Wie macht ihr IPv6 zuhause?

Begonnen von Aurel_B, 29 April 2024, 10:52:41

Vorheriges Thema - Nächstes Thema

Aurel_B

Hallo zusammen,

nachdem ich mich gefühlt 20 Jahre vor dem Thema gedrückt habe scheint es mir, als ob IPv6 wohl nicht mehr lange ignorieren kann: auf diversen OS wird es unterdessen bevorzugt und einem fast schon aufgezwungen. Trotz mehreren Anläufen habe ich eine Umsetzung bislang in unserem Heimnetz nie wirklich vollzogen. Meine Frage daher an euch: wie habt ihr das umgesetzt, was sind eure Erfahrungen? Ich könnte mir vorstellen, dass viele ein ähnliches Ausgangsszenarium haben: Fritzbox, kleiner Server mit DHCPv4/DNSv4 und ein paar Clients, davon einige (Drucker, Geschirrspüler etc. IPv4 only).

Mein Wunschszenarium: lokales Netzt bleibt prioritär IPv4 mit privatem Subnet. Feste Clients sind via Hostname erreichbar. Was geht ist Dual-Stack, der Rest halt nur IPv4. Mit der grossen weiten Welt geht die Kommunikation von mir aus mit IPv6

Dazu habe ich ein paar Fragen:

  • Bei IPv6 gibt es ja auch private Subnetze, die sind allerdings nicht routbar. Wenn ich das richtig verstanden habe, bekomme ich vom Provider einen globalen Addressraum zugeteilt, jedes Gerät bekommt dann eine fixe Adresse (die sich nicht mehr ändert?). Macht es Sinn, dass ich meinen Geräten trotzdem eine fixe IP manuell aus diesem Addressraum zuordne (Damit die Adressen etwas einfacher merkbar sind)? Macht ein lokaler DHCPv6 Sinn? Was mache ich bei einem Providerwechsel, dann bekomme ich ja einen neuen Addressraum? Dann darf ich alle Geräte neu konfigurieren?
  • Wie macht ihr das mit DNS? Android/Windows 11 z.B. bevorzugt IPv6. Damit sind IPv4-only Clients per Hostname aus deren Sicht nicht mehr erreichbar (weil sie ja keinen DNSv6 Eintrag haben da sie auch keine IPv6 Adresse haben). Ein "ping Geschirrspueler" läuft damit in's leere unter Windows 11 weil der Geschirrspüler hat nur eine IPv4 Adresse. Wie kann ich Android, Windows 11 etc. mitteilen, "dieser Hostname gibt es im Fall schon lokal, einfach nur als IPv4". Windows 11 kann man mit einem Registry Eintrag auf "IPv4 per default" zurückstellen, Android scheinbar nicht, ist allerdings auch ein Gebastel.

Es gibt sicher noch weitere Fragen die im Laufe der Zeit auftauchen. Mein Punkt: ich kann doch nicht der erste sein, welcher vor diesem Problem steht. Es gibt aber erstaunlich wenige Tutorials für ein Heimnetz gemäss Wunschszenarium, ich habe auf jeden Fall nix gefunden.

Otto123

Hi,

ich habe ne Fritzbox als DSL Router und dahinter einen OpenWrt für die internen Netze. Ich glaube mittlerweile ist das alles mehr oder weniger default konfiguriert und läuft mit IPv4 und IPv6 problemlos. Ich hatte da früher mal irgendwelche Anleitungen bemüht, aber das führte immer wieder zu einem Problem. Irgendwann hat sich die Fritzbox und der OpenWrt verstanden. :)
Ich habe z.B. ein Netzwerksegment mit nur Ipv4 das wird von Windows über IPv6 DNS problemlos aufgelöst.
Der Openwrt ist zentraler DCHP und DNS Server, der verteilt nur private IPv6.
Die Fritzbox vergibt in ihrem Lansegment auch "öffentliche".

Ob dies alles richtig konfiguriert ist weiß ich auch nicht, aber es läuft ;)

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Aurel_B

Danke dir für deine Antwort. Das wäre auch ein wenig mein Traum: es läuft einfach :-) Ist auf jeden Fall schonmal spannend zu hören, dass IPv4 auch über IPv6 DNS aufgelöst wird. Auch das du ein privates IPv6 Netz hast welches trotzdem geroutet wird. Ich schaue mal, was ich dazu sonst noch so finden kann.

