IPV6 - mehrere Fritzboxen

[Dirk Laurenz]

Moin zusammen,

aktuell habe ich mehrere Fritzboxen über IPv4 und Wireguard VPN verbunden und das läuft soweit ganz gut. Es sind in Summe drei und ich arbeite komplett mit privaten IPs. Jetzt würde ich das gern auf IPV6 heben und finde Tonnen an Anleitungen für ein lokales Netz mit Fritzbox. Aber eben nicht mit untereinander verschalteten.


Die Hauptbox/Netz (und wo auch mein Samba AD ist inkl. DHCP) dient als zentrale
Dann steht noch eine beim Papa und ich habe noch eine LTE Box für unterwegs.
Alle sind jetzt so konfiguriert, dass sie per DHCP den DNS Server (Samba AD) im Hauptnetz bekannt geben.

Gibt es irgendwo einen Ansatz wie ich das sinnvoll erst mal um ipv6 anreichern kann?

 

[Barungar]

Dein Ansinnen, Deine drei über IPv4/VPN verbundenen FritzBoxen auch per IPv6 zusammenzuschalten, wird mit FritzBoxen alleine nicht funktionieren, weil AVM in seinen VPN-Tunneln leider ausschließlich IPv4 transportiert. Du kannst diese VPN-Tunnel, sowohl IPsec als auch Wireguard, zwar mittlerweile sowohl über IPv4 alsauch über IPv6 betreiben; der VPN-interne Transport ist aber ausschließlich IPv4.

Folglich müsstest Du das VPN-Geschäft dann auf andere Geräte auslagern, in dem Du z.B. in jedem der FritzBox-Netze noch einen kleinen Linux VPN-Server betreibst, der dann die IPv6-Netze Deiner drei FritzBox-LANs verbindet. Da du vermutlich dynamische IPv6-Präfixe von Deinen Providern hast, würde dieser interne IPv6-Verkehr wohl über ULA (fc00::/7) realisiert werden müssen. Da es zu komplex wäre, das dynamische Routing der, sich ändernden, IPv6-Präfixe der drei LANs regelmäßig durch den VPN-Tunnel zu routen.

 

[Dirk Laurenz]

ich hatte sowas schon befürchtet. also was wäre deine empfehlung? ipv6 bräucht ich auch erst mal nur im heimnetz, sonst nicht. dann nur da ipv6?

 

[Barungar]

Damit IPv6 im Heimnetz funktioniert musst Du bei der FritzBox eigentlich nicht wirklich viel machen.
Im Prinzip "nur" IPv6 aktivieren. Wenn Du möchtest kannst Du Dir dann noch ein ULA-Präfix aussuchen, und das (immer) zuweisen lassen. Dann empfehle ich noch bei DHCPv6 die unterste Option wählen, also DNS, IA_PD und IA_NA

Damit solltest Du ein vollfunktionales IPv6 im LAN haben. Nur mehrere FritzBox-Netze per IPv6 koppeln geht aktuell halt nicht (mit einer FritzBox).

 

[Dirk Laurenz]

Ok, und das die Samba AD Server immer die gleiche adresse bekommen lege ich genauso fest wie bei ipv4 schätze ich.
Danke! Das hilft auf jeden fall

 

[Barungar]

Bei IPv6 musst Du unterscheiden zwischen dem Präfix- und dem Host-/Interface-Anteil. Der Host-/Interface-Anteil ist ansich statisch, wenn man SLAAC nach EUI-64 macht. Dieser Teil der Adresse wird nur randomisiert bzw. ändert sich, wenn man Privacy Extentsions aktiviert. Das ist bei Windows-Systemen standard, bei Linux eher nicht.

Dazu kommt, dass bei 99% der privaten Internet-Anschlüsse der Präfix sich mit jeder neuen Verbindung bzw. nach der Trennung durch den Provider ändert. Obwohl die Provider mittlerweile alle genug IPv6-Subnetze haben, so dass sie jedem Kunden im Vertrag ein festes Subnetz geben könnten, hat sich die "Unart" der dynamischen Zuteilung, wie es sie schon bei den öffentlichen IPv4-Adressen gab, etabliert.

Das heißt für Dich, dass sich, was die Globale Unicast Adresse (GUA oder GA) Deines SAMBA-Severs angeht, diese regelmäßig ändert, nicht weil sich der Host-/Interface-Anteil ändert, aber das Präfix. Um daher "feste" IPv6 Adressen für Deinen SAMBA-Server zu erhalten, wirst Du eine Unique Local Adresse (ULA) brauchen. Hier legst Du selbst das Präfix fest und das ändert sich dann auch nicht.

