DualStack auch über BridgeMode?

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: DualStack auch über BridgeMode?

Beitrag von tq1199 » 17.06.2014, 13:55

Mike0185 hat geschrieben: Vertrag seit 3 Jahren +/-
Mike0185 hat geschrieben: wir haben einen Businessanschluss mit einer festen IP
Seit wann hast Du diese feste IP, in deinem Business-Tarif?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 13:57

ganz genau kann ich das nicht sagen.... wir haben ca. im september 2012 den tarif gewechselt und seit dort wahrscheinlich auch die statische ip.

Aber: Warum fragst du das eigentlich? :)
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: DualStack auch über BridgeMode?

Beitrag von tq1199 » 17.06.2014, 14:05

Mike0185 hat geschrieben:ganz genau kann ich das nicht sagen.... wir haben ca. im september 2012 den tarif gewechselt und seit dort wahrscheinlich auch die statische ip.

Aber: Warum fragst du das eigentlich? :)
Weil man die statische (feste) IP-Adresse i. d. R. gesondert beantragen muss, weil man z. B. eine feste (statische) IPv4-Adresse die man im Okt. 2013 mit einem Business-Tarif bei KabelBW beantragt hat, noch am Bridge-Anschluss und nicht im Bridge-Modus der FB6360 benutzt und weil das mit dem DS beim Business-Tarif eher zufällig ist.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 14:23

Bei der telefonischen Bestellung bzw. Umstellung des Tarifes habe ich damals angegeben auch eine statische IP-Adresse zu wollen. Wir haben nach Einrichtung eine Email von KBW erhalten. Dort wurde uns die IPv4-Adresse, Gateway und Subnetz mitgeteilt. Ebenfalls war eine bebilderte Anleitung im Anhang, wie die Fritzbox 6360 auf Bridge-Mode umzustellen ist. Die MAC-Adresse der ZyWALL haben wir dann über die Weboberfläche von KBW-Business mitgeteilt. Diese wurde dann auch eingerichtet.

Im Menü der FB heisst es unter: Internet - Zugangsart - Bridge-Anschlüsse:

Wählen Sie, welche der LAN-Anschlüsse als Bridge geschaltet werden sollen. Datenverkehr über diese LAN-Anschlüsse wird anschließend nicht mehr über den integrierten Router geschickt.

[X] LAN 2 (hier hängt auch die ZyWALL)
[ ] LAN 3
[ ] LAN 4


Unter: Internet - Zugangsart - IPv6:

Haben die Einstellungen wohl nur Einfluss auf das Heimnetz, das direkt an der Fritte hängt... oder?

Hier habe ich gewählt:

IPv6-Unterstützung
[X] Unterstützung für IPv6 aktiv

IPv6-Anbindung
Immer eine native IPv4-Anbindung nutzen (empfohlen). Zunächst wird eine native IPv4-Verbindung aufgebaut. Falls per DHCP ein 6RD-Server gelernt wurde, wird ein 6RD-Tunnel aufgebaut. Ansonsten wird versucht, eine native IPv6-Verbindung aufzubauen (Dual Stack).


Unter: Heimnetz - Netzwerk - Netzwerkeinstellungen - IPv6-Adresse:

Unique Local Adresses
Wählen Sie aus, wie den Geräten im Netzwerk die Unique Local Adresses (ULA) zugewiesen werden sollen.
[X] Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)

DHCPv6-Server im Heimnetz
DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
[X] Nur DNS-Server zuweisen, FRITZ!Box als DNS-Server via DHCPv6 bekannt geben.

Auch hier haben die Einstellungen wohl nur Einfluss auf das Heimnetz, also Computer die an der Fritte direkt hängen.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: DualStack auch über BridgeMode?

Beitrag von tq1199 » 17.06.2014, 14:29

Mike0185 hat geschrieben:Datenverkehr über diese LAN-Anschlüsse wird anschließend nicht mehr über den integrierten Router geschickt.

[X] LAN 2 (hier hängt auch die ZyWALL)
[ ] LAN 3
[ ] LAN 4
OK, d. h. Du kannst deine FB6360 auch weiter als Router benutzen. Feste IP-Adresse über Bridge-Anschluss und nicht im Bridge-Modus, und Du hast DS.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 14:31

okay, danke! :) Ein Schritt weiter... oder?

Aber funkt DS auch am Bridge-Anschluss und v.a. auch IPv6 ?
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: DualStack auch über BridgeMode?

Beitrag von hajodele » 17.06.2014, 14:35

Beginnt deine IPv6 mit 2a02:8070 oder 2a02:8071?
Wenn nein, hast du KEIN DS

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: DualStack auch über BridgeMode?

Beitrag von tq1199 » 17.06.2014, 14:39

Mike0185 hat geschrieben: Aber funkt DS auch am Bridge-Anschluss und v.a. auch IPv6 ?
Nein, denn von KabelBW hast Du ja nur eine (feste) IPv4-Adresse, für den Bridge-Anschluss bekommen und keine IPv6-Adresse.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 14:42

Auf der Fritzbox (nicht über das LAN mehr erreichbar da Bridge) habe ich eine:

IPv6-Adresse: 2a02:8071:9100::xxxx:xxxx:xxxx:xxxx, Gültigkeit: 1144882/540082s,
IPv6-Präfix: 2a02:8071:xxxx:xxxx::/56, Gültigkeit: 1144882/540082s


An der WAN-Schnittstelle der ZyWALL kommt eine Präfix-Delegation 202a:8071:..../56 an.
Ich erhalte wohl scheinbar auch eine IPv6-Adresse: 202a:8071:9100:0:752f:xxxx:xxxx:xxxx/128



Nutzt Ihr denn IPv6 oder nur reines IPv4? oder habt Ihr einen Tunnel?
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: DualStack auch über BridgeMode?

Beitrag von tq1199 » 17.06.2014, 14:47

Was genau meinst Du mit:
Mike0185 hat geschrieben:... Fritzbox (nicht über das LAN mehr erreichbar da Bridge) ...
? Kannst Du deine FB6360 noch als Router benutzen?
Mike0185 hat geschrieben: Nutzt Ihr denn IPv6 oder nur reines IPv4? oder habt Ihr einen Tunnel?
Nur reines IPv4. Kein Tunnel, obwohl ein Tunnel möglich wäre.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 14:51

Über den Bridge-Anschluss ist die Fritte nicht im LAN über die loakel Adresse erreichbar. (Das ist aber normal).
Wenn ich einen Computer auf LAN3 oder LAN4 klemme schon, dann umgeht man aber auch die ZyWall und dann kann man die FB auch als Router nutzen.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: DualStack auch über BridgeMode?

