Generelle IPv6 Fragen

[jokakilla]

Nach Umstieg auf Deutsche Glasfaser (DG) mit DS-Lite habe ich nun leider keine öffentliche IPv4 Adresse mehr und kann mich nicht mehr um das Thema IPv6 drücken da sonst mein Server von unterwegs nicht mehr erreichbar ist. Sorry schon mal vorweg für den Roman. Vielleicht hat ja jemand die Muße ihn zu lesen

Konkret ist das interne Netz hier relativ komplex (5 VLANs über Mikrotik RB4011 mit einzelnen IPv4 Netzen). Aber ich habe bereits Schwierigkeiten mit dem generellen Verständnis von IPv6. Vielleicht kann mir jemand helfen die folgenden Dinge besser zu verstehen.

Was ich bisher verstanden habe:

• Deutsche Glasfaser weist bei IPv6 keine einzelne öffentliche IP mehr zu. Dafür gibt es jetzt ein eigenes Netz für das ich den Prefix bekomme.
• Jeder Rechner im Netz sowie der Router haben zwei IPv6 Adressen. Die link lokale fe80 Adresse und eine Globally Unique Address (GUA) also eine global einzigartige "public" IP.
• Dank mehrerer "öffentlicher" IPs gibt es keinen Grund mehr für NAT. Es sind jetzt einfach nur noch Freigaben in der Forward Tabelle im Router.
• DHCP ist im internen Netz nicht mehr unbedingt nötig. Über SLAAC kann sich jeder Rechner im Netz aus dem vom Router mitgeteilten Prefix eine IP raus picken.

Aktueller Stand in meinem Netz:
Der Router hat per DHCP von Deutsche Glasfaser sein Prefix bekommen. Das interne Interface des Routers im PC VLAN hat eine fe80 Adresse und eine öffentliche aus dem DG Prefix. Über Neighbor Discovery (RA?) hat mein PC den Prefix bekommen und sich eine IP in dem Netz gesucht. Vom PC aus lässt sich die IP des Routers pingen.
Leider klappt der Ping zur z.B. "heise.de" IPv6 addresse nicht. Weder vom Router noch vom PC.
Ordne ich dem Router WAN interface eine IP aus dem DG prefix zu kann ich vom Router aus Heise pingen. Allerdings kann der Router dann nicht mehr den PC pingen und umgekehrt.

Was mir unklar ist:
- In der Routing Tabelle meines PC steht als default Gateway die link lokale fe80 Adresse des Routers. Ist das richtig? Ich hätte dort die öffentliche IP des Routers auf dem interface im PC VLAN erwartet.
Wenn ein Ping Paket vom Rechner zu Heise laufen soll schickt mein Rechner dann ein ICMP Paket mit der öffentlichen IP meines Rechners als Source und der öffentlichen IP von Heise als Destination von meiner fe80 Adresse zur fe80 Adresse des Routers und der leitet es dann zu Heise?

- Wie kommen aus dem Internet eingehende Pakete zu meinem Zielrechner? Stellt der Provider einfach alle Pakete für das Netz mit meinem Prefix beim Router zu und der leitet es dann zum richtigen Rechner?

- Ist der Host teil meiner öffentlichen IP auf dem PC statisch und nur der Prefix ändert sich ggf? Das wäre wichtig zu wissen damit DynDNS richtig funktioniert. Wenn der Host teil statisch ist könnte weiterhin der Router die DynDNS Adresse updaten sobald sich der Prefix ändert. Falls das nicht so ist müsste der Rechner, der extern erreichbar sein soll, selbst das Updaten übernehmen. Wages Halbwissen meinerseits: Hat das was mit den Privacy Extensions zu tun? Ohne die leitet sich der Host-part aus der MAC Adresse ab und ist damit statisch. Mit Privacy Extensions würde sich die Adresse regelmäßig ändern um Tracking zu erschweren. Für meinen Server wären damit Privacy Extensions eher kontraproduktiv. Ist das richtig?

