Zum Inhalt wechseln


Foto

Wie umgehen mit IPv6 DNS?


  • Bitte melde dich an um zu Antworten
15 Antworten in diesem Thema

#1 mwiederkehr

mwiederkehr

    Junior Member

  • 128 Beiträge

 

Geschrieben 11. Juli 2017 - 12:03

Hallo zusammen

 

Habe gerade ein "lustiges" Phänomen beobachtet: Kunde mit kleinem Netzwerk inkl. Domänencontroller hat vom Provider einen neuen Router erhalten. Der unterstützt jetzt IPv6. Das kündigt er im Netzwerk auch fleissig per Router Advertisement an, inkl. seinem DNS-Dienst.

 

Somit haben die Clients jetzt neben dem Domänencontroller (IPv4 per DHCP) nun auch den Router als DNS-Server (IPv6 per SLAAC) eingetragen. Was für die interne Namensauflösung nicht so praktisch ist...

 

Mögliche Lösungen:

 

- IPv6 deaktivieren auf dem Router: geht anscheinend nicht mehr, und möchte ich auch nicht unbedingt, wenn es eine andere Lösung gibt

- IPv6 deaktivieren auf dem Server und den Clients: nicht supported laut Microsoft

- DNS-Dienst auf dem Router deaktivieren: geht nicht

- den internen Server als DNS-Forwarder eintragen auf dem Router: geht auch nicht

 

Den Clients manuell eine fixe IPv6-Adresse einzutragen ist auch keine gute Lösung. Eine Firewall dazwischen hängen wäre eine Möglichkeit, aber es wäre schön, wenn es ohne ginge.

 

Kann man irgendwo einstellen, dass der IPv4-DNS eine höhere Priorität besitzt als der mit IPv6? Oder dass die Clients den angekündigten DNS nicht verwenden?

 

Vielen Dank für eure Tipps!



#2 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 11. Juli 2017 - 12:05

Was ist das denn für ein Router?

Make something i***-proof and they will build a better i***.


#3 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 11. Juli 2017 - 12:07

Ist nicht  zufällig  ein Telekom-Router?


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#4 mwiederkehr

mwiederkehr

    Junior Member

  • 128 Beiträge

 

Geschrieben 11. Juli 2017 - 12:24

Swisscom Centro Business 2.0, also quasi Telekom mit Schweizer Kreuz :)



#5 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 11. Juli 2017 - 12:38

Bisher gabs bei solchen Kunden immer ne Firewall die dazwischengeklinkt wurde, wenn das am Router nicht (komplett) deaktiviert werden konnte. Alternativ kauft man eben einen "vernünftigen" Router.

Bearbeitet von NorbertFe, 11. Juli 2017 - 12:38.

Make something i***-proof and they will build a better i***.


#6 Doso

Doso

    Board Veteran

  • 2.457 Beiträge

 

Geschrieben 12. Juli 2017 - 02:38

Geld in die Hand nehmen und ordentlichen Router kaufen.



#7 mwiederkehr

mwiederkehr

    Junior Member

  • 128 Beiträge

 

Geschrieben 12. Juli 2017 - 06:28

Danke für eure Antworten!

 

Normalerweise habe ich immer eine Firewall dazwischen, aber das ist eine kleine Umgebung ohne Zugriffe von extern. Da dachte ich es geht ohne Firewall, zumal man dann auch das WLAN vom Router nutzen kann. Habe ich mich wohl etwas verschätzt...

 

Einen "ordentlichen" Router zu kaufen geht nicht, denn über den Anschluss läuft auch VoIP und TV. Der Router macht zwei Sessions auf, eine für Internet und eine für die restlichen Dienste. Das kann man so nicht umsetzen mit einem Drittrouter, und supported ist es schon gar nicht. (PPPoE Passthrough würde gehen, aber dann funktioniert das 4G-Fallback mit der integrierten SIM-Karte nicht.

 

Da muss ich wohl in den sauren Apfel beissen und entweder eine Firewall installieren oder per Policy den Registry-Key zur Priorisierung von IPv4 verteilen.

 

Aber noch eine Verständnisfrage: Habe gestern noch eine Option gefunden im Router, um die Router Advertisements zu deaktivieren ("SLAAC: aus"). Nach einem Neustart hatten die Clients dann keine IPv6-Adresse mit dem Prefix des Routers mehr, nur noch eine Link Local-Adresse. Soweit ist es klar. Aber wieso hatten sie die Link Local-Adresse des Routers als Gateway und DNS eingetragen? Über welches Verfahren erhalten Clients mit IPv6 diese Informationen, wenn SLAAC und DHCPv6 deaktiviert sind?



#8 DocData

DocData

    Board Veteran

  • 1.273 Beiträge

 

Geschrieben 12. Juli 2017 - 06:48

Sicher, dass du DHCPv6 deaktiviert hast?


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#9 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 12. Juli 2017 - 06:56

Das ist wie bei den speedports der Telekom. Die können das auch nicht komplett abschalten.

Make something i***-proof and they will build a better i***.


#10 mwiederkehr

mwiederkehr

    Junior Member

  • 128 Beiträge

 

Geschrieben 12. Juli 2017 - 07:08

Sicher, dass du DHCPv6 deaktiviert hast?

Ja, eigentlich schon. Es gibt die Optionen "aus", "SLAAC", "SLAAC und DHCPv6" und "DHCPv6". Aber vielleicht ist es ein Bug im Router. IPv6 ist eine recht neue Geschichte für die Swisscom...



