[IPv6] Prefix delegation mit zugewiesener /64

[RalphS]

Hallo liebe CB-Netzwerkfachpersonen und -personinnen,

hier für Euch ein kleines Problem, an dem ich mir leider inzwischen insgesamt über ein Jahrzehnt (aus verschiedenen Gründen allerdings) die Zähne ausgebissen hab.

Das Ziel: Globale IPv6 Adressen an Clients im Netzwerk verteilen.
Problem: Es gibt mehrere Subnetze und der vom IAP zugewiesene Prefix ist ein /64.

Nun bin ich nicht gänzlich unbewandert beim Thema Netzwerk, allerdings sicherlich auch nicht ganz vorbelastet aus Richtung IPv4. Dennoch hatte ich mir eingebildet, soo schwer könne ja ein einfaches Deployment von v6 nicht sein, und sei es nur zunächst zu Testzwecken.

Topologie ist folgendermaßen:

* WAN liefert einen v6 Prefix /64 vom Provider an eine Fritzbox 6490 Cable.

• Die FB verteilt auch brav Adressen aus diesem Prefix an alle angeschlossenen Geräte.
• Die FB hat IA_PD konfiguriert.

• Dran hängt ein Cisco rv340w, der gemäß Status an seinem verbundenen WAN-Interface auch die von der FB vergebene v6 Adresse konfiguriert hat.
• Allerdings bekommt das LAN-Interface davon nichts ab (bzw die als VLAN konfigurierten Ports). Die haben nur eine FE80::/16.
• Die VLAN-Konfiguration weist für IPv6 einen verfügbaren PD Prefix aus, der auch ausgewählt werden kann.... allerdings lautet dieser auf "Unavailable" und abgeleitete Adressen lassen sich nur aus ::/64 konfigurieren (die ersten 64 bits also komplett 0).
• Unabhängig von der externen Konfiguration erhalten alle Clients im Netzwerk (die v6 begreifen) eine lokale Adresse aus FC00/7 und können problemlos miteinander reden. Funktioniert alles -- Ausnahme: externe Kommunikation. Grund ist simpel: Es gibt keine funktionierend Kombination Route/Rückroute, da es keinen stabilen (globalen) Prefix und damit keine statische Zieladresse gibt, die als Quelle (Ziel) für die Route verwendet werden könnte.

Nach bisherigem Stand bin ich mir folgender Situation erstmal bewußt:

• kein Provider sollte /64 ausliefern -- theoretisch. Machen sie aber. Hab ich keine Hand drauf.
• es besteht prinzipiell die Möglichkeit, statt eines größeren Prefixes einfach mehrere Prefixes anzufordern. Das würde prinzipiell zunächst genügen.
• Die /64 als Grenze zwischen Netz und Host ist (zumindest imo) völlig arbiträr, es spricht mE exakt gar nichts dagegen, aus einem verfügbaren /64 einfach irgendwas ab /65 abzuleiten. Adressraum ist ja genug da. Allerdings scheint mir da "etablierte Konvention" einen Strich durch die Rechnung zu machen.
• Im Gegensatz zu v4 stell ich bei v6 anscheinend einfach zu blöd an, was Routing angeht. Der wechselnde Prefix hilft natürlich nicht, aber auch kurzfristig wollen statische Routen einfach nicht das tun, wozu sie eingerichtet wurden.
• Mit ganz viel gutem Willen könnt ich natürlich den Cisco aussondern und/oder ihn seines Routerstatuus berauben, sprich einfach die Fritzbox flach hierarchisch nur Clientadressen verteilen lassen. Das würde aber ab dem Moment schiefgehen, wenn nur ein weiteres Gerät wie zB eine Firewall dazwischen geschaltet wird. Plus ehrlich gesagt wäre mir diese Lösung auch zu trivial, da das Problem umgangen und nicht behoben würde.

An manueller Konfiguration, die vermutlich eh erforderlich ist, würde es sicherlich nicht scheitern, aber ich fürchte ich seh inzwischen den Wald vor Bäumen nicht mehr (und bin nicht mal zuversichtlich, daß der zugewiesene Prefix stabil ist; schätze eher, daß der nach ein paar Tagen ein ganz anderer wird).

