Hallo zusammen,
ich habe ein Problem, bei dessen Lösung ich absolut nicht weiterkomme.
Von 1und1 bekomme ich einmal täglich ein neues IPv6-Präfix zugewiesen. Dementsprechend erhalten alle Geräte im Netz auch neue IPv6-Adressen, das funktioniert soweit problemlos.
Allerdings behalten alle Apple-Devices (Macbooks, iphones, ipads) weiterhin zusätzlich zu den neuen ihre "abgelaufenen" IPv6-Adressen. Das führt dazu, dass sie über mehrere Tage Adressen ansammeln und keine IPv6-Verbindung mehr ins Internet herstellen können.
Ein geräteseitiges Aus- und Wiedereinschalten des Wlan entfernt alle abgelaufenen Adressen, die Geräte holen sich nur noch die aktuellsten IPv6-Adressen und alles funktioniert wie es soll.
Meine Frage: Wie bringe ich die Apple-Devices dazu, die ungültigen Adressen nach dem Erhalt des neuen Präfix zu verwerfen?
Mein Netzwerk:
Draytek Vigor 130, dahinter die OPNsense 23.7.5-amd64.
An der OPNsense hängt eine Fritzbox im IP-Client-Modus als WLAN-Access-Point und daran die Apple-Devices.
Zusätzlich hängen per LAN an der OPNsense im gleichen Subnet zwei Ubuntu-Server - bei denen funktioniert der Austausch des Präfix einwandfrei.
Das Präfix wird vom WAN per DHCPv6 an das LAN-Interface (Track Interface) durchgereicht. Im LAN ist DHCPv6 deaktiviert, RA steht auf "Unmanaged".
Viele Grüße und schon mal ein herzliches Dankeschön!
https://datatracker.ietf.org/doc/html/rfc2461#section-6.2.1
AdvValidLifetime
The value to be placed in the Valid
Lifetime in the Prefix Information
option, in seconds. The designated value
of all 1's (0xffffffff) represents
infinity. Implementations MUST allow
AdvValidLifetime to be specified in two
ways:
- a time that decrements in real time,
that is, one that will result in a
Lifetime of zero at the specified
time in the future, or
- a fixed time that stays the same in
consecutive advertisements.
Default: 2592000 seconds (30 days), fixed
(i.e., stays the same in consecutive
advertisements).
Das heißt du könntest "AdvValidLifetime" in den Router Advertisements anpassen damit die "deprecated" SLAAC IPv6 Adressen schneller als 30 Tage verschwinden. Das Betriebssystem sollte sie nach dem Ablauf der Valid Lifetime löschen.
"AdvPreferredLifetime" kann auch geringer als 7 Tage sein. In deinem Fall wird es ja Täglich gewechselt. Dann werden die IPv6 Adressen schneller als "deprecated" markiert.
Das Betriebssystem von Apple sollte sich eigendlich an die RFC Norm halten.
Vielen Dank, deine Antwort hat mir auf die Sprünge geholfen ;-) Ich hab mich an der RFC 9096 orientiert und AdvValidLifetime auf 5400 bzw. AdvPreferredLifetime auf 2700 sec. gesetzt. Das scheint bis jetzt zu funktionieren.
Nur zum Verständnis (ich versuche mich grad durch die RFCs zu arbeiten und das Thema IPv6 besser zu verstehen, aber manchmal hakt's noch):
Ich hab den Präfix-Tausch (nennt man das "Renumbering"?) mit Wireshark mitgeschnitten – vor der Änderung, die ich aufgrund deiner Antwort vorgenommen habe. Wenn ich das aus dem Mitschnitt richtig rausgelesen habe, bekommt das deprecated Prefix eine Valid Lifetime von 7200 und eine Preferred Lifetime von 0. Anschließend wird das neue Präfix mit einer Valid Lifetime von 86400 und einer Preferred Lifetime von 14400 bekannt gemacht. Das bedeutet doch, dass die deprecated IPs auf den Apple-Devices nach dem Prefix-Tausch nicht länger als 2 Stunden (7200 Sek.) hätten aktiv bleiben dürfen, oder liege ich da falsch?
Soweit ich das verstehe hast du damit recht. Nach 2 Stunden müssten die deprecated Präfix gelöscht werden. Außer Apple hält sich nicht an die Norm.
Mit Präfix Tausch kenne ich mich nicht im Detail aus, da müsste ich auch nochmal nachlesen. Ich hab das große Glück überall (privat und geschäftlich) alles IPv6 statisch zu haben.
Ich finde es toll das du mit Wireshark alles überprüfst was du änderst. :)