Umstellung im virtuellen Switch auf IPv6

    Moin,

    ich war etwas übermütig.

    Hatte wg. einem Problem mit einem Festplattenrecorder (Linux-basiert), der plötzlich nach Tausch meines bisherigen Asus-Routers auf eine Fritzbox, den IP-Range v4 auf den der Fritz geändert und das entsprechende Forum meinte es läge dran, das ich kein v6 im Heimnetz verwenden würde.

    Glaub ich bis heute nicht, da der FP-Recorder vorher auch klaglos sein Werk unter v4 getan hatte. Aber... ich hatte mich halt überreden lassen v6 zu aktivieren.

    Hatte sich natürlich auch nichts geändert mit dem FP-Recorder.

    Heute hatte ich dann aber auch mal an der TS-453A den virt. Switch auf v6 bringen wollen.

    Also Assistenten gestartet, IPv4 anlassen zusätzlich v6 aktivieren. Ich Blödi hab das gleich auf allen 4 Ports gemacht, da ich dachte so würde es der virt. Switch besser verkraften.


    IPv6 hatte ich extra Stateless gesetzt weil ich auch die Fritz so eingestellt hatte das der DHCPv6-Server auch über Router-Advertisement bekannt gegeben wird und nur DNS ohne Präfix o.ä.

    Danach war alles zappenduster...


    Ich habe im Netzwerk nichts mehr erreicht, selbst meine Fritzbox nicht mehr.

    Neustart der Fritzbox, alles nichts gebracht.


    Erst nachdem ich die TS-453A per Knöpfchendruck heruntergefahren hatte, hat sich die Fritzbox nach einem erneutem Neustart wieder zurück gemeldet.

    Da ich heute weiter keine Zeit hatte, habe ich die TS-453A erstmal ausgelassen.


    Was meint Ihr, schmiert mir das ganze Netzwerk wieder ab wenn ich sie später wieder anmache?

    Und wenn ja, der 3sec-Reset sollte doch die Netzwerkeinstellungen, neben anderen Sachen doch auch platt machen, oder?

    Hauptsache meine Daten bleiben drauf.

    OK. Habe noch das große TVS-882 von wo aus ich, wenn ich platt machen müsste, sie zurück replizieren könnte, muss aber nicht sein...

    Wie genau hast du denn alle 4 Ports verbunden, einfach so drauf los oder mit einem LAG auf einen managed Switch?

    Denn der vSwitch ist ein Switch, wie in der Fritz auch, der kann zwar Spanning Tree, die Fritz aber nicht.

    Hier kann man also über die Fritz einen Loop bauen und dann stirbt das schwächste Routing Device, in deinem Fall die Fritz, zuerst.


    Mit Spanning Tree kann man das abfangen, da immer nur ein Link aktiv ist und der rest geblockt wird. Aber das muss jede Netzwerkkomponente unterstützen und es muss mit 1-3 Optionen sauber eingestellt werden.


    IPv4 und IPv6 sind verschiedene Welten, was genau hat den nicht funktioniert?

    Zitat von Crazyhorse

    einfach so drauf los oder mit einem LAG auf einen managed Switch

    Wie Du schon sagst, einfach so drauf los ohne Link Aggregation an einem unmangeged Switch. Ich habe das als unnötig bei mir im Netz angesehen, in der Firma nutzen wir das schon, aber ich in meinem Heimnetz bin nicht so auf Latenzzeiten usw. angewiesen.

    Ich bin bei IPv6 ehrlich gesagt totaler Anfänger.

    Ich weiß was es ist, habe aber nur Subnetting v4 mal vor Ewigkeiten gelernt, aber nie wirklich im Kopf behalten.

    Klar ich weiß wie IP-Range und Subnetzmaske zusammen passen müssen. Aber IPv6... Ehrlich gesagt...

    OK ich weiß auch SLAAC usw. also teilweise, aber die wirklichen Hintergründe wie bei v4...?

    OK, das es da einen Herstelleranteil und einen Hostanteil gibt, das ist auch noch angekommen...


    Aber wieso sollte Spanning Tree mich von einem Loop beschützen, wenn ich nur v6 anschalte?

    Die Port haben 2 fest zugewiesene v4-Adressen und ich schalte nur v6 an.