Beitrag von tq1199 » 17.06.2014, 14:57

Mike0185 hat geschrieben:Über den Bridge-Anschluss ist die Fritte nicht im LAN über die loakel Adresse erreichbar.
OK, aber das ist klar und das meinte ich nicht.
Mike0185 hat geschrieben: Wenn ich einen Computer auf LAN3 oder LAN4 klemme schon, ... dann kann man die FB auch als Router nutzen.
OK, das meinte ich und deine FB6360 kann als Router in deinem (W)LAN fungieren und für diesen Teil der FB6360 hast Du auch DS. Was die IPv6-Adresse für den Bridge-Anschluss mit der festen IPv4-Adresse bedeutet, weiß ich nicht.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: DualStack auch über BridgeMode?

Beitrag von hajodele » 17.06.2014, 16:26

Mike0185 hat geschrieben:Auf der Fritzbox (nicht über das LAN mehr erreichbar da Bridge) habe ich eine:

IPv6-Adresse: 2a02:8071:9100::xxxx:xxxx:xxxx:xxxx, Gültigkeit: 1144882/540082s,
IPv6-Präfix: 2a02:8071:xxxx:xxxx::/56, Gültigkeit: 1144882/540082s


An der WAN-Schnittstelle der ZyWALL kommt eine Präfix-Delegation 202a:8071:..../56 an.
Ich erhalte wohl scheinbar auch eine IPv6-Adresse: 202a:8071:9100:0:752f:xxxx:xxxx:xxxx/128
ist das nur ein Tippfehler?
Hast du mal probiert, was passiert wenn du an der Fritzbox IPv6 deaktivierst?

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 16:51

ist das nur ein Tippfehler?
Sorry.... :wand: ja... da war ich zu schnell!

Hast du mal probiert, was passiert wenn du an der Fritzbox IPv6 deaktivierst?
Ja, gerade eben. Die FB bekommt ne neue IPv4, die IPv6 ist natürlich weg und die ZyWALL erhält trotzdem scheinbar ne IPv6-Adresse
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: DualStack auch über BridgeMode?

Beitrag von SpaceRat » 17.06.2014, 19:24

Durch die ganze Aus-X-erei wird es bei IPv6 erheblich erschwert, Fehler zu erkennen.

Bei IPv4 - wo man ja in der Regel nur eine für das LAN irrelevante IP-Adresse erhält und lokal eh nur nicht-öffentliche IPv4-Adressen nutzt (Die man auch nicht aus-x-t) - war das alles kein Problem.
Wenn man aber IPv6-Adressen, die ja nun alle öffentlich sind (oder sein sollten), bis zur Unkenntlichkeit entstellt, dann kann man genau gar nichts mehr erkennen.

Woher sollen wir aus lauter X erkennen, ob da ein Präfix delegiert wurde oder nicht oder ob die ZyXel Firewall IPv6-Adressen aus dem Netz der Fritte verteilt oder nicht ... ?

Also bitte:
Wenn Du schon meinst, die IPv6 verfälschen zu müssen, dann bitte sinnerhaltend.
  • IPv6-Adressen vollständig wiedergeben, keine X
  • Bei den ersten beiden Tupeln macht Verfälschen gar keinen Sinn, die sind nämlich immer "2a02:908:" (Unitymedia) oder "2a02:8070:" / "2a02:8071:" (Kabel BW).
  • Die Tupel 3 & 4 dürftest Du verfälschen, dabei aber bitte identische Zahlen auch nur durch wieder identische ersetzen.
    Also wenn Du in einem Post die Adressen
    2a02:8071:abcd:1234::1 und 2a02:8071:abcd:1234:012e:b010:2345:4673 hast und willst die verfälschen, dann bitte zu z.B.
    2a02:8071:4567:c0c0::1 und 2a02:8071:4567:c0c0:012e:b010:2345:5678
    aber nicht zu
    2a02:8071:4567:c0c0::1 und 2a02:8071:6547:affe:012e:b010:2345:5678
    Bei letzterem Beispiel ist nicht mehr zu sehen, daß die Adressen aus demselben Subnet stammen.
  • Das 5. und 8. Tupel kannst Du ebenfalls verfälschen, das 5. aber bitte nicht, wenn es leer ist und das 8. nicht, wenn es 1 oder 2 ist.
    Bei mehreren Adressen des selben Gerätes ist auch hier wieder unbedingt darauf zu achten, daß identische Tupel auch wieder identisch ersetzt werden.
    Beispiel:
    Die Adressen
    2a02:8071:bcde:2345:012e:b010:2345:4673 und fd5c:1234:abcd:1234:012e:b010:2345:4673 wären so zu verfälschen
    2a02:8071:bcde:2345:012e:affe:2345:c0c0 und fd5c:1234:abcd:1234:012e:affe:2345:c0c0
    aber nicht so:
    2a02:8071:bcde:2345:012e:affe:2345:c0c0 und fd5c:1234:abcd:1234:012e:3456:2345:7890
    (Zusammengehörigkeit nicht mehr erkennbar)
  • Das 6. und 7. Tupel hingegen sollte nicht verfälscht werden, da uns das xxff:fexx verrät, ob aus der MAC generierte Adressen oder Zufallsadressen ("privacy" extensions) verwendet werden
  • Wenn vorhanden, sind Subnetzangaben (z.B. "/57") unverfälscht anzugeben.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 19:55

Hallo SpaceRat,

natürlich hast du vollkommen recht! Dadurch verkompliziere ich das natürlich noch tiefer... Aber auch: Danke für die Aufklärung!

Ich versuche hier nun die derzeitige "Lage" darzustellen:

KBW --> FB6360 --> BridgeAnschluss LAN2 --> ZyXEL ZyWALL USG 100 --> Clients

USG 100:

Übersicht:

wan1
DHCP -- 2a02:8071:9100:0:5536:f50c:53a5:8948/128
LINK LOCAL -- fe80::b2b2:dcff:fe2e:a3d9/64

lan1
DHCP -- 2a02:8071:918c:7d11::1/128
LINK LOCAL -- fe80::b2b2:dcff:fe2e:a3db/64

Konfiguration-WAN1:
IPv6 Address Assignment:
[X] Enable Stateless Address Auto-configuration (SLAAC)
DHCPv6 Setting: Client
[X] Request Address:
Request DNS-Server1: 2a02:8070:0:201:82:212:62:62
Request DNS-Server2: 2a02:8071:2000:201:78:42:43:62
Request WAN1-Präfix: 2a02:8071:918c:6c00::/56

