Richtige IPv6 für IPV64 bei FritzBox + OpenWRT

IPv64.net - Services
41

Hallo zusammen,

so, ich bin zurück an meiner Maschinerie und habe mir heute mal etwas Zeit genommen und mir das Thema IPv6-Delegation angeschaut. Mein Provider 1&1 gibt mir ein /56-IPv6-Prüfix. Prima.

image
image1714×716 56.4 KB

Somit habe ich jetzt die Optionen für DHCPv6 (mit IA_PD und IA_NA) aktiviert.

image
image2121×850 91.4 KB

Dann ging es weiter in OpenWRT (was ich heute erst einmal auf die nagelneue stabile release 25.12 upgedatet habe). Das Interface WAN habe ich auf DHCP-Client und das Interface WAN6 auf DHCPv6-Client gestellt. Somit kann die Fritz!Box dem NanoPi mit OpenWRT IP-Adressen im Netz der Fritz!Box geben. IPv6-Adresse anfordern habe ich auf versuchen gestellt und IPv6-Präfix anfordern auf Automatisch. Diese Einstellungen waren schon voreingestellt. Aktiviert habe ich Präfix verlängern :white_check_mark:.

image
image1461×1002 70.2 KB

In den Erweiterten Einstellungen waren folgende IPv6-Einstellungen schon richtig gesetzt:

image
image1466×1179 68 KB

Diese Erweiterten Einstellungen waren auch für die Schnittstelle BR-LAN schon gesetzt, sodass sie ein IPv6-Präfix weitergeben kann. Das Ergebnis sieht dann in OpenWRT in etwa so aus:

image
image904×346 28 KB

image
image631×336 26.8 KB

Die IPv6-Adresse, die mir ipconfig /all auf meinem Windows-PC, den ich an OpenWRT testweise betreibe, zeigt mir nun eine IPv6-Adresse mit dem Präfix von OpenWRT (und nicht mehr von der Fritz!Box) an.

image
image1698×305 9.47 KB

Damit würde ich nun behaupten, dass die IPv6-Delegation in ein “eigenes LAN” von OpenWRT funktioniert.

Um vom Netz der Fritz!Box per IPv6 in das Netz von OpenWRT zu kommen, musste ich nichts machen. Um die per IPv4 zu tun, habe ich in der Fritz!Box eine Statische IPv4-Route zu OpenWRT angelegt. (Hinweis: Eine Statische Route von OpenWRT nach Fritz!Box darf man nicht anlegen. Dann kommt man aus dem OpenWRT-Netz nicht mehr ins Internet.)

Da OpenWRT an ein Netzwerk (2x Docker MacVLAN) gehängt werden soll, von wo aus ich keinen Zugriff auf OpenWRT habe und in einem der beiden MacVLAN dann mein AdGuard Home angesiedelt sein wird, habe ich noch drei paar Firewall-Regeln in OpenWRT eingerichtet, sodass ich vom Netz der Fritz!Box weiterhin Zugriff habe:

image
image1467×471 57.2 KB

Damit müsste jetzt alles Vorbereitet sein, dass ich den NanoPi mit OpenWRT zwischen Fritz!Box und Docker MacVLAN des Mini-PC (LAN4) stecken und schauen kann, wie ich das eingerichtet bekomme. Oder fehlt noch etwas?

Danke und Grüße
Mic.

42

Ich hätte einen /57 angefordert. Kannst aber in der Fritte nachsehen, was sie bei Automatisch dem OpenWRT zugewiesen hat.

43

Hallo,

die Fritz!Box zeigt mir nicht an, was sie für eine Präfixlänge delegiert. Laut der Anzeige in OpenWRT (siehe mein Screenshot für Interface WAN6, unterste Zeile) bekommt ein en Präfix /62 delegiert. Ich kann statt automatisch auch andere Längen auswählen aber /57 kann ich nur als “Benutzerdefiniert Einstellen”. Wenn ich das mache, dauert es sehr lang, bis das Interface WAN6 nach einem Reboot aktiv ist und die Fritz!Box zeigt mir keine IPv6 für dieses Gerät an. Nach einer Weile sehe ich dann in OpenWRT /58.

image
image731×554 30.7 KB

Auch mit 60 dauert das Starten des Interface länger aber OpenWRT bekommt dann sein /60 auch.

