Routing von IPv6-Verbindungen

[Holger]

Liebe Leute,

ich habe ein technisches Problem mit meinem Kabelanschluß von Vodafone,
es geht um IPv6. Der von Vodafone gestellte Router kann sowohl IPv4 und
auch IPv6 angeschlossenen Rechnern routen, ich kann beide Protokolle
nutzen. Dies geht aber nur, wenn kein zweiter Router zwischen den
Rechnern und dem Router von Vodafone steht. Für IPv4 ist das alles
unproblematisch. Ich stellte den Router von Vodafone in den sogenannten
Bridge Mode um und benutze jetzt nur noch das dort eingebaute
Kabelmodem. Funktioniert für IPv4 gut. Für IPv6 geht das auch, wenn ich
einen Rechner direkt mit dem Vodafone-Gerät verbinde. Allerdings wird
mir der Spaß verhagelt, schalte ich einen eigenen Router wieder
dazwischen, wegen Portfreigaben und WLAN übrigens, was das Vodafonegerät
zur Zeit nicht kann.

Ich bekomme via DHCP6 via Vodafone-Gerät nun eine IPv6-Adresse und einen
davon abweichenden IPv6-Präfix für ein /64-Netz. Mein Pouter stellt als
Ipv6-Assign-Type "DHCPv6-Server" für das LAN ein und vergibt auch
IPv6-Adressen, "link local" genauso wie öffentliche IPv6-Adressen.

Haken an der Sache ist allerdings dieser: Diese Adressen werden zwar
vergeben, aber nicht geroutet. Im Status sieht man für das WAN keinen
IPv6-Default-Gateway.

Das soll sich nur ändern, wenn ich von einem Privatkundenvertrag in
einen Geschäftskundenvertrag wechsele. Meine Frage ist also diese: Wie
kann ich als Privatkunde über einen eigenen Router ins IPv6-Netz, ohne
einen Geschäftskundentarif buchen zu müssen, der rund doppelt so teuer
wäre wie mein Privatkundentarif?

Holger

[Peter Aulich]

Hallo,

AFAIK bekommt man im Bridgemode nur IPV4 ans WAN Interface.

Eine Moeglichkeit waere eine eigene Cable Fritzbox. Da bekommt man wohl
zur Zeit sogar noch echtes Dual-Stack geschaltet.
Bei Gebrauchtkauf nur aufpassen, ehemalige Leihboxen schaltet Vodafone
nicht frei! Im vodafonekabelforum.de gibt es Beitraege ueber die
Produktnummern der Fritzboxen die freigeschaltet werden.

Gruesse

P.A.

[Marc Haber]

Holger <m...@privacy.org> wrote:
>Ich bekomme via DHCP6 via Vodafone-Gerät nun eine IPv6-Adresse und einen
>davon abweichenden IPv6-Präfix für ein /64-Netz.

Das ist nur _ein_ Netz. Vodafone müsste Dir für Deine Routerkaskade
ein weiteres /64 bereitstellen. Das hierfür üblicherweise verwendete
Verfahren heißt Prefix Delegation.

>Mein Pouter stellt als
>Ipv6-Assign-Type "DHCPv6-Server" für das LAN ein und vergibt auch
>IPv6-Adressen, "link local" genauso wie öffentliche IPv6-Adressen.
>
>Haken an der Sache ist allerdings dieser: Diese Adressen werden zwar
>vergeben, aber nicht geroutet.

Link Local Adressen in IPv6 werden nicht vergeben.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Holger]

Am 08.04.20 um 13:34 schrieb Marc Haber:

> Holger <m...@privacy.org> wrote:
>> Ich bekomme via DHCP6 via Vodafone-Gerät nun eine IPv6-Adresse und einen
>> davon abweichenden IPv6-Präfix für ein /64-Netz.
>
> Das ist nur _ein_ Netz. Vodafone müsste Dir für Deine Routerkaskade
> ein weiteres /64 bereitstellen. Das hierfür üblicherweise verwendete
> Verfahren heißt Prefix Delegation.
>
>> Mein Pouter stellt als
>> Ipv6-Assign-Type "DHCPv6-Server" für das LAN ein und vergibt auch
>> IPv6-Adressen, "link local" genauso wie öffentliche IPv6-Adressen.
>>
>> Haken an der Sache ist allerdings dieser: Diese Adressen werden zwar
>> vergeben, aber nicht geroutet.
>
> Link Local Adressen in IPv6 werden nicht vergeben.

Sorry, wenn ich mich nicht standesgemäß ausdrücke, ich habe mich heute
das erste Mal mit IPv6 auf einem Router beschäftigt. Bisher reichte mir
IPv4. Aber hier enstehen Link-Local-Adressen nun mal, und mir ist es
erstmal egal, ob die nun vergeben oder gebildet oder selbst zugewiesen
werden. Bedeutsam ist, von allem Details abstrahiert, deren Existenz.
Richtigstellende Papiere bezüglich der Ausdrucksweise und des genauen
Verfahrens kann ich später immer noch lesen. Mich interessiert, was hier
falsch läuft, und ob ich das mittels Konfiguration ändern kann oder nicht.

Da es mich nicht das Genick brechen wird, hier die vergebenen
IPv6-Adressen für das WAN, linksseitig leicht verfälscht dargestellt:

Router: 3c02:8109:0:1b:3900:a3d6:c0e5:d579
Adresspräfix: 3c02:8109:d80:473c::/64
Eingestellt ist: Get IPv6 Address Prefix.
WAN Connection Type: DHCPv6
IPv6 Default Gateway: Keine Angabe.

Für das LAN:

Pv6 Address Assign Type: DHCPv6 Server (wurde automatisch so eingestellt.)
LAN IPv6 Address: 3c02:8109:d80:473c:fa1a:67ff:fe56:98be/64
Link Local Address:
fe80::fa1a:67ff:fe56:98be/64

Holger

[Marc Haber]

Holger <m...@privacy.org> wrote:
>Sorry, wenn ich mich nicht standesgemäß ausdrücke, ich habe mich heute
>das erste Mal mit IPv6 auf einem Router beschäftigt. Bisher reichte mir
>IPv4. Aber hier enstehen Link-Local-Adressen nun mal, und mir ist es
>erstmal egal, ob die nun vergeben oder gebildet oder selbst zugewiesen
>werden. Bedeutsam ist, von allem Details abstrahiert, deren Existenz.
>Richtigstellende Papiere bezüglich der Ausdrucksweise und des genauen
>Verfahrens kann ich später immer noch lesen. Mich interessiert, was hier
>falsch läuft, und ob ich das mittels Konfiguration ändern kann oder nicht.

Eine Link Local Adresse wird nicht geroutet, weil sie nicht geroutet
werden. Das steht so im Standard.

Wikipedia sagt:
|Link-Local-Adressen[23] sind nur innerhalb abgeschlossener
|Netzwerksegmente gültig. Ein Netzwerksegment ist ein lokales
|Netz, gebildet mit Switches oder Hubs, bis zum ersten Router.
|Reserviert ist hierfür der Bereich „fe80::/10“.[24][25] Nach diesen
|10 Bits folgen 54 Bits mit dem Wert 0, sodass die Link-Local-Adressen
|immer das Präfix „fe80::/64“ haben:
|10 Bits 54 Bits 64 Bits
|1111111010 0 Interface ID
|
|Link-Local-Adressen nutzt man zur Adressierung von Knoten in
|abgeschlossenen Netzwerksegmenten sowie zur Autokonfiguration oder
|Neighbour-Discovery. Dadurch muss man in einem Netzwerksegment
|keinen DHCP-Server zur automatischen Adressvergabe konfigurieren.

Die englische Wikipedia beschreibt das ein wenig weniger schrecklich.

Für die Kommunikation mit dem Internet taugen link local Adressen
nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
einem die Möglichkeit, sich über die Router von einem Netzwerksegment
zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
Prefix delegieren lassen.

IPv6 ist ein von IPv4 völlig unterschiedliches Protokoll, das bekommt
man nicht ans Laufen ohne vorher Doku zu lesen. Dabei ist dringend zu
empfehlen, alles was man über IPv4 weiß zu vergessen, das belastet
beim Lernen von IPv6 nur.

[Holger]

Am 08.04.20 um 18:24 schrieb Marc Haber:

> Für die Kommunikation mit dem Internet taugen link local Adressen
> nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
> einem die Möglichkeit, sich über die Router von einem Netzwerksegment
> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
> Prefix delegieren lassen.

Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
"nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
ich bekomme keine Routen zum IPv6-Internet für meine am Router
angeschlossenen Rechner.

> IPv6 ist ein von IPv4 völlig unterschiedliches Protokoll, das bekommt
> man nicht ans Laufen ohne vorher Doku zu lesen. Dabei ist dringend zu
> empfehlen, alles was man über IPv4 weiß zu vergessen, das belastet
> beim Lernen von IPv6 nur.

Den Eindruck habe ich auch. Aber ich bilde mir ein, dass ein tieferes
Verständnis von IPv6 auch der weitgehenden Auto-Konfiguration eines
Heimrouters folgen kann. Ich habe doch die Daten aus dem Router unter
mein letztes Post kopiert. Magst du da einen Blick drüber werfen?

Holger

[Juergen Ilse]

Hallo,

Holger <m...@privacy.org> wrote:
> Am 08.04.20 um 18:24 schrieb Marc Haber:
>> Für die Kommunikation mit dem Internet taugen link local Adressen
>> nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
>> einem die Möglichkeit, sich über die Router von einem Netzwerksegment
>> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
>> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
>> Prefix delegieren lassen.
> Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
> ich bekomme keine Routen zum IPv6-Internet für meine am Router
> angeschlossenen Rechner.

Wenn der 2. Router sich komplett aus DHCP, SLAAC, etc. heraushaelt und
sowohl IPv4 als auch IPv6 bridged, solltest du kein Problem haben, denn
dann bedient der 1. Router auch die Geraete hinter dem 2. Router mit,
er sieht dann noch nicht einmal, dass da noch ein Router dazwischen
haengt ...
Wenn du vom 2. Router nur das WLAN nutzen willst, weil das aktivieren von
WLAN auf dem ersten Router kostet, duerfte der Betrieb als Bridge doch
voellig ausreichen ...

>> IPv6 ist ein von IPv4 völlig unterschiedliches Protokoll, das bekommt
>> man nicht ans Laufen ohne vorher Doku zu lesen. Dabei ist dringend zu
>> empfehlen, alles was man über IPv4 weiß zu vergessen, das belastet
>> beim Lernen von IPv6 nur.
> Den Eindruck habe ich auch.

Eigentlich ist das halb so wild. Wo Marc allerdings recht hat: versuche
*niemals* IPv4-Wissen auf IPv6 uebertragen, das geht in den meisten Fael-
len schief ...
Du hast i.d.R. bei IPv6 bei "SOHO-Equipment! kein NAT (und wenn, dann nur
1 zu 1 NAT fuer gesamte /64 Netze, sprich es wird nur der /64 Prefix um-
geschrieben).

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Marc Haber]

Holger <m...@privacy.org> wrote:
>Am 08.04.20 um 18:24 schrieb Marc Haber:
>> Für die Kommunikation mit dem Internet taugen link local Adressen
>> nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
>> einem die Möglichkeit, sich über die Router von einem Netzwerksegment
>> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
>> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
>> Prefix delegieren lassen.
>
>Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
>geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>"nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>ich bekomme keine Routen zum IPv6-Internet für meine am Router
>angeschlossenen Rechner.

Der Router von Deinem Kabelanbieter gibt dem Segment zwischen ihm und
Deinem Router IPv6-Adressen aus dem einen /64. Dein Router müsste ich
dann für das Netzwerksegment hinter ihm ein weiteres /64 zuweisen
lassen. Das scheint er nicht zu tun.

[Marc Haber]

Juergen Ilse <ne...@usenet-verwaltung.de> wrote:
>Holger <m...@privacy.org> wrote:
>> Am 08.04.20 um 18:24 schrieb Marc Haber:
>>> Für die Kommunikation mit dem Internet taugen link local Adressen
>>> nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
>>> einem die Möglichkeit, sich über die Router von einem Netzwerksegment
>>> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
>>> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
>>> Prefix delegieren lassen.
>> Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
>> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>> ich bekomme keine Routen zum IPv6-Internet für meine am Router
>> angeschlossenen Rechner.
>
>Wenn der 2. Router sich komplett aus DHCP, SLAAC, etc. heraushaelt und
>sowohl IPv4 als auch IPv6 bridged,

... dann ist er kein Router, sondern eine Bridge.

[Holger]

Am 08.04.20 um 20:13 schrieb Marc Haber:

> Holger <m...@privacy.org> wrote:
>> Am 08.04.20 um 18:24 schrieb Marc Haber:
>>> Für die Kommunikation mit dem Internet taugen link local Adressen
>>> nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
>>> einem die Möglichkeit, sich über die Router von einem Netzwerksegment
>>> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
>>> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
>>> Prefix delegieren lassen.
>>
>> Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
>> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>> ich bekomme keine Routen zum IPv6-Internet für meine am Router
>> angeschlossenen Rechner.
>
> Der Router von Deinem Kabelanbieter gibt dem Segment zwischen ihm und
> Deinem Router IPv6-Adressen aus dem einen /64. Dein Router müsste ich
> dann für das Netzwerksegment hinter ihm ein weiteres /64 zuweisen
> lassen. Das scheint er nicht zu tun.
>

Ich möchte nochmals sagen, dass der Router vom Vodafone Kabel im
Bridge-Modus läuft. Ich nehme also an, das Gerät ist in diesem Modus ein
reines Kabelmodem ohne Router-Funktionalität.

Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
ich kriege kein Gateway ins IPv6-Internet.

Holger

[Kay Martinen]

Ich hänge mich hier mal dran mit meiner Problematik.

Am 08.04.20 um 20:13 schrieb Marc Haber:

> Holger <m...@privacy.org> wrote:
>> Am 08.04.20 um 18:24 schrieb Marc Haber:

>>> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
>>> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
>>> Prefix delegieren lassen.

Das ist auch bei meinem Speedport Hybrid das Problem. Der Delegiert kein
Prefix. Und da er gemietet ist will ich den auch nicht Bricken^WUmfFlashen.

>> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>> ich bekomme keine Routen zum IPv6-Internet für meine am Router
>> angeschlossenen Rechner.

Ist es noch Routing wenn IPv6 durch einen 2. Router "hindurch" geht?

> Der Router von Deinem Kabelanbieter gibt dem Segment zwischen ihm und
> Deinem Router IPv6-Adressen aus dem einen /64.

Da Prefix Delegation bei mir auch nicht geht und ich nicht weiß ob/wie
ich ein 1:1 NAT/NDP oder sonstwas (böses!?) in Router-appliances wie
opn, pfsense o. plain linux umsetze... ist es vermutlich die einfachste
lösung; da ich meine internen Netze eh schon aufteilen will; meinen
internen Router IPv6 komplett durch zu lassen. Zumindest in das eine
Segment in dem ich voll internet-taugliche Geräte setzen will. ?

Braucht es da noch mehr als nur eine Regel der art "Allow All IPv6
In/out" zwischen WAN und SegmentX? evtl. ein igmp oder
multicast-proxying um auch alles zu erwischen? Oder einen weiteren Radvd
der RouterAdvertisements weiterleitete? Grund: Ich bin nicht sicher ob
z.b. bei OPN eine Schlichte Regel reicht und es nicht evtl. versteckte
regeln gäbe die RA's o.a. aufhalten...

Den Segmenten die Intern bleiben sollen kann ich IPv6 dann ja komplett
verbieten. Sollte man einer DMZ IPv6 erlauben?

IPv6 Only sehe ich als Problematisch an. Kann man doch auch noch IPv4
auf die Klassische Art (dhcpd) konfiguriert parallel betreiben - dann
halt für Verbindungen zu internen Ressourcen oder domains die noch kein
IPv6 haben/brauchen. Ohne Dualstack müsste ich sonst IMHO von einer
Link-local Adresse zu einer Anderen LLA in einem anderen Segment
"routen" (oder: Bridgen) was mich wieder vor ein Verständnisproblem führte.


Kay

--
Posted via SN

[Juergen Ilse]

Hallo,

Marc Haber <mh+usene...@zugschl.us> wrote:
> Juergen Ilse <ne...@usenet-verwaltung.de> wrote:
>>Holger <m...@privacy.org> wrote:
>>> Am 08.04.20 um 18:24 schrieb Marc Haber:
>>>> Für die Kommunikation mit dem Internet taugen link local Adressen
>>>> nicht. Sie werden z.B. für Neighbor Discovery verwendet und bieten
>>>> einem die Möglichkeit, sich über die Router von einem Netzwerksegment
>>>> zum anderen zu hangeln. Damit Du ins IPv6-Internet kommst, muss dein
>>>> Router, wie von Dir oben mitzitiert, sich vom DHCPv6-Server einen
>>>> Prefix delegieren lassen.
>>> Das habe ich ja vorher schon begriffen, dass Link Local Adressen nicht
>>> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>>> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>>> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>>> ich bekomme keine Routen zum IPv6-Internet für meine am Router
>>> angeschlossenen Rechner.
>>
>>Wenn der 2. Router sich komplett aus DHCP, SLAAC, etc. heraushaelt und
>>sowohl IPv4 als auch IPv6 bridged,
>
> ... dann ist er kein Router, sondern eine Bridge.

Das ist mir klar, nur vielleicht genuegt ihm das ja fuer seine Zwecke?

Tschuess,
Juergen Ilse (juergenqusenet-verwaltung.de)

[Marc Haber]

Holger <m...@privacy.org> wrote:
>Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
>ich kriege kein Gateway ins IPv6-Internet.

Gebetsmühle: Prefix Delegation.

Mehr kann ich dazu nicht sagen, weil das IPv6 in meinem LAN über einen
OpenVPN-Tunnel kommt. Die Nutzung des von meinem Anbieter inzwischen
bereitgestellten nativen IPv6 steht aktuell auf Platz 3 meiner
privaten Technik-Todo-Liste hinter "Blog wieder aufsetzen" und "neues
Mobiltelefon". Wird also vielleicht dieses Jahr noch was.

[Marc Haber]

Kay Martinen <k...@martinen.de> wrote:
>Am 08.04.20 um 20:13 schrieb Marc Haber:

>>> geroutet werden. Soweit ich das verstanden habe, bekommt aber jeder
>>> Knoten in einem Netzsegment auch eine öffentliche IP-Adresse, die dann
>>> "nur noch" geroutet werden müßte. Das unterbleibt in meinem Fall aber,
>>> ich bekomme keine Routen zum IPv6-Internet für meine am Router
>>> angeschlossenen Rechner.
>
>Ist es noch Routing wenn IPv6 durch einen 2. Router "hindurch" geht?

Das ist mehr Routing als bei IPv4, wo es ja eigentlich eher NAPT ist.

>> Der Router von Deinem Kabelanbieter gibt dem Segment zwischen ihm und
>> Deinem Router IPv6-Adressen aus dem einen /64.
>
>Da Prefix Delegation bei mir auch nicht geht und ich nicht weiß ob/wie
>ich ein 1:1 NAT/NDP oder sonstwas (böses!?) in Router-appliances wie
>opn, pfsense o. plain linux umsetze... ist es vermutlich die einfachste
>lösung; da ich meine internen Netze eh schon aufteilen will; meinen
>internen Router IPv6 komplett durch zu lassen. Zumindest in das eine
>Segment in dem ich voll internet-taugliche Geräte setzen will. ?

1:1 NAT kannst Du ja nur machen, wenn Du genug Adressen hast. Hast Du
nicht, wenn dein Provider dir keine gibt. Dann bleibt nur noch Pest,
Cholera oder Corona: Kein IPv6, Application Level Gateways oder NATv6.

>IPv6 Only sehe ich als Problematisch an. Kann man doch auch noch IPv4
>auf die Klassische Art (dhcpd) konfiguriert parallel betreiben - dann
>halt für Verbindungen zu internen Ressourcen oder domains die noch kein
>IPv6 haben/brauchen. Ohne Dualstack müsste ich sonst IMHO von einer
>Link-local Adresse zu einer Anderen LLA in einem anderen Segment
>"routen" (oder: Bridgen) was mich wieder vor ein Verständnisproblem führte.

Für den Zugang zum IPv4-Internet aus einem IPv6-Only Netzwerk gibt es
etliche Methoden, z.B. Application Level Gateways oder NAT64/DNS64.

[Juergen Ilse]

Hallo,

Marc Haber <mh+usene...@zugschl.us> wrote:

> Holger <m...@privacy.org> wrote:
>>Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
>>ich kriege kein Gateway ins IPv6-Internet.
> Gebetsmühle: Prefix Delegation.

... waere zumindest die universellste Moeglichkeit. Wenn man ein statisches
IPv6 Prefix haette, koennte man davon ggfs. ein /64 subnet statisch routten,
aber bei dynamisch vergebenem IPv6 Prefix muesste man dann bei jedem Prefix-
wechsel manuell die Konfiguration aendern, was das ganze in der Praxis un-
brauchbar machen wuerde ... Beide Loesungen erfordern u.U. Zugriff auf die
Konfiguration des "aeusseren" routers, die aber (soweit ich das verstanden
nicht vorliegt (es sei denn, der "aeussere" Router wuerde bereits prefix-
delegation machen, was ich persoenlich aber fuer unwahrscheinlich halte).

> Mehr kann ich dazu nicht sagen, weil das IPv6 in meinem LAN über einen
> OpenVPN-Tunnel kommt. Die Nutzung des von meinem Anbieter inzwischen
> bereitgestellten nativen IPv6 steht aktuell auf Platz 3 meiner
> privaten Technik-Todo-Liste hinter "Blog wieder aufsetzen" und "neues
> Mobiltelefon". Wird also vielleicht dieses Jahr noch was.

Bei mir kommt ein statisches IPv6 Netz sowie ein kleines statisches IPv4
Netz ueber einen auf meiner Cisco ASA terminierenden IPSEC-Tunnel zu
meinem Broetchengeber in mein Netz ...
Es hatte etwas Muehe und ausprobieren gekostet, den IPSEC-Tunnel trotz
dynamischer IP-Adresse eines Tunnelendpunktes als site-to-site VPN aufzu-
setzen ...

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Juergen Ilse]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Kay Martinen <k...@martinen.de> wrote:
>>Da Prefix Delegation bei mir auch nicht geht und ich nicht weiß ob/wie
>>ich ein 1:1 NAT/NDP oder sonstwas (böses!?) in Router-appliances wie
>>opn, pfsense o. plain linux umsetze... ist es vermutlich die einfachste
>>lösung; da ich meine internen Netze eh schon aufteilen will; meinen
>>internen Router IPv6 komplett durch zu lassen. Zumindest in das eine
>>Segment in dem ich voll internet-taugliche Geräte setzen will. ?
> 1:1 NAT kannst Du ja nur machen, wenn Du genug Adressen hast. Hast Du
> nicht, wenn dein Provider dir keine gibt. Dann bleibt nur noch Pest,
> Cholera oder Corona: Kein IPv6, Application Level Gateways oder NATv6.

Da wuerde ich Corona vorziehen, da das fuer den Grossteil der Bevoelkerung
gegenueber den anderen beiden Moeglichkeiten am ungefaehrlichsten ist ...

>>IPv6 Only sehe ich als Problematisch an. Kann man doch auch noch IPv4
>>auf die Klassische Art (dhcpd) konfiguriert parallel betreiben - dann
>>halt für Verbindungen zu internen Ressourcen oder domains die noch kein
>>IPv6 haben/brauchen. Ohne Dualstack müsste ich sonst IMHO von einer
>>Link-local Adresse zu einer Anderen LLA in einem anderen Segment
>>"routen" (oder: Bridgen) was mich wieder vor ein Verständnisproblem führte.

Mit link local Source- oder Destination-Adresse wirst du niemals ueber die
Grenze des lokalen Netzsegments hinauskommen, da standardkonforme Router
solche Pakete nicht ueber die Grenze des lokalen Netzsegments hinaus for-
warden *duerfen* ... Bridgen waere moeglich, weil du dann letztendlich
auf beiden Seiten der Bridge das *selbe* Layer2 Segment liegen hast ...

> Für den Zugang zum IPv4-Internet aus einem IPv6-Only Netzwerk gibt es
> etliche Methoden, z.B. Application Level Gateways oder NAT64/DNS64.

Korrekt. Aber nicht ohne Proxy und oder eine Form von NAT, die IPv6 auf
IPv4 umsetzt ...

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Marc Haber]

Juergen Ilse <ne...@usenet-verwaltung.de> wrote:
>Marc Haber <mh+usene...@zugschl.us> wrote:
>> Holger <m...@privacy.org> wrote:
>>>Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
>>>ich kriege kein Gateway ins IPv6-Internet.
>> Gebetsmühle: Prefix Delegation.
>
>... waere zumindest die universellste Moeglichkeit. Wenn man ein statisches
>IPv6 Prefix haette, koennte man davon ggfs. ein /64 subnet statisch routten,

Er hat aber kein statisches Prefix, er ist am Vodafone Fernsehkabel.

>aber bei dynamisch vergebenem IPv6 Prefix muesste man dann bei jedem Prefix-
>wechsel manuell die Konfiguration aendern, was das ganze in der Praxis un-
>brauchbar machen wuerde ... Beide Loesungen erfordern u.U. Zugriff auf die
>Konfiguration des "aeusseren" routers, die aber (soweit ich das verstanden
>nicht vorliegt (es sei denn, der "aeussere" Router wuerde bereits prefix-
>delegation machen, was ich persoenlich aber fuer unwahrscheinlich halte).

IPv6 über Kabel kenne ich nicht, an DSL-Anschlüssen mindestens von
Telekom und 1&1 wird Prefix Delegation unterstützt und mindestens die
Fritzboxen können das auch "reasonably" sauber.

[Marc Haber]

Juergen Ilse <ne...@usenet-verwaltung.de> wrote:
>Marc Haber <mh+usene...@zugschl.us> wrote:

>> Für den Zugang zum IPv4-Internet aus einem IPv6-Only Netzwerk gibt es
>> etliche Methoden, z.B. Application Level Gateways oder NAT64/DNS64.
>
>Korrekt. Aber nicht ohne Proxy und oder eine Form von NAT, die IPv6 auf
>IPv4 umsetzt ...