 

[Mr. Robot]

Was mir unklar ist:
- In der Routing Tabelle meines PC steht als default Gateway die link lokale fe80 Adresse des Routers. Ist das richtig? Ich hätte dort die öffentliche IP des Routers auf dem interface im PC VLAN erwartet.

Das ist ok, ist bei mir auch so.

Wenn ein Ping Paket vom Rechner zu Heise laufen soll schickt mein Rechner dann ein ICMP Paket mit der öffentlichen IP meines Rechners als Source und der öffentlichen IP von Heise als Destination von meiner fe80 Adresse zur fe80 Adresse des Routers und der leitet es dann zu Heise?

Du musst dabei unterscheiden, was im LAN passiert, und was "draußen". Dabei macht es im Grunde keinen Unterschied, ob IPv4 oder IPv6.
Dein Rechner erstellt erst mal ein Paket mit deiner IP als Source, und der von Heise als Destination. Jetzt kommt das Routing ins Spiel. Der Rechner schaut jetzt anhand der Subnetzmaske/Präfix, ob das Ziel im eigenen Netz liegt. Wenn ja, wird es direkt zugestellt. Direkt bedeutet, an den Rechner mit der MAC-Adresse(!) vom Ziel.
Liegt das Ziel nicht im LAN, wird es an das Standardgateway weitergeleitet. Auch hier braucht man dessen IP-Adresse nur, um seine MAC-Adresse raus zu finden. Auf Ethernet-Ebene wird alles nur per MAC adressiert. Die IP-Zieladresse bleibt die von heise.de. Lediglich die Ziel-MAC-Adresse zeigt auf deinen Router.

Bei IPv4 und NAT ändert der Router/Standardgateway jetzt die Absenderadresse auf seine öffentliche IPv4-Adresse. (Mit der lokalen kann ja keiner was anfangen.)
Er sieht nun eben falls "Die Zieladresse kenne ich nicht, liegt nicht in meinem Netzwerk. Das schicke ich zu meinem(!) Standard-Gateway."

Bei IPv6 läuft das genau so. Jede Station schickt das Paket einfach zur nächsten weiter, bis es irgendwann am Ziel ankommt. Die Adressierung auf dieser Ethernet-Ebene geschieht per MAC-Adresse, die IP-Source und -Destination bleiben gleich.
Der größte Unterschied gegenüber IPv4 ist, dass bei IPv6 die Adressen unterwegs nicht geändert werden müssen, da jeder Teilnehmer bereits eine öffentlich erreichbare Adresse hat.

- Ist der Host teil meiner öffentlichen IP auf dem PC statisch und nur der Prefix ändert sich ggf? Das wäre wichtig zu wissen damit DynDNS richtig funktioniert. Wenn der Host teil statisch ist könnte weiterhin der Router die DynDNS Adresse updaten sobald sich der Prefix ändert. Falls das nicht so ist müsste der Rechner, der extern erreichbar sein soll, selbst das Updaten übernehmen. Wages Halbwissen meinerseits: Hat das was mit den Privacy Extensions zu tun? Ohne die leitet sich der Host-part aus der MAC Adresse ab und ist damit statisch. Mit Privacy Extensions würde sich die Adresse regelmäßig ändern um Tracking zu erschweren. Für meinen Server wären damit Privacy Extensions eher kontraproduktiv. Ist das richtig?

Mit Privacy Extensions bekommst zu zusätzliche Adressen.
Du hast (mindestens) eine, die sich regelmäßig ändert. Die wird in der Regel zum senden benutzt.
Gleichzeitig hast du immer noch die gleichbleibende Adresse. Die sollte man dann für Serverdienste/DynDNS benutzen.

Womit ich keine Erfahrungen habe, sind VLANS. Es ist gut möglich, dass die dir gerade etwas in die Quere kommen.

