Parameter für IPv6 only Betrieb bei Dual Stack

Spezielle technische Fragen zum Thema "Ethernet" als Anschlusstechnik? Dann bist Du hier richtig!
Antworten
Wurzlsepp
Neuling
Neuling
Beiträge: 9
Registriert: 9. Jan 2018 00:10

Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von Wurzlsepp » 30. Mai 2018 15:22

Moin,

vorab - ja ich benutze keine Fritzbox als Modem / Router und ja, das würde meine Anschlussprobleme lösen (aber andere aufmachen).

Ich probiere einen Router meiner Wahl an meinem von DSLite auf Dual-Stack geänderten FTTH Anschluss so zu konfigurieren, dass die Einwahl IPv6 only stattfindet - dies scheitert aber aktuell. Brauche ich zwingend IPCP (v4) für die Identifikation meines Routers?

Laut Anleitung macht Ihr ja IPv6 über DHCPv6-PD. Wie sieht es aus mit IPv6CP? Ich brauche ja auch eine WAN IP (grundsätzlich nicht wirklich, ist aber zum debugging hilfreich).

Ich habe bereits festgestellt, dass ich DHCPv6-IA auf dem WAN Interface machen kann, um eine Adresse zu bekommen. Allerdings klappt das nur bei IPv4 PPPoE Einwahl. Ohne PPPoE Reconnect -> keine Chance.
Wenn ich einen DHCPv6-renew auslöse ohne PPPoE Reconnect, bekomme ich keine Antwort.

Daher die Frage ob es möglich ist, einen Dual-Stack Anschluss mit PPPoE, IPv6CP + DHCPv6-PD zu betreiben. Oder kann ich einfach das PPPoE Interface löschen und nur DHCPv6-IA/PD machen (das hat bei einem Test leider nicht funktioniert).
Wer kann mir die korrekten Einstellungen (technisch, nicht für meine Box, das kann ich selbst) mitteilen?

Vielen Dank.

Wurzlsepp
Neuling
Neuling
Beiträge: 9
Registriert: 9. Jan 2018 00:10

Re: Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von Wurzlsepp » 1. Jun 2018 10:53

Warum ich mich eigentlich mit der Sache beschäftige...
Ich habe das "Problem", dass mein IPv6 Teil des DS Anschlusses eher unzuverlässig funktioniert, solange ich nicht die Fritzbox verwende. Naja schön dass AVM das hinbekommen hat hier "irgendwie" für Abhilfe zu sorgen, ich möchte aber schon wissen, was eigentlich genau passiert.

Ich habe das ein wenig reverse engineered.
Symptom: Gestern um 19:29 gab es einen PPP reconnect. Soweit, so gut. Mein Router (eine Fortigate 300D btw) bekommt nun IPV4 Addresse und auch eine IPv6 adresse sowie ein prefix.
plt und vlt von beidem sind 86400 (davon halte ich nicht so viel, aber egal) und zunächst funktioniert auch alles. Die DHCP-IA Adresse hat eine T1 von 43200 und eine T2 von... 80% habe den Wert nicht mehr im Kopf, aber egal.
Allet schick soweit.
Nun ist es 9:00 Uhr am Morgen, T1 ist durch, es gab ein renew, meine Box hat wieder dieselbe v6 Adresse bekommen (OK).
ABER: der (Pinnaucom/W.Tel) Router meiner Einwahl bearbeitet keine Pakete mehr ins Inet6. Keine Antowort. Weder von der assigneten Adresse noch von irgendwelchen Adressen des /56 prefix.
Also mache ich ein dhcpv6-renew. Bekomme wieder dieselbe noch gültige Adresse / Prefix. Routing Fehlanzeige. Schade.
Beispiel:
734.375825 ppp0 in fe80::2a7:42ff:fe59:8bf1 -> ff02::1: icmp6: router advertisement [class 0xe0]
817.047279 ppp0 out 2a04:4540:8209:2e01::1 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 1
819.059778 ppp0 out 2a04:4540:8209:2e01::1 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 2
821.079788 ppp0 out 2a04:4540:8209:2e01::1 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 3
823.099798 ppp0 out 2a04:4540:8209:2e01::1 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 4
825.119822 ppp0 out 2a04:4540:8209:2e01::1 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 5
839.431068 ppp0 out 2a04:4540:8200:99::2e9 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 1
841.449847 ppp0 out 2a04:4540:8200:99::2e9 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 2
843.469847 ppp0 out 2a04:4540:8200:99::2e9 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 3
845.489848 ppp0 out 2a04:4540:8200:99::2e9 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 4
847.509835 ppp0 out 2a04:4540:8200:99::2e9 -> 2a02:2028:fd00::cafe: icmp6: echo request seq 5

Effektiv kann ich also den Anschluss nur 12 statt 24h nutzen...? Unschön.

