Vodafone Business feste IPv6 ?

Für alle Technik-Themen bezogen auf Internet und Telefonie, die weder AVM- noch Hitron-/Compal-/Technicolor-/Sagemcom-/Arris-Produkte betreffen. Speedprobleme werden hier lediglich thematisiert, wenn sie auf die verwendeten Geräte zurückzuführen sind (die nicht zu den o.g. Produkten zählen).
Forumsregeln
Forenregeln
Higgins12
Fortgeschrittener
Beiträge: 169
Registriert: 05.08.2011, 10:33

Vodafone Business feste IPv6 ?

Beitrag von Higgins12 » 02.08.2019, 11:16

Ganz blöde Frage:

Ich kenne mich nicht wirklich mit IPV6 aus, hab aus einer dummen Idee heraus mal eine andere Firewall versucht (Untangle) gefällt mir eigentlich recht gut allerdings die IPv6 Geschichte macht mir da etwas Kopfschmerzen. Untangle kann nämlich kein DHVPv6, sondern nur Static oder SLAA/RA
Pick ich mir jetzt die IPv6 des WAN Interface aus Pfsense (läuft noch auf einer anderen HDD) und trage die in Untangle ein, klappt auch alles - Für einen Tag. Danach scheint Vodafone aber wieder eine neue IPv6 zuzuteilen.

Gibt es keine feste IPv6 generell oder bei Vodafone?
Sorry, stehe da gerade auf dem Schlauch.

sch4kal
Kabelexperte
Beiträge: 594
Registriert: 22.03.2018, 15:14

Re: Vodafone Business feste IPv6 ?

Beitrag von sch4kal » 02.08.2019, 20:58

Du bekommst ein festes /56er Präfix das du natürlich via DHCPv6 anfordern musst. Wenn Untangle das nicht kann nimm eine andere Firewall.

reneromann
Insider
Beiträge: 4446
Registriert: 28.06.2015, 13:26

Re: Vodafone Business feste IPv6 ?

Beitrag von reneromann » 02.08.2019, 21:34

Nur so: Das (interne) /56er Präfix ist fest, jedoch bekommst du auf der "äußeren" Seite der Firewall eine per DHCPv6 dynamisch zugewiesene WAN-IPv6, die auch NICHT aus dem statischen /56er-Bereich ist.
Das interne /56er muss deshalb mittels DHCPv6 und IA_PD angefragt werden - auch wenn du dann quasi immer die gleiche Antwort erhältst.

Die Konsequenz daraus ist: Ohne DHCPv6 kommst du nicht weiter.

Nur als Beispiel:
"Mein" statisches /56er-Präfix beginnt mit 2a02:8106:..., während die WAN-IPv6 der FritzBox mit 2a02:8108:... beginnt (also definitiv NICHT aus dem /56er-Bereich stammt).

Higgins12
Fortgeschrittener
Beiträge: 169
Registriert: 05.08.2011, 10:33

Re: Vodafone Business feste IPv6 ?

Beitrag von Higgins12 » 03.08.2019, 12:32

Ah danke. Verstanden. Dann geht das mit Untangle eben nicht. Back to Pfsense.

petertxt
Fortgeschrittener
Beiträge: 261
Registriert: 25.01.2009, 01:30

Re: Vodafone Business feste IPv6 ?

Beitrag von petertxt » 27.08.2019, 19:53

reneromann hat geschrieben:
02.08.2019, 21:34
Nur so: Das (interne) /56er Präfix ist fest, jedoch bekommst du auf der "äußeren" Seite der Firewall eine per DHCPv6 dynamisch zugewiesene WAN-IPv6, die auch NICHT aus dem statischen /56er-Bereich ist.
Das interne /56er muss deshalb mittels DHCPv6 und IA_PD angefragt werden - auch wenn du dann quasi immer die gleiche Antwort erhältst.

Nur als Beispiel:
"Mein" statisches /56er-Präfix beginnt mit 2a02:8106:..., während die WAN-IPv6 der FritzBox mit 2a02:8108:... beginnt (also definitiv NICHT aus dem /56er-Bereich stammt).
Ich verwende auf der Außenseite der Firewall ein /64 Subnetz aus dem zugewiesenen /56-er Bereich. Default Route geht zu fe80::1 und braucht nicht per DHCPv6 angefragt werden. Somit ist auf der Außenschnittstelle eine feste IPv6-Adresse aus demselben fest zugewiesenen Bereich vorhanden. Um die Konfiguration der Firewall zu vereinfachen, nehme ich für die Innenseite die Subnetze aus dem /57-er Bereich, in dem die Außen-IPv6 nicht enthalten ist, was immer noch genug /64 Subnetze ergibt. Ohne DHCPv6 mit IA_PD geht es natürlich nicht.

Beispiel:
Es wird 2a02:8106:2345:6700::/56 von Vodafone zugewiesen.
Auf der Außenseite wird die 2a02:8106:2345:6700::1/64 verwendet.
Auf der Innenseite 2a02:8106:2345:6780::/64, 2a02:8106:2345:6781::/64 usw.

Bei IPv6 benötigt man auf der Außenseite eine routable IPv6-Adresse nur wenn die Firewall selbst dort von außen erreichbar sein soll, weil Dienste (VPN usw.) auf dieser erreicht werden müssen oder diese Dienste nach außen zugreifen müssen. Werden alle Dienste auf der Innenseite betrieben, reicht auf der Firewall-Außenseite auch eine lokale fe80:: Adresse.
Zuletzt geändert von petertxt am 27.08.2019, 20:10, insgesamt 1-mal geändert.

petertxt
Fortgeschrittener
Beiträge: 261
Registriert: 25.01.2009, 01:30

Re: Vodafone Business feste IPv6 ?

Beitrag von petertxt » 27.08.2019, 19:55

.

sch4kal
Kabelexperte
Beiträge: 594
Registriert: 22.03.2018, 15:14

Re: Vodafone Business feste IPv6 ?

Beitrag von sch4kal » 27.08.2019, 20:49

Was meinst du mit Außenbereich ? Die DMZ ?
Die Firewall selbst bekommt via IA_NA eine eigene, routbare IPv6 Adresse aus einem gesonderten Bereich zugewiesen, wie reneromann schon sagte. Diese Adresse ändert sich übrigens, wie das /56er Präfix, auch nicht.

petertxt
Fortgeschrittener
Beiträge: 261
Registriert: 25.01.2009, 01:30

Re: Vodafone Business feste IPv6 ?

Beitrag von petertxt » 27.08.2019, 21:03

Die IA_NA Anfrage habe ich deaktiviert. Als ich das Ganze vor Jahren einrichtete, bekam man durch IA_NA keine feste IPv6-Adresse. Dann weise ich auf der Außenseite der Firewall (die Schnittstelle, die ans Kabelmodem angeschlossen ist) fest die eine IPv6 aus dem IA_PD Pool zu. Vodafone ist es egal, wie man die IPs aus dem Pool zuweist. Solange eine IA_PD Anfrage statt gefunden hat, werden alle IPs aus dem Pool zu der Firewall geroutet und von dort für die Weiterleitung angenommen.

reneromann
Insider
Beiträge: 4446
Registriert: 28.06.2015, 13:26

Re: Vodafone Business feste IPv6 ?

Beitrag von reneromann » 27.08.2019, 23:35

Du darfst der WAN-Seite vom deinem Router KEINE Adresse aus dem PD-Pool zuweisen!
Die WAN-Seite deines Routers/der Firewall muss ZWINGEND die vom DHCP vorgegebene IPv6 benutzen, welche NICHT innerhalb des PD-Bereichs liegt.

Denn mit IA_PD erstellst du im (fremden) Router einen passenden Routeneintrag. Dafür darf aber die Zieladresse (WAN-Adresse) nicht innerhalb des weitergeleiteten Bereichs liegen, weil ansonsten der Routeneintrag ungültig wird.

Auf IPv4 gesehen wäre das folgende Konstellation:
Du hast ein /24er IPv4-Netz - das steht dir komplett für dein internes Netz zu. Der Provider muss jetzt aber wissen, wo er Pakete, die an eine der IPv4-Adressen innerhalb des Subnetzes gesendet werden. Und zwar so, dass er bei sich einen Routeneintrag der Gestalt erzeugen kann:
*.*.*.0/24 via IP-Adresse (1.2.3.4). Und diese IP-Adresse ist dann die externe IPv4 deines Routers...

petertxt
Fortgeschrittener
Beiträge: 261
Registriert: 25.01.2009, 01:30

Re: Vodafone Business feste IPv6 ?

Beitrag von petertxt » 28.08.2019, 00:46

Wenn du jetzt vom Vodafone-Router sprichst, ist es ja richtig, dass der alle IPs aus dem zugewiesenen /56 zu meiner Firewall sendet, so wie mit dem IA_PD gelernt. Ob eine dieser IPs auf der Schnittstelle zum Kabelmodem verwendet wird, macht keinen Unterschied. Auch diese Pakete müssen zu meiner Firewall gesendet werden. Ich sehe nicht, wo das Problem sein soll. Das läuft so problemlos seit Jahren.

Der Vodafone-Router sendet die IPv6 Pakete zu der MAC-Adresse, von der IA_PD Request kam. Da wird nirgendwo eine Router-IPv6 oder Ähnlich verwendet, so dass die Firewall, wie erwähnt, gar keine routbare IPv6 benötigt. In den IP Paketen werden ja nur die Source- und Destination-IPv6 angegeben, keine Router-IPv6.

Bei IPv4 ist das anders, da der Router das Routing zu der MAC-Adresse der Firewall nicht aus dem IA_PD Request lernen kann.