Swisscom Centro Grande IPv6 Prefix /64 und weiterer Router

Swisscom weist IPv6-Adressen mit dem Verfahren 6rd zu, die Präfixlänge ist 60 Bit. Das erlaubt grundsätzlich, bis zu 16 /64er-Netze (4 Bit) zu bilden.

Soweit ich weiss, kann man im Kundencenter aber keinen Einfluss darauf nehmen, welches dieser sechzehn /64 nun vom Centro im lokalen Netz verteilt wird. Die Firmware der RV082 unterstützt kein 6rd, nur die abgespeckte Variante 6to4. Mit der sind zwar 2^16 /64er-Netze möglich, aber die Paketrouten sind schlecht bis gar nicht vorhersehbar, was mitunter Probleme macht.

Eventuell geht es, wenn du den Centro in den Bridgemodus setzt und die 6to4-Funktion der RV082 aktivierst. Ich hab noch eine RV082 herumliegen. In den nächsten Tagen kann ich auch mal etwas damit herumtesten und die Ergebnisse hier posten.

@PowerMac Vielen dank für die schnelle Antwort.

Jedoch kann ich das mit den /60 nich glauben. Da der Swisscom Router sagt

D.h. wenn dort schon /64 rauskommen - dann kann ich ja keine Netze mehr aufbauen.

Das mit dem Bridge Modus ginge evtl. aber dann verliere ich ja die DMZ.

Wäre trotzdem für jeden Versuch dankbar.

VIelen Dank

Gruss Dirk

Ja, schon klar, der Centro gibt auf dem LAN-Port ein /64 per Router Advertisement raus.

Die IPv6-Adresse errechnet sich der Router selbst aufgrund seiner IPv4-Adresse, die er per DHCP zugewiesen erhält.

Beispiel: In deinem Fall hat Router die IPv4-Adresse 178.198.35.41 per DHCP auf dem WAN-Port erhalten. Diese rechnet der Router in Hex um:

178.198.35.41 => b2.c6.23.29 (32 Bits)

Dieser Adresse wird nun das Prefix 2a02:120 (28 Bits) vorangestellt, das Ergebnis ist dann "dein" Präfix, über das dein Router volle Kontrolle hat:

2a02:120b:2c62:3290::/60 (beachte: die letzte "0" gehört hier zum Host-Part)

Die Endgeräte brauchen aber in jedem Fall ein /64-Netz. Das bedeutet, dass die letzten 4 Bits vom Router pro konfiguriertem Netz vergeben werden müssen. Der Centro macht es sich einfach und setzt diese 4 Bits einfach auf 0. Das ergibt dann das bei dir angezeigte Prefix:

2a02:120b:2c62:3290::/64 (hier gehört die letzte "0" zum Prefix statt zum Host-Part)

Ein geeigneter Router (z.B. einer mit OpenWRT) könnte auf verschiedenen LAN-Ports bzw. verschiedenen VLANs noch 15 weitere Netze anbieten, nämlich:

2a02:120b:2c62:3291::/64

bis

2a02:120b:2c62:329f::/64

Soweit mir bekannt ist, beschränken sich die Konfigurationsmöglichkeiten via Swisscom-Kundencenter auf "IPv6 ein" und "IPv6 aus", dh. der Centro wird LAN-seitig genau ein Netz anbieten, und zwar das mit der letzten Ziffer 0.

Um die technischen Möglichkeiten voll auszuschöpfen, brauchts ein Gerät das sich präziser konfigurieren lässt als das Centro. Das geht, indem das Centro eben in den Bridge-Modus gesetzt wird und ein anderes Gerät die NAT-Funktionen für IPv4 und die 6rd-Funktionen für IPv6 übernimmt. Die RV082 ist hierfür aber leider nur bedingt geeignet, da bloss 6to4 und kein 6rd unterstützt wird. Noch genauere Details kann ich gerade nicht dazu sagen, da muss ich erst "meine" RV082 in der Bude holen. Aber nicht mehr heute :smileyhappy:

Hallo iggs.

