135624
Goto Top

Routing-Frage IPv6 und IPv4

Hallo,

ich habe eine Frage zum Thema IPv6. Ich habe das mit dem Subnetting ungefähr begriffen nur eines ist mir nicht klar und ich hab richtig einen Knoten im Kopf. Ich kann mir einfach nicht vorstellen, wie das ohne NAT laufen soll.

IPv6 hat ja den Vorteil das es eigentlich alles vereinfacht. Jedes Endgerät hat eine eindeutige IP-Adresse.

Szenario ist anbei.

Wenn ich jetzt eine IPv4-Adresse nehme, würde ich einfach ein Port-Forwarding einrichten, wenn ich Dienste/Clients von extern erreichbar machen möchte. Aber Port-Forwarding ist ja nur mit NAT möglich (So wie auf der Fritzbox) <- Wenn ich hier schon falsch liege, klärt mich bitte auf. Ich will nicht ausschließen, dass ich Routing mit IPv4 schon gar nicht erst begriffen habe.

Da der Client in dem Fall aber schon die externe IPv6-Adresse hat. Doch... hier hab ich einen Knoten. Ich durchdringe das irgendwie nicht...

Vielleicht hat hier jemand ein paar richtig geile Links oder vielleicht sogar Videos (ich lerne besser wenn jemand quasselt :D)

Ich danke Euch!
VG
Green14
unbenannt

Content-Key: 369203

Url: https://administrator.de/contentid/369203

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: 135624
135624 24.03.2018 um 15:54:22 Uhr
Goto Top
UPDATE:
Ich glaub eine Denkfehler hab ich gerade beseitigt. Ich ging eben davon aus, dass die IP-Adresse V4 oder V6 iwie intern bereitgestellt wird. In gewisser weise ist das auch so, aber die IPv6-Adresse und gewissen IPv4-Bereiche sind ja global verfügbar und werden dann entsprechend geroutet. D.h. MIR wird die Adresse zugewiesen und ICH sage wie es ab WAN weitergeht. Das heißt grob gesprochen kommt über Port 443 ne Anfrage und ich sag, YES COOL lass mal durch. Aber ab da hakt es wieder.

Wenn ich die erste Firewall als Paket überwunden habe, weil ich durchgelassen wurde, wie sagt man der Firewall oder dem Paket, dass es von der Firewall für das NetzLab aufgenommen bzw. da hin wandern soll?

Wie ich mir das routing vorstellen soll verstehe ich leider nicht und kann ich mir auch nicht vorstellen.

Danke für Input face-smile
Mitglied: canlot
canlot 24.03.2018 um 16:16:07 Uhr
Goto Top
Hi,

ich glaube du hast NAT nicht verstanden, NAT gibt es in der Form vom NAT und PAT.
Wenn man meistens von NAT spricht was deine Firtzbox macht, ist es PAT.
Bei PAT ist es so, dass weil es private(interne) Ip-Adressen gibt, wird die Zuordnung woher das Paket kommt im Router übersetzt.

z.B. dein Rechner IP: 192.168.1.10 Port 1000 möchte auf einen Webserver zugreifen auf 100.10.10.1 Port 80.
Weil aber in deinem Rechner die Fritte als Gateway eingetragen ist z.B. als 192.168.1.1 geht das Paket erstmal zu der Fritte.
D.h. die Fritte entscheidet was es als Absende Ip-Adresse und Port einträgt.

Wenn der Port 1000 in der Fritte frei ist dann ersetzt er die Ip-Adresse deines Rechners durch seine und macht einen Eintrag in der Tabelle.
192.168.1.10:1000 <-> 192.168.1.1:1000 damit er weiß wohin er die Pakete weiterleitet die an 192.168.1.1:1000 von extern ankommen.
Wenn aber der Port 1000 besetzt ist, weil z.B. ein anderer Rechner vom Port 1000 schon sendet, nimmt er einen anderen freien, z.B. 1001, die Tabelle würde dann so aussehen:
192.168.1.10:1000 <-> 192.168.1.1:1001

Ein Portforwarding brauchst du nur, weil vorher keine Verbindung von innen aufgebaut worden ist und dein Router weiß nicht wohin er die Pakete schicken soll, weil kein NAT Eintrag in der Tabelle zu finden ist. Da setzt du einen Eintrag in deinen Router damit er weiß, an welche Adresse und Port er eingehende Pakete an einen bestimmten Port schicken soll.

Man braucht aber das NAT nicht, wenn man noch genug globale IPv4-Adressen hat, dann muss man mit der Firewall regeln was wohin gehen darf und was nicht.

So ist das auch mit Ipv6, du brauchst das NAT nicht weil es genug globale IPv6 Adressen für jeden gibt.

Gruß
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.03.2018, aktualisiert am 26.03.2018 um 10:28:14 Uhr
Goto Top
Moin,

Ich glaube, Du solltest Dir die Grundlagen nochmal anschauen.

