IPv6 und UniFi USG mit Telekom DSL

Endlich, mit dem Realase des Controllers 5.7.7 und der USG Firmware 4.4.12, ist es möglich IPv6 auf seiner UniFi Hartware zu konfigurieren. Mittlerweile ist der Controller in der Version  5.7.19 verfügbar und die Firmware für den USG bei 4.4.18 angelangt. Danke an frezy aus dem UBNT Forum und seine Fragen in diesem Post.

Leider ist es noch nicht möglich alle Einstellungen komplett in der GUI zu erledigen und ihr müsst eine Config-Datei anpassen. Ich hoffe das hier bald endlich dieser Umweg entfällt. Ich warte ja immer noch auf die IGMP Header Validation, welche immer noch nicht per GUI abgeschaltet werden kann. Aber immerhin ist jetzt endlich ein Wichtiger Punkt erledigt worden. Das Merkmal ist aber immer noch im Alpha Status, es können also noch ein paar unschöne Bugs auftauchen.

Und wie immer schraubt ihr auf eigene Gefahr, also später bitte nicht meckern 😉

 

Konfiguration des USG für IPv6

Ihr müsst natürlich vorher euren Controller und den USG updaten, denn ansonsten geht nix. Im UniFi Controller wechselt ihr anschließend auf Devices und wählt euren USG aus. Im Reiter Config wählt ihr das WAN Interface. Nun müsst ihr nur unter IPv6 den Connection Type DHCPv6 auswählen und als Prefix Delegation Size 56 angeben.

unifi usg ipv6

 

Konfiguration des IPv6 Netzwerkes

Nun Editier ihr euer Netzwerk unter Settings >> Networks. Hier müsst ihr nur im Bereich Configure IPv6 Network die Prefix Delegation aktivieren und anschließend die Konfiguration speichern.

 

IPv6 in der config.gateway.json aktivieren

Leider müssen wir doch wieder unsere config.gateway.json anpassen. Wir hier bereits beschrieben, müssten wir dort den IGMP-Proxy für Entertain aktivieren und nun müssen wir hier noch Einstellungen vornehmen. So könnte euere config.gateway.json aussehen und vergesst nicht die Einstellungen für den IGMP Proxy zu überprüfen:

{  
        "firewall":{
                "source-validation":"disable"
                },
	"interfaces": {
		"ethernet": {
			"eth0": {
				"vif": {
					"7": {
						"pppoe": {
							"2": {
								"ipv6": {
									"enable": "''"
								}
							}
						}
					}
				}
			}
		},
		"protocols": {
			"igmp-proxy": {
				"interface": {
					"pppoe2": {
						"alt-subnet": [
							"0.0.0.0/0"
						],
						"role": "upstream",
						"threshold": "1"
					},
					"eth1": {
						"alt-subnet": [
							"0.0.0.0/0"
						],
						"role": "downstream",
						"threshold": "1",
						"whitelist": [
							"239.35.0.0/16",
							"232.0.0.0/16"
						]
					}
				}
			}
		}
	}
}

 

Damit solltet ihr alle Einstellungen erledigt haben und euer USG und euere Clients im Netzwerk sollten IPv6 Adressen zugeteilt bekommen.

Eine Variante für Anschlüsse ohne Entertain könnte so aussehen. Der Punkt prefix-only kann bei einer erhöhten last des USG mit aktiviertem IPv6 helfen. Solltet ihr immer noch keine Adresse zugewiesen bekommen, kann der Eintrag rapid-commit helfen. Normalerweise sollte der Eintrag keine Auswirkung haben, aber evtl. gibt es Anschlüsse, die mit dem Rapid Commit nicht zurecht kommen.

"interfaces": {
		"ethernet": {
			"eth0": {
				"vif": {
					"7": {
						"pppoe": {
							"2": {
								"dhcpv6-pd": {
									"prefix-only": "''",
									"rapid-commit": "disable"
								},
								"ipv6": {
									"enable": "''"
								}
							}
						}
					}
				}
			}
		}
	}

 

28 Gedanken zu „IPv6 und UniFi USG mit Telekom DSL“

  1. Sehr interessant, was für einen Router verwendest du? Wir müssen leider mangels alternativen den sch*** speedport hybrid verwenden. Wir kriegen zwar von der Telekom ein /56 Netz zugewiesen, aber der Speedport reduziert das leider auf ein /64 Netz und verteilt in diesem per DHCPv6 fleißig Adressen. Kann ich mit dem USG trotzdem IPv6 subnetting betreiben oder wehrt sich der speedport dagegen?

