IPV6 mit Präfix vom Provider und eigenem DNS

[averlon]

Hi,

ich habe jetzt erfolgreich IPV6 in meinem Netzwerk konfiguriert. Klar, es fehlen noch Dinge. Aber Rom ....

Problem:

Ich nutze den Präfix, der mir von meinem Provider gegeben wird.

Unter IPV6/Router-Advertisement/Präfix-Liste habe ich z.B.:

Code: Alles auswählen

add  "IP6_INTRANET"    "::/64"                                     {Subnet-ID}  "1"                 {Adv.-OnLink}  Yes         {Adv.-Autonomous}  No              {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  3600                {Adv.-Valid-Lifetime}  21600               {DecrementLifetimes}  No

Unter IPV6/DHCPv6/Adress-Pools ist z.B. definiert:

Code: Alles auswählen

add  "IPV6_POOL_INTRANET"             "0:0:0:1::1"                             "PROVIDER"        {End-Address-Pool}  "0:0:0:1::1"                            {Pref.-Lifetime}  300            {Valid-Lifetime}  1800

Womit sich dann aus Präfix und Subnet-ID die IPV6-Adresse bildet. Da alle Geräte über Reservierungen ihre IPV6-Adresse bekommen, ist die dann auch bis auf den Präfix immer gleich.

Das funktioniert mittlerweile problemlos.

Jetzt habe ich auch noch einen DNS-Server (Bind9) laufen. Hier würde ich gerne die AAAA-Adressen eintragen.

Das funktioniert aber nicht, weil sich der Präfix ja ändern kann.

Ich fürchte also, ich muss mit einem eigenen Präfix arbeiten. Sowas wie "fd00......".

Da stehe ich jetzt gerade etwas auf dem Schlauch wie ich das mache. Ich suche eine Anleitung dazu. Oder ginge das mit dem vom Provider delegierten Präfix und eigenem DNS auch irgendwie?

[backslash]

Hi averlon

Ich fürchte also, ich muss mit einem eigenen Präfix arbeiten. Sowas wie "fd00......".

Da stehe ich jetzt gerade etwas auf dem Schlauch wie ich das mache.

da lautet das Stichwort NPTv6... Damit mappst du die ULAs aus deinem Netz auf den vom Provider zugewiesenen Prefix.
Dazu trägst du unter Firewall -> IPv6 -> NPTv6 für deine Internet-Verbindung das gewünschte Mapping ein. Beim Quell-Präfix gibst du Die Prefixlänge an, die der von deinem Provider zugewiesenen Prefix hat, z.B. fd00::/48. als gemapptes Prefix trägst du "::" ein, ebenfalls zusammen mit der vom Provider zugewiesene Prefixlänge, also z.B. ::/48. Dann werden deine Subnetze zum Internet hin in den zugewiesenen Prefix gemappt.

Beachte, daß NPTv6 das Mapping nicht 1:1 durchführt, sondern in die gemappte Adresse einen Wert eincodiert, der dafür sorgt, daß sich die Prüfsummen der IP-Pakete nicht ändern. Wenn dir der Provider z.B. den Prefix 2001:db8:aaaa::/48 zugeweisen hat, dann wird fd00:0:0:1::1 nicht zu 2001:db8:aaaa:1::1, sondern 2001:db8:aaaa:xxxx::1 - xxxx enthält die Subnet-ID sowie die Prüfsummenanpassung. Das Mapping ist aber in jedem Fall eindeutig

Oder ginge das mit dem vom Provider delegierten Präfix und eigenem DNS auch irgendwie?

da müßten alle deine Rechner mitspielen und dem DNS-Server ihren Namen und die gerade aktuelle IP-Adresse mitteilen...
Solange du nur eine einziges Netz hast, kannst du natürlich auch mit "linklokalen" Adressen (fe80::xx) arbeiten...