Daher grob zusammengefaßt:
A - Multiple Prefixes anfordern mit einer Fritzbox: Wie? Internes v6 Routing krieg ich hin, bräuchte aber natürlich irgendeine Quelle und irgendein Ziel, daher würde das nur mit weiteren Prefixes funktionieren.

B - Bevorzugt: IA_PD schön und gut, aber die zugewiesenen /64 müssen ja irgendwie aufgeteilt werden. Läßt sich das irgendwie bewerkstelligen?

C - Manuelle Konfiguration - gerne, aber hat da jemand ein paar Einstiegspunkte für mich, auf welcher Basis ich da vorgehen muß? Grundannahme wäre hier, daß Autokonfiguration ins Leere läuft und daß also selber Hand angelegt werden soll.

D - obligatorisch - vielleicht mach ich's mir auch viel zu schwer, hat jemand Alternativvorschläge für eine Segmentierung von /64 Prefixes? Rein intuitiv sollte das ja nicht mal im Ansatz ein Problem darstellen, aber die Erfahrung hat mir bisher leider keine positiven Ergebnisse eingebracht.

Ansonsten werd ich glaub ich über kurz oder lang das gottverdammte Thema zu den Akten legen müssen. Wenn's nicht geht, dann geht es eben nicht.

Zugegeben. Bin gerade etwas frustriert, weil alles funktioniert "nach innen" und auch alles funktioniert "nach außen" aber es da diesen kleinen unscheinbaren völlig trivialen Hop gibt, wo partout kein Datenverkehr drüber will, komme was da wolle und egal was ich mach.
Man möge es mir hoffentlich nachsehen.

 

[xexex]

die zugewiesenen /64 müssen ja irgendwie aufgeteilt werden. Läßt sich das irgendwie bewerkstelligen?

Nein und damit ist deine Abhandlung eigentlich erledigt, die kleinste Einheit in einem IPv6 Netzwerk ist nun mal /64.
https://www.elektronik-kompendium.de/sites/net/1902111.htm

Betreibe die Fritzbox als Modem oder hole dir eine Geschäftkundenleitung mit einem 56er Präfix.
https://kabel.vodafone.de/hilfe_und...raefix-und-nicht-wie-angegeben-ein-56-praefix

 

[timse201]

Unter Zugangsdaten kannst du das Lan-Präfix in der Fritzbox beschränken. Einfach mal Probieren ob das geht. Bei der Telekom bekomme ich standardmäßig eine 56er.

Grundsätzlich aktuell ist wieder der ipv6 Stack von Windows 10 kaputtgepatcht. Daher macht das wahrscheinlich aktuell wenig Sinn sich darüber Gedanken zu machen. Für vielleicht eine halbe h hast du öffentliches IPv6 danach nicht mehr und musst das selbständig wieder refreshen.
https://social.technet.microsoft.co...elessdhcp-since-windows-10-anniversary-update

 

[RalphS]

Nein und damit ist deine Abhandlung eigentlich erledigt, die kleinste Einheit in einem IPv6 Netzwerk ist nun mal /64.
https://www.elektronik-kompendium.de/sites/net/1902111.htm

Das ist auch die Endstation, die ich bisher finden konnte.... aber sorry, mit sowas Arbitärem abfinden hieße, daß IPv4 fortschrittlicher wäre als v6. Niemand, kein Privatmann und kein Geschäftsmann, braucht die Abermilliarden Adressen in einer /64. Der Gedanke, mehr Geld für noch mehr unnütze Adressen ausgeben, ist abstrus. Von da an müßte ich pure kommerzielle Absichten nur für den Einsatz von v6 unterstellen. Was, weil der normale Privatanwender keine Subnetze verwendet, soll der Privatanwender der das möchte drauflegen?.... Nach der Argumentation könnte ich die Problematik ad acta legen mit Vermerk "so nicht".

