Technische Details zu IPv6 mit Prefix Delegation

bachme · 2018-12-30T17:42:04+00:00

Sunrise community - customers help other customers with topics related to television, Internet, telephone and mobile. Register now!

bachme

Hallo Zusammen

Ich wollte nur mal den aktuellen Stand bezüglich IPv6 und Connect Box dokumentieren, da man leider bei upc keine offiziellen Infos dazu findet.

Ausgangslage:
- die Connect Box befindet sicht im IPv6 Modus (via Hotline kann man zwischen v4 und v6 umschalten lassen)
- WLAN kann man abschalten wenn man es nicht benötigt
- der DHCPv6 Server befindet sich im stateless Modus (standard)
- Unter Security Firewall kann man die Firewall deaktivieren oder vielleicht eher empfohlen falls benötigt ein paar Filter eingehend aktivieren die z.B. alle ICMPv6 Packete durchlassen

Jetzt kann man direkt an die Connect Box einen oder auch mehrere Firewalls anschliessen.

IPv4:
- Jede Firewall kann eine private IPv4 Adresse aus dem 192.168.0.0/24 Range beziehen (DHCP oder statisch).
- Die Firewall muss für IPv4 natürlich NAT/Masquerade aktiviert haben. Das ergibt dann ein erstes NAT auf der Firewall und ein zweites auf dem CGN (Carrier Grade Nat) Gateway von upc. Das könnte für gewisse Dienste ein Problem darstellen.
- Port Mapping oder Forwarding ist nicht möglich, da man keine Public IPv4 Adresse hat.

IPv6:
- Jede Firewall kann via SLAAC eine IP beziehen aus dem vorgegebenen Range der Connect Box.
- Diese IPs sind aus dem Internet erreichbar, sofern man die Firewall auf der Connect Box entsprechend öffnet.
- Um aus dem Internet auf sein Netzwerk zuzugreifen muss man entweder in einem IPv6 Netzwerk sein oder einen Portmapping Dienst (IPv4 zu IPv6) verwenden (zum Beispiel feste-ip.de oder selber einrichten auf uberspace.de)

DHCPv6 Prefix Delegation:
- Es kann maximal von einem Gerät ein /60 Prefix via DHCPv6-PD bezogen werden.
- Rapid-commit muss deaktiviert sein!
- Sollte ein zweites Gerät einen Prefix beziehen wollen erhält man eine Fehlermeldung.
- Versucht man sowas wie 16x einen /64 Prefix zu beziehen oder irgend eine andere Grösse an Prefix erhält man auch nur Fehlermeldungen.

Konfigurationsbeispiel für Edgerouter X:
(die Firewall muss entsprechend ICMPv6 und DHCPv6 erlauben…)
set interfaces ethernet eth2 address dhcp
set interfaces ethernet eth2 description UPC
set interfaces ethernet eth2 dhcpv6-pd no-dns
set interfaces ethernet eth2 dhcpv6-pd pd 0 interface eth0 host-address ‘::1’
set interfaces ethernet eth2 dhcpv6-pd pd 0 interface eth0 prefix-id ‘:0’
set interfaces ethernet eth2 dhcpv6-pd pd 0 interface eth0 service slaac
set interfaces ethernet eth2 dhcpv6-pd pd 0 prefix-length /60
set interfaces ethernet eth2 dhcpv6-pd rapid-commit disable

Leider habe ich noch keine Langzeiterfahrung damit, kann also nicht sagen wie stabil das läuft.

Ergänzungen, Fragen und Kommentare sind immer Willkommen. 🙂

millernet

Hier noch die technischen Details zur Implementierung bei UPC Business:

Informationen zum UPC Business IPv6 Dual Stack

Unser IPv6 Range ist nativ und statisch, der /48 IPv6 Range wird zusätzlich zum bestehenden IPv4 Range aufgeschaltet. (Dual Stack)