Nun hab ich als Feierabendprojekt einmal versucht, einen RV082 mit 6to4 zum Laufen zu kriegen. Leider hat das zumindest in meinem Versuchsaufbau nicht funktioniert.

Da ich an mindestens einen weiteren Bug in der RV082 glaube, habe ich im Cisco-Supportforum selbst einmal eine Frage gestellt, wenn du dort "i have this problem too" drückst, wird das Problem evt. etwas schneller bearbeitet.

Jedenfalls scheinen die Probleme mit der RV082 echt überhaupt nie zu enden. Unbegreiflich, dass Linksys/Cisco es nicht fertig bringt, eine halbwegs bugfreie Firmware für über 8jährige (!!), an sich solide Hardware herauszubringen.

Hi Powermac,

Danke für deinen Mühe. Verlässt Du dich auf CISCO support - bist du verlassen. Ich hatte im April letztes Jahr eine Frage gestellt. NIX Nada null. => Kaufe nie wieder Profi/Semi Profi Hardware. User bleib bei deiner Fritzbox oder OpenWrt.

Was hälst Du davon wenn ich mir nen Fritzbox (3370) zu tue. Die könnte a) etwas grössers als /64 ausspucken oder über SIXXS ein tunnel aufbauen. Das sollte der RV082 dann wohl schaffen oder er ist keinen rappen Wert.

Gruss Dirk

Kommt auf den Einsatzzweck an; im Betrieb haben wir einige RV082 als "Zweigstellenrouter" in Betrieb, die sich per VPN auf eine zentrale Cisco ASA verbinden. Nach anfänglichem Bugfixing seitens Cisco (meine damaligen Erfahrungen mit dem Support waren immerhin recht gut) laufen die RVs in unserem Einsatzzweck als VPN-Router erfreulich stabil.

Für den Privatgebrauch würde ich Insbesondere nach der heutigen Erfahrung dringend von den RVs abraten. Da gibts günstigeres, schnelleres und besseres. Auch im (Semi)professionellen Umfeld bin ich nicht begeistert davon, gerade das DMZ-Konzept von Cisco-SB finde ich sehr gewöhnungsbedürftig. Aber evt. schaffst du es, OpenWRT auf der RV zu installieren 🙂

Fritzbox kenn ich zu wenig um dir dazu bezüglich IPv6 und DMZ Tipps geben zu können. Ich hab privat einen D-Link DIR-825 mit OpenWRT drauf, der läuft sehr stabil mit Swisscom 6rd und diversen Prefixes, dh. auch eine DMZ sollte problemlos gehen. Die Firewall lässt sich nicht so komfortabel konfigurieren, aber dafür läuft das Kistchen extrem stabil.

Hallo PowerMac,

wie hast Du das mit OpenWRT geschafft? Ich habe mit OpenWRT (trunk r33946) ein 6rd-Interface eingerichtet (Remote IPv4-Address 193.5.29.1, IPv6 prefix 2a02:1200::, IPv6 prefix length 28) und radvd nach bestem Wissen und Gewissen konfiguriert (auf interface LAN aktiviert, Prefix ::/64, Routes und RDNSS aktiviert). Mein LAN-interface erhält jedoch keine IPv6-Adresse und radvd meckert:

daemon.warn radvd[4038]: no auto-selected prefix on interface br-lan, disabling advertisements

Die resultierende radvd.conf sieht folgendermassen aus:

interface br-lan
{
	AdvLinkMTU 1480;
	AdvDefaultPreference medium;
	IgnoreIfMissing on;
	AdvSendAdvert on;
	AdvSourceLLAddress on;

	prefix ::/64
	{
		AdvOnLink on;
		AdvAutonomous on;
	};

	RDNSS fe80::6670:2ff:fe85:1534
	{
	};
};

ich kann nun natürlich wie auf blinkenlights.ch vorgeschlagen den Präfix 2a02:120d:1234:5678::1/64 angeben, wobei natürlich 1234:5678 durch meine eigene IP-Adresse ersetzt werden muss. Dann funktioniert alles. Aber natürlich nur bis zum nächsten Reconnect (und damit neuer IP-Adresse)! Und das will ich natürlich verhindern.

 ...ich bin nun etwas ratlos und wäre froh um Unterstützung!

Grüsse

raaaaaaaaaaaaa

Ich hatte das mit einem Script gelöst, das jeweils nach dem connecten des WAN-Interfaces eine separate radvd.conf-Datei erzeugt und radvd neu geladen hat.

Ich muss beschämt gestehen, dass ich das Script inzwischen stillgelegt habe und einen tunnelbroker.net-Tunnel verwende, da sich dieser leichter in OpenWRT integrieren lässt.

Evt. hab ich morgen etwas Zeit, das Script zu suchen. Tipps findest du übrigens auch hier, musst es nur auf Swisscom anpassen.

Hab das heute mal rasch getestet mit OpenWRT 12.09

Via Webinterface hat's bei mir erstmal nicht funktioniert, daher hab ichs einfach mal von Hand hingehackt

LAN=eth0.1
WAN=eth1
gateway=193.5.29.1
prefix="2a02:120"
ip=$(ip -f inet a l dev $WAN | sed -n 's/^ *inet *\([.0-9]*\).*/\1/p')
x=$(printf "%02x%02x%02x%02x0" ${ip//./ })
ipv6=${prefix}${x:0:1}:${x:1:4}:${x:5:3}0::1

ip addr add $ipv6/64 dev $LAN

ip tunnel add 6rd mode sit local $ip ttl 64
ip tunnel 6rd dev 6rd 6rd-prefix ${prefix}::/28
ip addr add $ipv6/28 dev 6rd
ip link set 6rd up
ip route add ::/0 via ::${gateway} dev 6rd

ping6 ipv6.google.com sollte damit funktionieren. radvd gestartet, und auch das klappte.

Ich würde mal sagen, ein Script sollte nach /etc/hotplug.d/iface. Du musst das allerdings schon noch etwas verbessern und dafür anpassen (alte Einstellungen löschen, ...)

Beim Aufruf werden dem übrigens Script folgende Variablen mitgegeben:

ACTION

INTERFACE

DEVICE

PROTO

ACTION kriegt dann zb. den Wert ifup/update/ifdown, und das INTERFACE dürfte in deinem fall pppoe-wan oder wan, weiss nicht genau, sein.

Aufgrund der Variablen kannst du dann festlegen, ob dein script überhaupt ausgeführt werden soll, oder sich gleich beendet. Denn das script wird nicht nur für's wan interface aufgerufen.

Mit einem Centro Router des Herstellers Motorola können statische Routen eingerichtet werden, um Verkehr an weitere Router im Heimnetz zu leiten. Dazu muss zuerst eine neue "connection" angelegt werden. Hier ein Beispiel:

Centro_grande (top)>> set ip6 conn name "Net-1-LANv6" ==> entspricht der neuen "connection"       name "Net-1-LANv6"

        enable (off) [ off | on ]: on

        type (static) [ static | rd | autoconf | dp | aiccu | ip6in4 ]: static

        mtu (1500) [ 1280 - 1500 ]: 1472

        side (wan) [ lan | wan ]: lan

        mcast-forwarding (on) [ off | on ]: off

        old-prefix-purge-timer (7200) [ 0 - 7200 ]: 7200

        adv-valid-lifetime-override (off) [ off | on ]: on

        adv-valid-lifetime (2592000) [ 60 - 4294967295 ]:

        adv-preferred-lifetime-override (off) [ off | on ]: on

        adv-preferred-lifetime (604800) [ 30 - 4294967295 ]: 60

        static

          link ("") [ LAN | WAN | PPPoE |  ]: LAN

          ipaddr ("::"): 2a02:120b:c3e2:c3c0::1

        dhcp-server           enable (off) [ off | on ]: off

          pd

(pd) node list ...

