natives IPv6 (mit Cisco How-To)

[Michael.Heimann]

1) natives IPv6 gibts mit ADSL @v6.mnet-online.de im Benutzernamen. Zuteilung per DHCP-PD.
2) wenn man einen Cisco Router hat, gehts folgendermaßen:

CBAC definition

Code: Alles auswählen

ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp

PPPOE Interface:

Code: Alles auswählen

interface Dialer0
 ipv6 mtu 1492
 ipv6 enable
 ipv6 dhcp client pd NODE-PD rapid-commit
 ipv6 inspect inspectv6 out
 ipv6 traffic-filter native-ipv6-Firewall in

Access-list configuration

Code: Alles auswählen

ipv6 access-list native-ipv6-Firewall
! icmp blocken sollte man bei ipv6 nicht
 permit icmp any any
! Um DHCP Antworten durchzulassen
 permit udp FE80::/10 eq 547 FE80::/10

LAN Interface

Code: Alles auswählen

interface Vlan1
! die erste eins definiert das Subnetz - man kann ja mehrere nutzen - man bekommt ein /56er Netz (also 00 - FF)
 ipv6 address NODE-PD ::1:0:0:0:1/64
 ipv6 enable

Danach sollte ein "sh ipv6 dhcp interface" in etwa folgendes ausgeben

Code: Alles auswählen

Dialer0 is in client mode
  Prefix State is OPEN
  Renew will be sent in 00:01:33
  Address State is IDLE
  List of known servers:
    Reachable via address: FE80::90:1A00:2A0:EE52
    DUID: 000200000A4C4552582D313434302F373435414333334558322F02
    Preference: 0
    Configuration parameters:
      IA PD: IA ID 0x00140001, T1 150, T2 240
        Prefix: ***Hier kommt der zugeteilte Prefix zu erscheinen***
                preferred lifetime 300, valid lifetime 300
                expires at Feb 03 2011 08:35 PM (243 seconds)
      DNS server: 2001:A60::53:1
      DNS server: 2001:A60::53:2
      Information refresh time: 0
  Prefix name: NODE-PD
  Prefix Rapid-Commit: enabled
  Address Rapid-Commit: disabled

Und wenn man dann noch die IPv6 auf dem LAN Interface sieht ists geschafft:

Code: Alles auswählen

sh ipv6 int vlan1         
Vlan1 is up, line protocol is up
(...)
  Global unicast address(es):
    2001:A60:10FF:CC00::1, subnet is 2001:A60:10FF:CC00::/64 [CAL/PRE]
      valid lifetime 247 preferred lifetime 247
(...)

Eines sollte man noch beachten. Bis zum aktuellsten IOS (in 15.1(2)T2 getestet) gibt es einen Bug im IPv6 CBAC, der tcp Antworten trotz Inspection nicht durch die Firewall lässt. In 15.1(3)T ist er behoben. Wenn man keinen Zugriff auf ein neues IOS hat, hilt

Code: Alles auswählen

permit tcp any any established

in der Access-List.

Viel Spaß!
Schreibt doch mal wie das so mit Fritzbox&Co läuft (out of the box, hoffentlich?)


P.S: mnet - ihr seid die besten

[Tobsucht]

Habs grad mit der fritz.box 7390 probiert - hab den Benutzernamen, so wie oben beschrieben geändert.
Beim nächsten Verbindungsaufbau hab ich dann sowohl eine IPv4-Adresse als auch einen IPv6-Präfix zugewiesen bekommen.

Funktioniert also auch mit der fritz.box problemlos. Man muss nur IPv6 aktiviert haben und den Benutzernamen ändern.

[Sven]

So, nachdem das ganze nun schonmal im Forum steht noch ein Beitrag vor mir dazu.

Das ganze befindet sich in der Testphase, jedem der dies aktuell nutzt muss klar sein das es hierbei zu Problemen, Ausfällen usw. kommen kann.
Da das ganze noch nicht offiziell angeboten wird gibt es unserseits derzeit keinerlei Support bei Problemen, Störungen o.ä. !

Die Vergabe von v6 Adressen funktioniert derzeit nur in Teilen von München und Augsburg, im Bereich Franken funktioniert dies noch nicht.

[Michael.Heimann]

So, nachdem das ganze nun schonmal im Forum steht noch ein Beitrag vor mir dazu.

Das ganze befindet sich in der Testphase, jedem der dies aktuell nutzt muss klar sein das es hierbei zu Problemen, Ausfällen usw. kommen kann.
Da das ganze noch nicht offiziell angeboten wird gibt es unserseits derzeit keinerlei Support bei Problemen, Störungen o.ä. !

Die Vergabe von v6 Adressen funktioniert derzeit nur in Teilen von München und Augsburg, im Bereich Franken funktioniert dies noch nicht.

