IPv6-Heimeinrichtung | OpenWrt 18.06.1 - wie geht das?

920
Vlastimil

Ich habe Probleme mit dem IPv6-Home-Setup. Um ehrlich zu sein, verstehe ich nicht viel Vernetzung.

Mein ISP hat mir letztes Jahr mitgeteilt, dass er IPv6-fähig ist.

Ich habe es seitdem nicht in meinem Router eingerichtet. Ich habe es ihnen gesagt, aber es interessiert sie nicht viel, da fast alles Web Dual-Stack / IPv4-fähig ist.

Sie kamen also nur einmal, um zu prüfen, ob das Problem auf ihrer Seite liegt: Sie behaupten, dass dies nicht der Fall ist, und dass entweder meine Betriebssysteme (Windows 10 Pro, Linux Mint 19.0 Cinnamon, Android 7.0) und ihre Einstellungen die Probleme sind oder der Router ist schlecht eingerichtet.

Das Problem

Da ich sicher bin, dass IPv6 in allen genannten Systemen aktiviert ist, stelle ich fest, dass mein Router möglicherweise alt ist. Bitte haben Sie Verständnis dafür, dass das Modell nicht mehr unterstützt wird. Das Modell lautet: TP-Link Archer C5 v1.2 mit Firmware 2015-04-28 .

Irgendwie manchmal, sogar heute früh, konnte ich ein Setup von DHCPv6 wie folgt erhalten:

IP: 2a02:768:7c00:14a:32b5:c2ff:feb9:c8f3/64 Gateway: fe80::225:90ff:fef5:7c13 DNS1: 2a02:768:0:1010::3 DNS2: 2a02:768:0:1010::2

Die Frage (Original)

Ist eine solche Einstellung wie oben sogar technisch korrekt, ich meine, ich sehe das Gateway als wahrscheinlich nur lokale Adresse. Ist dies das Problem, aufgrund dessen ich keine reinen IPv6-Sites durchsuchen kann?

UPDATE - OpenWrt

Ich bin völlig neu bei OpenWrt. Bitte führen Sie mich. Vielen Dank.

Es ist mir gelungen, OpenWrt 18.06.1 in meinen Router hochzuladen, und sowohl Wifi 5G als auch 2.4G funktionieren mit einer öffentlichen statischen IPv4-Adresse.

Grundinformation

  • Modell: TP-Link Archer C5 v1
  • Architektur: Qualcomm Atheros QCA9558 ver 1 rev 0
  • Firmware-Version: OpenWrt 18.06.1 r7258-5eb055306f / LuCI openwrt-18.06-Zweig (git-18.228.31946-f64b152)
  • Kernel-Version: 4.9.120

Ich bin in der Lage, SSH als Router zu verwenden root. Hier sind die grundlegendsten Informationen.

# cat /etc/config/network  config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0'  config globals 'globals' option ula_prefix 'fd62:320d:015a::/48'  config interface 'lan' option type 'bridge' option ifname 'eth1.1' option proto 'static' option ipaddr '192.168.0.1' option netmask '255.255.255.0' option ip6addr '2a02:768:7c00:14a:32b5:c2ff:feb9:c8f3/64' option ip6gw 'fe80::225:90ff:fef5:7c13'  config interface 'wan' option ifname 'eth0.2' option proto 'static' option ipaddr '10.7.113.62' option netmask '255.255.255.252' option gateway '10.7.113.61' option dns '8.8.8.8 10.255.255.10'  config interface 'wan6' option ifname 'eth0.2' option proto 'static'  config switch option name 'switch0' option reset '1' option enable_vlan '1'  config switch_vlan option device 'switch0' option vlan '1' option ports '2 3 4 5 0t'  config switch_vlan option device 'switch0' option vlan '2' option ports '1 6t' 
# cat /etc/config/dhcp  config dnsmasq option domainneeded '1' option localise_queries '1' option rebind_protection '1' option rebind_localhost '1' option local '/lan/' option domain 'lan' option expandhosts '1' option authoritative '1' option readethers '1' option leasefile '/tmp/dhcp.leases' option resolvfile '/tmp/resolv.conf.auto' option nonwildcard '1' option localservice '1'  config dhcp 'lan' option interface 'lan' option start '100' option limit '150' option dhcpv6 'server' option ra 'server' option force '1' option ra_management '1' option leasetime '15m' option ra_default '1'  config dhcp 'wan' option interface 'wan' option ignore '1' option ra 'server' option dhcpv6 'server' option ra_management '1' list dns '2a02:768:0:1010:0:0:0:3' list dns '2a02:768:0:1010:0:0:0:2'  config odhcpd 'odhcpd' option maindhcp '0' option leasefile '/tmp/hosts/odhcpd' option leasetrigger '/usr/sbin/odhcpd-update' option loglevel '4'

Um den Kommentar zu beantworten:

können Sie ipv6.google.com anpingen? Die IP-Adressen sehen logisch aus. Es ist auch erwähnenswert, was Ihre ISP-Einstellungen sind - ich musste meine in den Foren des Tages finden und die Einstellungen variierten je nachdem, ob Sie Kabel oder Glasfaser verwenden. Einige lokale Kenntnisse können hier hilfreich sein.

