IPv6 Deutsche Glasfaser (DualStack) einrichten

[axelb]

Parallel zum DSL PPPoE habe hier einen DualStack-Anschluss der Deutsche Glasfaser (DG) auf der UTM angeschlossen.
Der DG Internetanschluss funktioniert parallel zu dem DSL-Anschluß und via IPv4 klappt alles wunderbar.

Allerdings bietet die DG per IPv4 lediglich eine "shared adress", weshalb ich mich nun zwingend mit IPv6 beschäftigen muß, wenn ich beispielsweise VPN oder "Zugriff von außen" über DG nutzen möchte.
Da gebe ich zu, dass ich hier ziemliches Neuland betrete und mich bisher immer erfolgreich davor drücken konnte.
Es mag also sein, dass mir einige Wissensgrundlagen fehlen, weshalb ich mich unterstützungshalber an das Forum wende.

Hier im Forum wird regelmäßig davon geschrieben, dass vor der UTM auch noch eine FritzBox sitzt, was ich hier gar nicht gemacht habe.
Nach meinem Verständnis sollte die UTM Router genug sein und den Anschluss selber verstehen und bedienen können.

Der DSL-Anschluss ist über ETH0 auf der UTM, der DG-Anschluss an ETH2.
Das lokale Netz hängt an ETH1.

Trotz intensiver Suche (auch in der Wiki) und Inanspruchnahme des Supports, könnte das IPv6-Protokoll nicht funktionsfähig in Betrieb genommen werden.
Die Hosts im LAN kommen via IPv6 nicht nach draußen (also keine funktionierende DNS-Auflösung).
Selbst ein IPv6-PING von der UTM nach draußen (z.B. zu heise) schlug fehl.
Ein Ping an eine direkte IPv6-Adresse (z.B. 2a02:2e0:3fe: 1001:302::) schlägt ebenfalls fehl (Network is unreachable).

An ETH2 erhalte ich sowohl eine dynamische IPv4 (hier: 100.92.47.28/14),
als auch zwei dynamische IPv6-Adressen (hier: 2a02:560:428f:c400::1/64 sowie 2a00:6020: 1000:60: :269f/128).
Hinweis: Am ETH0 (DSL) erhalte ich ebenfalls eine dynamische IPv4-Adresse (irgendwas/32), jedoch bewusst keine IPv6, weil dort ausgeschaltet.

Nun stellt sich für mich das Problem, wie ich den Hosts im LAN (ETH1) IPv6-Adressen zuteilen lassen kann und was ich dazu in der UTM einrichten muß.
Router Advertisement ist für den ETH2 eingeschaltet, IPv6 Präfix Delegation nicht.


Fragen:

Wie müsste ich den DG-Anschluss nun parametrieren? Ist das nun alles und bisher richtig?
Welche Informationen seitens DG sind erforderlich, damit man die richtigen bzw. weitere Einstellungen in der UTM vornehmen kann?

und zudem:

Was ist zu tun, damit die Geräte im LAN über IPv6 Anfragen ins Internet senden können?
Was muß an der LAN-Schnittstelle (ETH1) eingestellt werden (Router-Advertisement und/oder IPv6-Präfix Delegation), damit diese IPv6-Anfragen ins Web senden können?
Benötige ich zwingend einen IPv6-DHCP-Server?
Was ist zu tun, damit die Geräte im LAN auch von "draußen" erreichbar sind? (IPv6 dynDNS vorhanden)

Ich glaube, das wars erst mal ...

aus dem Hannöverschen grüßt,
der Axel

[Mario]

Wahrscheinlich bekommt die Firewall kein Gateway zugewiesen oder Sie haben kein Default-Gateway fuer IPV6 gesetzt

Pruefen Sie, ob der Provider per Route Advertisement ein IPv6 Gateway uebermittelt hat (Netzwerk > Netzwerkwerkzeuge)

(Hierfuer DHCPv6 fuer die Schnittstelle einschalten, dann nimmt die Firewall auch Route Advertisement-Pakete entsprechend an)

Setzen Sie eine Default-Route fuer IPv6 auf das entsprechende Interface

Zur Not den Provider anklopfen.

[Juergen Barth]

Hi,

ich habe das Problem mit der DG und einem LANCOM Router.