Konfiguration-LAN1:
IPv6 Address Assignment:
[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111:0:0:0:1/128" (Adress: 2a02:8071:918c:7d11::1/128)
DHCPv6 Setting: Server
[x] DUID as MAC
DHCPv6 Lease: DNS-Server1: 2a02:8070:0:201:82:212:62:62
DHCPv6 Lease: DNS-Server2: 2a02:8071:2000:201:78:42:43:62
IPv6 Router Advertisement Setting:
[x] Enable Router Advertisement
[x] Advertised Hosts Get Other Configuration From DHCPv6
Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111/64" (Adress: 2a02:8071:918c:7d11::/64)

Streng nach Handbuch von ZyXEL


Auf einem reinen IPv6-Client sieht das dann so aus:

IPv6 Konnektivität: Kein Internet
MAC: 08-00-27-58-c9-f5
IPv6-Adresse: 2a02:8071:918c:7d11:a5a8:8719:7329:5499
Temporär: 2a02:8071:918c:7d11:d552:9baf:d813:9187
Link Local: fe80::a5a8:8719:7329:5449
Gateway: fe80::b2b2:dcff:fe2e:a3db
DNS1: 2a02:8070:0:201:82:212:62:62
DNS2: 2a02:8071:2000:201:78:42:43:62


VIELEN DANK! Bei mir ist jetzt die Verwirrung komplett :)

Mike
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: DualStack auch über BridgeMode?

Beitrag von SpaceRat » 17.06.2014, 20:39

Mike0185 hat geschrieben:KBW --> FB6360 --> BridgeAnschluss LAN2 --> ZyXEL ZyWALL USG 100 --> Clients
USG 100:
Es wäre hilfreich, wenn Du auch die Lage an der Fritz!Box mal darstellen könntest, damit man sieht, ob das ZyXel-Präfix aus dem Präfix der Fritte geschnitten ist oder ein von KBW zugewiesenes eigenständiges.
Mike0185 hat geschrieben:Konfiguration-WAN1:
Request DNS-Server1: 2a02:8070:0:201:82:212:62:62
Request DNS-Server2: 2a02:8071:2000:201:78:42:43:62
Request WAN1-Präfix: 2a02:8071:918c:6c00::/56
Wie es momentan aussieht, kriegt die ZyXel-Firewall ein schönes /56er Präfix "2a02:8071:918c:6c00::".

Den sich ergebenden Adressbereich kann man hier ausrechnen lassen:
2a02:8071:918c:6c00:0000:0000:0000:0000-2a02:8071:918c:6cff:ffff:ffff:ffff:ffff
Mike0185 hat geschrieben: Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111/64"
Was soll die 1111 dort?
Mike0185 hat geschrieben:(Adress: 2a02:8071:918c:7d11::/64)
Streng nach Handbuch von ZyXEL
So wie es aussieht, wertet die ZyXel-Firewall die Eingabe an der Stelle, wo Du 1111 eingetragen hast als mit dem 4. Tupel per "oder" zu verknüpfende Maske (= Addition):

6c00 = 0110110000000000
OR
1111 = 0001000100010001
=
7D11

7d11 liegt aber außerhalb des Subnets, das Du zugewiesen bekommen hast, denn das geht ja nur bis 6cff (s.o.).
Mike0185 hat geschrieben:Auf einem reinen IPv6-Client sieht das dann so aus:
IPv6 Konnektivität: Kein Internet
IPv6-Adresse: 2a02:8071:918c:7d11:a5a8:8719:7329:5499
Kein Wunder, daß es keine Internet-Konnektivität gibt, da Dir die Adresse gar nicht gehört.

Ändere den angesprochenen Wert "1111" mal um in einen Wert zwischen 0 und ff.

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 17.06.2014, 21:11

Erstmal danke für wieder ein sehr hilfreicher und ausführlicher post!
Es wäre hilfreich, wenn Du auch die Lage an der Fritz!Box mal darstellen könntest, damit man sieht, ob das ZyXel-Präfix aus dem Präfix der Fritte geschnitten ist oder ein von KBW zugewiesenes eigenständiges.
An der Fritte war bisher nur IPv4 aktiviert, die ZyWALL hängt am Bridge-Anschluss. Bisher habe ich das so verstanden, dass dann Einstellungen an der FB nur Auswirkung auf das Netzwerk der Fritzbox haben. Habe jetzt mal IPv6 dazu geschalten. ([x] Unterstützung für IPv6 aktiv; Immer eine native IPv4-Anbindung nutzen (empfohlen), Zunächst wird eine native IPv4-Verbindung aufgebaut. Falls per DHCP ein 6RD-Server gelernt wurde, wird ein 6RD-Tunnel aufgebaut. Ansonsten wird versucht, eine native IPv6-Verbindung aufzubauen (Dual Stack).) Erhalte dann neben der 4er-IP eine 6er: IP: 2a02:8071:9100::403b:7a6a:47af:450a; Präfix: 2a02:8071:9183:6a00::/56.

Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1111/64"

Was soll die 1111 dort?
Ich muss gestehen, dass ich das auch nicht verstehe und immernoch nicht verstehe... Das von dir hört sich "logisch" an :)

Ändere den angesprochenen Wert "1111" mal um in einen Wert zwischen 0 und ff.
Ich habe ihn mal in:
[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)
und
Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)

geändert, die IP-Adressen haben sich auf dem Client auch geändert. Aber funktioniert weiterhin nicht.
Welcher Adressraum "gehört" mir denn?
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: DualStack auch über BridgeMode?

Beitrag von SpaceRat » 17.06.2014, 23:52

Mike0185 hat geschrieben:
Es wäre hilfreich, wenn Du auch die Lage an der Fritz!Box mal darstellen könntest, damit man sieht, ob das ZyXel-Präfix aus dem Präfix der Fritte geschnitten ist oder ein von KBW zugewiesenes eigenständiges.
An der Fritte war bisher nur IPv4 aktiviert, die ZyWALL hängt am Bridge-Anschluss. Bisher habe ich das so verstanden, dass dann Einstellungen an der FB nur Auswirkung auf das Netzwerk der Fritzbox haben.
Das ist auch richtig.
Die Information zielte auch genau darauf ab, ob das Bridging hier richtig funktioniert ...
Mike0185 hat geschrieben:Erhalte dann neben der 4er-IP eine 6er: IP: 2a02:8071:9100::403b:7a6a:47af:450a; Präfix: 2a02:8071:9183:6a00::/56.
...
Mike0185 hat geschrieben:Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)
Also unterschiedliche /56er, demnach bezieht die ZyXel-Firewall ihr Subnet unabhängig von der Fritz!Box direkt von UM, da Fritz!Box und ZyXel völlig unterschiedliche Subnetze erhalten.
Mike0185 hat geschrieben:Welcher Adressraum "gehört" mir denn?
Im Netz der Fritz!Box (Wovon sie aber nur einen kleinen Teil nutzt):
2a02:8071:9183:6a00:0000:0000:0000:0000 bis 2a02:8071:9183:6aff:ffff:ffff:ffff:ffff

Im Netz hinter der ZyXel-FW:
2a02:8071:918c:6c00:0000:0000:0000:0000 bis 2a02:8071:918c:6cff:ffff:ffff:ffff:ffff

Deine neue Zuweisung 1a ist also korrekt, denn
2a02:8071:918c:6c1a:0000:0000:0000:0000 bis 2a02:8071:918c:6c1a:ffff:ffff:ffff:ffff
liegt in diesem Bereich.

