Inexio IPv6 Transfernetz am WAN in Subnetze für VLANs aufteilen - möglich?

[cytrinox]

Hallo zusammen,

unsere Firma hat kürzlich einen Business Vertrag mit Inexio für einen Glasfaser-Internetzugang abgeschlossen. Obwohl ich beim Vertrieb schriftlich ein statisches /58 oder größer angefordert hatte, wurde dies im Angebot nicht aufgenommen und tel. nur darauf verwiesen, dass ein statisches Netz schon mit dabei wäre.

Bei der Schaltung habe ich dann das Thema v6 nochmal angesprochen zwecks Einrichtung, die Technikerin teilte mir aber mit, bei den Business Tarifen ist immer nur eine statische v4 Adresse dabei, kein v6 Zugang. Vom Vertrieb habe ich dann ein Angebot für ein /60 erhalten, größer ginge angeblich nicht. Nachdem das dann beauftragt war, habe ich die IP-Konfiguration (durch fiktive, aber passende Werte ersetzt) erhalten:

Ihr Transfernetz: 2a01:5c0:1:aa0::2 - 2a01:5c0:1:aaf:ffff:ffff:ffff:ffff
Größe: 60
Gateway: 2a01:5c0:1:aa0::1
Übergabe: Cisco 1111p Ethernet Port 0/1/3

Da war ich dann ratlos, denn ein Transfernetz sollte eigentlich nur zwei Hosts drin haben (Kundenrouter und ISP Router, also /64 reicht völlig) über das dann ein (z.B.) /58 geroutet wird. Schließlich muss Inexio ja wissen, auf welche v6 Adresse (aus dem Transfernetz) das /58 geroutet werden soll.

Solche Setups mache ich schon seit vielen Jahren, i.d.R. erhält man eine v6 Adresse (aus einem /64 Transfernetz) per DHCPv6 oder SLAAC und holt sich dann per DHCPv6-PD einen Prefix, der über das Transfernetz geroutet wird. Das ist so das 08/15 Verfahren bei der Telekom oder Vodafone.

Ich habe in OPNSense etwas herum experimentiert, ob ich das oben genannte Netz trotzdem irgendwie benutzen kann. Hierzu folgendes Setup:

WAN: 2a01:5c0:1:aa0::2/60, Upstream GW: 2a01:5c0:1:aa0::1

VLAN01: 2a01:5c0:1:aa6::1/64 und RA/SLAAC aktiviert.

Einem Host im VLAN01 habe ich zusätzlich zu der autom. SLAAC Adresse noch eine weitere (einfachere) Adresse zugewiesen:
eth0: 2a01:5c0:1:aa6::ff/64

Wenn ich nun von diesem Host heise.de pingen möchte, sehe ich per tcpdump, dass das Paket zu Inexio geroutet wird. Aber statt ein ICMPv6 Echo Reply sehe ich nur eine Neighbor Solicitation vom Inexio Router (fe80::5e64:f1ff:fef8:1cf4).

08:40:08.006670 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::5e64:f1ff:fef8:1cf4 > ff02::1:ff00:ff: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2a01:5c0:1:aa6::ff
     source link-address option (1), length 8 (1): 5c:64:f1:f8:1c:f4
       0x0000:  5c64 f1f8 1cf4


Für mich ist das völlig logisch, denn das v6 Netz wird ja nicht geroutet sondern direkt am Ethernet Port der Inexio Hardware bereitgestellt. Folglich schickt dieser für alle IPs aus dem /60 immer Neighbor Solicitations an OPNSense, die diese aber nicht beantworten kann.

Oder übersehe ich hier etwas grundsätzliches? Hat jemand eine Idee, wie man dieses Netz in OPNSense richtig einrichtet oder kann bestätigen, dass das gar nicht nutzbar ist?

Auf die Frage an die Technik, warum man nicht einfach ein /64 als Transfernetz erhält und darüber dann ein /60 routet, so wie das der große Rest der ISPs in Deutschland ebenfalls machen, bekam ich nur die Aussage, dass das erst ab Enterprise Tarifen gehen würde, und da lägen wir preislich bei über 800 EUR/Monat...

Edit: Das Setup sieht folgendermaßen aus: APL -(LWL)-> Genexis ONT -(Kupfer)-> Cisco 1111p -(Kupfer)-> OPSense Router. Was der 1111p da macht konnte mir niemand konrekt sagen, nur dass der da unbedingt gebraucht wird. Am Port 0/1/3 wird sowohl die statische v4 Adresse als auch das v6 Transfernetz bereitgestellt - da läuft kein DHCP o.ä., insgesamt ist das Ding eine Blackbox für mich. Eventuell packt das Teil nur ein Upstream-seitiges VLAN aus und stellt es auf 0/1/3 bereit - irgendwo hab ich gelesen, dass im Inexio/DG Netz der Kundentraffic das VLAN Tag 7 hat - ist aber pure Spekulation.

[_Alchemist_]

Da war ich dann ratlos, denn ein Transfernetz sollte eigentlich nur zwei Hosts drin haben (Kundenrouter und ISP Router, also /64 reicht völlig) über das dann ein (z.B.) /58 geroutet wird. Schließlich muss Inexio ja wissen, auf welche v6 Adresse (aus dem Transfernetz) das /58 geroutet werden soll.

Kleiner Vergleich: Bei der DTAG habe ich für mein statisches IPv6 Netzwerk folgende Infos bekommen:

IPv6 (Öffentlich/WAN)	2003:000a:1234:abcd:0000:0000:0000:0000/64
IPv6 (Kundennetz/LAN)	2003:000a:5678:ef00:0000:0000:0000:0000/56

--> Das /64er Transfer/WAN-Netzwerk liegt hier (wichtig) außerhalb des /56 Präfixes.

Wenn du auf der OPNsense kein NAT66/NPTv6 oder ND-Proxy (RFC 4389) einstellen willst, muss dir Inexio soweit ich weiß zusätzlich zum WAN/Transfer-Netzwerk 2a01:5c0:1:aa0::/60 auch ein LAN/Internes Netzwerk zu verfügung stellen.

Wer auch immer dort ein Netzwerk größer als /64 für ein Transfer-Netzwerk eingestellt hat, scheint sich hier möglicherweise nicht besonders gut mit IPv6 auszukennen...  :-\

[Monviech (Cedrik)]

https://forum.opnsense.org/index.php?topic=33332.msg161232#msg161232

Wahrscheinlich gleich.

[cytrinox]

https://forum.opnsense.org/index.php?topic=33332.msg161232#msg161232

Wahrscheinlich gleich.

Das hatte ich schon gelesen, und bestätigt ja meine Vermutung dass Inexio das "nur" mit einem Transfernetz falsch konfiguriert hat.

Mit diesen Informationen kann man keine /64 Prefixe betreiben, da die Rückroute fehlt. Hier MUSS die Telekom angerufen werden, damit diese Route gesetzt wird. Das erste IPv6 /64 Netz wird dann als Transportnetz (Transfernetz) eingerichtet.

Genau das hab ich Inexio dann auch gesagt. Haben Sie aber abgelehnt, das ginge nur mit Enterprise Tarif.

[Patrick M. Hausen]

Wenn ihr einen Vertrag habt, in dem von deren Seite IPv6 zugesichert wird, dann könnte ein Schreiben von der Geschäftsleitung und die Drohung mit weiteren rechtlichen Schritten vielleicht Erfolg haben?

Es ist ja so nicht nutzbar.