zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht

[averlon]

Hallo,
bei ipv4 kann man die Netzwerke mit Interface und VLAN definieren.

Hier ist es möglich zwei Netzwerk mit gleichem Interface mit VLAN "0" (also kein VLAN) zu definieren.

Bei IPV6 wird das als Fehler zurückgewiesen!

Ich würde gerne mehrere Netzwerke definieren, mit unterschiedlichen IP-Bereichen, die kein VLAN nutzen - warum geht das bei IPV6 nicht?

[backslash]

Hi averlon

warum geht das bei IPV6 nicht?

doch, das geht schon, ist aber etwas "erschwert" worden, weil sich bei IPv6 Netze (auch verschiedene!) auf dem gleichen VLAN direkt sehen - das ist so in den IPv6-RFCs definiert. Sie sind "on-link" und somit wird ein IPv6-Router immer ein Redirect (selbst in das andere Netz!) senden und so z.B. eine Trennung über Routing-Tags (oder Firewallregeln) "überwinden"...

Du kannst problemlos mehrere Netze auf dem gleichen Interface aufspannen, indem du unter IPv6 -> Allgemein -> IPv6-Netzwerke -> IPv6-Adressen einfach für ein Interface (z.B. "INTRANET") mehrere Einträge machst. Diese Einträge kannst du sogar entweder individuell benamen oder in einer benamten Gruppe zusammenfassen (beides über die Spalte "Netzwerk-Gruppe"), und in der Firewall referenzieren (Stationstyp "benamtes Netz")
Das Referenzieren von Netzen in einer Gruppe funktioniert i.Ü. auch, wenn die auf verschiednenen Interfaces sitzen

Gruß
Backslash

[averlon]

Hallo Backslash,
danke für die Antwort, aber das war nicht gemeint.
IPv6 -> Allgemein -> IPv6-Schnittstellen -> LAN-Schnittstellen.
Hier muss ich dem selbst vergebenen Interface-Namen eine Schnittstelle (LAN-1...) und ein VLAN zuweisen, oder eben "0".
Aber zweimal "0" beim gleichen Interface geht scheinbar nicht.

[backslash]

Hi averlon,

danke für die Antwort, aber das war nicht gemeint.

doch, genau das war gemeint..

Aber zweimal "0" beim gleichen Interface geht scheinbar nicht.

genau - weil das zwei mal das SELBE Interface wäre... geanu das habe ich dir auch im meinem Posting erkärt und auch gesagt, was tu tun kannst...

Du kannst auf EIN Interface MEHRERE Netze legen - und das ist am Ende genau das, was du willst.

Eine Trennung über Routing-Tags ist im IPv6 prinzipell bei Netzen, die auf dem SELBEN Link liegen, nicht möglich (anders als bei IPv4) - daher wird es auch nicht angeboten. Wenn du eine Trennung über Routing-Tags haben willst, mußt du mit VLANs (oder getrennten Ethernet-Ports) arbeiten

Gruß
Backslash

[averlon]

@backslash

mmh - das klappt bei mir nicht.

Das mit den IPv6-Adressen hatte ich ja schon.

cd /Setup/IPv6/Network/Addresses
del *
# Interface-Name IPv6-Address-Prefixlength Address-Type Network-Group Comment
# ===============================================================----------------------------------------------------------------------------------------------------------------
add "IP6_DMZ" "::2:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_DMZ" {Comment} ""
add "IP6_INTRANET" "::1:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_INTRANET" {Comment} ""
add "IP6_NAS" "::6d:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_NAS" {Comment} ""
add "IP6_VIDEO" "::70:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_VIDEO" {Comment} ""
add "IP6_WLAN" "::6f:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_WLAN" {Comment} ""

Den Zusammenhang zur Tabelle LAN-Schnittstellen verstehe ich noch nicht.
Dort wird doch nur definiert welche IP-Netzwerk es gibt, als z.B. "IP6_INTRANET" und auf welchem Interfache die sich melden "LAN-1" bzw. mit welchem VLAN.
Zweimal das gleiche Interface mit VLAN 0 wird abgelehnt.

Da ich gerade mal alle meine VLANs rausgeworfen habe - muss ich neu machen - sollten alle auf LAN-1 sein und VLAN 0 haben.
cd /Setup/IPv6/LAN-Interfaces
del *
# Interface-Name Interface-ID VLAN-ID Rtg-tag Autoconf Accept-RA Interface-Status Forwarding MTU Firewall DaD-Attempts RS-Count ND-Proxy Comment
# ==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add "IP6_INTRANET" {Interface-ID} LAN-1 {VLAN-ID} 110 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_DMZ" {Interface-ID} LAN-2 {VLAN-ID} 108 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_VIDEO" {Interface-ID} LAN-4 {VLAN-ID} 112 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_NAS" {Interface-ID} LAN-4 {VLAN-ID} 109 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_WLAN" {Interface-ID} LAN-3 {VLAN-ID} 111 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""

Das geht aber nicht.