Routing funktioniert ganz ohne NAT. NAT ist nur eine Krücke, um IP-Adressknappheit zu kompensieren.

IPv4 udn IPv6-Routing funktioniert identisch. Man hat Routingtabellen, die über diverse Routingprotokolle oder statisch aufgebaut werden und jedes IP-Gerät weiß, wo er ein Paket hinschicken muß. Wenn es die Antwort in der Tabelle nicht findet, wird das Paket verworfen und eine ICMP-Meldung an den Absender verschickt.

Bei NAT sagtst Du einfach dem NATtenden Router, was er mit ankommenden Pkaten machen soll, die er nicht aufgrund seiner NAT-Tabelle zuordnen kann.

lks
Mitglied: 135624
135624 24.03.2018 um 16:48:13 Uhr
Goto Top
Genau, das kenne ich. Das gleiche passiert ja auch auf Layer 2 mit MAC-Adressen.

Genau nur beim Beispiel nennen wir mal den Bereich zwischen den 4 Firewalls Netz BLA. D.h. die oberste Firewall hat 2 Interfaces WAN und BLA. Die drei anderen haben als Interface BLA und ihr internes Netz. So eine belibige IPv6 oder auch ein ganzes SUbnetz terminiert am WAN. So die Firewall blockiert alles. Ich gebe die Adresse frei und sage, wenn du über Adresse x über port 1234 kommst, darfst du durch in das Netz BLA. so nun hat ja jede Firewall doch auch eine IP im Netz bla. Sonst würden sich die Firewalls untereinander nicht "sehen". Und ab hier geht es nicht weiter. Das verstehe ich iwie nicht ohne an NAT zu denken :D

Danke Dir/Euch!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.03.2018 um 16:57:17 Uhr
Goto Top
Zitat von @135624:

Genau, das kenne ich. Das gleiche passiert ja auch auf Layer 2 mit MAC-Adressen.

Genau nur beim Beispiel nennen wir mal den Bereich zwischen den 4 Firewalls Netz BLA. D.h. die oberste Firewall hat 2 Interfaces WAN und BLA. Die drei anderen haben als Interface BLA und ihr internes Netz. So eine belibige IPv6 oder auch ein ganzes SUbnetz terminiert am WAN. So die Firewall blockiert alles. Ich gebe die Adresse frei und sage, wenn du über Adresse x über port 1234 kommst, darfst du durch in das Netz BLA.

Das Paket kommt nicht an die IP-Adresse der Firewall, sondern an die Ip-Adresse des Gerätes, das das Ziel ist.

Du sagst Deiner Firewall nur, ein Paket an die IP-Adresse des Zielgeräte mit Zielport 1234 druchzulassen. Den Rest macht das reguläre Routing.

lks
Mitglied: aqui
Lösung aqui 24.03.2018, aktualisiert am 26.03.2018 um 10:29:11 Uhr
Goto Top
Aber Port-Forwarding ist ja nur mit NAT möglich (So wie auf der Fritzbox) <- Wenn ich hier schon falsch liege, klärt mich bitte auf.
Nein, alles richtig !
Mit dem Port Forwarding Eintrag überwindest du die lokale NAT Firewall die dir sonst eingehende Sessions sofort blocken würde.
Damit sagts du ihr z.B. "Alles was hier mit TCP Port 80 reinkommt forwarde bitte auf IP Adresse xyz und Port TCP 80"
Da der Client in dem Fall aber schon die externe IPv6-Adresse hat.
Wie gesagt du redest hier von IPv6 also ganz andere Baustelle !!!
Der Router arbeitet im Dual Stack Verfahren und für IPv6 Traffic macht er kein NAT, dort gibt es also die NAT Firewall NICHT ! Er unterscheidet also schon zw. IPv4 und v6 Traffic.
Intern, also im lokalen LAN hast du dann ein öffentliches IPv6 Subnetz was dir der Provider gibt und er über das Routing im ganzen Internet bekannt macht.
Also auch der Client in Timbuktu oder in Australien "kennt" dein lokales Subnetz zuhause und den Weg dorthin.
Folglich brauchst du logischerweise auch kein NAT.

Das ist bei IPv4 NICHT der Fall. Wegen der globalen IPv4 Adressknappheit kann dir der Provider keine lokale IPv4 Netzadresse geben die öffentlich ist. Es gibt einfach keine IPv4 Adresskontingente mehr dafür.
Deshalb tricksen manche (TV Kabel) Provider auch mit DS-Lite und Provider NAT (CGN). Auf vielen Mobilnetzen (LTE und UMTS) ist das auch der Fall.
Deshalb wird dort immer ein privates RFC 1918 IPv4 Netz https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche verwendet was im Internet NICHT geroutet wird also unbekannt ist.
Der gesamte IPv4 Verkehr aus diesem Netz (deinem lokalen v4 Netz) wird dann umgesetzt auf die WAN/Internet Port IP die du vom Provider bekommst (=NAT=Network Adrress Translation).
Diese WAN Port IPv4 Adresse ist natürlich wieder öffentlich. Dein gesamtes lokales v4 Netz "versteckt" sich also hinter der Provider IP Adresse an deinem Router.