 

[Geier01de]

Nur so mal in den raum geschmissen
https://www.edv-kossmann.de/festeip/
Das benutze ich für IPV4 mit DG , so mit hab ich wieder vollen zugriff mit ipv4 ins eigene Netzwerk .

 

[_anonymous0815_]

https://www.ipv6-handbuch.de/Plakate/IPv6-Unicast-Adressen

Ich kann Dir leider nicht präzise auf Deine Fragen antworten, da ich auf dem IPv6-Gebiet auch nur ein Anfänger bin, aber dieses "Poster" beantwortet ein paar grundlegende Fragen, vielleicht hilft es Dir etwas weiter.

 

[riversource]

Nach Umstieg auf Deutsche Glasfaser (DG) mit DS-Lite habe ich nun leider keine öffentliche IPv4 Adresse mehr

Du hast kein DS Lite, sondern DS mit CGNAT. Das ist ein Unterschied, hat allerdings auf IPv6 keinen Einfluss. Dennoch solltest du das beachten, da es vor allem auch in deinen VLANs eine Rolle spielen kann.

Deutsche Glasfaser weist bei IPv6 keine einzelne öffentliche IP mehr zu. Dafür gibt es jetzt ein eigenes Netz für das ich den Prefix bekomme.

Das ist falsch. Du bekommst eine öffentliche IPv6 UND ein /56 Prefix. Die öffentliche IP ist aus einem anderen Subnetz, als das /56 Prefix.
Um IPv6 richtig nutzen zu können, muss am WAN Port deines Routers die öffentliche IP aktiv sein, und im LAN ein Netz aus dem /56 Prefix.

Jeder Rechner im Netz sowie der Router haben zwei IPv6 Adressen. Die link lokale fe80 Adresse und eine Globally Unique Address (GUA) also eine global einzigartige "public" IP.

Wenn Privacy Extensions aktiv sind, hat er auch mehrere öffentliche IPv6 Adressen. Für Freigaben ist es wichtig, die richtige auszusuchen.

Über Neighbor Discovery (RA?) hat mein PC den Prefix bekommen und sich eine IP in dem Netz gesucht.

Neigbor Discovery ist nicht RA! Zwar wird beides über ICMP6 abgewickelt, hat aber sonst nichts miteinander zu tun. RAs verteilen Prefixes und andere Routing Informationen, und ND ist der Nachfolger für ARP.

Leider klappt der Ping zur z.B. "heise.de" IPv6 addresse nicht. Weder vom Router noch vom PC.

Wie weit kommt denn ein traceroute?

Ordne ich dem Router WAN interface eine IP aus dem DG prefix zu kann ich vom Router aus Heise pingen. Allerdings kann der Router dann nicht mehr den PC pingen und umgekehrt.

Natürlich. Dann hat der Router ja auch sowohl am WAN als auch am LAN Interface eine IP aus dem gleichen Subnetz. Das kann nicht funktionieren.

In der Routing Tabelle meines PC steht als default Gateway die link lokale fe80 Adresse des Routers.

Ja, das ist normal und kein Problem.

Wenn ein Ping Paket vom Rechner zu Heise laufen soll schickt mein Rechner dann ein ICMP Paket mit der öffentlichen IP meines Rechners als Source und der öffentlichen IP von Heise als Destination von meiner fe80 Adresse zur fe80 Adresse des Routers und der leitet es dann zu Heise?

Er schickt das ICMP Paket mit der der öffentlichen IP deines PCs als Quelladresse und der Heise IP als Zieladresse an die MAC Adresse deines Routers. Die Kommunikation im LAN erfolgt eher auf Schicht zwei. Dein PC ermittelt per ND die MAC deines Routers und schickt dort das Paket hin.

Stellt der Provider einfach alle Pakete für das Netz mit meinem Prefix beim Router zu und der leitet es dann zum richtigen Rechner?

Ja.

Ist der Host teil meiner öffentlichen IP auf dem PC statisch und nur der Prefix ändert sich ggf

Ja, der Host Teil kann statisch sein, z.B. per EUI-64 ermittelt.