Wurzlsepp
Neuling
Neuling
Beiträge: 9
Registriert: 9. Jan 2018 00:10

Re: Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von Wurzlsepp » 1. Jun 2018 11:11

Hintergrund:
ein dhcp6client-renew bringt nichts, weil:

debug]client6_recv() receive reply from fe80::2a7:42ff:fe59:8bf1%ppp0 on ppp0
[debug]dhcp6_get_options() get DHCP option client ID, len 14
[debug] DUID: 00:01:00:01:38:6d:43:80:00:00:00:00:00:00
[debug]dhcp6_get_options() get DHCP option server ID, len 10
[debug] DUID: 00:03:00:01:00:a7:42:59:90:f7
[debug]dhcp6_get_options() get DHCP option status code, len 2
[debug] status code: no binding
[info]client6_recvreply() status code: no binding
[debug]dhcp6_remove_event() removing an event on ppp0, state=RENEW
[debug]client6_recvreply() got an expected reply, sleeping.

=> weil der Server nunmal keine Änderung mitteilt. Was ja nun auch OK wäre wenn das Routing denn klappen würde - es soll ja nur alle 24h neue Adressen geben.

Wenn ich nun das Interface hart ausschalte und wieder einschalte (updown-cylce) und daher keine v6 Adressen mehr anliegen passiert folgendes (huch ;) )

[debug]dhcp6_reset_timer() reset a timer on ppp0, state=INIT, timeo=0, retrans=563
[debug]get_duid() called
[debug]get_duid() extracted an existing DUID from /data/dhcp6c_duid: 00:01:00:01:38:6d:43:80:00:00:00:00:00:00
debug]client6_send() a new XID (d4672a) is generated
ebug]client6_send() send solicit to ff02::1:2%ppp0
debug]client6_recv() receive advertise from fe80::2a7:42ff:fe59:8bf1%ppp0 on ppp0
[debug]dhcp6_get_options() get DHCP option server ID, len 10
[debug] DUID: 00:03:00:01:00:a7:42:59:90:f7
[debug]dhcp6_get_options() get DHCP option client ID, len 14
[debug] DUID: 00:01:00:01:38:6d:43:80:00:00:00:00:00:00
[debug]dhcp6_get_options() get DHCP option identity association, len 40
[debug] IA_NA: ID=31, T1=43200, T2=69120
[debug]copyin_option() get DHCP option IA address, len 24
[debug]copyin_option() IA_NA address: 2a04:4540:8200:99::a4b pltime=86400 vltime=86400
[debug]dhcp6_get_options() get DHCP option IA_PD, len 41
[debug] IA_PD: ID=31, T1=43200, T2=69120
[debug]copyin_option() get DHCP option IA_PD prefix, len 25
[debug]copyin_option() IA_PD prefix: 2a04:4540:8205:2300::/56 pltime=86400 vltime=86400
[debug]dhcp6_get_options() get DHCP option DNS, len 32
[debug]client6_recvadvert() server ID: 00:03:00:01:00:a7:42:59:90:f7, pref=-1
[debug]client6_recvadvert() reset timer for ppp0 to 0.994138
[…]
[debug]dhcp6_get_options() get DHCP option DNS, len 32
[debug]info_printf() nameserver[0] 2a02:2028:fd00::cafe
[debug]info_printf() nameserver[1] 2a02:2028:fd00::affe
[debug]client6_process() dynamic dns1=[2a02:2028:fd00::cafe]
[debug]client6_process() dynamic dns2=[2a02:2028:fd00::affe]
[debug]get_ia() make an IA: PD-31
[debug]update_prefix() create a prefix 2a04:4540:8205:2300::/56 pltime=86400, vltime=86400
[debug]get_ia() make an IA: NA-31
[debug]update_address() create an address 2a04:4540:8200:99::a4b pltime=86400, vltime=86400
[debug]dhcp6_remove_event() removing an event on ppp0, state=REQUEST

=> Schwupp IPv6 geht wieder und routing geht auch wieder. Also auf meinem Router.

Die Clients haben nun wieder ein Problem. Es besteht nämlich noch die alte Adresse mit plt und vlt von <40000. Zusätzlich gibt es nun noch eine neue mit dem neuen Prefix und >80000 plt/vlt. Die alte Adresse wird aber weitergenutzt (Windows, IOS, Android, egal).

Lösung: Nach dem pppoe Hauruck muss nun noch jeder Client disconnected und reconnected werden. Unschön.

Evtl. hat jemand Spaß mit mir zusammen eine Lösung zu erarbeiten? :)

Gruß
Uwe

cybershadow
Member
Member
Beiträge: 85
Registriert: 26. Jul 2017 22:48

Re: Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von cybershadow » 2. Jun 2018 15:33

Werwendest Du im internen Netz SLAAC? In FortiOS kann man für jedes Prefix Preferred Lifetime und Valid Lifetime vorgeben. Stell doch so was wie VLT 12 s und PLT 10 s ein, und sende alle 10 s unsolicited router advertisements, dann sollten sich die Unterbrechungen in Grenzen halten. Details dazu findest Du in der FortiOS CLI Reference, wobei mein Wissen da auch nur theoretisch ist, da ich mich mit FortiOS nicht auskenne. Wir haben Switches und Router von Cisco und VPN von Checkpoint.