Unter Zugangsdaten kannst du das Lan-Präfix in der Fritzbox beschränken. Einfach mal Probieren ob das geht.

Mmm... danke für den Hinweis, da hab ich wirklich entweder nicht geschaut oder es wurde irgendwann per FW Update hinzugefügt.
Bei mir läuft das unter "Internet | Zugangsart", da kann ich sagen ob natives v4 oder natives v6 oder sonst was und dort gibt es (seit neuestem?) auch die Option, eine explizite Prefixlänge anzufordern.

=> Wollte mich schon blöd fühlen. Wär mir sogar lieb gewesen irgendwie. Aber leider kann ich da einen beliebigen Prefix zwischen 48 und 64 eintragen (probiert); es gibt trotzdem nur einen /64 zugewiesen.

Und ja, wir reden hier von PYUR. Telecolumbus. Oder wie sie jetzt heißen. Die haben sich die ganzen Jahre noch nicht mit Ruhm bekleckert, wenn es um v6 ging.


PS - es geht nicht nur um Windows, sondern es geht um jede Menge verschiedene Maschinen; und wie gesagt v6 funktioniert erstmal (lokal) sodaß ich bei einem Ausfall von globalem v6 nochmal gucken müßte, aber dazu müßte es überhaupt erstmal tun.

 

[Bob.Dig]

Finde es auch merkwürdig, abermillionen Hostadressen aber nur ein Subnet, irgendwie verrückt. Gibt es da wirklich keinen Weg drumherum? z.B. das Subnet soll nur für IPv4 gelten oder irgendwas? 😉

 

[RalphS]

Bin grad am Schauen - das oben verlinkte Elektronikkompendium "suggeriert", daß man evtl einen v6 Gateway per RA einrichten könnte, auch dann, wenn der "Parent prefix" schon 64bit lang ist.
Schau ich grad mal durch, ob sich damit irgendwas erreichen läßt.

Ehrlich gesagt kotzt mich die v6 Geschichte jeden Tag ein bißchen mehr an. "Alles so einfach!" Ja, aber für eigene Konfiguration ist kaum was vorgesehen (scheint es) und ich sehe überhaupt nicht ein, mich für mein lokales Netz von irgendwelchen Idiosynkrasien eines externen Providers abhängig zu machen. Die haben in meinem lokalen Netz exakt gar nichts zu suchen.

 

[Bob.Dig]

@RalphS Inwieweit lokal? Lokal kannst Du ja machen was du willst (fd00::/8 ), aber die Adressen sind global. Es wirkt auf mich wie ein Designfehler, beim Interface-Identifier so viel zu ermöglichen, um dann bei den Subnetzen dann doch stark begrenzt zu sein. Wobei ich sagen muss, als Homeuser brauche ich doch tatsächlich nicht unbedingt verschiedene Sub-Netze. Hab bei mir zwei aufgesetzt, eines mit und eines ohne globales IPv6. Liegt aber nur daran, dass mein VPN-Provider kein IPv6 unterstützt.

Telecolumbus (Pyur) gibt auch auf Nachfrage nicht mehr als einen /64 aus. Ob es beim Businesstarif mehr wären, hat man mir nicht mitgeteilt. Zuerst hat man aber mein Ticket einfach unbeantwortet geschlossen. Pyur halt. Da darf man froh sein, wenn es überhaupt läuft.

 

[RalphS]

@Bob.Dig richtig, es funktioniert alles wie erwartet unter ULA (fc00::/7 genügt meines Wissens, nicht daß das besonders relevant wäre). Aber ipv6 routet an der Stelle nicht, sondern macht sichs einfach, indem einfach entsprechend eine Adresse aus jedem Scope zusätzlich zugewiesen wird. Wenn Routing zwischen fc00::/7 und 2000::/3 funktionieren würde, oder wenn es zu NATen ginge (oder Prefixes < 64 zugewiesen würden) dann hätte ich das Problem nicht. 🤔

Subnetze kommen ganz schnell. Jedes VLAN ein Subnetz. Hardware-FW hingestellt, ein Subnetz. DMZ, ein Subnetz. Sogar das Gastnetz der FB (in ipv4) ist ein extra Subnetz, auch wenn die FB ansonsten nur ein einziges Subnetz unterstützt.

Und den Moment wo es ein weiteres Subnetz gibt, funktioniert unter den genannten Umständen kein globales IPv6 mehr, da keine globale v6 Adressen zugewiesen werden (können gemäß "Spezifikation") und das obwohl mehr als ausreichend davon da sind.

Wenn ich bei mir IPv4 deaktiviere, komm ich nicht ins Internet.

Dualstack wäre möglich - doppelter Administrationsaufwand und mehr Fehlerquellen, aber es geht -- nur wenn ich das mach, dann funktioniert der Internetzugriff nicht mehr, da v6 präferiert wird über v4 und wenn ich diese Präferierung ändere, dann kann ich mir v6 auch sparen, weil dann überall v4 verwendet wird.

Alles was nach bisherigem Kenntnisstand zuverlässig funktioniert, ist, ipv6 komplett zu dekonfigurieren und sich der Problematik zu verschließen. Nur wäre das in meinen Augen ein ziemliches Armutszeugnis, vor allem nach so vielen Jahrzehnten.

Ehrlich gesagt will ich mich an der Stelle gar nicht mal über TC beschweren: die haben mit privaten Netzwerktopologien überhaupt nichts zu tun und von denen zu verlangen, das zu berücksichtigen, ist albern.
Es werden 2^64 Adressen vergeben. Die sollten für jedermann ausreichen. Was die Kunden damit machen ist nicht TCs Problem und geht sie auch gar nichts an.
Selbst wenn sie für Privat sowas wie ::/96 vergeben würden - das wäre immer noch der komplette Adressraum von v4 und damit für Einzelne immer noch viel zuviel, also überhaupt kein Kommentar von meiner Seite.

Nein, da ist augenscheinlich wirklich ipv6 an irgendeiner Stelle durch irgendwelche arbiträren Konventionen (die nicht mal in den Standard gehören sollten) kaputtgespielt worden, ähnlich GPT, was standardmäßig (aber nicht fix!) 128 Partitionen unterstützt, nur irgendwann von irgendwem pauschal auf "exakt 128" festgelegt wurde und alle anderen durchaus möglichen Optionen einfach mal so "weil ich es kann" abgesägt wurden.

Na ich klopp mich noch ein bißchen damit rum. Zeit genug hab ich ja. Werd mal gucken ob sich in irgendeiner Form NAT64 + DNS64 mißbrauchen läßt. Gefällt mir zwar nicht recht, aber vielleicht läßt sich damit zumindest ein bißchen lösen.

 

[Bob.Dig]

@RalphS Bist Du da weitergekommen? Hatte jüngst irgendwo gelesen, dass man durchaus auch kleinere Subnete aufmachen könnte, wenn man denn alles per Hand vergibt und auf DHCP verzichtet.

Hab mir im übrigen einen kostenlosen Tunnel (/48) von HE an die pfSense verbunden, jetzt habe ich mehr als genug Subnete und die Performance soll auch gut sein.

 

[RalphS]

Ich hab den Blödsinn erstmal in die Tonne getan. Ja, es müßte gehen - Problem ist, ich kann v6 nicht routen, weil ich einen dynamischen Prefix bekomme (warum auch immer). Theoretisch sollte was mit dhcpv6 gehen, aber nach meinem Verständnis müßte ich da immer hinterherlaufen und den zugewiesenen Prefix ändern, damit ich nicht versehentlich einem Client eine Adresse doppelt vergebe (wenn man das ignoriert, fehlt aber immer noch die Rückroute; der Prefix muß also passen).

Hatte überlegt, eine zweite physische Topologie einzurichten für v6. Also top-level die v4-Vergabe aufheben und dann v4-Adressen aus der einen Topologie beziehen und die v6-Adressen aus der anderen.
Aber das hebelt sämtliche Mechanismen aus und dann brauch ich mich auch nicht wundern wenn irgendwo was reinkommt was ich nicht will.

