Fritz!Box Filter im Zusammenhang mit IPv6?

[efcoyote]

Weil dein Provider mehr als ein NAT-Gateway betreibt und du mal diesem oder jenem zugewiesenen wirst. Daher ändern sich sowohl die interne als auch die externe IPv4.

 

[bender_]

Aber nach dem RFC bekommt der Router bei DS-lite doch keine private IPv4-Adresse, die man "innen" sehen könnte?

Natürlich. Nicht dass ich das nur behauptet habe, es ist mit dem Auszug aus dem RFC sogar belegt.
Haperts eventuell am Englisch?
Hier die Übersetzung:

Ein DS-Lite-CPE ist ein IPv6-fähiges CPE mit einer B4-Schnittstelle, die in die WAN Schnittstelle implementiert ist.

Ein DS-Lite CPE SOLLTE KEINE NAT-Funktion zwischen der internen und der B4-Schnittstelle ausführen, da die NAT-Funktion durch den AFTR im Netz des Diensteanbieters ausgeführt wird. Dadurch wird vermeiden versehentlich in einer Doppel-NAT-Umgebung zu arbeiten.

Es SOLLTE jedoch einen eigenen DHCP(v4)-Server betreiben, der Hosts beim Endnutzer Adressen aus dem [ RFC1918 ] Adressraum (zB 192.168.0.0/16) zuteilt. (AdÜ: Die Adresse an der WAN Schnittstelle des Kundengeräts!)
Es SOLLTE sich als Standard-IPv4-Router für diese Adressen präsentieren.
Es SOLLTE sich auch als DNS-Server im DHCP ankündigen.
Zusätzlich SOLLTE es einen DNS-Proxy betreiben um DNS-IPv4-Anfragen von Endnutzergeräten zu akzeptieren und über IPv6 an die DNS-Server des Dienstanbieters zu senden, wie in Abschnitt 5.5 beschrieben .

 

[Web-Schecki]

Haperts eventuell am Englisch?

Nein, eher die Begrifflichkeit "innen".
Natürlich bekommen alle Geräte im Heimnetz IPv4-Adressen, normalerweise vom DHCPv4 im Router. Sonst könnte ja kein Gerät IPv4 überhaupt nutzen. Der Router bekommt aber keine IPv4-Adresse vom Anbieter (für den WAN-Port), daher verstehe ich deine Anmerkung nicht ganz. Der Satz mit dem DHCPv4-Server bezieht sich definitiv auf das CPE, also den Router zuhause.

 

[bender_]

Nein, eher die Begrifflichkeit "innen".

Mit "innen" meine ich den Bereich innerhalb des CGN. Und da bekommt auch bei DS-Lite jede Kundenschnittstelle eine IPv4. Für Dich als Kunde ist das dann die WAN IPv4.

Der Router bekommt aber keine IPv4-Adresse vom Anbieter (für den WAN-Port)

Doch, eben schon. Bei DS-Lite bekommt er sie halt (vereinfacht) verschnürt in einem IPv6 Paket.

Sonst könnte ja kein Gerät IPv4 überhaupt nutzen.

Eben! Also braucht der Router eine WAN IPv4 - ob er diese über IPv4 oder IPv6 weiterkommuniziert ist für Endkunden nicht wirklich sooo entscheidend.

Zusammenfassend:
Bei DS ohne CGNAT bekommt dein Gerät die WAN IP vom Provider aus dessen Pool an öffentlichen IPv4
Bei DS mit CGNAT bekommt dein Gerät die WAN IP aus dem Pool an IPv4 entsprechend dem CGN Gateway beim Provider.
Bei DS-Lite bekommt dein Gerät die WAN IP ebenfalls aus dem Pool an IPv4 entsprechend dem AFTR Gateway beim Provider, sie kommt aber huckepack auf einem IPv6 Paket an, welches erst vom B4 Device des Routers bei dir zuhause ausgepackt wird.

 

[Web-Schecki]

Und da bekommt auch bei DS-Lite jede Kundenschnittstelle eine IPv4. Für Dich als Kunde ist das dann die WAN IPv4.

Ich glaube, wir haben aneinander vorbeigeredet. Die IPv4-Adresse des B4-interfaces ist in Abschnitt 5.7 des RFC erläutert:

Any locally unique IPv4 address could be configured on the IPv4-in- IPv6 tunnel to represent the B4 element. Configuring such an address is often necessary when the B4 element is sourcing IPv4 datagrams directly over the tunnel. In order to avoid conflicts with any other address, IANA has defined a well-known range, 192.0.0.0/29.

192.0.0.0 is the reserved subnet address. 192.0.0.1 is reserved for the AFTR element, and 192.0.0.2 is reserved for the B4 element. If a service provider has a special configuration that prevents the B4 element from using 192.0.0.2, the B4 element MAY use any other addresses within the 192.0.0.0/29 range.

Aber diese Adresse ist meist wohl unsichtbar, weil sie nur vom Router selbst beim sourcen von IPv4-Paketen benutzt wird. Ich wüsste zumindest nicht, wie man die bei einer FRITZ!Box auslesen kann - bei mir geht das definitiv nicht.

Eben! Also braucht der Router eine WAN IPv4

Nur, wenn er selbst IPv4-Pakete sourcen möchte. Was aber nicht so oft der Fall sein sollte, wenn man DNS etc. nach den Empfehlungen des RFC konfiguriert... Für alle angeschlossenen Geräte braucht der Router selbst keine WAN-IPv4-Adresse.

Bei DS-Lite bekommt dein Gerät die WAN IP ebenfalls aus dem Pool an IPv4

Tatsächlich können alle CPEs (bzw. genauer die B4-interfaces) hinter einem AFTR dieselbe WAN-IPv4-Adresse (laut RFC standardmäßig 192.0.0.2) haben. Das ist eher als virtuelle Adresse zu verstehen. Entsprechend gibt es nicht wirklich einen Pool an IPv4-Adressen für die CPEs.

 

[Tom_123]

Hi,

ich habe mal meine Fritz!Box auf DS-Lite konfiguriert und in den erweiterten Supportdaten kann ich die von Web-Schecki genannte IP sehen:

##### BEGIN SECTION ds-lite
Type        : ds-lite
Activated   : yes
Aftr        : ::
AftrFQDN    : m-wams-af72-1.superkabel.de
LocalIP     : 192.0.0.2
Gateway     : 192.0.0.1
MSS         : 1420
MTU         : 1460
GW_AS_PCPSRV: no
##### END SECTION ds-lite

 

[bender_]

Ich wüsste zumindest nicht, wie man die bei einer FRITZ!Box auslesen kann - bei mir geht das definitiv nicht.

Mach halt ne tracert nach 8.8.8.8. Dann wird sie dir auch angezeigt.

 

[Web-Schecki]

erweiterten Supportdaten

cool, das wusste ich nicht. Da ist man dann aber schon tief drin.

Mach halt ne tracert nach 8.8.8.8. Dann wird sie dir auch angezeigt.

Nein, wird sie eben nicht. Wie Tunneling funktioniert, wird in RFC2473 erklärt. Da nicht zweimal NAT eingesetzt wird, kann die 192.0.0.2 nicht in der traceroute angezeigt werden. Die Adresse existiert nur virtuell und stellt keinen Hop dar. Hast du meinen letzten Beitrag überhaupt gelesen?

Wenn dein Rechner mit der IPv4-Adresse 192.168.178.24 ein IPv4-Paket an den Google-DNS 8.8.8.8 schickt, dann geht das Paket zunächst an dein Standard-Gateway, z.B. die FRITZ!Box mit der IPv4-Adresse 192.168.178.1. Im Fall von DS-lite wird dort das Paket über das B4-Interface in ein IPv6-Paket verpackt, das als Source meinetwegen 2001:db8::dead:beef:2 (die öffentliche, weltweit routbare IPv6-Adresse der FRITZ!Box) und als Destination das AFTR-Gateway, also z.B. 2001:db8::dead:beef:1 hat. Dann wird das Paket über das Providernetz losgeschickt. Wird hierbei irgendwo die IPv4-Adresse des B4-interfaces (also 192.0.0.2) benötgt? Selbstverständlich nicht, sonst müsste dort bereits NAT eingesetzt werden.
Der AFTR packt das IPv4-Paket dann aus. Jetzt erst kommt zum einzigen Mal NAT zum Einsatz. Dabei wird die Source des IPv4-Pakets zu einer öffentlichen IPv4-Adresse aus dem NAT-Pool des Providers geändert und ein Eintrag in der NAT-Tabelle mit den entsprechenden Ports, der öffentlichen IPv6-Adresse der FRITZ!Box (2001:db8::dead:beef:2) und der ursprünglichen Quelle (192.168.178.24) angelegt. Das geht unter anderem aus dem von dir zitierten RFC 6333, Abschnitt 6.6 hervor.
Dann wird das Paket über das Internet zum Ziel geschickt. Die Antwort kommt dann wieder beim AFTR an, dort wird ein reverse lookup in der NAT-Tabelle gemacht, das IPv4-Paket bekommt als Destination nun wieder 192.168.178.24 (und NICHT 192.0.0.2, sonst doppelt NAT nötig...), das ganze wird in ein IPv6-Paket mit Source 2001:db8::deaf:beef:1 (AFTR) und Destination 2001:db8::dead:beef:2 (FRITZ!Box) gepackt und losgeschickt. Irgendwann kommt es beim B4-interface der FRITZ!Box an, wird entpackt und von direkt an das Ziel im Heimnetzwerk geschickt. No NAT needed.
Das ist selbstredend alles stark vereinfacht, manchmal passt z.B. ein IPv4-Paket nicht in ein IPv6-Paket, ..., siehe RFC 6663

Zusammenfassend:
Bei Dual-Stack bekommt die FRITZ!Box eine IPv4-Adresse, über die die IPv4-Kommunikation stattfindet. In jedem Fall wird dabei NAT eingesetzt, da man nur eine IPv4-Adresse bekommt, aber mehrere Geräte im Heimnetzwerk haben kann.
Falls dabei CGNAT zum Einsatz kommt, dann erhält die FRITZ!Box eine private IPv4-Adresse aus dem Subnetz 100.64.0.0/10, sodass nochmal beim Anbieter NAT eingesetzt werden muss. Man nennt das auch NAT444, weil insgesamt drei verschiedene IPv4-Netzwerke (Heimnetz, privates Providernetz und öffentliches IPv4-Netz) durchlaufen werden.
Falls nicht CGNAT zum Einsatz kommt, dann handelt es sich um eine öffentliche, weltweit routbare IPv4-Adresse, die die FRITZ!Box bekommt. Entsprechend muss nur genau einmal NAT - nur bei der FRITZ!Box - eingesetzt werden.
DS-Lite unterscheidet sich davon fundamental. Man bekommt nur ein öffentliches IPv6-Subnetz. IPv4-Pakete werden - ohne NAT - in IPv6-Pakete verpackt und zum AFTR geschickt. Dort wird entpackt und NAT eingesetzt, deshalb kann man auch von CGNAT sprechen, allerdings gibt es technisch-theoretisch und auch praktisch fundamentale Unterschiede zum Dual-Stack mit CGNAT, weil eben nur einmal NAT zum Einsatz kommt und das direkt zwischen Heimnetzadressen und öffentliche Internet stattfindet.