Welche Vorteile hätte es, nicht das automatische /62 zu verwenden, außer dass ich mehr Subnetze bilden kann? Hat es evtl. Nachteile? Ist es normal, dass das Verbinden von WAN6 zur Fritz!Box länger dauert, wenn man nicht “automatisch” auswählt?

Ich habe jetzt mal 58 eingestellt.

image
image951×348 28.7 KB

Danke und Grüße
Mic.

44

Doch, das tut sie. Wie man auch in diesem Bild in einem anderen Beitrag hier im Forum sehen kann. Wie man sieht hat die Fritte dort einen /57er-Präfix an eine pfsense delegiert.

Wenn /57 bei Start ewig dauert und /58 schnell geht, dann bleib halt bei /58. Macht für deinen Verwendungszweck keinen relevanten Unterschied.

45

Nein, so habe ich das nicht ganz gemeint. Das Starten des WAN6-Interfaces dauert immer länger, wenn man nicht „automatisch“ eingestellt hat. Möglicherweise verhandeln da OpenWRT und FritzOS über ein delegiertes Präfix.

Wenn ich ein /57-Präfix in OpenWRT von der Fritz!Box anfordere, gibt sie mir dennoch nur ein /58-Präfix. Das scheint der „untere Anschlag“ zu sein.

Die Anzeige in der Fritz!Box habe ich nun gefunden. Die ist echt gut versteckt und auch nicht immer sichtbar.

image
image1302×460 18.5 KB

46

Hallo zusammen,

auch wenn diese Frage nicht ganz zum Start-Thema dieser Diskussion passt, möchte ich sie an dieser Stelle noch nachschieben. Welche Einstellungen für die Portfreigaben von der Fritz!Box an den NanoPi mit OpenWRT sollte ich wählen?

Ich habe wieder die KI gefragt und die sagte einfach sinngemäß: “Alles auf exposed host stellen. Die Firewall macht dann OpenWRT”. Das möchte ich aber nicht. Ich würde lieber gezielt nur die Ports freigeben, die ich dann im MacVLAN im Sub-Netz von OpenWRT wirklich brauche. Das ist zwar ein wenig der Gürtel zum Hosenträger aber mir sympathischer.

image
image1444×1278 62.7 KB

Vielen Dank für eure hilfreichen Hinweise auch dazu.

Grüße
Mic.

47

Nunja, wie ddas Bildschirmfoto zeigt, fordert ja irgendwas bei dir einen weiteren Präfix an, einen /62er. Dass du da noch einen weiteren Router im LAN der Fritte am Start hast, der ebenfalls einen Präfix verlangt, hast du bisher nicht verraten.

Genau das aber dürfte sehr wahrscheinlich der Grund sein, warum kein /57erPräfix an deinen OpenWRT von der Fritte vergeben werden kann. Du musst schon alle relevanten Infos liefern, damit man dich sinnvoll beraten kann.

Das würd’ ich auch bestenfalls ganz am Anfang zu Testzwecken so machen. Ansonsten gilt der Grundsatz: öffne an Port nur das was unbedingt erforderlich ist.

48

Nun ja… ja nun… wenn ich gewusst hätte, dass ich noch einen weiteren Router im Netz habe, dann hätte ich das sicherlich gesagt. Und ja, dass es da zwei Delegationen gibt, hatte mich auch gewundert. Nur leider habe ich eben keinen zweiten Router im Netz der Fritz!Box. Die komplette Anzeige der delegierten IPv6-Netze verschwindet, sobald ich OpenWRT abstecke. Also wäre meine Vermutung, dass beides irgendwie von OpenWRT kommt. Warum, wieso, weshalb… keine Ahnung. Hat einer eine Idee, woher das kommen könnte?

Ich denke, ich werde in der FritzBox für OpenWRT nur genau die Ports öffnen, die ich dann in OpenWRT auch für die Web-Dienste öffnen werden – so wie ich es im Bild im ersten Posting dieses Threads einmal dargestellt hatte.

image
image534×148 21.4 KB

49

Ja, kann nur am OpenWRT liegen. Entweder an dessen Konfiguration oder der kommt nicht damit klar, wenn man etwas benutzerdefiniertes auswählt. Du hast oben ein Bild geteilt, in dem man sieht, dass als Vorgabe nur /48, /52, /56, /60 und /64 auswählbar ist, bei IPv6-Präfix anfordern.