Warum es trotzdem nicht geht, weiß ich nicht, was auch stark daran liegt, daß ich die ZyXel-Firewall als solches und auch ihren Funktionsumfang nicht kenne.

Was mich stutzig macht ist die Tatsache, daß Du eine Adresse
"[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)"
und ein Präfix
"Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)"
einstellen mußt/kannst.

Das sieht mir mehr danach aus, als würde hier ein nachgeschalteter IPv6-Router (Der dann die Adresse 2a02:8071:918c:6c1a::1/128 hätte) und nicht nur ein Subnetz (Hier: 2a02:8071:918c:6c1a::/64) konfiguriert werden.
Was passiert denn, wenn Du den Haken bei "Address from DHCPv6 ..." wegmachst und nur ein Subnet/Advertised Prefix konfigurierst?

Hast Du einen funktionsfähigen IPv6-tauglichen Router (z.B. Fritz!Box >7170/7270v1) zur Verfügung, den Du dort mal anschließen könntest?
Es wäre interessant zu sehen, ob der dann genau diese Adresse und dieses Prefix bekäme.

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 18.06.2014, 08:43

Guten Morgen!

Und nochmal: Danke für deinen Beitrag. So macht das Spass! Sehr ausführlich und detailliert.
Deine neue Zuweisung 1a ist also korrekt, denn
2a02:8071:918c:6c1a:0000:0000:0000:0000 bis 2a02:8071:918c:6c1a:ffff:ffff:ffff:ffff
liegt in diesem Bereich.
Nur damit ich es jetzt auch richtig verstehe: KBW weist mir (bzw. die ZyWALL fordert es an) ein v6-WAN-Präfix /56 zu (2a02:8071:918c:6c00::/56) und zeigt mir die zur Verfügung stehenden DNSv6-Server. Daneben vergibt KBW auch eine IPv6 an meinen WAN-Port der ZyWall (2a02:8071:9100:0:5536:f50c:53a5:8948/128). Aus dem WAN-Präfix /56 errechnet sich mein "persönliches" zugewiesenes Subnetz, das ich für meine internetfähigen Kaffeemaschinen und Kühlschränke vergeben darf, nämlich: 2a02:8071:918c:6c00:0000:0000:0000:0000 bis 2a02:8071:918c:6cff:ffff:ffff:ffff:ffff. Die Clients müssen sich also alle in diesem Adressraum befinden, damit dies überhaupt funktionieren kann.

Der LAN-Port stellt also nun ebenfalls einen DHCPv6-Server zur Verfügung (DHCP 2a02:8071:918c:6a::/128) und verteilt die Adressen im /64-Bereich?
Was mich stutzig macht ist die Tatsache, daß Du eine Adresse
"[x] Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)"
und ein Präfix
"Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)"
einstellen mußt/kannst.
Dieser Punkt ist für mich auch der Knackpunkt bisher. Die Auswirkungen sind mir einfach nicht wirklich klar. Wenn ich die Einstellungen schmeiße oder umschreibe, dann werden die Einstellungen entweder verworfen oder der Client erhält plötzlich keine Adresse mehr. Ich habe dir die gesamte Übersicht (3 Screenshots) der LAN-Konfiguration mal zusammen gepackt:

"Address from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a:0:0:0:1/128" (Adress: 2a02:8071:918c:6c1a::1/128)" - Packe ich diesen Bereich an, hat die ZyWALL keine DHCP-Adresse mehr für sich selbst, sondern nur noch eine Link Lokale. Packe ich den "Advertised Prefix from DHCPv6 Prefix Delegation, Deligatet WAN Prefix + Suffix: "::1a/64" (Adress: 2a02:8071:918c:6c1a::/64)"-Bereich an, dann erhalten meine Clients keine IPv6-Adresse mehr.

Übersicht der Anschlüsse und Zuweisungen im IPv6-Bereich:
Bild

LAN1-Konfiguration:
Bild
Bild

Vielleicht hilft das noch weiter um weitere Einstellungen zu testen....

Hast Du einen funktionsfähigen IPv6-tauglichen Router (z.B. Fritz!Box >7170/7270v1) zur Verfügung, den Du dort mal anschließen könntest?
Es wäre interessant zu sehen, ob der dann genau diese Adresse und dieses Prefix bekäme.
Leider nicht...


Vielen Dank für deine Bemühungen.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: DualStack auch über BridgeMode?

Beitrag von SpaceRat » 18.06.2014, 09:30

Uffda.

Also das Teil ist zu aufwendig zu konfigurieren, um das mal eben für Dich auszuknobeln.
Auf den Screenshots kann ich ja auch nicht alle Eigenschaften der diversen "Objekte" sehen und ich habe das dumpfe Gefühl, daß Du da auch der Anleitung nicht wirklich genau gefolgt bist.

Folge der Anleitung, Kapitel 2.6.
  1. Kapitel 2.6
  2. Kapitel 2.6.1
  3. überspringe Kapitel 2.6.2
    (Saublöd geschriebene Anleitung. Der Hinweis, daß Kapitel 2.6.2 bei PD durch den ISP entfällt, ist der letzte Satz ...)
  4. Kapitel 2.6.3
    • überspringe 2.6.3.1, der Part ist längst erledigt
    • Kapitel 2.6.3.2
    • Kapitel 2.6.3.3:
      In diesem Kapitel in
      - der Address from DHCPv6 Prefix Delegation nicht ::1111:0:0:0:1/128 sondern ::0:0:0:0:1/128 eintragen.
      - der Advertised Prefix from ... table nicht ::1111/64 sondern ::0/64 eintragen
  5. Kapitel 2.6.4
  6. Kapitel 2.6.5

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 18.06.2014, 09:48

Wenn ich unter IPv6 Address Assignment die IPv6 Address/Prefix Length auf "2a02:8071:918c:6c00::/56" stelle bekommt das LAN-Interface eine statische IP (STATIC: "2a02:8071:918c:6c00::/56") und der Zugriff auf den Clients aufs Internet funktioniert. Das Advertised Präfix steht dabei auf ::0/64.