Also laß ichs erstmal ruhen. Eventuell kommt ja noch ein Geistesblitz oder es ändert sich irgwaendwas irgendwo und irgendeine Form der Privatnetzisolation kommt doch noch dazu. So wichtig ist mir v6 nicht, es wär zwar schön gewesen, v4 aus dem LAN rauswerfen zu können, aber das ist wohl aus arbiträren und konstruierten Gründen nicht möglich.

Bin aber gespannt, wie lange es dauert, bis der v6-Pool auch alle ist. Mit der totalen Verschwendung, die da betrieben wird, geht das womöglich noch schneller als bei v4.

 

[Bob.Dig]

Problem ist, ich kann v6 nicht routen, weil ich einen dynamischen Prefix bekomme (warum auch immer).

Ich kann hier in pfSense was einstellen (Do not allow PD/Address release ), dass der prefix bei Pyur(TC) stabil bleibt, wie lange maximal aber habe ich noch nicht ausgetestet. 😉

Ergänzung (12. April 2020)

Theoretisch sollte was mit dhcpv6 gehen

Denke nicht, das ginge nur komplett ohne DHCP, weil nicht standardkonform.

 

[Evil E-Lex]

Es geht grundsätzlich nicht. Du hast 64 Bit für dein Subnet und 64 Bit für den Interface Identifier. Da ist kein Spielraum mehr für weitere Subnetze. RFC 4291 definiert die Länge des Interface Identifiers mit 64 Bit:

For all unicast addresses, except those that start with the binary
value 000, Interface IDs are required to be 64 bits long and to be
constructed in Modified EUI-64 format.

RFC 4291 ist von Februar 2006, eine Überarbeitung hat es bislang nicht gegeben. Nur einige Anpassungen bezüglich der automatischen Erzeugung dieser 64 Bits. Über die Länge des Interface Indentifiers besteht Einigkeit. Daher gibt es zur Zeit keinerlei Bestrebungen diesen zu verkürzen, auch wenn man damit den zur Verfügung stehenden Adressraum halbiert.

Das Problem ist hier auch nicht der Interface Identifier, sondern dein Provider, der dir ein zu kleines Prefix zuteilt. An diesem Punkt solltest du ansetzen.

 

[Bob.Dig]

Jetzt mal theoretisch, wenn Du auf deinen Geräten alles selbst vergibst und die Netzmaske, ich meine Prefix, entsprechend klein ziehst, dann sollte die Topologie doch trotzdem funktionieren.

Und beim ISP hat man ja oft eh keine Wahl.

Mein Eindruck ist, dass IPv6 optimal ist für riesige, aber einfachste Netze, wegen dieser zu kurzen Prefixe.
Aber daran wird IPv6 nicht scheitern, weil es ja auch noch haufenweise nicht zugeordneten Adressbereich gibt. Bis jetzt ist ja nur um 2001 für öffentliche IPs ausgegeben worden...

Ergänzung (12. April 2020)

Aber warum vergeben Provider so kurze Prefixe... müssen sie etwas bezahlen für mehr Adressraum? Wollen sie künstlich einen Business-Tarif aufwerten? Gut ist das nicht für die Akzeptanz von IPv6.

 

[xexex]

Aber warum vergeben Provider so kurze Prefixe... müssen sie etwas bezahlen für mehr Adressraum? Wollen sie künstlich einen Business-Tarif aufwerten? Gut ist das nicht für die Akzeptanz von IPv6.

"Provider" vergeben nicht kurze Präfixe, wenn überhaupt dann ist es es einzig bei Pyur so. Überall sonst bekommst du meist einen /56er Präfix und als Geschäftskunde einen /48er. Damit kannst du Netze bauen bis du Schwarz wirst.

EDIT: Bei Unitymedia NRW gibt es einen /59er, reicht aber auch.

Bin aber gespannt, wie lange es dauert, bis der v6-Pool auch alle ist. Mit der totalen Verschwendung, die da betrieben wird, geht das womöglich noch schneller als bei v4.

