Startseite | Kategorien: Heimautomatisierung - Netzwerk

Mikrotik, IPv6 und die Deutsche Telekom

Mikrotik, IPv6 und die Deutsche Telekom

Als Neukunde bekommt man bei der Telekom einen Internetzugang mit Dual-Stack, das heißt sowohl eine öffentliche IPv4-Adresse (was heute keine Selbstverständlichkeit mehr ist, bei Unitymedia bekommt man nur noch Dualstack-Lite, ohne öffentliche IPv4 Adresse) und einen IPv6-Präfix mit 56 Bit, das heißt man hat selbst noch die Möglichkeit 256 Subnetze zu bilden. Doch was macht man als Bestandskunde? Hier bleibt einem aktuell nur die Möglichkeit in einen der IP-Anschlüsse zu wechseln. Dadurch bekommt ihr jedoch nicht nur einen IPv6-Präfix, auch andere Dinge ändern sich.

Was ist neu beim IP-Anschluss?

  • Kein Analog- oder ISDN-Telefonanschluss mehr vorhanden, Telefonie nur noch über von der Telekom bereitgestellten VoIP Zugang, Analog- und ISDN-Telefone können direkt am Router betrieben werden
  • Der durch den Wegfall von Analog/ISDN freigewordene Frequenzraum wird für den Upload genutzt, mein Upload hat sich in etwa verdreifacht
  • Der benutzte Annex-J Standard benötigt unter umständen ein neues Modem, die FritzBox 7170 beispielsweise beherrscht nur Annex-B
  • Keine Zwangstrennung mehr nach 24h, angeblich jedoch jedes halbe Jahr

Die Vorbereitung

Letztes Jahr habe ich mir ein RB2011UAS-RM gekauft, und damit meine FritzBox 7170 als DSL-Router abgelöst.

Netzwerkschrank

Die FritzBox hat jedoch weiterhin ihren Dienst als DSL-Modem verrichtet. Für Annex-J habe ich mich auf die Suche nach einem neuen Modem gemacht, und bin beim Allnet ALL0333CJ fündig geworden.

Allnet ALL0333CJ

Eine grobe Messung mit einem Wattmeter zeigt, dass das Allnet Modem etwas weniger elektrische Leistung in Wärme umwandelt, nämlich 4 Watt statt 5 bei der Fritzbox. Noch vor der Umschaltung habe ich einen Geschwindigkeitstest gemacht, jeweils mit FritzBox als auch dem Allnet als Modem, der Unterschied war jedoch bestenfalls nur messbar.

FritzBox als Modem:

Speedtest 1

Allnet ALL0333CJ als Modem:

Speedtest 2

Der neue Anschluss

Dann kam er, der Tag der Umschaltung. Ich war nicht zuhause, lediglich mein Nagios hat mich darauf hingewiesen dass meine DSL-Verbindung kurrzeitig unterbrochen war. Das erste was ich gemacht habe war ein erneuter Speedtest.

Speedtest 3

Deutlich zu sehen ist der Geschwindkeitsanstieg beim Upload, in meinem Fall fast das Dreifache. Auch der Download ist geringfügig besser geworden. Ein Blick auf meinen Router zeigte jedoch keine neue IPv6-Adresse. Offenbar war hier etwas Handarbeit angesagt, immerhin ist ein Routerboard keine Fritzbox, die dem User sämtliche Konfigurationsarbeit abnimmt und einfach nur (zugegebenermaßen sehr gut) funktioniert.

Als erstes versuchte ich über Router-Advertisements ein IPv6-Präfix zu beziehen. Das hat jedoch, trotz entsprechend konfigurierter IPv6-Firewall welche ICMPv6 durchlässt, nicht funktioniert. Eine andere Möglichkeit an ein IPv6-Präfix zu kommen ist DHCP. Mit folgendem Befehl habe ich auf meine PPPoE-Schnittstelle einen DHCPv6-Client konfiguriert:

/ipv6 dhcp-client
add add-default-route=yes interface=pppoe.dsl pool-name=telekom.ipv6 use-peer-dns=no pool-prefix-length=64 disabled=no

Mit pool-name=telekom.ipv6 landen bezogene IPv6-Präfixe in einem Pool namens telekom.ipv6. Die Option pool-prefix-length=64 sorgt dafür, dass das bezogene Präfix in 64-Bit-Häppchen aufgeteilt wird, und bei einer späteren Nutzung nicht direkt das ganze 56Bit-Präfix verschwendet wird. Je nachdem wie ihr eure Firewall konfiguriert habt (ich blocke alles was ich nicht explizit zulasse) ist es nötig DHCPv6-Pakete an euren Router durchzulassen.

/ipv6 firewall
add chain=input comment="dsl -> dhcpv6" dst-port=546 in-interface=pppoe.dsl protocol=udp

Und siehe da, ich bekomme ein 56Bit-Präfix von der Telekom zugewiesen. Dieses Präfix möchte ich nun an meine Netze delegieren, unter anderem an mein privates Netz, mein Gäste-Netz und die DMZ, jeweils eigene VLANs auf dem Routerboard. Da das 56Bit-Präfix bereits in meinem Pool gelandet und entsprechend in 64Bit-Häppchen aufgeteilt wird ist es kein Problem jedem Netz ein eigenes Präfix zuzuordnen.

/ipv6 address
add address=::/64 from-pool=telekom.ipv6 interface=vlan110.private
add address=::/64 from-pool=telekom.ipv6 interface=vlan120.public
add address=::/64 from-pool=telekom.ipv6 interface=vlan130.dmz

Wie erwartet bekommt jedes VLAN sein eigenes 64Bit-Präfix zugeteilt.

/ipv6 address print
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local 
 #    ADDRESS                                     FROM-POOL INTERFACE                   ADVERTISE
 [...] 
 3  G 2003:4d:2a5a:cb00::/64                      teleko... vlan110.private             yes      
 4  G 2003:4d:2a5a:cb01::/64                      teleko... vlan120.public              yes      
 5  G 2003:4d:2a5a:cb02::/64                      teleko... vlan130.dmz                 yes     

Das Neighbor-Discovery auf den Routerboards ist standardmäßig so konfiguriert, dass auf allen Interfaces Router-Advertisements verschickt werden, und zwar mit aktiviertem Autonomous-Flag. Das bedeutet, dass sich Clients automatisch IPv6-Adressen aus dem Präfix generieren. Alternativ kann man die Vergabe von IPv6-Adressen und/oder weitere Konfigurationen der Clients mit DHCPv6 vornehmen, allerdings ist das beispielsweise unter MacOSX nicht möglich, da hier kein DHCP-Client integriert ist.

Es ist nicht alle Gold was glänzt, denn...

... es funktioniert nicht alles so wie es soll, was aber nicht direkt mit IPv6 zu tun hat, sondern eher mit meinen Netzwerkgeräten. Als AccessPoint nutze ich ein TL-WA801N von TP-Link. Dieser AP ermöglicht es für mehrere VLANs eigene WLANs aufzumachen, also separate SSIDs für mein privates Netz und das Gästenetz. Die Trennung funktioniert grundsätzlich so wie man es erwarten würde, jedoch bekommen WLAN-Geräte welche im privaten Netz sind, fälschlicherweise auch Router-Advertisements aus dem Gästenetz, und damit auch IPv6-Präfixe aus diesem Netz und vice versa. Ist natürlich ungünstig und unerwünscht, auch wenn der weitere Traffic zwischen diesen beiden Netzen getrennt ist. Zu allem Überfluss lässt der AccessPoint auch irgendwann keine Multicasts/Broadcasts mehr zu, und damit unter anderem keine Router-Advertisements (das bedeutet dass sich WLAN-Geräte keine IPv6-Adresse konfigurieren) und kein Bonjour (Apple-Devices finden bspw keine Drucker oder AirPlay-Empfänger). Erst ein Reboot des APs schafft abhilfe und Multicast/Broadcast funktioniert wieder wie man es erwartet.

tl;dr

  • Telekom IP-Anschluss erfordert Annex-J fähiges Modem/Router
  • Nur noch VoIP
  • Vielfach schnellerer Upload
  • Etwas schnellerer Download
  • 56Bit IPv6 Präfix über DHCP
  • Mac hat keinen DHCP-Client
  • TP-Link Accesspoints lassen trotz VLAN-Trennung Router-Advertisements aus anderen Netzen durch

© 2014 by chanoa.de | Impressum