Was aber wenn der Präfix mal wechselt?

EDIT:
Okay... FB neu gestartet...
--> IPv6 Adresse ändert sich, Präfix natürlich auch... Präfix wieder manuell in der "Adress from Präfix Delegation" auf "2a02:8071:91c1:7a00::/56" gestellt, das "Advertised Präfix" auch auf "::0/64". Client hat wieder Internet via IPv6.

Ich brauche nun also eine Möglichkeit, dass er das Präfix wieder anfrägt und verteilt, so wie es eigentlich in der unten stehenden Anleitung von ZyXEL beschrieben wird.
Er frägt das Präfix mit dem Objekt "Request_WAN1_PD" an und gibt es auch richtig wieder (2a02:8071:91c1:7a00::/56) will dann eine Suffix und bilded daraus das DHCP-Netzwerk für das LAN1-Interface.
Ich habe es jetzt mal auf "::/56" gestellt, er zeigt in der Adresse dann wieder "2a02:8071:91c1:7a00::/56" an. Das Advertised Präfix für das LAN steht noch bei "::0/64". Der Client hat wieder Internetzugriff via IPv6.

Zum Test nochmal neustart der Fritzbox, neue IPv6, neues Präfix... Objekte wurden auf der ZyWall aktualisiert und weitergegben. Der Client hat Zugriff via IPv6.

Ist das des Rätsels Lösung?!



Kapitel 2.6.3.3:
[...]
In diesem Kapitel in
- der Address from DHCPv6 Prefix Delegation nicht ::1111:0:0:0:1/128 sondern ::0:0:0:0:1/128 eintragen.
- der Advertised Prefix from ... table nicht ::1111/64 sondern ::0/64 eintragen
Super dass andere auch dieses Hanbuch fast als "Müll" ansehen! Gott sei dank! Ich dachte schon ich kapiere es nicht... Die Hinweise am Ende der Anleitung habe ich auch schon verflucht! :)

Diese Einstellungen habe ich auch schon probiert, da erhalten wir dann auf dem LAN Interface: DHCP 2a02:8071:918c:6c00::1/128 und die Clients haben keinen Internetzugriff mehr. Habe nun auch wie im Handbuch beschrieben, alle Objekte entfernt und die o.g. Suffixadressen eingegeben. also (::0:0:0:0:1/128 und ::0/64), leider auch negativ. Die DNS-Server kommen jetzt auch nicht mehr mit (das sind die Objekte, die ZyWALL ist sehr Objektorientiert.
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: DualStack auch über BridgeMode?

Beitrag von SpaceRat » 24.06.2014, 02:30

Mike0185 hat geschrieben:Er frägt das Präfix mit dem Objekt "Request_WAN1_PD" an und gibt es auch richtig wieder (2a02:8071:91c1:7a00::/56) will dann eine Suffix und bilded daraus das DHCP-Netzwerk für das LAN1-Interface.
Ich habe es jetzt mal auf "::/56" gestellt, er zeigt in der Adresse dann wieder "2a02:8071:91c1:7a00::/56" an. Das Advertised Präfix für das LAN steht noch bei "::0/64". Der Client hat wieder Internetzugriff via IPv6.

Zum Test nochmal neustart der Fritzbox, neue IPv6, neues Präfix... Objekte wurden auf der ZyWall aktualisiert und weitergegben. Der Client hat Zugriff via IPv6.
Funktioniert es jetzt also oder wie muß ich diesen Post verstehen? :)

Mal was zu den Präfix-Größen:
Größere Subnetze als ein /64er Präfix (Also Präfixe mit unter 64 Bit) braucht man nicht, die bei /64 verbleibenden 64 Bit (128 Bit insgesamt minus Präfix-Größe) sind genau das, was die Clients brauchen um sich automagisch eine Adresse selber per SLAAC zu geben, größere Präfixe machen keinen Sinn.

Kleinere Subnetze als /64 (Also /65 oder mehr Präfixlänge) macht man auch nur, wenn es zwingend nötig ist (Wenn man also vom ISP nur ein /64er Präfix bekommt und trotzdem subnetten will, dann muß man aber auch auf SLAAC verzichten, also Bild).

Die Präfixe < /64 kommen erst dann ins Spiel, wenn sie an nachgeschaltete Router delegiert werden sollen:
Du könntest nun z.B. hinter der ZyWall
- ein /64er Subnetz für direkt angeschlossene Clients announcen
und
- drei weitere Router (geschäftlich, privat, Kinder) anschließen und diesen jeweils ein /62er (Das ist die von Fritz!Boxen bevorzugte Größe, da diese wiederum LAN und Gast-Netz trennen) Präfix delegieren

Danach wären die Clients hinter den jeweils anderen Routern aus Sicht der Clients hinter einem der Router genauso außerhalb des eigenen LAN/Heimnetzes wie jeder andere Rechner im weltweiten Netz auch.
Das Beispiel "geschäftlich, privat, Kinder" ist bewußt so gewählt, denn damit kann man erreichen, daß
- ein von den Kindern in deren Netz eingeschleppter Trojaner garantiert nicht an Patienten-/Klientendaten im geschäftlichen Netz kommen kann, dito natürlich für einen im privaten Netz
- die Sprechstundenhilfe/der Anwaltsgehilfe sich nicht angucken kann, was auf dem NAS im privaten Netz liegt
- usw. usf.

Dito wäre auch statt eines der o.g. Netze oder als viertes Netz eines für einen Web/FTP/Mail/o.ä.-Server möglich. Selbst wenn dieser von außen gehackt werden sollte, wäre der Angreifer bezogen auf die sensiblen Netze immer noch genauso "draußen" wie zuvor auch.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Mike0185
Kabelexperte
Beiträge: 227
Registriert: 05.11.2013, 17:46

Re: DualStack auch über BridgeMode?

Beitrag von Mike0185 » 24.06.2014, 08:13

Bisher scheint es zu funktionieren. ich hatte zwar noch ein Probleme, da gehe ich aber später hier im Text drauf ein.

Zunächst noch einmal: Vielen Dank für deine Ausführlichkeit! Ich weiß das sehr zu schätzen und finde es auch extrem wichtig, solche Antworten in einem Forum zu finden, wie von dir! :super:

So wie ich die ZyWall nun verstehe erhalte ich eine IPv6-Adresse via SLAAC auf dem WAN-Interface (128 Bit). Zudem frägt sie über das WAN-Interface das Präfix (2a02:8071:9183:f500::/56) von KBW ab und erfrägt zusätzlich die DNSv6-Server.

