IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von rrr »

Kann ich im Lancom-Router innerhalb eines IPv6-Subnetzes gleichzeitig SLAAC (stateless) sowie DHCPv6 (stateful) verwenden?

Hintergrund ist, dass ich insbesondere Servern eine feste Adresse per DHCPv6 zuweisen muss, aber trotzdem den Clients ermöglichen will Privacy Extensions zu nutzen.

Ich habe im heise-Forum einen alten Eintrag (https://www.heise.de/forum/c-t/Kommenta ... 9377/show/) gefunden, welcher auf die DHCPv6-Option "IA_TA" hinweist.

Ist diese Option dafür gedacht und beim Lancom-Router einstellbar?
Benutzeravatar
VX500
Beiträge: 52
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von VX500 »

Hallo,

ja das ist machbar. Es müsste im Lancom Router Router Advertisement und DHCPv6 eingerichtet werden.

Während RA noch halbwegs nachvollziehbar bei Lancom ist, kann man das Einrichten von DHCPv6 bei Lancom in die Tonne kloppen. Die Dokus sind ungenau, teils veraltet, teils nimmt Webconfig bestimmte Werte nicht an, andere Werte wiederrum überträgt LANconfig nicht richtig. Zum Beispiel die IP-Range beim Adress Pool. LANconfig vermurkst 0:0:0:1::1 zu irgendwas mit ::1.0.0.0 Der offizielle Support von Lancom schweigt beharrlich. Oder macht einfach das Ticket unbeantwortet zu.

Wenn man aber Zeit und Muße hat, lang genug rumdoktert, sich mit try-and-learn anfreunden kann.... ja dann läuft es irgendwann halbwegs.
Wehe die Firewall muss/soll noch angepasst werden. Dazu findet sich außer allgemeines bla bla kein nützlicher Content. Wie man ein angekündigtes dynamisch bezogenes Präfix freigibt, steht zum Beispiel nirgendwo so beschrieben, dass es auch klappen würde.

Selbst hier im Forum sind immer wieder gute Beispiele zu lesen, dass IPv6 bei Lancom oftmals nur mit speziellen Anpassungen und Trickserei läuft.

Aber generell ist dein Vorhaben technisch machbar. Ist nur eine Frage von wann und mit wieviel Kopfrauchen :-)

Grüße
Sascha
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von backslash »

Hi Vx500
LANconfig vermurkst 0:0:0:1::1 zu irgendwas mit ::1.0.0.0
das ist so definitiv falsch! LANconfig wandelt die Adresse nur in die korreckte verkürzte Schreibweise nach RFC um, nach der die längste 0-Kette durch :: ersetzt wird - und bei zwei gleich langen längsten Ketten wird die erste ersetzt. Somit wird aus 0:0:0:1::1 korrekterweise ::1:0:0:0:1. Das macht Windoes i.Ü. genau sou:

Code: Alles auswählen

Microsoft Windows [Version 10.0.18363.778]
(c) 2019 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\System32>ping 0:0:0:1::1

Ping wird ausgeführt für ::1:0:0:0:1 mit 32 Bytes Daten:
PING: Fehler bei der Übertragung. Allgemeiner Fehler.
PING: Fehler bei der Übertragung. Allgemeiner Fehler.

Ping-Statistik für ::1:0:0:0:1:
    Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
    (100% Verlust),
STRG-C
^C
C:\Windows\System32>
C:\Windows\System32>
Wehe die Firewall muss/soll noch angepasst werden. Dazu findet sich außer allgemeines bla bla kein nützlicher Content. Wie man ein angekündigtes dynamisch bezogenes Präfix freigibt, steht zum Beispiel nirgendwo so beschrieben, dass es auch klappen würde.
Kommt darauf an, was du willst:
  • Willst du das ganze Netz freigeben, dann legst du ein Stations-Objekt vom Typ "benamtes Netz" mit dem Namen des Netzes an, auf dem der Prefix gilt (z.B. "INTRANET")
  • Wenn sich Server ihre Adresse vom DHCP-Server (des LANCOMs) besorgen dann kannst du für sie ein Stations-Objekt vom Typ "lokale Station" anlegen mit dem Namen des Servers
  • Wenn du andere Hosts freigeben willst, dann bleibt dir bei dynamischen Präfixen tatsächlich nur ein Stations-Objekt vom Typ "Identifier" - das komplett ohne Präfix arbeitet
Selbst hier im Forum sind immer wieder gute Beispiele zu lesen, dass IPv6 bei Lancom oftmals nur mit speziellen Anpassungen und Trickserei läuft.
Beispiele bitte... so pauschale Aussagen sind wenig hilfreich...