Der LANCOM erhält keine Routing Informationen (Next Hop) von der DG bei IPv6, kann man machen was man will. Geht nicht.
LANCOM Platin und Entwickler Support sind ratlos.

Fritz!Box, OpenWRT, pfsense, Windows 10 ... alles läuft ohne große Probleme.

Die A**en von der DG melden sich nicht (Dutzende Anrufe, Tickets, Mails, etc...) nix, der Fachbereich meldet sich...

Auf jedenfall laufen pfsense und OpenWrt wenn ein 56 er Präfix gesendet wird (kann man in den Systemen einrichten).

Ich bin aber auf der Suche nach einem Sophos Ersatz hier gelandet...

Viel Glück mit dem Affenzirkus bei der Glücksfaser.

Gruß

Jürgen

[axelb]

Pruefen Sie, ob der Provider per Route Advertisement ein IPv6 Gateway uebermittelt hat (Netzwerk > Netzwerkwerkzeuge)

(Hierfuer DHCPv6 fuer die Schnittstelle einschalten, dann nimmt die Firewall auch Route Advertisement-Pakete entsprechend an)

Setzen Sie eine Default-Route fuer IPv6 auf das entsprechende Interface

In den Netzwerkwerkzeugen kann ich "Route", "Ping", "Host", "Traceroute" und "URL Kategorisieren" finden;
da bräuchte ich mal einen Tipp, wie ich mit diesen Tools erkennen kann, ob eine Gateway- (und womöglich auch eine DNS-)Information mitgesendet wird oder nicht.
Sowas wie "ipconfg /all" gibt es da ja wohl eher nicht.

DHCP-Client ist auf der als WAN-Schnittstelle benutzten ETH2 selbstverständlich eingeschaltet, ebenso "Router Advertisement" für IPv6.

Ein Ping geht von der Firewall jedenfalls nicht über IPv6 raus, nicht mal direkt, also ohne DNS-Abfrage.

Zur Not den Provider anklopfen.

Das ist eine mehr theoretische Idee, bzw. wurde schon (mehr oder weniger vergeblich) gemacht.
Der Provider beschränkt sich auf die Auskunft, dass alle Informationen zur Benutzung von IPv6 mitgeliefert werden, und beruft sich auf die unzähligen aktiven FritzBoxen.
Auch ich habe hier zwischenzeitlich mal eine olle 7490 an den Anschluß gehängt, mittels Assistenten auf den DG-Anschluß konfiguriert, und konnte spontan IPv4 und IPv6 nutzen.

Das die Secpoint Firewall hinter einer FritzBox ihren Job machen soll, dass wurde ja auch schon in verschiedenen Threads hier im Forum beschrieben.
Mir widerstrebt es aber irgendwie, dass ich nun noch ein weiteres (Consumer-)Gerät vor die Firewall bauen soll, damit diese dann ihren Job erledigt.
Das kann doch irgendwie nicht Sinn der Sache sein, oder bin ich da alleine mit dieser Ansicht?

Als Anforderung an einen Router schreibt die DG übrigens: "DHCP-Client", "IPv6rd", "IPv4/IPv6 Dual Stack".


Ich bin der Ansicht, dass das, was eine FritzBox zu leisten vermag, mindestens auch von einer securepoint Firewall geleistet werden müsste.
Gern auch mit etwas Einstellarbeit, bei der ich mir dann ggf. Unterstützung des Supports wünsche oder eine passende Schulung angeboten bekomme.
Sollte ich mich da irren, mag man mir bitte meinen "Denkfehler" mal näher erläutern.

CU, Axel

[Juergen Barth]

Lass den Provider DG, spar dir die Lebenszeit.
Dieser Laden hat keinen Support, ich bereue es jetzt schon.
Ein 2019 Ticket wurde nie geschlossen...

Ich hatte auch gedacht „was eine billige Fritte oder ein OpenWrt“ hinbekommt sollte doch bei LANCOM oder Sophos laufen.

Nein, tut‘s nicht.

Und wenn Securepoint hier nicht helfen mag (kann), dann ist das so.
Es gibt andere Produkte am Markt.

Gerne würde ich das testen, mal sehen ob ein Partner mir eine Lizenz stellt.

Gruß

Jürgen

[Mario]

Edit: Router Advertisement muss aktiviert werden!



Router Advertisement braucht an der Schnittstelle nicht aktiviert zu sein. Es reicht, den DHCPv6 Client einzuschalten. Dann reagiert die Firewall auch auf RA-Pakete der Gegenseite. DNS wird zwar uebermittelt, das interessiert die Firewall jedoch nicht.

Was wichtig ist, das der Provider das RA-Paket korrekt mit einem Gateway versieht, sonst kann die Firewall den Nexthop nicht ermitteln.

Die Netzwerkwerkzeuge der Firewall sind recht simpel gehalten. Einfach bei der Route IPv6 anklicken und abfragen. Dann steht da ob fuer IPv6 ein Gateway angegeben ist oder nicht. Bei mir steht unten z.B.:

default via fe80::xxxx:xxxx:fe58:ca18 dev wan0 proto ra metric 1024 expires 1744sec hoplimit 64 pref medium


Habe eine Direkteinwahl via VDSL ueber die Deutsche Telekom.


Wir koennen das auch einmal im Support anschauen. Ich hatte letztens auch erst einen Fall mit der Deutschen Glasfaser und genau dem gleichen Problem. Habe dort jedoch gebeten, sich an den Provider zu wenden, da im RA-Paket nichts von einem Gateway stand. Aber wenn das haeufiger aufzutreten scheint kann man sich das auch einmal genauer ansehen. Vielleicht koennen wir intern eine Loesung finden.

Bitte einmal an den Reseller wenden. Der muss dann ein Ticket bei uns erstellen.

[Juergen Barth]

Hallo Mario,

das Problem ist ja der Provider.
Die Deutsche Glasfaser stellt sich Bockig und sagt: Mit einer Fritz Box geht´s, alles andere wird nicht supported.

Wenn aber im RA Paket nix steht, wie machen die anderen Router Lösungen dass?
Das wäre ja spannend zu wissen.

[Mario]

Genau darum geht es. Man muesste sich das einmal direkt anschauen. Ich konnte da letztens nichts als Gateway erkennen. Aber einen Fehler von meiner Seite moechte ich nicht ausschließen. Ich weiß aber, das es z.B. mit Vodafone per DHCPv6 funktioniert, das Gateway aus dem RA-Paket Seitens der Firewall herauszulesen.

Die Frage ist also: Was treibt die DG hier? Und laesst sich das gegebenenfalls unsererseits loesen, ohne das es in einer Bastelei ausartet. Falls der Fehler eindeutig bei DG liegt hat man als Kunde natuerlich auch noch Optionen.

[axelb]

Lass den Provider DG, spar dir die Lebenszeit.
Dieser Laden hat keinen Support, ich bereue es jetzt schon.

Weist Du Jürgen ... das ist alles leichter gesagt als getan.
Sobald die DG irgendwo gebaut hat, wird kein anderer mehr eine LWL-Verkabelung uns Haus realisieren ...
Selbst die T-Com geht zur DG, mietet sich ein und vermietet diese Naschlüsse dann weiter.
Falls Du also auf LWL verzichten willst, dann kannst DU ja gerne auf die DG verzichten, ich jedenfalls möchte das nicht und meine Kunden auch nicht.

Also bemühe ich mich hier weiter um Klärung, zumal die DG aktuell der größte Anbieter (der mit den meisten Haushalten) für Glasfaseranschlüsse in Deutschland ist.
Wenn man jetzt versucht ohne die auszukommen, wird man zwangsläufig ausgesperrt werden.

Die T-Com ist schließlich auch nicht das Maß aller Dinge, denn die sind auch bekannt für Ihre "Alleingänge" ... schon früher mit der Einführung der TAE-Stecker anstelle der international gebräuchlichen RJ11-Western.
Sowas gibt es (fast) nirgends auf der Welt.

@Mario

Da steht in meiner Dwarf: "default via fe80::ff:fexx:xxx dev eth2 proto static metric 1024  pref medium"
Reseller bin ich selber ... und ein Ticket gab es ja auch schon.