Irgendwo habe ich noch einen Knoten im Gebälk!

[backslash]

Hi averlon,

Den Zusammenhang zur Tabelle LAN-Schnittstellen verstehe ich noch nicht.
Dort wird doch nur definiert welche IP-Netzwerk es gibt, als z.B. "IP6_INTRANET" und auf welchem Interfache die sich melden "LAN-1" bzw. mit welchem VLAN.
Zweimal das gleiche Interface mit VLAN 0 wird abgelehnt.

nein dort werden eben NICHT die Netzwerke definiert sondern nur die Interfaces...

Ein LAN-x und ein VLAN sind EIN Interface. Das kannst du nicht zweimal eintragen. Es wäre das SELBE Interface. Das Interface definiert die physikalische Anbindung (und ein paar Parameter, die nur "global" sinn machen)

Einem Interface kannst du dann mehrere Netze zuordnen, die sich alle auf dem SELBEN Link befinden und daher untereinader DIREKT sehen. Eine Kommunikation von Hosts in verschiedenen Netzen auf dem SELBEN Link erfolgt DIREKT, also OHNE den Umweg über den Router. Das ist genau der Punkt, in dem sich IPv4 und IPv6 unterscheiden...

Da ich gerade mal alle meine VLANs rausgeworfen habe - muss ich neu machen - sollten alle auf LAN-1 sein und VLAN 0 haben.

dann muß deine Konfig so aussehen

Code: Alles auswählen

cd /Setup/IPv6/LAN-Interfaces
del *
# Interface-Name Interface-ID VLAN-ID Rtg-tag Autoconf Accept-RA Interface-Status Forwarding MTU Firewall DaD-Attempts RS-Count ND-Proxy Comment
# ==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add "INTRANET" {Interface-ID} LAN-1 {VLAN-ID} 0 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""

cd /Setup/IPv6/Network/Addresses
del *
# Interface-Name IPv6-Address-Prefixlength Address-Type Network-Group Comment
# ===============================================================----------------------------------------------------------------------------------------------------------------
add "INTRANET" "::1:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_INTRANET" {Comment} ""
add "INTRANET" "::2:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_DMZ" {Comment} ""
add "INTRANET" "::6d:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_NAS" {Comment} ""
add "INTRANET" "::6f:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_WLAN" {Comment} ""
add "INTRANET" "::70:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_VIDEO" {Comment} ""

Die Netze kannst du in der Firewall über ihre Gruppen-Namen (also die NG_xxx) referenzieren

Da eine Trennung über Routing-Tags der Netze nicht möglich ist, kann den Netzen auch kein Routing-Tag zugewiesen werden. Das Stattdessen wird das Routing-Tag dem Interface zugewiesen - nur da macht es Sinn.

Gruß
Backslash

[averlon]

@backslash
Danke! Auf die Konfig wäre ich nie gekommen! Deshalb hatte ich auch noch den Knoten nach deinem ersten Kommentar.

Werde ich machen - danke.

[averlon]

dann muß deine Konfig so aussehen

Code: Alles auswählen

cd /Setup/IPv6/Network/Addresses
del *
# Interface-Name IPv6-Address-Prefixlength Address-Type Network-Group Comment
# ===============================================================----------------------------------------------------------------------------------------------------------------
add "INTRANET" "::1:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_INTRANET" {Comment} ""
add "INTRANET" "::2:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_DMZ" {Comment} ""
add "INTRANET" "::6d:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_NAS" {Comment} ""
add "INTRANET" "::6f:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_WLAN" {Comment} ""
add "INTRANET" "::70:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_VIDEO" {Comment} ""

Ich muss hier noch einmal erweitern!

Gut, das Interface habe ich jetzt mit verschiedenen Adressbereichen definiert.