Gruß
Backslsah
Benutzeravatar
VX500
Beiträge: 52
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von VX500 »

Hallo backslash,
wenn er denn ::1:0:0:0:1 machen würde, wärs ja ok. Aber LANconfig vermurkst es (zumindest bei mir) zu ::1.0.0.0
Punkte dürften da nicht draus werden. Webconfig kann es. Und der kürzt nicht mal die Nullen raus. Muss er ja auch nicht.

Beispiele bennen macht nur Sinn, wenn darin die Fragestelle 1:1 behandelt wird.
Eines was hier am Thema vorbei geht, aber sehr schön aufzeigt, dass es mitunter nur mit Trickserei geht:
viewtopic.php?f=15&t=18087&p=102713&hil ... tz#p102713
Beitrag von 5624

Ich konnte in keiner Doku nachlesen, wie man das mit der Subnetz-ID bei DHCPv6 ergänzen muss/soll. Und bei mir haut's trotzdem nicht hin.
SLAAC und DHCPv6 vergeben aus unterschiedlichen Bereichen. Das führte zu Firewallproblemen.

LG Sascha
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von backslash »

Hi VX500
wenn er denn ::1:0:0:0:1 machen würde, wärs ja ok. Aber LANconfig vermurkst es (zumindest bei mir) zu ::1.0.0.0
schau nochmal genau hin... es ist defintiiv ::1:0:0:0:1 - ichj hab's gerade nochmal ausprobiert (hatte ich vor meinem letzten porting i.Ü. auch schon). Ich gehe einfach mal davon asu, daß LANconfig die Winwoes-Methoden für die Darstellung der Adressen verwendet
Webconfig kann es. Und der kürzt nicht mal die Nullen raus. Muss er ja auch nicht.
ich habe ers gerade mal auf dem CLI ausprobiert - da wird aus 0:0:0:1:0:0:0:1 0:0:0:1::1 - was genaugenommen falsch ist, denn es müßte auch ::1:0:0:01 werden. Aber letztendlich sind alle drei Varianten gültige Darstellungen der Adresse.

Eines was hier am Thema vorbei geht, aber sehr schön aufzeigt, dass es mitunter nur mit Trickserei geht:
viewtopic.php?f=15&t=18087&p=102713&hil ... tz#p102713
Beitrag von 5624
Sorry, aber das ist ein Beispiel, daß weder in der IPv4 noch der IPv6 Firewall gelöst werden kann.
Wenn die Quelle eine dynamische Adresse hat und nicht im LAN liegt, dann geht es nunmal nicht...
Das hat nichts aber auch rein gar nichts mit umständlicher Konfiguration der Firewall zu tun


Gruß
Backslash
Benutzeravatar
VX500
Beiträge: 52
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von VX500 »

.. und genau deswegen sage ich ja, dass man Lancom in Bezug auf IPv6 vergessen kann. Dokumentationen und Realität liegen in vielen (nicht in allen) Fällen zu weit auseinander.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von backslash »

Hi VX500,

das ist jetzt aber wirklich nur noch Meckern um des Meckerns Willen...

Gruß
Backslash
失败是成功之母
Beiträge: 73
Registriert: 03 Aug 2020, 14:18

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von 失败是成功之母 »