Ich hatte extra nachgefragt, wie ich Feedback dazu geben soll und da kam klar die Antwort "Forum". Löscht es einfach, wenn es nicht hier rein sollte.

Dass das ganze ohne Support geschieht ist denke ich jedem klar - man kann ja auch einfach wieder "zurück".

Mal ganz ehrlich, diejenigen, die sich für IPv6 interessieren, sind auch diejenigen, die mit einem Test ohne Support klar kommen. Deswegen ja der Thread - als User helfen User

[Sven]

Ich hatte extra nachgefragt, wie ich Feedback dazu geben soll und da kam klar die Antwort "Forum". Löscht es einfach, wenn es nicht hier rein sollte.

Bitte meinen Beitrag nicht falsch verstehen, ich habe generell kein Problem damit wenn das hier im Forum steht und werde es sicherlich auch nicht löschen.
Mit meinem Beitrag möchte ich auf die genannten Sachen hinweisen, nach vielen Jahre Erfahrung kann ich sagen das sicher nicht nur die erfahrenen User das ganze probieren werden sondern auch relativ unerfahrene User die dann nach dem Support dafür fragen.

Gegen diesen Beitrag und das von dir angesprochene User-helfen-User habe ich absolut nichts einzuwenden.

[mathtm]

Mit der Fritzbox 7270 funktioniert es bislang auch einwandfrei. Nur IPv6 aktivieren und Benutzernamen anpassen und schon läufts.

Zu einigen Webseiten oder auch Mailservern werden jetzt automatisch IPv6-Verbindungen aufgebaut und bislang hatte ich keinerlei Probleme.

Aufgefallen ist mir nur, dass die Fritzbox wohl immer wenn die Gültigkeit des Präfix erneuert wird - also alle 2,5 Minuten - , einen Logeintrag anlegt... das ist vielleicht ein bisschen zu viel des Guten *g*
Ansonsten fehlen halt bei vielen Routern die DNS-Einträge um die IP-Adressen zu Namen aufzulösen... da steht M-net allerdings bei weitem nicht alleine da und für den Betrieb ist es ja auch nicht weiter tragisch.

Alles in allem eine klasse Sache und mit "Wer will kann es probieren, aber es gibt noch keinen Support" kann ich leben. Ich glaube auch, dass das eine oder andere Problem auf M-net-Seite eventuell schneller gefunden werden kann, wenn mehr interessierte Kunden testen.

[ipolaris]

Mit der Fritzbox 7270 funktioniert es bislang auch einwandfrei. Nur IPv6 aktivieren und Benutzernamen anpassen und schon läufts.

Für alle die in Franken wohnen, wo es ja kein natives IPv6 gibt: In der Fritzbox 7270 IPv6 aktivieren und den Benutzernamen nicht ändern, dann geht auch in Franken IPv6. Die Fritzbox zeigt dann zwar 6in4-Tunnel an, aber wenn ich einen Traceroute mache, ist der erste Hop von M-Net, also betreibt M-Net wohl einen eigenen 6in4-Tunnel-Server. Das schöne gegenüber Teredo: Der Durchsatz ist nur geringfügig kleiner als bei IPv4, während bei Teredo der Durchsatz deutlich geringer ist.
Die Fritzbox wechselt dann auch nicht alle 2,5 Minuten den Prefix, sondern nur alle 24 Stunden.
ipolaris

[mathtm]

Stimmt, mit dem Tunnel kann man auch schon ein wenig experimentieren

Die Fritzbox wechselt dann auch nicht alle 2,5 Minuten den Prefix, sondern nur alle 24 Stunden.

Kleine Klarstellung, damit keine Missverständnisse aufkommen:
Das Präfix ändert sich nicht alle 2,5 Minuten, sondern es wird nur die Gültigkeit des Präfix alle 2,5 Minuten erneuert, d.h. es wird verlängert.

Soweit ich das bis jetzt sagen kann bleibt das Präfix gültig, solange die Einwahl durch die FritzBox bestehen bleibt.

[4ke]

Für alle die in Franken wohnen, wo es ja kein natives IPv6 gibt: In der Fritzbox 7270 IPv6 aktivieren und den Benutzernamen nicht ändern, dann geht auch in Franken IPv6.

Wahrscheinlich funktioniert das sogar in Franken. Da das ein Test-Setup ist (wenn auch ein produktionsnahes) und die Tests auf einem Münchner System laufen hat das nur noch niemand getestet. Die PPP-Session wird aber aktuell in jedem Fall in München terminiert.

Die Fritzbox zeigt dann zwar 6in4-Tunnel an, aber wenn ich einen Traceroute mache, ist der erste Hop von M-Net, also betreibt M-Net wohl einen eigenen 6in4-Tunnel-Server.

M-net betreibt einen 6to4-Tunnel-Server. Das Problem mit 6to4 ist aber, dass der Traffik immer asymmetrisch läuft. D.h., der Tunnel-Server für den Rückweg ist fast immer ein anderer als der für den Hinweg. Das macht die Fehlersuche bei Problemen nicht unbedingt einfacher.

Das schöne gegenüber Teredo: Der Durchsatz ist nur geringfügig kleiner als bei IPv4, während bei Teredo der Durchsatz deutlich geringer ist.
Die Fritzbox wechselt dann auch nicht alle 2,5 Minuten den Prefix, sondern nur alle 24 Stunden.

Der Prefix bleibt derzeit fix, solange die PPPoE-Session auf dem gleichen M-net-Einwahlserver terminiert. Es gibt Router, die den zugewiesenen Prefix nach einem Reconnect nicht erneuern. Die kurze Lease-Time des Prefixes soll dies umgehen. Es wird sich zeigen, ob das so bleiben muss.

[ipolaris]

Wahrscheinlich funktioniert das sogar in Franken.

Ja, stimmt, das funktioniert sogar in Nürnberg. Ich hab das grade eingetragen und hab jetzt tatsächlich eine native IPv6-Adresse.

Die PPP-Session wird aber aktuell in jedem Fall in München terminiert.

Echt? Von einem Nürnberger Zugang endet die PPP-Session in München?
Gibt's die Endpunkte der ehemaligen Nefkom nicht mehr?
ipolaris

[4ke]

Echt? Von einem Nürnberger Zugang endet die PPP-Session in München?
Gibt's die Endpunkte der ehemaligen Nefkom nicht mehr?

Meine Aussage bezog sich auf IPv6 (d.h., mit dem Realm v6.mnet-online.de). Ansonsten terminieren die Sessions weiterhin in Nürnberg.

[ipolaris]

Meine Aussage bezog sich auf IPv6 (d.h., mit dem Realm v6.mnet-online.de). Ansonsten terminieren die Sessions weiterhin in Nürnberg.

OK, das erklärt, warum der Ping zum ersten Hop jetzt 3ms höher ist als vorher.
ipolaris

[crefeld]

Nachdem wir nun in der Colo IPv6 bekommen haben, würde ich natürlich gerne ein bißerl damit spielen (insbesondere httpd, sshd, Monitoring, VPN) und da kommt der Mnet-Test grad gelegen.

Wir hatten von MNet mit dem MaxiDSL eine Fritzbox 2110 mitgeliefert bekommen, die offenbar nur V4 kann und für die es bislang auch kein Firmware-Update gibt. Bleibt die Möglichkeit, die Fritzbox auf DSL-Modem umzustellen (weil: ein Kasterl im Sinne von "zusätzlich pppoe-passthrough" gibt es nicht) und die Einwahl samt Routing von einem eh vorhandenen PC-Server (Linux) übernehmen zu lassen.

Frage: Gibt es (administrative) Einschränkungen, wenn ich parallel zwei pppoe-Sessions aufbauen möchte, also eine für V4 und eine für v6? Der Zugang wird halt auch produktiv für Backup-Transfers genutzt und deswegen kann ich vorerst nicht so ohne weiteres dauerhaft V4 abschalten.

PS: Teredo, 6to4 und sowas interessiert mich eher nicht so.

[Tobsucht]

Frage: Gibt es (administrative) Einschränkungen, wenn ich parallel zwei pppoe-Sessions aufbauen möchte, also eine für V4 und eine für v6? Der Zugang wird halt auch produktiv für Backup-Transfers genutzt und deswegen kann ich vorerst nicht so ohne weiteres dauerhaft V4 abschalten.

Wenn Du den Benutzernamen auf @v6.mnet-online.de änderst, bekommst Du bei der Einwahl sowohl eine IPv4-Adresse als auch ein IPv6-Subnetz zugewiesen. Von daher sehe ich keine Notwendigkeit, 2 PPPoE-Sessions aufzubauen.

Lg,
Tobi

[simmscmi]

Wenn Du den Benutzernamen auf @v6.mnet-online.de änderst, bekommst Du bei der Einwahl sowohl eine IPv4-Adresse als auch ein IPv6-Subnetz zugewiesen. Von daher sehe ich keine Notwendigkeit, 2 PPPoE-Sessions aufzubauen.

Hm, ich hab das heute mal ausprobiert und meinem pppd hier in Erlangen ein +ipv6 verpasst; nach Erweiterung des Benutzernamens um ein "@v6.mnet-online.de" bekomme ich lediglich eine Link Local-Adresse (fe80::/64), und sonst nix, so dass man damit eher weniger anfangen kann

Weiß jemand, wie man seine globale Adresse + Router bei der Einwahl bekommt? Ich dachte, Adresse gibts bei der Aushandlung von PPP, Router per Advertisement, aber scheinbar hab' ich da dann irgendwas übersehen?