[Fli4l_dev] Aw?==?utf-8?Q?: 6in4 mit HE-Tunnel - kan?==?utf-8?Q?n mir jemand mit dem Setup h?==?utf-8?Q?elfen?

K. Dreier usenetforum at gmx.net
Mi Aug 10 08:39:25 CEST 2016 

Hallo,

auch dir wie immer danke fürs Feedback!

Christoph Schulz schrieb am Di, 09 August 2016 21:31
> >  IPV6_NET_1_DEV='eth0' # interface this subnet is bound to -
> > WAN
> 
> Das verstehe ich nicht. Wie gestaltet sich dein WAN-Zugang? Wenn du
> DSL 
> nutzt, dann willst du sicherlich nicht auf deinem DSL-Interface eine
> 
> öffentliche IPv6-Adresse haben -- wozu auch, da sie dort keiner
> erreichen 
> kann? (Du hast auch normalerweise keine IPv4-Adresse auf einem DSL-
> Interface, es sei denn dein DSL-Modem bietet z.B. eine
> Web-Oberfläche 
> an.) Hierzu müsstest du unbedingt mehr über deine WAN-Anbindung
> (DSL/
> PPPoE, DHCP/Ethernet, ...) erzählen.

Ich habe einen Kabelanschluss. Mein Modem ist also "immer online" und
meine externe/WAN-IPv4 wechselt eigentlich nicht. Macht den externen
Zugang via SSH etwas einfacher, da man im Prinzip kein DynDNS braucht.
Aber das ist ja nicht das Thema. Das Modem ist, da ich den fli4l als
Firewall etc nutzen möchte, im Bridge-Modus. Ich könnte IPv6 bekommen,
aber eben nur ohne Bridge-Modus, und das ist natürlich inakzeptabel:
der fli4l bleibt meine Haustür ins Netz und nicht irgend ein
undurchsichtiges Kabelbetreiber-Modem ohne saubere
Firewall-Konfigurations-Möglichkeiten.

So, das bedeutet also, daß an eth0 mein LAN-Kabel ins Modem hängt.
Eth1 ist mein LAN (#1; zum testen belasse ich es erstmal bei 1 internen
LAN, hinzufügen kann ich dann später immer noch, zumal die Rechner,
die ich via SSH von aussen erreichen will/muss ohnehin im eth1-Netz
hängen). Damit ist also auch eth0 die NIC, welche via Circ2 den
HE-Tunnel aufbaut.

Zitat:
> >  IPV6_NET_1_ADVERTISE='yes'
> >  IPV6_NET_1_ADVERTISE_DNS='yes'
> 
> Du willst auf deinem WAN-Interface sicherlich keine Präfixe
> ankündigen. 
> Dort hocken ja auch keine Clients, die sich per RA konfigurieren 
> möchten...

Hhm, macht Sinn. Wenn ich allerdings wie unten von dir vorgeschlagen nur
noch 1 v6-Netz habe (was mein LAN ist), dann müsste das drin bleiben.

Zitat:
> >  IPV6_NET_2='2001:4dd0:ff31:1::1/64'
> 
> Woher stammt dieses Präfix? Das ist doch ein SixXS-Netz vom PoP in
> Köln.

Ups. Ich dachte das sei einfach eine Vorgabe, die man verwenden könne.
Ich sollte hier wohl eher das Prefix nehmen, welches mir von HE
zugewiesen wurde?

Zitat:
> Wieso hängt das nicht dynamisch von einem passenden sixxs-Circuit
> ab?

Wenn dann natürlich HE-Circuit bei mir, aber gute Frage. Wie könnte
ich das denn hier abbilden?

Zitat:
> >  IPV6_NET_2_DEV='eth1' # internes Netz #1
> >  IPV6_NET_2_ADVERTISE='yes'
> >  IPV6_NET_2_ADVERTISE_DNS='yes'
> 
> Wenn das "interne Netz" dein LAN ist, dann ist der Fehler
> offensichtlich: 
> Du verteilst ein falsches Präfix (nämlich das von SixXS) in deinem
> LAN.

Ok, das werde ich natürlich korrigieren - wenn ich weiss, was genau ich
beim Prefix (siehe oben) eintragen sollte. Das Prefix wird sich ja beim
Tunnel wohl kaum ändern, d.h. ich könnte das einfach fix eintragen,
oder? Also den Eintrag oben durch mein HE-Prefix ersetzen, richtig?

Zitat:
> Gesetzt den Fall, deine Internet-Anbindung läuft über DSL, wobei
> dein DSL-
> Modem an eth0 hängt, solltest du
> 
> 1) den kompletten IPV6_NET_2-Block löschen (und IPV6_NET_N='1'
> setzen),
> 2) IPV6_NET_1_DEV='eth1' setzen,
> 3) Firewall-Regeln entsprechend anpassen.

Ok. Ich verstehe dann aber einfach die Logik dieses Aufbaus nicht ganz.
Angenommen, ich hätte natives v6 vom Provider, dann würde ich
a) die v4-Einträge für eht0 und eth1 komplett rauswerfen und
b) IPV6_NET_1_DEV='eth0' setzen mit korrespondierendem v6-WAN-Circuit
und
c) IPV6_NET_2_DEV='eth1' setzen.
Also so wie ich es jetzt habe, ausser daß das bei mir nicht geht, weil
ich kein natives v6 habe, sondern via eh0 nur v4 nutze. Dennoch ist mir
nicht ganz klar, wie es dann sein kann, daß wenn ich jetzt aktuell
v6..._1_DEV='eth1' setze, die Clients überhaupt ins Internet kommen -
oder funktioniert das, weil das v6-Netz via Input-Regeln auf den fli4l
zugreifen kann und der dann via Tunnel das Routing übernimmt?

Zitat:
> >  IPv6-DNS-IP fehlt.
> 
> Das macht eigentlich überhaupt nichts, denn ein über IPv4
> erreichbarer 
> DNS-Server kann auch IPv6-Adressen auflösen (und umgekehrt). Eine
> DNS-
> Server-IPv6-Adresse ist nur für IPv6-only-Rechner wichtig, die kein
> NAT64 
> betreiben.

Ok.

Es ist schon erstaunlich, wie kompliziert das ganze ist, insbesondere
wenn man etwas "progressiver" sein will und wenigstens
v6-Funktionalität via einem Tunnel haben möchte. Das Grundprinzip von
v6 ist schon massiv anders als v4 und dann kommt noch die zusätzliche
(zugegebenermassen: vorübergehende) Komplexität vom Tunnel-Setup
hinzu. :-/ Aber ich kriege das schon mit eurer Hilfe hin! :)

Gruß
Klaus

Mehr Informationen über die Mailingliste Fli4l_dev