Fazit zuerst:
Magenta (ehemals UPC) bietet seit Jahren ein technisch unbefriedigendes und noch dazu kaum dokumentiertes IPv6-Service an. Informationen zum IPv6-Service von Magenta sind spärlich; oft hat man das Gefühl, daß die Servicemitarbeiter über das Thema wenig Bescheid wissen. Ich habe daher meine Erfahrungen der letzten Tage zusammengeschrieben.
Das Ergebnis vorweg: Es ist machbar und benutzbar, aber es gibt gewisse wichtige Einschränkungen.
Vorzüge
Widrigkeiten
Ein Setup mit eigenem Router/Firewall funktioniert so nicht.
Das bedeutet:
Dafür bekommt man aber ziemlich viele öffentliche v6-Adressen! (Ungefähr 1,8 Trillionen Adressen, wenn ich mich nicht verzählt habe!)
Allerdings werden die nicht bekanntgegeben, und sie können im LAN nicht segmentiert/subnettiert/geroutet werden. Also machen wir uns auf die Suche, die relevanten Informationen zusammenzutragen. Wer, wie ich, bisher Die UPC-Box im Bridge Mode und dahinter einen eigenen Router/Firewall betrieben hatte, muß also das LAN umbauen.
Informationen sammeln
Subnetz:
Das UPC Modem ("Connect Box") gibt unter "Erweiterte Einstellungen" -> "DHCP" -> "DHCPv6 Server" unter der Bezeichnung "Startadresse" immerhin das relevante Subnetz preis: 2a02:x:y:z::/64.
Die Gültigkeitsdauer wird mit 1209600 sec angegeben, das sind 2 Wochen.
Die Autokonfiguration kann vom Typ Stateful oder Stateless sein.
Gateway:
Stateful wird im Dauerbetrieb vielleicht günstiger (weil im Verhalten berechenbarer) sein; aber Stateless erlaubt, einen Raspberry Pi mit Debian direkt am Modem anzuschließen und dessen v6-Adresse konfigurieren zu lassen. Dazu ist die Datei /etc/network/interfaces am besten ganz leer:
/etc/network/interfaces.d ist ebenfalls völlig leer.
Die Connect-Box listet angeschlossene Geräte eine Zeitlang (bis der arp-Cache ausaltert?) an.
ip a und ip -6 r zeigen uns am Raspberry die zugewiesenen IPs und die Adresse des Gateways an.
Wichtig ist dabei die IP mit scope global und /64.
Und der Gateway:
Der Gateway ist die IPv6-Adresse, die mit "default via fe80::" beginnt.
IPv6 implementieren
OK, wir kennen jetzt das
Andererseits können wir "flüchtige" Hosts oder solche, die keine statische IP brauchen, zB via radvd versorgen. Es gibt aber auch DHCP6, wenn man das lieber mag. radvd ist der "Router Advertisement Daemon" (zumindest in der Linux-Welt bekannt) und ist überaus simpel zu konfigurieren:
Die Gateway-Adresse und zwei per v6 erreichbare Nameserver werden den nicht-statischen Hosts per Router Announcement von der Connect Box mitgeteilt.
Achtung!
Ohne, daß irgendwo im LAN ein radvd o.ä. läuft, werden sich viele Geräte, zB Haindis nicht mit einer IPv6-Adresse versorgen!
...und IPv4 gibt's auch noch
Die v4-Konfiguration ist völlig straight-forward (und völlig eingeschränkt).
Man kann den DHCPv4 Service auf der Connect Box nutzen; ich habe mich für einen DHCP Server anderswo im LAN entschieden. Diese Modems werden doch immer wieder ausgetauscht oder gehen gar kaputt, oder müssen zeitaufwendig rebootet werden, und dann hat man die ganze Hacke von vorne.
Wichtig ist zu beachten, daß aufgrund von CG-NAT eine Verbindungsaufnahme von außen in IPv4 eigentlich völlig unmöglich ist (keine Port-Weiterleitung, keine "DMZ"-Definition, nada, nischta, niente, rien, gurnischt, goar nix). Schutzmaßnahmen in v4 sind daher einzig gegen eventuelle Gegner (Eindringlinge, IoT, ...) im LAN von Bedeutung, und für mobile Devices, die auch anderswo unterwegs sind.