    Antworten
  2. Hallo,
    ich versuche das ganze mit UnityMedia zum laufen zu bringen aber bisher ohne Erfolg. Ich habe mich an diesem Artikel gerichtet https://help.ubnt.com/hc/en-us/articles/115005868927-UniFi-How-to-Implement-IPv6-with-DHCPv6-and-Prefix-Delegation-on-USG

    Der Ping nach Google ist erfolgreich aber ich glaube die internen Clients bekommen die Falsche Adresse. Muss bei den internen IP Adressen der Pefix des UnityMedia Routers stehen? Bei mir ist das eine komplett andere Adresse.

    Stephan

    Antworten
  3. Mal eine andere Frage,

    geht es mit dem USG auch anders herum.
    Habe ebenfalls einen Speedport Hybrid (im Moment noch ohne Hybrid Anbindung) und eine USG (nocht nicht eingerichtet).
    Von der Telekom wird Dual Stack geliefert.
    Ich möchte meine interne IPV4 Infrastruktur nicht ändern und möchte auch in keinsterweise daran was ändern. Ich möchte auch dass meine Rechner/Server etc..hinter dem Speedport/USG keine IPV6 Adressen bekommen.
    Wie kann ich dies einrichten resp. deaktivieren.
    Gruß Theo

    Antworten
    • Hallo Theo,

      bzgl. IPv6 konfigurierst du es einfach nicht. Ich weiß nicht wie es im Speedport aussieht, aber dort sollte es auch möglich sein IPv6 abzuschalten. Ich persönlich würde jedoch davon abraten, auf IPv6 zu verzichten macht keinen Sinn.
      Was meinst du mit anders herum?

      Gruß,
      Björn

      Antworten
  4. Hi Björn und danke für Deine Antwort.
    Ich meinte mit „anders herum“ oder hatte Dich so verstanden, dass Deine Anleitung dazu dient IPV6 in’s heimische Netz zu integrieren oder habe ich Dich da falsch verstanden.
    Mein Ziel ist es kein IPV6 zu nutzen.
    Ich habe schon einiges gelesen und finde wie es im Moment ist wunderbar.
    Der Aufwand scheint mir recht groß ein Netzwerk was mit IPV6 läuft von der Aussenwelt abzuschirmen und nur die 2-3 Dienste nach Draußen zu leiten. Irgendwie habe ich mich an Portforwarding und reverse progxy gewöhnt.
    An Datenschutz und Privacy wurde da im Vorfeld nicht gedacht und angeblich kann jedes Device mit einer MAC Adresse anhand der IPV6 Kennung indentifiziert werden…da gruselt es mir…
    Korrigiere mich, wenn ich Dich falsch verstanden habe.
    So was wie NAT64 oder NAT46 ist mir lieber…hab auch mühe zu unterscheiden was nun was ist.
    | ——> Rechner 1
    —-IPV6/Internet—> Router | —–internes Netz —-> —-einzelne Rechner | ——> Server
    |——-> iPhone
    Ist dass jetzt NAT64 oder NAT46

    Never touch a running System 😉

    Viele Grüße Theo

    Antworten
    • Ich würde es dann erst gar nicht konfigurieren wenn du kein IPv6 nutzen möchtest. Ich weiß aber nicht ob du die IPv6 Prefix Delegation im Speedport abschalten kannst. Ansonsten muss du IPv6 auf den Clients abschalten. Auf das Natting würde ich auch verzichten. Also entweder richtig IPv6 oder gar nicht. Mit den Privacy Extensions ist das Thema Verfolgbarkeit auch kein Problem.

      Antworten
  5. Hallo,

    Danke für das gute Tutorial. das hat bei mir auch super geklappt. Ich versuche gerade bei mir eine OpenVPN Verbindung einzurichten und das scheint hiermit im Konflikt zu stehen. Wie kann ich denn die Vorgenommenen Änderungen am besten „zurückrollen“?

    Antworten
  6. Hi Björn,

    vielen Dank für Deine Hilfestellung. Funktioniert bei mir Prima!

    1. Kann es sein, dass im config.gateway.json für Entertain eine schließende Klammer im IPv6-Bereich fehlt?

    2. Leider präferiert das aktuelle macOS bzgl. des DNS die IPv6 Server vor den IPv4 Servern (lokaler dnsmasq) sodass lokale IPv4-Adressen nicht aufgelöst werden. Einzige Lösung die ich bisher kenne, ist die DNS-Server in der richtigen Reihenfolge in den Netzwerkeinstellungen des macOS zu hinterlegen.

    Nochmals Danke
    Jan.

    Antworten
  7. Hallo Björn,

    vielen Dank für diese tolle Anleitung.

    Nachdem ich immer wieder Verbinungsabbrüche mit meinen WLAN Geräten habe und es nach einem Problem des DHCP Servers des USG aussieht (IP Konfigurationsfehler auf Android Geräten, Bei Win oder AppleOS wird durch statische IP das Problem gelöst) , könnte ich auch gleich eine Neuinstallation mit IPv6 machen.