Wenn der Host teil statisch ist könnte weiterhin der Router die DynDNS Adresse updaten sobald sich der Prefix ändert. Falls das nicht so ist müsste der Rechner, der extern erreichbar sein soll, selbst das Updaten übernehmen.

Richtig. dynv6 ist zum Beispiel ein dyndns Dienst, bei dem man Host IDs hinterlegen kann und bei dem die Fritzbox ihr Prefix aktualisiert. myfritz kann es auch.

Für meinen Server wären damit Privacy Extensions eher kontraproduktiv.

Sie dürfen jedenfalls nicht für eingehenden Verkehr und Portweiterleitungen genutzt werden.

Nach deiner Beschreibung vermute ich, dass die Zuweisung der öffentlichen WAN IP nicht funktioniert hat. Interessant wäre auch das Ergebnis eines Traceroutes auf heise.

 

[0-8-15 User]

https://www.edv-kossmann.de/festeip/
Das benutze ich für IPV4 mit DG , so mit hab ich wieder vollen zugriff mit ipv4 ins eigene Netzwerk .

Das mag sicher in vielen Fällen eine brauchbare - wenn auch teure - Notlösung sein, aber unter "vollem Zugriff" stelle ich mir persönlich etwas anderes als vor:

• Leider ist unser Lösung nicht für PlayStaion / PSN geeignet.
• das VPN z.B. IPSec (nutzt auch AVM Fritzboxen) wird nicht unterstützt ...
• Derzeit unterstützen wir mit unserem Service der feste IP für DG nur das TCP Protokoll.

 

[jokakilla]

Zunächst erstmal danke für eure Erklärungen
Mein Server Erreichbarkeitsproblem habe ich erstmal wie folgt gelöst:

• Ionos VPS für 1€/Monat mit fixer IPv4 und IPv6 Adresse
• Wireguard VPN Tunnel vom VPS in meinen Router via IPv6
• iptables forward auf dem VPS vom eingehenden Traffic durch den VPN Tunnel zur LAN internen IPv4 Adresse meines Reverse Proxy.

Damit reicht im Grunde erstmal aus dass mein Router nach außen eine IPv6 Adresse hat und ich bräuchte nicht unbedingt intern IPv6.

Nichtsdestotrotz möchte ich eigentlich endlich IPv6 in den Griff kriegen bzw. gut genug verstehen.

Daher:

Um IPv6 richtig nutzen zu können, muss am WAN Port deines Routers die öffentliche IP aktiv sein, und im LAN ein Netz aus dem /56 Prefix.

Das erklärt warum ich im DHCP Client Status eine Adresse sehe die nichts mit dem 56er Prefix zu tun hat.

Wenn Privacy Extensions aktiv sind, hat er auch mehrere öffentliche IPv6 Adressen. Für Freigaben ist es wichtig, die richtige auszusuchen.

Ich würde also versuchen die Privacy Extensions auf dem Server auszuschalten oder die EUI-64 Adresse rauszusuchen.

Nach deiner Beschreibung vermute ich, dass die Zuweisung der öffentlichen WAN IP nicht funktioniert hat. Interessant wäre auch das Ergebnis eines Traceroutes auf heise.

Die öffentliche IP (unabhängig vom 56er Prefix) hat sich der Router geholt. Diese ist von der Ionos Virtual Machine bereits erreichbar und sogar der Wireguard Tunnel steht.
_________________________________________________________

Mein Rechner hat nun also zwei IPv6 Adressen. fe80:usw und 2a00:6020:usw.

(base) joka@joka:~$ ip -6 route show
::1 dev lo proto kernel metric 256 pref medium
publicPrefix::/64 dev enp37s0 proto ra metric 100 pref medium
fe80::/64 dev enp37s0 proto kernel metric 100 pref medium
fe80::/64 dev enp37s0.99 proto kernel metric 256 pref medium
fe80::/64 dev br-6f4d730824f1 proto kernel metric 256 pref medium
fe80::/64 dev docker0 proto kernel metric 256 pref medium
fe80::/64 dev veth8d7c487 proto kernel metric 256 pref medium
fe80::/64 dev vethc5b559d proto kernel metric 256 pref medium
fe80::/64 dev vethdfc0430 proto kernel metric 256 pref medium
default via fe80::de2c:6eff:fe18:caa dev enp37s0 proto ra metric 20100 pref medium

Die default route ist die link lokale IP vom Router. Soweit ok. Der Traceroute scheint beim Router zu enden:

(base) joka@joka:~$ traceroute6 2a02:2e0:3fe:1001:302:0:0:0
traceroute zu 2a02:2e0:3fe:1001:302:0:0:0 (2a02:2e0:3fe:1001:302: von MeinPublicPrefix:e118:547:f12a:8a33, 30 hops max, 24 byte packets
1 MeinPublicPrefix:de2c:6eff:fe18:caa (MeinPublicPrefix:de2c:6eff:fe18:caa) 0,5722 ms 0,2071 ms 0,1993 ms
2 * * *
3 * *^C

Die Adresse mit caa am Ende ist das interface von meinem Router. Die mit 8a33 mein Rechner.
Ich hätte jetzt auf irgendein Firewall Problem getippt. Es sind nur ganz eingeschränkt Sachen freigegeben und am Ende gibt es ein generisches Drop. Das Drop hat einen Log so dass alles was von der Firewall gedropt wird im Log landen müsste. Dort sehe ich während des Pingens nichts.



Ein Ping vom Rechner zur fe80 Adresse des Routers klappt:

(base) joka@joka:~$ ping -6 fe80::de2c:6eff:fe18:caa%enp37s0enp37s0
PING fe80::de2c:6eff:fe18:caa%enp37s0(fe80::de2c:6eff:fe18:caa%enp37s0) 56 Datenbytes
64 Bytes von fe80::de2c:6eff:fe18:caa%enp37s0: icmp_seq=1 ttl=64 Zeit=0.240 ms
64 Bytes von fe80::de2c:6eff:fe18:caa%enp37s0: icmp_seq=2 ttl=64 Zeit=0.221 ms
^C
--- fe80::de2c:6eff:fe18:caa%enp37s0 ping-Statistik ---
2 Pakete übertragen, 2 empfangen, 0% Paketverlust, Zeit 1003ms
rtt min/avg/max/mdev = 0.221/0.230/0.240/0.009 ms

Ebenso der Ping vom Rechner zur IP des Routers auf dem public 56er Prefix

(base) joka@joka:~$ ping -6 MeinPublicPrefix:de2c:6eff:fe18:caa
PING MeinPublicPrefix:de2c:6eff:fe18:caa(MeinPublicPrefix:de2c:6eff:fe18:caa) 56 Datenbytes
64 Bytes von MeinPublicPrefix:de2c:6eff:fe18:caa: icmp_seq=1 ttl=64 Zeit=0.227 ms
64 Bytes von MeinPublicPrefix:de2c:6eff:fe18:caa: icmp_seq=2 ttl=64 Zeit=0.242 ms

Ebenfalls der Ping vom Rechner zur public IP des Routers vom DG DHCP:

(base) joka@joka:~$ ping -6 2a00:***
PING 2a00:(2a00:) 56 Datenbytes
64 Bytes von 2a00:***: icmp_seq=1 ttl=64 Zeit=0.223 ms
64 Bytes von 2a00:***: icmp_seq=2 ttl=64 Zeit=0.982 ms

Müsste beim Ping auf die Heise IP nicht eigentlich als erster Hop die fe80 Adresse meines Routers auftauchen und nicht die IP des Routers aus dem 56er Prefix?

 

[riversource]

Oben die Ausgabe von 'ip -6 route show': Ist das alles, oder hast du die gekürzt? Weil da fehlt mir komplett das WAN Interface mit der öffentlichen IP von DG. Oder ist enp37s0 das WAN Interface?

