IPv6 Frage(n)

[Avenger84]

Hallo,
ich arbeite mich gerade in IPv6 ein und es tauchen bzw. es werden noch einige Fragen auftauchen.

In der FritzBox werden s.g. Unique Local Address meinen Heimnetzwerkgeräten zugeteilt.
Diese fangen mit fd00:0000:0000:0000 an, der Host Teil danach soll sich aus der Mac Adresse ableiten soweit ich richtig informiert bin.

Ich habe "ULA-Präfix manuell festlegen" angewählt und auf fd00:aaaa:0000:0000 geändert.
Nun hat das gleiche Gerät aber eine ganz andere Host Adresse:

vorher:

nacher:

Mir ist es eigentlich nur wichtig, dass die IPv6 Adresse fest bestehen bleibt (Raspberry Pi mit Pihole)

Ist dem so oder wie setzt sich der rechte Teil zusammen ?

 

[ByteFax]

die IP ergibt sich nicht immer direkt aus der MAC , das kann variieren.
Wenn du ne feste sich nicht wechselnde IP haben willst, dann vergib halt ne feste IP an dem PI

 

[Avenger84]

OK, das darf man einfach so?
Gibt es da Regeln?
Einfach fd00:aaaa:5

Von 192.168.168.5 abgeleitet

 

[up.whatever]

Einfach fd00:aaaa:5

Das nicht, aber fd00:aaaa::5 wäre möglich.

 

[Tamron]

Ja es gibt sogar einen Standard: EUI-64.
Wieso fd00:aaaa:5? Intern würde ich nie IPv6 überhaupt nutzen.

 

[Avenger84]

Ich habe Büro & Zuhause per VPN verbunden.
Eine Seite bekommt nächstes Jahr Ftth von DG.
Hier gibt es keine IP v4 mehr (in Zukunft vermutlich irgendwann nirgends mehr).

Also muss ich langsam mal auf IP v6 umstellen (Wireguard VPN).

Also Datensicherung Netz A auf Netz B nicht mehr per ipv4 sondern ipv6.

Daher würde ich allen wichtigen Geräten analoge ipv6 Adressen geben, dann brauche ich mir nicht mal was merken...

Aus z.B. 192.168.74.4 wird fd00:bbbb::4
Und aus 192.168.168.4 wird fd00:aaaa::4
Usw.

Kann ich der FB auch so eine Adresse geben ?

 

[Tamron]

Nur weil du im WAN IPv6 hast, brauchst du noch lange nicht im LAN IPv6

 

[Avenger84]

Kann man IPv4 durch Wireguard IPv6 tunneln ??

Mein Versuch mit fd00:aaaa::5 klappt schon mal nicht.
Der Raspberry kriegt dann zwei fd00:aaaa Adressen. Einmal die von der FB zugewiesene, außer Mac Adresse berechneter, und meine selber eingetragenen.
Beim pihole -r (Rekonfig) geht´s aber nicht weiter mit zwei Adressen.

 

[Piktogramm]

@Avenger84
Magst du dich bitte auf einen Thread beschränken für deine Netzwerkerei?
Ansonsten lass dich bitte nicht von deinem Vorhaben abbringen ein Netzwerk aufzubauen, welches im 21Jahrhundert angekommen ist

Was deine Adressierung angeht. Anstatt fixe IPs den Geräten von Hand zuzuweisen wäre es wahrscheinlich schlauer einfach DHCPv6 zu nutzen. Der DHCP Server kann dann auch gleich die Rolle des lokalen DNS Server übernehmen, der die Rechnernamen mit hostname.local auflöst (schon muss man sich keine Adressen mehr merken). Wenn das mit dem DNS Server nicht klappt gäbe es für kleinere Netzwerke auch die Möglichkeit einfach mDNS zu nutzen.

Wireguard als VPN Lösung tunnelt IP Pakete, ob da nun IPv4 in IPv6 verpackt wird ist dem VPN egal. Das Übersetzen der IP Versionen wäre eher eine Aufgabe für NAT64 / DNS64.
Wenn du jedoch sowieso einen lokalen DHCP und DNS Dienst am Laufen hast, kannst du deren IPv4 Fähigkeiten ja einfach mitlaufen lassen. Also einfach DualStack laufen lassen, bis IPv4 dann wirklich mal ausgestorben ist.
Wobei Letzteres aufgrund div. IPv4 Fanatiker wohl noch sehr lange dauern wird. Gibt ja Leute die ziehen lieber 3 Schichten NAT ein bevor sie einmal auch nur den Wikipediaartikel zu IPv6 aufrufen -.-

 

[Avenger84]

Ja nutze DHCPv6.

