Mal wieder UDM Pro und Deutsche Glasfaser

Es gibt 20 Antworten in diesem Thema, welches 1.178 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen,


    mein erster Post nach langer Zeit nur mitlesen und oftmals auch Lösungen finden, deswegen erstmal Hallo an alle.

    Bei mir wurde Heute der lang erwartete Glasfaseranschluss der Deutschen Glasfaser fertiggestellt. Die Verbindung mit IPv4 funktioniert auch mit der vertraglich vereinbarten Geschwindigkeit. Allerdings erhalte ich keine IPv6 Adresse von der Deutschen Glasfaser.


    Zusammenfassung des Anschlusses:

    - GPON Netz lau Aussage Telefonsupport

    - Nokia Box G-010G-R als "ONT?" <-- ist das die richtige Bezeichnung?
    - UDM Pro per Port 9 WAN am Ethernetanschluss des ONT angeschlossen


    Konfiguration wie folgt:






    Leider war der Support gar keine Hilfe, der First Level Support kann mich gefühlt höchstens durch die Menüs der Fritzbox lotsen und ist überfordert sobald man eine genauere Nachfrage hat.


    Ich erhalte keine öffentliche IPv6 Addresse.

    Kann es sein dass ich etwas übersehen habe? Ich Suche nun schon seit mehreren Stunden im Netz und die Spanne schwankt zwischen geht mit DHCPv6 ohne weiteres zutun, die DG benötigt 6RD was die UDM nicht kann oder auch "man muss dem Support nur lange genug auf die Nerven gehen um zum 2nd Level Support durchzukommen.


    Ich habe auch die UDM Pro schon 1 1/2 Stunden vom ONT getrennt, auch das war ohne Erfolg.

    Vielleicht habe ich was übersehen oder Ihr noch eine andere Idee, ich würde ungern auf eine FritBox umsteigen wollen.

    Gruß, Christian

    Hallo Christian und willkommen nun auch unter den Schreibenden!


    Ich weiß nicht, wie genau es die DG macht, aber üblich wäre, "SLAAC" für die v6-Verbindung zu nutzen. Probiere das doch mal aus. Bei mir habe ich in der UDM SE übrigens einen Anzeigebug, sodass mir keine IPv6-Adresse unter "WAN" angezeigt wird, obwohl IPv6 im ganzen Netzwerk gut funktioniert.

    Die sichere Variante ist also immer, das Ganze einmal per SSH auf der UDM zu prüfen oder zumindest mal ipconfig/ifconfig auf einem Rechner im Netzwerk auszuführen.

    Hi Networker,


    ich habe nach dem Post noch ein wenig experimentiert, nachdem ich den Präfix auf 57 gestellt habe bekam ich dann eine IPv6 von der DG. Das beisst sich mit den meisten Infos oder Posts die ich dazu online gefunden habe, die empfehlen meistens Präfix 56. Per SLAAC bekomme ich weiterhin keine IPv6.


    Per SSH auf der UDM bekomme ich für eth8 (Anschluss 9 an der UDM) folgende Infos:


    Code
    4: eth8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group defa                                                          ult qlen 1000
    link/ether 68:d7:9a:50:00:a5 brd ff:ff:ff:ff:ff:ff
    inet 100.93.***.***/16 scope global dynamic eth8
       valid_lft 2145sec preferred_lft 2145sec
    inet6 2a00:6020:1000:**::****/128 scope global dynamic
       valid_lft 1929sec preferred_lft 1929sec
    inet6 fe80::6ad7:9aff:fe50:a5/64 scope link
       valid_lft forever preferred_lft forever


    Das schau für mich als IPv6 Anfänger und ohne erstmal besonders viel Ahnung davon zu haben gut aus. Auch im Webinterface sehe ich nun eine IPv6:


    Mein default Network habe ich wie folgt konfiguriert;



    Einen Nameserver bekomme ich über DHCPv6 allerdings nicht, weswegen ich unter dem Wan Interface die IPv6 Google DNS eingetragen habe.
    Die Clients bekommen auch IPv6 Adressen. Auf diese kann ich auch von extern zugreifen wenn ich die Firewallregeln aufweiche, was ich allerdings nach dem testen wieder rückgängig gemacht habe.