Wie funktioniert dann das Router-Advertisement und DHCPv6?
Beim Router-Advertisement wird das Interface in den Router-Advertisement->Schnittstellenoptionen festgelegt. So weit so gut!
In der Router-Advertisement->Präfix-Liste definiere ich dann welche Präfixe übertragen werden.
Z.B.:

Code: Alles auswählen

cd /Setup/IPv6/Router-Advertisement/Prefix-Options 
del *
#    Interface-Name    Prefix                                       Subnet-ID            Adv.-OnLink  Adv.-Autonomous  PD-Source         Adv.-Pref.-Lifetime  Adv.-Valid-Lifetime  DecrementLifetimes       
#    ===============================================================----------------------------------------------------------------------------------------------------------------------------------------
add  "INTRANET"    "fd00::/64"                                 {Subnet-ID}  "1"                 {Adv.-OnLink}  Yes         {Adv.-Autonomous}  No              {PD-Source}  ""               {Adv.-Pref.-Lifetime}  21600               {Adv.-Valid-Lifetime}  21600               {DecrementLifetimes}  No

Nach meinem Verständnis müsste ich da jetzt noch Einträge mit Subnet-ID: 2, 6D, 6F und 70 anlegen. Klappt aber nicht.

Bei DHCPv6 habe ich wieder die Interface-Liste:

Code: Alles auswählen

cd /Setup/IPv6/DHCPv6/Server/Interface-List 
del *
#    Interface-Name-or-Relay                  Operating   Primary-DNS                              Secondary-DNS                            DNS-Search-List   Address-Pool-Name                PD-Pool-Name                     Rapid-Commit  Preference   Renew-Time      Rebind-Time     Unicast-Address                          Reconfigure
#    =========================================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "INTRANET"                          {Operating}  Yes        {Primary-DNS}  "::"                                    {Secondary-DNS}  ""                                      {DNS-Search-List}  Internal         {Address-Pool-Name}  "IPV6_POOL_INTRANET"            {PD-Pool-Name}  ""                              {Rapid-Commit}  No           {Preference}  0           {Renew-Time}  0              {Rebind-Time}  0              {Unicast-Address}  ""                                      {Reconfigure}  Off

Und dort ist ein Pool hinterlegt:

Code: Alles auswählen

cd /Setup/IPv6/DHCPv6/Server/Address-Pools 
del *
#    Address-Pool-Name                Start-Address-Pool                       PD-Source         End-Address-Pool                         Pref.-Lifetime  Valid-Lifetime
#    ============================================================================================-----------------------------------------------------------------------
add  "IPV6_POOL_INTRANET"             "fd00:0:0:1::c8"                         ""               {End-Address-Pool}  "fd00:0:0:1::dc"                        {Pref.-Lifetime}  21600          {Valid-Lifetime}  21600

Da ich ja einen weiteren Adressbereich definiert habe müsste ich doch auch einen weiteren Pool definieren und einem Interface zuordnen. Ich kann vermutlich (habe ich nicht probiert) mehrere Pools bei einem Interface angeben. Aber aus welchem Pool wird die Adresse dann genommen?

Solange ich eineindeutige IPV6-Interfaces habe ist das alles (relativ) einfach, nach den Hinweisen die ich bekommen habe. Aber spätestens bei Router-Advertising und DHCPv6 hakt es noch aus bei Interfaces mit unterschiedlichen Adressbereichen.

Vielleicht könntest du mir da auch noch helfen!
Danke

[backslash]

Hi averlon,

das Problem in dem Szenario ist ja, daß es keine Möglichkeit gibt, das initiale SOLICIT einem der Netze zuzuordnen. Auch eine IPv6-Autoconfig kann nicht funktinieren, denn die Hosts sehen ja alle Netze, bzw. deren Router-Advertiosments. Daher mußt du den Host schin im vorrauzs sagen, in welchem Netz sie stehen, d.h. sie brauchen entweder eine feste IP-Adresse oder wenn du es per DHCP machen willst, kommst du vermutlich nicht darum herum, explizite Reservierungen vorzunehmen.

Im IPv4 gilt i.Ü. das gleiche: wenn du mehrere Netze auf dem selben LAN/VLAN aufspannst, dann funktioniert das DHCP auch nur noch mit Reservierungen (BOOTP), weil das DHCPDISCOVER nicht ander zugeordnet werden kann

Wenn du die Netze hingegen über Switche trennen kannst, gibt auch noch die Möglichkeit, Relay-Agents in den Switchen zu betreiben und dem DHCP-Server für jeden Agent einen eigenen Pool verpassen...
Aber dann kannst du es auch gleich ganz sauber aufziehen und in den Switchen die Netze in VLANs aufteilen...

Gruß
Backslash

[averlon]

tja, ist logisch, wenn man mal darüber nachdenkt!

Danke!

P.S.: Ich habe ja ein kleines Netzwerk - mehr eine Spielerei um verschiedene Dinge zu lernen. Ich mache, bis auf eine Ausnahme, alles via Reservierungen.