Otto123

Ich will da mal noch konkretisieren:
Die Maschinen in den internen Lan Segmenten, arbeiten intern alle mit IPv6 zusammen, ins Netz der Fritzbox macht OpenWrt wegen NAT Interface einen Schnitt, ins Internet kommen die nur mit IPv4.
Die Maschinen im Segment zwischen Fritzbox und OpenWrt haben öffentliche IPv6 Adressen (ausgegeben von der Fritzbox) und können auch im Internet mit IPv6 arbeiten.
Reine IPv6 Maschinen im Internet, werden von meinem internen Lan also nicht erreicht. Ist mir auch erst jetzt klar geworden. ;)
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

RalfRog

Hallo

Vor einigen Jahren hatte Netcologne IPv6 als Pilot angeboten. Habe ich gemacht und es hat ziemlich problemlos funktioniert.
Win-Rechner & Raspi (mit PiHole) machen DualStack vor allem Richtung Internet IPv6. Intern FHEM, ESPs & MaxCube laufen über IPv4.

Habe ein sehr flaches Netz mit 2 FritzBoxen (Mesh) mit WLAN und dem internen Switch.
DNS intern hakt (PiHole??) irgendwie - habe ich nicht weiter eruiert und arbeite mit IPs(v4)

Externer Zugriff per VPN (IPSec oder Wireguard) klappt.

Vom Provider kommt ein Ipv6 Prefix /56 der intern per DHCP verteilt wird. Damit hättest du noch 8 Bit für eigene Subnetze. Es gibt wohl auch Provider die einen etwas längeren
Prefix vergeben.
Die IPv6 der FritzBox ist bei Netcologne meiner Erinnerung nach nicht in dem Netz des Prefix.

Bei Vodafone (musste wg. zukünftig Glasfaser dahin) gibt es nur DS-Lite und damit keine IPv4 im WAN. Damit von aussen nicht mehr per IPv4 erreichbar (raus geht aber). VPN daher nur per Wireguard.
VPN kann ggfs. Probleme verursachen wenn Du irgendwo bist wo es nur IPv4 gibt (hatte ich zuletzt in Holland mal).
Es gibt einen v6 Prefix /56 und die Ipv6 für die FritzBox ist auch in diesem Netzwerk.


Also einfach mal probieren... man kann es ja wieder abschalten.

Gruß Ralf
FHEM auf Raspi 2B mit nanoCUL, HM-MOD-RPI-PCB und über LAN MAX!Cube mit a-culFW (Stack 868 + 433)
HM- Fensterkontakte, UP-Schalter, Bewegungsmelder und ein Rauchmelder

Aurel_B

Ich danke euch für eure Antworten. Ich habe unterdessen etwas weiter recherchiert und folgendes herausgefunden:

Mit IPv6 bekommen deine Clients (sinnvollerweise) eine IPv6 Adresse aus einem vom Provider zugeteilten Subnet. Bei Providerwechsel darf ich also alle meine lokalen DNS Einträge umändern da neues Subnet. Wenn ich das nicht möchte, könnte ich mir ein eigenes IPv6 Subnet zuteilen aus dem ULA (Unique Local Address) Bereich zuordnen, das ist allerdings nicht routbar. Also bräuchten alle Clients noch zusätzlich wieder eine globale IPv6 Adresse damit sie über IPv6 in's Internet könnten. Oder ich würde IPv6 NAT verwenden (keine Ahnung, ob die Fritzbox das kann). ULA und IPv6 NAT entspricht dem von IPv4 bekannten "lokales 192.168.1.x Subnet + NAT" Vorgehen.
Wenn ich lokal prioritär bei IPv4-only bleiben möchte, so lasse ich das lieber mit ULA etc. Wenn ich allerdigs Dual-Stack aktivieren - also IPv6 aktivieren für die globale Kommunikation und IPv4 für lokal - dann müsste ich allerdings trotzdem meinen DHCP und DNS Server so konfigurieren, dass sie auch IPv6 Adressen lokal vergeben (aus dem vom Provider zugeteilten Subnet) mit dem lokalen DNS Server, damit kann ich dann über die A resp. AAAA Einträge angeben, ob lokale Clients nur IPv4 oder auch IPv6 verstehen. So läuft ein "ping Geschirrspueler" (welcher nur IPv4 versteht) nicht in's Leere weil mein lokaler DNS Server sagt, "da gibt es nur einen A-Record für den Geschirrspueler mit der Adresse 192.168.1.10". Wenn ich das nicht so mache, verwenden Windows/Android etc. prioritär den IPv6 DNS Server vom Provider und der kennt meinen Geschirsspueler logischerweise nicht. Macht das so Sinn?