Totaler Quatsch den du erzählst! Selbst wenn jeder einen /48er Präfix bekäme, wie es ursprünglich angedacht war, damit man die Routingtabellen der Router, im Gegensatz zu IPv4 klein halten kann, kann es immer noch 2^48 Netze geben und das macht dann schlappe 281.474.976.710.656 Netze. Bei /56 Präfixen sind dann 2^56 also 72.057.594.037.927.936 Netze möglich. Nur zum Vergleich, das gesamte IPv4 Netzwerk erlaubt theoretisch 4.294.967.296 Adressen, sie sind aber durch Reservierungen und eine ungleiche Vergabe zu Anfangszeiten nicht alle nutzbar.

Aktuell wird Weltweit sowieso nur der 2000::/3 Teil des IPv6 Netzraums überhaupt genutzt, also Adressen zwischen 2000 und 3fff und alle mir bekannten deutschen Provider fangen mit 2 an.

 

[Bob.Dig]

wenn überhaupt dann ist es es einzig bei Pyur so. Überall sonst bekommst du meist einen /56er Präfix

Dann ist es streng genommen nur bei Telecolumbus so, andere Netzbetreiber innerhalb von Pyur haben auch größere Prefixe, wie z.B. Primacom mit/56.

 

[Evil E-Lex]

Jetzt mal theoretisch, wenn Du auf deinen Geräten alles selbst vergibst und die Netzmaske, ich meine Prefix, entsprechend klein ziehst, dann sollte die Topologie doch trotzdem funktionieren.

Äh, nein. Der IPv6-Stack deines Routers wird mit derartigen Konstruktionen nichts anfangen können. Lokal mag das funktionieren, nur Routing und damit Zugang zum Internet ist so nicht drin.

Also warum vergeben Provider so kurze Prefixe... müssen sie etwas bezahlen für mehr Adressraum? Wollen sie künstlich einen Business-Tarif aufwerten?

Letzteres. Provider sollen an Endkunden /48 oder /56 ausgeben. /64 ist zwar auch möglich, allerdings wird davon abgeraten. Bei meinem ehemaligen Arbeitgeber (ein 10 Mitarbeiter Unternehmen) hat der Provider nach einem Telefonat gratis ein /48 herausgegeben.

Gut ist das nicht für die Akzeptanz von IPv6.

Das wage ich zu bezweifeln. Der Endnutzer weiß nicht, was ein Internet-Protokoll oder Subnetz ist. Für den ist nur wichtig, das Netflix, Youtube und Spotify laufen. Die paar Enduser die tatsächlich bedarf an mehr als einem Subnetz haben, können ja problemlos zu einem ISP wechseln, der dieses anbietet.

 

[Bob.Dig]

Äh, nein. Der IPv6-Stack deines Routers wird mit derartigen Konstruktionen nichts anfangen können.

Kennst Du meinen Router?

können ja problemlos zu einem ISP wechseln, der dieses anbietet.

Nope, zumindest nicht problemlos.

 

[Evil E-Lex]

Kennst Du meinen Router?

Du willst andeuten, dein Router verhält sich nicht standardkonform?

 

[Bob.Dig]

Du willst andeuten, dein Router verhält sich nicht standardkonform?

Ich kann zumindest die Prefix-Länge für jedes Interface beliebig selbst einstellen. Ich müsste es wohl einfach probieren, bin aber zu faul im Moment. 😉

 

[Evil E-Lex]

Hab eben einen RFC gefunden, der das Problem diskutiert:
RFC 7421: Analysis of the 64-bit Boundary in IPv6 Addressing
Dort heißt es:

The de facto length of almost all IPv6 interface identifiers is
therefore 64 bits. The only documented exception is in [RFC6164],
which standardizes 127-bit prefixes for point-to-point links between
routers, among other things, to avoid a loop condition known as the
ping-pong problem.

With that exception, and despite the comments above about the routing
architecture and the design of SLAAC, using an IID shorter than 64
bits and a subnet prefix longer than 64 bits is outside the current
IPv6 specifications, so results may vary.