Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
OnkelThomas
Beiträge: 29
Registriert: 27 Jul 2020, 16:21

Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von OnkelThomas »

Guten Tag,

ein Kunde hat einen Glasfaseranschluss von Vodafone Business bekommen. Vodafone hat dafür eine HUAWEI NetEngine AR651 aufgebaut, die der Übergabepunkt für den Internet-Anschluss darstellt. (Sprich man hat keinen Zugriff auf die NetEngine.) Es gibt kein DHCP, DHCPv6 oder sonstiges Advertisment. Dafür bekommt man einen Zettel mit den nötigen statischen IPv4- und IPv6-Informationen.

Wir haben einen LANCOM 1790EF installiert. IPv4 läuft, bei IPv6 hakt es noch mit dem Routing. Folgende IPv6-Informationen haben wir von Vodafone bekommen.

IPv6-Präfix /48 2a00:XXXX:YYYY:0000:0000:0000:0000:0000/48
IPv6-Präfix /64 im LAN 2a00:XXXX:YYYY:0000:0000:0000:0000:0001/64 (Dabei handelt es sich um das Gateway.)

DNS1 IPv6 2a01:860::53
DNS2 IPV6 2a01:860::153

Die Grundeinrichtung habe ich wie folgt vorgenommen: Setup-Assistent > Internet-Zugang einrichten > Eine vorhandene IPv4-Verbindung um IPv6 erweitern. > Natives IPv6:
Setup-Assistent_IPv6.png
Von der Router-Konsole aus (per SSH-Verbindung) kann ich IPv6-Adressen im Internet anpingen. Als Client allerdings nicht. Es kommt zu einer Zeitüberschreitung. (Das Advertisement im INTRANET- und GAESTE-Netz funktioniert wie gewünscht.)
IPv6-Optionen.png
Bin für Vorschlänge Dankbar.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von backslash »

Hi OnkelThomas,

ich schätze mal, du hast dich da mit den Präfixlängen verhaspelt...

Normalerweise weist dir der Provider den /48 Prefix zur Prefix-Delegation zu entweder per DHCP oder Router-Adverisements zu. Dazu mußt du im WAN-Profil den PD-Quell-Typ passend setzen (DHCP oder Router-Advertisement) - du hast DHCP gewählt - dann mußt du ggf. auch den DHCP-Client auf dem Interface "INTERNET" aktivieren. Wenn der Provider definitiv kein DHCP macht, dann mußt du die PD-Quell-Typ auf "Router-Avertisement" stellen. Daß ein Provioder angeblich nichts von beidem macht ist mehr als merkwürdig - und vor allem: nicht RFC-konform...

Auf dem WAN nutzt ein Provider i.A. auch ein Präfix, das nicht Bestandteil des Prefix-Pools ist. Hier scheit er aber den 2a00:0:cd12:0::/64 aus dem Pool zu nehmen. Somit ist deine WAN-Konfiguration - bis auf den fraglichen PD-Quell-Typ korrekt...

Auf den einzelen LANs ("INTEANETZ", "GAESTE") mußt du in der Präfix-Liste als Präfixlänge immer /64 angeben, weil sonst die Clients in den Netzen keine Autokonfiguration machen können..
Die Subnet-ID wird dann in den /64-Prefix "reingeODERt" - so daß deine Netze dann 2a00:0:cd12:1::/64 bzw. 2a00:0:cd12:2::/64 wären...