Gruß
Backslash

[sixty]

Beachte, daß NPTv6 das Mapping nicht 1:1 durchführt, sondern in die gemappte Adresse einen Wert eincodiert, der dafür sorgt, daß sich die Prüfsummen der IP-Pakete nicht ändern. Wenn dir der Provider z.B. den Prefix 2001:db8:aaaa::/48 zugeweisen hat, dann wird fd00:0:0:1::1 nicht zu 2001:db8:aaaa:1::1, sondern 2001:db8:aaaa:xxxx::1 - xxxx enthält die Subnet-ID sowie die Prüfsummenanpassung. Das Mapping ist aber in jedem Fall eindeutig

Ist das irgendwo ausführlich dokumentiert?
Ich habe z.B. einen Fall mit ca 50 VLANs/Subnetzen.
Die Adressen sind im Moment fd00:0:0:ss::1 (ss ist die VLAN- bzw. Subnetz-ID).
Wie kann ich erreichen, daß alle Hosts in allen Subnetzen nach außen gültige Adressen bekommen?
Kann ich z.B. die Netze zu fd00:0:0:ss01::1/56 renumbern und erhalte dann 2001:db8:aaaa:ssxx:xx00::1?

[averlon]

da lautet das Stichwort NPTv6...
Gruß
Backslash

Hi @backslash,
danke für die Antwort.

Ich habe das mal in der FW eingetragen. Noch tut sich bei mir, also bei den vergebenen IPV6-Adresse nix.

Muss ich da evtl. beim DHCPV6-Adresspool noch was ändern, dass der irgendwie auf "fd00...." umgestellt werden muss ?

Sowas wie:

Code: Alles auswählen

add  "IPV6_POOL_INTRANET"             "fd00:0:0:1::1"                             "PROVIDER"        {End-Address-Pool}  "fd00:0:0:1::1"                            {Pref.-Lifetime}  300            {Valid-Lifetime}  1800

Sonst fehlt mir da noch was im roten Faden!

[backslash]

Hi sixty

Ist das irgendwo ausführlich dokumentiert?

Das ist im RFC zu NPTv6 so festgeschrieben: siehe https://www.rfc-editor.org/rfc/rfc6296 (Kapitel 3)

Gruß
Backslash

[averlon]

Hallo backslash,
a) RFC ist ja gut und schön, aber mir zumindest fehlen sehr oft die praktischen Anwendungsbeispiele.
Deshalb habe ich ja auch sehr lange an dem IPV6-Thema "fummeln" müssen.
Auch die LCOS Doku listet ja oft nur die Screens mit ihren Feldern auf.
Witzig, oder auch nicht witzig, finde ich dann immer so Aussagen wie z.B. für ein Feld "IP-Adresse", "Hier muss die IP-Adresse eingetragen werden". Ja, das kann man vermuten, wenn das Feld IP-Adresse heißt. Aber was tut das Ding?

Und selbst wenn es eine weitergehende Erklärung für ein Feld gibt fehlt sehr oft der Gesamtzusammenhang bzw. das Anwendungsbeispiel.

Ich weiß, Dokumentation ist ein sehr schwieriges Thema. Aus meiner Sicht bei so komplexen Themen wie z.B. IPV6 aber einfach essentiell.

Beispiel: Bei IPV6 ist wohl in den RFCs definiert, dass "2001:db8" für Dokumentationszwecke zu verwenden ist. Sehr schön. Aber manchmal braucht ein Anfänger eben eine konkret Anweisung: "hier kann man "fd00::" eintragen, dann passiert .....". Sowas kann ein Anfänger dann praktisch umsetzen und es funktioniert (wenn es richtig gemacht wird).

Unabhängig davon, ist deine Hilfe natürlich unbezahlbar!

b) du hast sicherlich noch meine Frage weiter oben gesehen!

[Frühstücksdirektor]

Ich verstehe nicht, warum die meisten nicht mal einen Blick in die Knowledgebase werfen. Das ist der richtige Ort für "Szenarien" und "Schritt-für-Schritt-Anleitungen".

