Fritz!Box und IPv6

[Pierre_2005]

Hallo,

mein Netzwerk war jahreslang nur auf IPv4-Betrieb, wie bei den meisten.
Ich war es gewohnt, dass der DHCP-Server im Heimnetz die IP-Adressvergabe gemacht hat und wollte ich eine feste IP für ein Gerät, habe ich dies in der Fritz!Box eingestellt.

Alles hat prima geklappt.

Jetzt wurde mein Anschluss auf echtes Dual-Stack umgestellt und ich erhalte von meinem Anbieter eine native IPv4 und eine IPv6. Das hat mich dazu gebracht, mich mehr mit dem Thema IPv6 zu beschäftigen und jetzt bin ich an einem Punkt, wo ich mal eure Hilfe brauche.

Ich habe in der Fritz!Box ein neues, festes ULA-Präfix eingestellt: fd12:1:2:3.
Dieses ULA wird auch an die Clients per DHCP? verteilt. Jeder Client im Heimnetz bildet sich dann selber eine Adresse mit diesem Präfix.

Nun kann ich jedem Gerät in der Fritz!Box auch einen festen Identifier zuweisen. Aber das bringt nichts, die Geräte ignorieren das anscheinend. Mache ich da was falsch? Wozu kann man den Identifier ändern, wenn sich scheinbar nichts tut?

Ist das bei IPv6 so, dass ich jedem Gerät, was eine feste IPv6-Adresse im Heimnetz bekommen soll, diese direkt am Gerät fest zuweisen muss? Geht da nichts mehr über die Fritz!Box, wie bei IPv4? Ich habe einige Geräte, wo ich keine feste IPv6 einstellen kann. Ich kann da nur wählen, IPv6 aktiv oder deaktiv.

Und dann noch eine Frage:
Ich möchte mein NAS und zwei weitere Geräte (zwei Rasp-Pis) von außen per IPv6 erreichbar machen. Das /56 Präfix vom Provider ändert sich in regelmäßigen Abständen. Das sich nur das Präfix ändert ist nicht schlimm, dass kann ich mit DynDNS abfangen, jedoch muss dann der Identifier gleich bleiben. Wie erreiche ich das in der FritzBox?

Wie Ihr seht, ich stehe noch am Anfang mit IPv6...

Viele Grüße
Pierre

 

[Barungar]

Dieses ULA wird auch an die Clients per DHCP?

Nein, die ULA wird in der Regel per Router Advertisement verteilt, genau sie wie die Globale Adresse.
In der Standardeinstellung der FritzBox ist DHCPv6 zur Adressvergabe gar nicht konfiguriert.

Mache ich da was falsch? Wozu kann man den Identifier ändern, wenn sich scheinbar nichts tut?

Sinn dieses Feldes ist es nicht eine Adresse zu definieren, die den Geräten zugeteilt wird. Sondern Ziel ist es hier, für IPv6-Freigaben in der FritzBox die stabile InterfaceID einzustellen, so dass bei wechselnden Präfixen sofort die neue IPv6 gebildet werden kann.

Das klappt in der Regel aber nur mit Linux-Geräten, weil Windows in den Standardeinstellungen so eine "verbogene" IPv6-Konfiguration hast, dass es überhaupt nicht wirklich eine stabile IPv6-InterfaceID verwendet. Auf Grund des "Privacy Wahnsinns" generieren Windows 10 und 11 sowas gar nicht wirklich. Zumindest nicht nach EUI-64...

Wie erreiche ich das in der FritzBox?

Das liegt nicht an der FritzBox sondern am Client. Ein NAS und ein Rasp Pi, die beide auf Linux laufen sollten, müssten aber über stabile InterfaceIDs verfügen, in der Regel nach dem EUI-64 Verfahren. Du erkennst eine stabile EUI-64 InterfaceID daran, dass in der "Mitte" FF:FE steht. ;-)

 

[Pierre_2005]

Hey, danke für die Antwort.
IPv6 ist wirklich nen Dschungel, wenn man aus der IPv4 Welt kommt

Verstehe ich das richtig, dass der Identifier, den ich in der FritzBox einstellen kann, nur für die öffentliche Seite ist?
D.h. ULA wird da garnicht berücksichtigt?

Ich hab mal folgendes Beispiel:

Der Raspberry Pi hat den Identifier ::58:b537:c192:66. Diesen habe ich so gewählt. Weiter unten steht dann:

IPv6-LLA mit fe80::58:b537:c192:66
IPv6-ULA Temporary: fdf5:17b1:1d7::1332:f1a9:28b:c71b

Wenn ich nun auf dem Raspberry Pi die Abfrage mache, erhalte ich:

inet6 fdf5:17b1:1d7:0:1332:f1a9:28b:c71b/64 scope global dynamic noprefixroute
       valid_lft 7093sec preferred_lft 3493sec
    inet6 fe80::58:b537:c192:66/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

D.h. beim LLA taucht mein gesetzter Identifier auf, aber bei der ULA nicht. Da wählt das Gerät anscheinend selber ein Identifier.

Wenn der öffentliche Identifier jetzt fest ist, wird dieser dann auch an das Gerät weitergereicht oder bastelt sich der PI da wieder was eigenes mit dem Präfix zusammen? So brauche ich in der Firewall keine Ports öffnen, das wird ein kurzes Gastspiel.