Das LAN1-Interface sieht jetzt so aus:

IPv6 Address Assignment:
Address from DHCPv6 Prefix Delegation: Request WAN1_PD (also das erfragte Präfix von KBW über wan1) und will dann zwingend ein Suffix. Hier habe ich ihm das: "::/56" vorgegeben, damit bildet er dann die als Adresse: 2a02:8071:9183:f500::/56.

Der DHCPv6-Server gibt auf dem LAN-Interface die DNSv6-Server von KBW weiter, die er auch über wan1 erfragt hat.

IPv6 Router Advertisement Setting:
[x] Advertised Prefix from DHCPv6 Prefix Delegation; Hier will er auf dem WAN1_PD auch ein Suffix. Ich habe ihm hier die "::0/64" mitgegeben (Handbuch). Er zeigt hier dann bei Adresse: 2a02:8071:9183:f500::/64 an. Hierüber beziehen auch die Clients die IPv6-Adressen.

Mit dieser Einstellung funktioniert das ganze. Ich gehe aufgrund des IPv6 Router Advertisement Setting und dem Suffix "::/64" aus, dass ich die Clients in einem 64-Netz haben sollte...
Wenn ich am Address from DHCPv6 Prefix Delegation (::/56) rumspiele, funktioniert der Inet-Zugriff auf den Clients nicht mehr.

So ganz klar verstehe ich den IPV6-Adressaufbau und die Subnetze noch nicht, da werde ich mich auf jedenfall noch genauer einlesen (müssen). Vielleicht hast du da auch eine gute Quelle / Tipp / Buch?

Ich hatte jetzt das Problem, dass sich wohl nach einiger Zeit die IPv6-Adresse und das Präfix geändert haben und die ZyWALL nichts mitbekommen hat. Demnach hatten die Clients wieder kein Zugriff. Als ich dann die Konfiguration des WAN1-Interface nochmals aufgerufen habe und geschlossen habe, hat er es aber aktualisiert und die Clients hatten wieder einen Zugriff.
Ich habe dann im LAN1-Interface den Punkt "Information Refresh Time" gefunden und dort mal "600 Sekunden" hinterlegt. Im WAN1-Interface gibt es eine solche Option nicht... Ich bin gespannt, ob nach einer Neuzuteilung das ganze sauber wieder rüber läuft....

Noch was anderes:
NAT gibt es bei IPv6 ja nicht mehr so wie bei IPv4, da ja mit IPv6 jeder Rechner eine öffentliche IPv6-Adresse erhält. Wie können hier "Portfreigaben" dann realisiert werden? V.a. mit dynamischen Präfixen?! Oder Webserver via IPv6 erreicht werden?


Danke und Grüße
Mike
b2b-staticip1_150000_10000_ipv4_sip_wifi-on.bin

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: DualStack auch über BridgeMode?

Beitrag von SpaceRat » 25.06.2014, 08:39

Mike0185 hat geschrieben:So ganz klar verstehe ich den IPV6-Adressaufbau und die Subnetze noch nicht, da werde ich mich auf jedenfall noch genauer einlesen (müssen). Vielleicht hast du da auch eine gute Quelle / Tipp / Buch?
Es sieht nur anders aus, aber es funktioniert im Kern genauso wie bei IPv4.

Eine IPv4-Adresse hat 32 Bit, diese schreibt man der Einfachheit halber als Folge von 4 dezimal wiedergegebenen Bytes:
192.168.1.100

Die Subnetmask gibt dabei an, welche der Bits aus dieser Angabe zum Subnet und wie viele zur Host-Adresse gehören:
255.255.255.0

Bedeutet, daß alle Bits des ersten, zweiten und dritten Bytes unveränderlich sind, also das Subnet angeben, und kein Bit des 4. Bytes.
255 dez entspricht nämlich 11111111 Binär, also sind alle 8 Bits des Bytes auf 1 (= fix).
255.255.255.0 entspricht also dual 11111111.11111111.11111111.00000000 , wobei die Punkte hierbei nur noch der Lesbarkeit dienen.

Da die für das Subnet zu verwendenden Bits immer vorne und die für die Hosts zu verwendenden immer hinten sind, kann man das auch einfacher schreiben, indem man nur die Anzahl der Subnet-Bits angibt:
192.168.1.100/24
würde also denselben Host im selben Subnet spezifizieren wie die Angabe 192.168.1.100 Netmask 255.255.255.0 (=24 Bits, siehe duale Wiedergabe oben).

Spätestens, wenn Du diese Angabe mal in hex (192d = C0h, 168d=A8h, 1d=1h, 100d=64h) umrechnest
C0.A8.01.64/24
und die Bytes einfach nur anders gruppierst ....
c0a8:0164/24
... müßtest Du erkennen, daß es in diesem Bezug genau gar keinen Unterschied zwischen IPv4 und IPv6 gibt.

Nun zum Subnetting:
Damit hatten die wenigsten bei IPv4 zu tun, weil man als Privat- oder auch kleiner Geschäftskunde meist nur eine einzige IPv4-Adresse bekam.
Auch mit den 5 fixen Adressen aus dem aktuellen Business-Tarif läßt sich kein Subnetting mehr betreiben.

Großkunden hingegen haben auch schon mit IPv4 Subnetting betrieben und zwar so:
Angenommen, der Anbieter A vergibt dem Kunden K das Subnet 178.100.200.128/25,
dann entspricht das der Subnetmask 255.255.255.128 oder dual 11111111.11111111.11111111.10000000
dem Kunden stehen also die letzten 7 Bits und somit die Adressen 178.100.200.128 bis 178.100.200.255 zur Verfügung.
Die Adressen 178.100.200.0 bis 178.100.200.127 kann er nicht annehmen, da ja das höchstwertige Bit (die 128) des letzten Bytes zum Subnet und nicht zum Adressbereich des Kunden gehören.

