Ein wenig ipv6 - gateway für Rückroute nicht automatisch?

mr44er

mr44er

moderater Moderator
Teammitglied
Ich habe ein paar Fragen, die ich gerne bestätigt wüßte.
Mit ipv6 fehlt Routine, bisher wenig damit gemacht. ;)

1.) IPV6-ICMP auf Router in alle Richtungen zulassen (zumindest für die Geräte, die ipv6 nutzen sollen), damit 'es' bzw. ndp uneingeschränkt arbeiten kann. Noch was?
2.) Habe gelesen, dass man ipv6_defaultrouter nicht setzen soll, weil ndp das automatisch macht. Also eine sog. fe80:+mac (link-local?) des Adapters zu den anderen. Das kommt zustande einfach 'so', wenn sie sich (ohne hop) sehen und fertig kommuniziert (advertising?) haben? Vllt. etwas blöd die Frage, weil ich das gateway explizit gesetzt habe und dann erst der ping von außen ankam, obwohl der Router direkt hinpingen konnte.
3.) Die link-local benutzt man 'sauber' als gateway, weil die nicht geroutet werden kann/darf/sollte? Als gateway könnte man aber auch die komplett öffentliche nutzen? Nennt man diese 'ULA'?
4.) Das Transfernetz (wenn es eines gibt) legt man aufs externe device, eines der möglichen Netze (sofern der ISP nicht geizig ist) dann auf intern?
 
hi

zu 1. nein nicht generell freigeben , im kern so wie du es auch bei ipv4 machst , srich nur bestimte typen.
zu 2. das default gw wird via router atvertisement verteilt , jedoch sollte das nicht für dein gw gelten da dieser eingetlich das nd macht
somit , zumindestens , auf den router der das advertisement macht , gateway etc manuel setzen es sei den du beziehst dort
dein ipv6 netz via slaac .
zu 3: link local addresse ist denkbar schlecht als gateway da sie "gewürfelt" ist. (gerade wenn die mac anonymisiert wird.
die link local ist quasi dein "localhost", ula ist uniq local address , das währen wenn du eigne addressen vergibst z.b.
du kannst dir ein netzt aus denken mit ppprefix start fdxx , siehe auch https://en.wikipedia.org/wiki/Unique_local_address ,
das ist der quasi privat bereicht ala rfc 1918 in ipv6.
zu 4: du beschreibst im kren slaac , dort wird auf deinem gw eine pp config gesetzt und bekommst dann eine netz zu geteilt.
bei mir ist das so das es alle x stunden es wechselt wie die ipv4 addresse des wegen mache ich 6 to 6 nat ,
da es fuer server ( nas z.b. ) sinniger ist eine feste addresse ( auch bei ipv6 ) zu haben.

holger
 
1.) Ok, verstanden. Wird gemacht.

Vorweg zu 2,3,4) Ich glaube, wir reden aneinander vorbei, weil ich zu doof war, den Weg zu beschreiben und ich ein Ausnahmefall im Privatbereich bin: feste IP-Adressen, sowohl ipv4 und ipv6. Mein Präfix ist fest. Ich war Erstkunde, als der lokale ISP hier startete. Feste IP und fast path gab es optional damals als Bonbon fast für lau und auf dem Vertrag bleibe ich sitzen, weil es das heute nicht mehr gibt.
Zwar 'nur' ein /62er, woraus ich 4x ein /64er zaubern kann, aber das wäre jammern auf hohem Niveau. ;) Trotz allem habe ich 24h-Kick und muss per pppoe einwählen.

