Speedport Pro - IPv6-Fragen: Ping und NAT
4 years ago
Liebe alle,
mein neulich getauschter Speedport Pro läuft extrem zuverlässig im Hybrid-Betrieb mit IPv4.
Das ermutigte mich zu ersten Experimenten mit IPv6 in meinem lokalen Netzwerk. Leider fehlen mir dazu ein paar Informationen, was den IPv6-Betrieb des Routers angeht - die Anleitung hilft da nicht besonders viel. Am Besten beschreibe ich mal mein Setup (was schon etwas spezieller ist):
Mein lokales LAN gruppiert sich um einen DIY-Router, ein Intel-NUC mit zwei Ethernet-Ports. An dem einen hängt das LAN, an dem anderen der Internet-Router (früher Fritz, jetzt Speedport).
- Mein NUC (Linux) macht NAT vom lokalen Netz (192.168.0.0) zum Speedport, der ebenfalls eine lokale IP hat, im Netz 192.168.3.0.
- DHCP macht mein NUC, im Speedport ist es abgeschaltet
Das funktioniert alles prima mit IPv4. Mit IPv6 ... nicht ganz so:
- Im Speedport ist eine statische lokale Adresse (ULA) eingestellt: fd8b:94bb:3e68:3::1
- Im NUC hat der entsprechende Port ebenfalls eine lokale Adresse aus dem gleichen Netzwerk erhalten: fd8b:94bb:3e68:3::3
- Der Speedport "sieht" die Adresse der IPv6-Gegenstelle im NUC (unter "Verbundene Geräte", Details)
Gleich das erste Problem: Schon vom NUC aus schlägt ein einfaches Ping6 zum Speedport fehl - trotz richtigem Routing.
PING fd8b:94bb:3e68:3::1(fd8b:94bb:3e68:3::1) from fd8b:94bb:3e68:3::3 enp2s0: 56 data bytes
From fd8b:94bb:3e68:3::3: icmp_seq=1 Destination unreachable: Address unreachable
Ich will hier bestimmt nicht meine IPv6-Lernkurve abkürzen 🤓 - meine Fragen beziehen sich zunächst konkret auf den Speedport:
1. Gibt er grundsätzlich eine Ping-Antwort in IPv6?
2. Leitet er IPv6-Pakete mit der lokalen Adresse in's Internet weiter, so wie es in IPv4 funktioniert?
Danke für's Lesen bis hierhin
1182
11
4 years ago
@digidietze
Also ich wäre der Meinung, das deinen Link-Lokalen IPv6-Adressen noch ein fe80:: vorweg fehlt.
Nein, Link-Lokale IPv6-Adressen werden nicht in das Internet geroutet, können aber im LAN für Routing-Zwecke benutzt werden.
Der Speedport bekommt ja ein /56 IPv6-Präfix (= 256 Netze) zugewiesen und reicht dann ein /64 Netzwerk (ergänzt mit 8bit, so wie du es im Router festgelegt hast) in sein LAN.
Kann dein kaskadierter Router damit etwas anfangen und können die Geräte im zweiten LAN sich damit für IPv6 konfigurieren?
1
Answer
from
4 years ago
Also ich wäre der Meinung, das deinen Link-Lokalen IPv6-Adressen noch ein fe80:: vorweg fehlt.
Also ich wäre der Meinung, das deinen Link-Lokalen IPv6-Adressen noch ein fe80:: vorweg fehlt.
Was ich angegeben hatte, ist die ULA (lokale Adresse, aber global eindeutig). Das ist ja noch mal was anderes als die Link-Lokal-Adr.
Nein, Link-Lokale IPv6-Adressen werden nicht in das Internet geroutet, können aber im LAN für Routing-Zwecke benutzt werden.
Das war ein Missverständnis, siehe mein voriges Antwort-Posting.
Unlogged in user
Answer
from
4 years ago
Hallo @digidietze ,
- 1. Gibt er grundsätzlich eine Ping-Antwort in IPv6?
Ja.
Einmal ULA, einmal Link lokal:
- Leitet er IPv6-Pakete mit der lokalen Adresse in's Internet weiter, so wie es in IPv4 funktioniert?
Nein, dafür mußt du schon die öffentliche IPv6-Adresse des Client nutzen.
Er leitet ja auch keine Pakete mit lokalen IPv4-Adressen ins Internet.
8
Answer
from
4 years ago
Nein, bei IPv6 gibt es kein NAT (wozu auch). Der Client nutzt seine öffentliche IPv6-Adresse für Zugriffe ins Internet.
Also, iptables6 unter Linux macht jedenfalls NAT ... shorewall6 bietet es auch an.
Bin inzwischen etwas weiter, der "ping"-Befehl aus dem ersten Posting funktioniert jetzt. Ich musste die "Autokonfiguration" für IPv6 noch aktivieren (Red-Hat-Konfigurationsdatei, IPV6_AUTOCONF). Hab's noch nicht so ganz durchschaut - bin ein Kind der 80er, mein erstes 'Unix' lief auf dem Atari ST ... 😋
Jedenfalls danke für euren Input !!
Answer
from
4 years ago
NAT bietet keinen Zusatzschutz. Nur eine Deny-All-Strategie der Firewall für Pakete ,die auf dem WAN reinkommen schützt das dahinter liegende LAN-Netzwerk nach außen.
Answer
from
4 years ago
Na ja, die NAT hilft schon, wenn die Geräte dahinter nicht alle eine Firewall aktiv haben. Ich habe zwei nach außen, die gar keine Anfragen durchlassen (Speedport und Shorewall im NUC), da wären interne Firewalls Overkill. WLAN schalte ich nur gelegentlich dazu, sonst läuft hier nur Kupfer.
Unlogged in user
Answer
from
Unlogged in user
Ask
from