Hallo,
bei ipv4 kann man die Netzwerke mit Interface und VLAN definieren.
Hier ist es möglich zwei Netzwerk mit gleichem Interface mit VLAN "0" (also kein VLAN) zu definieren.
Bei IPV6 wird das als Fehler zurückgewiesen!
Ich würde gerne mehrere Netzwerke definieren, mit unterschiedlichen IP-Bereichen, die kein VLAN nutzen - warum geht das bei IPV6 nicht?
zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
Moderator: Lancom-Systems Moderatoren
zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
Gruß
Karl-Heinz
Karl-Heinz
Re: zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
Hi averlon
Du kannst problemlos mehrere Netze auf dem gleichen Interface aufspannen, indem du unter IPv6 -> Allgemein -> IPv6-Netzwerke -> IPv6-Adressen einfach für ein Interface (z.B. "INTRANET") mehrere Einträge machst. Diese Einträge kannst du sogar entweder individuell benamen oder in einer benamten Gruppe zusammenfassen (beides über die Spalte "Netzwerk-Gruppe"), und in der Firewall referenzieren (Stationstyp "benamtes Netz")
Das Referenzieren von Netzen in einer Gruppe funktioniert i.Ü. auch, wenn die auf verschiednenen Interfaces sitzen
Gruß
Backslash
doch, das geht schon, ist aber etwas "erschwert" worden, weil sich bei IPv6 Netze (auch verschiedene!) auf dem gleichen VLAN direkt sehen - das ist so in den IPv6-RFCs definiert. Sie sind "on-link" und somit wird ein IPv6-Router immer ein Redirect (selbst in das andere Netz!) senden und so z.B. eine Trennung über Routing-Tags (oder Firewallregeln) "überwinden"...warum geht das bei IPV6 nicht?
Du kannst problemlos mehrere Netze auf dem gleichen Interface aufspannen, indem du unter IPv6 -> Allgemein -> IPv6-Netzwerke -> IPv6-Adressen einfach für ein Interface (z.B. "INTRANET") mehrere Einträge machst. Diese Einträge kannst du sogar entweder individuell benamen oder in einer benamten Gruppe zusammenfassen (beides über die Spalte "Netzwerk-Gruppe"), und in der Firewall referenzieren (Stationstyp "benamtes Netz")
Das Referenzieren von Netzen in einer Gruppe funktioniert i.Ü. auch, wenn die auf verschiednenen Interfaces sitzen
Gruß
Backslash
Re: zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
Hallo Backslash,
danke für die Antwort, aber das war nicht gemeint.
IPv6 -> Allgemein -> IPv6-Schnittstellen -> LAN-Schnittstellen.
Hier muss ich dem selbst vergebenen Interface-Namen eine Schnittstelle (LAN-1...) und ein VLAN zuweisen, oder eben "0".
Aber zweimal "0" beim gleichen Interface geht scheinbar nicht.
danke für die Antwort, aber das war nicht gemeint.
IPv6 -> Allgemein -> IPv6-Schnittstellen -> LAN-Schnittstellen.
Hier muss ich dem selbst vergebenen Interface-Namen eine Schnittstelle (LAN-1...) und ein VLAN zuweisen, oder eben "0".
Aber zweimal "0" beim gleichen Interface geht scheinbar nicht.
Gruß
Karl-Heinz
Karl-Heinz
Re: zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
Hi averlon,
Du kannst auf EIN Interface MEHRERE Netze legen - und das ist am Ende genau das, was du willst.
Eine Trennung über Routing-Tags ist im IPv6 prinzipell bei Netzen, die auf dem SELBEN Link liegen, nicht möglich (anders als bei IPv4) - daher wird es auch nicht angeboten. Wenn du eine Trennung über Routing-Tags haben willst, mußt du mit VLANs (oder getrennten Ethernet-Ports) arbeiten
Gruß
Backslash
doch, genau das war gemeint..danke für die Antwort, aber das war nicht gemeint.
genau - weil das zwei mal das SELBE Interface wäre... geanu das habe ich dir auch im meinem Posting erkärt und auch gesagt, was tu tun kannst...Aber zweimal "0" beim gleichen Interface geht scheinbar nicht.
Du kannst auf EIN Interface MEHRERE Netze legen - und das ist am Ende genau das, was du willst.