    Basierend auf meiner geringen Erfahrung mit IPv6 sollte das dann doch alles soweit passen, oder? Nur die Frage warum die Clients keinen IPv6 DNS bekommen bleibt noch offen.


    lg, Christian

    Einmal editiert, zuletzt von Pippowicz ()

    Zitat von Pippowicz

    Das beisst sich mit den meisten Infos oder Posts die ich dazu online gefunden habe, die empfehlen meistens Präfix 56.

    "Empfehlung" ist hier nicht der passende Begriff. Du musst das einstellen, was der Provider vorgibt, dies muss aus seiner technischen Dokumentation zweifelsfrei hervorgehen.

    /56 ist lediglich das, was sich als ein gewisser Standard etabliert hat, es gibt aber sicherlich genügend Provider, die einen anderen Wert nutzen.


    Bei IPv6 bekommst Du vom Provider nicht die eine IP-Adresse, sondern eine Vielzahl an Subnetzen mit Millionen von Adressen zugewiesen. Wieviel genau, das sagt die Präfix-Länge aus.


    Ja, insgesamt sieht das jetzt gut aus bei Dir. "fe80:" sind so etwas ähnliches wie RFC1918-Adressen bei v4, diese werden nur im LAN genutzt und nicht ins Internet geroutet. Die Adressen mit "2a00" sind dann alle aus dem Präfix abgeleitet, den Dein Provider Dir zugewiesen hat.

    Wichtiges Prinzip bei v6 ist, dass jedes Gerät bzw. jedes Interface eine Vielzahl von Adressen gleichzeitig haben kann und per Default auch mindestens drei davon hat.


    Warum Du über v6 keinen DNS zugewiesen bekommst, kann ich im Moment nicht sagen. Erste Anlaufstelle sollte dazu die Hotline der Deutschen Glasfaser sein, wenn dort nur Unsinn erzählt werden sollte, schauen wir hier einfach weiter. :smiling_face:

    Hey,


    erstmal danke für Deine Hilfe und Bestätigung. Die Hotline der DG ist eher so semihilfreich, ich habe aber ein Ticket offen in dem ich genau diese Fragen auch gestellt habe. Das wurde mit einem Link zum Einrichtungshandbuch für eigene Router jedoch schnell wieder geschlossen - und in dem werden nur Fritzboxen erwähnt.

    Ich habe daraufhin eine Rückfrage zum vorherigen Ticket erstellt und warte auf eine Reaktion. Der Support stellt sich erstmal auf stur wenn man angibt einen eigenen Router zu besitzen, ich bin allerdings der Meinung dass die DG mir die Konfiguration die für meinen eigenen Router notwendig ist mitteilen MUSS. Was Sie nicht tun müssen ist mir bei der Umsetzung der Einstellungen in meinem Router zu helfen.

    Ich gehe allerdings davon aus dass das nicht mit wenigen Anrufen oder Tickets erledigt ist. Zumindest habe ich mal einen Teilerfolg, bleibe aber dran.


    Zitat von Networker

    Bei IPv6 bekommst Du vom Provider nicht die eine IP-Adresse, sondern eine Vielzahl an Subnetzen mit Millionen von Adressen zugewiesen. Wieviel genau, das sagt die Präfix-Länge aus.

    57 bedeutet dann 128 Subnetze wenn ich das richtig verstanden habe, da werde ich mich dann mal reinarbeiten :smiling_face:

    Pippowicz

    Für DNS kannst Du unten auf Manual gehen (dein Bild 2).

    Du kannst dann als DNS die link-local IP der UDM Schnittstelle des VLANs nehmen für das Du gerade konfigurierst. Das sind diese fe80: IPv6 Adressen. Die funktionieren nur innerhalb eines Netzsegmentes und werden nicht geroutet, Das geht wohl bei SLAAC und DHCP.


    Vermutlich gibt es in den tiefen der Providerseiten eine exakte Schnittstellenbeschreibung für diverse Tarife/Anschlüsse. Die Frage ist ob Du mit diesen Infos etwas anfangen und auch diese umsetzen kannst. Manchmal ist man schneller mit try and error als die Spezifikationen zu übersetzen.


    Mehrere IPv6 Netze sind in der Unifi Welt noch immer schwierig. Da die Adressen/Präfixe in der Regel dynamisch sind hast Du quasi kaum eine Möglichkeit die Firewall sinnvoll und dauerhaft zu konfigurieren. Möglich also dass Du mit IPv6 dann die VLAN Trennung (für IPv4) torpedierst.

    Einmal editiert, zuletzt von DoPe ()

    Danke 1
    Zitat von phino

    Schau mal nach einem Neustart, was jetzt geht mit der DG und IPv6. Im Glasfaserforum wird ja seit ca. 14 Tagen mit grundsätzlichen Problemen bei DG i.V.m. IPv6 berichtet.
    Seit heute Mittag haben einige festgestellt, dass sie wieder IPv6 zugewiesen bekommen.

    Kannst Du mir dazu vielleicht einen Link geben?

    So, ich hab ein wenig getestet am Wochenende und auch ich erhalte nun eine IPv6 mit 56er Präfixsize. Es kann sein

    dass sich die "Reparatur" des DG Netzes mit meinem Experimentieren überschnitten hat.


    Ich werde das jetzt erstmal weiter beobachten und auch mal den Router über Nacht ausstecken und ggf. den ONT stromlos

    machen und schauen was dann am nächsten Tag passiert.


    Auf jeden Fall stimmen also die Behauptungen der DG dass meine UDM nicht mit dem Netz kompatibel ist NICHT.

    Traurig aber dass man nicht die benötigten EInstellungen für den eigenen Router bekommt - bei der Umsetzung auf den Router

    hätte ich da keine Hilfe erwartet wie oben schon beschrieben.


    Bleibt noch mich mit IPv6 vertraut zu machen.

    uboot21: Du sollst eine Webpage zur Firewallkonfiguration haben, leider konnt ich diese nicht finden. Kannst Du mich da auf die

    richtige Spur bringen?

    Könnt Ihr mir darüber hinaus eine Empfehlung geben wo ich gute Infos und vielleicht eine anfängerfreundliche Erklärung zu IPv6 finde?

    lg, Christian

    Zitat von Pippowicz

    Könnt Ihr mir darüber hinaus eine Empfehlung geben wo ich gute Infos und vielleicht eine anfängerfreundliche Erklärung zu IPv6 finde?

    Sehr schwierig. Ich beschäftige mich jetzt schon 7 Jahre damit und habe recht gute Grundlagen bei IPv4.

    Für viele ist IPv6 einfach nur ein IPv4 mit längeren Adressen. Doch diese Ansicht ist völlig falsch. IPv6 ist ein Protokoll mit vielen neuen Funktionen. Die Erfahrungen, die jemand aus der IPv4-Welt mitbringt, lassen sich nur bedingt auf IPv6 übertragen. Ich habe aber da Unterstützung von einem Netzwerker in der Firma.

    Ich habe schon Bücher gewälzt, aber die wenigen Dinge, die ich jetzt kann, habe ich erst verstanden als der Techniker an die Hand genommen hat.(vielleicht 15 %).

    Dies hier oder hier nutze ich immer wieder bei ???

    Bei IPv6 muss Ubiquiti nachbessern. Vernünftige Firewall-Regeln lassen sich wohl nur für statische IPv6 Adressen einrichten. Da sind die Fritz!Box und sogar der einfache Router von Kabeldeutschland besser geeignet. Diese leiten die Ports anhand der MAC-Adressen der Clienten weiter.

    Den Quatsch mit den dynamischen IPv6 Adressen könnten die Provider auch einfach lassen. Machen sie wohl hauptsächlich, um teurere statische IPv6 Adressen zu verkaufen.


    Einen Vorteil mögen die dynamischen mitbringen, solange die Vorratsdatenspeicherung nicht auf längere Zeit ist, bieten diese eine gewisse Anonymität. Wer diese braucht, nutzt allerdings wohl eh die Dienste eines VPN Anbieters.

    Zitat von Peterfido

    Einen Vorteil mögen die dynamischen mitbringen, solange die Vorratsdatenspeicherung nicht auf längere Zeit ist, bieten diese eine gewisse Anonymität. Wer diese braucht, nutzt allerdings wohl eh die Dienste eines VPN Anbieters.

    Dafür gibt es die Privacy Extension in IPv6, dynamische Präfixe sind ein reines Business Produkt.


    Ich kann übrigens diese Sonderausgabe von heise für den Einstieg empfehlen, ist zwar schon älter, aber IPv6 hat ja auch schon mehr als 20 Jahre auf dem Buckel.


    iX Kompakt IPv6-Leitfaden | heise shop
    Highlights Inhaltsverzeichnis Editorial Bewertungen Ein neues Kapitel im Internet-Zeitalter Nach einem zähen Start…
    shop.heise.de

    Zitat von Pippowicz

    uboot21: Du sollst eine Webpage zur Firewallkonfiguration haben, leider konnt ich diese nicht finden. Kannst Du mich da auf die

    richtige Spur bringen?

    Hallo Pippowicz,


    ich bin mir nicht sicher wodrauf Deine Frage abzielt.

    Als Unifi User und langjähriger Kunde bei der deutschen Glasfaser habe ich recht viel Erfahrung aufgebaut im Umgang mit DG und IPv6.


    Eine Firewall benötigst du eigentlich nicht, da Unifi den eingehenden Traffic blockt.

    Die Verbindung von einem VLAN ins andere VLAN musst du entsprechend ähnlich wie bei IP4 absichern.


    Verschiedene Wiki Beiträge zu dem Thema habe ich erstellt, vielleicht ist was dabei was du meinst?:

    diese Anleitung erklärt auch den Aufbau der IPv6 bei Unifi in den unterschiedlichen VLAN und ist für externen Zugriff auf das system (ich würde es heute aber immer anders machen, es zeigt nur wie es auch geht!!)

    - #Sonstiges | Externer Zugriff über IPv6 aufs Netzwerk


    Auch diese Anleitung würde ich heute anders aufbauen und habe da auch schon andere Anleitungen zu erstellt:

    - #Sonstiges | Wireguard Reverse VPN Tunnel erstellen


    Auf meiner eigenen Webseite habe ich mal was zur Firewall geschrieben (ohne Anspruch auf Vollständigkeit, da schon älter)

    - https://web.andrejansen.de/5-firewall-die-tuer-geht-zu/


    Hier habe ich mal was zum troubleshooting geschrieben, wie man von der UDM Pro aus Dinge testen kann

    - https://web.andrejansen.de/tro…6-und-deutsche-glasfaser/


    Hier dann auch 2 Anleitungen wie ich heute den Zugriff von extern in mein Netzwerk lasse:

    Externer fester Zugang bzw Wireguard Mesh Netzwerk.

    workspace/1_Infrastruktur/7_Unifi_Wireguard_Tunnel/README.md at master · uboot21/workspace
    Öffentliche Portainer Stacks . Contribute to uboot21/workspace development by creating an account on GitHub.
    github.com

    Externer Zugriif mobile Geräte:

    workspace/3_Server/PortainerStacks/firezone/README.MD at master · uboot21/workspace
    Öffentliche Portainer Stacks . Contribute to uboot21/workspace development by creating an account on GitHub.
    github.com

    Gefällt mir 1
    • Neu

    So,


    nicht dass Ihr denkt der kommt hier rein, greift ab und verschwindet wieder :smiling_face: - ich habe die wenige Zeit

    die ich im Moment habe _versucht_ mich in IPv6 einzuarbeiten, aber viel weiter bin ich mit dem Verständnis

    bisher nicht gekommen.

    Grundlegendes habe ich aber verstanden. Wichtig wäre mir noch ein funktionierender DYNDNS Service, um

    weiterhin per VPN auf mein Netzwerk zu kommen. Damit gehe ich Euch vielleicht in einen zukünftigem Thread

    nochmals auf die Nerven.

    Die Verteilung von IPv6 Adressen seitens der DG an mich per DHCPv6 funktioniert mittlerweile auch ohne weiteres zutun

    problemlos.

    phino lag anscheinen richtig dass es eine mittlerweile behobene Störung bei der DG gab.

    lg, Christian

    • Neu

    Hallo Pippwicz, ich habe ein bis zwei Jahre genau so den Zugriff durchgeführt.

    Das Problem war aber bei der DG: Jedesmal wenn es eine größere Störung gab bei der DG (und ja, das kommt min. 1x im Jahr vor), ändert sich der Präfix. Das ist alles machbar, man muss aber immer händisch alles anpassen.

    Und meist passiert das dann wenn man wenig Zeit hat und dringend von Unterwegs in sein Netzwerk möchte.


    Ich gehe deshalb über einen externen VPS (1€ pro Monat, kein Limit und 1GB Datendurchsatz) und nutze diesen als Wireguard server mit fester IP4 und vernetze über diesen alle Geräte.


    Dies nur als Tipp.

    • Neu

    Hi uboot21, das statische Präfix könnte man sich ja im Notfall über die Ubiquiti Cloud anschauen, wenn es sich den wechseln würde.

    Über den VPS (Du meinst nen Vserver, oder?) der ne feste IP hat habe ich auch schon nachgedacht.

    Im Prinzip bräuchte ich dann aber 2 Tunnel, oder? Also einen den die UDM zum VServer aufbaut und ich müsste dann Mobil einen

    über den Vserver zur UDM aufbauen.

    Die Umsetzung da ist mir noch nicht ganz klar.

    • Neu

    Hallo Pippowicz,


    Auf dem Virtual Privat Server (VPS), also ein Server in der Cloud mit fester IP, installierst du Wireguard, da reichen auch die kleinsten Server die es gibt.

    Nach aussen öffnest du nur 2 Wireguard Ports.

    Mit dem ersten baust du einen festen Tunnel von der UDM aus auf, das geht seit einem Jahr mit dem "Wireguard Client". Dieser bleibt dauerhaft geöffnet.

    Mit dem zweiten Port auf dem Externem Server öffnest du einen Bereich für deine Handys, Laptops unterwegs oder sonstige Personen die Zugriff auf dein Netzwerk haben sollen. von da aus leitetest du den kompletten Traffic (ausser Internet) auf die UDM und damit in dein Netzwerk rein.

    ZUSÄTZLICH kannst du auf dem VPS extra Ports öffnen, zb. Port 80/443 für einen Webserver oder einem Reverse Proxy Server und leitest diesen Verkehr über den VPS<->UDM Tunnel direkt zu deinem Endgerät.

    Alles nur eine Frage die Routings korrekt einzurichten und entsprechend die Firewall regeln einzurichten, das wäre dann ein Thema danach, weil jeder ein anderes Setup hat.

    Das sind im Jahr 12€ Kosten, man hat ein in sich geschlossenes System (ausser die geöffneten auf dem VPS) und man muss sich keine Sorgen über wechselnde IP oder CGNAT machen.

    • Neu

    Okay,


    zusammengefasst habe ich also 2 Wireguard Interfaces, eines für die Verbindung der UDM zum VServer, ein zweites für meine Mobilgeräte.

    Ich kümmere mich dann auf dem VServer ums passende Routing und die Firewall. Die Möglichkeit ist mir sehr sympathisch, ich denke da muss ich mich dann bei Gelegenheit reinschaffen.


    Alles in allem deckt das genau meine Pläne / Anforderungen, auch an ein möglichst Cloudfreies Smarthome und ich kann mich auch dann von meinem Nabu Casa Abo verabschieden. Damit spare ich dann sogar Geld im Vergleich zum gemieteten VServer.