  • Kann nicht ping6. 100% Paketverlust.

  • ISP-Einstellungen - siehe unten.

  • Ich bin auf normalem Kabel = Ethernet = ca. 20/10 Mbit / s.

  • Frag mich was.

Aktueller Status von GUI:

Current statuss from GUI

Ich habe versucht, DHCPv6 ohne Erfolg zu verwenden. Deshalb habe ich diese Frage gestellt.

ISP

DHCPv6

Ich wurde vom ISP informiert, sie weisen automatisch Präfixe über DHCPv6 zu, und es ist an dieser Stelle keine statische Konfiguration möglich.

Also entfernte ich alle statischen Einstellungen und schaltete DHCPv6 mit einer erzwungenen Anforderung nach einem 64-Präfix ein.

Bevor ich auf die Aktivierung von DHCPv6 in WAN6 klicke, sah es folgendermaßen aus:

network.wan6.proto=dhcpv6 network.wan6.reqaddress=force network.wan6.reqprefix=64

Daran hat sich nichts geändert, außerdem ist der IPv6-Uplink als Nicht konfiguriert ausgegraut.

Angesichts der Tatsache, dass sie ein enormes Geld haben wollen, ohne zu garantieren, dass ihr Techniker das Problem an meiner Stelle lösen würde, stelle ich hiermit eine saftige Belohnung auf diese Frage.

Ich werde versuchen, diese Frage so zu bearbeiten, dass sie immer klarer wird, wenn Sie mir eine neue Frage stellen.

Ich stöbere drei Tage lang jeden Tag in der OpenWrt-Oberfläche, aber vielleicht habe ich vielleicht etwas Neues gefunden (zumindest für mich), es heißt VLANs und ich weiß nicht, wozu es bestimmt ist, deshalb poste ich es:

VLAN settings

ISP StarNet

Ich habe festgestellt, dass sie einige nicht wirklich wertvolle Informationen auf ihrer Website haben:

http://www.starnet.cz/info/ipv6

Welches können Sie zum Beispiel leicht mit Google übersetzen.

Eine andere Sache, die ich bestätigt habe, habe ich auf ihrer Facebook-Seite gefunden :

Das Präfix ist 64. Und sie planen auch 56 zu machen.

Ping6

Bei der aktuellen Einstellung und direkt von der LuCI (GUI) -Schnittstelle ping6 ipv6.google.combekomme ich, wenn ich versuche, Folgendes:

PING ipv6.google.com (2a00:1450:400d:805::200e): 56 data bytes ping6: sendto: Permission denied

Fehler?

Ich habe den folgenden Fehlerbericht meiner genauen Version gefunden:

https://bugs.openwrt.org/index.php?do=details&task_id=1763

Die Person schlägt vor, ein Downgrade auf 17.0.1.5 zu lösen, um das IPv6-Problem zu lösen. Könnte sich ein Fachmann diesen Fehlerbericht für mich ansehen, verstehe ich nicht wirklich.

Fehler bestätigt

Der Fehlerbericht ist absolut korrekt. Ich verstehe nicht, warum er nicht zugewiesen wurde oder warum er eine sehr niedrige Priorität hat, aber ich konnte ein IPv6-Adresspräfix auf 17.x-Firmware erhalten:

IPv6 is on in 17.x firmware

Die Luke

Ich habe keine Internetverbindung mit der 17.x-Firmware, ich kann nur direkt vom Router aus pingen und ping6, bitte helfen Sie mir, dies herauszufinden.

IPv6 Upstream ist endlich online!

IPv6 Upstream is finally on

Nach dem Downgrade auf 17.x war keine Internetverbindung von den Clients verfügbar, aber beim Upgrade auf die 18.x-Firmware ist der IPv6-Upstream endlich aktiviert.

LAN IPv6

Der letzte Schritt sollte die Aktivierung von IPv6 für die Clients sein. Ich habe kein IPv6 unter Windows / Linux / Android, daher stimmt etwas nicht, ich weiß nur nicht, was es ist.