Gruß
Backslash
OnkelThomas
Beiträge: 29
Registriert: 27 Jul 2020, 16:21

Re: Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von OnkelThomas »

Danke für die Antwort.
backslash hat geschrieben: 21 Okt 2021, 10:55 Normalerweise weist dir der Provider den /48 Prefix zur Prefix-Delegation zu entweder per DHCP oder Router-Adverisements zu.
(Als ich das erste Mal Vorort war, habe ich meinen Windows-Laptop direkt an das HUAWEI-Gerät angesteckt. Es hatte weder eine IPv4- noch eine IPv6-Konfigurationen erhalten. (Auch eine FB konnte keine Verbindung herstellen.) Ein Vodafone-Mitarbeiter meinte, man müsste alles Statisch konfigurieren.)
Dazu mußt du im WAN-Profil den PD-Quell-Typ passend setzen (DHCP oder Router-Advertisement) - du hast DHCP gewählt - dann mußt du ggf. auch den DHCP-Client auf dem Interface "INTERNET" aktivieren.
Die Einstellung kommt ursprünglich vom Assistenten. (Ich konnte leider nicht rausfinden für was PD-Quelltyp steht/bedeutet).

Ich habe jetzt den DHCPv6-Client aktiviert und außer dem Interface-Name sonst von den Defaults nichts umgestellt:
2021-10-21_15h39_10.png
Im Trace auf DHCPv6-Cleint kam es dann zu folgenden Einträgen:

Code: Alles auswählen

[DHCPv6-Client] 2021/10/21 15:10:00,478  Devicetime: 2021/10/21 15:10:01,826   INTERNET (10), Job 991 @ 0x09918050
Sending message to ff02::1:2%10 (1. transmission):
Solicit   XID: 0x1665cf
  OptionRequest DnsServers,DomainList,SntpServers,SolMaxRt,InfMaxRt
  ClientId 0003000102a0575c57de
  VendorClass 2356: 4c414e434f4d2053797374656d73 | LANCOM Systems
  Fqdn RouterXZY1790EF (partial name)  Flags (0x01): update PTR and AAAA, no override
  RapidCommit
  IaNa 0x6c4e2fbd  Renew: 0s  Rebind: 0s
  ElapsedTime 0 ms

[DHCPv6-Client] 2021/10/21 15:10:01,540  Devicetime: 2021/10/21 15:10:02,888   INTERNET (10), Job 991 @ 0x09918050
Sending message to ff02::1:2%10 (2. transmission):
Solicit   XID: 0x1665cf
  OptionRequest DnsServers,DomainList,SntpServers,SolMaxRt,InfMaxRt
  ClientId 0003000102a0575c57de
  VendorClass 2356: 4c414e434f4d2053797374656d73 | LANCOM Systems
  Fqdn RouterXZY1790EF (partial name)  Flags (0x01): update PTR and AAAA, no override
  RapidCommit
  IaNa 0x6c4e2fbd  Renew: 0s  Rebind: 0s
  ElapsedTime 1060 ms
Diese "Transmissions" werden dann in steigenden Zeitabständen gesendet. Empfangen wird aber nichts. Womit ich DHCPv6 seitens des ISPs ausschließe.

Wenn ich im WAN-Profil den PD-Quelltyp auf Router-Advertisement setzte, sehe ich keine Änderung. Der Router selbst hat IPv6-Konektivität, die angeschlossenen Clients nicht.
Auf den einzelen LANs ("INTEANETZ", "GAESTE") mußt du in der Präfix-Liste als Präfixlänge immer /64 angeben, weil sonst die Clients in den Netzen keine Autokonfiguration machen können..
Vermutlich korrigiert das der Router intern, denn die Autoconfig der Clients hat auch schon mit /48 funktioniert. Hab es jetzt aber auf /64 geändert.
Die Subnet-ID wird dann in den /64-Prefix "reingeODERt" - so daß deine Netze dann 2a00:0:cd12:1::/64 bzw. 2a00:0:cd12:2::/64 wären...
Ja, das sind sie. (Hab beim IP-Adressen zensiert offensichtlich was übersehen. Hoffe mich hängt dafür keiner auf.)
Mache ich an einem Client ein Traceroute sieht das so aus:

Code: Alles auswählen

C:\Users\fubar>tracert -d6 ipv6-test.com

Routenverfolgung zu ipv6-test.com [2001:41d0:701:1100::29c8]
über maximal 30 Hops:

