DG: Probleme mit IPv6, Zugriff von außen, DG Basic Router und Ubiquiti Dream Machine Pro

  • Hallo zusammen,


    Ich habe mich die letzten Tage schon ein bisschen bei euch im Forum umgeschaut um Lösungen für mein Problem zu finden, aber so ganz zum Erfolg hat es noch nicht geführt. Daher habe ich mich angemeldet und formuliere mein Problem in der Hoffnung, dass ihr mir weiter helfen könnt.


    Kurzfassung:

    Ziel: Zugriff von außen auf einen Server in meinem lokalen Netzwerk, zunächst über IPv6

    Probleme:

    • ipv6-test.com sagt mir, dass IPv6 nicht unterstützt wird
    • in der Adminoberfläche des DG Basic Routers bekomme ich allerdings IPv6 -Infos angezeigt.
    • Meine UDM Pro, die mit dem DG Router verbunden ist, bekommt von diesem keine IPv6 zugewiesen, obwohl DHCP für IPv6 aktiv ist.


    Ausführliche Fassung:


    Wir haben seit gut anderthalb Wochen einen Anschluss der Deutschen Glasfaser. Der Anschluss wurde aktiviert und surfen funktioniert soweit auch. Was allerdings nicht funktioniert ist der Zugriff von außen auf einen lokalen Server in meinem Netzwerk. Dass das über IPv4 nicht ohne weiteres funktioniert habe ich schon erwartet (Stichwort VPS und Tunnel), daher war mein Ansatz es erstmal über IPv6 zu probieren. Die DG stellt meinem Router ja eine IPv6 zur Verfügung also war ich der Meinung, dass das schon irgendwie funktionieren sollte, aber Pustekuchen.


    Mein Setup sieht wie folgt aus:




    In den Einstellungen des Basic Routers sehe ich eine zugewiesene IPv6. DHCP für IPv6 ist ebenfalls aktiviert. In der UDM Pro habe ich für den WAN-Port DHCPv6 mit Prefix Delegation Size 56 aktiviert. Für die LAN-Ports der UDM habe ich die Prefix Delegation, sowie Router Advertisement aktiviert. Das Problem ist, dass die UDM Pro scheinbar keine IPv6 vom Basic Router bekommt. Jedenfalls sehe ich diese nicht in der Adminoberfläche des Basic Routers und auch nicht in den Einstellungen der UDM Pro. Die UDM verteilt allerdings IPv6-Adressen an die internen Clients und ich kann auch vom PC auf den Server über IPv6 zugreifen.


    Was ich zudem merkwürdig finde: Der Test unter ipv6-test.com sagt mir, dass IPv6 nicht unterstützt wird, obwohl ja mein DG Router eine IPv6 zugewiesen bekommen hat?!

    Ich habe auch einen Trace auf die IPv6 des Basic Routers gemacht; das Ergebnis sieht wie folgt aus:



    Ich habe auch versucht, die UDM Pro direkt an den NT zu hängen, habe da aber keine IP zugewiesen bekommen. Das scheint auch korrekt zu sein, weil mein Anschluss nicht für einen kundeneigenen Router konfiguriert ist, soviel habe ich bei meinen Recherchen hier im Forum bereits lernen können.


    Meine Frage ist jetzt, wie komme ich am einfachsten über IPv6 ins Netz und von dort aus auch wieder auf meinen lokalen Server? Ist das Problem hier der DG Router, der der UDM keine IPv6 gibt oder liegt das Problem noch auf einer ganz anderen Ebene? Wäre es empfehlenswert den DG Router ganz aus der Kette zu entfernen und auf kundeneigenen Router umstellen zu lassen?


    Ich hoffe meine Formulierungen waren nicht zu wirr und mein Problem ist klar geworden. Danke schon mal für eure Hilfe.

  • Willkommen im Forum!

    Zunächst einmal so viel: Der DG Anschluss sieht nach dem traceroute6 gut aus.

