IPv6 /64 Prefix und Subnetting

[lovechan]

Nabend,

wenn ich vom ISP eine IPv6 mit 64er Prefix zugewiesen bekomme, kann ich dann trotzdem noch subnetting betreiben?
Ich habe viel gelesen, dass die Netzunterteilung im Bereich <64 passiert bzw. der ISP eben einen Prefix <64 bereitstellen muss, obgleich natürlich eine kleinere Aufteilung möglich ist.

Ich habe zahlreiche VLANs und wenn das jetzt nicht gehen würde, müsste ich ziemlich umplanen; zumindest was die direkte Internet Konnektivität angeht.

Ich habe es testweise mit /65er Netzen versucht, kriege dann aber nur eine interne Verbindung.

 

[Sykehouse]

Nein, kleiner als /64 geht nicht...

 

[bin/bash]

Welcher ISP vergibt nur /64er? Selbst die ganz geizigen vergeben ein /62er, damit könntest du 4 Subnetze realisieren. Üblich sind aktuell aber eher /56er und das ist fürn den Privatgebrauch erstmal ausreichend.

 

[riversource]

Theoretisch geht das natürlich. Du kannst /80 oder /96 daraus machen. In der Praxis hat das aber kaum Relevanz, da SLAAC dann nicht funktioniert. Damit sind viele Geräte von vornherein ausgesperrt.

Ich habe zahlreiche VLANs

Das wirst du vergessen können.

 

[Marco01_809]

Für das gewöhnliche SLAAC braucht jedes Netzwerk ein eigenes /64, weil die Endgeräte die hinteren 64 Bit zufällig generieren.

Du kannst kleinere Subnetze machen und dann einzelne IPv6 Adressen mit DHCPv6 verteilen. Einige Clients ignorieren das aber und wollen nur SLAAC. Allen voran Android weigert sich DHCPv6 zu unterstützen. Ist auch irgendwie blöd weil die IPv6 Adressen der Endgeräte ja öffentlich genutzt werden und Geräte dann gezielt identifiziert werden können.

Alternative sind ULAs, da kannst du einen zufälligen fdXX:XXXX:XXXX::/48 Präfix auswürfeln und daraus /64er verteilen. Und dann NAT6 auf dem Router machen. Das ist ganz murksig und wollte man bei IPv6 eigentlich abschaffen. Einige Geräte glauben irrtümlich dass sie keine Internetverbindung haben wenn sie nur eine ULA bekommen und/oder priorisieren IPv4-Kommunikation.

Will man beides nicht gibt es noch die Notlösung mit dem NDP Proxy/Relay, afaik tlw. auch "IPv6 passthrough" genannt. Kann aber nicht jeder Router.

Wenn der ISP angegeben hat IPv6 zu unterstützen würde ich mich zuerst mal beschweren dass du kein ordentliches IPv6 sondern nur so einen Murks bekommen hast. Kannst ja was erzählen vonwegen du brauchst IPv6 zum Zuhause arbeiten, Android geht nicht, u.s.w.

 

[lovechan]

Ich habe gesehen, dass ich den Prefix von Deutsche Glasfaser erhalten habe und dort angerufen, ob das so korrekt sei. Das wurde mir bestätigt.

Ich habe jetzt den Prefix aufgrund eurer Antworten manuell auf 56 gesetzt und es scheint zu funktionieren!

Nächster Schritt ist sich eine Lektüre zu beschaffen, scheinbar gibt es in dem Bereich noch einiges zu lernen.

Vielen Dank Euch und einen schönen Sonntag!

 

[riversource]

Nächster Schritt ist sich eine Lektüre zu beschaffen, scheinbar gibt es in dem Bereich noch einiges zu lernen.

Das ist dringend zu empfehlen, denn bedenke: IPv6 Adressen sind öffentliche Adressen, die Geräte hängen direkt und ohne jeden weiteren Schutz im Internet und können von außen attackiert werden. Das heißt auch, dass du im Router die Firewall komplett selber einrichten musst, für jedes einzelne VLAN. Da du offensichtlich einen Router mit weitreichenden Konfigurationsmöglichkeiten hast (immerhin kannst du die Prefix-Länge konfigurieren), wirst du da viel Arbeit investieren müssen, und es ist nicht davon auszugehen, dass der Router standardmäßig irgendwelche blockierenden Regeln einrichtet. Unterschätze das nicht!

 

[Marco01_809]

Bevor man die Pferde scheu macht wäre es vielleicht interessant zu wissen welchen Router er denn nutzt.
Leere Firewall ist sicher nicht der Regelfall bei den meisten Geräten die es zu ihm geschafft haben können. Und wenn er doch mit Enterprise Hardware arbeitet und bisher alles läuft wird er das schon hinbekommen.

