IPv6 und UniFi USG mit Telekom DSL

Endlich, mit dem Realase des Controllers 5.7.7 und der USG Firmware 4.4.12, ist es möglich IPv6 auf seiner UniFi Hartware zu konfigurieren. Mittlerweile ist der Controller in der Version  5.7.19 verfügbar und die Firmware für den USG bei 4.4.18 angelangt. Danke an frezy aus dem UBNT Forum und seine Fragen in diesem Post.

Leider ist es noch nicht möglich alle Einstellungen komplett in der GUI zu erledigen und ihr müsst eine Config-Datei anpassen. Ich hoffe das hier bald endlich dieser Umweg entfällt. Ich warte ja immer noch auf die IGMP Header Validation, welche immer noch nicht per GUI abgeschaltet werden kann. Aber immerhin ist jetzt endlich ein Wichtiger Punkt erledigt worden. Das Merkmal ist aber immer noch im Alpha Status, es können also noch ein paar unschöne Bugs auftauchen.

Und wie immer schraubt ihr auf eigene Gefahr, also später bitte nicht meckern 😉

 

Konfiguration des USG für IPv6

Ihr müsst natürlich vorher euren Controller und den USG updaten, denn ansonsten geht nix. Im UniFi Controller wechselt ihr anschließend auf Devices und wählt euren USG aus. Im Reiter Config wählt ihr das WAN Interface. Nun müsst ihr nur unter IPv6 den Connection Type DHCPv6 auswählen und als Prefix Delegation Size 56 angeben.

unifi usg ipv6

 

Konfiguration des IPv6 Netzwerkes

Nun Editier ihr euer Netzwerk unter Settings >> Networks. Hier müsst ihr nur im Bereich Configure IPv6 Network die Prefix Delegation aktivieren und anschließend die Konfiguration speichern.

 

IPv6 in der config.gateway.json aktivieren

Leider müssen wir doch wieder unsere config.gateway.json anpassen. Wir hier bereits beschrieben, müssten wir dort den IGMP-Proxy für Entertain aktivieren und nun müssen wir hier noch Einstellungen vornehmen. So könnte euere config.gateway.json aussehen und vergesst nicht die Einstellungen für den IGMP Proxy zu überprüfen:

{  
        "firewall":{
                "source-validation":"disable"
                },
	"interfaces": {
		"ethernet": {
			"eth0": {
				"vif": {
					"7": {
						"pppoe": {
							"2": {
								"ipv6": {
									"enable": "''"
								}
							}
						}
					}
				}
			}
		},
		"protocols": {
			"igmp-proxy": {
				"interface": {
					"pppoe2": {
						"alt-subnet": [
							"0.0.0.0/0"
						],
						"role": "upstream",
						"threshold": "1"
					},
					"eth1": {
						"alt-subnet": [
							"0.0.0.0/0"
						],
						"role": "downstream",
						"threshold": "1",
						"whitelist": [
							"239.35.0.0/16",
							"232.0.0.0/16"
						]
					}
				}
			}
		}
	}
}

 

Damit solltet ihr alle Einstellungen erledigt haben und euer USG und euere Clients im Netzwerk sollten IPv6 Adressen zugeteilt bekommen.

Eine Variante für Anschlüsse ohne Entertain könnte so aussehen. Der Punkt prefix-only kann bei einer erhöhten last des USG mit aktiviertem IPv6 helfen. Solltet ihr immer noch keine Adresse zugewiesen bekommen, kann der Eintrag rapid-commit helfen. Normalerweise sollte der Eintrag keine Auswirkung haben, aber evtl. gibt es Anschlüsse, die mit dem Rapid Commit nicht zurecht kommen.

"interfaces": {
		"ethernet": {
			"eth0": {
				"vif": {
					"7": {
						"pppoe": {
							"2": {
								"dhcpv6-pd": {
									"prefix-only": "''",
									"rapid-commit": "disable"
								},
								"ipv6": {
									"enable": "''"
								}
							}
						}
					}
				}
			}
		}
	}

 

17 Gedanken zu “IPv6 und UniFi USG mit Telekom DSL

  1. Sehr interessant, was für einen Router verwendest du? Wir müssen leider mangels alternativen den sch*** speedport hybrid verwenden. Wir kriegen zwar von der Telekom ein /56 Netz zugewiesen, aber der Speedport reduziert das leider auf ein /64 Netz und verteilt in diesem per DHCPv6 fleißig Adressen. Kann ich mit dem USG trotzdem IPv6 subnetting betreiben oder wehrt sich der speedport dagegen?