Über die ULA kannst Du das Gerät aber nur in Deinem LAN ansprechen, das ist so, wie bei IPv4 die "privaten IPs". Die GA Deiner Geräte ist deren "öffentliche IPv6" mit denen sie grunsätzlich von überall ansprechbar sind, wenn die Firewall es zulässt.

Beispiel:

Tag 1
Der Provider weißt Deiner FritzBox das "GA"-Präfix 2001:DBB8:2453:AF5::/48 zu. Dein eigenes "ULA"-Präfix ist FD22:BAD:ACE:44::/64.
Dein SAMBA-Server hätte dann z.B. die GA 2001:DBB8:2453:AF5:0256:BEFF:FE08:A6:E7 und die ULA FD22:BAD:ACE:44:0256:BEFF:FE08:A6:E7.

Tag 2
Es gab eine Trennung.
Der Provider weißt Deiner FritzBox das "GA"-Präfix 2001:DBB8:1789:95DD::/48 zu. Dein eigenes "ULA"-Präfix ist FD22:BAD:ACE:44::/64.
Dein SAMBA-Server hätte dann z.B. die GA 2001:DBB8:1789:95DD:0256:BEFF:FE08:A6:E7 und die ULA FD22:BAD:ACE:44:0256:BEFF:FE08:A6:E7.

Wie Du siehst würde sich die GA Deines SAMBA-Servers ändern und das könntest Du auch gar nicht verhindern, weil Du keinen Einfluss auf das Präfix hast. Außer Du buchst bei Deinem Provider ein festes IPv6-Präfix. Das wäre so, als wenn Du bei IPv4 eine feste, öffentliche IP buchen würdest. Nur das es bei IPv6 direkt ein ganzes Subnetz ist.

Generell und das betone ich, sollte man bei IPv6 eher von dem Gedanken der "festen IP" wegkommen; zumindest wenn man nicht auch ein festes Präfix hat! Und sich lieber an die Nutzung von DNS gewöhnen. Ich betreibe in meinem LAN einen eigenen DNS-Server und "spreche" mein NAS und sonstige Server zwar per IPv6 aber DNS-Hostname an.

---

 

[Stationary]

Test :0 :1 :2 :3 :4 :5 :6 :7 :8 :9 :A :B :C :E :F

aha…Doppelpunkt D macht die lustigen Smileys in den IPv6-Adressen.

 

[Nival]

Im Zweifel als Inline-Code darstellen, das vermeidet dieses Thema: FD22:BAD:ACE:44:0256:DEFF:FE08:A6:E7

 

[Barungar]

Ich hab's auf Inline Code geändert. Das war mir gar nicht aufgefallen, weil ich meinen Post nicht noch mal gelesen hatte.

 

[LittleWing]

Ist auch unter https://forum.heimnetz.de/help/smilies/ nachzulesen.

 

[Dirk Laurenz]

Generell und das betone ich, sollte man bei IPv6 eher von dem Gedanken der "festen IP" wegkommen; zumindest wenn man nicht auch ein festes Präfix hat! Und sich lieber an die Nutzung von DNS gewöhnen. Ich betreibe in meinem LAN einen eigenen DNS-Server und "spreche" mein NAS und sonstige Server zwar per IPv6 aber DNS-Hostname an.

---

DNS machen bei mir die Samba AD server, da läuf auch der bind... aber ich muss ja den ipv6 clients auch irgendwie sagen, wie der DNS server heißt und die ipv6 adresse müsste fix sein, also ULA heißt der Weg.. jetzt muss AVM noch lernen zwei DNS Server bekannt zu geben, aber das ist schon bei denen in den feature requests

 

[Dirk Laurenz]

So ipv6 ist jetzt online mit ULA Adressen und das scheint zu laufen, die windoof büchsen registrieren sich selbst im DNS aber wie ist das mit Linux? Beim dhcp4 kann ich das ja per ddns... wie mach ich das bei ipv6?

Übrirgens - danke für die Denkanstöße

 

[the other]

Moinsen,
Auch unter Linux sollte das nahezu automatisch laufen.
Hier hab ich im Router auch ULAs aktiv, den Präfix schön zufällig gewählt, den host Teil übernimmt ubuntu. (Tut es mit den GUAs ja auch).
Hast du denn ein Problem diesbezüglich?

 

[Dirk Laurenz]

Nö da passiert nichts - nur die windoof registrieren sich - allerdings habe ich hier überall debian, wenn es linux ist - wenn das aber automagisch gehen soll muss es ja konfigurierbar sein, ich geh mal suchen

 

[the other]

Moinsen,
hoppla, ich hatte dich missverstanden. Vergiss meinen Beitrag einfach, der bezog sich nur auf das Erzeugen der ULAs.