IPv6 Firewall
Edit: Die Connect-Box bietet die Möglichkeit, Filterregeln für IPv6 zu definieren (danke, @maultier , für diese Korrektur!). Inwieferne das skaliert kann ich noch nicht beurteilen. Ich konnte auch keinen Weg finden, das ordentlich mitzuloggen.
Das ist m.E. der wichtigste Nachteil des von mir beschriebenen Setups.
Der wichtigste Vorteil ist, daß es funktioniert. Dennoch würde ich eigentlich empfehlen, lieber zu einem ordentlichen Provider zu wechseln.
Aber vielleicht hat jemand hier im Forum eine bessere Idee, Magentas IPv6-"Service" zu nutzen?
Ich würde mich über Kommentare freuen.
Magenta (ehemals UPC) bietet seit Jahren ein technisch unbefriedigendes und noch dazu kaum dokumentiertes IPv6-Service an. Informationen zum IPv6-Service von Magenta sind spärlich; oft hat man das Gefühl, daß die Servicemitarbeiter über das Thema wenig Bescheid wissen. Ich habe daher meine Erfahrungen der letzten Tage zusammengeschrieben.
Das Ergebnis vorweg: Es ist machbar und benutzbar, aber es gibt gewisse wichtige Einschränkungen.
Vorzüge
- Geboten wird ein IPv6 /64 Netz
- Adressvergabe per SLAAC
- StateLess Address Auto Configuration
Widrigkeiten
- DS-Lite
- Adressvergabe per SLAAC (Ja, das ist ein Vor- und ein Nachteil.)
- Modem kann nicht im Bridge-Modus betrieben werden, und zwar wegen
- CG-NAT (Carrier-Grade NAT)
- Daher kein IPv4 Routing/NATting/Firewalling möglich
- keine Dokumentation; keine Auskünfte von den Technikern
- keine zentrale v6-Firewall möglich!
- Daher muß sich jeder v6-Host selbst um seinen Firewall-Schutz kümmern!
Ein Setup mit eigenem Router/Firewall funktioniert so nicht.
Das bedeutet:
- Magenta liefert eine v6-Adresse für den Router
- und ein /64 für das LAN
- v4 geschieht via 4-in-6 Tunnel (vom Modem bis zur Gegenstelle beim Provider) und
- via CG-NAT
Dafür bekommt man aber ziemlich viele öffentliche v6-Adressen! (Ungefähr 1,8 Trillionen Adressen, wenn ich mich nicht verzählt habe!)
Allerdings werden die nicht bekanntgegeben, und sie können im LAN nicht segmentiert/subnettiert/geroutet werden. Also machen wir uns auf die Suche, die relevanten Informationen zusammenzutragen. Wer, wie ich, bisher Die UPC-Box im Bridge Mode und dahinter einen eigenen Router/Firewall betrieben hatte, muß also das LAN umbauen.
Informationen sammeln
Subnetz:
Das UPC Modem ("Connect Box") gibt unter "Erweiterte Einstellungen" -> "DHCP" -> "DHCPv6 Server" unter der Bezeichnung "Startadresse" immerhin das relevante Subnetz preis: 2a02:x:y:z::/64.
Die Gültigkeitsdauer wird mit 1209600 sec angegeben, das sind 2 Wochen.
Die Autokonfiguration kann vom Typ Stateful oder Stateless sein.
Gateway:
Stateful wird im Dauerbetrieb vielleicht günstiger (weil im Verhalten berechenbarer) sein; aber Stateless erlaubt, einen Raspberry Pi mit Debian direkt am Modem anzuschließen und dessen v6-Adresse konfigurieren zu lassen. Dazu ist die Datei /etc/network/interfaces am besten ganz leer:
# cat /etc/network/interfaces
# interfaces(5) file used by ifup(8) and ifdown(8)
# Please note that this file is written to be used with dhcpcd
# For static IP, consult /etc/dhcpcd.conf and 'man dhcpcd.conf'
# Include files from /etc/network/interfaces.d:
source-directory /etc/network/interfaces.d/etc/network/interfaces.d ist ebenfalls völlig leer.