Zum interessanten Teil:
Ich kann beide Netzwerke per Wireguard mit IPv6 verbinden und wie bisher die IPv4 Adressen der beiden Netzwerke nutzen ?
Das wäre das Einfachste.

Bisher sind in den beiden FBen die Route zum jeweils anderen Netzwerk eingetragen über das Gateway des jeweiligen Wireguard Servers. Das klappt prima.

Ich kann bidirektional beide Netzwerke nutzen.

IPv4 im LAN bleibt ja so oder so bestehen oder irre ich da?

 

[Piktogramm]

IPv4 über Tunnel geht. Über welche IP-Version der Tunnel seine Endpunkte verbindet ist dabei egal.

 

[Avenger84]

Dann gibt es also keinen Grund auch in 10-20 Jahren nicht im Lan weiterhin die einfachen IPv4 Adressen zu nutzen, wenn VPN durch einen IPv6 Tunnel geht und beide Netzwerke jeweils erreichbar sind durch den Tunnel mit ihren IPv4 Adressen ?

 

[Piktogramm]

Was an IPv4 einfacher ist muss mir irgendwann mal jemand erklären.. Für ein paar dutzend Geräte macht es keinen Unterschied ob man 10.0.0.x tippt oder fe80::x wenn man unbedingt "einfache" Adressen will. Wobei es meiner Meinung nach sowieso schlechte Schule ist IP Adressen im Rohformat zu nutzen. DHCP[2] + (m)DNS sollten alle Systeme beherrschen[1] und dann kann man auch gleich mit leichter merkbaren Namen arbeiten und ist vor allem flexibler.


[1] Jaja ich weiß, es gibt viel Müll da draußen wo das nicht geht. Eben diesen Müll will man aber eigentlich nicht in seinem oft ungeschütztem, privatem Netzwerk..
[2] Das schöne ist ja, eigentlich braucht es mit IPv6 ja nicht einmal eine zentrale DHCP Instanz für link local..

 

[Tamron]

Ganz einfach: weil es für den Mensch einfacher ist und man hat sich seit 30+ Jahren dran gewöhnt. IPv6 Subnetting ist auch "deutlich schwerer" als IPv4 Subnetting (ausgehend vom kleinen Admin vor Ort...). Da es technisch für LAN nur wenig Vorteile hat und ein Haufen Telefonanlage, Drucker, Faxe, Zeiterfassungsterminals, Alarmanlagen etc. IPv6 nicht können, wird man einfach bei IPv4 für lange Zeit noch bleiben. IPv6 dann halt zum ISP oder für Site-To-Site VPN, ansonsten sehe ich keinen Nutzen für Gewerbe und erst Recht privat.

 

[Piktogramm]

[...] man hat sich seit 30+ Jahren dran gewöhnt.[...]

Diese Abwandlung von "haben wir schon immer so gemacht" ist der Hauptgrund, dumm ist es in der Regel dennoch.

Was die ganzen Altsysteme angeht, die kein IPv6 und oft kein local DNS können ist auch so ein Aspekt davon. Leutchen die kein Bock hatten ihren Wissensstand auf den Laufenden zu halten haben für gutes Geld Kram beschafft, dessen Netzwerkstack 20Jahre lang nicht auf ein aktuelles Niveau gehoben wurde. Anstatt mit Investition technische Schulden abzubauen wurden diese mit weiteren Investitionen erhöht. Mal ganz abgesehen, dass die gealterten Netzwerkstacks oft wenig Performance liefern und unsicher sind.

Zur Erheiterung:
https://ipv6excuses.com/

 

[Avenger84]

Es funktioniert tatsächlich IPv4 über einen IPv6 Tunnel einwandfrei.
Getestet per Handy LTE.

Für ein paar dutzend Geräte macht es keinen Unterschied ob man 10.0.0.x tippt oder fe80::x wenn man unbedingt "einfache" Adressen will. Wobei es meiner Meinung nach sowieso schlechte Schule ist IP Adressen im Rohformat zu nutzen. DHCP[2] + (m)DNS sollten alle Systeme beherrschen[1] und dann kann man auch gleich mit leichter merkbaren Namen arbeiten und ist vor allem flexibler.

fe80::x klappt nicht, da die FB schon eine Mac generierte Adresse vergibt, also 4x 8 komplizierte Blöcke.