Eine Trennung über Routing-Tags ist im IPv6 prinzipell bei Netzen, die auf dem SELBEN Link liegen, nicht möglich (anders als bei IPv4) - daher wird es auch nicht angeboten. Wenn du eine Trennung über Routing-Tags haben willst, mußt du mit VLANs (oder getrennten Ethernet-Ports) arbeiten
Gruß
Backslash
Re: zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
@backslash
mmh - das klappt bei mir nicht.
Das mit den IPv6-Adressen hatte ich ja schon.
cd /Setup/IPv6/Network/Addresses
del *
# Interface-Name IPv6-Address-Prefixlength Address-Type Network-Group Comment
# ===============================================================----------------------------------------------------------------------------------------------------------------
add "IP6_DMZ" "::2:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_DMZ" {Comment} ""
add "IP6_INTRANET" "::1:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_INTRANET" {Comment} ""
add "IP6_NAS" "::6d:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_NAS" {Comment} ""
add "IP6_VIDEO" "::70:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_VIDEO" {Comment} ""
add "IP6_WLAN" "::6f:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_WLAN" {Comment} ""
Den Zusammenhang zur Tabelle LAN-Schnittstellen verstehe ich noch nicht.
Dort wird doch nur definiert welche IP-Netzwerk es gibt, als z.B. "IP6_INTRANET" und auf welchem Interfache die sich melden "LAN-1" bzw. mit welchem VLAN.
Zweimal das gleiche Interface mit VLAN 0 wird abgelehnt.
Da ich gerade mal alle meine VLANs rausgeworfen habe - muss ich neu machen - sollten alle auf LAN-1 sein und VLAN 0 haben.
cd /Setup/IPv6/LAN-Interfaces
del *
# Interface-Name Interface-ID VLAN-ID Rtg-tag Autoconf Accept-RA Interface-Status Forwarding MTU Firewall DaD-Attempts RS-Count ND-Proxy Comment
# ==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add "IP6_INTRANET" {Interface-ID} LAN-1 {VLAN-ID} 110 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_DMZ" {Interface-ID} LAN-2 {VLAN-ID} 108 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_VIDEO" {Interface-ID} LAN-4 {VLAN-ID} 112 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_NAS" {Interface-ID} LAN-4 {VLAN-ID} 109 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_WLAN" {Interface-ID} LAN-3 {VLAN-ID} 111 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
Das geht aber nicht.
Irgendwo habe ich noch einen Knoten im Gebälk!
mmh - das klappt bei mir nicht.
Das mit den IPv6-Adressen hatte ich ja schon.
cd /Setup/IPv6/Network/Addresses
del *
# Interface-Name IPv6-Address-Prefixlength Address-Type Network-Group Comment
# ===============================================================----------------------------------------------------------------------------------------------------------------
add "IP6_DMZ" "::2:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_DMZ" {Comment} ""
add "IP6_INTRANET" "::1:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_INTRANET" {Comment} ""
add "IP6_NAS" "::6d:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_NAS" {Comment} ""
add "IP6_VIDEO" "::70:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_VIDEO" {Comment} ""
add "IP6_WLAN" "::6f:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_WLAN" {Comment} ""
Den Zusammenhang zur Tabelle LAN-Schnittstellen verstehe ich noch nicht.
Dort wird doch nur definiert welche IP-Netzwerk es gibt, als z.B. "IP6_INTRANET" und auf welchem Interfache die sich melden "LAN-1" bzw. mit welchem VLAN.
Zweimal das gleiche Interface mit VLAN 0 wird abgelehnt.
Da ich gerade mal alle meine VLANs rausgeworfen habe - muss ich neu machen - sollten alle auf LAN-1 sein und VLAN 0 haben.
cd /Setup/IPv6/LAN-Interfaces
del *
# Interface-Name Interface-ID VLAN-ID Rtg-tag Autoconf Accept-RA Interface-Status Forwarding MTU Firewall DaD-Attempts RS-Count ND-Proxy Comment
# ==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add "IP6_INTRANET" {Interface-ID} LAN-1 {VLAN-ID} 110 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_DMZ" {Interface-ID} LAN-2 {VLAN-ID} 108 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_VIDEO" {Interface-ID} LAN-4 {VLAN-ID} 112 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_NAS" {Interface-ID} LAN-4 {VLAN-ID} 109 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
add "IP6_WLAN" {Interface-ID} LAN-3 {VLAN-ID} 111 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
Das geht aber nicht.
Irgendwo habe ich noch einen Knoten im Gebälk!