Das IPv6 kommt ein wenig dynamischer daher als das IPv4, obwohl es sich um statische Adressen handelt. Sobald eine Firewall an das Hitron Modem angeschlossen ist, wird der IPv6 Default Gateway via Router Advertisement verteilt. Zudem erhält die Kundenfirewall auf Anfrage (falls IPv6 WAN-Seitig aktiv ist) ein /60 vom Hitron Modem via Präfix-Delegation (PD) zur Adressierung des Kundennetzwerks zugeteilt. Das direkt am Hitron Modem angeschlossene Device ( in der Regel die Firewall ) muss also Präfix Delegation (PD) unterstützen. Das Hitron Modem vergibt also auf Anfrage der Firewall /60 Subnetze aus dem /48 an die verbundenen Firewall. Die Kundenfirewall zerlegt das /60 dann üblicherweise in /64 Netze und verwendet diese für individuelle Aufgaben. Generell ist /64 die normale Grösse eines IPv6 Netzes in dem Endgeräte stehen.

millernet

Leider geht zur Zeit IPv4 + IPv6 (DS) auch für Business Kunden mit einem Business Internet 1000 resp. DOCSIS 3.1 nicht. Dies soll irgendwann Ende Jahr endlich funktionieren. Man hat mir ein Downgrade auf 600 Mbit/s resp. DOCIS 3.0 angeboten. Ich muss mich wohl noch bis Ende Jahr gedulden.

schiiins

Das heisst, eine saubere Lösung mit native IPv6 sind Anforderungen, welche nur Business -Kunden haben können/sollen….

@Daniele_Sunrise

Wird sich da in absehbarer Zukunft etwas ändern?

Wie man es richtig macht, ist ja längstens bekannt. Sonst einfach beim RIPE oder IANA nachfragen.

millernet

Keiner der drei Mobilnetzanbieter setzt IPv6 im Mobilnetz für Privatkunden ein. Bei Swisscom gibt es dies für irgendwelche speziellen Businessanwendungen und nur auf Nachfrage. Die Implementierung ist zaghaft, da eine native IPv6 Implementierung aufwendig ist und aktuell keine grosse Nachfrage dafür besteht. In der Geschäftswelt läuft sowieso bei den meisten Firmen nur IPv4 und dies wird auch noch Jahre so bleiben, solange kein Zugzwang besteht. NATing ist ja soooo tolll.

sgasser

Vielen Dank für diese Info.
Weiss jemand von den Lesern ob ein Mobile Data Abo ipv6 anbietet und hier Abhilfe schafft? Salt Unlimited kostet für 24Mte fast nichts und jede Fritzbox unterstützt ein Mobile stick wie z. B den E3372. (5G sticks werden sicher auch bald einmal zur Verfügung stehen)

millernet

Hier noch der Infolink: https://support.business.upc.ch/faqs/sind-beim-business-internet-auch-ipv6-adressen-erhaeltlich/

millernet

Natürlich kannst du beides haben, aber halt nur als Business Kunde (z.B Business Internet 1000 für 99.- Fr. / Mt.) und auch dort nur mit fixer IPv4 (+20.- Fr. / Mt.) und auf Nachfrage. UPC ist technisch leider ziemlich hinter dem Mond. Swisscom setzt seit Jahren auch bei ihren Privatkunden auf IPv6 resp. einen sauberen DualStack. Verkauft diesen doch als Option, von mir aus für 10.- Fr. / Mt. , an interessierte Privatkunden. Wer FTTH mit OpenAccess hat, sollte sofort zu Init7 wechseln. Der einzige Anbieter in der Schweiz, welche sich wirklich um Netzneutralität schert und sauberes IPv6 anbietet. Auf dem Land oder der Algo ist man vermutlich noch Jahre in der Quetschzange von Big-Cable (UPC) oder Big-Copper (Swisscom). Aber Big-Copper wird, zusammen mit Salt & Sunrise, bald mit dem Glasfaserausbau durchstarten, was hoffentlich besseren Produkten mit IPv6 zu gute kommt.

@Smartmosimann schrieb:
Das ist wirklich ein Ärger. Insbesondere weil ich nicht beides haben kann. Werd dann auch mal per PN auf IPv4 umstellen lassen. Schade.

Smartmosimann

Das ist wirklich ein Ärger. Insbesondere weil ich nicht beides haben kann. Werd dann auch mal per PN auf IPv4 umstellen lassen. Schade.

Daniele_Sunrise

@simongru , wir haben kein ETA. Sobald diese Funktion eingeführt werden sollte, kommunizieren wir dies in der Community.

Liebe Grüsse
Daniele

simongru

@Daniele_Sunrise

Hat sich da mittlerweile etwas getan? Gibt es allerwenigstens ein ETA? Ich wäre auch voll zufrieden, wenn es mit IPv6 einen Bridge Mode gäbe, da würde ich auch länger drauf warten (freilich nicht für immer). Ich wüsste nur gerne, auf was ich mich einstellen muss.

Der Anschlussmangel bereitet mir nämlich Schwierigkeiten, ich benutze momentan IPv4 im Bridge Mode wegen VPN, aber der IPv6 Mangel stört, da ich mir mit Tunneln behelfen muss. Wenn das bis August nicht behoben ist, werde ich meinen Vertrag nicht verlängern.

Und, interessehalber, besteht das Problem auch mit dem neueren Modell der Connect Box?

Daniele_Sunrise

@simongru , wir haben weitehin kein Datum und Informationen über eine anstehende Einführung.

Liebe Grüsse

Daniele

simongru

@Daniele_Sunrise Gibt es zu dem Thema eigentlich ein ETA oder etwas ähnliches?

simongru

Jup, das wäre gut. Des weiteren: @Daniele_Sunrise ich würde mich über eine Benachrichtigung freuen, sobald es wieder klappt.

Ramihyn

Das wäre ja mal schön. Idealerweise könnte man es dann gleich so fixen, dass ein vernünftiges Prefix mit brauchbarer Länge dabei herumkommt.

simongru

Ich habe heute bei einem Supportanruf erfahren, dass das PD nur temporär ausgefallen ist, aber an einem Fix gearbeitet wird.

Ramihyn

Lieber Daniele, vielen Dank für deinen prompten Service. Die Umstellung auf IPv4 hat sauber funktioniert.

Nur zu schade, dass ihr keine PrefixDelegation mehr anbietet. Eigentlich wäre IPv6 ja die zukunftsträchtigere Technologie.

Daniele_Sunrise

@Ramihyn , wir haben die Umstellung soeben im System eingetragen. In ca. 30 Minuten ist dein Modem auf IPv4 umgestellt.

Liebe Grüsse
Daniele

Ramihyn

Wie es ausschaut, hat das neueste Firmwareupdate auf der “klassischen” Connectbox DHCPv6-PD ebenfalls geschrottet. Bei mir wurde das Update vor am Mittwoch eingespielt, seitdem funktioniert mein VPN nicht mehr nach Hause, und am Freitag habe ich dann erst bemerkt, dass zwei Tage zuvor mal wieder klammheimlich an der Connectbox gebastelt wurde.
Meine Fritzbox erhält seitdem bei identischen Einstellungen wie zuvor, die seit knapp zwei Jahren klaglos funktioniert hatten, plötzlich kein Prefix mehr, und damit haben alle meine Geräte im Heimnetz nun auch keine valide IPv6 mehr.

@Daniele_Sunrise: ich möchte mein Prefix wieder haben. Wenn das mit der neuen Firmware nicht mehr geht, bitte wieder auf die Version zuvor zurück. Wenn auch das nicht geht, bitte die CB auf Bridge-Modus mit IPv4 umstellen. Ich bin beruflich auf mein VPN angewiesen.

bachme

Nachtrag:

Nun habe ich die Giga Connect Box.

Bei dieser Box ist Stand heute DHCPv6-PD nicht aktiviert. Ich habe es im Wireshark nachvollzogen, es kommt immer eine Meldung in der Art “Prefix delegation Service not available”.

Die Meldung bleibt gleich egal ob ich Statefull oder Stateless DHCPv6 einschalte.

Es ist also nicht möglich, hinter der Giga Connect Box einen eigenen Firewall zu betreiben und den Bereich dahinter mit IPv6 zu versorgen.

Hoffentlich wird das in Zukunft nachgeliefert.

Ist halt schade, dass die “neue” Technologie noch nicht so weit ist, wo doch demnächst bei RIPE tatsächlich die IPv4 Adressen ausgehen.

(mir ist klar dass ich allenfalls meinen Anschluss zurück auf ‘IPv4’ schalten lassen kann und dann IPv6 tunnelbroker dienste nutzen könnte.. versuche ich vielleicht, aber ist eigentlich witzlos .. )