    1. Man bekommt von der Telekom einen IPv6 Bereich zugewiesen der dann auf die einzelnen VLAN´s übertragen werden kann, alle Geräte NAS, Server usw. haben eine IPv6 Adresse aus diesem Bereich. Was passiert nach der 180Tage Zwangstrennung? Es wird ja eine neue Adresse bzw. ein neuer Bereich vergeben.

    2. die T-Home Media Boxen bekommen eine IPv4 Adresse, oder?

    3. Ist deine Konfiguration des NEtzwerks IPv6 only oder eine werden beide betrieben.

    Gruß Alex

    Antworten
    • Hallo Alex,

      1. Danach wird eine neue IPv6 Adresse vergeben, da ja der alte Prefix nicht mehr gültig ist.
      2. Ja, ich glaube die machen auch noch kein IPv6. Der TV Traffic wird jedenfalls noch über IPv4 abgewickelt.
      3. Beides

      Grüße,
      Björn

      Antworten
  8. Hallo Björn,

    vielen Dank für deine tolle Anleitung.

    Nachdem die Telekom keine festen IP Adressen vergibt, wie verhält sich dein Netz was aufgrund der IPv6 Zuweisung augebaut ist(z.B. mehrere VLAN´s), nach einer Zwangstrennung.

    Die T-Home Media Receiver bekommen schon noch IPv4, oder?

    Kann man eine VPN genauso mit IPv6 erstellen wie unter IPv4?

    Gruß Alex

    Antworten
    • Hallo Alex,

      nach eine Zwangstrennung wird ein neuer IPv6 Prefix verteilt, das macht kein Problem.
      Die Einstellungen für IPv4 wurden nicht verändert, nur IPv6 hinzugefügt, somit ändert sich dort nichts. Der Receiver laufen also weiter.
      VPN mit IPv6 geht bisher noch nicht. Das Thema IPv6 leider noch nicht ganz fertig, hier muss Ubiquiti noch stark nachlegen.

      Grüße,
      Björn

      Antworten
  9. Hallo Björn,

    erstmal danke für die Anleitung.

    1. Ich habe jetzt nur das Problem das ich via PPPoE nur ein /64 netz zugewießen bekomme, hab ich da irgendeine Konfiguration übersehen?

    2. jedes mal wenn ich versuch die config.gateway.json auf den USG zu provisioniren bekomme ich diese Meldung:
    Gateway Konfiguratinsfehler. Fehlermeldung: { „DELETE“ : { „failure“ : „0“ , „success“ : „1“} , „SESSION_ID“ : „5d0da86687da6a70b660d4417e“ , „SET“ : { „error“ : { „interfaces protocols igmp-proxy interface eth1 vif 10 alt-subnet 0.0.0.0/0“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 role downstream“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 threshold 1“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 whitelist 232.0.0.0/16“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 whitelist 239.35.0.0/16“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface pppoe2 alt-subnet 0.0.0.0/0“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface pppoe2 role upstream“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface pppoe2 threshold 1“ : „The specified configuration node is not valid\n“} , „failure“ : „1“ , „success“ : „1“}

    ich habe diese auf mein Netz soweit angepasst.

    Vieleicht kannst du mir hier helfen.

    Grüße Stephan

    PS. hab dei Controller Version 5.8.28 und das USG hat die 4.4.22.

    Antworten
    • Hallo Stephan,

      1. Du solltest auf deinem WAN Interface ein /56 zugewiesen bekommen und danach im LAN /64 Adressen verteilen. Also erhalten deine Endgeräte eine /65 Adresse.

      2. Zeig mal bitte an config.gateway.json

      Grüße,
      Björn

      Antworten
  10. Kannst Du eventuell aufzeigen wie die ipv6 firewall eingestellt werden muss, so daß man von extern ipv6 auf ein Gerät/Port zugreifen kann? Ipv6 läuft bei mir übe die deutsche Glasfaser im USG. Könnte dieses alles über das Webinterface einrichten.

    Antworten
  11. Hallo,

    habe leider auch keine ipv6 Internetverbindung.
    FTTH Anschluss von der Telekom, Glasfasermodem, USG Pro 4 neuste Firmware und Controller Einwahl direkt über pppoe.
    zwei Netzwerke, jeweils mit Präfix-Delegierung

    ganz am Anfang klappte es. jetzt zeigt es unter den Netzwerkkartendetails immer keine Internetverbindung unter ipv6.

    wenn ich den Haken bei ipv6 Netzwerkprotokoll gesetzt lasse, gibt es immer wieder probleme mit der Internetverbindung.
    es kommt dann oft der Anmeldebildschirm von der Telekom zum Netzwerkeinrichten.
    und es kommen oft Zertifikatswarnung.

    Antworten
  12. Hallo Björn,

    vielen Dank für die tolle Anleitung.
    Ich möchte gerne auf einen anderen Artikel hinweisen, der einen Workaround zu einem Bug beim USG bzgl IPv6 aufzeigt: https://spflug.de/?p=175%C2%A0

    Zusätzlich hier noch ein Tipp was die Entlastung der USG CPU angeht.
    Wenn man das VLAN Tagging (7) für VDSL auf dem Modem macht, anstatt auf dem USG kann man für IPv6 die Hardwarebeschleunigung nutzen, denn gleichzeitig für pppoe und VLAN Tagging kann man beim USG für IPv6 keine Hartdwarebeschleunigung einschalten.
    Die erste Zeile der folgenden Befehle betrifft noch den Workaround zum IPv6 Bug.
    Kommt aber in der verlinkten Beschreibung nicht besonders deutlich rüber.

    xxx@USG# set interfaces ethernet eth0 pppoe 0 dhcpv6-pd prefix-only
    [edit]
    xxx@USG# set system offload ipv6 vlan disable
    [edit]
    xxx@USG# set system offload ipv6 pppoe enable
    [edit]
    xxx@USG# commit

    Grüße,
    Brümmie

    Antworten
  13. Noch ein Vorschlag, wie man seine Firewall auf dem USG für IPv6 einstellen sollte, wenn man keine IPv6 Services aus dem Internet erreichbar machen will:

    WAN IN:
    – Accept ICMPv6 Packet too Big
    – Accept ICMPv6 Destination Unreachable
    – Accept ICMPv6 Parameter Problem
    – Accept allow established/related sessions
    – Drop invalid state

    WAN Local:
    – Accept ICMPv6 Neighbor Advertisements
    – Accept ICMPv6 Neighbor Solicitation
    – Accept DHCPv6 (UDP 547)
    – Accept ICMPv6 Router Advertisements
    – Accept allow established/related sessions
    – Drop invalid state

    Grüße,
    Brümmie

    Antworten
  14. Hallo Brümmie,

    danke für den Hinweis, gibt es eine Möglichkeit diese Einstellungen Boot restistent zu machen (z.b. über die config.gateway.json) oder muss man das nach jedem neustart oder provisionieren per SSH neu machen?

    Grüße,
    c0mplemax

    Antworten
  15. Hallo Björn,
    ein sehr interessanter Artikel. Kannst du ein Update geben, wie es mit dem aktuellen Release (4.4.44.5213871) der USG aussieht. Sind immer noch manuelle Einträge notwendig?
    Vielen Dank vorab und weiter so!
    Schöne Grüße,
    Martin

    Antworten
    • Hallo Martin,

      aufgrund der vielen Bastellösungen habe ich bisher keinen USG bei mir im Einsatz.
      Ich sammel bisher nur die Infos. Bisher ist mir nicht mehr bekannt, aber es kann mittlerweile besser laufen.

      Grüße,
      Björn

      Antworten
  16. Hallo Björn,

    Danke für die Infos. Inzwischen kann man Firewall-Regeln direkt eintragen. Ich habe hier Telekom VDSL2. Ich bekomme meine IPv6-delegiertenAdressen zugeteilt. Wenn ich z. B. Port 22 für alle Host zulassen, dann klappt das auch.
    Nun möchte ich aber die Freigabe auf einen Host beschränken. Dessen IP6 ist ja auch dynamisch. Was muss ich im Firewall eintragen, damit das klappt?

    Danke für jeden Hinweis.

    Grüße
    Ingo

    Antworten
  17. Hallo Björn,

    ich habe den gleichen Fehler wie Stephan wenn ich versuche, Deine Config (IPv6 mit MagentaTV) zu verwenden. Was funktioniert, ist die „ganz“ einfache Config aus der anderen Anleitung.

    Problem:
    Ich habe eine hohe CPU Last auf dem Controller, die ich mit dem manuellen Befehl set interfaces ethernet eth0 vif 7 pppoe 2 dhcpv6-pd prefix-only in den Griff bekommen kann. Allerdings nur, bis zum nächsten Provisionieren.

    Hast Du eine Idee, was ich tun muss um den Befehl in meine funktionierende Config zu integrieren?

    {
    „protocols“: {
    „igmp-proxy“: {
    „interface“: {
    „pppoe2“: {
    „alt-subnet“: [
    „0.0.0.0/0“
    ],
    „role“: „upstream“,
    „threshold“: „1“
    },
    „eth1“: {
    „alt-subnet“: [
    „192.168.1.xxx/32“
    ],
    „role“: „downstream“,
    „threshold“: „1“,
    „whitelist“: [
    „239.35.0.0/16“,
    „232.0.0.0/16“
    ]
    }
    }
    }
    }
    }

    Danke für jeden Hinweis und: großartiger Blog: immerhin läuft Magenta TV schon mal (und IPv6 ebenso),
    Viele Grüße,
    Marko

    Antworten

Schreibe einen Kommentar