    • Passt doch, du bekommst ein /56 auf der WAN-Seite und der Speedport kann danach /64 Adressen verteilen, das ist kein Problem des Speedports, sondern normal.
      Wenn du den USG als Router verwendest, könntest du verschiedene DHCPv6 Bereich per VLAN einrichten, dazu müsste dein Netz aber auch VLANs unterstützen.

  2. Hallo,
    ich versuche das ganze mit UnityMedia zum laufen zu bringen aber bisher ohne Erfolg. Ich habe mich an diesem Artikel gerichtet https://help.ubnt.com/hc/en-us/articles/115005868927-UniFi-How-to-Implement-IPv6-with-DHCPv6-and-Prefix-Delegation-on-USG

    Der Ping nach Google ist erfolgreich aber ich glaube die internen Clients bekommen die Falsche Adresse. Muss bei den internen IP Adressen der Pefix des UnityMedia Routers stehen? Bei mir ist das eine komplett andere Adresse.

    Stephan

  3. Mal eine andere Frage,

    geht es mit dem USG auch anders herum.
    Habe ebenfalls einen Speedport Hybrid (im Moment noch ohne Hybrid Anbindung) und eine USG (nocht nicht eingerichtet).
    Von der Telekom wird Dual Stack geliefert.
    Ich möchte meine interne IPV4 Infrastruktur nicht ändern und möchte auch in keinsterweise daran was ändern. Ich möchte auch dass meine Rechner/Server etc..hinter dem Speedport/USG keine IPV6 Adressen bekommen.
    Wie kann ich dies einrichten resp. deaktivieren.
    Gruß Theo

    • Hallo Theo,

      bzgl. IPv6 konfigurierst du es einfach nicht. Ich weiß nicht wie es im Speedport aussieht, aber dort sollte es auch möglich sein IPv6 abzuschalten. Ich persönlich würde jedoch davon abraten, auf IPv6 zu verzichten macht keinen Sinn.
      Was meinst du mit anders herum?

      Gruß,
      Björn

  4. Hi Björn und danke für Deine Antwort.
    Ich meinte mit „anders herum“ oder hatte Dich so verstanden, dass Deine Anleitung dazu dient IPV6 in’s heimische Netz zu integrieren oder habe ich Dich da falsch verstanden.
    Mein Ziel ist es kein IPV6 zu nutzen.
    Ich habe schon einiges gelesen und finde wie es im Moment ist wunderbar.
    Der Aufwand scheint mir recht groß ein Netzwerk was mit IPV6 läuft von der Aussenwelt abzuschirmen und nur die 2-3 Dienste nach Draußen zu leiten. Irgendwie habe ich mich an Portforwarding und reverse progxy gewöhnt.
    An Datenschutz und Privacy wurde da im Vorfeld nicht gedacht und angeblich kann jedes Device mit einer MAC Adresse anhand der IPV6 Kennung indentifiziert werden…da gruselt es mir…
    Korrigiere mich, wenn ich Dich falsch verstanden habe.
    So was wie NAT64 oder NAT46 ist mir lieber…hab auch mühe zu unterscheiden was nun was ist.
    | ——> Rechner 1
    —-IPV6/Internet—> Router | —–internes Netz —-> —-einzelne Rechner | ——> Server
    |——-> iPhone
    Ist dass jetzt NAT64 oder NAT46

    Never touch a running System 😉

    Viele Grüße Theo

    • Ich würde es dann erst gar nicht konfigurieren wenn du kein IPv6 nutzen möchtest. Ich weiß aber nicht ob du die IPv6 Prefix Delegation im Speedport abschalten kannst. Ansonsten muss du IPv6 auf den Clients abschalten. Auf das Natting würde ich auch verzichten. Also entweder richtig IPv6 oder gar nicht. Mit den Privacy Extensions ist das Thema Verfolgbarkeit auch kein Problem.

  5. Hallo,

    Danke für das gute Tutorial. das hat bei mir auch super geklappt. Ich versuche gerade bei mir eine OpenVPN Verbindung einzurichten und das scheint hiermit im Konflikt zu stehen. Wie kann ich denn die Vorgenommenen Änderungen am besten „zurückrollen“?

    • Hallo Markus,

      zu OpenVPN kann ich nichts sagen. Ich würde alle hier beschriebenen Änderungen rückgängig machen, wenn diese ein Problem darstellen.

      Grüße,
      Björn

  6. Hi Björn,

    vielen Dank für Deine Hilfestellung. Funktioniert bei mir Prima!

