IPv6 - Multi VLAN und ULA

[phonepunk]

Hallo zusammen,

ich hab folgendes Problem wo ich gerade auf dem Schlauch stehe:

IPv6 Prefix von 1und1 über mehrere Interfaces bzw. VLANs verteilen - Funktioniert.
Zusätzlich ULAs in den Netzen verteilen funktioniert auch. Will damit ein paar statische interne Services wie beispielsweise internen DNS lösen.

Ping ich aber jetzt aus VLAN X ins VLAN Y bzw. von Client zu Client über die ULA Adressen geht es nicht.
Ping ich jetzt von meinem Rechner im VLAN X das OPNsense Interface mit der ::1 von VLAN Y geht das. Also ich kann nur die ULA Adressen der Sense erreichen?

Riecht für mich nach FW Regel - aber ich komm nicht drauf was ich da jetzt setzen soll. Hab schon versucht auf beiden Interfaces eine Regel mit den fd80 ULA Adressen von nach zu setzen - aber kein Erfolg.

Hat jemand eine Idee?

[Tuxtom007]

Hat jemand eine Idee?

ich hab das selbe Problem bei mir mit Kabelinternet und schönen IPV6 Prefix-Delegation.
Ich bräuchte auch für einige interne Dienste z.b. PiHole statische v6 Adressen - IPv4 alles wunderbar, kein Problem, IPv6 und das Drama beginnt :-)

Mit fd80 Adresse hab ich auch schon probiert, solange man im selben VLan bleibt. funktioniert das gut, aber eben nicht über VLan-Grenzen hinweg und ich habe bisher noch keinen Weg gefunden, das zum Laufen zu bringen.

Auch so Ideen, das man den Netzwerk-Teil der v6 Adresse als statisch setzt, funktioniert nur semioptimal.

Vielleicht finden wir mit dem gebalten Community-Wissen eine Lösung, ich hab das Thema immer wieder verdrängt und nutze aktuell AdGuard auf der OPNSense, so funktioniert das auch mit IPv6 problemlos, da AdGuard-IP = Gateway-Adresse

[phonepunk]

Ja - wäre schon das mal zu lösen.

Was machst du mit folgenden Hintergrund?
IPv6 bei Kabel Deutschland oder ähnliches - bist eine etwas größere Kanzlei, trennst sauber deine Netze über VLANs in Management, Server, Clients, Drucker, IOT, Telefon. Hast einen eigenen AD mit DNS etc und dann schaltest v6 intern ab weil du von den Clients den DNS vom AD nicht via IPv6 erreichen kannst?

Kann ja nicht sein... Was ist da denn "Best Practise"? Alle Clients mit einer IPv6 Adresse bevorzugen ja IPv6 vor v4...

[robgnu]

Moin,

kurz zur Erklärung:
fe80 Adressen sind keine ULA-Adressen. fe80 sind link-local und sind nicht routbar. ULA-Adressen werden i.d.R. als fd00:: verwendet. Wer mehr wissen will: https://www.elektronik-kompendium.de/sites/net/2107111.htm (und/oder Wikipedia).

Wenn man die dynamischen IPv6 Prefixe von 1&1 nutzt, legt mal die ULAs als Virtual-IPs an und startet anschließend radvd neu. Dann funktioniert das Ganze vmtl. auch.

Gruß
Robert.

[Tuxtom007]

Hallo,

Falls jemand mal ein How-To  findet, wie man IPv6 mit dynamischen Prefix-Delegation auf Providerseite und dennoch der Möglichkeit, diversen Systemen statische IPv6-Adressen zu geben ( bei mir eben PiHole ), nehm ich das gerne.
Aber derzeit hab ich nach etlichen Versuchen und Fehlschlägen einfach keine Lust mehr, mit mit IPv6 zu beschäftigen, ich habs komplett deaktiviert.

[JeGr]

Was schade ist, denn IPv6 kann da nicht mal was dafür. Es regt aber leider nur noch auf, dass jeder neue Markteinsteiger der meint, er kann jetzt beim Breitbandausbau noch nen schnellen Euro mitverdienen (die ganzen Stadtwerke und Co.) jetzt mit Glas oder Kabel Zweitverwertung ums Eck kommen und die schnellen Bandbreiten dann mit dem ganzen uralt Mistdreck von PPPoE über Zwangstrennung bis zur unnötigen Netzanmeldung mit User/Pass (es gibt keinen Grund dafür!) und dynamischer IP bzw. IPv6 Prefixen so ziemlich alles versauen, was man auf der Checkliste abhaken könnte.

Jeden Businesskunden können sie problemlos einen Router oder Netzabschluß hinstellen, der ohne den ganzen Quatsch funktioniert. Nur der Endkunde muss sich durch Alten Technoschrott die Leitung versauen lassen.

Einzig mit einem he.net Tunnel habe ich es hinbekommen mal endlich sauber IPv6 intern auszurollen in diversen Netzen und konnte da auch endlich mal die Möglichkeiten von IPv6 ausprobieren. Statisch vergeben, dynamisch via DHCP6, SLAAC, Prefix Delegation etc. - aber das klappt wiederum nur mit nem Anschluß der zumindest ne nutzbare IPv4 hat.

Wenn jemand einen Dienst kennen sollte, der ein statisches IPv6 Prefix auf eine (dynamische) IPv6 routen kann/lässt oder das per BGP o.ä. anbietet - immer her damit. Aber mit dem dynamischen Quatsch in DE wird das immer ein rumgefrickel bleiben, das nicht sauber funktioniert.

[tiermutter]

Deutschland ist halt Technik-Hinterland, da macht auch niemand was, weil man sich ja damit rühmen kann, dass wir schon 5G ausgebaut haben und überhaupt FTHH ausbauen.
NetCologne stellt einem Bekannten von mir allerdings auf Nachfrage auch statisches v6 für Privat bereit... Ein Traum...

[JeGr]

> NetCologne stellt einem Bekannten von mir allerdings auf Nachfrage auch statisches v6 für Privat bereit... Ein Traum...

Ja man soll nicht verschweigen dass es auch Leuchttürme im Technik-Dunkeldeutschland gibt, die den Mist nicht machen, GPON rauswerfen und Glasfaser wirklich sauber bis zur Haustür auflegen und einem dann auch noch sauber IPs konfigurieren. Leider ist das nicht die Masse :(

Ein Blick nach NL zu diversen Glasanbietern oder zu den Kollegen nach CH (https://www.init7.net/en/internet/fiber7/) ist da zum Heulen. Vor allem zeigt bspw. INIT7, dass es dann auch völlig egal wird, welche Performance man braucht weil es technisch keinen Grund gibt, da mehr oder weniger zu verlangen.

1? 10? 25Gbit? Was hättens gern? Tüte dazu? Danke!
:(

[tiermutter]

In Deutschland geht sowas weil 1. erlaubt und 2. wir so blöd sind und das mitmachen.
War da nicht was, dass es für Mobilfunk kein Datenlimit geben dürfte? Selbst für HD TV nimmt man uns Geld ab... Und ich schweife ab...  :-X

[Tuxtom007]

....immer her damit. Aber mit dem dynamischen Quatsch in DE wird das immer ein rumgefrickel bleiben, das nicht sauber funktioniert.

Das Problem wäre einfach zu lösen, wenn die Provider - in meinem Fall Vodafone NRW/Kabel-  mal ihren Job lernen und machen würden.
Einfach statische IPv6 Adressen /Prefixe vergeben und Ruhe wäre. Bei IPv4 habe ich eine quasi statisch Adresse, als Business-Kunden kann ich statische IPv4 Adressen bekommen.
Bei Anfragen zu IPv6 wird man gerade bei Vodafone von Hotline zu Hotline verwiesen oder die Verbindung einfach beendet - Kundenservice sieht anders aus, auch was das Anbieten von Diensten betrifft.

Technik Neuland Deutschland.

[tiermutter]

Die Antwort von der DG war

Die IPv6 wird nur bei Geschäftskunden statisch zur Verfügung gestellt. In der Regel wird aber auch bei Privatkunden immer die gleiche IPv6 vergeben, aber da dies über DHCP geht kann es vorkommen das sich diese auch mal ändert.

Tatsächlich ist es so, dass sich die IP nur sehr selten ändert, aber selbst wenn man jedes Jahr alles umstricken müsste, wäre das völlig inakzeptabel.

Noch überlege ich, ob ich den Vertrag einfach kündige und auf deren Rückfrage dann eine statische v6 verlange. Wenn das nicht klappt müsste ich das aber durchziehen, und ich habe echt kein Bock mehr auf DSL :D

[KHE]

Das Problem wäre einfach zu lösen, wenn die Provider - in meinem Fall Vodafone NRW/Kabel-  mal ihren Job lernen und machen würden.
Einfach statische IPv6 Adressen /Prefixe vergeben und Ruhe wäre. Bei IPv4 habe ich eine quasi statisch Adresse, als Business-Kunden kann ich statische IPv4 Adressen bekommen.

Kannst du auch, kostet nur mehr. Nennt sich Buisness Pro bei Vodafone. Und dann gibt es bis zu 64 IPv4 dazu.
Und jetzt weiß ich auch warum man bei Vodafone nur noch ein /59 Prefix bekommt und kein /56. Die wollen die Buisness Tarife promoten. Guck hier.

KH

[Tuxtom007]

Kannst du auch, kostet nur mehr.

Nee ,kann ich nicht bekommen, steht in den Fußnoten:
"In Hessen, Baden-Württemberg und Nordrhein-Westfalen noch nicht verfügbar.

[KHE]

Kannst du auch, kostet nur mehr.

Nee ,kann ich nicht bekommen, steht in den Fußnoten:
"In Hessen, Baden-Württemberg und Nordrhein-Westfalen noch nicht verfügbar.

Business Internet Pro hat die Fußnote nicht. Guck hier. Da gibt es das statische /64 Prefix.
Der andere Link ist nur für Buisness Internt. Und da steht nur /56 Prefix und nicht statisch. Und ja Ex-Unitymedia Kunden schauen noch in die Röhre.

KH

[JeGr]

Nichts desto trotz gibt es von RIPE Seiten keinerlei Grund warum man Endkunden auf Wunsch nicht einfach ein /56er zuwerfen können sollte. Im Gegenteil, RIPE und Co würden sowas explizit unterstützen und gut finden. Das sind nur die ISPs die da unter dem Deckmantel von Pseudo Privacy Gründen und teuren Tarifen in denen sie das verkaufen wollen den Mist nicht rausrücken. Als LIR oder generell als RIPE Member wirst du zugeworfen mit IPv6 wenn du sagst du willst das machen. /32? oder doch lieber gleich /29? Nehmen Sie ruhig! Vorgabe oder zumindest stark empfohlener Vorschlag ist es auch einem Kunden grundsätzlich /56 oder zumindest /60 zu geben, damit er ordentlich arbeiten kann. Statt dessen gibts den zerschnittenen dynPrefix Mist.