UDM-SE und IPv6 mit statischen ULAs

Es gibt 34 Antworten in diesem Thema, welches 5.754 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Ich versuche seit einiger Zeit eine Lösung mit meiner UDM-SE (v3.0.13) zu finden um IPv6 korrekt ans Laufen zu bekommen und dachte, vielleicht kann mir einer von euch hierbei helfen. Leider habe ich bisher nichts passendes in den übrigen Threads gefunden, daher hier ein neuer.


    Ausgangslage: UDM-SE mit Anschluss meines FTTH modems am 2.5G WAN Port und Einwahl über PPPoE (Telekom).


    Die Einwahl per PPPoE klappt und ich bekomme eine IPv4 Adresse. Internetzugang klappt.
    Wenn ich auf einem der konfigurierten Netzwerke an der UDM-SE IPv6 Prefix Delegation (PD) aktiviere, bekommt die UDM-SE auch ein /56 IPv6 Prefix bei der Einwahl (und nur dann). Die Clients in diesem Netzwerk bekommen korrekt eine IPv6 aus diesem Bereich und können damit ins Internet, soweit so gut.


    Ich brauche jetzt für bestimmte Geräte fixe IPv6 Adressen (DNS zum Beispiel). Das /56er Prefix ist aber variabel und ändert sich ständig, kann also nicht verwendet werden.

    Jetzt kann ich ULA IPv6 Adressen für ein Netzwerk in der UDM-SE konfigurieren (IPv6 Interface Type auf statisch anstatt auf Prefix Delegation). Das klappt soweit auch, ich bekomme für Clients in diesem Netzwerk jetzt ULA IPs aus dem angegebenen Bereich. Die Geräte können sich auch untereinander über IPv6 unterhalten. Ansich auch gut.


    Jetzt kommt das Problem: Aus dem ULA-Netzwerk komme ich per IPv6 nicht ins Internet. Scheinbar macht die UDM-SE kein NAT für IPv6?!
    Ich kann aber auch nicht ULA-Adressen zusätzlich zu den PD-Adressen per DHCP aushändigen lassen, das würde das Problem mit den fixen IPv6-Adressen ja auch lösen. Die Oberfläche lässt mich aber nur entweder ULA oder PD konfigurieren.


    Gibt es eine Möglichkeit entweder IPv6 NAT zu aktivieren oder sowohl ULA, als auch PD IPv6 Adressen in den konfigurierten Netzen zu verteilen?

    Unifi kann keine ULA Adressen. Nutz die fe80: Adressen für deine Geräte, die sind fest. NAT gibt es grundsätzlich nicht bei IPv6.

    Na vielleicht war das irgendwan früher mal so, aber ULA klappt mittlerweile wunderbar. Nur eben das Routing ins Internet klappt nich weil NAT fehlt (gibt es natürlich auch bei IPv6, ist nur etwas anders als bei IPv4).
    Die Link Local Adressen würde ich ungern benutzen. Das ist unsauber, da die Gültigkeit eigentlich nicht über ein Netzwerksegment hinaus gegeben ist. Ich brauche aber die Sichtbarkeit der Devices mit fixer IP (wie einen DNS Server) eben aus mehreren Netzwerken die in der UDM-SE definiert sind. Das mag zwar in den meisten Fällen funktionieren, aber genau dafür gibt es ja gerade ULA.

    Das wäre mir neu das Unifi ULA kann, ging bis vor ein paar Tagen noch nicht. NAT gibt es bei IPv6 nicht, nur bei IPv4. Das was du meinst sind Firewallregeln, aber kein NAT. Das brauch man auch bei IPv6 nicht mehr. Da es keine ULA Adressen bei Unifi gibt, wirst du mit IPv4 oder den Link Local arbeiten müssen.

    Unifi kann ULA, wenn man es ihr beibringt. Habe es aber selber bis jetzt nicht umgesetzt

    ipv6 ULA Support via boot script · Issue #104 · unifi-utilities/unifios-utilities
    Hello, would it anyhow possible to add ipv6 ULA support to the UDM ? The Problem is I like to provide a pihole container trough podman in a mgmt Network that…
    github.com

    Zitat von kaetho

    Unifi kann ULA, wenn man es ihr beibringt. Habe es aber selber bis jetzt nicht umgesetzt

    https://github.com/unifi-utili…fios-utilities/issues/104

    Ja so schon, aber nicht von Werk aus.

    Natürlich gib es NAT auch für IPv6. Spezielle Zwecke die 1%% (promille)

    der Nutzer tangieren.