Ein Applicatoin Level Gateway ist ein Proxy, und NAT64/DNS64 ist eine

Form von NAT, die IPv6 auf IPv4 umsetzt.

[Kay Martinen]

Am 11.04.20 um 08:49 schrieb Marc Haber:

> Juergen Ilse <ne...@usenet-verwaltung.de> wrote:
>> Marc Haber <mh+usene...@zugschl.us> wrote:
>>> Holger <m...@privacy.org> wrote:
>>>> Die Frage ist, wie kriege ich ein weiteres /64? Und mir fällt halt auf,
>>>> ich kriege kein Gateway ins IPv6-Internet.
>>> Gebetsmühle: Prefix Delegation.
>>
>> ... waere zumindest die universellste Moeglichkeit. Wenn man ein statisches
>> IPv6 Prefix haette, koennte man davon ggfs. ein /64 subnet statisch routten,
>
> Er hat aber kein statisches Prefix, er ist am Vodafone Fernsehkabel.
>
>> aber bei dynamisch vergebenem IPv6 Prefix muesste man dann bei jedem Prefix-
>> wechsel manuell die Konfiguration aendern, was das ganze in der Praxis un-
>> brauchbar machen wuerde ... Beide Loesungen erfordern u.U. Zugriff auf die
>> Konfiguration des "aeusseren" routers, die aber (soweit ich das verstanden
>> nicht vorliegt (es sei denn, der "aeussere" Router wuerde bereits prefix-
>> delegation machen, was ich persoenlich aber fuer unwahrscheinlich halte).
>
> IPv6 über Kabel kenne ich nicht, an DSL-Anschlüssen mindestens von
> Telekom und 1&1 wird Prefix Delegation unterstützt und mindestens die
> Fritzboxen können das auch "reasonably" sauber.

Gilt nicht für Speedport Hybrid bei Telekom - nach meinem Erleben. Die
Box bekommt vielleicht von außen ein /56 aber nach innen gibt sie nur "1
aus 8" als /64 raus und nicht mehr. Hab es versucht, mit OPN, mit
Pfsense und nichts hat funktioniert.

Daher: Hier auch nur dynamisches Prefix - außer man schaltet den
"Telekom Datenschutz" auf Null (kein Prefix-Wechsel mehr) was aber nur
bis zum nächsten Verbindungsabbruch/Neuverbindung gilt.

Ich hatte ja gehofft das man diese manuellen Eingriffe durch PD obsolet
machen könne aber danach sieht's nicht aus.

[Juergen Ilse]

Hallo,

Marc Haber <mh+usene...@zugschl.us> wrote:

>>Beide Loesungen erfordern u.U. Zugriff auf die
>>Konfiguration des "aeusseren" routers, die aber (soweit ich das verstanden
>>nicht vorliegt (es sei denn, der "aeussere" Router wuerde bereits prefix-
>>delegation machen, was ich persoenlich aber fuer unwahrscheinlich halte).
>
> IPv6 über Kabel kenne ich nicht, an DSL-Anschlüssen mindestens von
> Telekom und 1&1 wird Prefix Delegation unterstützt und mindestens die
> Fritzboxen können das auch "reasonably" sauber.

Keiner der von der Telekom fuer "Privatkundenanschluesse" verwendeten
Router (keiner der VDSL-faehigen "SpeedPorts") unterstuetzt prefix-
Delegation. Die kennen dafuer nur den schwachsinnigen Verwendungszweck
des taeglichen Prefix-Wechsels (wobei alle dafuer verwendeten /64 Prefixe
aus dem gerouteten /56 prefix stammen). Eine der schwachsinnigsten Ideen
zur "privacy", die jemals jemand gehabt hat, aber von der Telekom mittels
der SpeedPort Router so implementiert (zum Glueck abschaltbar).

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Kay Martinen]

Am 11.04.20 um 13:14 schrieb Juergen Ilse:

Das bedeutet aber nicht das abschalten des "Datenschutzes" ermögliche
erst Prefix Delegation im LAN, oder? Ich meine, wenn die /64 Prefixe
nicht mehr dafür verheizt werden müssen dann könnten die ja anderweitig
frei verfügbar sein...

Ja, schon klar. Doch nicht bei der TELEKOM!!! :-/

Nur: WEISST du das, oder nimmst du das auch nur an?

[Juergen Ilse]

Hallo,

Kay Martinen <k...@martinen.de> wrote:
> Am 11.04.20 um 08:49 schrieb Marc Haber:

>> IPv6 über Kabel kenne ich nicht, an DSL-Anschlüssen mindestens von
>> Telekom und 1&1 wird Prefix Delegation unterstützt und mindestens die
>> Fritzboxen können das auch "reasonably" sauber.
>
> Gilt nicht für Speedport Hybrid bei Telekom - nach meinem Erleben.

Geht mit keinem der Speedport Router, weder mit 724W noch mit den 92x
Modellen noch mit Speedport Neo, Speedport Smart, ... Nicht ein einziger
davon hat Support fuer prefix-delegation. Die koennen alle nur die sau-
bloede "Pseudo-Privacy" Implementierung mit taeglichem Wechsel des /64
Prefix (immer ausgewaehlt aus dem selben /56 prefix, dass bis zur nachs-
ten Neueinwahl komplett zu deinem Anschluss geroutet wird).