Gruß
Karl-Heinz
Karl-Heinz
Re: zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
Hi averlon,
Ein LAN-x und ein VLAN sind EIN Interface. Das kannst du nicht zweimal eintragen. Es wäre das SELBE Interface. Das Interface definiert die physikalische Anbindung (und ein paar Parameter, die nur "global" sinn machen)
Einem Interface kannst du dann mehrere Netze zuordnen, die sich alle auf dem SELBEN Link befinden und daher untereinader DIREKT sehen. Eine Kommunikation von Hosts in verschiedenen Netzen auf dem SELBEN Link erfolgt DIREKT, also OHNE den Umweg über den Router. Das ist genau der Punkt, in dem sich IPv4 und IPv6 unterscheiden...
Die Netze kannst du in der Firewall über ihre Gruppen-Namen (also die NG_xxx) referenzieren
Da eine Trennung über Routing-Tags der Netze nicht möglich ist, kann den Netzen auch kein Routing-Tag zugewiesen werden. Das Stattdessen wird das Routing-Tag dem Interface zugewiesen - nur da macht es Sinn.
Gruß
Backslash
nein dort werden eben NICHT die Netzwerke definiert sondern nur die Interfaces...Den Zusammenhang zur Tabelle LAN-Schnittstellen verstehe ich noch nicht.
Dort wird doch nur definiert welche IP-Netzwerk es gibt, als z.B. "IP6_INTRANET" und auf welchem Interfache die sich melden "LAN-1" bzw. mit welchem VLAN.
Zweimal das gleiche Interface mit VLAN 0 wird abgelehnt.
Ein LAN-x und ein VLAN sind EIN Interface. Das kannst du nicht zweimal eintragen. Es wäre das SELBE Interface. Das Interface definiert die physikalische Anbindung (und ein paar Parameter, die nur "global" sinn machen)
Einem Interface kannst du dann mehrere Netze zuordnen, die sich alle auf dem SELBEN Link befinden und daher untereinader DIREKT sehen. Eine Kommunikation von Hosts in verschiedenen Netzen auf dem SELBEN Link erfolgt DIREKT, also OHNE den Umweg über den Router. Das ist genau der Punkt, in dem sich IPv4 und IPv6 unterscheiden...
dann muß deine Konfig so aussehenDa ich gerade mal alle meine VLANs rausgeworfen habe - muss ich neu machen - sollten alle auf LAN-1 sein und VLAN 0 haben.
Code: Alles auswählen
cd /Setup/IPv6/LAN-Interfaces
del *
# Interface-Name Interface-ID VLAN-ID Rtg-tag Autoconf Accept-RA Interface-Status Forwarding MTU Firewall DaD-Attempts RS-Count ND-Proxy Comment
# ==================-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add "INTRANET" {Interface-ID} LAN-1 {VLAN-ID} 0 {Rtg-tag} 0 {Autoconf} No {Accept-RA} Yes {Interface-Status} Up {Forwarding} Yes {MTU} 1500 {Firewall} Yes {DaD-Attempts} 1 {RS-Count} 3 {ND-Proxy} No {Comment} ""
cd /Setup/IPv6/Network/Addresses
del *
# Interface-Name IPv6-Address-Prefixlength Address-Type Network-Group Comment
# ===============================================================----------------------------------------------------------------------------------------------------------------
add "INTRANET" "::1:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_INTRANET" {Comment} ""
add "INTRANET" "::2:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_DMZ" {Comment} ""
add "INTRANET" "::6d:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_NAS" {Comment} ""
add "INTRANET" "::6f:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_WLAN" {Comment} ""
add "INTRANET" "::70:0:0:0:1/64" {Address-Type} Delegated-DHCPv6 {Network-Group} "NG_VIDEO" {Comment} ""
Da eine Trennung über Routing-Tags der Netze nicht möglich ist, kann den Netzen auch kein Routing-Tag zugewiesen werden. Das Stattdessen wird das Routing-Tag dem Interface zugewiesen - nur da macht es Sinn.
Gruß
Backslash
Re: zwei netzwerke mit gleichem Interface mit vlan 0 geht nicht
@backslash
Danke! Auf die Konfig wäre ich nie gekommen! Deshalb hatte ich auch noch den Knoten nach deinem ersten Kommentar.
Werde ich machen - danke.
Danke! Auf die Konfig wäre ich nie gekommen! Deshalb hatte ich auch noch den Knoten nach deinem ersten Kommentar.
Werde ich machen - danke.
Gruß
Karl-Heinz
Karl-Heinz