#11 DocData

DocData

    Board Veteran

  • 1.273 Beiträge

 

Geschrieben 12. Juli 2017 - 07:09

Vorsicht: SLAAC wird auch zur Erzeugung der link-local Adresse verwendet. SLAAC nutzt RAs zur konfiguration weiterer IPv6 Adressen, z.B. auf Basis eines vom Router angekündigten Prefixes. Der TE muss eigentlich nur eine Sache tun: stateless DHCPv6 deaktivieren. Der Router kann gerne weiterhin sein IPv6 Prefix raushauen, und die Hosts können sich auf dieser Basis gerne weiterhin eine IPv6 Adresse bauen. Das Problem ist der stateless DHCPv6.


Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#12 magheinz

magheinz

    Newbie

  • 1.328 Beiträge

 

Geschrieben 12. Juli 2017 - 07:21

Also eine Fritzbox kann selbtsverständlich an einem VOIP/TV/DSL-Anschluss betriebem werden. ein cisco 800er sollte das auch können. Im telekom-forum findet man teilweise die configs, bei der Fritte sind das ein paar Klicks.

#13 TheCracked

TheCracked

    Board Veteran

  • 788 Beiträge

 

Geschrieben 12. Juli 2017 - 08:31

Wie sieht es mit der "Digitalisierungsbox" von der Telekom aus? Die können dir bestimmt eine alternative Hardware anbieten, die genau das kann was du brauchst.



#14 mwiederkehr

mwiederkehr

    Junior Member

  • 128 Beiträge

 

Geschrieben 12. Juli 2017 - 09:05

Vorsicht: SLAAC wird auch zur Erzeugung der link-local Adresse verwendet. SLAAC nutzt RAs zur konfiguration weiterer IPv6 Adressen, z.B. auf Basis eines vom Router angekündigten Prefixes. Der TE muss eigentlich nur eine Sache tun: stateless DHCPv6 deaktivieren. Der Router kann gerne weiterhin sein IPv6 Prefix raushauen, und die Hosts können sich auf dieser Basis gerne weiterhin eine IPv6 Adresse bauen. Das Problem ist der stateless DHCPv6.

Habe es jetzt mal mit Wireshark analysiert: der Router schickt alle 16 Sekunden eine RA inkl. DNS-Server. Obwohl ich soweit es ging alles bezüglich IPv6 deaktiviert habe. Scheint ein Bug zu sein. Werde den Provider kontaktieren.

 

Also eine Fritzbox kann selbtsverständlich an einem VOIP/TV/DSL-Anschluss betriebem werden. ein cisco 800er sollte das auch können. Im telekom-forum findet man teilweise die configs, bei der Fritte sind das ein paar Klicks.

Die Swisscom verwendet für VoIP und TV eine separate Session mit einer anderen IP. Man könnte PPPoE-Passthrough aktivieren und sich von hinter dem Router parallel mit einem eigenen Router einwählen. Aber dann funktioniert das 4G-Backup nicht mehr. Die Telefone funktionieren unsupported auch hinter der Firewall. TV auch, wenn man Multicast aktiviert. Aber eben ohne Support. Falls es mit dem Registry-Key nicht funktioniert, werde ich die offizielle Lösung einrichten müssen: Firewall an Port 1 des Routers mit "IP-Passthrough", Telefone und TV-Box an den anderen Ports direkt am Router.

 

Wie sieht es mit der "Digitalisierungsbox" von der Telekom aus? Die können dir bestimmt eine alternative Hardware anbieten, die genau das kann was du brauchst.

Die Swisscom ist nicht die Telekom. Die Swisscom setzt eigene Router ein, früher mal gebrandete Pirelli, aktuell laut MAC-Adresse etwas von "ADB Italia".



#15 magheinz

magheinz

    Newbie

  • 1.328 Beiträge

 

Geschrieben 12. Juli 2017 - 10:05

Die Telekom hat das technisch genau so umgesetzt. Zwei separaten VLANs, eine PPPoE-Session und einmal einfach DHCP-v4.

Die Fritzboxen können das.

Die Sache mit dem 4G-Backup müsste man noch mal prüfen, aber auch das wird irgendwie gehen:

 

https://supportcommu...p/396264#M52734

 

Swisscom
Beiträge: 2.455
Registriert: ‎18.02.2014
 

am ‎22.08.2015 16:06

Die Fritzboxen sind nicht baugleich. Die 7390 unterstützt zum Beispiel kein Vectoring in unserem Netz (und wir bauen ja derzeit und die nächsten Jahre massiv aus), die 7490 schon.

 

Die AVM - Boxen laufen an unseren Anschlüssen. TV und Internet geht, Telefonie auf offiziellem Weg nicht. Und wir blockieren keine Services. Also kannst Du auch fremde Voip-Anbieter nutzen, wenn Du willst. In unseren Routern haben wir das aber nicht vorgesehen. In unseren Abos ist ja flat Telefonie in der Schweiz enthalten. Internationale Telefonie in die LG1 derzeit nur im Vivo XL als quasi Flatangebot.

Head of Access & Communication Services @ Product & Marketing Department, Swisscom (Schweiz) AG

 

Dazu dann das hier:

https://www.swisscom...-sipcredentials

und du hast offiziell Internet, Telefon und TV auf einer Fritzbox laufen.