Wurzlsepp
Neuling
Neuling
Beiträge: 9
Registriert: 9. Jan 2018 00:10

Re: Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von Wurzlsepp » 2. Jun 2018 22:33

Hey cybershadow,

das war mein erster Versuch, leider klappt das bei einem delegated prefix nicht. Dort wird immer die plt und vlt vom DP verwendet, hier also 86400. Das ist ein Thema was ich noch mit dem Forti Support ausdiskutiere, da hier ein eingreifen schon praktisch wäre.
Als Alternative (?) könnte ich für den Prefix das managed Flag setzen und den Clients per DHCPv6 Adressen geben - das würde das Client Problem erstmal minimieren soweit möglich. Andererseits ist der Prefix dann immer noch nach ca 12h "tot" und ich bekomme auch (noch) keinen neuen von Pinnau / W.Tel. Wobei diese Annahme noch in Prüfung ist. Eventuell ist das ja auch ein Problem der Fortigate. Ausschließen würde ich das an dieser Stelle mal noch nicht (so in der Art copyin/copyout error beim bearbeiten von dhcpv6-pd).

Mir ist konzeptionell noch nicht ganz klar, wo eigentlich das Problem liegt (Bugs in FortiOS, kombiniert mit einem im Business Umfeld unüblichen Fall von DHCPv6-PD vermute ich).
Daher wäre ich für eine ganz genaue Beschreibung des Konzepts dankbar, damit ich es nachbauen kann und sehen kann an welcher Stelle es nun eigentlich "bricht".

cybershadow
Member
Member
Beiträge: 85
Registriert: 26. Jul 2017 22:48

Re: Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von cybershadow » 3. Jun 2018 13:01

Im Business-Umfeld kenne ich eigentlich nur statische Prefixes, und zwar mindestens /56. Auch Pinnau.com wird an Geschäftskondenanschlüssen statische Adressen zur Verfügung stellen, einfach mal anfragen!

Wurzlsepp
Neuling
Neuling
Beiträge: 9
Registriert: 9. Jan 2018 00:10

Re: Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von Wurzlsepp » 5. Jun 2018 11:06

OK, Frage.

=> brauche ich eine PPPoE Einwahl mit IPv4 um mit IPv6 zu verbinden?

Meiner Meinung nach ist ein Dual Stack unabhängig zu betrachten, und deshalb müsste DHCPv6 auch ohne PPPoE Einwahl mit Legacy-IP funktionieren.

DenisK
Member
Member
Beiträge: 27
Registriert: 28. Mär 2017 11:57

Re: Parameter für IPv6 only Betrieb bei Dual Stack

Beitrag von DenisK » 11. Jun 2018 15:32

Hallo,

du benötigst keine IPv4 Adresse für die PPPoE Einwahl. Sonst würden die DS-Lite Profile ja auch nicht online kommen ;-)

Bzgl. deines IPv6 Problems, IA-PD und der Gültigkeit. Du könntest Dir via DHCPv6 eine IPv6-Adresse (/128) für dein WAN-Interface ziehen und für deine Clients hinter deiner Firewall, dass Prefix welches du über IA-PD bekommst aufbrechen bzw. verteilen. Das Routing zu dem /56 läuft dann über das /128er bzw. eh über die Link-Local Adresse. Bei jeder Neuwahl ist das Prefix für 24 Stunden während der Laufzeit gültig. Solltest Du innerhalb dieser Zeit einen Reconnect verursachen bekommst Du ein neues Prefix und das alte wird zurückgezogen, somit wird es auch nicht mehr geroutet.

Wenn es so massive Probleme mit der Gültigkeit bei Dir gibt, könntest Du dir auch nur eine einzelne IPv6 Adreses via IA-NA für das WAN-Interface ziehen und dahinter mit Unique Local Unicast Adressen arbeiten und auf deinem Router dann via NAT-P(A)T zwischen den Netzen arbeiten.

oder

du ziehst Dir ein /56 Prefix via IA-PD und vergibst dir im LAN ein /56 aus einem Unique Local Unicast Netz. Anschließend betreibst Du zwischen den Netzen NPTv6. Wichtig dabei ist, dass die Netzmaske übereinstimmen muss.

Am schönsten wäre es natürlich, wenn du dir eine einzelne IPv6 Adresse für das WAN-Interface ziehst und dann ein /56 Prefix über IA-PD. Letzteres an die Clients vertreilst, aber evtl mit einer niedrigen Gültigkeit und dass der Router und Clients eben merken, dass wenn es einen Reconnect gab, dass das Prefix auch innerhalb deines LANs zurückgezogen wird bzw. an Gültigkeit verliert und somit eine neue Adresse angefordert wird.

Antworten