 

[riversource]

Leere Firewall ist sicher nicht der Regelfall bei den meisten Geräten

Ganz im Gegenteil. OPNSense, PFSense, Microtik, Unify, ... um nur einige zu nennen, die im Auslieferzustand keinen hinreichenden Schutz für IPv6 zur Verfügung stellen.

Und wenn er doch mit Enterprise Hardware arbeitet und bisher alles läuft wird er das schon hinbekommen.

Die Eingangsfrage lässt anderes befürchten.

 

[Bob.Dig]

Ganz im Gegenteil. OPNSense, PFSense, Microtik, Unify, ... um nur einige zu nennen, die im Auslieferzustand keinen hinreichenden Schutz für IPv6 zur Verfügung stellen.

Das ist Quatsch. Vielleicht solltest Du dich auf deine Kernkompetenz konzentrieren, iptables und nftables?

 

[riversource]

Das ist Quatsch.

Hast du dir je einen der Router im Auslieferzustand angesehen?

Vielleicht solltest Du dich auf deine Kernkompetenz konzentrieren, iptables und nftables?

🤣 Was nutzen die meisten der aufgezählten Systeme denn?

 

[norKoeri]

eine Lektüre

Schwierig, ich wüsste kein einzelnes Werk, das alle Themen rund um IPv6 aus Sicht eines IT-Adminisrators beleuchtet. Hat da jemand was?

Man kann bzw. muss bei einigen Internet-Anbietern ein größeres IPv6-Präfix direkt über den Router anfordern. Bei Anderen bekommt man gleich ein ausreichend großes Präfix. Ich befürchte so Dinge stehen nur in der c’t. Auch das selbst heute noch, selbst Heim-Router für IPv6 keine Firewall ab Werk schalten (Quelle; Abschnitt „Internet-Server“, zweiter Absatz), manche sogar gar nicht haben, verdrängt man gerne. Auch ich empfehle hier lieber Testen als Vermuten oder Hoffen.

Auch hoffe ich, dass der Thread-Ersteller kein dynamisches sondern ein statisches Präfix hat – weil er sonst seine Dienste und seinen Router überprüfen muss, ob der Wechsel des Präfix verkraftet wird.

Netzunterteilung

Was genau hast Du mit welchem Router vor? Willst Du lediglich ein Gast-Netz? Oder willst Du auch Dienste bereitstellen?

 

[syhm]

Hast du dir je einen der Router im Auslieferzustand angesehen?

pfSense und Opnsense haben beide "Default Deny" Policies für jeglichen IPv4/IPv6 Traffic.
https://docs.netgate.com/pfsense/en/latest/firewall/best-practices.html#default-deny

Beschreibe doch bitte mal was du unter ausreichendem Schutz verstehst.

 

[riversource]

Es fehlen rt-type Regeln, auch ausgehend, vor allem rt-type 0.

pfSense und Opnsense haben beide "Default Deny" Policies für jeglichen IPv4/IPv6 Traffic.

Haben sie nicht. Sie haben eine Regel am Anfang, die vieles blockt, aber keinen "first match" Charakter hat.

 

[lovechan]

Ich teste gerade privat einen TP-Link ER707-M2, der seit kurzem IPv6 ACLs beherrscht, als Ersatz für meine OPNsense. Bei TP link ist tatsächlich alles per default offen (das bin ich anders von Fortinet gewöhnt).

Ich habe mir das Buch bestellt: Third Generation Internet Revealed: Reinventing Computer Networks with IPv6

Allgemein wirkt die Implementierung von IPv6 zumindest bei Unifi und TP-Link/Omada so halb Garr.
Ich habe allerdings noch kein Anbieter (für privat) gefunden, der in jeder Hinsicht überzeugt (Zentrales Management, Kosten...)

Ja, ich stelle Dienste bereit und wollte mein Setup mit IPv6 vereinfachen; wenn alles klappt kann ich den Tunnel zum VPS abschaffen, der der "Umgehung" von CG-NAT dient + ich wollte mir das schon immer mal anschauen.

 

[riversource]

Allgemein wirkt die Implementierung von IPv6 zumindest bei Unifi und TP-Link/Omada so halb Garr.

Wenn man sich den letzten c't Test ansieht, dann betrifft es nicht nur die beiden.

Ich habe allerdings noch kein Anbieter (für privat) gefunden, der in jeder Hinsicht überzeugt (Zentrales Management, Kosten...)

