Dual Stack oben drauf.

Du kannst aber auch das Konstrukt über den Port-Proxy wählen:
  • Du stellst den Server per IPv6 bereit und suchst Dir einen möglichst abwegigen Port aus.
  • Für den Server legst Du einen IPv6-DynDNS-Hostname an, z.B. ipv6.rooby.chickenkiller.com bei FreeDNS.
  • Dann legst Du auf http://www.feste-ip.net einen Port-Mapper an, der auf besagten Port von ipv6.rooby.chickenkiller.com weiterleitet.
    Dadurch erhältst Du einen Hostname a la rooby.feste-ip.net auf dem man unter - im Idealfall - demselben Port Deinen OpenVPN-Server auch per IPv4 erreichen kann.
    Der Port-Mapper nimmt IPv4-Verbindungen an und leitet sie per IPv6 an den angegebenen Port auf dem angegebenen IPv6-Server weiter.
    Deshalb sollte der Port auch möglichst abwegig gewählt sein, damit ihn nicht schon jemand anderes nutzt und Du einen 1:1 Port-Mapper (= Selber Port auf rooby.feste-ip.net wie auf ipv6.rooby.chickenkiller.com) bekommst.
    Notfalls versuchst Du verschiedene Port-Nummern, bis Du einen oder mehrere 1:1-Mapper hast und paßt dann Deinen OpenVPN-Port darauf an.
Jetzt kommt der Clou:
Nun löst Du einfach den Hostname rooby.feste-ip.net auf eine IPv4-Adresse auf und legst Dir einen eigenen DynDNS-Host ipv4.rooby.chickenkiller.com mit dieser IP an. Da sich diese nicht ändert, braucht dieser Host nicht aktualisiert zu werden.
Dann legst Du einen Host rooby.chickenkiller.com als A-Record mit wieder dieser IPv4 an und noch einmal denselben Host rooby.chickenkiller.com als AAAA-Record mit Deiner aktuellen IPv6.
Aktualisieren mußt Du danach nur ipv6.rooby.chickenkiller.com und den AAAA-Record für rooby.chickenkiller.com.

Im Ergebnis hast Du einen DynDNS-Hostname rooby.chickenkiller.com, der - für die gemappten Ports - von IPv6-only-, IPv4-only- und Dual-Stack-Clients aus gleichermaßen nutzbar ist, ganz so als hättest Du selber auch Dual Stack.
Mittels ipv6.rooby.chickenkiller.com bzw. ipv4.rooby.chickenkiller.com hast Du zusätzlich noch die Möglichkeit, das eine oder das andere Protokoll zu erzwingen.

Im Ergebnis funktioniert dann ein OpenVPN-Client-Profil mit diesen Einstellungen:

Code: Alles auswählen

proto tcp6-client
remote rooby.chickenkiller.com 64279
aus allen Netzen.
IPv6-fähige Clients nutzen IPv6, IPv4-only-Clients IPv4.

Rooby hat geschrieben:Und einen Anschluss auf Probe gibts ja leider nicht.
Es gab da mal einen Monat Rücktrittsrecht, wenn man nicht zufrieden ist.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Rooby
Kabelneuling
Beiträge: 17
Registriert: 17.02.2015, 22:40

Re: Kleiner IPv6-Workshop

Beitrag von Rooby » 18.02.2015, 00:36

Hallo SpaceRat

man das war aber ein schnelle super Antwort. Vielen Dank!!
Ich muss das alles erstmal sacken lassen. Ich hab zwar dein tutorial gelesen aber ich denke ich muss da nochmal durch um deine Antwort im Detail zu verstehen.
Aber ich nehme mal an das das im Prinzip funktionieren sollte. D.h. ich werde noch etwas brauchen bis ich alles verstanden habe. Könnte ich ich dich dann nochmal direkt kontaktieren falls doch noch Detailfragen offen sind.
D.h. eine habe ich noch. Mein OpenVPN habe ich so konfiguriert, dass auch die clients untereinander kommunizieren.
Ich habe aber nie verstanden wie das geroutet wird. Geht das alles über den server oder kommuniziere die clients dann untereinander?
Geht das dann trotzdem noch? Das ist wichtig, damit ich auch von überall nach überall zugreifen kann.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 18.02.2015, 00:55

Rooby hat geschrieben:man das war aber ein schnelle super Antwort. Vielen Dank!!
Büdde.

Rooby hat geschrieben:Aber ich nehme mal an das das im Prinzip funktionieren sollte.
Auf jeden Fall.
Der Betrieb von (anständigen) Servern über IPv6 ist überhaupt kein Problem.

Du solltest Dir lieber Sorgen um die anderen Probleme im IPv4-Betrieb machen:
Kein Senden von E-Mails mit Anhang möglich (TC7200)
Uploadfehler u. Timeout

Rooby hat geschrieben:D.h. ich werde noch etwas brauchen bis ich alles verstanden habe. Könnte ich ich dich dann nochmal direkt kontaktieren falls doch noch Detailfragen offen sind.
Detailfragen immer.

Rooby hat geschrieben:D.h. eine habe ich noch. Mein OpenVPN habe ich so konfiguriert, dass auch die clients untereinander kommunizieren.
Ich habe aber nie verstanden wie das geroutet wird. Geht das alles über den server oder kommuniziere die clients dann untereinander?
Geht das dann trotzdem noch? Das ist wichtig, damit ich auch von überall nach überall zugreifen kann.
Innerhalb des VPN ändert sich dadurch wie es äußerlich aufgebaut wird nix.

Im Fernsehen kommt auch immer derselbe Sch31ß, egal ob Du per DVB-S, DVB-T, DVB-C oder IPTV guckst:
"Asis im Brennpunkt", "Der Bätschler" und das "ZZZ-Promi-Camp" kommen da so oder so.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste