Bis neulich hatte ich einen normalen DSL-Anschluss von 1&1: Per PPPoE eingewählt und eine IPv4-Adresse bekommen – fertig. Das kann neben der FRITZ!Box natürlich auch jeder vernünftige Router oder Firewall.
Jetzt habe ich endlich einen richtigen Dual-Stack (IPv4 und IPv6) Anschluss der Telekom (Glasfaser “MagentaZuhause M” ohne Fernsehen, siehe hier). Juchu! 
Bevor ich jedoch den mitgelieferten Speedport durch diverse andere Testgeräte ersetze, wollte ich mal vernünftig mitschneiden, welche Protokolle denn bei einem Verbindungsaufbau genau eingesetzt werden. Vor allem die Prefix Delegation über DHCPv6 interessierte mich…
Bis jetzt findet man im Netz leider wenig Details über die genauen Einstellungen eines solchen Verbindungsaufbaus. Lediglich dieser Artikel auf Heise gibt ein paar Hinweise.
Ich verwende aktuelle noch den mitgelieferten Speedport W 724V. Zwischen diesem und dem Glasfasermodem habe ich einen 100 MBit Hub (ja, Hub!) geklemmt, um an einem weiteren Port passiv alles mitschneiden zu können. Hier ein paar Infos dazu, die zukünftig hoffentlich noch mal irgendwem anders helfen.
VLAN 7
Ganz wichtige Info am Anfang: Das komplette Internet findet im VLAN 7 statt! Das heißt, zwischen dem Ethernet Frame und PPPoE hängt noch ein 802.1Q Tag. Er hat standardmäßig die Priorität 0. Der Voice Traffic (SIP) läuft ebenfalls über VLAN 7, allerdings mit Priority 6. So ergibt sich eine ganze Reihe an “Encapsulations“, die sich in Wireshark so darstellt (im Beispiel eines DNS Requests):
Verbindungsaufbau
Protokollmäßig sieht der Verbindungsaufbau chronologisch wie folgt aus:
- PPPoE Discovery
- PPP LCP (RFC 1661) Configuration Request und Ack
- PPP PAP Login
- PPP IPCP (RFC 1332) um IPv4 Adresse + IPv4 DNS Server zu erhalten. (Die IP Adresse erscheint im ersten Nak Paket, was laut RFC korrekt ist: “The peer can provide this information by NAKing the option, and returning a valid IP-address.”)
- PPP IPV6CP (RFC 5072) Configuration Request und Ack. Hier informieren sich beide Seiten über ihre IPv6 Interface Identifier, in meinem Fall eine …ff:fe… Adresse, also durch EUI-64/MAC gebaute ID.
- Router Advertisement mit Präfix vom Transfersegment (/64er)
- DHCPv6 mit Prefix Delegation fürs LAN (/56er) und IPv6 DNS Server
Folgende Sachen sind mir darüber hinaus noch aufgefallen:
- Die ganzen IPv6 Multicast Listener Reports (sehr viele!) habe ich nicht weiter beachtet. Sie spielen für meine Seite des Routers ja auch keine Rolle.
- Was ich aber vermisse: Die Duplicate Address Detection für die IPv6 Adressen auf dem Transfersegment zwischen Router (CPE) und dem Glasfasersegment der Telekom. Oder wird das hier nicht benötigt?
- Was aber im Stream mehrmals auftaucht, ohne dass es dafür Verwendung gibt, ist ein DHCPv4 Discover, welches der Speedport per Broadcast verschickt, und zwar im VLAN 8, in welchem sonst gar nichts stattfindet. Dieser DHCPv4 Discover wird auch nie beantwortet.
Hier ein paar Screenshots von den interessanten Nachrichten. (Ich würde ja auch das Wireshark Capture zum Download stellen, wenn dort nicht in der PPP PAP Nachricht mein Benutzername/Passwort im Klartext stehen würde… ;))
Habe ich etwas vergessen oder falsch interpretiert? Dann bitte melden! Ich kenne die PPP Sachen auch nicht im Detail und habe hier nur etwas reverse engineered.
Speedport durch Firewall ersetzen
Interessant wird es für mich jetzt im nächsten Schritt, wenn ich den Speedport durch eine vernünftige Firewall ersetzen möchte. Das könnte eng werden, da ja diverse Techniken unterstützt werden MÜSSEN. Hier mal eine verläufige Tabelle:
| Cisco ASA v. 9.2.3 | Fortinet FortiGate v. 5.2.3 | Juniper ScreenOS v. 6.3.0r18.0 | Palo Alto v. 6.1.4 |
|
|---|---|---|---|---|
| PPPoE über VLAN (Subinterface o. Trunk) | ✔ | ✔ | ✖ | ✖ |
| PPP IPV6CP | ✖ | ✔ | ✔ | ✖ |
| DHCPv6 Prefix Delegation | ✖ | ✖ | ✔ | ✖ |
Tja, das war’s dann wohl. Schade. Sehr schade sogar. Ich kann auch keinen Router dazwischen hängen (der das ja alles könnte), solange ich den Präfix nicht vernünftig durchgereicht bekomme. Hmpf. Eine Möglichkeit könnte sein, zwischen die Juniper SSG und dem Glasfasermodem einen Switch zu hängen, welcher aus dem Access Port einen Trunk mit VLAN 7 macht.
Ansonsten sieht man recht schön, dass diese Klasse an Firewalls nicht mit dem dynamischen Präfix im Small Office / Home Office (SOHO) kompatibel ist. 