  1     1 ms    <1 ms     1 ms  2a00:0:cd12:1:2a0:57ff:fe5c:57de
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *        *     Zeitüberschreitung der Anforderung.
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13     *        *        *     Zeitüberschreitung der Anforderung.
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.
 16     *        *        *     Zeitüberschreitung der Anforderung.
 17     *        *        *     Zeitüberschreitung der Anforderung.
 18     *        *        *     Zeitüberschreitung der Anforderung.
 19     *        *        *     Zeitüberschreitung der Anforderung.
 20     *        *        *     Zeitüberschreitung der Anforderung.
 21     *        *        *     Zeitüberschreitung der Anforderung.
 22     *        *        *     Zeitüberschreitung der Anforderung.
 23     *        *        *     Zeitüberschreitung der Anforderung.
 24     *        *        *     Zeitüberschreitung der Anforderung.
 25     *        *        *     Zeitüberschreitung der Anforderung.
 26     *        *        *     Zeitüberschreitung der Anforderung.
 27     *        *        *     Zeitüberschreitung der Anforderung.
 28     *        *        *     Zeitüberschreitung der Anforderung.
 29     *        *        *     Zeitüberschreitung der Anforderung.
 30     *        *        *     Zeitüberschreitung der Anforderung.

Ablaufverfolgung beendet.
Das Autoconfig funktioniert. 2a00:0:cd12:1:2a0:57ff:fe5c:57de ist pingbar. Nur routet er nicht.
Soll ich noch weitere Tracers erzeugen oder sonstige Infos liefern?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von backslash »

Hi OnkelThomas

das heißt also, daß die Autoconfig im LAN schonmal funkioniert...

Und auch die WAN-Seite ist korrekt, denn du schreibst ja:
Von der Router-Konsole aus (per SSH-Verbindung) kann ich IPv6-Adressen im Internet anpingen.
Dann wäre das Nächste, einen IPv6-Router-Trace von dem Ping-Versuch zu machen... Hast du ggf. irgendwas in der Firewall konfiguriert?

BTW: du schreibst ja, daß der Provider keine Router-Advertisements schickt. Vielleicht ist es dann auch sinnvoll, im WAN-Profil das akzeptieren von Router-Advertisements abzuschalten...

Gruß
Backslash
OnkelThomas
Beiträge: 29
Registriert: 27 Jul 2020, 16:21

Re: Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von OnkelThomas »

Hallo Backslash,
backslash hat geschrieben: 21 Okt 2021, 17:41 Dann wäre das Nächste, einen IPv6-Router-Trace von dem Ping-Versuch zu machen...
Versuche ich von 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb ipv6-test.com[2001:41d0:701:1100::29c8] anzupingen kommt es zu diesen Einträgen:

Code: Alles auswählen

[IPv6-Router] 2021/10/22 19:08:27,683  Devicetime: 2021/10/22 19:08:30,407 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 298
--> Creating destination cache entry of type firewall forwarding
--> Creating firewall mirror destination cache entry of type firewall forwarding for address 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb on interface INTERNET (10)
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1

[IPv6-Router] 2021/10/22 19:08:32,543  Devicetime: 2021/10/22 19:08:35,274 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 299
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1

[IPv6-Router] 2021/10/22 19:08:37,543  Devicetime: 2021/10/22 19:08:40,275 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 300
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1

[IPv6-Router] 2021/10/22 19:08:42,543  Devicetime: 2021/10/22 19:08:45,275 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 301
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1
Auf die Requests folgen keine Replies.

Pinge ich von der Router-Konsole (was nach wie vor funktioniert), erscheinen gar keine IPv6-Router-Trace-Einträge.

Hast du ggf. irgendwas in der Firewall konfiguriert?
Ich habe drei ACCEPT-Regeln hinzugefügt.
2021-10-22_20h01_34.png
1. Eingehende Pings an einen Server erlauben.
2. Eingehende Verbindung über ein UDP-Port an einen OpenVPN-Server erlauben.
3. Eingehende Verbindung über ein TCP-Port an einen Webserver erlauben.
Der Rest war Out-of-the-Box schon da.