2.) Ich habe folgenden Weg: jail(läuft auf server)->server->router(lanseite)->router(wanseite)
Der jail und router(lanseite) habe ich jeweils eine Adresse aus einem Netz meines öffentlichen Bereiches gegeben. Ab hier konnte ich von außen die router(lanseite) pingen, die jail jedoch nicht. Vom Router direkt konnte ich die jail auch nicht pingen, ndp -a zeigte sie auch nicht.
Dadurch irritiert, habe ich mal fix auf meinem Laptop (ebenfalls eine IP aus dem Bereich gegeben, wahrscheinlich war das nichtmal notwendig?) geguckt. Sofort sichtbar und pingbar.
Ab hier kam ich dann auf den Gedanken, dass die Rückroute ja nicht bekannt ist und habe die link-local von router(lanseite) als default-gw auf dem server gesetzt. Danach ging sofort ein ping von außen auf die jail und auch vom router direkt aus. Ist meine Annahme denn hier falsch, dass es zwischen internen Geräten ausreicht, über link-local zu kommunizieren? Hier wird ja nicht gewürfelt, die NICs haben ihre MAC.
Vielleicht wäre noch wichtig zu erwähnen, dass der Server selbst keine ipv6-Adressen hat, nur die jail. Eine Route in das Netz für die jail wird ja auf dem Server gesetzt, sobald sie läuft. Oder ist das schon der Fehler, dass der Server selbst eine ipv6 haben muss?

3.) Zu dem Netz ausdenken mit den fdxx-Adressen. 'Bekannt' ist mir das, allerdings als workaround, wenn man wechselnde Präfixe hat. Ähnlich dyndns bei ipv4. Da ich feste Adressen habe (meine ULAs?), brauche ich das ja nicht?
Diesen Aufbau hat man mir zugewiesen: xxxx:xxxx:f160:xxxx/64 und xxxx:xxxx:f161:xxxx/62

wan ist so eingestellt:
ipv4->pppoe
ipv6->dhcpv6->nur Präfix anfordern, Präfixdelegation 62, ipv4-Verbindung dafür verwenden (ohne das geht nicht, weil pppoe)

Sollte soweit richtig sein?

Auf router(wanseite) nach Einwahl habe ich meine ipv4 und das ipv4-gw ist eine IP meines ISPs. Das kann ich verifizieren.

Die erhaltene ipv6-Adresse ist xxxx:xxxx:f160:xxxx:+MAC des Gerätes, welches router(lanseite) ist. Diese kann ich ebenfalls verifizieren.

link-local ist irgendeine fe80+MAC, die ich nicht auf Geräten habe, diese ändert sich spätestens beim reconnect, diese wird also gewürfelt? -> Privacy extensions können das ja nicht sein, da das bei mir hinfällig wegen festen Adressen ist und erst recht nicht bei ner link-local?

Der ipv6GW ist eine fe80+MAC, die ich ebenfalls nicht zu meinen Geräten ordnen kann. Diese bleibt aber immer gleich...wird aber wirklich der GW vom Provider sein. Das kann ich nicht verifizieren.

Auf router(lanseite) lege ich dann ein /64 meiner Wahl, aus meinem Bereich ergibt sich ja beispielsweise xxxx:xxxx:f161:xxx1, xxxx:xxxx:f161:xxx2, xxxx:xxxx:f161:xxx3 und xxxx:xxxx:f161:xxx4. Richtig?

Z.B. war der Aufbau ganz stumpf xxxx:xxxx:f161:xxx1:beef:beef:beef:1/64 auf router(lanseite), xxxx:xxxx:f161:xxx1:beef:beef:beef:2/64 die jail, xxxx:xxxx:f161:xxx1:beef:beef:beef:3/64 das Laptop.

4.) Jetzt nach dem Geschreibsel stellt sich mir noch die Frage, ob ich das Transfernetz überhaupt benutzen muss oder nicht einfach gleich eine ipv6 aufs device legen kann? Und vor allem, wenn ja: wan oder lan?
 
junge junge, es hat *Klick* gemacht.

Keine Ahnung, warum ich da so zappelte...aber anscheinend geht das vielen so. Wenn man gedanklich das NAT endlich mal ignoriert bekommt, tritt man auch nicht mehr auf die Kupplung beim Automatik. :ugly:

Global Unicast ist das Stichwort zu meinem Adressbereich. :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben