IPv6: Sammlung von Nutzern mit IPv6 + Prefix

[Winchester]

Es sollte mal einer eine statische IPv6 an seinem PC eingeben, welche zum dem CPE zugeteilten Prefix passt, dann wissen wir ob man selbst Subnetten kann oder net

Ich dachte man kann nicht erkennen welches Präfix und vor allem welche Subnet Größe vom Hitron kommt? Klar, geht man von einem /64 aus, könnte ich in MirGros Fall vermutlich beliebige IP Adressen von 2a02:8108:83c0:11:: bis 2a02:8108:83c0:11:ffff:ffff:ffff:ffff fest vergeben. Ich hab mal ein wenig experimentiert, aber wenn ich z.B. MirGros IP etwas abwandle, so lande ich bei Tracert zu 2a02:8108:83c0:12::2 vermutlich bei einem anderen CPE.

Code: Alles auswählen

traceroute to 2a02:8108:83c0:12::2 (2a02:8108:83c0:12::2) from 2001:470:xxxx:xxxx:d4e2:51e7:df1a:e609, 30 hops max, 24 byte packets
 1  2001:470:6d:12b::dead:c01a (2001:470:xxxx:xxxx::dead:c01a)  0.532 ms  0.601 ms  0.375 ms
 2  x.tunnel.tserv26.ber1.ipv6.he.net (2001:470:xxxx:xxxx::1)  18.494 ms  24.849 ms  18.692 ms
 3  gige-g2-20.core1.ber1.he.net (2001:470:0:220::1)  51.082 ms  20.326 ms  24.901 ms
 4  2001:7f8:8:5:0:7a66:0:2 (2001:7f8:8:5:0:7a66:0:2)  21.222 ms  21.361 ms  35.065 ms
 5  2a02:8100:4:2::69 (2a02:8100:4:2::69)  23.496 ms  23.171 ms  23.626 ms
 6  2a02:8100:4:2::a02 (2a02:8100:4:2::a02)  22.781 ms  24.536 ms  78.532 ms
 7  2a02:8100:6:2::101:10f (2a02:8100:6:2::101:10f)  25.845 ms  26.311 ms  26.748 ms
 8  2a02:8108:8000:7:e945:8f5f:c999:d502 (2a02:8108:8000:7:e945:8f5f:c999:d502)  48.516 ms  31.335 ms  28.081 ms
 9  * * *
^C

Die Information darüber kann ich entweder in meinem Router auslesen, oder der Provider muss mir diese in Schriftform mitteilen. Des weiteren gehe ich davon aus, das jedes Hitron LAN Seitig auf <Präfix>::1 hört.

[petertxt]

Bleibt noch die Frage, warum tracert -6 2a02:8108:83c0:11::1 nicht bis zum Kunden weitergeleitet wird? Vergibt KD nicht einmal die vollständigen /64 Subnetze?

Ich glaube gelesen zu haben, dass jemand von temporären IPv6 Adressen berichtete. Diese gibt es nur bei SLAAC, also kein DHCPv6 auf der LAN Seite.

[fLoo]

Also mein Modem hatte wohl gerade ein Reboot, ohne neue Firmware, was ich aber beobachte ist ein deutlich (im Vergleich zu vorher) höherer IPv6-Traffic in meinem Segment.

Code: Alles auswählen

11:48:56.787581 IP6 fe80::1 > ff02::1:ff44:f327: ICMP6, neighbor solicitation, who has fe80::c225:6ff:fe44:f327, length 32
11:50:23.612434 IP6 fe80::1 > ff02::1:ff2e:da30: ICMP6, neighbor solicitation, who has fe80::c225:6ff:fe2e:da30, length 32
11:54:07.853890 IP6 fe80::1 > ff02::1:ff1d:721b: ICMP6, neighbor solicitation, who has fe80::c225:6ff:fe1d:721b, length 32
11:55:13.738572 IP6 fe80::1 > ff02::1:ff2e:bfba: ICMP6, neighbor solicitation, who has fe80::c225:6ff:fe2e:bfba, length 32
11:56:15.148684 IP6 fe80::1 > ff02::1:ff44:3f9d: ICMP6, neighbor solicitation, who has fe80::c225:6ff:fe44:3f9d, length 32
11:56:52.385928 IP6 fe80::1 > ff02::1:ff98:e8b1: ICMP6, neighbor solicitation, who has fe80::c225:6ff:fe98:e8b1, length 32

Bleibt noch die Frage, warum tracert -6 2a02:8108:83c0:11::1 nicht bis zum Kunden weitergeleitet wird? Vergibt KD nicht einmal die vollständigen /64 Subnetze?
Ich glaube gelesen zu haben, dass jemand von temporären IPv6 Adressen berichtete. Diese gibt es nur bei SLAAC, also kein DHCPv6 auf der LAN Seite.