Dort wird man fündig zu NPTv6, DHCPv6, ULAs etc.

[backslash]

Hi Averlon

hier die Links aus der KB:

NPTv6: https://support.lancom-systems.com/know ... d=78479773
DHCP: https://support.lancom-systems.com/know ... n+Netzwerk

wenn du ULAs der Form fd00:0:0:1::... verwendest, dann mußt du halt den Pool passend konfiguriueren - und vor allem die PD-Quelle löschen:

Code: Alles auswählen

add  "IPV6_POOL_INTRANET"     {Start-Address-Pool} "fd00:0:0:1::100"   {PD-Source}  ""   {End-Address-Pool}  "fd00:0:0:1::200"   {Pref.-Lifetime}  300  {Valid-Lifetime}  1800

Gruß
Backslash

[averlon]

Hallo backslash,

a) danke für die Links. Helfen aber leider nicht, weil sie, wie ich schon geschrieben hatte, nur einen einfachen Teil beschreiben.
b) das mit dem Pool hatte ich schon gemacht, hat aber nicht gewirkt.
c) da ich alle !!alle!! IPV4 und IPV6 Adressen via Reservierungen vergebe vermute ich, dass ich die Reservierungen auch noch anpassen muss.
Habe ich gerade mal gemacht. Mal sehen, ob es jetzt wirkt.

Falls es jetzt wirkt zeigt das, dass die KB eben doch nur einfache Fälle beschreibt. Mal sehen.

[averlon]

Hallo backslash,
jetzt bekomme ich wieder vermehrt "Intrusion Detection"-Meldungen.
Gut, ist so konfiguriert, dass die Nachrichten trotzdem übertragen werden - aber trotzdem.

Außerdem ist mir jetzt noch nicht ganz klar, unter welcher Adresse ich meine Geräte von außen erreichen kann bzw. ob NPTv6 überhaupt was tut.

Code: Alles auswählen

PACKET_ALERT: Dst: 2a06:98c1:50::ac40:2082:53, Src: fd03:c4:ef1f:8c01::8:57708 {f42252vm} (UDP): intrusion detection

Bevor ich auf fd00 umgestellt habe, waren die nicht da. Gut, da hatten die Geräte ja auch den vom Provider bereitgestellten Präfix.

[backslash]

Hi averlon,

jetzt bekomme ich wieder vermehrt "Intrusion Detection"-Meldungen.

IDS-Meldungen deuten darauf hin, daß du irgendwas nicht korrekt konfiguriert hast - die kommen immer dann, wenn die Route zur Quell-Adresse eines Pakets nicht auf das Interface zeigt, über das das Paket empfangen wurde

In deinem Beispiel ist die Quell-Adresse fd03:c4:ef1f:8c01::8:57708, d.h. der Rechner in deinem LAN meint er hat als Präfix fd03:c4:ef1f:8c01::/64.
Diesen Präfix mußt du mußt deinem lokalen Netz auch explizit zuweisen (unter IPv6 -> Allgemein -> IPv6-Netzwerke -> IPv6-Adressen). Es reicht nicht, wenn der Präfix unter Router-advertisement -> Präfix_Liste steht...
Aber warum ist der so "krumm" Hast du wirklich die ULA nach der Berechnungsformel aus dem RFC für ULAs berechnet? Ich hätte für mein lokales Netz ja einfach fd00:0:0:subnetz-id::/64 gewählt... und die Subntz-ID durchnumeriert (jedes LAN bekommt eine andere - und natürlich auch über VPN angebundene Netze)

unter welcher Adresse ich meine Geräte von außen erreichen

das kannst du dir anhand der Berechnungsvorschrift im NPTv6-RFC ausrechen - das ändert sich aber jedes mal, wenn der Provider einen neuen Präfix zuweist und ist daher nicht wirklich praktikabel...
Am einfachsten nutzt du einen Dyndns-Provider und führst die Anmeldung über die Aktionstabelle durch - die berechnet dabei den korrekt umgesetzten Präfix... beachte dabei auch fragen-zum-thema-ipv6-f46/wie-generiere ... 19775.html