Ich habe hier jetzt eine FriBo vorkonfiguriert, die ich problemlos testweise an den DG-Anschluß anhängen kann.
Falls da Interesse besteht, könnten wir damit ja mal gemeinsam ein paar Test machen, und schauen wie die Fritte das Gateway und den DNS-Server konstruiert.
Am kommenden Freitag hätte ich Zeit für sowas; bis dahin habe ich hier noch einige DG-Anschlüsse bei meinen Kunden in Betrieb zu nehmen.
Bisher waren es so etwa 150 in den letzten 2 Monaten ... alle irgendwie mit FritzBoxen (gemieteten, die automatisch provisioniert werden, und kundeneigenen, die dann einzurichten sind) und alles zur vollsten Zufriedenheit der (privaten) Benutzer.

Bevor ich nun aber bei einem Geschäftskunden aufschlage, würde ich das Konzept aber gerne am eigenen System durchgearbeitet haben wollen.
Schreib mal (oder ruf an), ob das eine Idee ist und ob securepoint daran Interesse hat eine allgemeingültige Lösung anbieten zu können..

Ich bin da offen und arbeite gerne mit, zumal ich dabei auch einiges zu IPv6 lerne.

Grüße, Axel

[Juergen Barth]

Hallo,
ich habe ja das gleiche Problem, die DG ist hier in der Region Präsent und baut aus.
Mit einem LANCOM Router hatte ich keinen Erfolg, dabei wären die mit ISDN/Fax ein idealer FritzBox Ersatz. Die VPN Leistung ist um Welten besser als bei einer FritzBox.

Leider hat weder LANCOM an einer Klärung des IPv6 Problems Interesse noch die DG.

Von einem Telekom Mitarbeiter habe ich die Aussage: Die DG wird nur den Glasanschluss legen, zwei Jahre irgendwie Internet anbieten und dann mietet die Telekom sich ein.
So sei das Geschäftsmodell. Die DG kann den Service nicht stemmen.

Ich betreue 2 Connect IP Leitungen der Telekom. Die Schwupdizität ist hier selbst mit 50Mbit wesentlich besser als ein 400/200 Glas der DG.

Wenn ich hier ein Problem habe, rufe ich an. 5 Minuten später hat man jemanden von der Telekom am Hörer, der genau weiß was er tut und löst das Problem fix.

Bei der DG sitzen nur Ticket Affen (Anfrage aufnehmen, fertig, archiviert. Kommt nie was zurück). Seit 8 Wochen warte ich auf eine Rückmeldung zu IPv6.

Ich habe einen Partner erreicht, von ihm bekomme ich vielleicht ein Testsystem.
Wobei er sagte: Die Anfrage nach einer Teststellung hätte er noch nie gehabt.
Muss er bei Securepoint anfragen.

Auch das IPv6 Problem mit DG sei unbekannt.

Naja, Securepoint hat auch noch keine Rückmeldung gegeben.

Ich habe in den letzten 6-8 viel Zeit in die Analysen gesteckt,
Protokolle untersucht und unterschiedliche Produkte getestet...

Vermutlich werde ich erstmal Netgate einsetzen.

Gruß

Jürgen

[axelb]

Den Begriff "Schwuppdizität" musste ich jetzt tatsächlich erst mal recherchieren.
Vielen Dank an Carsten Meyer aus unserer Hauptstadt für seinen Leologismus.

[Mario]

Wie gesagt: Einfach noch mal bei uns melden. Wenn ein Ticket existiert > Noch mal aufmachen.

[Juergen Barth]

Hallo,

ich habe die Securepoint jetzt in ESXi 6.7 am laufen, das ganze sieht gut aus. 
Aber auch bei mir läuft am Anschluss der Deutschen Glasfaser kein IPv6.

Kann das näher untersucht werden?

Macht das der Partner bzw. hat Securepoint Interesse an einer Lösung?

Gruß

Jürgen
  

[Figo]

Moin,

der Partner müsste dazu das Ticket aufmachen.
Dann könnte das mal geprüft werden um zu schauen ob es eine Lösung dafür gibt.

Cheers

[Juergen Barth]

OK, Danke.
Bin mal gespannt ob das in einer Teststellung geht.

Ich befürchte, das läuft dann auf die selben Probleme wie bei LANCOM, Sophos hinaus.
Die Hersteller zeigen keinen Bedarf an...

Der Partner hat mir ja schon geschrieben, das er keine weiteren Informationen hat.

Schade ...

[JVierkotten]

Hallo zusammen,

habe auch die Konstellation ESXi 6.7 mit einem DG Anschluss. Nach einigem hin und her läuft das ganze aber bei mir.

Bei der Einrichtung hatte ich aber ebenfalls die Probleme, das der IPv6 Datenverkehr nicht wollte. Nachdem ich mir das ganze zusammen mit der Hotline angesehen habe, war zwar alles richtig eingestellt aber anscheinend die Software die beim Setzen der IPv6 Adresse, diese mehrfach an verschiedene eth Anschlüsse vergibt und dadurch IPv6 nicht richtig geroutet wird. Das Problem konnte nur über die cli durch rücksetzen gelöst werden.

Grüße
Jens

[Juergen Barth]

Hallo Jens,

während einer Trial erhalte ich keine Unterstützung.

Kannst du mir etwas mehr über die CLI Anpassungen geben?
ggfs. reicht ja schon das Setzen des Prefix /56 im DHCPv6 oder im IPv6 Interface auf.

Schönen Gruß

Jürgen

[JVierkotten]

Hallo Jürgen,

sorry die cli Befehle habe ich nicht, die Session hat 2 Stunden gedauert und der Support hat mir später mitgeteilt, das das Problem wohl darin liegt, das wenn man IPv6 für eine Schnittstelle aktiviert, nicht nur die ausgewählte Schnittstelle sondern auch die anderen mit der gleichen IPv6 aktiviert werden. Ich gehe mal davon aus, dass das verhalten mit dem nächsten Update behoben wird.

Grüße
Jens

[Juergen Barth]

Danke für die Rückmeldung.

Das ist schade, die Software machte einen brauchbaren Eindruck.
Ist aber ohne IPv6 nicht einsetzbar im Netz der DG.

Von Securepoint bzw. dem Partner habe ich auch nichts mehr gehört.
Securepoint ist scheinbar genauso wie LANCOM einzuordnen.
Beide zeigen kein Interesse für die Anforderungen des Marktes oder den Einsatz Ihrer Lösungen. 

Diesen Eindruck hatte schon der Securepoint Vertrieb mir gegenüber vermittelt.

Gruß

Jürgen

[JVierkotten]

Hallo Jürgen,

ich würde Deinen Ausführungen so nicht folgen wollen, der Support ist im Vergleich zu allen anderen die ich bisher kennengelernt habe wirklich 1a. Deshalb wunder mich die Aussage. Natürlich gibt es Funktionen auf die wir alle sehr lange warten wie z.B. Let´s Encypt. Aber wie ich gehört habe soll es mit dem nächsten Release 12 soweit sein. 

Grüße
Jens

[Mario]

Hoechstwahrscheinlich muss man ab der v12 auf den entsprechenden internen Interfaces dann nur ULAs erstellen. Dann greift die Prefix Delegation/ Router Advertisement nur fuer dieses Netz.

[Mario]

Folgende Konfiguration hat mit DG an dem getesteten Anschluss zum Erfolg gefuehrt:


DHCP-Client > IPv4 und IPv6
Prefix-Delegation > Aus
Router-Advertisement > Ein

Zudem gab es im Voraus einen Fehler beim Provider selbst/ der Anschluss funktionierte temporaer nicht.



Ich habe das beim Reseller aufgenommene Log durchgeschaut, die DG lieferte per DHCPv6 das entsprechende IPv6-Netz aus. Im Router Advertisement wurde dann entsprechend auch der Next Hop bekannt gemacht.

Aktuell laeuft der IPv6-Anschluss mit der Securepoint und der DG.

Falls nun somit bei jemand anderem Probleme auftreten waere es gut, einmal die Einstellungen der Firewall anzupassen und bei weiteren Problemen den Provider selbst anzufragen.

[Juergen Barth]

Hallo Mario,

ein gutes Neues Jahr!

Auch ich hatte heute mal wieder Zeit die Securepoint 11.8.11 am Anschluss der DG zu testen.
Nach zahlreichen Problemen läuft jetzt auch bei mir die Securepoint in der Teststellung. 

Etwas umständlich sind die Netzwerkobjekte und das man diese für IPv6 anlegen muss (sollte das  nicht per Default vorhanden sein)?

Naja, jetzt läuft auch bei mir die Securepoint.

Danke für die Infos, auch weiter aus dem Forum.

Gruß

Jürgen

[axelb]

Nachdem mir Mario stundenlang aktive Unterstützung geleistet hat (Vielen Dank für diese Unterstützung!), konnte die IPv6-Verbindung zur DG erfolgreich hergestellt werden.
Leider bietet dieses Forum nicht die Möglichkeit Bilder direkt hochzuladen, ansonsten hätte ich die Einstellungen dazu hier veröffentlicht.
Vielleicht genügt aber die Aussage, dass am WAN-Anschluß der DHCP-Client-Modus für IPv4 & IPv6 eingeschaltet ist, sowie das Router Advertisement.
Die Präfix Delegation bleibt an diesem Anschluß aus, weil der Router ja nichts nach draußen zu delegieren hat.

Ich habe jetzt an der Schnittstelle eine allgemeine IPv6-Präfixadresse zur Verfügung (2a00:6020:7xx6:8f00::1/64), sowie auch eine Routeradresse (2a00:6020:10x0:60::xx9f/128).
Die xx habe ich eingebaut, weil ich mir nicht so ganz sicher bin, ob jemand mit den "richtigen" Adressen "Schindluder" betreiben kann.

Pings auf IPv6-Adressen im WAN, werden (ausgehend vom Router, siehe Netzwerkwerkzeuge=> Ping) beantwortet, auch auf URL, was ja einen ansprechbaren DNS-Server voraussetzt.

Als Route erscheint:

2a00:6020:10x0:60::xx9f dev eth2 proto kernel metric 256  pref medium
2a00:6020:7xx6:8f00::/64 dev eth2 proto kernel metric 256  pref medium

  sowie
default via fe80::ff:fe04:101 dev eth2 proto static metric 1024  pref medium



Anzumerken ist übrigens, dass die DG scheinbar etwas Kummer damit hat, wenn Router ersetzt oder ausgetauscht werden.
Mir ist das schon bei meinen Kunden aufgefallen, dass selbst FritzBoxen nach dem Gerätetausch keine IP-Adressen beziehen konnten (weder IPv4, noch IPv6).
Ein Anruf auf der DG-Technikhotline hat dann Abhilfe geschaffen, allerdings nicht sofort, sondern nach dem nächtlichen Systemdurchlauf.

Was mir jetzt noch fehlt, ist die Einrichtung des LAN mit der entsprechenden Präfix Delegation oder ggf. mit IPv6-DHCP.
Da bin ich mir noch nicht so ganz schlüssig darüber, was denn nun sinnvoller ist.

Meine Hosts im LAN können jedenfalls noch nicht mit IPv6 nach draußen hin arbeiten, weder eingehend, noch ausgehend.

Vermutlich werde ich dazu in Kürze nochmals mit Mario eine Supportsitzung anberaumen.

IPv6 ist ein interessantes Thema und wird uns ITler noch ganz schön auf die Probe stellen; vor allem diejenigen, die sich damit nun gar nicht beschäftigen mögen.

CU, Axel

[Juergen Barth]

Hallo,

auf eth0 habe ich DHCP 4/6 , RA und  IPv6 Prefix Delegation aktiviert. 
auf eth1 habe ich RA und IPv6 Prefix Delegation aktiviert. 

Dann hatte ich noch einen Portfilter für internal-network-v6 mit ziel internet-v6 und any angelegt.

Die Clients erhalten IPv6 über die Delegation und die FW Rules erlauben dann den Traffi (z.B. ICMPv6) ins Internet.

Bei den IPv6 zielen oder Netzen ist verwirrend, das man erst eine Zone mit Adresse "  /24" angezeigt bekommt. Hier muss man dann ein "::/0" drauf machen.
Auch darf für das Internet nicht eth0 eingetragen sein, sondern die Adresse ::/0.

Dann hat das geklappt.

Und am DG Anschluss kann ein Wechsel von FritzBox zu Securepoint oder einem LANCOM Router schon gerne mal 60 Minuten brauchen, bis IP Adressen wieder vergeben werden.
Manchmal gibt´s nur IPv4, manchmal nur IPv6 aber meiste beide nach langer Zeit.

Auch kann es vorkommen, das trotz IPv4 Adresse die DG kein Routing des Traffic vornimmt, dann einfach die Fritzbox 3-4 neu verbinden und irgendwann gehts dann auch...

Gruß

Jürgen