IPv6 ULA Adressen, NAT6 und DNS Problem (RFC6724)

Ich bau mir gerade eine IPv6-Testumgebung, aber habe ein Problem.

Gegeben sei ein öffentliches /64 IPv6 Netz. Das hängt am WAN Port eines Linux-Routers.

An den LAN-Ports des Routers verwende ich ULA Adressen. Auf dem Router läufts dnsmasq zur Verteilung der (ULA) Prefixe im LAN und als DNS-Server.

Richtung WAN wird das IPv6 genatet. (Ja, ich weiß, soll man nicht tun, aber es ist eine Testumgebung. Also bewusst so gemacht und wegen der /64 auch alternativlos.) NAT läuft und öffentliche IPv6 IP-Adressen sind erreichbar.

Gleichzeitig gibt es noch eine öffentliche IPv4-Adresse am WAN-Port, sowie private IPv4 Netze an den LAN-Ports. Auch hier wird genatet. (Ganz klassisch)

Läuft alles soweit wunderbar und wie es soll im Dualstack.

Nun gibt es aber die RFC6724 gemäß der bei der DNS-Auflösung im Dualstack eine Auflösung von (externen) Adressen IPv4 vorgezogen wird wenn (nur) ULA Adressen verwendet werden. (Ursache nach langem Suchen gefunden)

D.h. an einem Client am LAN Port wird ein externer Host grundsätzlich in IPv4 aufgelöst (auch wenn der einen AAAA hätte)

Diese RFC war mir so nicht bekannt.

Die Frage ist nun, wie löse ich das geschickt? Am Router no way, da der Client das so macht. Die Clients kann ich auch nicht alle verbiegen.

Also meine Workaround wäre ich such mir heimlich :grin: einen anderen (öffentlichen) Prefix statt der ULA Adressen, z.B. irgendwas aus ed:: statt aus fd::.

Gibt es eine bessere Alternative dazu? Wenn nein, welcher Prefix wäre ideal dafür? (Käme ja nie nach draußen, aber es geht ums Prinzip)

Also die Lösung scheint wohl doch ein öffentlicher Prefix zu sein, laut OpenWRT Wiki.

https://wiki.openwrt.org/doc/howto/ipv6.nat6
Why should the ULA prefix be changed?

The default ULA prefix starting with represents an address that is not globally routed on the internet. Some (or most) clients will prefer the IPv4 route, if they don’t have a global IPv6 address assigned, so you need to change the prefix to indicate a global address. It doesn’t necessarily have to start with , but to avoid conflicts, you should use a prefix that is not being used yet. The letters are unassigned and therefore safe choices.

Using your ISP assigned prefix as ULA works, too. However, unless you have a static IPv6 prefix assigned by your ISP, this is not recommended, since it can cause address conflicts once the prefix changes.

Jemand noch andere Ideen?

Hallo,

könntest du nicht das WAN-Netz in dein privates Netz bridgen? Dann würdest du einfach direkt das öffentliche /64-Präfix verwenden.

Das machen wir zum Beispiel bei Hetzner-Blechen so. Der Hoster gibt uns ein /64, und das verteilen wir über eine Netzwerkbrücke an die VMs.

Grüße
Matthias

Danke, gute Idee. Aber das Labor-Netz soll sich im LAN dann weiter auftröseln, da klappt das nicht mehr.

Ich habs jetzt erstmal mit nicht vergebenen öffentlichen Prefixen gelöst. Aber trotzdem finde ich das bissl unschön.

Könntest du nicht ein öffentliches /56 beantragen? Die meisten Anbieter gewähren das nach ein paar Sätzen Begründung.

https://tunnelbroker.net/ z.B. gibt einfach ein /48 dazu. Kostenlos, ideal zum Selbststudium und für Laborsetups ideal.

1 Like

Was ich zu den Tunnelbrokern schon immer mal wissen wollte: Wenn ich einen solchen Tunnel einrichte, mein gesamter IPv6 Verkehr läuft doch dann über die oder? Wenn ja

  1. Verursacht nicht mein Traffic denen Kosten? Wie refinanzieren die das?
  2. Klappt dann die Geolocation bei deutschen Services sauber wenn ich dann durch einen Tunnel von irgendwo komme?

Mit dem Tunnel bekommst Du ein weiteres Netzwerkinterface. Was Du da dann durch schickst bestimmen Deine Routingregeln und Firewalleinstellungen.

Klar verursachen diese Tunnel Kosten. Es gibt auch dort ein kostenloses Zertifizierungsprogramm, da wird als Belohnung dann international ein T-Shirt verschickt - auch das kostet Geld.
Wie die Refinanzierung aussieht ist natürlich die Frage. Ich persönlich tippe, dass das Marketingkosten sind - gäbe es die Tunnel nicht, hätte ich sie nicht empfohlen, Du hättest sie Dir nicht angeschaut und vielleicht kannst Du das Ganze ja auch so in richtig gegen Geld gebrauchen.
Aber Du leitest Deine Daten drüber, die lassen sich natürlich eventuell auch versilbern. Oder es sind einfach nur Gutmenschen die so sehr unter v4 leiden, dass sie bereit sind Geld auszugeben, wenn die Weltbevölkerung auf v6 umsteigt - wer weiß.

Geolocation: Mit einem /48 kannst Du in allen europäischen Hauptstädten einen Internetanschluss anbieten. Wenn Du das den Anbietern der Geolocationdienste mitteilst, in welcher Stadt Du welches einsetzt, dann mag das klappen. Wenn nicht - dann nicht. Außer Dir weiss keiner wo Du das einsetzt.

Das ist Hurrican Electric, einer der größten Anbieter der Welt. Denke nicht, dass die was kostet. Die meisten kleineren Partner (und ja gegen die ist die DTAG 'nen Zwerg) werden froh sein, wenn sie mit denen peeren dürfen.

Dass Datenvolumen Geld kostet ist halt so’ne Erfingung der Endkundenanbieter, weil sie das Monopol auf die letzte Meile haben und Geld abschöpfen. Im richtigen Internet kostet Datenvolumen eigentlich fast nichts, bzw. wird nur abgerechnet, wenn es ein großes Ungleichgewicht im Datenfluss von einer Seite zur anderen gibt. Solange sich das halbwegs die Wage hält peeren Anbieter meist kostenlos.

2 Likes

3FFE::/16 war seinerzeit 6bone, der Bereich hat den Vorteil, daß er a) im aktuellen Vergabebereich (2000::/3) liegt und b) in vielen Filtern noch präsent ist (imho wird man den Bereich nie wieder (10+ Jahre) nutzen, was aber durch 4000::/3, 6000::/3, 8000::/3, … auch absehbar unnötig ist) — sprich: außerhalb solltest Du damit keinen großen Unfug anstellen können.

Wo Dein Traffic reinkommt, bestimmst Du letztlich über die IP, mit der Du rausgehst.

Hurricane Electric verkauft das MBit/sec IP-Upstream zu 15 US-Cent. Wenn Du über den Tunnel also durchgehend 1 MBit/sec machst, entgingen HE 15 US-Cent im Monat. Für letzteres ist das Rechnungsporto höher als der Rechnungsposten — und eher für solche Nutzungsszenarien sind die Tunnelbroker-Dienste IMHO auch konzipiert. (Schon wegen der MTU von 1280 will man IMHO sein Netz nicht auf Tunnel basieren lassen ;))

Da HE auch BGP-Tunnel anbietet (wenn Du eigenen v6-Adressraum und eine sog. ASN hast, verbindet HE über den Tunnel Deinen Adressbereich mit dem globalen Internet), geht’s entweder darum, möglichst viele andere Netze direkt zu erreichen (dann brauchen HE und ihre (zahlenden wie nichtzahlenden) Kunden keine, zumindest weniger, andere Upstreams) oder es läuft über die Marketingkostenstelle (die, s. o., eher gering belastet wird). Auch wird ein VDSL-Nutzer kaum jemals HE-Kunde, man gräbt sich also nicht die eigene Kundschaft ab …