> Die Box bekommt vielleicht von außen ein /56

Stimmt. Wenn man an einem solchen Anschluss z.B. einen Cisco 886VA mit
entsprechender Konfiguration betreibt, kann man prefix-Delegation be-
nutzen (aber keine Telefonie ohne externe VOIP-Geraete, weil der Cisco-
Router keinerlei VOIP-Funktionalitaet hat).

> aber nach innen gibt sie > nur "1 aus 8" als /64 raus

Eher "1 aus 256". Das zu deinem Anschlussgeroutete Netz ist ein /56 (sprich
256 /64 Netze) ...

> und nicht mehr. Hab es versucht, mit OPN, mit
> Pfsense und nichts hat funktioniert.

Vergiss es, die Speedports koennen das schlicht nicht. Selbst wenn du intern
ein zweites /64 aus dem zu dir gerouteten /56 nutzen wolltest, bekommst du
es auf dem Speedport mit seiner kastrierten Firmware niemals passend
geroutet ...

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Marc Haber]

Kay Martinen <k...@martinen.de> wrote:
>Am 11.04.20 um 08:49 schrieb Marc Haber:

>> IPv6 über Kabel kenne ich nicht, an DSL-Anschlüssen mindestens von
>> Telekom und 1&1 wird Prefix Delegation unterstützt und mindestens die
>> Fritzboxen können das auch "reasonably" sauber.
>
>Gilt nicht für Speedport Hybrid bei Telekom - nach meinem Erleben. Die
>Box bekommt vielleicht von außen ein /56 aber nach innen gibt sie nur "1
>aus 8" als /64 raus und nicht mehr. Hab es versucht, mit OPN, mit
>Pfsense und nichts hat funktioniert.

Hybrid ist kein DSL und der Speedport Hybrid ist keine Fritzbox.

[Marc Haber]

Du siehst mich sprachlos. Da hätte ich die Telekom für etwas weniger
dämlich gehalten. Nun, meine Meinung zu den Speedports festigt sich
wieder etwas mehr.

[Juergen Ilse]

Hallo,

Kay Martinen <k...@martinen.de> wrote:

> Am 11.04.20 um 13:14 schrieb Juergen Ilse:

>> Keiner der von der Telekom fuer "Privatkundenanschluesse" verwendeten
>> Router (keiner der VDSL-faehigen "SpeedPorts") unterstuetzt prefix-
>> Delegation. Die kennen dafuer nur den schwachsinnigen Verwendungszweck
>> des taeglichen Prefix-Wechsels (wobei alle dafuer verwendeten /64 Prefixe
>> aus dem gerouteten /56 prefix stammen). Eine der schwachsinnigsten Ideen
>> zur "privacy", die jemals jemand gehabt hat, aber von der Telekom mittels
>> der SpeedPort Router so implementiert (zum Glueck abschaltbar).
>>
>
> Das bedeutet aber nicht das abschalten des "Datenschutzes" ermögliche
> erst Prefix Delegation im LAN, oder? Ich meine, wenn die /64 Prefixe
> nicht mehr dafür verheizt werden müssen dann könnten die ja anderweitig
> frei verfügbar sein...

Aber die beherrschen kein prefix-delegation, auchg nicht, wenn man die
missbraeuchliche Verwendung in Form der Telekom "Datenschutz" Psedonyi-
misierung abschaltet.

> Ja, schon klar. Doch nicht bei der TELEKOM!!! :-/
> Nur: WEISST du das, oder nimmst du das auch nur an?

Ich *weiss* es (und werde deshalb wohl frueher oder spaeter den Speedport
gegen den bereits vorhandenen Cisco886VA austauschen ...).

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Kay Martinen]

Am 11.04.20 um 14:49 schrieb Marc Haber:

> Kay Martinen <k...@martinen.de> wrote:
>> Am 11.04.20 um 08:49 schrieb Marc Haber:
>>> IPv6 über Kabel kenne ich nicht, an DSL-Anschlüssen mindestens von
>>> Telekom und 1&1 wird Prefix Delegation unterstützt und mindestens die
>>> Fritzboxen können das auch "reasonably" sauber.
>>
>> Gilt nicht für Speedport Hybrid bei Telekom - nach meinem Erleben. Die
>> Box bekommt vielleicht von außen ein /56 aber nach innen gibt sie nur "1

>> " als /64 raus und nicht mehr. Hab es versucht, mit OPN, mit
>> Pfsense und nichts hat funktioniert.
>
> Hybrid ist kein DSL und der Speedport Hybrid ist keine Fritzbox.

Ja, sicher. Und Nachts ist es kälter als Draußen. :) Und LTE ist auch
kein DSL. Das der SPH auch NUR per DSL funktionieren (soll!) weißt du?
Zumindest kann man den lt. Anleitung so betreiben. Damit ist er noch
keine Fritzbox aber m.W. gibt es keine Fritzbox die DSL UND LTE Bündeln
könnten UND PD macht UND Bezahlbar für Endkunden ist?