Wähle daher mal /60 aus, sieh dann in der Fritte nach, ob an den OpenWRT dann immer noch auch ein /62er-Präfix von der Fritte delegiert wird. Bei erfolgreicher Anforderung eines /60er-Präfix kann daraus der OpenWRT 2⁴ = 16 /64er-Präfixe für Subnetze (LAN, WLAN, IoT, DMZ, etc. ableiten. Also für ein Heimnetz mehr als genug.

Grundsätzlich kann man von der Fritte auch ein /57er anfordern. Mit einer pfsense oder OPNsense hinter Fritten lappt das auch und zwar ohne dass da noch weitere delegierte Präfixe auftauchen. Insofern kann die Ursache nur beim OpenWRT zu suchen sein.

50

Also ich habe jetzt nochmal rumprobiert und rumgeschaut. Evtl. ist es ein normales Verhalten des aktuellen FritzOS, dass es sich ein delegiertes Netz „reserviert“, denn das Präfix, was es hier delegiert kann ich in meinem Netzwerk nirgends finden. Es kann aber auch sein, dass es daran lag, dass ich in „br-lan“ (also der LAN-Schnittstelle, über die OpenWRT sein Netz aufspannt) auch IPv6-Delegation aktiv hatte. Ich habe es nun mal abgestellt. Leider sehe ich da nicht ad-hoc eine Veränderung, weil die Fritz!Box die Delegation (Lease) nicht sofort wieder freigibt. Das kann ein paar Stunden dauern. Ich konnte aber dennoch bisher nicht „kleiner“ als /58 delegieren.

Ist vielleicht jetzt eine „Unschönheit“ aber ich denke und hoffe, dass dieses zusätzliche Netz kein Problem ist.

Vielleicht klappt es z.B. morgen dann mit dem /57-Netz…?

51

Also jetzt vermute ich mal: Da sich bei einem vom ISP zugeteilten /56er Präfix nur maximal 2¹ = 2 /57er Subnetze bilden lassen dürfte die Fritte eines für sich selbst beanspruchen um daraus Subnetze für LAN und Gastnetz bilden zu können.

Wenn da nun dein OpenWRT ein /62er für „br-lan“ bekommt kann es eben nur noch maximal zu einen /58er reichen.

Ich würde es aber dennoch zur Sicherheit mal mit der Vorgabe /60 aus dem Pull-Down Menü probieren.
Reicht doch auch, wie ich vorgerechnet habe.

52

Also das /58 Netz scheint problemlos zu funktionieren. Aber du hast recht, mir würde ein einziges Sub-Netz vollkommen ausreichen. “br-lan” gibt sich bzw. ihren angeschlossenen Geräten standardmäßig ein /64-Netz. Diesen Standard habe ich wieder so eingestellt. Noch weitere Sub-Sub-Netze brauche ich ja nicht aber, wenn man an “br-lan” IPv6-Delegation deaktiviert, gibt OpenWRT nachgeschalteten Geräten gar keine globales IPv6 mehr.

Heute wollte ich den NanoPi endlich mal zwischen Fritz!Box und LAN.4 meines Mini-PC hängen und bin leider grandios am Netzwerksetup von Open Media Vault (auf dem Mini-PC) gescheitert. Sobald ich eines der beiden LAN-Kabel, die vom Mini-PC zur Fritz!Box gehen abziehe, ist Open Media Vault nicht mehr erreichbar - weder die WebGUI, noch per SSH noch per Ping. Also habe ich die LAN-Konfiguration x-mal neu eingerichtet aber das half alles nichts. :tired_face: Das ist aber wohl ein Thema, was ich eher im Open Media Vault Forum diskutieren muss.

53

Hast du dir mal Learn about OpenWrt - IPv6 configuration durchgelesen? Welche Optionen hast du bei br_LAN zum bezug einer IPv6-Adresse, bzw eines Präfixes? Bei den sensen ist die richtige Option (IPv6 Configuration Type) Track Interface und das Interface welches getrackt werden muss (Track IPv6 Interface) ist WAN.

Im Moment sieht das aus der Ferne für mich so aus, als fragt dein OpenWRT zweimal die Fritte nach einem IPv6-Präfix. EInmal den /58 fürs WAN und dann einen weiteren /62 oder jetzt /64 fürs LAN (also br_LAN).