Jetzt braucht der Kunde aber nicht einfach die 126 möglichen Adressen (128 mögliche minus Netzwerk-Adresse minus Broadcast-Adresse), sondern will weitere Subnetze bauen, nämlich je eines für jeden seiner beiden Standorte.
Also bildet er die Subnetze
178.100.200.128/26 für Standort 1
178.100.200.192/26 für Standort 2

Der Kunde hat also das höchstwertige "seiner" Bits nun für weiteres Subnetting verwendet, so daß sich das ihm insgesamt zur Verfügung stehende Netz
178.100.200.128/25 = 178.100.200.128 Netmask 255.255.255.128 (= dual 11111111.11111111.11111111.10000000)
nun in die zwei Netze
  • 178.100.200.128/26 = 178.100.200.128 Netmask 255.255.255.192 (= dual 11111111.11111111.11111111.11000000)
    Netzwerkadresse = 178.100.200.128
    Erster Host = 178.100.200.129
    Letzter Host = 178.100.200.190
    Broadcast = 178.100.200.191
    und
  • 178.100.200.192/26 = 178.100.200.192 Netmask 255.255.255.192 (= dual 11111111.11111111.11111111.11000000)
    Netzwerkadresse = 178.100.200.192
    Erster Host = 178.100.200.193
    Letzter Host = 178.100.200.254
    Broadcast = 178.100.200.255
aufteilt.

Schreiben wir das alles mal aus Jux in hex um ...
Gesamtes Kundennetz = 178.100.200.128/25 ^= B2.64.C8.80/25 ^= b264:c880/25
Kunden-Subnet 1 = 178.100.200.128/26 ^= B2.64.C8.80/26 ^= b264:c880/26
Kunden-Subnet 2 = 178.100.200.192/26 ^= B2.64.C8.C0/26 ^= b264:c8c0/26
... sehen wir auch hier wieder die nicht vorhandenen Unterschiede ;)

IPv6-Adressen sind nun im Wesentlichen einfach nur länger, nämlich 4x so lang wie eine IPv4-Adresse.

Bei IPv4 ist das dann eine elendige Hin- und Herschieberei und Knobelei mit VLSM (Variable Length of Subnet Mask), um die (immer knappen) zur Verfügung stehenden IPv4-Adressen sinnvoll in Subnetze aufzuteilen, so daß man einerseits die gewünschten Subnetz-Strukturen erreicht und einzelne Subnetze nicht zu knapp dimensioniert, andererseits aber auch möglichst wenig Resourcen (IPs) verschwendet werden.

Hier liegt dann der große Unterschied zwischen IPv4 und IPv6, weniger im technischen Bereich als im Bereich der zur Verfügung stehenden Resourcen und damit des Planungsaufwandes:
Der Adressbereich von IPv6 ist so gigantisch, daß jeder Hinz und Kunz problemlos ein /56 oder /57 Subnet (von 128 Bit) kriegen kann, also eines, das deutlich größer ist als der gesamte Adressraum des IPv4-Internets.
SixXS stellt mir sogar ein /48er Präfix zur Verfügung ...
Demzufolge braucht man auch nicht mehr zu knobeln, ob man für eine Abteilung mit 55 Arbeitsplätzen ein Subnet mit nur 62 Hosts vorsieht und damit riskiert, daß 2 neue Kollegen und ein Schwung Netzwerkdrucker das Subnetz sprengen, oder ob man eines mit 126 Hosts einplant und damit riskiert, daß die zusätzlichen 64 Hosts woanders fehlen ...
Nein, man macht einfach jedes Subnetz 64 Bit groß, das reicht für 18.446.744.073.709.551.616 Hosts, also 4.294.967.296 Mal das gesamte IPv4-Internet.

Wir halten als 1. Unterschied fest: Ein Subnet unter IPv6 ist in aller Regel immer ein /64er, egal wieviele Hosts tatsächlich beherbergt werden müssen.
Jedes einzelne IPv6-Subnetz könnte somit nach Anzahl und Art der Adressvergabe (Wenn SLAAC verwendet wird) alle IP-fähigen Geräte auf der Erde aufnehmen, sogar das WLAN-Gastnetzwerk einer einzelnen Fritz!Box.
IPv4 Subnetze hingegen richten sich - wenn sie aus öffentlichen IPs gebildet werden - in der Größe nach der Anzahl der zu beherbergenden Hosts und einer (möglichst knappen) Reserve.

Daraus folgend ergibt sich der zweite Unterschied:
Man betrachtet einen vom ISP zur Verfügung gestellten Adressbereich nicht mehr vom ersten bis zum letzten Bit als variabel in weitere Subnetze und Hostteile aufzuteilen, sondern nur die ersten 64 Bit abzgl. der zugewiesen Präfixlänge als die mögliche Anzahl von /64er Subnetzen. Bei einem /57er Präfix stünden 64-57 = 7 Bits für Subnetze zur Verfügung, also 128 Subnetze.

Bei einem größeren Bedarf würde man als richtiger Geschäftskunde bei einem richtigen Geschäftskundenprovider auch jederzeit problemlos einen größeren Adressbereich kriegen, die reine Betrachtung des Bedarfs ist also ausreichend.
Bei IPv4 würde man das zugewiesene Subnetz, egal wie groß, immer als variabel zwischen eigenen Subnetzen und den Hosts aufzuteilen betrachten.
178.100.192.0/18 würde man je nach Bedarf für irgendwas zwischen 16382 Hosts in einem einzigen Netz, zwei Subnetze a 8190 Hosts, ......., 2048 Subnetze a 6 Hosts und 4096 Subnetze a 2 Hosts verwenden.

Technisch betrachtet ist es also das selbe (Subnet-Bits vs. Host-Bits), nur daß der knappe Adressraum bei IPv4 einen ungleich höheren Planungsbedarf durch unterschiedlich große Subnetze erzeugt:
  1. Bedarfsermittlung (Welche Standorte/Abteilungen mit wievielen Rechnern gibt es, hinzu kommen die reinen Routerverbindungen Router X <> Router Y)
  2. Bestimmung der tatsächlich benötigten Subnet-Größen durch Abgleich mit den Zweierpotenzen minus 2
    Es sind nur Subnetze a 2 (2^2 = 4 minus 2), 6 (2^3 = 8 minus 2), 14 (2^4 = 16 minus 2), 30, 62, 126, 254, 510, 1022, 2046, 4094 usw. usf. Hosts möglich, keine Zwischenschritte.
  3. Parallel zu Schritt 1 und/oder 2 ist eine Reserve für zukünftige Hosts in den einzelnen Subnetzen zu berücksichtigen.
  4. Abgleich der Summe der sich ergebenden Hosts mit dem zur Verfügung stehenden Adressraum.
    Wenn überschritten:
    • Dumm gelaufen.
    • Mit der Geschäftsleitung absprechen
    • Hosts einsparen
      oder
    • Adressraum mindestens verdoppeln (= Kosten)
  5. Sortieren nach Größe (absteigend)
  6. Berechnung der Subnetze
Demgegenüber bei IPv6:
  1. Wieviele Subnetze werden benötigt?
  2. Reicht meine Präfixlänge für diese Anzahl?
  3. Ggf, aber unwahrscheinlich: Kürzeres Präfix (= mehr Subnetze) anfordern
Mike0185 hat geschrieben:Ich hatte jetzt das Problem, dass sich wohl nach einiger Zeit die IPv6-Adresse und das Präfix geändert haben und die ZyWALL nichts mitbekommen hat.
Sagen wir es mal so:
Sich ändernde Präfixe sind auch zutiefst unprofessionell.
Das zeigt einem mal wieder, daß es sich bei den UM-"Business-Tarifen" eher um Premium-Privatkunden- und Kleinstunternehmer-Tarife denn um richtige Geschäftskundentarife handelt.