Kunden denken sich Fehler nicht aus. Allerdings können Kunden oft Fehler nicht genau genug beschreiben, weil der Fehler für sie offensichtlich ist. Und für den Kunden ist unverständlich, wieso er aber nicht der Hersteller den Fehler sieht. Daher vermutet der Kunde eher ein strukturelles Versagen. Kurz: Kunden schweifen gerne ab bzw. aus. Der Trick ist, den Kunden wieder einzufangen und auf den Fehler zu konzentrieren. Wenn der Fehler (noch) nicht reproduzierbar ist, einfach fragen: Ich brauche mehr Details. Hier in dem Fall wäre das zum Beispiel: „Welche LANconfig, welche LCOS und welche Windows Version nutzt Du? Bei Windows 10 bitte Deinen genauen Windows-Build.“
VX500 hat geschrieben: 04 Mai 2020, 23:16 DHCPv6 [kann man] bei Lancom in die Tonne kloppen
Auch ich habe mir einen abgebrochen und wollte mir eigentlich einen dedizierten DHCPv6-Server sparen. Lancom arbeitet mit Annahmen, die man erstmal nachvollziehen muss. Das ist bei Software-Produkten soweit normal. Leider ist das User-Interface (WEBconfig, LANconfig bzw. CLI) selbst nicht dazu in der Lage, diese Annahmen zu transportieren. Auch das ist bei Netz-Infrastruktur-Produkten nicht unüblich; aber eben zeitaufwendig. Den entscheidenden Tipp fand ich im Referenzhandbuch: Lancom geht beim DHCPv6-Server davon aus, dass Du kein dynamisches sondern ein statisches IPv6-Präfix erhältst – und dass Du daher Deine zugewiesene Präfix-Länge kennst.

Und ja, auch ich hatte auf einmal „Adressen“ im Speicher meines Business-Routers, die nichts mehr mit IPv6 zu tun hatten. Fazit: Schauen, ob man neuste Software hat (HTTP oder FTP) und dann solche Fehler direkt beim Support melden – sonst wird das nie behoben. Hast Du gemacht. Leider muss man sich in Ausnahmefällen dort regelrecht durchboxen – vermutlich war/ist in Deinem Fall eine weitere Konfiguration irgendwo anders im Menü daran Schuld, dass sich jene IPv6-Adresse zerlegt.
rrr hat geschrieben: 04 Mai 2020, 14:45 DHCPv6-Option IA_TA
Das stammt aus einem Diskussions-Forum zu einem Zeitschriften-Artikel. In jenem Thread ging es darum, dass der Autor des Artikels das A-Bit übersah. Folglich dreht der Thread sich um den Artikel-Abschnitt „Adressverwirrung“. Bevor ich mir jetzt einen Ast schreibe, beantworte ich daher jene Deine Teilfrage so: Lancom gibt Dir bei DHCPv6 (wie auch in DHCPv4 aus dem Adress-Pool) eine zufällige IP-Adresse. Half das bereits?
rrr hat geschrieben: 04 Mai 2020, 14:45 Kann ich […] gleichzeitig SLAAC (stateless) sowie DHCPv6 (stateful) verwenden?
Ja. Meine Schritte in WEBconfig:
  1. Dashboard → IPv6 → Bezogene Präfixe; ich bekomme bei 1&1 DSL die Länge /56; merken!
  2. Konfiguration → IPv6 → Allgemein: IPv6 aktiviert
    Das aktiviert bereits ganz gute Voreinstellungen: SLAAC + RDNSS + Stateless-DHCPv6 (O-Bit). Wenn nicht, dann alles zurück und über den Setup-Wizard → Internet-Verbindung einrichten.
  3. Router-Advertisement → Präfix-Liste → Subnetz-ID; dank Wizard bei mir eine 1; merken!
  4. DHCPv6 → (DHCPv6-Server) Adress-Pools
    • Erste Adresse ::1:0000:0000:0000:0001
      Hier half nicht die Menü-Referenz sondern im Referenzhandbuch unter dem Kapitel IPv6 → Adress-Pools das Beispiel. Weil bei mir die Subnetz-ID 1 und die Präfix-Länge /56 ist, nahm ich obigen Wert.
    • Letzte Adresse ::1:ffff:ffff:ffff:ffff
      Das ist keine Bit-Maske (ja, und auch nicht die Anzahl der Adressen) sondern tatsächlich die letzte Adresse – es ist also eine von-bis-Angabe. Folglich muss auch hier wieder (bei einem /56er-Präfix) die Subnetz-ID = 1 am Anfang stehen.
    • Präfix beziehen von [einem WAN-Interface, z.B.] INTERNET
  5. Konfiguration → IPv6 → DHCPv6 → (DHCPv6-Server) DHCPv6-Netzwerke
    Hier fügst Du ein neues Netz hinzu. Du nimmst als „Adress-Pool“, den eben erstellten. Mehr brauchst Du gar nicht einstellen bzw. umstellen.
Das war alles! Wenn man es weiß, ganz einfach. Würde Lancom bereits beim Hinzufügen eines Adress-Pools gute Vorschläge machen – je nach Präfix-Länge einen passenden Pool vorausfüllen – hätte ich nicht so lange kämpfen müssen.