Ich bin aktuell an einem reinen IPv4 Anschluss, deshalb fehlt die öffentliche Adresse noch.


Viele Grüße

Pierre

 

[the other]

Moinsen,
zunächst: wo stellst du denn den jeweiligen host Anteil der ULA für die clients ein? Hab ich mich an der fritzbox nie mit befasst? DHCPv6?

IPv6 wurde leider, wie @Barungar schon andeutete, von den großen Tieren kaputt gespielt...die einen können mit SLAAC, die anderen mit DHCPv6, die einen schreiben IP Adressen so, alle anderen anders...

Kurz: dein Raspi bekommt ja einmal
- die GUA für das Routen ins Internet...Der erste Teil verändert sich meist, da du vermutlich keinen statischen Anschluss für die externe v4 und v6 hast. Der hintere Teil...später
- die ULA (fd:...) für das Routen im heimischen LAN, auch zwischen zB VLANs, wird genutzt zb falls die GUA nicht fest ist (wie meist) um dennoch über Subnetze hinweg mit festen routingfähigen (aber nicht Internet!) IPv6 arbeiten zu können, den ersten Teil kannst du in der fritzbox einstellen, der hintere Teil...
- die link lokal (fe:...) nur innerhalb eines Netzes, nicht routbar. Hat jeder client auch ohne router. Wird oft aus der MAC generiert...

Der hintere Teil nun bei GUA und ULA ist einerseits fest (wird vom client selbst gebildet, SLAAC). Das wäre dann schön. Naja, vielleicht nicht schön, weil schwer zu merken, aber immerhin fest und routbar. Nur leider bilden die meisten Betriebssystem neben diesen IPs auch noch welche mit privacy extensions: der hintere Teil wird dann genutzt, ist aber dynamisch, also nach x Zeit wird gewechselt. Das ist dann natürlich doof, wenn der Drucker im anderen VLAN eben noch ein bekannte Adresse hatte, jetzt aber der hintere Teil völlig neu (und unbekannt)wäre...oder das NAS oder...verstehst?
Ggf zeigt dir dein Befehl also nur die eine IP an, nicht aber die andere...was hast du denn für einen Befehl genutzt?

Also, üblicherweise:
GUA: dynamischer Anteil als Präfix, hinten (host) sowohl dynamisch als auch fix...
ULA: fester Anteil vorne (Präfix, fd:...), hinten sowohl als auch
LLA: fest
Die dynamischen verwirrenden Privacy Extensions können deaktiviert werden...
Unter ubuntu etwa (afair) unter /etc/sysctl.conf. Hier mit nano die Datei öffnen und einen Eintrag ändern:

net.ipv6.conf.all.use_tempaddr=0

Das schaltet die PEs aus...

 

[Pierre_2005]

Hey,

ich habe versucht den Host-Anteil über den Identifier in der FritzBox zu hinterlegen. Bis mir ein Licht aufging und ich gemerkt habe, dass die FritzBox nur den DNS verteilt, aber keine kompletten Adressen. Dazu muss der DHCPv6 Server der FritzBox geändert werden.

Ich werde das jetzt so machen, dass ich bei den Geräten, die aus dem Internet erreichbar sein sollen, die PE rausnehme. Ich hoffe, dass dann der Identifier vom Gerät selber generiert wird und dieser fest bleibt.

Dann setze ich mir einen eigenen DNS auf und kann die DynDNS Funktion der FritzBox nutzen, um das Präfix zu aktualisieren, wenn es ein neues gibt.

Dann habe ich subdomains für dieses Gerät und da der Identifier fest bleibt, tausche ich per Skript nur das Präfix aus. Damit sollte es dann klappen.

Ich hatte ein bisschen gehofft, dass IPv6 ebenso elegant wird, wie IPv4. Aber Pustekuchen!

Wenn Du eine Lösung weißt, wie man der FritzBox das beipult, dass es die Adressen wie bei IPv4 vergibt, dann bitte her mit der Info. Gerade im ULA-Bereich wäre das eine normale Erleichterung. Ich bin ein Mensch der Struktur, und bei IPv6 ist so garnix mit Struktur...

Viele Grüße
Pierre

 

[Barungar]

Du kannst den DynDNS-Dienst von AVM nutzten. MyFritz kann das mit den IPv6-Adressen korrekt machen.
Du brauchst dann auf Deinem Wunsch DNS-Namen, nur noch einen CNAME setzen auf diesen AAAA Record.

 

[the other]

Moinsen,
ich habe es gemacht wie von barungar vorgeschlagen...
Hier erzeugen alle clients ihren host Teil der IPv6 per SLAAC selbst. Die sind nicht sortiert und schlecht zu merken.
Nicht nur deswegen, aber auch, hab eich daher vor Jahren schon begonnen, mein Heimnetz zu dokumentieren, etwa auch eine Liste der festen / reservierten IPs (4 und 6 ULAs).
Im Alltag habe ich eine landings page auf dem Browser (heimdall) oder nutze Lesezeichen, die ich ja benennen kann wie ich mag.
Und im DNS resolver sind alle clients im Netzwerk aufgeführt, also etwa PC = pc.example.com 192.168... und fd:... usw
Damit brauche ich die ULA zwar ständig, muss es mir aber nicht merken und kann am Ende leicht nachsehen, was da wer so macht (Liste). Irgendwann merkst du dir die letzten 3-4 Zeichen auch, dann wird es wieder leichter (für einige clients).