Die ursprünglichen Gründe für dynamische IPs sind mit IPv6 weggefallen, davon war der vordringlichste die Adressknappheit verbunden mit der Tatsache, daß bei Einwahlverbindungen eh nie alle Kunden gleichzeitig online waren. Durch dynamische Vergabe der IPs an diejenigen Kunden, die gerade tatsächlich online waren, konnte man somit IPs für diejenigen Kunden einsparen, die gerade offline waren.
Dieser Grund ist weggefallen, seitdem auch im Privatkundenbereich überall Router stehen, die die Verbindung dauerhaft halten. Die Anbieter haben es aber, ergänzt um eine 24h-Zwangstrennung, trotzdem beibehalten, um Serverdienste zu erschweren und dafür die Ausrede "Datenschutz" lanciert, ganz so als ob sie nicht jedem dahergelaufenen Rechtsanwalt die persönlichen Daten des Kunden zur Verfügung stellen würden, der ihnen die IP in Verbindung mit Datum/Uhrzeit der Verwendung nennt.

Mit der Einführung von IPv6 hätten an sich auch Privatkunden die Möglichkeit bekommen sollen, jederzeit und ohne Gehampel mit DynDNS-Diensten auf heimische Server (Gebäudeautomatisierung, NAS, ...) zugreifen zu können, dynamische Präfixe erschweren das unnötig. Die deutschen Provider vergeben trotzdem unter dem Vorwand des Datenschutzes (s.o.) und dem tatsächlichen Grund der Erschwerung von Serverdiensten dynamische Präfixe und manche Soft- oder Hardware hat damit halt noch so ihre Probleme, offenbar auch Deine ZyWall. Verständlich, denn die liegt in einem Preissegment, das üblicherweise nicht an solchen Kasperle-Theater-Anschlüssen zur Verwendung kommt.
Daß Du an einem Geschäftskundenanschluß mit statischer IPv4 überhaupt ein dynamisches IPv6-Präfix bekommst ist schon ein starkes Stück ...
Mike0185 hat geschrieben:Noch was anderes:
NAT gibt es bei IPv6 ja nicht mehr so wie bei IPv4, da ja mit IPv6 jeder Rechner eine öffentliche IPv6-Adresse erhält. Wie können hier "Portfreigaben" dann realisiert werden? V.a. mit dynamischen Präfixen?! Oder Webserver via IPv6 erreicht werden?
Das kann ich Dir nicht beantworten, wie die ZyWall das realisiert.

Prinzipiell entfällt lediglich die Umadressierung, da das Paket bereits an den richtigen Host und nicht wie bei IPv4 mit NAT an den Router adressiert ist.
Angenommen, Du hast die öffentliche IPv4 178.100.200.187 und lokal zwei ssh-Server 192.168.178.10 und 192.168.178.11, dann sind von außen eintreffende Pakete für diese Server ja trotzdem immer an 178.100.200.187 adressiert, wobei der Router dann anhand des verwendeten Ports und einer "Umleitungsregel" den Traffic dem einen oder dem anderen ssh-Server zuführt.

Vernachlässigen wir mal die Filterung nach Quell-IP, Protokoll u.ä. ...

Port-Weiterleitungsregeln:
178.100.200.187:22 -> 192.168.178.10:22
178.100.200.187:23 -> 192.168.178.11:22
= eingehender Traffic auf der öffentlichen IPv4, Port 22 soll auf den lokalen Rechner 192.168.178.10 Port 22 und eingehender Traffic auf der öffentlichen IPv4, Port 23 soll auf den lokalen Rechner 192.168.178.11 Port 22 geleitet werden.

Einer IPv6-Portfreigabe/Firewall-Ausnahme hingegen reicht die eigentliche Zieladresse, da die ja auch bei Paketen von außerhalb richtig ist und die Umleitung entfällt:
2a02:8071:9183:f500:0:02ab:12ff:fe89:1234:22
2a02:8071:9183:f500:0:0234:56ff:fe89:4567:22
= eingehender Traffic auf den Port 22 soll für die Ziel-Hosts 2a02:8071:9183:f500:0:02ab:12ff:fe89:1234 und auch 2a02:8071:9183:f500:0:0234:56ff:fe89:4567 erlaubt sein.

Dein Problem ist also nun, daß das Präfix dynamisch ist und sich somit gelegentlich ändert, Du kannst also nicht
2a02:8071:9183:f500:0:02ab:12ff:fe89:1234 und 2a02:8071:9183:f500:0:0234:56ff:fe89:4567
als Hosts eintragen, da dieselben Hosts nach Präfix-Änderung z.B.
2a02:8071:9275:ab00:0:02ab:12ff:fe89:1234 und 2a02:8071:9275:ab00:0:0234:56ff:fe89:4567
heißen könnten.

Bei ip6tables ist das m.W. tatsächlich ein Problem, denn ip6tables erwartet genau das, eine vollständige Hostangabe.
ip6tables muß man also bei jedem Präfixwechsel umschreiben ...

Die Firewall der Fritz!Boxen ist da cleverer und begnügt sich mit der "Interface-ID", also den letzten 64 Bit der Host-Adresse, also für obiges Beispiel
::02ab:12ff:fe89:1234 und ::0234:56ff:fe89:4567
während sie das Präfix/Subnet selber ergänzt und somit auch mit dynamischen Präfixen leben kann.

Du müßtest jetzt halt die ZyWall danach durchforsten, wie sie das löst. Für IPv4-Regeln gibt es ja Adress-Objekte, also sollte es die für IPv6 auch geben. Wenn man da lediglich komplette Host-Adressen eingeben darf, wärst Du ziemlich angeschmiert. Erlaubt sie intelligentere IPv6-Adress-Objekte, z.B. basierend auf dem zugewiesenen Subnetz plus der Interface-ID oder der MAC oder der DHCPv6 DUID, dann müßtest Du diese auch nutzen.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Antworten

Wer ist online?

Mitglieder in diesem Forum: cpuesser, rv112 und 9 Gäste