BTW: du schreibst ja, daß der Provider keine Router-Advertisements schickt. Vielleicht ist es dann auch sinnvoll, im WAN-Profil das akzeptieren von Router-Advertisements abzuschalten...
Ok, hab ich gemacht.

Wegen dem /48-Netzbereich habe ich auch noch ein Verständnisproblem. Das LAN-Präfix wurde mit dem Setup-Assistent manuell konfiguriert. Aber vor allem nach dem ich in der Präfix-Liste der LANs /64 nehmen soll, kann ich in der Konfiguration nirgends mehr die LAN-Präfix/48 finden. Da mit den Subnet-IDs die Netzte für die Autoconfig richtig ausregrechnet und verteilt werden, muss die Information ja noch irgendwo im Router stecken :-) Ist das evtl. eine Einschränkung von LANconfig, das man das jetzt nicht mehr findet?

BTW: Ich hab jetzt auch schon so Verzweiflungstaten wie Neustarts durchgeführt.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von backslash »

Hi OnkelThomas
Versuche ich von 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb ipv6-test.com[2001:41d0:701:1100::29c8] anzupingen kommt es zu diesen Einträgen:

Code: Alles auswählen


[IPv6-Router] 2021/10/22 19:08:27,683  Devicetime: 2021/10/22 19:08:30,407 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 298
--> Creating destination cache entry of type firewall forwarding
--> Creating firewall mirror destination cache entry of type firewall forwarding for address 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb on interface INTERNET (10)
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1

[IPv6-Router] 2021/10/22 19:08:32,543  Devicetime: 2021/10/22 19:08:35,274 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 299
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1

[IPv6-Router] 2021/10/22 19:08:37,543  Devicetime: 2021/10/22 19:08:40,275 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 300
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1

[IPv6-Router] 2021/10/22 19:08:42,543  Devicetime: 2021/10/22 19:08:45,275 [INTRANET (11)]
IP packet, scope global, routing tag 0:
  IPv6: 2a00:0:cd12:1:b9d4:80f8:7f9b:67eb -> 2001:41d0:701:1100::29c8, Payload-Len: 40
  ICMP: Echo (ping) request (128), ID: 1, Seq: 301
--> Firewall: accepted, forwarded unicast via INTERNET (10) to next hop 2a00:0:cd12::1
Auf die Requests folgen keine Replies.
Dann ist da schon mal alles richtig - nur fehlt auf Providerseite offenbar die Rückroute, die dafür sorgt daß das /48 Prefix über das LANCOM erreicht wird.

Lauf dem Screenshcot in deinem ersten posting hast du dem LANCOM auf dem WAN die Adesse 2a00:XXXX:YYYY:::2/64 gegebn. Hast du diese Adresse vom Provider mitgeteilt bekommen?
Da das ganze ohne DHCP und Routeradvertisements läuft, Du mußt da schon die Adresse eintragen, die dir dein Provider explizit mitgeteilt hat - oder du mußt dem Provider die Adrsse mitteilen, die du verwendest, damit der Provider die Rückroute korrekt setzen kann
Wegen dem /48-Netzbereich habe ich auch noch ein Verständnisproblem. Das LAN-Präfix wurde mit dem Setup-Assistent manuell konfiguriert. Aber vor allem nach dem ich in der Präfix-Liste der LANs /64 nehmen soll, kann ich in der Konfiguration nirgends mehr die LAN-Präfix/48 finden. Da mit den Subnet-IDs die Netzte für die Autoconfig richtig ausregrechnet und verteilt werden, muss die Information ja noch irgendwo im Router stecken :-)
Nein, die korrekte Zuweisung der Subnet-IDs obliegt dem Adminitrator... Der Punkt ist, das Autokonfig nur funktioniert, wenn in den Router-Advertisements das Prefix als /64 drinsteht...
Der /48 Prefix wird normalerweise vom Provider per DHCP oder Router-Advertisement (Achtung: das ist dann ein anderes Prefix, das das /64 oben) delegiert - In diesen wird die Subnet-ID einfach nur reingeODERt. Das Problem bei dir ist ja, daß der Provider gar keine Prefixe delegiert und dir einfach die komplette Konfiguration manuell überläßt...
Ist das evtl. eine Einschränkung von LANconfig, das man das jetzt nicht mehr findet?
das hat mit LANconfig nichts zu tun