Gruß
Backslash

[averlon]

Diesen Präfix mußt du mußt deinem lokalen Netz auch explizit zuweisen (unter IPv6 -> Allgemein -> IPv6-Netzwerke -> IPv6-Adressen). Es reicht nicht, wenn der Präfix unter Router-advertisement -> Präfix_Liste steht...

Habe ich natürlich gemacht:

Code: Alles auswählen

add  "IP6_DMZ"         "fd00::/64"                                 {Subnet-ID}  "2"                 {Adv.-OnLink}  Yes         {Adv.-Autonomous}  Yes             {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  3600                {Adv.-Valid-Lifetime}  21600               {DecrementLifetimes}  No
add  "IP6_INTRANET"    "fd00::/64"                                 {Subnet-ID}  "1"                 {Adv.-OnLink}  Yes         {Adv.-Autonomous}  Yes             {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  3600                {Adv.-Valid-Lifetime}  21600               {DecrementLifetimes}  No
add  "IP6_NAS"         "fd00::/64"                                 {Subnet-ID}  "6d"                {Adv.-OnLink}  Yes         {Adv.-Autonomous}  Yes             {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  3600                {Adv.-Valid-Lifetime}  21600               {DecrementLifetimes}  No
add  "IP6_VIDEO"       "fd00::/64"                                 {Subnet-ID}  "70"                {Adv.-OnLink}  Yes         {Adv.-Autonomous}  Yes             {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  3600                {Adv.-Valid-Lifetime}  21600               {DecrementLifetimes}  No
add  "IP6_WLAN"        "fd00::/64"                                 {Subnet-ID}  "6f"                {Adv.-OnLink}  Yes         {Adv.-Autonomous}  Yes             {PD-Source}  "PROVIDER"        {Adv.-Pref.-Lifetime}  3600                {Adv.-Valid-Lifetime}  21600               {DecrementLifetimes}  No

Code: Alles auswählen

cd /Setup/IPv6/Network/Addresses 
del *
#    Interface-Name    IPv6-Address-Prefixlength                    Address-Type                  Network-Group     Comment                                                         
#    ===============================================================----------------------------------------------------------------------------------------------------------------
add  "IP6_DMZ"         "fd00:0:0:2::1/64"                          {Address-Type}  Delegated-DHCPv6             {Network-Group}  "NG_DMZ"         {Comment}  ""
add  "IP6_INTRANET"    "fd00:0:0:1::1/64"                          {Address-Type}  Delegated-DHCPv6             {Network-Group}  "NG_INTRANET"    {Comment}  ""
add  "IP6_NAS"         "fd00:0:0:6d::1/64"                         {Address-Type}  Delegated-DHCPv6             {Network-Group}  "NG_NAS"         {Comment}  ""
add  "IP6_WLAN"        "fd00:0:0:6f::1/64"                         {Address-Type}  Delegated-DHCPv6             {Network-Group}  "NG_WLAN"        {Comment}  ""

unter welcher Adresse ich meine Geräte von außen erreichen
das kannst du dir anhand der Berechnungsvorschrift im NPTv6-RFC ausrechen - das ändert sich aber jedes mal, wenn der Provider einen neuen Präfix zuweist und ist daher nicht wirklich praktikabel...
Am einfachsten nutzt du einen Dyndns-Provider ....

Ja, mache ich ja schon über DYNDNS und Action Tabelle.

Da erscheint logischerweise auch eine IPV6-Adresse im DNS. Das ist aber i.d.R. die von meinem Router.

Ich muss jetzt noch testen wie sich die einzelnen Geräte nach außen melden und wie ich die (z.B. meine Webserver in der DMZ) dann von außen erreichen kann, was sich also im entsprechenden DYNDNS-Eintrag findet und ob das dann auch funktioniert.

Um beim Beispiel oben zu bleiben ist der "fd03:c4:ef1f:8c01::8", also eigentlich der Rechner 1::8 einer wo ich vermuten würde, dass der sich im DYNDSN mit <präfix des providers>1::8 meldet. Ich muss das noch prüfen.

Und ja, die IDS-Meldungen zeigen irgendeine falsche Konfiguration. Für mich sieht die Meldung aber korrekt aus.

Da kommt dann auch noch:

Code: Alles auswählen

PACKET_INFO: filter info: packet received from invalid interface IP6_INTRANET

was aber korrekt wäre!

Fazit, ich bin noch nicht am Ziel - komme dem aber näher!

[backslash]

Hi averlon

alle deine Netze enthalten fd03:c4:ef1f:8c01::/64 NICHT, du hast nur die Netze fd00:0:0:1::/64, fd00:0:0:2::/64, fd00:0:0:6d::/64, fd00:0:0:6f::/64 und , fd00:0:0:70::/64. Daher schlägt das IDS korrekterweise an...

Das Problem ist (vermutlich), daß du bei den Adressen als Addreß-Type "Delegated-DHCPv6" eingetragen hast - da muß für ULAs "unicast" ausgewählt werden...
Außerdem hast du in den Präfix-Optionen die PD-Source immer noch auf "PROVIDER" stehen - laut der Knowledge-Base (https://support.lancom-systems.com/know ... d=78479773) muß die PD-Source leer bleiben.
Beides führt dazu, daß da noch eine Magie mit dem vom Provider zugewiesenen Präfix gemacht wird.

Gruß
Backslash

[averlon]

Dann muss der "PROVIDER" wohl überall raus. Auch bei den Reservierungen.

Probiere ich mal.

[averlon]

Update:
habe es (fast) gefunden!

Es muss für jedes Subnet ein NPT6-Eintrag vorhanden sein:

Code: Alles auswählen

ls NPTV6/

Interface-Name    source-prefix                                mapped-prefix
===============================================================-------------------------------------------
PROVIDER           fd00:0:0:1::/64                              ::/64
PROVIDER           fd00:0:0:2::/64                              ::/64
PROVIDER           fd00:0:0:6d::/64                             ::/64
PROVIDER           fd00:0:0:6f::/64                             ::/64
PROVIDER           fd00:0:0:70::/64                             ::/64

Ein ein einzelner Eintrag "fd00::/64 nach ::/64" funktioniert nicht!

Aber: Jetzt klappt zwar outbound, aber inbound klappt nicht:

Code: Alles auswählen

[IPv6-Firewall] 2024/02/04 15:44:15,136  Devicetime: 2024/02/04 15:44:14,876 [info] : 
The packet below, received from PROVIDER scope global
Internet Protocol Version 6
  Payload length: 40
  Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Next header: TCP (6)
  Hop limit: 55
  Source: 2a01:599:921:4bc5:e8d1:3fa:10d4:fe09
  Destination: 2003:c4:ef2d:2700:c60d::2
Transmission Control Protocol
  Source port: 50922
  Destination port: 80
  Sequence number: 556993239
  Acknowledgement number: 0
  Header length: 40 bytes
  Code bits: SYN 
  Window size: 65535
  Checksum: 0x6214
  Urgent pointer: 0
matched inbound NPTv6 on PROVIDER
  map destination to fd00:0:0:1:1::2
matched FORWARDING rule ALLOW-VPN
no matching conditions, test next rule
matched FORWARDING rule DENY-ALL
OK

Das mapping scheint nicht zu klappen: "fd00:0:0:1:1::2" müsste nach meiner Meinung "fd00:0:0:2::2" lauten.