Vergleiche ich das nun mit einer OPNsense oder pfsense, dann sieht das für mich irgendwie falsch aus. Denn da holen sich die sensen

  1. genau einen Präfix (z.B. /56 oder /60) für das WAN und dann
  2. bilden die LAN-Interfaces aus diesem einen /56 oder /60 Präfix eigene /64-Präfixe für LAN, OPT1, OPT2, OPT3, usw.

Die Fritte delegiert also nur einmal etwas an eine sense. Bei dir aber wird offenbar zweimal etwas delegiert. Jetzt ist die Frage ob das bei OpenWRT so sein muss oder ob da etwas nicht richtig konfiguriert ist?

1 „Gefällt mir“
54

Das wird mit OMV wenig zu tun haben, eher mit der Konfiguration des Proxmox…
Wie sieht denn die Konfiguration der vmbr0 (die Standard ist) aus?

55

Leider nein. Nix Proxmox. Das ist alles echte Hardware. :wink:

56

Proxmox ist auch echte HW…
Also hast du auf dem Mini-PC ein Linux und darauf Docker? Ich wusste gar nicht, dass man OMV überhaupt containerisiert betreiben kann…
Dann wird irgendwas mit der Netzwerkzuordnung nicht passen

57

Zu diesem Bild kann ich dir eine Anmerkung geben (oder ich verstehe es falsch).
Ein physisches Interface an die Fritzbox als Management-Netz und das zweite hinter den NanoPI als DMZ-Netz

58

Hallo @m-electronics,

damit wir hier nicht alles kreuz und quer vermischen, habe ich zu meinem OMV 2 Kabel Problem mal einen neuen Diskussions-Therad erstellt. Da habe ich auch mein Setup etwas genauer beschrieben.

Link: Open Media Vault 7 (mit 2 LAN-Kabel) nicht erreichbar, wenn eines fehlt

Vielleicht könne wir dieses Thema lieber da weiter diskutieren und hier bleiben wir beim Thema der Konfiguration von OpenWRT an der Fritz!Box.

Danke und Grüße
Mic.

59

Hallo @The_eagle,

kommen wir mal wieder zurück zu OpenWRT und der “doppelten Delegation”. Die OpenWRT-Wiki kenne ich. Sie hat einen Nachteil: Sie beschreibt oft nicht, wie und wo man die entsprechenden Optionen in der WebGUI LuCI findet.

Ich zeige dir mal hier die Einstellungen zum Netzwerk, die man darin findet:
Übersicht der Schnittstellen

image
image1209×1217 91 KB

WAN-Schnittstelle (IPv4)

image
image1787×1098 81 KB

WAN6-Schnittstelle (IPv6)

image
image1792×1562 161 KB

image
image1793×1394 228 KB

image
image1778×1037 103 KB

LAN-Schnittstelle

image
image1775×1715 141 KB

image
image1794×1187 194 KB

image
image1780×1029 102 KB

image
image1780×1239 128 KB

image
image1785×915 69.4 KB

image
image1790×1728 355 KB

image
image1788×641 47.4 KB

image
image1769×1562 308 KB

image
image1767×980 75.8 KB

Globale Netzwerkeinstellungen

image
image2386×1536 215 KB

Das müssten erst einmal die relevantesten Einstellungen in LuCI sein.

Für mich fühlt es sich aber auch nicht so richtig richtig an, dass die Fritz!Box zwei Präfixe an OpenWRT zu delegieren scheint.

Danke und Grüße
Mic.

60

Unterscheidet sich alles sehr von dem was ich von pf- und OPNsensen kenne.

Allerdings sehe ich keine offensichtlichen Fehler in deiner Konfiguration, mit einer Ausnahme, aber das dürfte nichts mit der Vergabe doppelte Präfixe zu tun haben:

  • du solltest keine ULA’s verwenden, wenn du GUA’s bekommst. Als Best Practice gilt die Empfehlung mit Unique Local Addresses (ULA’s) gar nicht erst zu arbeiten.
    Siehe dazu u.a. IPv6-Address-Scopes. Fritten vergeben als Defaulteinstellung nur dann ULA’s, wenn mal keine GUA’s bezogen werden können.