IPv6 mal durchleuchtet

29/11/2009 - 14:57 von Rudolf Meier | Report spam
Hallo

Systeme: Windows Server 2008 R2 und Windows 7

Ich versuche seit einigen Tagen IPv6 zum laufen zu bekommen in unseren
Firmennetzwerk. Das ganze macht mich aber noch wahnsinnig. Nichts klappt wie
ich das erwarte...

Zuerst einmal stellt sich ja die Frage nach der Verteilung von IP
Adressen... wie soll man das tun? (solche die man routen kann, also kommen
link-lokale nicht in Frage und somit die standardmàssige Automatik auch
nicht)...

Es kann durch den Router geschehen, oder durch DHCPv6 ... *hmm* ... gut...
mit DHCPv6 kann ich dann noch den DNS angeben (wàre ja durchaus praktisch,
woher hàtte ich denn den sonst?) ... allerdings gibt's nicht sowas wie ein
Standard-Gateway... gut... also Router Advertise? ... dann fehlt mir der DNS
Server beim Client... also ein Mix aus beidem? DHCPv6 und dann noch
zusàtzlich Router Advertise? ... tja, so ist's eingestellt... hoffen wir
mal, dass dies richtig ist... denn ich bin hier echt voll am raten, was wohl
klappen könnte... beide Varianten scheinen nicht vollstàndig...

Jetzt haben wir also die Adressen zugewiesen (was erstaunlich hàufig
fehlschlàgt, ohne Fehlermeldung... dann bekommt eine Schnittstelle einfach
keine IP oder es wird kein DNS-Eintrag gemacht... bei v4 klappt's praktisch
immer) ... aber jetzt kommt das noch viel grössere Problem... ich hatte
zuerst fd00:: Adressen zugewiesen... damit làuft alles recht gut... also die
Clients bekommen eine IP, tragen sie in den DNS ein und können untereinander
kommunizieren...
Dann kam allerdings das Routing/NAT Problem... ich will ja mit IPv6 auch ins
Internet (das schonmal vorneweg -> ja, es làuft ein RRAS mit öffentlicher
IPv6 Adresse bei uns) ... also... NAT gibt es nicht bei IPv6 (oder sagen wir
mal so, sie streiten noch... in Windows gibt's das aber nicht) ... gut, da
die Firewall angeblich stateful ist, wàre das ja aber kein Problem, weil
dann der Router die gleiche Sicherheit wie NAT bietet, einfach ohne die
Adressen umzusetzen...
Daher beschloss ich, nicht die fd00:: Adressen zu verwenden, sondern die
öffenltichen mit 2001:abcd:1234:20::/64 er Pràfix... (ich hab natürlich ein
anderes Netz, das hier ist nur ein Beispiel)...
Gut... alles umkonfigurieren, dem Server eine andere fixe IP zuweisen und
dem DHCP beibringen, dass er keine fd00:: sondern eben 2001:: ... ausgeben
soll...

Ich hàtte erwartet, dass alles gleich weiterlàuft... bloss wegen anderen
Adressràumen muss das ja nichts àndern... tja, denkste... die Clients
erhalten zwar die IPs und tragen die sogar in den DNS ein... aber, sie
registrieren nicht automatisch die 2001:abcd:1234:20::/64 er Route für die
Schnittstelle... bei den fd00:: Adressen haben sie's getan... alles was
jetzt in der Routing-Table ist ist 2001:abcd:1234:20: <eigener Teil> / 128
... -> also, keine Kommunikation im Netzwerk mehr möglich... woher kommt
das? wie schalte ich's aus?

Und auf dem Server haben wir àhnliche Probleme... das Teil will jetzt auch
nicht mehr auf Clients pingen... bzw. es kommt nie was zurück ... also...
Fragen über Fragen und nichts als Probleme...

zusammengefasst:

1) Routing-Problem, wie lösen?
2) NAT oder nicht NAT? -> wohl eher keines... also, habe ich's richtig
eingerichtet? ist die Firewall stateful?
3) woher weiss eigentlich ein Aussenstehender, auf welche Router-Adresse er
was routen muss, damit es meinen Adressbereich erreicht?

Rudolf
 

Lesen sie die antworten

#1 Helmut Schneider
30/11/2009 - 00:19 | Warnen spam
Rudolf Meier wrote:

[anstregenden und verwirrenden Roman, vielleicht solltest Du Dich mal
sortieren]

zusammengefasst:

1) Routing-Problem, wie lösen?



Welches Routing-Problem?

2) NAT oder nicht NAT? -> wohl eher keines... also, habe ich's
richtig eingerichtet?



Kein NAT. Man kann sich streiten, aber /64er Netze werden eigentlich
genau deshalb vergeben, um die Nachteile und Altlasten von NAT endlich
zu entsorgen.

ist die Firewall stateful?



Ja.

3) woher weiss eigentlich ein Aussenstehender, auf welche
Router-Adresse er was routen muss, damit es meinen
Adressbereich erreicht?



Durch einen Routing Table bzw. im grossen weiten Netz durch BGP.

Gruß, Helmut

No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn

Ähnliche fragen