NAT66 vs IPv6 Extend Prefix vs IPV4 only?

[x.treme]

Hi zusammen,

ich habe von M-Net den wunderschönen TP-Link VX800V Router bekommen, der anders als die FritzBox, leider nur einen /64 Prefix delegiert.

Das macht leider mein altes Setup kaputt, bei dem jedes VLAN seinen eigenen Prefix bekommen hatte (der VX800V ist nur das dumme "Modem", dahinter ist ein Flint2 OpenWRT Router. Die FritzBox vorher konnte nen /58 Prefix an OpenWRT delegieren)

Nun bleiben mir drei Optionen:

• NAT66
• via "Extend Prefix" den /64 Prefix über mehrere VLANs spannen (Work, LAN, Guest, IoT, etc.)
• IPv6 komplett deaktivieren und es bei IPv4 belassen

Empfehlungen? Irgendwie tendiere ich zu NAT66 oder IPv6 einfach sein lassen

 

[Redundanz]

bin für option #3

ipv6 im heimnetz hat einen lernwert imho aber das wars dann auch.
ist ein bisschen wie für 1m² rasen einen fahrbaren rasenmäher statt einer handsense zu verwenden. es funktioniert, aber es ist in jeglicher hinsicht zu aufwändig und wartungsanfällig.

 

[up.whatever]

Bevor du es ganz sein lässt lieber NAT machen, dann kannst du wenigstens andere IPv6 Adressen erreichen.

 

[gaym0r]

bin für option #3

Woher diese Abneigung gegen IPv6?

ipv6 im heimnetz hat einen lernwert imho aber das wars dann auch.

Warum sollte IPv6 nur zum Lernen sein?

 

[eigsi124]

bin für option #3

ipv6 im heimnetz hat einen lernwert imho aber das wars dann auch.
ist ein bisschen wie für 1m² rasen einen fahrbaren rasenmäher statt einer handsense zu verwenden. es funktioniert, aber es ist in jeglicher hinsicht zu aufwändig und wartungsanfällig.

Wo ist IPv6 aufwändiger oder Wartungsanfälliger als IPv4?

Wenn du weiterhin eine saubere Trennung deiner VLANs haben willst, ,würde ich mit NAT gehen oder versuchen einen größeren Präfix zu delegieren.

Ist der Präfix statisch oder dynamisch?
Wenn er statisch ist könntest du auch ohne Präfix Delegierung arbeiten und die Präfixe statisch für die Subnetze konfigurieren.

 

[Redundanz]

verstehe die schlussfolgerung nicht.
nur weil ich keinen dieselbetriebenen fahrbaren rasenmäher für meinen hausgarten verwende sondern nur auf meiner arbeitsstelle als hausmeister, heißt das doch noch lange nicht, dass ich eine abneigung gegen dieselbetriebene fahrbare rasenmäher habe...!?

 

[CoMo]

Verstehe ich nicht ganz. Was hat das Modem mit dem Präfix zu tun? Der Router bezieht das Präfix und delegiert es. Das ist also eine Einstellungssache auf dem Flint2.

 

[DLMttH]

Vorausgesetzt, die Funktion des Modems wurde verstanden und wird auch entsprechend umgesetzt. Falsch verstandene Modemfunktion, Absprechen der Modem-Funktionalität und versehentliche Routerkaskaden haben wir hier ja alle paar Wochen.

 

[gaym0r]

verstehe die schlussfolgerung nicht.
[...] heißt das doch noch lange nicht, dass ich eine abneigung gegen dieselbetriebene fahrbare rasenmäher habe...!?

Wie erklärst du dir dann diese Aussage: "es funktioniert, aber es ist in jeglicher hinsicht zu aufwändig und wartungsanfällig.", die allen Fakten entgegenläuft?

 

[qiller]

Mal so als IPv6 Nub gefragt: Kann man nicht einfach kleinere Subnetze für die einzelnen VLANs festlegen? Z.B. einfach ein /100er Subnetz? Da hat man doch immer noch mehr als genug IPv6-Adressen oder seh ich das falsch?