In Deinem Server stellst Du nur noch auf DHCPv6-Client um. Wenn das nicht geht, setzt Du im Lancom den Haken bei Router-Advertisement → Schnittstellen-Optionen → Managed Address Configuration Flag (M-Bit) [SNMP 2.70.2.2.5]. Aber dann musst Du schauen, wie Deine anderen Clients sich verhalten, weil diese nun sowohl aus SLAAC als auch aus DHCPv6 eine Adresse beziehen. Wenn Du ganz auf DHCPv6 setzen und SLAAC ausschalten möchtest, dann entfernst Du den Haken bei Router-Advertisement → Präfix-Liste → Autokonfiguration erlauben (A-Bit) [SNMP 2.70.2.1.5].
rrr hat geschrieben: 04 Mai 2020, 14:45 Servern eine feste Adresse per DHCPv6 zuweisen
Das wird in der Knowledge-Base beschrieben …
… aber wenn Du ein festes Präfix hast, dann brauchst Du dafür kein DHCPv6. Stattdessen vergibst Du direkt auf dem Server die IPv6-Adresse nicht dynamisch sondern statisch. Hast Du kein statisches sondern ein dynamisches Präfix, dann solltest Du ganz die Finger von DHCPv6 lassen – das Warum steht dick im Referenzhandbuch: „[Ohne ein statisches Präfix] kann es passieren, dass der Provider dem Router ein neues Präfix delegiert hat, aber der Client noch eine Adresse aus dem Pool mit dem alten Präfix besitzt.“ Anders formuliert: Du bist bis zum Ablauf der DHCPv6-Lease nicht über IPv6 erreichbar. Erhältst Du kein statisches Präfix, schaltest Du die Privacy-Extensions auf dem Server aus (Ubuntu als ein Beispiel). Jetzt gibst Du im Lancom beim Stations-Objekt statt einer IPv6-Adresse den nun stabilen Host-Identifier = EUI-64 an. Kannst Du weder die Privacy-Extensions ausschalten noch IPv6 statisch vergeben … dann viel Spaß mit DHCPv6.
Benutzeravatar
VX500
Beiträge: 52
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von VX500 »

Nach langen "Experimentieren" funktioniert bei meinen zwei Lancom-Routern inzwischen IPv6 mit dynamisch zugeteiltem PD-Präfix. Sowohl SLAAC als auch DHCPv6. Das war aber eher aus der Schublade try-and-error als denn Vorgehen nach Dokumentationen. Da könnte Lancom durchaus etwas mehr Fallbeispiele bzw. verständlichere Szenarien beschreiben.

Das allgemeine Problem bei dynamischen PD-Präfixen ist der Umstand, dass wenn kein Reconf ausgehandelt wird, der Client noch die inzwischen ungültige IPv6-Adresse verwendet, während der Router vom Provider ein neues Präfix zugeteilt bekam und auch schon verwendet.

Mein Snom D345 IP-Telefon beherrscht z.B. kein Reconf. Da hilft dann nur Stecker raus und wieder rein zum reboot. Zum Glück hält meine Telekom IP-Verbindung mehrere Wochen.


Grüße
Sascha
失败是成功之母
Beiträge: 73
Registriert: 03 Aug 2020, 14:18

Re: IPv6-Subnetz gleichzeitig mit DHCPv6 & SLAAC zwecks Privacy Extensions betreiben?

Beitrag von 失败是成功之母 »

VX500 hat geschrieben: 11 Dez 2020, 21:07 dynamisch zugeteiltem PD-Präfix
Der original Thread-Ersteller hatte eine andere Baustelle. Du möchtest Stateful DHCPv6 mit einem dynamischen IPv6-Präfix machen und versuchst das über einen kaskadierten IPv6-Router zu tricksen. Wie das geht, steht jetzt Deinem Thread …
Antworten