Otto123

#6
Es gibt zwei Konfigurationsstellen in der FB für IPv6 Heimnetz / Netzwerk / Netzwerkeinstellungen / IPv6 und Internet / Zugangsdaten / IPv6
Die Fritzbox macht eigentlich sowas: Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
Auf der Seite ganz unten sieht man welchen Bereich sie verwendet. Wenn (wie bei mir) der Provider einen IPv6 Bereich zuteilt, wird die FB diese intern verteilen. Wenn nicht wird sie ULA Adressen verteilen (und dann NAT machen ? ).

Man findet von AVM ein paar Dokumente dazu, wenn man nach "avm nat IPv6" sucht. ;)

Ich habe in meinem OpenWrt gerade NAT für IPv6 aktiviert und siehe da - jetzt klappt es auch mit nur IPv6 Zugriffen ins Internet, der Zugriff auf https://ident.me , https://v6.ident.me vom internen Client zeigt jetzt die von der FB zugeteilte IPv6 Adresse meines OpenWrt Routers.

Ich war bisher immer der Meinung IPv6 macht kein NAT IPv6-IPv6 sondern nur IPv6-Ipv4 - NAT64 - das war offenbar früher auch mal so angedacht. Es gibt auch noch mehrere Varianten NAT66, NPTv6 ... ?

Nachtrag: Ich weiß nicht, ob ich jemals die Menge der IPv6 Adressen pro Interface verstehe. ;) jetzt haben die internen Clients auch noch temporäre aus dem öffentlichen Pool.
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

RalfRog

Zitat von: Aurel_B am 01 Mai 2024, 07:55:15... Mit IPv6 bekommen deine Clients (sinnvollerweise) eine IPv6 Adresse aus einem vom Provider zugeteilten Subnet. Bei Providerwechsel darf ich also alle meine lokalen DNS Einträge umändern da neues Subnet....

Wenn du keine feste IP hast dürfte das auch hin und wieder beim gleichen Provider passieren (Z.B. Neueinwahl), dass ein neues Subnetz (IPv6-Präfix) zugewiesen wird.

Gruß Ralf
FHEM auf Raspi 2B mit nanoCUL, HM-MOD-RPI-PCB und über LAN MAX!Cube mit a-culFW (Stack 868 + 433)
HM- Fensterkontakte, UP-Schalter, Bewegungsmelder und ein Rauchmelder

Aurel_B

Hmmm, wie mache ich denn das mit festen IPs für meinen Server? Ein offizielles fixes Subnet kostet richtig viel Geld und lohnt sich nur für Firmen. Dann bräuchte ich eigentlich mehrere IPs pro Client: eine IPv6 Adresse für intern aus dem ULA Bereich welche ich per DHCP verteile damit mein lokaler DNS Server (der hätte dann eine fixe IPv6 Adresse) auch via bekannter IPv6 Adresse erreichbar ist (weil das Android etc. bevorzugt) und eine öffentliche, dynamisch zugewiesene für die Kommunikation mit aussen? Oder ich mache nur ULA und dann NAT so wie bei IPv4 auch? Irgendwie sollte doch mit IPv6 alles mal besser werden  ;D

RalfRog

Zitat von: Aurel_B am 02 Mai 2024, 11:35:32Hmmm, wie mache ich denn das mit festen IPs für meinen Server?

Würde da nicht (neben den ULA-Adressen für intern) ein Zugriff per DYN-DNS Dienst helfen - bei einer oder zwei Adressen geht das doch vermutlich noch ohne weitere Kosten (ok, meiner sehe ich gerade akzeptiert keine neuen Accounts mehr).

Wie Otto schon erwähnte - sind schon im Normalfall sowieso schon mehrere IPv6s ans Interface gebunden, ob dann noch ne ULA-Adresse dazukommt ist vermutlich auch egal.
WIN PC
   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : 2a00:1a:8671:2001:471:bbe:c53:5716
   Temporäre IPv6-Adresse. . . . . . : 2a00:1a:8671:2001:72e8:3045:e0eb:e025
   Verbindungslokale IPv6-Adresse  . : fe80::4545:301:26b7:6fef
   IPv4-Adresse  . . . . . . . . . . : 11.12.13.99
bzw. mit ULA
   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : 2a00:1a:8671:2001:471:bbe:c53:5716
   IPv6-Adresse. . . . . . . . . . . : fd00::b4a2:55bd:be1f:d1cc
   Temporäre IPv6-Adresse. . . . . . : 2a00:1a:8671:2001:72e8:3045:e0eb:e025
   Temporäre IPv6-Adresse. . . . . . : fd00::72e8:3045:e0eb:e025
   Verbindungslokale IPv6-Adresse  . : fe80::4545:301:26b7:6fef
   IPv4-Adresse  . . . . . . . . . . : 11.12.13.99