Select (name) node to modify from list, or enter new (name) to create.

          pd name (?): Net-1

(Net-1) has been added to the (pd) list

            name "Net-1"

        radv

          enable (off) [ off | on ]: on

          min-adv-interval (10) [ 3 - 1350 ]: 5

          max-adv-interval (30) [ 4 - 1800 ]: 10

Centro_grande (top)>> save

Centro_grande> show ipv6 interfaces

IPv6 interfaces:

WAN sit1: ( up Type: rd )

  inet 2a02:120b:c3e2:c3c0:: prefix-length 60

  physical address N/A mtu 1472

Ethernet LAN br1: ( up Type: dp )

  inet 2a02:120b:c3e2:c3c0:226:42ff:fe38:90b0 prefix-length 64

  physical address 00:26:42:38:90:b0 mtu 1472

Ethernet LAN br1: ( up Type: static ) ==> entspricht der neuen "connection"

  inet 2a02:120b:c3e2:c3c0::1 prefix-length 64

  physical address 00:26:42:38:90:b0 mtu 1472

Dann kann die statische Route auf diese Verbindung gelegt werden:

Centro_grande> conf t

Config Mode v1.3 Centro_grande (top)>> set ip6 static-routes

    static-routes

(static-routes) node list ...

        "Subnet-2-ip6"

Select (name) node to modify from list, or enter new (name) to create.

    static-routes name (?): Subnet-3-ip6

(Subnet-3-ip6) has been added to the (static-routes) list

      name "Subnet-3-ip6"

        conn ("") [ WANv6 | LANv6 | Net-1-LANv6 |  ]: Net-1-LANv6

        next-hop ("::"): 2a02:120b:c3e2:c3c0::2

        prefix ("::"): 2a02:120b:c3e2:c3c2::

        prefix-length (64) [ 1 - 64 ]: 64

        metric (0) [ 0 - 255 ]: 1

Centro_grande (top)>> save

oder im nicht-interaktiven Modus, hier für drei Routen:

set ip6 static-routes name "Subnet-2-ip6" conn "Net-1-LANv6"

set ip6 static-routes name "Subnet-2-ip6" next-hop "2a02:120b:c3e2:c3c0::2"

set ip6 static-routes name "Subnet-2-ip6" prefix "2a02:120b:c3e2:c3c2::"

set ip6 static-routes name "Subnet-2-ip6" prefix-length 64

set ip6 static-routes name "Subnet-2-ip6" metric 1

set ip6 static-routes name "Subnet-3-ip6" conn "Net-1-LANv6"

set ip6 static-routes name "Subnet-3-ip6" next-hop "2a02:120b:c3e2:c3c0::2"

set ip6 static-routes name "Subnet-3-ip6" prefix "2a02:120b:c3e2:c3c3::"

set ip6 static-routes name "Subnet-3-ip6" prefix-length 64

set ip6 static-routes name "Subnet-3-ip6" metric 1

set ip6 static-routes name "Subnet-4-ip6" conn "Net-1-LANv6"

set ip6 static-routes name "Subnet-4-ip6" next-hop "2a02:120b:c3e2:c3c0::2"

set ip6 static-routes name "Subnet-4-ip6" prefix "2a02:120b:c3e2:c3c4::"

set ip6 static-routes name "Subnet-4-ip6" prefix-length 64

set ip6 static-routes name "Subnet-4-ip6" metric 1

Danke für die Anleitung zum einrichten der Statischen routen.

Ein problem bleibt aber, dass ja die v4 Adresse und somit die errechntete v6 Adresse von Zeit zu Zeit ändert. Das würde dann bedeuten, dass man die routen anpassen müsste.

Richtig ?

Gruss Dirk

Genau. Aber zum Glück ändert sich die IP ja inzwischen höchst selten. Echt statische IPv6-/48-Netze kriegt man bei tunnelbroker.net und SiXXS übrigens gratis, mit nur geringfügig höherer Latenz als bei Swisscom. Wobei bei ersteren die Chance grösser ist, dass Obama mithört...