    Wenn ich mein geringes v6 Wissen ansetze, der Herstelleranteil bleibt gleich, der Hostanteil setzt sich durch die MAC-Adresse des Ports zusammen. Und die müssen doch unterschiedlich sein.

    Weil ich die doch der Fritz schon beim v4 mitgeteilt habe, damit die Fritz darüber die v4-Adresse vergibt.

    Wie sollte dabei ein Loop entstehen?

    Wenn ich es zurücksetzen würde, würde ich es auch genauso wieder neu einrichten oder halt mit meinem halbgaren v6-Wissen die Finger von v6 auf dem virt. Switch lassen. Aber ich lerne halt auch gerne dazu...

    Dein vSwitch sollte nur mit einer NIC vom NAS verbunden sein, die keine IP hat, dafür jedoch der vSwitch.

    Korrekt?


    Die anderen NICs am NAS haben direkt eine IP zugewiesen, v4 und v6, korrekt?

    Das funktionierte ohne Probleme.


    Dann hast nur den vSwitch von v4 auf v6 umstellen wollen?


    Dann war alles tot.


    Kann auch ein Bug im QTS sein, denn wenn der Aufbau so war, sollte kein Loop möglich sein.


    Da müsste man am besten mal Whireshark laufen lassen um zu sehen was genau bei dir passiert.

    Aber normal ist das jedenfalls nicht, wenn du das wie oben beschrieben aufgebaut hast.


    Und ja beim 3 Sekunden Reset werden deine Daten erhalten bleiben, nur das Admin Kennwort und der Netzwerkpart ist auf Werkseinstellungen.

    Das NAS bekommt dann ggf. vom DHCP eine andere IP und du kannst wieder neu mit v4 starten.

    Wieso sollte man im privaten heimischen internen Netzwerk IPv6 verwenden wollen, und davon reden wir hier oder? Was sollen da die Vorteile sein?

    Zitat von Mavalok2

    Wieso sollte man im privaten heimischen internen Netzwerk IPv6 verwenden wollen

    Wenn du wüsstest, wie viele Geräte das ohne dein Wissen bereits tun bzw. es tun würden, wenn man sie denn lässt (alle Android-Devices, nahezu alle aktuellen Betriebssysteme, TVs und Media-Player und Setop-Boxen, alle einigermassen aktuelle Qnap-NAS, Webbrowser .usw.


    Und genau da liegt einer der Gründe, man muss sich kaum drum kümmern, dank Autokonfiguration merkt man es oft gar nicht. Selbst wenn dein Provider kein IPv6 anbietet, wird IPv6 im LAN automatisch bevorzugt verwendet, so man es nicht deaktiviert hat. Leider gibt es immer noch Geräte, Provider (fürs Internet), Dienstanbieter und auch lokale Software, die stur am alten IPv4-only festhalten und dadurch Probleme verursachen (z.B. bei Kabelanschlüssen mit DS-Lite gibts viele Probleme mit Playstation Online-Spielen, da zumindest bisher das PSN keine IPv6-Verbindung unterstützt, die XBox kann das dagegen). Im LAN IPv4-only zu nutzen heisst auch, kein direkter Zugriff auf IPv6-only Server im Internet, eine Übersetzung wird notwendig oder man hat gar keinen Zugriff darauf. Das ist einfach nicht mehr zeitgemäss.


    Weitere Vorteile sehe ich darin, dass man z.B. einfach mehrere Heimserver mit eigenen, öffentlichen Adressen vom Internet nutzen kann, kein NAT, Portrouting oder DMZ notwendig, eine Firewall reicht zur Einlasskontrolle. Dazu kommen native IPsec-Unterstützung, bessere Effizienz dank kompakterer und vereinfachter IP-Header und Paketstruktur, es ist einfach in vielerlei Hinsicht moderner, auch wenn es schon mehr als 20 Jahre alt ist. Es ist ausgereift.


    Heutzutage ist, wegen der noch vorhandenen Barrieren (IPv4-only Gateways und Geräte), der echte Dual-Stack das Mittel der Wahl. Aber zum Glück gehts mit IPv6-Unterstützung mittlerweile etwas zügiger voran.