Gruß Ralf
FHEM auf Raspi 2B mit nanoCUL, HM-MOD-RPI-PCB und über LAN MAX!Cube mit a-culFW (Stack 868 + 433)
HM- Fensterkontakte, UP-Schalter, Bewegungsmelder und ein Rauchmelder

Otto123

Zitat von: Aurel_B am 02 Mai 2024, 11:35:32alles mal besser werden 
aber nicht einfacher  ;D  ;D  ;D
Also ich merke mir keine IPv6 Adressen. Wenn DNS funktioniert ist doch alles gut.
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

Aurel_B

#11
Danke euch! Jetzt habe ich glaub ich den dreh langsam raus und es scheint (momentan) alles zu funktionieren! Grundsätzlich habe ich 2 Möglichkeiten ermittelt:

  • Ich verwende nur ULA IPv6 Adressen und mein Router macht auch bei IPv6 NAT.
    Vorteil: provider-unabhängig, ich habe intern die volle Kontrolle über meine Adressen, quasi wie bei IPv4.
    Nachteil: NAT..... (wird von der Fritzbox glaub ich gar nicht unterstützt für IPv6?)
  • Ich verwende zusätzlich zu den vom Provider vergebenen IPv6 Adressraum parallel einen ULA Adressraum, jeder Client hat also (mindestens) 2 IPv6 Adressen. Die Fritzbox verteilt hier die IPv6 ULA Adressen und gibt auch noch gleich die ULA Adresse des lokalen DNS Server bekannt (Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> Erweitert -> IPv6 Einstellungen). Alle DNS Anfragen laufen damit (anscheinend) über diesen Server, egal ob IPv4 oder IPv6.
    Vorteil: kein NAT
    Nachteil: 2 Adressen, potentiell unübersichtlich

Macht das so Sinn? Ich habe mich für den 2ten Weg (kein NAT) entschieden da die Fritzbox kein IPv6 NAT kann. Wie gesagt funktioniert im Moment alles:

$ nslookup.exe Miele
Server:  UnKnown
Address:  fd00:4142::1

Name:    Miele.local
Address:  192.168.1.22

Längerfristig möchte ich das Verteilen der IPv6 ULA Adressen noch von der Fritzbox auf den Server (dnsmasq) verlagern.

Zitat von: RalfRog am 02 Mai 2024, 17:51:38Würde da nicht (neben den ULA-Adressen für intern) ein Zugriff per DYN-DNS Dienst helfen - bei einer oder zwei Adressen geht das doch vermutlich noch ohne weitere Kosten (ok, meiner sehe ich gerade akzeptiert keine neuen Accounts mehr).

War etwas missverständlich formuliert, es ging mir nur um feste Adressen intern, extern mache ich das weiterhin per DynDns  :)

betateilchen

#12
passt ein bisschen zum Thema:
Amazon berechnet seit 01.05.24 für Lightsail-Instanzen, die noch (und weiterhin) mit IPv4 laufen, zusätzliche Gebühren - und das nicht wenig.

Deshalb habe ich den heutigen Vormittag damit zugebracht, alle Instanzen auf "IPv6 only" Typen umzuziehen.

Hat soweit problemlos funktioniert.

Nachdem ich meinen FHEM Installationen, die auf meinen externen mosquitto@lightsail und die ownCloud-Kalender zugreifen, noch das globale Attribut "useInet6" spendiert habe, funktioniert auch das alles wieder, wie es soll.
-----------------------
Formuliere die Aufgabe möglichst einfach und
setze die Lösung richtig um - dann wird es auch funktionieren.
-----------------------
Lesen gefährdet die Unwissenheit!

andysoft2000

Ich hab das Glück noch mit einer IPv4 vom Provider bedient zu werden, die öffentlich ist.
IPv6 unterstützung hab ich auf der fritzbox abgeschaltet (kein ipv6 intern). Zugriff auf externe ipv6 adressen geht auch über mein Pihole, der löst dementsprechend auf.

passibe

#14
Sorry, aber:

Wenn du IPv6-Unterstützung auf der FB abgeschaltet hast und entsprechend deine Clients auch keine öffentliche IPv6-Adresse kriegen, dann sind auch keine IPv6-Adressen für dich erreichbar.
Dass bei der DNS-Auflösung trotzdem ein AAAA-Record (IPv6-Adresse) mitgeschickt wird hat damit nichts zu tun – der "verpufft" dann einfach und deine Clients nutzen den ebenfalls in der DNS-Antwort mitgesendeten A-Record (IPv4-Adresse).

Kannst du einfach im Browser auf https://ipv6-test.com testen oder z.B. unter Linux mit:
curl -6 -v https://google.comDa wird dann aller Wahrscheinlichkeit nach ein "Network is unreachable" herauskommen.