    1. Kann es sein, dass im config.gateway.json für Entertain eine schließende Klammer im IPv6-Bereich fehlt?

    2. Leider präferiert das aktuelle macOS bzgl. des DNS die IPv6 Server vor den IPv4 Servern (lokaler dnsmasq) sodass lokale IPv4-Adressen nicht aufgelöst werden. Einzige Lösung die ich bisher kenne, ist die DNS-Server in der richtigen Reihenfolge in den Netzwerkeinstellungen des macOS zu hinterlegen.

    Nochmals Danke
    Jan.

    • Hallo Jan,

      1. das File ist ein valides JSON File, sollte also passen.
      2. Danke für den Hinweis, habe ich bisher nicht drauf geachtet

      Grüße,
      Björn

  7. Hallo Björn,

    vielen Dank für diese tolle Anleitung.

    Nachdem ich immer wieder Verbinungsabbrüche mit meinen WLAN Geräten habe und es nach einem Problem des DHCP Servers des USG aussieht (IP Konfigurationsfehler auf Android Geräten, Bei Win oder AppleOS wird durch statische IP das Problem gelöst) , könnte ich auch gleich eine Neuinstallation mit IPv6 machen.

    1. Man bekommt von der Telekom einen IPv6 Bereich zugewiesen der dann auf die einzelnen VLAN´s übertragen werden kann, alle Geräte NAS, Server usw. haben eine IPv6 Adresse aus diesem Bereich. Was passiert nach der 180Tage Zwangstrennung? Es wird ja eine neue Adresse bzw. ein neuer Bereich vergeben.

    2. die T-Home Media Boxen bekommen eine IPv4 Adresse, oder?

    3. Ist deine Konfiguration des NEtzwerks IPv6 only oder eine werden beide betrieben.

    Gruß Alex

    • Hallo Alex,

      1. Danach wird eine neue IPv6 Adresse vergeben, da ja der alte Prefix nicht mehr gültig ist.
      2. Ja, ich glaube die machen auch noch kein IPv6. Der TV Traffic wird jedenfalls noch über IPv4 abgewickelt.
      3. Beides

      Grüße,
      Björn

  8. Hallo Björn,

    vielen Dank für deine tolle Anleitung.

    Nachdem die Telekom keine festen IP Adressen vergibt, wie verhält sich dein Netz was aufgrund der IPv6 Zuweisung augebaut ist(z.B. mehrere VLAN´s), nach einer Zwangstrennung.

    Die T-Home Media Receiver bekommen schon noch IPv4, oder?

    Kann man eine VPN genauso mit IPv6 erstellen wie unter IPv4?

    Gruß Alex

    • Hallo Alex,

      nach eine Zwangstrennung wird ein neuer IPv6 Prefix verteilt, das macht kein Problem.
      Die Einstellungen für IPv4 wurden nicht verändert, nur IPv6 hinzugefügt, somit ändert sich dort nichts. Der Receiver laufen also weiter.
      VPN mit IPv6 geht bisher noch nicht. Das Thema IPv6 leider noch nicht ganz fertig, hier muss Ubiquiti noch stark nachlegen.

      Grüße,
      Björn

  9. Hallo Björn,

    erstmal danke für die Anleitung.

    1. Ich habe jetzt nur das Problem das ich via PPPoE nur ein /64 netz zugewießen bekomme, hab ich da irgendeine Konfiguration übersehen?

    2. jedes mal wenn ich versuch die config.gateway.json auf den USG zu provisioniren bekomme ich diese Meldung:
    Gateway Konfiguratinsfehler. Fehlermeldung: { „DELETE“ : { „failure“ : „0“ , „success“ : „1“} , „SESSION_ID“ : „5d0da86687da6a70b660d4417e“ , „SET“ : { „error“ : { „interfaces protocols igmp-proxy interface eth1 vif 10 alt-subnet 0.0.0.0/0“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 role downstream“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 threshold 1“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 whitelist 232.0.0.0/16“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface eth1 vif 10 whitelist 239.35.0.0/16“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface pppoe2 alt-subnet 0.0.0.0/0“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface pppoe2 role upstream“ : „The specified configuration node is not valid\n“ , „interfaces protocols igmp-proxy interface pppoe2 threshold 1“ : „The specified configuration node is not valid\n“} , „failure“ : „1“ , „success“ : „1“}

    ich habe diese auf mein Netz soweit angepasst.

    Vieleicht kannst du mir hier helfen.

    Grüße Stephan

    PS. hab dei Controller Version 5.8.28 und das USG hat die 4.4.22.

    • Hallo Stephan,

      1. Du solltest auf deinem WAN Interface ein /56 zugewiesen bekommen und danach im LAN /64 Adressen verteilen. Also erhalten deine Endgeräte eine /65 Adresse.

      2. Zeig mal bitte an config.gateway.json

      Grüße,
      Björn

Schreibe einen Kommentar