[Marc Haber]

Kay Martinen <k...@martinen.de> wrote:
>Am 11.04.20 um 14:49 schrieb Marc Haber:
>> Kay Martinen <k...@martinen.de> wrote:
>>> Am 11.04.20 um 08:49 schrieb Marc Haber:
>>>> IPv6 über Kabel kenne ich nicht, an DSL-Anschlüssen mindestens von
>>>> Telekom und 1&1 wird Prefix Delegation unterstützt und mindestens die
>>>> Fritzboxen können das auch "reasonably" sauber.
>>>
>>> Gilt nicht für Speedport Hybrid bei Telekom - nach meinem Erleben. Die
>>> Box bekommt vielleicht von außen ein /56 aber nach innen gibt sie nur "1
>>> " als /64 raus und nicht mehr. Hab es versucht, mit OPN, mit
>>> Pfsense und nichts hat funktioniert.
>>
>> Hybrid ist kein DSL und der Speedport Hybrid ist keine Fritzbox.
>
>Ja, sicher. Und Nachts ist es kälter als Draußen. :) Und LTE ist auch
>kein DSL. Das der SPH auch NUR per DSL funktionieren (soll!) weißt du?

Weiß ich. Dreck bleibt er trotzdem.

>m.W. gibt es keine Fritzbox die DSL UND LTE Bündeln
>könnten UND PD macht UND Bezahlbar für Endkunden ist?

Richtig, die Telekom hat hier ein wunderbares Produkt zur
Kundenbindung geschaffen. Freiheit gehört da nicht dazu.

Merke: Das Produktmanagement ist der Feind des Kunden.

[Juergen Ilse]

Hallo,

Marc Haber <mh+usene...@zugschl.us> wrote:

> Kay Martinen <k...@martinen.de> wrote:
>>m.W. gibt es keine Fritzbox die DSL UND LTE Bündeln
>>könnten UND PD macht UND Bezahlbar für Endkunden ist?

AFAIK gibt es da was von Draytect, dass was aehnliches kann ...
Ist aber wohl nicht billig ...

> Richtig, die Telekom hat hier ein wunderbares Produkt zur
> Kundenbindung geschaffen. Freiheit gehört da nicht dazu.
> Merke: Das Produktmanagement ist der Feind des Kunden.

Bevor ich da so ein Gehampel mit 50 DSL + 50 LTE nehme, wuerde ich doch
eher 50 DSL mit hoeherem Upstream akzeptieren ...

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Kay Martinen]

Am 12.04.20 um 10:35 schrieb Juergen Ilse:

> Hallo,
>
> Marc Haber <mh+usene...@zugschl.us> wrote:
>> Kay Martinen <k...@martinen.de> wrote:
>>> m.W. gibt es keine Fritzbox die DSL UND LTE Bündeln
>>> könnten UND PD macht UND Bezahlbar für Endkunden ist?
>
> AFAIK gibt es da was von Draytect, dass was aehnliches kann ...
> Ist aber wohl nicht billig ...

Das ist die Qual, ja.

>> Richtig, die Telekom hat hier ein wunderbares Produkt zur
>> Kundenbindung geschaffen. Freiheit gehört da nicht dazu.
>> Merke: Das Produktmanagement ist der Feind des Kunden.
>
> Bevor ich da so ein Gehampel mit 50 DSL + 50 LTE nehme, wuerde ich doch
> eher 50 DSL mit hoeherem Upstream akzeptieren ...

Und du hast die Wahl? Ich nicht. Nur zwischen Teufel und Beelzebub.

[Juergen Ilse]

Hallo,

Kay Martinen <k...@martinen.de> wrote:

> Am 12.04.20 um 10:35 schrieb Juergen Ilse:

>> Bevor ich da so ein Gehampel mit 50 DSL + 50 LTE nehme, wuerde ich doch
>> eher 50 DSL mit hoeherem Upstream akzeptieren ...
> Und du hast die Wahl? Ich nicht. Nur zwischen Teufel und Beelzebub.

Nein, ich habe nur die Wahl zwischen DSL-50 und dem Hybrid-Mist, und habe
mich daher entschlossen, fuer den Hybrid-Kaese kein Geldauszugeben und
daher bei DSL-50 zu bleiben ...

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

[Marc Haber]

Kay Martinen <k...@martinen.de> wrote:
>Am 12.04.20 um 10:35 schrieb Juergen Ilse:

>> Bevor ich da so ein Gehampel mit 50 DSL + 50 LTE nehme, wuerde ich doch
>> eher 50 DSL mit hoeherem Upstream akzeptieren ...
>
>Und du hast die Wahl? Ich nicht. Nur zwischen Teufel und Beelzebub.

Man hat das Festnetz bei Euch auf der Insel doch gerade erst
modernisiert? Und dann kein Vectoring?

[Kay Martinen]

Am 12.04.20 um 20:12 schrieb Marc Haber:

> Kay Martinen <k...@martinen.de> wrote:
>> Am 12.04.20 um 10:35 schrieb Juergen Ilse:
>>> Bevor ich da so ein Gehampel mit 50 DSL + 50 LTE nehme, wuerde ich doch
>>> eher 50 DSL mit hoeherem Upstream akzeptieren ...
>>
>> Und du hast die Wahl? Ich nicht. Nur zwischen Teufel und Beelzebub.
>
> Man hat das Festnetz bei Euch auf der Insel doch gerade erst
> modernisiert? Und dann kein Vectoring?

Ich bin's leid das immer wieder zu erzählen. Es ist wie ich's sage: Die
Wahl ist zwischen Teufel und Beelzebub!

Nur eines, mehr als 16Mbit ist hier unbezahlbar teuer und bei Big_T nur
per LTE Combo erhältlich. Euer Gerede von 50Mbit ist für mich Jammern
auf Höchstem Niveau. :-(