Wundert mich allerdings auch

[wittmann]

Bleibt noch die Frage, warum tracert -6 2a02:8108:83c0:11::1 nicht bis zum Kunden weitergeleitet wird? Vergibt KD nicht einmal die vollständigen /64 Subnetze?
Ich glaube gelesen zu haben, dass jemand von temporären IPv6 Adressen berichtete. Diese gibt es nur bei SLAAC, also kein DHCPv6 auf der LAN Seite.

Wundert mich allerdings auch

Weil vielleicht das Hitron incoming das PD-Scope vom Kunden schuetzt um nicht komplett nackich im Internet zu haengen?

[RcRaCk2k]

Das wird wohl die Antwort sein Die Firewall blockt Incomming-Requests auf den internen Bereich.

Ich dachte man kann nicht erkennen welches Präfix und vor allem welche Subnet Größe vom Hitron kommt?

Nun, das würde man doch unter ipconfig / ifconfig sehen können. Darum interessiert mich ja auch der Screenshot eines PCs mit öffentlicher IPv6-Adresse.
Von Außen ist es schwierig, jedoch mit einem Traceroute kann man sehen, über welches CPE das Netz gerouted wird.

Ändert man die Adresse z.B. an der Stelle 7-8 Byte (sprich 48-64 Bits) kann man sehen, ob das Netz immer noch über die selbe CPE gerouted wird.

Beispiel 1:
2a02:8108:83c0:0011 = geht über CPE A
2a02:8108:83c0:0012 = geht über CPE B
Dann handelt es sich um ein /64 Netz

Beispiel 2:
2a02:8108:83c0:0011 = geht über CPE A
2a02:8108:83c0:00ff = geht über CPE A
2a02:8108:83c0:0100 = geht über CPE B
Dann handelt es sich um ein /56 Netz

Klar, geht man von einem /64 aus

Die Hitrons auf WAN-Seite sind alle in einem /64 Netz - das ist von sich aus so abgeschlossen. Sprich ein PC auf LAN-Seite wird niemals eine IP-Adresse aus diesem Prefix erhalten, außer das Modem ist als Bridge eingerichtet und man befindet sich im selben Netz wie das Kabelmodem auf WAN-Seite. Auf der LAN-Seite wird es auch ein /64 sein und optional vielleicht für Business-Kunden ein /56.

Code: Alles auswählen

Modem / CPE / WAN-SIDE:
2a02:8108:8000:0007:df5e:699e:2643:b23d/64

Expanded Address        - 2a02:8108:8000:0007:df5e:699e:2643:b23d
Compressed address      - 2a02:8108:8000:7:df5e:699e:2643:b23d
Subnet prefix (masked)  - 2a02:8108:8000:7:0:0:0:0/64
Address ID (masked)     - 0:0:0:0:df5e:699e:2643:b23d/64
Prefix address          - ffff:ffff:ffff:ffff:0:0:0:0
Prefix length           - 64
Address type            - Aggregatable Global Unicast Addresses
Network range           - 2a02:8108:8000:0007:0000:0000:0000:0000 -
                          2a02:8108:8000:0007:ffff:ffff:ffff:ffff

PC / LAN-SIDE:
2a02:8108:83c0:0011:803f:d780:63ba:48e6/???

Leider fehlen uns jetzt die entsprechenden Informationen zur LAN-Side. Vielleicht kann diese ja irgendwann mal jemand nachliefern.

so lande ich bei Tracert zu 2a02:8108:83c0:12::2 vermutlich bei einem anderen CPE.

Wenn ein /64 Prefix vergeben wurde, dann musst du auf einer anderen CPE landen, ja.

Des weiteren gehe ich davon aus, das jedes Hitron LAN Seitig auf <Präfix>::1 hört.

Nicht unbedingt. Wird ein Router-Advertisement geschickt, steht dort ja drinnen, was der Prefix ist und unter welcher Adresse der Router erreicht werden kann. Die Autokonfiguration nimmt dann den Prefix und erstellt nach RFC 4291 einen Interface Identifier mit 64 Bit, der aus der MAC-Adresse abgeleitet wird, bzw. auf andere Methoden erstellt wird. Das Hitron hätte dann auch einen 64 Bit langen Prefix + 64Bit Interface Identifier. Setzt das Hitron jedoch DHCPv6 ein, wird das Hitron sicherlich 64Bit-Prefix + ::1 als Adresse haben und den Rest als DHCP-Address-Space vergeben.

[petertxt]

SLAAC funktioniert nur mit Subnetzen /64. Größere Subnetze können nur dem Modem/Router mit DHCPv6-PD signalisiert werden. Dem Benutzer aber nur durch andere Art der Mitteilung von KD (Post, Kundenbereich, Hitron Webinterface...).

Die IPV6 Adressen bestehen bei SLAAC ohne Privacy Extensions aus dem 64-bit Präfix und den restlichen 64-bit, die aus der MAC-Adresse erzeugt werden. Selbst wenn sich die IPv6 Subnetze der Kunden ändern, wird man vermutlich den Anschluss bis zum Modemwechsel anhand der unteren 64-bit der Modem IPv6 Adresse (bei tracert sichtbar) eindeutig identifizieren können. Diese letzten 64-bit kommen auf der Welt bei Verwendung von SLAAC ohne Privacy Extensions nur einmal vor.

Beim Anschluss, bei dem heute z.B. 2a02:8108:8000:7:d52e:699e:2643:b23c in tracert erscheint, würde somit im tracert immer eine IPv6 Adresse 2a02:8108:xxxx:yyyy:d52e:699e:2643:b23c zu sehen sein.

[Winchester]

Moin!

Ich gehe mal einfach davon aus, das das Hitron in soweit vorkonfiguriert ist das es LAN seitig ein /64 via SLAAC announced. Und in der Grundkonfiguration, <präfix>::1 gegenüber 192.168.0.1 als default IP hat. Eventuell wird sogar durch den internen DNS Resolver hitronhub.home auf diese Adresse aufgelöst. So das @User im Zweifelsfall immer mit http://hitronhub.home auf seine Kiste kommt, egal welches Protokoll bevorzugt wird.

@RcRaCk2k
Ich habe sehr gehofft, das sich das Hitron so verhält und zum LAN nichts hindurch lässt, was nicht explizit vom Anwender oder einem UPnP Mechanismus freigeschaltet wird.

Bei Windows sieht man bei IPConfig leider nicht wie groß das Subnet ist. Dafür muss man route -6 print bemühen:

Code: Alles auswählen

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
...
 11     18 2001:xxxx:xxxx:12b::/64  Auf Verbindung
...
===========================================================================
Ständige Routen:
  Keine

Was das Subnetting betrifft, so hoffe ich doch das man nem Privat Anschluss nen /56 mindestens gibt und Business Kunden bei Bedarf ein /48. Zum erstmal testen reicht ein /64 bestimmt aus. Aber ich wäre schon etwas Böse auf KD wenn die Telekom nen /56 an die Kunden vergibt und KD nur ein /64. Aber warten wir mal die Entwicklung ab.

@petertxt
Aber eine IPv6 ohne Privacy Extension kann man doch leicht erkennen an ff:fe in der Mitte des Suffix. Und bei keinem Modem ist das bislang zu sehen. Man könnte jetzt vermuten das diese IP Adresse einmal erzeugt wird bei der Provisionierung oder vielleicht anstatt die MAC einfach die Seriennummer des Hitron ran zieht. Aber selbst wenn diese IP Adresse quasistatisch ist, so ist sie doch im Grunde das selbe wie die zur Zeit quasistatischen IPv4 Adressen welche KD Kunden bislang haben.

Man könnte ja mal testen, falls ein Hitron Kunde mit IPv6 mal übers Wochenende weg fährt, sein Modem mal diese Zeit lang aus zu lassen und dann bei wiederkehr schauen ob das Modem dann WAN seitig ne andere IP bekommen hat.

[mr.lexus]

Hallo Zusammen,
habe jetzt mal noch etwas herumprobiert...
Mit tcpdump sieht man das per Router-Advertisement ein /64 Prefix und das Hitron als Nameserver übergeben wird.

Code: Alles auswählen

Internet Control Message Protocol v6
    Type: 134 (Router advertisement)
    Code: 0
    Checksum: 0xf348 [correct]
    Cur hop limit: 64
    Flags: 0xc0
        1... .... = Managed
        .1.. .... = Other
        ..0. .... = Not Home Agent
        ...0 0... = Router preference: Medium
    Router lifetime: 12
    Reachable time: 0
    Retrans timer: 0
    ICMPv6 Option (Prefix information)
        Type: Prefix information (3)
        Length: 32
        Prefix length: 64
        Flags: 0xe0
            1... .... = Onlink
            .1.. .... = Auto
            ..1. .... = Router Address
            ...0 .... = Not site prefix
        Valid lifetime: 40
        Preferred lifetime: 30
        Prefix: 2a02:810c:81c0:c::
    ICMPv6 Option (Recursive DNS Server)
        Type: Recursive DNS Server (25)
        Length: 24
        Reserved
        Lifetime: 4
        Recursive DNS Servers: 2a02:810c:81c0:c::1 (2a02:810c:81c0:c::1)
    ICMPv6 Option (Source link-layer address)
        Type: Source link-layer address (1)
        Length: 8
        Link-layer address: 00:26:5b:a0:2b:b2

Schade, dann werden wohl die Client PCs über die Fritzbox nicht direkt per IPv6 ins Netz kommen.
Mit Debian direkt am Hitron war ich per IPv6 online (Web, SSH oder apt-get haben ohne weiteres funktioniert)

Code: Alles auswählen

~# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:30:05:85:dc:0d  
          inet addr:192.168.0.12  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: 2a02:810c:81c0:c:230:5ff:fe85:dc0d/64 Scope:Global
          inet6 addr: fe80::230:5ff:fe85:dc0d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22402 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13484 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:19812108 (18.8 MiB)  TX bytes:1298752 (1.2 MiB)

~# ping6 ipv6.google.com
PING ipv6.google.com(muc03s02-in-x10.1e100.net) 56 data bytes
64 bytes from muc03s02-in-x10.1e100.net: icmp_seq=1 ttl=54 time=16.0 ms
64 bytes from muc03s02-in-x10.1e100.net: icmp_seq=2 ttl=54 time=15.1 ms
64 bytes from muc03s02-in-x10.1e100.net: icmp_seq=3 ttl=54 time=14.2 ms
^C
--- ipv6.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 14.235/15.115/16.006/0.736 ms

~# traceroute-nanog ipv6.google.com
traceroute to ipv6.google.com (2a00:1450:4016:801::1010), 30 hops max, 80 byte packets
 1  hitronhub.home (2a02:810c:81c0:c::1)  0.547 ms  0.584 ms  0.763 ms
 2  2a02:810c:8000:3::1 (2a02:810c:8000:3::1)  6.198 ms  6.291 ms  5.607 ms
 3  2a02:8100:6:2::109:91 (2a02:8100:6:2::109:91)  6.282 ms  5.973 ms  6.796 ms
 4  2a02:8100:6:2::12:5 (2a02:8100:6:2::12:5)  5.294 ms  9.976 ms  5.635 ms
 5  2a02:8100:4:2::e0d (2a02:8100:4:2::e0d)  10.798 ms  17.462 ms  14.080 ms
 6  2a02:8100:4:2::b6 (2a02:8100:4:2::b6)  9.262 ms  9.795 ms  9.598 ms
 7  2a02:8100:c2:4020::2 (2a02:8100:c2:4020::2)  9.997 ms  12.215 ms  8.836 ms
 8  2001:4860::1:0:11 (2001:4860::1:0:11)  16.978 ms 2001:4860::1:0:10 (2001:4860::1:0:10)  26.090 ms  10.712 ms
 9  2001:4860::8:0:3016 (2001:4860::8:0:3016)  19.969 ms  10.308 ms  9.678 ms
10  2001:4860::1:0:336d (2001:4860::1:0:336d)  15.598 ms  15.483 ms  15.525 ms
11  2001:4860:0:1::537 (2001:4860:0:1::537)  15.854 ms  14.918 ms  15.894 ms
12  2a00:1450:8000:1f::2 (2a00:1450:8000:1f::2)  15.654 ms  15.856 ms  15.638 ms

EDIT: Wenn ich der Fritzbox den Prefix stat. vorgebe, komme ich von der Box auch per IPv6 ins Internet (getestet mit ping und telnet), nur funktioniert SLAAC für die Clients so (natürlich) nicht.

Weiß jemand von euch, ob der SIP-Client in der Fritzbox schon über IPv6 zu einem Registrar konnektieren kann ?

Gruß,
Lexus

[fLoo]

UPDATE:

Ich habe was übersehen. Seit dem Restart meines Modems gestern, bekommt mein Cisco jetzt auch eine IPv6, jedoch nur Link-Lokal:

Code: Alles auswählen

eth0.2  
          inet addr:31.19.xxx.xxx  Bcast:31.19.231.255  Mask:255.255.252.0
          inet6 addr: fe80::21a:xxxx:xxxx:xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:565474504 errors:0 dropped:0 overruns:0 frame:0
          TX packets:339801557 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0

[Winchester]

UPDATE:

Ich habe was übersehen. Seit dem Restart meines Modems gestern, bekommt mein Cisco jetzt auch eine IPv6, jedoch nur Link-Lokal:

Code: Alles auswählen

eth0.2  
          inet addr:31.19.xxx.xxx  Bcast:31.19.231.255  Mask:255.255.252.0
          inet6 addr: fe80::21a:xxxx:xxxx:xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:565474504 errors:0 dropped:0 overruns:0 frame:0
          TX packets:339801557 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0

Ist das nicht aus deinem Router? An meinem Router hatte ich seit jeher ne Linklokale IPv6 Adresse. Das hat nix damit zu tun ob dein Modem IPv6 kann oder nicht. Sowie IPv6 auf einem System aktiviert ist bekommt jedes Interface ne Linklokale Adresse.