Die Connect-Box listet angeschlossene Geräte eine Zeitlang (bis der arp-Cache ausaltert?) an.
ip a und ip -6 r zeigen uns am Raspberry die zugewiesenen IPs und die Adresse des Gateways an.
Wichtig ist dabei die IP mit scope global und /64.
# ip -6 addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
inet6 [B]2a02:x:y:z:umpf:bumpf:klim:bim/64 scope global[/B] dynamic mngtmpaddr noprefixroute
valid_lft 1136904sec preferred_lft 532104sec
inet6 2a02:x:y:z:qui:qua:quu:quo/128 scope global dynamic noprefixroute
valid_lft 2135sec preferred_lft 2135sec
inet6 fe80::a:b:c:d/64 scope link
valid_lft forever preferred_lft forever Und der Gateway:
# ip -6 route show
::1 dev lo proto kernel metric 256 pref medium
2a02:x:y:z::/64 dev eth0 proto ra metric 202 mtu 1500 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
default via fe80::bli:bla:blu:blo dev eth0 proto ra metric 202 mtu 1500 pref mediumDer Gateway ist die IPv6-Adresse, die mit "default via fe80::" beginnt.
IPv6 implementieren
OK, wir kennen jetzt das
- Subnetz: 2a02:x:y:z:: und die
- Netmask: /64 und den
- Gateway: fe80::bli:bla:blu:blo
Andererseits können wir "flüchtige" Hosts oder solche, die keine statische IP brauchen, zB via radvd versorgen. Es gibt aber auch DHCP6, wenn man das lieber mag. radvd ist der "Router Advertisement Daemon" (zumindest in der Linux-Welt bekannt) und ist überaus simpel zu konfigurieren:
# cat /etc/radvd.conf
interface eth0
{
AdvSendAdvert on;
prefix 2a02:x:y:z::/64
{
AdvOnLink on;
AdvAutonomous on;
};
};Die Gateway-Adresse und zwei per v6 erreichbare Nameserver werden den nicht-statischen Hosts per Router Announcement von der Connect Box mitgeteilt.
Achtung!
Ohne, daß irgendwo im LAN ein radvd o.ä. läuft, werden sich viele Geräte, zB Haindis nicht mit einer IPv6-Adresse versorgen!
...und IPv4 gibt's auch noch
Die v4-Konfiguration ist völlig straight-forward (und völlig eingeschränkt).
Man kann den DHCPv4 Service auf der Connect Box nutzen; ich habe mich für einen DHCP Server anderswo im LAN entschieden. Diese Modems werden doch immer wieder ausgetauscht oder gehen gar kaputt, oder müssen zeitaufwendig rebootet werden, und dann hat man die ganze Hacke von vorne.
Wichtig ist zu beachten, daß aufgrund von CG-NAT eine Verbindungsaufnahme von außen in IPv4 eigentlich völlig unmöglich ist (keine Port-Weiterleitung, keine "DMZ"-Definition, nada, nischta, niente, rien, gurnischt, goar nix). Schutzmaßnahmen in v4 sind daher einzig gegen eventuelle Gegner (Eindringlinge, IoT, ...) im LAN von Bedeutung, und für mobile Devices, die auch anderswo unterwegs sind.
IPv6 Firewall
Edit: Die Connect-Box bietet die Möglichkeit, Filterregeln für IPv6 zu definieren (danke, @maultier , für diese Korrektur!). Inwieferne das skaliert kann ich noch nicht beurteilen. Ich konnte auch keinen Weg finden, das ordentlich mitzuloggen.
Das ist m.E. der wichtigste Nachteil des von mir beschriebenen Setups.
Der wichtigste Vorteil ist, daß es funktioniert. Dennoch würde ich eigentlich empfehlen, lieber zu einem ordentlichen Provider zu wechseln.
Aber vielleicht hat jemand hier im Forum eine bessere Idee, Magentas IPv6-"Service" zu nutzen?
Ich würde mich über Kommentare freuen.
Zuletzt bearbeitet:
