IPv6 spielt verrückt

Ich versuche mal mein Problem zu beschreiben.

GF-Leitung nur mit IPv6 als WAN1
LTE-Modem per Bridge zu WAN2 als Fallback.

O2 hat neben CGNAT auch IPv6. Hier die Einstellung bei O2 (WAN2) und dem Netz "TEST"

ubiquiti-networks-forum.de/attachment/24294/ubiquiti-networks-forum.de/attachment/24295/

Also habe ich mal SLAA eingeschaltet, Singlenetwork mit Ziel Test-Netz und die UDM SE bekommt eine IPv6.
Wobei erstmal ja die Schnittstelle keine sichtbare IP-Adresse bekommt, aber das Modem zeigt mir eine an.

Also ein Test-Netz 192.168.111.0/24 erstellt und dort auch IPv6 in Automatik-Modus aktiviert und die IPv6-Gateway-Adresse wird im Netzwerkübersicht angezeigt.

ubiquiti-networks-forum.de/attachment/24293/

Bin aber gestern Abend noch nicht weiter zum Testen gekommen.
Heute Nachmittag Laptop(WLAN - 192.168.123.0/24) gestartet und Mails gelesen etc. Das Surfen war irgendwie zäh und ich kam nicht auf zwei Webseiten (https://www.glasfaserforum.de, https://www.glasfaseranbieter.de) und nicht auf die UDM Konfigurationsseite. Das Forum hier ging aber gut. Alles weitere Eingebung/Erfahrung??

Geschaut mit ipconfig. Oh Wunder, das Laptop hat eine "echte" IPv6-Adresse.

Nächster Schritt tracert an die Webseite die nicht geht und an die vom Forum. Und tatsächlich ist der tracert zu https://ubiquiti-networks-forum.de komplett IPv6.

Und zu der anderen Webseite gibt es noch die Namensauflösung und dann Timeout.

In Netzwerkkonfig IPv6 ausgeschaltet und neu verbunden.
Aufruf von https://www.glasfaserforum.de und der UDM - Konfigseite geht.

++ Erste Frage, warum wird nicht IPv4 genutzt, wenn IPv6 mit Timeout aussteigt?

++ Zweite Frage, warum bekommt mein Laptop eine IPv6-Adresse, wenn ich mich per WLAN mit dem Arbeitsnetz 192.168.123.0/24 verbinde, in dem IPv6 auf NONE steht.

++ Und warum funktionieert IPv6 überhaupt, wenn WAN2 nur als Fallback eingerichte ist?

Und die Irritationen gehen weiter.

Ich habe mir nach einmal das ZTE-Modem angeschaut. Das irritierende war schon mal, dass das Gerät auf dem 2. LAN-Port(Mgt) die IP-Adresse 192.168.123.100 bekommen hat. Die ist eigentlich fest für das gerade ausgeschaltete NAS zugeordnet. Dieser LAN-Port hat eigentlich die 192.168.0.2 fest im Modem und ist auch darüber erreichbar.

Was mich dann aber besonders irritiert hat, ist, dass ich seit gestern über das 5G-Modem über 13 GB verbraucht habe.

Dieser Verbrauch wird mir nicht angezeigt in der UDM SE. Der Haupt-Übeltäter war dann auch nach einiger Überlegung gefunden.

Der Smart-TV war es. Meine Frau hat gestern Abend und heute 4 Serien-Folgen gestreamt. Wenn ich mir in der Statistikseite den Fernseher anzeigen lassen, ist da so gut wie kein Traffic zu sehen.

Der Fernseher selber hat, neben seiner IP aus dem Netz 192.168.123.0/24, aber sich eine IPv6-Adresse bezogen, die zum Präfix des 5G-Modem passt.

Bei allen Netzen außer dem 192.168.111.0/24 ist IPv6 deaktiviert.

UniFi-OS 3.2.12

Netzwerk 8.1.104

Was hier auch noch fehlt, ist in der Firewall der Bereich für IPv6, den sollte es ja jetzt geben. Auch sehe ich nicht die IPv6 Adressen in der Client-Liste, weder on- noch offline.

Modem läuft aktuell nur über O2/AldiTalk mit LTE, erst mein nächstes Paket kann 5G, habe hier aber 50/30. also gut schnell.

Modem hängt mit LAN1/Bridge an Port 8/WAN2
LAN2 (fix 192.168.0.2) hängt an einem nachgeordneten Switch, nicht an der UDM. Das Ganze mit den wilden IPv6-Adressen passiert, auch wenn LAN2 nicht verbunden ist zum Switch.

Ich sehe ja die IPv6-Adressen an allen Geräten im Netz bei den IPv6 aktiv geschaltet ist.
Daher auch die 10 Geräte. Das sind dann FireStick, Smart-TV´s etc.
Aber eigentlich muss dies doch die UDM SE regeln, ich schalte IPv6 auf WAN2 ein (SLAA) und sage Single-Netz und muss dann ein Netz auswählen. In dem Fall das TEST-Netz. In dem Netz bekomme ich ja auch eine IPv6-Gateway-Adresse in der neuen Übersicht angezeigt.
Aber alle Geräte im Arbeitsnetz, die es können, holen sich eine IPv6.