Gruß
Backslash
OnkelThomas
Beiträge: 29
Registriert: 27 Jul 2020, 16:21

Re: Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von OnkelThomas »

Danke für die Antworten.
backslash hat geschrieben: 25 Okt 2021, 14:00 Dann ist da schon mal alles richtig - nur fehlt auf Providerseite offenbar die Rückroute, die dafür sorgt daß das /48 Prefix über das LANCOM erreicht wird.
Und dem LANCOM-Router selbst wird vermutlich geantwortet, weil er im selben /64 wie das ISP-GW sitzt und damit zwischen den beiden kein Routing stattfindet.
das hat mit LANconfig nichts zu tun
Ich drücke mich wahrscheinlich schlecht aus. Der LANCOM muss ja selber auch wissen, was seine Netzte sind. (In diesem Fall, dass er ein /48 hat.) Bei IPv4 ist das unter Kommunikation > Protokolle > IP-Parameter. Wenn man z.B. ein /28-IPv4-Netz hat, trägt man dort die passende Netzmakse ein. Wenn Sie sagen, das gibt es bei IPv6 nicht, weil das jeweils announcet werden muss, dann akzeptier ich das so.
Ich warte jetzt noch auf eine Reaktion des Vodafone-Supports. Wenn es dann geht, schreib ich das hier noch. Ansonsten deaktiviere ich IPv6 und teste einmal jährlich, ob sich was gebessert hat :-/
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Glasfaseranschluss Vodafone Business - Manuelle Einrichtung nötig

Beitrag von backslash »

Hi OnkelThomas »
Und dem LANCOM-Router selbst wird vermutlich geantwortet, weil er im selben /64 wie das ISP-GW sitzt und damit zwischen den beiden kein Routing stattfindet.
korrekt...
Der LANCOM muss ja selber auch wissen, was seine Netzte sind. (In diesem Fall, dass er ein /48 hat.)
nein... das ist im IPv6 anders als im IPv4... Im IPv6 hat jedes Interface einen separaten /64 Präfix.

Das /48 Präfix taucht nirgendwo auf - Auch wenn es als "delegated prefix" vom Provider propagiert wird, dann merkt sich das LANCOM dieses Präfix nur in einer eigenen "Datenbank" - es wird aber keinem Interface zugewisen. ("Datzenbank" ist ein sehr großer Begriff für einen einfachen Speicherm, der den /48 Präfix dem Namen der Internetverbindung zuordnet - aber was besseres fällt mir hier gerade nicht ein).

Die Zuweisung vom Präfixen an Interfcaes erfolgt über die Tabelle IPv6 -> Router-Advertisment -> Präfix-Liste. Dort würde bei einem "normalen" Szenario der Präfix "::/64" lauten, und unter "Prefix beziehen von" würde der Name der Internet-Verbindung stehen (da schaut das LANCOM dann in obige "Datenbank"). Dann bleiben noch die Subnet-IDs - bei einem /48 Prefix hast du 65535 Subnet-IDs, die du frei verteilen kannst. Und da bist du selbst dafür verantwortlioch, daß es keine Konflikte gibt.

Da bei dir das Präfix nicht vom Provider delegiuert wird, mußt du alle /64 Präfixe der LAN-Netze einzeln konfigurieren - und dann gibt es das /48 Präfix tatsächlich nirgendwo mehr...

Gruß
Backslash
Antworten