Ich habe von meinem ISP einen nativen (ohne Tunneling usw.) IPv6/64-Block erhalten. Mein pfSense-Router hat erfolgreich eine Adresse erhalten und von seiner WAN-Schnittstelle aus kann ich beispielsweise ipv6.google.com anpingen und eine Antwort erhalten. In meinem internen Netzwerk funktioniert dies jedoch nicht und ich kann nicht herausfinden, warum. Ich habe einen DHCPv6-Server, der Adressen vergibt, und der Router führt Router-Werbung durch, und das scheint mir in Ordnung zu sein.
Ich versuche, das zu veranschaulichen. Nehmen wir an, ich habe das Präfix 2001:a:b:c::/64. Mein Router erhält seine WAN-Adresse über SLAAC und diese lautet 2001:a:b:c:20c:29ff:fef9:b914. Der internen Schnittstelle habe ich 2001:a:b:c::1 zugewiesen (alte IPv4-Gewohnheit, schätze ich ...). DNS und DHCP werden auf einem Server mit 2001:a:b:c::10 gehostet (statische Zuweisung). Meine Workstation fordert dann eine Adresse über DHCP an und erhält 2001:a:b:c::11ab.
Meine Routing-Tabelle enthält zwei Standardrouten (::/0), eine für die interne statische IP des Routers und eine für seine Link-Local-IP.
Das Pingen von ipv6.google.com ergibt jetzt Destination host unreachable. Wo fange ich an, das zu debuggen? Es scheint mir, dass es sich um ein Routing-Problem handelt, aber ich weiß nicht, wo ich mit der Suche beginnen soll.
Antwort1
Wenn Sie nur ein /64Präfix haben und dieses Präfix auf Ihrer WAN-Seite liegt, können Sie IPv6 nicht für Ihr LAN verwenden. Ein ISP sollte Ihnen mehrere /64s geben, damit Sie /64in jedem LAN ein separates einrichten können. Normalerweise gibt ein ISP jedem (Privat- und Geschäftskunden) eine /48(65536 /64s). Privatkunden erhalten möglicherweise eine /56(256 /64s). Auf diese Weise haben Sie genügend Präfixe, um Ihr Netzwerk zu nummerieren, auch wenn es mit der Zeit komplizierter wird (IoT-Bereitstellung usw.).
Einige ISPs halten noch zu sehr an der IPv4-Mentalität fest und geben nur etwa ein /60(16 /64s) aus. Das wird jetzt wahrscheinlich ausreichen, wird aber Probleme verursachen, wenn IP-fähige Geräte immer häufiger werden, und Sie möchten doch nicht wirklich, dass Ihre Wohnzimmerbeleuchtung und Klimaanlage im selben Subnetz sind wie das Kinderspielzeug, oder? ;)
ISPs, die nur eine einzige Adresse vergeben, /64verhindern, dass Sie überhaupt Subnetting betreiben können. Wenn dies auf der WAN-Schnittstelle geschieht, erhalten Sie in Ihren LANs niemals anständiges IPv6. Dies ist die Schuld der ISPs und sie sollten dies beheben, indem sie eine angemessene Anzahl ( oder ) Adressen /64vergeben ./48/56
Antwort2
Sie müssen auch in Ihrem LAN ein Präfix haben. Sie können DHCPv6-Präfixdelegierung verwenden. Dadurch wird das Präfix, das Sie auf der WAN-Schnittstelle erhalten, nach innen delegiert. Der Router muss damit umgehen können.
Aber ich finde es seltsam, dass Sie nur ein /64 bekommen - es sollte mindestens ein /56 oder so sein. Allerdingskein Subnetza /64! Was auch immer andere Ihnen sagen, Mechanismen wie SLAAC werden Ihr Subnetz zerstören.