Kannst du kurz erklären was es mit DHCP2+mDNS auf sich hat?

Im lokalen Netz kann ich die Geräte mit Namen erreichen, aber im VPN Netz ?

Wir haben auch noch ettliche Geräte die nur IPv4 können und diese werden auch die nächsten 10-20 Jahre sicherlich nicht ausgetauscht.

 

[Piktogramm]

Klar klappt fe80::x man kann Netzwerkgeräten nahezu beliebig IP Adressen zuweisen. Typischerweise wird jedes aktive Netzwerkgerät bei dir mindestens folgendes haben:
IPv4, IPv6 global static, IPv6 global dynamic, IPv6 link local
Da kannst du also locker noch ein-zwei hinzufügen

DHCPv6 -> DHCP Server aufsetzen, für DHCPv6 konfigurieren
mDNS -> Die Rechner lösen hostname.local dadurch auf, dass sie ein Unicast ins Netzwerk rufen. Der Rechner mit dem entsprechendem Hostname antwortet. Für kleine Netzwerke sehr angenehm, bei größeren Netzwerken will man die Menge an Unicasts aber eher vermeiden.

Es gibt keinen Grund, wieso (m)DNS in VPNs nicht grundsätzlich auch gehen sollte. Es ist alles nur Netzwerkverkehr.

 

[Avenger84]

Weißt du zufällig wie es sich mit myfritz verhält ?

jedes IPv6 Gerät bekommt ja seine eigenen dyn. IPv6, also eine ganz andere als die FB hat.
Was wird dann wie weitergeleitet per myfritz ?

---> ab der 11. Stelle ist es eine andere IP

 

[Piktogramm]

Weißt du zufällig wie es sich mit myfritz verhält ?

Ich habe keine FritzBox. Ich störe mich aber etwas an den Eigenbezeichnungen seitens AVM wie "myfritz". Alles was relevant sein sollte sind die DHCP, DNS und VPN. Bitte verwende Diese so präzise wie möglich. Ich werde nicht ins Handbuch einer Fritzbox schauen um herauszubekommen was du vor dir hast .

jedes IPv6 Gerät bekommt ja seine eigenen dyn. IPv6, also eine ganz andere als die FB hat.

Logisch, sonst gäbe es ja eine Adresskollision

Was wird dann wie weitergeleitet per myfritz ?

Bitte eindeutige Subjekte/Objekte für Fragestellungen verwenden..
Das Routing sollte aber grob so ausschauen:

• IPv4/v6 im Bereich der öffentlichen IP-Ranges gehen Richtung Internet
• IP im Bereich der privaten Bereiche gehen bei bekannter Route an ein zum Lan gehörendes Interface oder alle Interfaces. Wobei ein Interface auch ein VPN Endpunkt sein kann.

Anhang anzeigen 888931
Anhang anzeigen 888932
---> ab der 11. Stelle ist es eine andere IP

"Stellen" ist keine sinnvolle Angabe, vor allem da bei IPv6 ja div. Verkürzungen genutzt werden dürfen. Gerade dein 2003:da:... ist ja in Langschreibweise eigentlich ein 2003:00da:... Wenn ist interessant, ob es sich ums selbe Subnet handel oder nicht.

 

[Avenger84]

myfritz ist ein dyndns Dienst von AVM:

per ********.myfritz.net: port komme ich in mein VPN per IPv4 zu jederzeit.

per IPv6 nicht, denn hier hat der VPN Server (Raspberry) eine eigenen WAN IP, die explizit freigegeben wird.

Da sich diese IPv6 wohl auch ab und zu ändert, müsste ich dann jedes mal die neue IPv6 am Endgerät eintragen. Daher würde ich gern den myfritz dyndns nutzen - nur ich weiß nicht wie ich die Verknüpfung von der FritzBox IPv6 zur Raspberry IPv6 hin kriege.

Die Fritzbox IP lautet z.B. (logisch geändert): 2003:da:b3b3:5dd5:4e79:74ff:fe1d:3f8b
Die Raspberry IP lautet z.B. (logisch geändert): 2003:da:b3d1:c700:312d:264f:ceef:60c5