    Noch eine Anekdote hinsichtlich Home-Office in Corona-Zeiten. In unserer Firma wird bisher ebenfalls stur an IPv4 festgehalten, was viele Probleme beim VPN-Zugang schafft (vor allem viele Verbindungsabbrüche bei DS-Lite Zugängen, ein Spass bei Meetings). Das Perverse ist bei mir z.B. (ich habe echtes Dual Stack vom Provider), dass bei mir auf dem Firmen-Laptop alles über IPv6 funktioniert (Outlook, Teams, Browser, usw.), stellt man die VPN-Verbindung her, werden alle IPv6-Verbindungen blockiert und nur IPv4 funktioniert noch, auch für Verbindungen, die gar nicht ins Firmennetz gehen. Sowas ist einfach nur krank und würde durch Zulassung von Dual Stack gelöst werden können, man muss halt auch wollen. Und hieran sieht man besonders deutlich, warum IPv4-only im LAN eben nicht nur lokale Auswirkungen hat, das reicht viel weiter.

    Zitat von Crazyhorse

    Dann hast nur den vSwitch von v4 auf v6 umstellen wollen?

    Komplett umstellen nicht, weil:

    Zitat von warpcam

    Leider gibt es immer noch Geräte, Provider (fürs Internet), Dienstanbieter und auch lokale Software, die stur am alten IPv4-only festhalten und dadurch Probleme verursachen

    Danke Dir, @warpcam der erste der mich versteht.

    Zitat von Mavalok2

    Wieso sollte man im privaten heimischen internen Netzwerk IPv6 verwenden wollen,

    Ich hatte mich das selbe gefragt, aber @warpcam hat die Problematik gut erklärt und ich habe mich von den Vorteilen überzeugen lassen.

    Hintergrund, wie ich bereits sagte, aus einem Forum für einen Linux-basierten Festplattenrecorder, weil mein FP-Recorder plötzlich, nach einem Routertausch extrem langsam beim Zugriff auf die Weboberfläche geworden ist und er dann auch bei der Bedienung per Fernbedienung für 2-3 min festhängt.

    Dort hatte ich gefragt, weil ich nicht der Ober-Junkie in Sachen Linux bin, zumindest was den FP-Recorder betrifft, warum der einen Switch vom IP-Range 192.168.1.xxx zu dem Range der Fritzbox mit 192.168.178.xxx nicht verträgt.

    OK, ich hatte auf dem FP-Recorder noch eine Freigabe auf das NAS hinterlegt, die ich aber bei der Fehlersuche gelöscht habe, da ich die von da aus eh nie wirklich genutzt hatte.

    Trotzdem blieben die Probleme und die Meister da, meinten es würde dran liegen weil ich IPv4-only fahren würde. Der Recorder hatte aber vorher unter dem alten Router im 192.168.1.x-Range ohne Probleme gearbeitet.

    OK, mein alter Router hing hinter einem Kabelmodem was auf der gehen-Seite IPv4 herausgegeben hatte.

    Nun hatte ich mir die neueste Fritz 6660 gekauft und gesehen was @warpcam schon beschrieben hatte, das KD/Vodafone nun mir ebenso Dual Stack auf der WAN-Seite zur Verfügung stellt.

    Also hab ich begonnen IPv6 auch im Heimnetz einzuschalten, aus genau den Gründen die @warpcam oben so schön beschrieben hat.

    Zitat von warpcam

    In unserer Firma wird bisher ebenfalls stur an IPv4 festgehalten, was viele Probleme beim VPN-Zugang schafft

    Und genau hier falle ich in Deinen Ton ein, bei uns genau dasselbe...

    Aber wenn ich als kleiner Standort-Admin ankomme und das bei unserer Corporate-IT an mosere, bin ich das kleine Dummerchen, was von tuten und... keine Ahnung hat.

    Herzlichen Glückwunsch, schöne neue Welt...


    OK, ich schalte die Kiste mal wieder ein, zur Not setze ich halt die Einstellungen zurück.

    Ich hatte nur nach dem 3-sec-Reset gefragt, hatte ihn nämlich noch nie gebraucht, aber mal schauen was nun passiert.

    Max. fliegt meine Tochter aus ihrer Disney-Plus-Serie. Die Frau schläft, also schnell ausnutzen... ;)


    Update:

    Frau ist wieder wach und Netzwerk wieder da. Da muss wirklich bei der Aktivierung von v6 irgendwas auf die Bretter gegangen sein.

    NAS an, Netzwerk tot.

    3sec-Reset und Fritzbox-Neustart und schon alles gut.

    Musste lediglich das NAS auch nochmals neu starten, da der virt. Switch sich nicht öffnen lassen wollte.

    Ich habe nun nichts ändern müssen. Und sogleich quatscht das NAS nun mit v6-chinesisch...

    Code
    Failed to log in via user account "admin". Source IP address: 2a02:8108:52bf:fe07:xxxx:xxxx:xxxx:xxxx


    Bin nur am Überlegen ob sich ein neuanlegen des virt. Switch für meine Belange lohnt.

    OK, dann könnte ich Spanning Tree aktivieren, aber warum sollte ich?

    Hab eh nur 2 NIC in Nutzung und beide laufen auf denselben unmanaged Switch...

    Einmal editiert, zuletzt von Microby ()

    Ok, musst dem nicht nach gehen, wenn jetzt wieder alles funktioniert und dir das reicht.


    Klar funktioniert IPv6 bei den ganzen Dingern @home super, dafür wurde es als zero Conf fähig ja auch entwickelt.


    Hier hat fast jeder eine flache IP/VLAN Struktur, oder wer von euch betreibt @home mehr als ein LAN und ein Gastnetz?

    Also eines für IoT, eines für Multimedia, eines für Kameras, eines für die Haustechnik usw.


    In einer Firma, mit x Standorten, y Clients einigen hundert Servern und hunderte DMZ Systemen und genauso vielen VLANs ist das eine ganz andere Hausnummer, hier mal eben auf DS um zu stellen.

    Hier reicht ein kleiner Fehler auf der Firewall und dann hängt jeder Client offen im Internet und dann ja jeder sehr viel Spaß.

    Das funktioniert halt komplett anders.


    Und dann sind da noch die externen Anbindungen, nicht die User mit ihren einzelnen VPN Zugängen, die könnte man relativ leicht umstellen. Ich meine die unzähligen Side-to-Side Kopplungen, wo auch einige Gurken dabei sind, denen man seinerzeit beim Erstaufbau durch das eigene System helfen musste.

    Jetzt schauen sie mal in die Logs, ist hier P1 oder P2 das Problem?

    Ah P1, ja gut, was steht denn da, ah kann den Endpunkt nicht finden, was haben sie denn eingetragen, ah nein die IP endet mit .23 nicht mit 32.


    So jetzt sehe ich was, ah ja sie haben in P2 die falsche PFS DH eingetragen, da muss 14 stehen, können sie nicht eintragen, ok, was geht denn a 1-2 geht ok.

    Was haben sie denn für ein VPN GW, ok, welche Firmware, ahh ja die erste mit der es geliefert wurde (Kopf Tisch).


    Da willst du einen Dienstleister für den Dienstleiter der das dann mal eben einträgt.

    Crazyhorse, mir ist auch klar, dass es mit Aufwand, Investitionen und Risiken verbunden ist und nicht vom Himmel fällt. Konfigurationsfehlermöglichkeiten gibts auch bei v4 zuhauf, irgendwann muss man halt trotzdem mal mit der Umstellung anfangen. Andere (auch grosse) Firmen haben das auch hinbekommen, den Kopf in den Sand stecken hilft halt irgendwann nicht mehr und man wacht auf ner Kommunikationsinsel auf. Gerade für Technologiefirmen (wie unsere) ist sowas unverständlich und m.E. nicht gerade ein Aushängeschild:/.

    Zitat von warpcam

    Leider gibt es immer noch Geräte, Provider (fürs Internet), Dienstanbieter und auch lokale Software, die stur am alten IPv4-only festhalten und dadurch Probleme verursachen ... Das ist einfach nicht mehr zeitgemäss.

    Noch ärgerlicher finde ich, wenn z.B. der Router vom ISP zwar IPv4, IPv6 und vollen DualStack kann, aber einzelne Features nur in IPv4 implementiert sind, nicht aber in IPv6, obwohl sie mit IPv6 genauso funktionieren sollten, z.B. (Soft-) Faxempfang.

    Zitat von chef1

    Faxempfang.

    Fax? Hmm, kann mich schwach erinnern. Laut Wiki wurde 1865 der erste Fax-Dienst eingerichtet. Also brandaktuelle Technik. chef1 Achtung: Ironie. ;)