 

[eigsi124]

Mal so als IPv6 Nub gefragt: Kann man nicht einfach kleinere Subnetze für die einzelnen VLANs festlegen? Z.B. einfach ein /100er Subnetz festlegen?

/64 ist das kleinstmögliche Subnetz bei IPv6

 

[x.treme]

Woher diese Abneigung gegen IPv6?

Ich fände IPv6 super wenn ich einen statischen Adressraum hätte. IPv6 mit dynamischer IP finde ich bzgl. Firewall-Rules ziemlich nervig zu konfigurieren.

Verstehe ich nicht ganz. Was hat das Modem mit dem Präfix zu tun? Der Router bezieht das Präfix und delegiert es. Das ist also eine Einstellungssache auf dem Flint2.

Flint2 fordert einen /58 Präfix an. Der VX800V ist so bescheuert programmiert, dass er nur einen /64 Präfix an den Flint2 delegiert, obwohl er vom Provider einen /56 erhalten hat. Und es gibt kein Setting beim VX800V das zu ändern, da gibt's einige Beschwerden bei TP-Link dazu, weil das in Zeiten von IPv6 ein ziemliches No-Go ist. Der VX800V ist halt kein reines Modem, sondern ein Router mit Modem.

Damit bleibt mir dann nur NAT66, oder den /64 Adressraum über mehrere VLANs zu verteilen, was eigentlich nicht der Sinn hinter der VLAN-Trennung ist und auch hier wieder Firewall-Rules erschwert bzw. unübersichtlich macht.

 

[qiller]

/64 ist das kleinstmögliche Subnetz bei IPv6

Wer hat sich denn diese Einschränkung einfallen lassen? Klingt ja mal gar nicht logisch. Gibts da nen Grund, warum man das so festgelegt hat?

 

[CoMo]

Ja. SLAAC. Der Hostanteil wird aus der MAC-Adresse generiert. Dafür sind 64 Bit nötig.

Theoretisch kannst du auch kleinere Netze bauen. Aber da auch Link-Local-Adressen immer /64 sind, wirst du nicht viel Spaß haben mit dem Setup.

 

[eigsi124]

Ich fände IPv6 super wenn ich einen statischen Adressraum hätte. IPv6 mit dynamischer IP finde ich bzgl. Firewall-Rules ziemlich nervig zu konfigurieren.

Naja, dass liegt eher am Router wie das umgesetzt ist, die FB kann das ohne Probleme.

Der VX800V ist so bescheuert programmiert, dass er nur einen /64 Präfix

Wenn VX800V wirklich nur als Modem fungieren würde, hätte er selbst keine IPv6 Adresse und würde entsprechend auch nichts delegieren müssen/können.

 

[x.treme]

Liegt eher am Provider, wenn man keinen Business-Tarif hat ist ja sowohl IPv4 als auch IPv6 bei den meisten Anbietern dynamisch.

 

[eigsi124]

@x.treme Ja schon aber die Fritzbox kommt mit dynamischen Präfixen und FW Regeln super klar.

 

[CoMo]

Dynamisch hat nichts mit der Präfix-Länge zu tun. Bei der Telekom bekommt jeder Kunde ein /56. Ggfs muss man NPTv6 konfigurieren, ein Consumer-Router wie die Fritzbox regelt das aber in der Regel selbstständig.

 

[DLMttH]

Wird denn nun der Bridge Mode genutzt oder nicht?

 

[x.treme]

Also Fritzbox gute Möglichkeiten bzgl FW Regel zu attestieren ist wohl das letzte was ich machen würde
Ich meine das DAU Interfaces was bzgl. NAT/Firewall/VLAN komplett kastriert ist ist der Hauptgrund warum ich den OpenWRT Router überhaupt geholt habe

Und ja, ich kann bei OpenWRT via Syntax-Rule /-64 die ersten 64 bits der IPv6 ignorieren, damit lassen sich Firewall Rules schon umsetzen. Vgl. hier https://korhonen.cc/posts/firewall_rules_openwrt_ipv6_dynamic_prefix/

Der TP-Link hat leider keinen Bridge Mode.