    Hop 8 ist bei mir meine kundeneigene FRITZ!Box und sollte bei dir der Basic Router sein. Gut ist es, wenn Du mit einem an den Basic Router verbundenes WLAN Device (Tablet, Handy,...) dir die zugewiesenen Adressen anzeigen lässt.

    Nach deinen Schilderungen vermute ich, das die Geräte keine IPv6 Adresse vom Basic Router erhalten. Dies sollte jedoch der Fall sein. Hast Du eine Möglichkeit das zu prüfen?

    Die UDM pro sollte nicht als DHCPv6 Server konfiguriert sein, da die IPv6 Adressen ausschließlich durch den Router an die Endgeräte zugewiesen werden.

  • Ich kenne die UDM nicht, aber ich verstehe nicht, warum sich Kunden so ein komplexes und leistungsfähiges Gerät kaufen, wenn sie nicht über die erforderlichen Kenntnisse verfügen, es einzurichten. Deine Anforderungen - soweit bekannt - hätte man völlig problemlos mit jeder Fritzbox erschlagen können, und zwar mit 2 Mausklicks.

    DHCP für IPv6 ist ebenfalls aktiviert.

    Und da gibt es auch Prefix Delegation?


    In der UDM Pro habe ich für den WAN-Port DHCPv6 mit Prefix Delegation Size 56 aktiviert.

    Hmm. Ob das richtig ist? Die UDM braucht ja am Ende nur ein /64 Prefix vom Basic Router, und muss ihrerseits kein Prefix Delegaton beherrschen.


    Die UDM verteilt allerdings IPv6-Adressen an die internen Clients

    Sind das ULA Adressen? Fangen die mit fd00 oder sowas ähnlichem an?


    Was ich zudem merkwürdig finde: Der Test unter ipv6-test.com sagt mir, dass IPv6 nicht unterstützt wird, obwohl ja mein DG Router eine IPv6 zugewiesen bekommen hat?!

    Aber weder die UDM noch die Endgeräte. Das reicht natürlich nicht. Die komplette Kette muss funktionieren. Vom NT über den Basic Router, die UDM bis zum Server. Dabei muss der Basic Router per Prefix Delegation ein /64 Subnetz an die UDM geben, die es ihrerseits vermutlich per SLAAC an die Clients verteilt.


    Ich habe auch versucht, die UDM Pro direkt an den NT zu hängen

    Das würde auch gehen, allerdings musst du da mit VLAN IDs arbeiten. Die IDs findest du hier im Forum, vermutlich 360 und folgende (kommt aufs Ausbaugebiet an). Kann die UDM mehrere virtuelle Verbindungen für VLAN aufbauen? Weil sonst wird das Festnetz Telefon nicht funktionieren.

  • Damit das so funktioniert, muss folgendes einzustellen sein:

    • Der DG-Router muss ein Präfix kürzer als /64 bekommen (normalerweise bei der DG ein /56, also 8 Bit für deine freie Verwendung).
    • Der DG-Router muss Prefix-Delegation per DHCPv6 beherrschen und der DHCPv6-Server und Prefix Delegation müssen konfiguriert und eingeschaltet sein.
    • Die Firewall im DG-Router muss für die von außen anzusprechenden Adressen durchlässig konfiguriert sein.
    • Die UDM muss ein Präfix länger als /56 anfordern (also /57 bis /64). Weil der DG-Router selbst ein /64 Präfix für sein LAN braucht, kann er nicht das ganze Präfix, das er von der DG erhalten hat, weiterreichen.
    • Die UDM muss diese Adressen im LAN zuteilen, normalerweise mittels Router Advertisements für SLAAC. Wenn ein Server im LAN der UDM mehr als nur einzelne Adressen braucht und selbst ein Präfix anfordern können soll (z.B. für VMs), dann muss auch die UDM Prefix-Delegation mit einem DHCPv6 Server machen.

    Besonders die Einstellungen im DG-Router werden nicht einfach sein. Wir hatten hier schon einen ausgedehnten Kampf mit der Firewall dieses Routers. Zu der Problemstellung kommt jetzt noch Prefix-Delegation für den nachgelagerten Router. Leider gibt es zum Sagemcom F@st 5366se Router keine nennenswerte Dokumentation und die meisten hier haben andere Router.

  • wow, danke schonmal für eure schnellen Antworten.


    Zitat

    Gut ist es, wenn Du mit einem an den Basic Router verbundenes WLAN Device (Tablet, Handy,...) dir die zugewiesenen Adressen anzeigen lässt.

    Nach deinen Schilderungen vermute ich, das die Geräte keine IPv6 Adresse vom Basic Router erhalten. Dies sollte jedoch der Fall sein. Hast Du eine Möglichkeit das zu prüfen?

    Wenn ich mich mit meinem Endgerät direkt mit dem DG Router verbinde, bekomme ich eine IPv6 zugewiesen. Diese sehe ich dann auch an in der Adminoberfläche des DG Routers :thumbup:


    Und da gibt es auch Prefix Delegation?

    Diese Option habe ich im DG Router nicht gefunden. Sollte es sie geben ist sie jedenfalls nicht mit Prefix Delegation o.ä. gelabelt.

    Hmm. Ob das richtig ist? Die UDM braucht ja am Ende nur ein /64 Prefix vom Basic Router, und muss ihrerseits kein Prefix Delegaton beherrschen.

    Ob das richtig ist, weiß ich leider auch nicht. Deswegen suche ich ja hier Hilfe :)

    Sind das ULA Adressen? Fangen die mit fd00 oder sowas ähnlichem an?

    Die von der UDM vergebenen Adressen beginnen mit fe80:


    Kann die UDM mehrere virtuelle Verbindungen für VLAN aufbauen? Weil sonst wird das Festnetz Telefon nicht funktionieren.

    Ich kann bei der Konfiguration der WAN-Schnittstelle eine VLAN-ID angeben. Allerdings nur eine. Zum Thema Telefon habe ich auch noch eine Frage, die ich alllerdings nachgelagert stellen würde. Wichtig ist zunächst, dass die IPv6-Kette läuft und der Zugriff von außen klappt.

  • Der DG-Router muss ein Präfix kürzer als /64 bekommen (normalerweise bei der DG ein /56, also 8 Bit für deine freie Verwendung).

    Ich denke das bekommt er. In der Config kann ich folgendes sehen: Delegated Prefix: .... /56


    Der DG-Router muss Prefix-Delegation beherrschen und die muss auch konfiguriert sein.

    Das ist der Punkt, den ich bis jetzt noch nicht gefunden habe.

    Besonders die Einstellungen im DG-Router werden nicht einfach sein. Wir hatten hier schon einen ausgedehnten Kampf mit der Firewall dieses Routers. Zu der Problemstellung kommt jetzt noch Prefix-Delegation für den nachgelagerten Router. Leider gibt es zu diesem Router keine nennenswerte Dokumentation und die meisten hier haben andere Router.

    Wäre es dann hier ein Ansatz, den DG Router komplett aus der Kette zu entfernen und die UDM direkt an den NT zu klemmen? Diese scheint ja ebenfalls Prefix Delegation zu beherrschen.

  • Diese Option habe ich im DG Router nicht gefunden. Sollte es sie geben ist sie jedenfalls nicht mit Prefix Delegation o.ä. gelabelt.

    Das dürfte das Hauptproblem in der Konfiguration mit dem Basic Router sein. Du wirst da kein Prefix rausbekommen.


    Die von der UDM vergebenen Adressen beginnen mit fe80:

    Die kommen nicht von der UDM. Das sind linklokale Adressen. Ich würde dir dringend empfehlen, dich mit IPv6 Grundlagen zu befassen. Wir können dir jetzt vielleicht alles vorkauen, aber was hilft es, wenn du es nicht mal annähernd verstehst? Du musst ja auch in der Lage sein, die Konfiguration nach deinen Vorstellungen anzupassen, vor allem in einem so komplexen Gerät wie der UDM.


    Ich kann bei der Konfiguration der WAN-Schnittstelle eine VLAN-ID angeben. Allerdings nur eine.

    Und das dürfte das Problem sein, wenn du den Basic Router rauswerfen willst.


    Entweder benötigst du einen DG Router, der Prefix Delegation beherrscht, oder du lässt deinen Anschluss auf kundeneigener Router umstellen und kannst dann die UDM direkt an den NT klemmen.

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Falls du auf IPv6 im LAN der UDM verzichten kannst, brauchst du nur die Firewall im DG-Router zu überlisten (konfigurieren kann man das ja nicht nennen). Dann könntest du z.B. ein Wireguard-VPN auf der Dream Machine laufen lassen. Auf der WAN Seite müsste die eine IPv6 Adresse bekommen (bzw. sich selbst eine im LAN-Präfix des DG-Routers nehmen). Von außen würdest du dann IPv4 für die Kommunikation mit deinen Geräten nutzen, und zwar getunnelt durch Wireguard.

  • In meinem lokalen Netzwerk bin ich nicht auf IPv6 angewiesen.

    Auf der WAN Seite müsste die eine IPv6 Adresse bekommen (bzw. sich selbst eine im LAN-Präfix des DG-Routers nehmen).

    Das ist ja genau das, was aktuell nicht passiert. Oder meinst du hier den Fall, dass ich die UDM direkt als kundeneigenen Router an den NT gehangen habe?

  • Ich meine den Netzaufbau, wie du ihn oben beschrieben hast, also NT -- DG-Router -- UDM -- Endgeräte. Als Gerät im LAN des DG-Routers kann sich die UDM eine IPv6 Adresse aus dessen LAN-Präfix nehmen. Du hast oben schon geschrieben, dass das für andere Endgeräte funktioniert, wenn sie mit dem DG-Router verbunden werden. Der UDM musst du aber vielleicht erst sagen, was sie da genau machen soll. Vielleicht versucht die UDM nur, per DHCPv6 Adressen zu bekommen. Für den direkten Anschluss am NT wäre das genau richtig, aber am DG-Router, der offenbar keinen DHCPv6 Server hat, muss sie Router Advertisements akzeptieren und sich selbst eine Adresse aus dem beworbenen Präfix nehmen (SLAAC), am besten eine mit einem kurzen von dir festgelegten statischen Interface Identifier (Token).

  • So, ich wollte mich nochmal melden, wenn die Umstellung erfolgt ist. Das ist die Woche geschehen, und ging schnell und unkompliziert. Die UDM hat nach der Verbindung mit dem NT auch fein eine IP bezogen und mit den Einstellungen von der_user bekomme ich jetzt auch auf meinen Clients eine IPv6. Der Test unter https://ipv6-test.com/ verläuft auch erfolgreich. Den Zugriff von außen habe ich soweit auch hinbekommen.


    Danke nochmal an alle, die hier kommentiert und weitergeholfen haben :)

  • fugu2.0 ,

    ich habe hier an meinem DG Anschluss folgendes an meiner UDMB fuer IPv6 konfiguriert und das funktioniert wie "geschnitten Brot" ;).

    Bei mir ist der Anschluss aber fuer "Kundeneigenen Router" eingestellt und meine UDMB haengt direkt am NT.

    Bei mir fehlte der Haken enable ipv6 Router advertisement. Was bedeutet diese Option eigentlich?

    Nun wird mir auch im test die ipv6 angezeigt.

    So, ich wollte mich nochmal melden, wenn die Umstellung erfolgt ist. Das ist die Woche geschehen, und ging schnell und unkompliziert. Die UDM hat nach der Verbindung mit dem NT auch fein eine IP bezogen und mit den Einstellungen von der_user bekomme ich jetzt auch auf meinen Clients eine IPv6. Der Test unter https://ipv6-test.com/ verläuft auch erfolgreich. Den Zugriff von außen habe ich soweit auch hinbekommen.


    Danke nochmal an alle, die hier kommentiert und weitergeholfen haben :)

    Schön das es mit Kunden eigener Router so reibungslos geklappt hat.

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden