Neuer wagt sich ins IPv6 Abenteuerland

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
bergy
Beiträge: 14
Registriert: 09 Mai 2006, 09:36

Neuer wagt sich ins IPv6 Abenteuerland

Beitrag von bergy »

Ihr werdet mich sicherlich steinigen, aber ich gehe irgendwie lost und finde den passenden Guide nicht...

Aktueller Stand:

Telekom DSL mit fester IPv6 2003:000a:xxxx:yy00:0000:0000:0000:0000/56 (entnommendem Kundencenter, nur anonymisiert ;)

Im Haus läuft alles aus dem Router über einen V-LAN getaggten Ethernet Port zum gemanagten Switch.
Unter IPv4 läuft auch entsprechend alles wie es soll, die verschiedenen Netzseqmente haben Ihren eigenen VLAN-Tag und Routing Tags für die Firewall Regeln.

Unter IPv6 bin ich nun soweit:
Unter IPv6 -> Allgemein -> Schnittstellen sind drei Einträge mit Interface Namen, VLAN-ID und Schnittstellen Tag eingetragen (Autokonf. Router-Adv und Forwarding sowie Firewall sind eingeschaltet). Der Einfachheit halber lauten VLAN-ID und Schnittstellen Tag jeweils gleich und sind mit der Subnetz-ID( kommt später) identisch.

Unter Schnittstellen Optionen treffe ich die Interface-Namen mit Ihren Standard Einstellungen wieder.

Dann habe ich Präfixe angelegt ( hoffe da alles richtig gemacht zu haben):
Als Präfix habe lasse ich das vom Router gelieferte Pröfix unangetastet Präfix: ::/64
Subnetz-ID ist in meinem Fall wohl nur ein Byte lang.
Ansonsten alles auf Standarf belassen: Adv. OnLink und Autokonfiguration erlauben sind enabled.
Präfix beziehen vom aktiven T-CLSURF Eintrag-

Unter DHCPv6 Server habe ich mal zwei der Interface-Namen angelegt und den Server aktiviert.
(weitere Einstellungen habe ich unter DHCP nicht gemacht.

Jetzt gehts weiter mit der Routing Tabelle:
Wieder drei Einträge.
Hier habe ich jetzt den von der Telekom gelieferten Präfix und die jeweilige Subnetz-ID zusammengepackt:
Präfix: 2003:a:xxxx:yy03::/64 (mal als Beispiel)
Als Router-Tag ist ebenfalls die 3 vergeben und als Gegenstelle habe ich den DEFAULT Router.

In den Firewall Regeln habe ich analog zum Ipv4, IPv6 Forward-Regeln angelegt welche den Access aller Quell getaggten Pakete auf gewünschte Routing Tag umbiegen und zwar erst einmal alle Dienste von Anyhost,Localnet nach Anyhostz, Localnet.

In allen drei Netzen habe ich nun einen Rechner stehen.
Alle Rechner bekomnen Ihre Ipv6, die Subnetz ID kann ich wiederfinden, der Rechner kann den Router pingen, Router kann Rechner pingen.
Aber zwischen den Rechnern bekomme ich keinen Ping durch.

Gibt es ebenso ausführliche Anleitungen zum Ipv6 wie beim Ipv4 ?
Ich habe leider nichts gefunden, nur relativ spezielle Themen habe ich gefunden...


Gruß

Bergy
bergy
Beiträge: 14
Registriert: 09 Mai 2006, 09:36

Re: Neuer wagt sich ins IPv6 Abenteuerland

Beitrag von bergy »

Einen Schritt bin ich nunmehr weiter:

Ich kann sehen dass Pings von einem Rechner in einem VLAN Segment auf einen Rechner im anderen Segment die Firewall in den IPv6-Inbound Regeln durchlaufen und mit der defaulr Regel ALLOW-ICMP durchlaufen.

Allerdings würde ich erwarten dass das Paket auch im Bereich IPv6-Forwarding Regeln durchlaufen wird, weil nur dort kann ich aufgrund eines Quell-Tags ein Routing Tag setzen.
Hier laufen die Pakete aber nicht auf ?!?

[IPv6-Firewall] 2021/03/12 17:35:57,109 Devicetime: 2021/03/12 17:35:57,325 [info] :
The packet below, received from INTRANETV6_143 scope global
Internet Protocol Version 6
Payload length: 40
Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)
Next header: ICMPv6 (58)
Hop limit: 128
Source: 2003:a:xxxx:xx8f:bxax:8c6e:xxxx:810
Destination: 2003:a:xxxx:xx08:5xax:5138:xxxx:5528
Internet Control Message Protocol v6
Type: 128 (unknown ICMPv6-Type)
Code: 0
Checksum: 0x7926
matched INBOUND rule ALLOW-ICMP
OK


Ein Trace auf den IPv6-Router zeigt dann wie folgt.
Schlußendlich scheinen Pakete dann im Lokus zu landen..

[IPv6-Router] 2021/03/12 17:18:40,720 Devicetime: 2021/03/12 17:18:40,883 [INTRANETV6_143 (8)]
IP packet, scope global, routing tag 143:
IPv6: 2003:a:xxxx:xx8f:bdac:8x6x:xxxx:810 -> 2003:a:xxxx:xx08:5xax:5138:xxxx:5528, Payload-Len: 40
ICMP: Echo (ping) request (128), ID: 1, Seq: 111
--> Firewall: dropped/rejected
bergy
Beiträge: 14
Registriert: 09 Mai 2006, 09:36

Re: Neuer wagt sich ins IPv6 Abenteuerland

Beitrag von bergy »

Challange completed

Ich hatte eine Menge kleiner Probleme (meist eher mangelnde Kentnisse) aus dem Weg zu räumen, aber nun funktioniert es:

Ich habe nun ein privtes IPv6 Netzerk bestehend aus mehreren Segmenten mit jeweils 64 Bit langen Netzwerksegmenten.
Jedes der Netzsegmente liegt auf einem eigen VLAN.

Ich würde nun gerne ein schönes kleines Tutorial daraus bauen, muss aber noch ein wenig meine Konfiguration aufräumen um genau zu eruieren was notwendig war und was nicht.
Außerdem habe ich jetzt an einigen Stellen fixe (um die von mir spezifizierten Segment-IDs erweiterte ) IPs in der Konfiguration, obwohl zumindest der Präfix vom Provider propagiert wird.
Sollte sich aus irgendeinem Grund der Provider Präfix ändern müste ich an mehreren Stellen Änderungen in der Konfiguration vornehmen, was nicht wirklich so überdacht sein kann....

Ich fang jetzt erst einmal mit dem Aufräumen an und melde mich dann in den nächsten Tagen...

Grüße aus LA(ndshut)
Benutzeravatar
edvPlanet
Beiträge: 20
Registriert: 12 Jan 2021, 11:23

Re: Neuer wagt sich ins IPv6 Abenteuerland

Beitrag von edvPlanet »

Hallo,

ein IPv6 Tutorial wäre super!
Und Danke im Voraus für das Teilen der Erfahrungen.

Sobald der Load-Balancer auch unter IPv6 sauber funktioniert, werde ich wieder IPv6 einstellen.


Viele Grüße
Thomas
Lancom: 1906VA-4G , WLC4006+, L-1302acn, L-452agn, 1781EF+, UF-260
Provider: DeutschlandLAN IP Voice/Data S Premium,
Unitymedia/Vodafone Red Business I & P 500 Cable
Antworten