IPv6 in der Praxis, Dualstack im privaten Netzwerk

Autor

Beitrag

promocore
Inventar

#1 erstellt: 25. Mai 2017, 12:01

Ich möchte gerne IPv6 parallel in meinem Netzwerk verfügbar machen, damit bestimmte Serveranwendungen auch per IPv6 nativ erreichbar sind.

Von meinem Provider (Telekom) bekomme ich eine IPv6 IP zugeteilt.
Die ersten 48 Bit, also die ersten 3 Blöcke bleiben immer gleich, nach einem Reconnect vom Modem-Router ändern sich die die restlichen 5 Blöcke.

Da mein Router für IPv6 kein NAT bietet, bleibt mir allein die Möglichkeit die Clients per Firewall zu schützen, dazu müssten aber die IPv6 Clientadressen aber gleich bleiben, was ich natürlich mit einen DHCP Server im lokalen Netz machen könnte.
Mir ist nicht ganz klar, über welchen Adressbereich ich nun verfügen kann. Schau ich mir z.B.

https://www.elektronik-kompendium.de/sites/net/0812201.htm
sollte laut meinem Verständnis das Netzwerkprefix (56 Bit) immer gleich sein, das ist aber bei der Telekom nicht so.

Welchen Adressraum gehört nun mir, den ich im lokalen Netz dauerhaft an den Client vergeben kann, auch wenn sich die zugewiesene IP vom Privider ändert?

jonath
Inventar

#2 erstellt: 25. Mai 2017, 22:24

Welchen Router hast du? Wenn du einen Router der Telekom hast, dann kann es sein, dass schlichtweg alle eingehenden Verbindungen via IPv6 rausgefiltert werden (nicht abschaltbar). Firewallregeln kann man auch per Hostnamen/etc. realisieren, das ist relativ simpel, können die meisten Router allerdings nicht.

Die einzige Option ist hier der Wechsel auf einen anderen Router.

NAT für IPv6 wirst du übrigens so oder so eigentlich nicht finden, es ist ja mitunter einer der großen Vorteile von IPv6, dass man eben kein NAT mehr braucht (bzw. nahezu überall vermeiden kann).

promocore
Inventar

#3 erstellt: 25. Mai 2017, 23:02

Als Hauptrouter habe ich Microtik, davor hängt ein TP-Link VR600v, als Modem. SPI Firewall habe ich für IPv6 im TP Link Router deaktiviert.
Für mich wäre NAT weiterhin eine große Erleichterung, denn wenn das Netzprefix dynamisch wird, würden sich auch die Adressen der Clientrechner ändern. Wie möchte man denn da individuelle Paketfilter für jeden Client anpassen?
- und genau an der Stelle hänge ich.

[Beitrag von promocore am 25. Mai 2017, 23:03 bearbeitet]

jonath
Inventar

#4 erstellt: 26. Mai 2017, 09:00

Du kannst das von deinem DHCP Server regeln lassen, bei Mikrotik könnte das sogar klappen.

Man kann statische Leases erstellen (dann hast du eine fixe Zuordnung von Geräten, ich nehm mal an, dass du keine auth/managed Switche hast, wobei statische Adressen nicht notwendig sein, kann ja ein Pool sein), hier kannst du dann dynamisch die Firewall Regeln setzen lassen.

[Beitrag von jonath am 26. Mai 2017, 09:05 bearbeitet]

promocore
Inventar

#5 erstellt: 26. Mai 2017, 10:50

Der Mikrotik DHCP Client kann laut Doku den Prefix erfragen und diesen in eine DHCP Pool Liste schreiben, worüber dann die IP Adressen an die Clients verteilt werden. Leider funktiert das bei mir nicht, da der DHCP Client mit dieser Funktion keine IP bekommt, schalte ich diese aus, bekommt der Mikrotik DHCP Client sofort eine IP. Ich vermute mal, dass der TP-Link da der Schuldige ist.
Dass ich hingegen die Firewallregeln dynamisch an das Prefix anpassen kann, ist mir neu. Hast du da vielleicht einen Doku Link?

Überwiegend habe ich zyxel gs1910 Switche im Einsatz. Wobei IPv6 primär für ein Server benötigt wird, welcher direkt an einem Mikrotik Port unabhängig vom Rest hängt. Dieser Server virtualisiert dann mehrere Server.

promocore
Inventar

#6 erstellt: 26. Mai 2017, 15:10

Ergänzend habe ich das hier gefunden :

https://telekomhilft.telekom.de/t5/Telefonie-Internet/Anonymitaetsgrad-durch-dynamisch-wechslende-IPv6-Adressen-an/td-p/1613303

Kein Wunder also, warum sich IPv6 so zögerlich durchsetzt. Wenn die Provider einem solche Steine für die Nutzung in den Weg legen.
Ohne NAT macht Ipv6 an dynamischen Anschlüssen kaum Sinn. - oder kann jemand dynamische Pools mit dynamischen Firewallregeln auf seinem Router einrichten, um z.B. einfach mal eine Portfreigabe einzurichten und danach auch behaupten, dass die Regeln mit Sicherheit auch immer richtig angezogen werden?

Ich glaube, ich lasse mein IPv6 Projekt fallen, bis NAT bei Microtik verfügbar ist.
Oder hat jemand eine gute Idee für mich?