Subdelegation /64-WAN-Prefix an LAN

[Rougu]

Hallo,

beim Versuch mit LCOS 9.04.0129RU3 an einem 1780AW-4G ein Providerseitig zugeteiltes /64 IPv6-Netz transparent an die DMZ weiterzugelegieren, stoße ich auf eine Hürde.

Hintergrund: Der mobile Router soll über das WAN-Interface eventuell vorhandene IPv4-/IPv6-Uplinks nutzen können und den Benutzern in der DMZ transparente IPv6-Konnektivität bieten. Dabei kann es leicht vorkommen, dass der IPv6-Link am WAN-Interface des 1780 aus einem bereits subdelegierten Netz besteht und nur ein /64 Prefix hat.


Setup:

client |-------DMZ--------| LC1780 |-WAN-----------------GastLAN--| ISP-Rtr |--------ISP-Uplink-------


Wenn nun aus der DMZ ein ping6 versucht wird, geht die Anfrage per link-local an den next-hop (ISP-Router), von dort zum Ziel.
Die Antwort kommt via ISP-Router an die WAN-Schnittstelle des LC1780, wird dort aber geblockt:

Die Quelle des ICMPv6-echo-requests sitzt in der DMZ.
Die NeigborDiscovery zwischen LC1780 und ISP-Rtr findet auf der WAN-Seite des LC1780 statt.

Das ND aber streng link-local abläuft, wird die ND (src = link-local von ISP-Rtr, dst = solicited node multicast addr des clients)
geblockt (trace: IPv6-Router error: discarded, received multicast for not joined group)

Fred Baker von Cisco hatte diesen Fall einmal beschrieben und gesagt, dass die WAN-Seite in einem solchen Fall als ND-Proxy für Nodes auf anderen Interfaces arbeiten müsste.

Gibt es einen Workaround für das obige Problem?
Kann ich ein /64-Prefix auf die DMZ oder ins Intranet delegieren?

Gruß,

Rougu



Ref:

https://tools.ietf.org/html/draft-baker ... egation-00
Internet-Draft Prefix Sub-delegation July 2009

2.2 Single-router network assigned a /64

The simplest residential case, that of Figure 1, is that of an
apartment or single family dwelling whose upstream provider delegates
a single /64 to it. Such a SOHO probably has multiple internal LANs
(wired and wireless), and uses a single residential CPE router. In
this case, there are few choices. As described in passing in
[RFC2460] in that a prefix can be assigned to a "set of interfaces",
the CPE Router uses the delegated prefix on all of its non-upstream
interfaces, and tracks the location of various devices on its LANs.

For external routing, it assigns a single default route to its
upstream router.

There are some complexities in this architecture, as it doesn't scale
well to add even a second router. While a single CPE router can
track the addresses allocated by other devices, it will be forced to
proxy for them in Neighbor Discovery [RFC4862]; it will respond to a
Neighbor Solicitation for a device on another interface, including a
device using a link-local address. This will create issues in Secure
Neighbor Discovery [RFC3971], in that it will not have the private
key of the device it is proxying for. However, it can enable the
connection of devices on its various LANs by this means. Vendor
implementations may well choose to implement this using IEEE 802.1
technology for simplicity, to make it appear to be one interface to
the software.

[backslash]

Hi Rougu,

Fred Baker von Cisco hatte diesen Fall einmal beschrieben und gesagt, dass die WAN-Seite in einem solchen Fall als ND-Proxy für Nodes auf anderen Interfaces arbeiten müsste.

und genau das ist das Problem... Der LANCOM hat momentan keinen ND-Proxy...
Damit IPv6 funktioniert muß es mindestens einen Prefix geben, der vom WAN ins LAN delegiert werden kann, d.h. dem WAN darf maximal ein /63-Prefix zugewiesen werden.

Gruß
Backslash

[langewiesche]

ich habe gerade das problem mit einen hybrid anschluss.