Müsste beim Ping auf die Heise IP nicht eigentlich als erster Hop die fe80 Adresse meines Routers auftauchen und nicht die IP des Routers aus dem 56er Prefix?

Das ist im Grunde egal, solange es beim Router ankommt. Bei Fritzboxen ist es auch so, dass dort die interne IP des Routers aus dem Prefix Bereich angegeben wird.

Es scheint so zu sein, dass der Router nicht routet, also die Pakete aus dem internen Netz nicht weiterreicht. Da der Wireguard Tunnel steht, scheint der Traffic über die öffentliche IP aber zu funktionieren.

 

[Bob.Dig]

Also scheint jetzt alles wie es soll zu funktionieren, auch ohne den VPS? Etwas schwierig mitzulesen hier.
2 EUR nach 6 Monaten klingt immer noch sehr günstig, gibt es Traffic Limitierung bei IONOS?

 

[jokakilla]

Ich musste in der Firewall vom Router noch Forward Rules anlegen damit der ping vom meinem Rechner vom Router auch nach außen weitergeleitet wird.

Sorry falls ich mit dem VPS Thema hier Verwirrung gestiftet habe. Das ist quasi mein Workaround solange der Router selbst zwar von außen über IPv6 erreichbar ist aber mein internes Netz noch nicht soweit ist.
Das über Ionos funktioniert einwandfrei. Kein Traffic Limit. 400Mbit symmetrisch.

Mittelfristig ist mein Ziel aber IPv6 so gut zu verstehen, dass das interne Netz auch auf IPv6 läuft und der Server ohne VPS von außen direkt erreichbar ist. Der VPS wäre dann nur noch die Krücke für Zugriff aus fremden Netzen ohne IPv6. Quasi der 4to6 Tunnel.

Immerhin haben die Rechner jetzt schon eine IP aus dem Deutsche Glasfaser Präfix und können externe Server per IPv6 Pingen.

 

[Bob.Dig]

Mittelfristig ist mein Ziel aber IPv6 so gut zu verstehen, dass das interne Netz auch auf IPv6 läuft und der Server ohne VPS von außen direkt erreichbar ist.

Mittelfristig? Das sollte doch eher oberste Prio haben, den VPS könntest Du ja für "öffentlich erreichbares" IPv4 weiter benutzen.
Sprich Du kannst pingen aber sonst keine Verbindungen aufbauen, obwohl deine LANs inzwischen IPv6-Adressen aus dem Präfix haben? Also scheint es ausschließlich ein Problem mit dem Mikrotik zu sein, damit kenne ich mich leider auch nicht aus. Hier würde ich ggf. mal nachfragen.

 

[norKoeri]

Deutsche Glasfaser […] MikroTik RB4011

Klingt so als würdest Du als Router den MikroTik nutzen. Richtig?

Anstatt IPv6 grundsätzlich verstehen zu wollen, ist eigentlich Deine Frage, wie der MikroTik bei dynamischen IPv6-Präfixen seine Firewall mitzieht. Und ob dessen Dynamic-DNS-Client so schlau ist, auch Hosts mitzuziehen (falls nicht, muss das der Dienst bzw. Host selbst machen).

Daher mein Tipp: Neuen Thread hier bei uns z. B. mit der Überschrift: „Glasfaser Deutschland: MikroTik als Router; IPv6?“ Oder direkt im Forum von MikroTik umschauen, ob „DS mit CGNAT“ bei dynamischen IPv6-Präfixen überhaupt schon in der Firewall unterstützt wird. Und wie man das dann konfiguriert. Dann ziehst Du die MikroTik-Kracks an. Ich habe hier zwar auch einen MikroTik, aber bei Deiner Konstellation muss ich jetzt auch passen. Upps, jetzt erst gesehen: Bob.Dig hat das in seinem letzten Satz quasi genauso empfohlen, nur stattdessen direkt das Forum Hardwareluxx.