IPv6 nach IPv4 NAPT
Moderator: Lancom-Systems Moderatoren
IPv6 nach IPv4 NAPT
Hallo
Mein 1781EF+ (aktuellste Firmware) hat z.Z. eine feste IP auf der WAN Seite. Mit dieser IP und unterschiedlichen Ports kann ich auf der LAN Seite verschiedene Komponenten erreichen. Es normales NAPT also. Jetzt kommt so langsam die Notwendigkeit auf IPv6 zu können. Leider gibt es noch ältere Komponenten im LAN die kein IPv6 können und auch nicht ersetzt werden sollen im Augenblick.
Meine Frage daher ist es möglich ein IPv6 nach IPv4 NAPT zu realisieren und wie stelle ich dies an?
Gruß
Marcus
Mein 1781EF+ (aktuellste Firmware) hat z.Z. eine feste IP auf der WAN Seite. Mit dieser IP und unterschiedlichen Ports kann ich auf der LAN Seite verschiedene Komponenten erreichen. Es normales NAPT also. Jetzt kommt so langsam die Notwendigkeit auf IPv6 zu können. Leider gibt es noch ältere Komponenten im LAN die kein IPv6 können und auch nicht ersetzt werden sollen im Augenblick.
Meine Frage daher ist es möglich ein IPv6 nach IPv4 NAPT zu realisieren und wie stelle ich dies an?
Gruß
Marcus
-
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: IPv6 nach IPv4 NAPT
NAT64 - wobei ich jetzt nicht glaube das der LANCOM das kann. Wir setzen dazu einen Windows Server 2012 R2 ein...
Re: IPv6 nach IPv4 NAPT
Hi Christoph_vW
alle RFCs zum Thema NAT64 oder artverwandten "Schweinereien" haben mittelweile den Status deprecated - und das aus gutem Grund...
@marc10k
wenn die Komponenten nicht ersetut werden können, dann mußt du sie halt weiterhin mit IPv4 betreiben. Ich frage mich nur, wieso du diese Komponenten direkt aus dem Internet erreichbar hast - denn wenn sie nicht ersetzbar sind und auch keine Möglichkeit eines Updates auf IPv6 gibt bezweifle ich, daß es dafür Security-Updates gibt... Daher sollten solöche Syteme aus dem Internet gar nicht erreichbar sein. Weder über ein NA(P)T für IPv4 noch über ein NAT64...
Gruß
Backslash
alle RFCs zum Thema NAT64 oder artverwandten "Schweinereien" haben mittelweile den Status deprecated - und das aus gutem Grund...
@marc10k
wenn die Komponenten nicht ersetut werden können, dann mußt du sie halt weiterhin mit IPv4 betreiben. Ich frage mich nur, wieso du diese Komponenten direkt aus dem Internet erreichbar hast - denn wenn sie nicht ersetzbar sind und auch keine Möglichkeit eines Updates auf IPv6 gibt bezweifle ich, daß es dafür Security-Updates gibt... Daher sollten solöche Syteme aus dem Internet gar nicht erreichbar sein. Weder über ein NA(P)T für IPv4 noch über ein NAT64...
Gruß
Backslash
Re: IPv6 nach IPv4 NAPT
Vielen Dank für die Antworten. Mit der WAN Seite habe ich mich etwas unglücklich ausgedrückt. Der WAN Port wird als Zugang zum 1 IP Router verwendet und übersetzt an die LAN Ports. Der Router befindet sich in einem sicheren LAN (Kundennetz) und ist nicht mit dem Internet verbunden.
Wenn alle RFCs in dieser Hinsicht nicht mehr gültig sind, gibt es dann keine RFC konforme Möglichkeit mehr dies zu bewerkstelligen?
Marcus
Wenn alle RFCs in dieser Hinsicht nicht mehr gültig sind, gibt es dann keine RFC konforme Möglichkeit mehr dies zu bewerkstelligen?
Marcus
-
- Beiträge: 282
- Registriert: 02 Mai 2011, 09:47
- Wohnort: Berlin
- Kontaktdaten:
Re: IPv6 nach IPv4 NAPT
@Backslash
NAT64 haben wir nur noch im Einsatz, weil die Router eines deutschen Netzwerkausrüsters aus der Region Aachen immer noch kein IPv6 VPN können...
http://web.archive.org/web/201208261525 ... ebersicht/
Voraussichtlich 2012:
•IPv6 VPN
...
NAT64 haben wir nur noch im Einsatz, weil die Router eines deutschen Netzwerkausrüsters aus der Region Aachen immer noch kein IPv6 VPN können...
http://web.archive.org/web/201208261525 ... ebersicht/
Voraussichtlich 2012:
•IPv6 VPN
...