Da du bei IPv6 jedes Sandkorn mit einer IP Adresse versehen kannst ist diese Knappserei und NAT Trickserei mit den IPv6 Adressen nicht mehr nötig.
Eigentlich doch alles ganz einfach und kinderleicht, oder ? Wo ist also dein wirklicher Knoten ? face-wink

wie sagt man der Firewall oder dem Paket, dass es von der Firewall für das NetzLab aufgenommen bzw. da hin wandern soll?
Da solltest du erstmal genau deine Sichtweise klarstellen ??
  • Meinst du jetzt IPv6 oder IPv4 ??
  • Meinst du eingehende Pakete aus dem Internet in Richtung lokales Netz ? Oder....
  • meinst du ausgehende Pakete aus dem lokalen Netz in Richtung Internet ?
Das solltest du erstmal ganz genau klarstellen bevor wir hier weitermachen !
Wie ich mir das routing vorstellen soll verstehe ich leider nicht und kann ich mir auch nicht vorstellen.
Auch hier die Frage ? Routing für v4 oder v6 ??
Ist aber ab Provider so oder so immer gleich. Im Internet werden alle IP Netze jedem Provider bekannt gemacht. Dazu nutzt man dynmaische Routing Protokolle wie IS-IS oder BGP.
Jeder Provider kennt jedes Netz. Bei IPv6 auch noch jedes lokale Subnetz eines jeden Users.
Kollege canlot hat es oben ja schon hinreichend erklärt was NAT und was Routing ist (und was es nicht ist...)
Das gleiche passiert ja auch auf Layer 2 mit MAC-Adressen.
WAS bitte kennst du da ? Hoffentlich kein NAT, denn das gibt es de facto NICHT im L2 mit Mac Adressen.
zwischen den 4 Firewalls Netz BLA. D.h. die oberste Firewall hat 2 Interfaces WAN und BLA. Die drei anderen haben als Interface BLA und ihr internes Netz.
Bahnhof ???
Ist das die Skizze da von oben ??
Die 4 Firewall müssen entweder statische Routen haben oder dynamisch routen (RIPv2, OSPF etc.) wenn sie öffentliche Netze lokal haben. Sprich sie müssen dann die lokalen Netze bzw. den Weg dahin kennen !
Bei NAT nicht, da kann man dann nur mit Port Forwarding arbeiten. Durch das NAT "sehen" die FWs die lokalen Netze ja nicht und "denken" der ganze Traffic kommt vom WAN Port Netzwerk.
So eine belibige IPv6 oder auch ein ganzes SUbnetz terminiert am WAN.
Richtig, vorher ist aber vom WAN schon per Prefix Delegation die 4 IPv6 Sunetze an die Firewalls übermittelt worden.
Eins fürs Netzwerk BLA und die 3 Subnetze an den 3 FWs. Sprich also alle 4 Subnetze sind bekannt im gesamten Internet.
Wenn du ohne Prefix Delegation arbeitest bekommst du vom Provider eben diese 4 Subnetze zugeteilt und konfigurierst die statisch. Beides ist möglich...
so nun hat ja jede Firewall doch auch eine IP im Netz bla. Sonst würden sich die Firewalls untereinander nicht "sehen". Und ab hier geht es nicht weiter.
Anhand der IP Zieladresse (egal ob v4 oder v6) bestimmst du doch in welches Zielnetz du an deinem Konstrukt willst. Ist doch ganz einfach:

Wenn du über Absenderadresse xyz::1 aus dem Internet über Port 1234 kommst, und als Zieladresse BLA::1 hast, darfst du durch (Firewallregel) in das Netz BLA zum Zielhost ::1.
Wenn das Ziel nun BLUB::1 ist (angenommen ein Host im lokalen Subnetz BLUB an Firewall 3) dann ist das identisch wie oben.
Firewall 1 muss das durchlassen mit einer Regel (von xyz nach BLUB darf passieren).
In ihrer Routing Tabelle steht: "BLUB erreichst du über das Gateway BLA:3"(BLA Port an FW3) routet FW1 das dann an FW3.
FW3 wiederum sieht in ihre Routing Tabelle und sieht das das Netz BLUB direkt an ihr dran ist und forwardet das zum Zielhost :1.
Eigentlich doch ein Kinderspiel, oder ?
Das verstehe ich iwie nicht ohne an NAT zu denken :D
Vielleicht hilft dir mal dieses Routing Tutorial zu lesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Speziell der Packet Walk durch so ein Netz !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wie Kollege LKS schon sagt... NAT und Routing sind 2 völlig verschiedene Baustellen.
Mitglied: aqui
aqui 26.03.2018 um 10:24:41 Uhr
Goto Top
Wenns das denn nun war und du alles hoffentlich "gerafft" hast, dann bitte auch...
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
nicht vergessen !