Kopfgeld ist immer noch eingeschaltet

Ich respektiere die Regeln, so dass keine Kopfgeldanfragen mehr storniert werden.

Um jemandem diese 300 Punkte zu gewähren, habe ich einige Bonusfragen für Sie.

Bonusfragen für 300 Punkte

  1. Könnte mir jemand den Unterschied und die Nützlichkeit der IPv6-Zuweisung von Stateful und Stateless erklären ? Möglicherweise Auswirkungen auf die Sicherheit einschließlich. Stark zitiert bitte, danke.

  2. Könnten Sie weiter erklären, wofür DUID = DHCP Unique IDentifier ist? Ich meine, was ist der Zweck und die Verwendung. Möglicherweise Auswirkungen auf die Sicherheit einschließlich. Stark zitiert bitte, danke.

6

2 Antworten auf die Frage

1
Vlastimil

Es gab also zwei getrennte Probleme:

  • WAN - IPv6 Upstream verbindet sich nicht

  • LAN - Fehler in der Konfiguration

Für # 1, dh WAN- Konfiguration, habe ich alles versucht, was die GUI ohne Erfolg bietet.

Da ich endlich mit einem Workaround gekommen bin, werde ich es mit Ihnen teilen:

  1. Downgrade auf die 17.x-Firmware. Ihre Einstellungen bleiben erhalten, keine Sorge.

  2. Aktualisieren Sie wieder auf die 18.x-Firmware.

Das ist alles, der IPv6-WAN-Upstream verbindet sich auf magische Weise.

Für # 2, dh LAN- Konfiguration, richten Sie es wie folgt ein:

  1. Netzwerk - Schnittstellen - LAN - Allgemeine Konfiguration - Registerkarte Allgemein - Die IPv6-Zuweisungslänge muss auf die Länge Ihres Präfixes eingestellt werden.

  2. Netzwerk - Schnittstellen - LAN - Der DHCP-Server basiert auf Ihrer Topologie. In meinem Fall funktioniert Folgendes:

    • Router Advertisement-Service: Server-Modus

    • DHCPv6-Service: Servermodus

    • NDP-Proxy: Hybridmodus

    • DHCPv6-Modus: zustandslos + zustandsbehaftet

Ich werde diese Antwort auf dem neuesten Stand halten, wenn ich weitere Fehler in der Konfiguration finde.

Ich habe mein Windows 10, Linux Mint 19 und Android 7.0 jetzt auf http://test-ipv6.com/ getestet.

und ich habe:

Testen Sie mit einem IPv4-DNS-Eintrag

ok (0.267s) using ipv4 

Testen Sie mit einem IPv6-DNS-Eintrag

ok (0.168s) using ipv6 

Testen Sie mit dem Dual Stack-DNS-Eintrag

ok (0.206s) using ipv6 

Testen Sie das Dual-Stack-DNS und das große Paket

ok (0.154s) using ipv6 

Testen Sie IPv4 ohne DNS

ok (0.108s) using ipv4 

Testen Sie IPv6 ohne DNS

ok (0.091s) using ipv6 

Testen Sie das große IPv6-Paket

ok (0.256s) using ipv6 

Testen Sie, ob der DNS-Server Ihres ISP IPv6 verwendet

ok (0.275s) using ipv6 

IPv4-Dienstanbieter suchen

ok (0.128s) using ipv4 ASN 44489 

IPv6-Dienstanbieter suchen

ok (0.107s) using ipv6 ASN 44489

Das ist 100% Ok. Diese zwei übersprungenen Tests wurden durch den Zugriff auf die Testseite mit HTTPS verursacht, das sich noch in der Beta-Phase befindet. Daher ist es wahrscheinlich besser, reines HTTP zu verwenden: http://test-ipv6.com/

Das ist es. Jetzt muss ich mich mit Firewalls und stateful + zustandslosem IPv6 beschäftigen, aber das ändert nichts daran, dass ich es geschafft habe, IPv6 in meinem Haus zum Laufen zu bringen.

Ich habe eine zusätzliche Testseite gefunden, die nützlich sein könnte:

Nur IPv6: http://v6.testmyipv6.com/

Dual-Stack: http://ds.testmyipv6.com/

1
harrymc

In einer Nussschale:

Die automatische DHCPv6 -Konfiguration von IPv6 entspricht DHCP in IPv4. Ein DHCPv6-Dienst stellt dem Clientgerät die IPv6-Adresse bereit, und sowohl der Client als auch der Server behalten den "Status" dieser Adresse bei (z. B. Lease-Time usw.). Der Router in seiner Router-Ankündigungsnachricht weist den neu hinzugekommenen Host an, alle Adressen (globale Adresse, DNS-Adresse, SIP-Proxyserver-Adresse) vom DHCPv6-Server anzufordern.

Stateless DHCPv6 dient zur automatischen Konfiguration der IPv6-Adresse und zum Routing des Routers auf der Grundlage der Routerankündigungen. Der Router weist den neu hinzugekommenen Host an, nur die zusätzlichen Informationen, wie DNS, SIP-Proxy-Server-Adresse, vom DHCPv6-Server zu übernehmen, während die globale Adresse dem Host durch das in der Ankündigungsnachricht des Routers vorhandene Präfix mitgeteilt wird. Der Router gibt das Präfix von 64 Bit an, und der Host verwendet seine in EUI-64- Methode konvertierte MAC-Adresse (48 Bit), um eine globale IPv6-Adresse zu erhalten.

Im Detail, aus dem Artikel Was ist der Unterschied zwischen zustandsbehaftetem und zustandslosem IPv6?

IPv6-Adresszuweisungsoptionen

  • Statische (manuelle) Adressvergabe - genau wie bei IPv4.

  • Stateless Address Auto Configuration (SLAAC) - Knoten überwachen die ICMPv6 Router Advertisements (RA) -Nachrichten, die regelmäßig von Routern über die lokale Verbindung gesendet werden, oder von dem Knoten mit einer RA-Anforderungsnachricht angefordert. Sie können dann eine globale Unicast-IPv6-Adresse erstellen, indem sie ihre Schnittstelle EUI-64 (basierend auf der MAC-Adresse der Ethernet-Schnittstellen) mit dem Link-Präfix kombinieren, das über die Router-Ankündigung abgerufen wird. Dies ist nur für IPv6 eine einzigartige Funktion, die ein einfaches "Plug & Play" -Netzwerk ermöglicht. Standardmäßig stellt SLAAC dem Client nichts außerhalb einer IPv6-Adresse und eines Standard-Gateways zur Verfügung. SLAAC wird in RFC 4862 ausführlich diskutiert.

  • Stateless DHCPv6 - Mit dieser Option wird SLAAC weiterhin zum Abrufen der IP-Adresse verwendet. DHCP wird jedoch zum Abrufen von „anderen“ Konfigurationsoptionen verwendet, in der Regel DNS, NTP usw. Der Vorteil besteht darin, dass der DHCP-Server nicht gespeichert werden muss dynamische Statusinformationen zu einzelnen Clients. Bei großen Netzwerken, an die eine große Anzahl von Endpunkten angeschlossen ist, wird durch die Implementierung zustandsloser DHCPv6 die Anzahl der DHCPv6-Nachrichten, die für die Aktualisierung des Adressstatus benötigt werden, stark reduziert.

  • Stateful DHCPv6 - funktioniert genauso wie IPv4-DHCP, bei dem Hosts sowohl ihre IPv6-Adresse als auch zusätzliche Parameter vom DHCP-Server erhalten. Wie DHCP für IPv4 bestehen die Komponenten einer DHCPv6-Infrastruktur aus DHCPv6-Clients, die die Konfiguration anfordern, DHCPv6-Servern, die die Konfiguration bereitstellen, und DHCPv6-Relay-Agents, die Nachrichten zwischen Clients und Servern übermitteln, wenn sich Clients in Subnetzen befinden, die keinen DHCPv6-Server haben. Weitere Informationen zu DHCP für IPv6 finden Sie in RFC 3315.

HINWEIS: Ein Standardgateway in IPv6 kann nur über eine RA-Nachricht abgerufen werden. DHCPv6 trägt zu diesem Zeitpunkt keine Standardrouteninformationen.

Eindeutige DHCP-Kennung

Dies ist eine eindeutige Kennung, die vom Client selbst generiert wird und zur eindeutigen Identifizierung für den DHCPv6-Server dient.

Aus Wikipedia DHCPv6 :

Eindeutige DHCP-Kennung

Der DHCP Unique Identifier (DUID) wird von einem Client verwendet, um eine IP-Adresse von einem DHCPv6-Server abzurufen. Es verfügt über ein 2-Byte-Feld vom Typ DUID und ein Feld mit variabler Länge von bis zu 128 Byte. Die tatsächliche Länge hängt vom Typ ab. Der Server vergleicht die DUID mit seiner Datenbank und liefert Konfigurationsdaten (Adresse, Lease-Zeiten, DNS-Server usw.) an den Client. Die ersten 16 Bits einer DUID enthalten den DUID-Typ, von dem es vier Typen gibt. Die Bedeutung der verbleibenden DUID hängt vom Typ ab.

Verwandte Probleme