Re: IPv6 nach IPv4 NAPT
Hi Christoph_vW
Gruß
Backslash
nun ja, du kannst statt einen NAT64-Server zu nuten auch einen 6in4-Tunnel über die (IPv4-) VPN-Stecke legen und hats dann direkten - und vor allem: transparenten - IPv6-Zugriff... Und das geht mit den Bordmitteln eines LANCOMsNAT64 haben wir nur noch im Einsatz, weil die Router eines deutschen Netzwerkausrüsters aus der Region Aachen immer noch kein IPv6 VPN können...
da hat man sich damals wohl etwas zu weit aus dem fenster gelegt
Gruß
Backslash
Re: IPv6 nach IPv4 NAPT
Hi backslash,
kannst Du mir vielleicht kurz auf die Sprünge helfen wie man ein 6in4Tunnel über VPN einrichtet? Ich habe auf einer Seite DualStack, auf der anderen nur IPv4.
Kann ich /56er Netz auf der DualStack Seite aufteilen und einen Teil davon an die IPv4 Seite vergeben?
Muss ich auf beiden Seiten einen 6in4Tunnel anlegen der auf die jeweils andere Seite zeigt?
Welche interne IPv4 Adresse sollte ich nehmen (neuen Adressbereich, DMZ, ...)?
Routing und Firewall für VPN muß jeweils auf die Gegenseite zeigen nehme ich an.
Vielen Dank
crowstone
kannst Du mir vielleicht kurz auf die Sprünge helfen wie man ein 6in4Tunnel über VPN einrichtet? Ich habe auf einer Seite DualStack, auf der anderen nur IPv4.
Kann ich /56er Netz auf der DualStack Seite aufteilen und einen Teil davon an die IPv4 Seite vergeben?
Muss ich auf beiden Seiten einen 6in4Tunnel anlegen der auf die jeweils andere Seite zeigt?
Welche interne IPv4 Adresse sollte ich nehmen (neuen Adressbereich, DMZ, ...)?
Routing und Firewall für VPN muß jeweils auf die Gegenseite zeigen nehme ich an.
Vielen Dank
crowstone
Re: IPv6 nach IPv4 NAPT
Hi crowstone,
Wenn du noch IPv4-only-Geräte nutzt, dann mußt du sie auch nativ per IPv4 ansprechen...
Gruß
Backslash
Ein 6in4-Tunnel hat nichts mit NAT64 oder anderen Umsetzungen zu tun... Ein 6in4-Tunnel dient einzig dazu zwei native IPv6-Netze über eine IPv4-Wolke (aka Internet) zu koppeln. Und nein: du kannst das /56er-Netz nicht aufteilen um einen Teil davon für IPv4 zu nutzen...kannst Du mir vielleicht kurz auf die Sprünge helfen wie man ein 6in4Tunnel über VPN einrichtet? Ich habe auf einer Seite DualStack, auf der anderen nur IPv4.
Kann ich /56er Netz auf der DualStack Seite aufteilen und einen Teil davon an die IPv4 Seite vergeben?
Wenn du noch IPv4-only-Geräte nutzt, dann mußt du sie auch nativ per IPv4 ansprechen...
Gruß
Backslash
Re: IPv6 nach IPv4 NAPT
Hi Backslash,
Danke für Deine schnelle Antwort.
Beide Geräte sind IPv6-fähig, nur nicht beide Anschlüsse. An einem 1722 läuft der DualStack, an einem 1780EW3G der IPv4only. Und an letzerem hatte ich in letzter Zeit einen 6to4Tunnel über Hurricane. Nur war zum einen dessen Performance eher bescheiden, zum anderen steht zwischen den Geräten sowieso ein VPN4-Tunnel.
Natürlich will ich auch kein IPv6/56er Netz für IPv4 Nutzen, ich hatte versucht es so aufzuteilen das erstmal jeder der beiden Standorte ein /60er Netz bekommt (lokal wiederum aufgeteilt in 64er Netze analog der IPv4er Netzte) und IPv6 über den IPv4 Tunnel weitergelitten wird.
Anyway, dem Trace nach steht der Tunnel nur Daten laufen scheinbar keine, daher die Frage. Und wenn ich total danebenliege weil es nicht geht nehme ich wieder Hurricane.
Viele Grüße,
crowstone
Danke für Deine schnelle Antwort.
Beide Geräte sind IPv6-fähig, nur nicht beide Anschlüsse. An einem 1722 läuft der DualStack, an einem 1780EW3G der IPv4only. Und an letzerem hatte ich in letzter Zeit einen 6to4Tunnel über Hurricane. Nur war zum einen dessen Performance eher bescheiden, zum anderen steht zwischen den Geräten sowieso ein VPN4-Tunnel.
Natürlich will ich auch kein IPv6/56er Netz für IPv4 Nutzen, ich hatte versucht es so aufzuteilen das erstmal jeder der beiden Standorte ein /60er Netz bekommt (lokal wiederum aufgeteilt in 64er Netze analog der IPv4er Netzte) und IPv6 über den IPv4 Tunnel weitergelitten wird.
Anyway, dem Trace nach steht der Tunnel nur Daten laufen scheinbar keine, daher die Frage. Und wenn ich total danebenliege weil es nicht geht nehme ich wieder Hurricane.
Viele Grüße,
crowstone