Üblicherweise bekommt man seine Vorstellungen inzwischen abgebildet. Allerdings bieten wenige dieser Semi-professionellen Router "Out-of-the-Box" Vorgaben, mit denen man einfach leben könnte. Das heißt, um seine Vorstellungen umzusetzen, ist viel Anpassungsaufwand nötig, auch wenn das oben mal ebenso als "Quatsch" abgetan wird. Die Alternative sind einfache Router, wie z.B. Fritzboxen, die aber natürlich auch sehr eingeschränkt in der Funktionalität sind, spätestens, wenn es zu VLANs kommt.

Ja, ich stelle Dienste bereit und wollte mein Setup mit IPv6 vereinfachen; wenn alles klappt kann ich den Tunnel zum VPS abschaffen, der der "Umgehung" von CG-NAT dient + ich wollte mir das schon immer mal anschauen.

Das Ziel ist gut nachvollziehbar, aber ob du damit den Tunnel zur Umgehung von CGNAT ersetzt bekommst, solltest du noch mal kritisch hinterfragen. Viele Netze, z.B. WLAN Hotspots, Firmennetze, Hotelnetze, unterstützen kein IPv6, und dann hast du ohne diesen Tunnel verloren. Die Frage ist, wie oft brauchst du aus solchen Netzen Zugriff, und ist der Handy-Hotspot dann im Zweifel eine gangbare Alternative.

 

[norKoeri]

Ich habe allerdings noch kein Anbieter (für privat) gefunden, der in jeder Hinsicht überzeugt (Zentrales Management, Kosten...)

Mein Tipp: Eigenen Thread dafür aufmachen, dann können wir eine Kaufberatung starten. Am besten im Ausgangspost all das auflisten, was an FRITZ!OS fehlt.

wenn alles klappt kann ich den Tunnel zum VPS abschaffen, der der "Umgehung" von CG-NAT dient + ich wollte mir das schon immer mal anschauen.

Man lernt quasi nichts, außer dass die Hersteller selbst keinen Plan von IPv6 haben bzw. man lernt vielleicht wie man bei einem Hersteller dessen Gehirnwindungen folgt. Dann bei der nächsten Modell-Generation ist solch ein Wissen bereits für den Popo. Oftmals panschen auch mehrere Entwickler an den Software-Modulen rum, kennen die Zusammenhänge nicht, so dass man bei jedem Firmware-Release eigentlich nachtesten müsste. Daher auch von mir der Tipp: Wenn im Moment eigentlich alles tut, so lassen, denn wirklich viele Internet-Anschlüsse – besonders im Ausland – haben noch überhaupt kein IPv6.

 

[M-X]

Das ist dringend zu empfehlen, denn bedenke: IPv6 Adressen sind öffentliche Adressen, die Geräte hängen direkt und ohne jeden weiteren Schutz im Internet

Bitte was ? Nur weil man eine öffentliche IPv6 Addressee hat verschwindet doch nicht die Firewall...

 

[riversource]

Nur weil man eine öffentliche IPv6 Addressee hat verschwindet doch nicht die Firewall...

Wenn man sie mal eingerichtet hat, dann nicht. Ich erinnere:

Bei TP link ist tatsächlich alles per default offen (das bin ich anders von Fortinet gewöhnt).

Immer dran denken, stand auch im c't Tests damals: Niemals davon ausgehen, dass die Hersteller die Firewall vernünftig eingerichtet haben. Diesbezüglich ist IPv6 erheblich kritischer, als IPv4, weil die NAT Barriere wegfällt. Bei IPv4 musste man explizit was tun, damit Pakete von außen die Rechner im LAN erreichen. Bei IPv6 ist es umgekehrt, da muss man was tun, damit die Pakete die Rechner nicht erreichen.

 

[Darkman.X]

Ihr diskutiert ja fleißig über Firewall-Geschichten, aber ihr stört euch nicht daran?

Ich habe jetzt den Prefix aufgrund eurer Antworten manuell auf 56 gesetzt und es scheint zu funktionieren!

Wenn die Deutsche Glasfaser nur 64er Prefixe verteilt, entstehen bei der Aktion des TEs dann nicht IP-Adressen-Konflikte? Weil der manuelle 56er Prefix + Subnetting vom TE könnte doch zufällig identisch mit einem 64er Prefix eines anderen DG-Kunden sein. Oder sehe ich das falsch?

EDIT:
hmm, warte, durch den Interface-Anteil ist das doch nicht problematisch, die IPv6-Adressen wären weiterhin einmalig. Zumindest für ausgehenden Verkehr wäre es kein Problem. Aber eingehend dürfte der verkürzte Prefix nicht funktionieren, oder?

EDIT2:
Oder wäre ausgehend doch auch problematisch? Wegen dem Routing für die Rücksendung der ACK-Pakete.
Ich bin mir gerade unsicher / verwirrt...