Zitat von swag

Die ip6 kommt sich vom Provider oder schickt die UDM die hoch ? (Mal so einen Gedanken in den Raum geworfen)

Jepp, ich sehe das sie zu Telefonica gehört.
https://whois.in-berlin.de/ind…18d1%3A1aff%3Afea5%3A59c3

Zitat von swag

Hast Du Dein Testnetz per traffic rule outgoing mit dem Modem verbunden? Ich schätze dann wird der Traffic nicht angezeigt.

Nein, da habe ich nichts eingestellt.

Ich habe in WAN2 SLAAC und einzelnes Netzwerk "TEST" ausgewählt.

Bei Präfix-Delegation passiert gar nichts.
Wenn ich das Netz Test auswähle, bekommt das Laptop per WLAN auch eine IPv6.

Dann sehe ich es auch hier bei TEST, aber nichts bei WAN 2

Wenn ich dann auf dem PC IPv6 einschalte, bekommt dieser auch eine Adresse, aber ich kann dann nichts mehr machen, selbst die UDM SE erreiche ich nicht mehr.

Wohingegen das Laptop weiterhin sauber online ist und ich die UDM über das Gateway des Arbeitsnetzes erreiche, obwohl das Laptop gar keine IP dort hat.

Das ganze sagt mir, dass da Unifi noch nicht fertig ist mit IPv6

PC und Laptop nutzen Win11

Es gibt bei IPv6 einige im Protokoll steckende Eigenschaften, die man sonst nur mit Zusatzsoftware lösen kann. Z.B. Mobile IP oder integriert Verschlüsselung. Aber auch Absicherung um Man-in-the-Mittle zu unterbinden.

Hier findest du unter alles gut zusammen gefasst.

https://de.m.wikipedia.org/wik…esondere%20dem%20Internet.

Zitat von swag

Welche Unifi bzw welche Softwareversion hast Du? Bei mir gibt es die IPv6 Information in der Übersicht gar nicht.

UniFi-OS 3.2.12

Netzwerk 8.1.104

Du schaust aber scheinbar auch per Handy, das nutze ich eigentlich nie.

Scheinbar hast Du, auch nicht den Menü-Punkt Single-Netz bei IPv6/SLAAC.

Zitat von swag

Dein VLAN Gateway scheint irgendwie eine beliebige IPv6 zu bekommen. Was aber ja eigentlich auch egal ist.

mein Client bekommt eine IP aus dem Präfix aber als router ip dann die local IP fe80::fce9:60ff:fe1c:2cff vom gateway

Nein es bekommt nicht irgendeine IP, sondern wählt eine aus den /64 Präfix des Provider. Parallel hat sie auch noch eine aus dem privaten Adressbereich fe80:
Dadurch teilt sie den Geräten im Netz TEST diese mit. Mittels Stateless Address Autoconfiguration (SLAAC, zustandslose Adressenautokonfiguration) kann ein Host vollautomatisch eine funktionsfähige Internetverbindung aufbauen. Dazu kommuniziert er mit den für sein Netzwerksegment zuständigen Routern, um die notwendige Konfiguration zu ermitteln.

Zitat von swag

Wenn es nur eine IPv6 route über das Standby gibt muss der Trafic da evt einfach in die Richtung geschickt werden. Da es aber dann nicht über den normalen Verteilungsmechanismus geht könnte es dann auch einfach in der Übersicht fehlen. (Hm ob unifi evt IPv6 Traffic generelol nicht richtig summiert?)

Genau so ist es. Es wurde in den letzten Tagen auch schon von anderen bei https://community.ui.com.

Eine der Funktionen bei IPv6 ist unter anderen, dass ja sich eine Netzwerkkarte mehrere IPv6-Adressen bekommt. Dies kann durch einzelne Anwendungen initialisiert werden. Google und Amazon sind sehr starke Vorreiter für IPv6. Daher vermute ich, dass die Amazon Prime-App im Fernseher sich eine IPv6-Adresse geholt hat. Ich hatte mich bei TV nie damit beschäftigt. Und weil das bevorzugt wurde, sind in 24 Std. eben mal 13 GB geflossen über das Mobilfunk-Modem.

Zitat von swag

Denke eine Frage ist ob die Unifi die IPv6 falsch im Netz Verteilt, der Router diese direkt verteilt oder ob sie Z.B. druch ein device was bridged von einem Vlans ins andere kommen. Und dann dort der Traffic per ipv6 einfach ans gateway geschickt wird.

Ja irgendetwas passt da noch nicht, leider sind die Logging-Möglichkeiten in dem Bereich nicht gut genug, dass ich es verstehe.

Es wäre so schön, wenn es Port-Mirror wieder gäbe, hatten sie ja schon mal in der UDM SE. Und dann Wireshark dahinter, das verstehe ich, jedenfalls ein wenig.

Ich habe jedenfalls IPv6 an WAN2/Mobilfunk deaktiviert. Und GF hat bei mir nur IPv4. Aber das nächste Update kommt bestimmt.

Jedenfalls ist das mit dem fehlenden/nicht funktionierende Routing und Firewall für IPv6 noch ein K.O.-Kriterium.