IPv6 in der Praxis, Dualstack im privaten Netzwerk

+A -A
Autor
Beitrag
promocore
Inventar
#1 erstellt: 25. Mai 2017, 12:01
Ich möchte gerne IPv6 parallel in meinem Netzwerk verfügbar machen, damit bestimmte Serveranwendungen auch per IPv6 nativ erreichbar sind.

Von meinem Provider (Telekom) bekomme ich eine IPv6 IP zugeteilt.
Die ersten 48 Bit, also die ersten 3 Blöcke bleiben immer gleich, nach einem Reconnect vom Modem-Router ändern sich die die restlichen 5 Blöcke.

Da mein Router für IPv6 kein NAT bietet, bleibt mir allein die Möglichkeit die Clients per Firewall zu schützen, dazu müssten aber die IPv6 Clientadressen aber gleich bleiben, was ich natürlich mit einen DHCP Server im lokalen Netz machen könnte.
Mir ist nicht ganz klar, über welchen Adressbereich ich nun verfügen kann. Schau ich mir z.B.
https://www.elektronik-kompendium.de/sites/net/0812201.htm
sollte laut meinem Verständnis das Netzwerkprefix (56 Bit) immer gleich sein, das ist aber bei der Telekom nicht so.

Welchen Adressraum gehört nun mir, den ich im lokalen Netz dauerhaft an den Client vergeben kann, auch wenn sich die zugewiesene IP vom Privider ändert?
jonath
Inventar
#2 erstellt: 25. Mai 2017, 22:24
Welchen Router hast du? Wenn du einen Router der Telekom hast, dann kann es sein, dass schlichtweg alle eingehenden Verbindungen via IPv6 rausgefiltert werden (nicht abschaltbar). Firewallregeln kann man auch per Hostnamen/etc. realisieren, das ist relativ simpel, können die meisten Router allerdings nicht.

Die einzige Option ist hier der Wechsel auf einen anderen Router.

NAT für IPv6 wirst du übrigens so oder so eigentlich nicht finden, es ist ja mitunter einer der großen Vorteile von IPv6, dass man eben kein NAT mehr braucht (bzw. nahezu überall vermeiden kann).
promocore
Inventar
#3 erstellt: 25. Mai 2017, 23:02
Als Hauptrouter habe ich Microtik, davor hängt ein TP-Link VR600v, als Modem. SPI Firewall habe ich für IPv6 im TP Link Router deaktiviert.
Für mich wäre NAT weiterhin eine große Erleichterung, denn wenn das Netzprefix dynamisch wird, würden sich auch die Adressen der Clientrechner ändern. Wie möchte man denn da individuelle Paketfilter für jeden Client anpassen?
- und genau an der Stelle hänge ich.


[Beitrag von promocore am 25. Mai 2017, 23:03 bearbeitet]
jonath
Inventar
#4 erstellt: 26. Mai 2017, 09:00
Du kannst das von deinem DHCP Server regeln lassen, bei Mikrotik könnte das sogar klappen.

Man kann statische Leases erstellen (dann hast du eine fixe Zuordnung von Geräten, ich nehm mal an, dass du keine auth/managed Switche hast, wobei statische Adressen nicht notwendig sein, kann ja ein Pool sein), hier kannst du dann dynamisch die Firewall Regeln setzen lassen.


[Beitrag von jonath am 26. Mai 2017, 09:05 bearbeitet]
promocore
Inventar
#5 erstellt: 26. Mai 2017, 10:50
Der Mikrotik DHCP Client kann laut Doku den Prefix erfragen und diesen in eine DHCP Pool Liste schreiben, worüber dann die IP Adressen an die Clients verteilt werden. Leider funktiert das bei mir nicht, da der DHCP Client mit dieser Funktion keine IP bekommt, schalte ich diese aus, bekommt der Mikrotik DHCP Client sofort eine IP. Ich vermute mal, dass der TP-Link da der Schuldige ist.
Dass ich hingegen die Firewallregeln dynamisch an das Prefix anpassen kann, ist mir neu. Hast du da vielleicht einen Doku Link?

Überwiegend habe ich zyxel gs1910 Switche im Einsatz. Wobei IPv6 primär für ein Server benötigt wird, welcher direkt an einem Mikrotik Port unabhängig vom Rest hängt. Dieser Server virtualisiert dann mehrere Server.
promocore
Inventar
#6 erstellt: 26. Mai 2017, 15:10
Ergänzend habe ich das hier gefunden :
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Anonymitaetsgrad-durch-dynamisch-wechslende-IPv6-Adressen-an/td-p/1613303

Kein Wunder also, warum sich IPv6 so zögerlich durchsetzt. Wenn die Provider einem solche Steine für die Nutzung in den Weg legen.
Ohne NAT macht Ipv6 an dynamischen Anschlüssen kaum Sinn. - oder kann jemand dynamische Pools mit dynamischen Firewallregeln auf seinem Router einrichten, um z.B. einfach mal eine Portfreigabe einzurichten und danach auch behaupten, dass die Regeln mit Sicherheit auch immer richtig angezogen werden?

Ich glaube, ich lasse mein IPv6 Projekt fallen, bis NAT bei Microtik verfügbar ist.
Oder hat jemand eine gute Idee für mich?


[Beitrag von promocore am 26. Mai 2017, 22:54 bearbeitet]
Suche:
Das könnte Dich auch interessieren:
Netzwerk
neu_gierig am 03.05.2010  –  Letzte Antwort am 11.05.2010  –  14 Beiträge
Netzwerk ?
Villinger am 04.06.2013  –  Letzte Antwort am 07.06.2013  –  4 Beiträge
Netzwerk im alten EFH
Kincade am 30.09.2019  –  Letzte Antwort am 05.10.2019  –  7 Beiträge
Multimedia Netzwerk im Haus
jsch81 am 03.10.2012  –  Letzte Antwort am 05.10.2012  –  2 Beiträge
Netzwerk im neuen Haus
mogusch am 12.08.2011  –  Letzte Antwort am 06.09.2011  –  25 Beiträge
Netzwerk im Neubau
-Tommi01- am 20.05.2015  –  Letzte Antwort am 24.06.2015  –  49 Beiträge
Telefonanschluß im neuen Netzwerk
rooster100 am 25.11.2019  –  Letzte Antwort am 10.12.2019  –  15 Beiträge
Netzwerk Switch
Kohril am 30.12.2015  –  Letzte Antwort am 04.01.2016  –  6 Beiträge
NAS im Netzwerk verschwunden!
X12X am 23.12.2015  –  Letzte Antwort am 26.12.2015  –  7 Beiträge
Analyse Netzwerk
puschelyx am 11.05.2016  –  Letzte Antwort am 06.06.2016  –  7 Beiträge
Foren Archiv
2017

Anzeige

Aktuelle Aktion

Partner Widget schließen

  • beyerdynamic Logo
  • DALI Logo
  • SAMSUNG Logo
  • TCL Logo

Forumsstatistik Widget schließen

  • Registrierte Mitglieder928.339 ( Heute: 11 )
  • Neuestes Mitglied-Tanner-
  • Gesamtzahl an Themen1.558.000
  • Gesamtzahl an Beiträgen21.691.612

Top Hersteller in Netzwerk / Router / NAS / Server Widget schließen