    Der rest nimmt die public ip auf seinen Endpunkt und ist nat los glücklich.


    Das Unifi System kann es nicht! (Das os natürlich schon, Wege gibt es also)

    ULA will man auch eigentlich garnicht erst einführen. Gibt es irgendjemand

    Der sagt das ist ne gute Technik ? Irgendwer außerhalb akademischer Betrachtung ?

    Ich habe gerade ne Bestätigung vom Ubiquiti Support erhalten zu diesem Problem. Sie schreiben dazu braucht mal NAT66 und das kann die aktuelle Network App noch nicht. Sie arbeiten aber wohl dran...


    Zitat

    This wont work without NAT66. Currently, we don't NAT IPv6 traffic, so using ULA will only allow L2 and inter-vlan.

    This is something we have reported with our team. It should be added in future releases.

    Korrekt wäre eigentlich, das IPv6 Präfixe fix sind, dann braucht man keine Verbiegungen!


    Das Problem ist ja sicherheitstechnisch noch viel größer:

    UBNT Firewall erlaubt ohne regel alles --> Damit funktioniert das interVLAN Routing in allen IPv6 Netzen (auch wenn man das in IPv4 unterbunden hat)

    Man kann auch keine Regeln erstellen, da das Präfix ja nicht dauerhaft ist. Nach einem Präfix wechsel wäre die regel obsolet. Der DHCPv6 Server der UDM Pro macht die Records der leases auch über alle Netzwerke bekannt.


    Wenn, dann solltest du IPv6 nur für ein Netzwerk aktivieren (damit da nichts ungewollt ausbricht).

    Den DNS kannst du über IPv4 laufen lassen (ein IPv4 DNS gibt auch IPv6 Records AAAA aus und umgekehrt)

    oder du richtest ein DNS (z.B. PI-Hole) für jedes Netzwerk einzeln ein, dann kannst du die link local Adressen nutzen --> Dann kannst du aber auch gleich den DHCP des PI-Hole nutzen, dann bleiben die Records im jeweiligen Netzwerk.


    Damit IPv6 benutzbar ist, müsste die Firewall Platzhalter für die Präfixe haben, die bei einem wechsel aktualisiert werden. die ULA's wären dann für den lokalen LAN verkehr, (wobei man da wieder IPv4 nehmen könnte).


    Es ist interessant, das UBNT es nicht auf die Kette bekommt IPv6 sauber zu implementieren! Es scheint sich hier zwischen der FW 1.x und 3.x nichts getan zu haben?! Jede Fritzbox bekommt das besser hin! Ist für eine Firewall in dieser Preisklasse eigentlich ein nogo.

    Zitat von awmst4

    Es ist interessant, das UBNT es nicht auf die Kette bekommt IPv6 sauber zu implementieren! Es scheint sich hier zwischen der FW 1.x und 3.x nichts getan zu haben?! Jede Fritzbox bekommt das besser hin! Ist für eine Firewall in dieser Preisklasse eigentlich ein nogo.

    Das habe ich aktuell nach etwas längerer Suche auch festgestellt / gelernt.


    Resultat ist nun, besser IPv6 nicht zu nutzen mit einer UDM, wenn ich das richtig verstehe?

    Zitat von opensec

    Nun ja, man weiß es nicht genau. Aktuell schaut es schon so aus, dass es der Präfix dynamisch ist. Das wäre halt ein Totschlagargument gegen die UDM Se/Pro aktuell.

    Fragezeichen.... wenn du von deinem Provider ein Dynamisches Prefix bekommst wie soll das dann statisch werden auf irgenteinen einem Router ? Du get what you pay... sag deinem Provider du willst ne Feste ip und gut.


    Zitat von breit

    und ULA

    Und nein das ist und bleibt nur ein Notnagel.

    ULA und NAT bei IPv6 sind beides dinge Du nicht haben willst für Kommunikation nach „draußen“

    Klar „DU“ willst sie haben, weil es dinge für „DICH“ einfach macht um von extern wieder reinzukommen.

    uns weil ganz analog zu dem Verhalten von Privaten IP bei IPv4 ist.

    ULA ist aber nicht dafür gedacht. Externe Kommunikation soll weiterhin über Global Adressen erfolgen.


    Was bleibt ist aber die Tatsache das UNFI auf dem Wan nur DCHPv6 als Client kann.

    keine Delegation über RA/PD annimmt und Einwahl via RFC6333(DS-Lite) eher was unbekanntes ist.

    Zitat von gierig

    Fragezeichen.... wenn du von deinem Provider ein Dynamisches Prefix bekommst wie soll das dann statisch werden auf irgenteinen einem Router ? Du get what you pay... sag deinem Provider du willst ne Feste ip und gut.

    Ja - das ist mir klar. Aber ich bin ja auch nicht unzufrieden mit dyn. Prefixes - ich muss über IPv6 von Außen nicht erreichbar sein da ich zu Hause nichts habe, was ich statisch ins Netz stellen muss/will.

    Zitat von gierig

    Und nein das ist und bleibt nur ein Notnagel.

    ULA und NAT bei IPv6 sind beides dinge Du nicht haben willst für Kommunikation nach „draußen“

    Klar „DU“ willst sie haben, weil es dinge für „DICH“ einfach macht um von extern wieder reinzukommen.

    uns weil ganz analog zu dem Verhalten von Privaten IP bei IPv4 ist.

    ULA ist aber nicht dafür gedacht. Externe Kommunikation soll weiterhin über Global Adressen erfolgen.

    Naja solange ULA und PD per DHCPv6 funktionieren, brauche ich ja auch kein NAT. Dannn bekommt jedes Gerät eben zwei IPv6 Adressen: einmal eine aus dem ULA-Bereich und einmal eine öffentlich erreichpare per PD. Dann habe ich intern feste IP-Adressen ohne wechselnde Prefixe für Server im lokalen Netz (DNS zum Beispiel) und kann trotzdem von jedem Gerät per IPv6 nach außen.

    Das Problem ist doch aber, dass aktuell nur entweder oder geht. Zumindest offiziell, man kann natürlich auf der UDM sich das mit den unifi-utilities von boostchicken so hinbasteln das auch beides geht, aber das finde ich ist nicht die Lösung.

    IPv6 ist nicht so SW / WS wies hier gemalt wird:


    Unifi muss das Handling verbessern und in der Firewall nicht mit den statischen Adressen sondern mit alias-Namen arbeiten.

    Es gibt auch mehr als "nur NAT": NPTv6 Translatet nur das Präfix und versteckt keine Netzwerke hinter einer IP.


    UBNT muss einfach mehr in IPv6 investieren und IPv6 gleichberechtigt sichtbar machen!

    Aktuell kann ich IPv6 nur AN / AUS schalten. in der Weboberfläche könnte ich nicht mal entscheiden, welches IPv6 Subnetz an welches Netzwerk delegiert wird. Das kann sich nach einem Reboot auch mal ändern...


    Technisch gehts nicht anders:

    UBNT muss entweder ULA so ausbauen, das es wie IPv4 konfigurierbar ist und die Firewall richtig ausbauen

    oder sie unterstützen NPTv6 und bohren die Firewall entsprechend auf.


    Man müsste sich halt mit den Nutzungsszenarien auseinander setzen und entsprechende Konzepte im Router umsetzen:

    Dualstack aber IP und Präfix Dynamisch

    DS-Lite

    IPs / Präfix

    Warum hängen noch so viele an Ihrem v6 Tunelbroker? Weil dieser statische Präfixe verteilt hat.

    Zitat von awmst4

    UBNT muss entweder ULA so ausbauen, das es wie IPv4 konfigurierbar ist und die Firewall richtig ausbauen

    oder sie unterstützen NPTv6 und bohren die Firewall entsprechend auf.

    Wie machst Du es denn aktuell? Eine pfSense oder OPNsense nutzen, oder wählst Du einen anderen Weg?

    Vorher = UDM = Akzeptiert das IPv6 nicht richtig funktioniert. Gehofft, das UBNT mit dem Update IPv6 Support verbessert.

    Jetzt = OPNsense = IPv6 funktioniert in allen erdenklichen Ausrichtungen. Wenn's für die OPNsense ein anständiges Unifi Plugin gäbe, wäre das die Killerkombi!


    Da ich eine Feste IP / Präfix habe, nutze ich IPv6 wie es ursprünglich gedacht war. In der Verbindung mit OPNsense läuft das auch absolut geschmeidig und problemlos.

    Würde ich auf einen normalen Tarif wechseln müssen, würde ich wohl NPTv6 in der OPNsense nutzen. Fühlt sich im Netzwerk wie ein festes Präfix an, da auch bei den Geräten IPv6 nicht immer "gut" implementiert (siehe Android) ist. Die bekommen das "renumbering" auch nicht immer optimal hin, was sich durch ein Festes Präfix oder NPTv6 erledigt!