Hallo,
ich bekomme natives IPv6 vom ISP (Prefix u.U. aber dynamisch), und habe eine synology dahinter hängen, die ich per IPv6 von aussen gut erreichen kann (zumindest auf den Ports die ich zulasse
).
Jetzt habe ich aber das Problem dass ich *nur im LAN* auch Zugriff auf die Windows Freigaben erlauben will (ebenso SSH).
Dazu verteile ich ULA (unique local address) um der Syno eine permanente lokale IPv6 zu geben, d.h.:
synology.fritz.box has IPv6 address 2001:4b00:180:801:211:32ff:fe0d:ee0c
synology.fritz.box has IPv6 address fd00::211:32ff:fe0d:ee0c
und habe die Synology Firewall so konfiguriert habe, dass fd00:: Zugriff bekommt, der Rest aber nicht. So weit so gut. Klappt auch.
Versuche ich mich von einem Rechner im Lan mit der Synology zu verbinden, versucht er es meist mit der 2001:4b00 (d.h. dynamischen) Adresse zuerst, was wegen der Firewallregel natürlich schief geht. Verbinde ich mich direkt, z.B. "ssh fd00::211:32ff:fe0d:ee0c", klappt der Zugriff vom LAN einwandfrei.
Ideen wie ich das Problem lösen kann? Das sind meine Ideen bisher:
1) Ich könnte mich immer direkt mit fd00::211:32ff:fe0d:ee0c verbinde, und den Hostnamen/DNS ignorieren. Unschön.
2) Ich könnte einen neuen Namen, z.B. syno-lan der auf fd00::211:32ff:fe0d:ee0c zeigt in meine /etc/hosts tun.
3) Ich könnte die blöde Fritzbox dazu bringen, nur die ULA und nicht die globale dynamische IPv6 Adresse rauszurücken, wenn ich synology.fritz.box abfrage... Das wäre meine bevorzugte Lösung. Geht das? Scheint nicht.... Ist das ein Ticket wert?
4) Ich könnte die Firewall natürlich auch für 2001:4b00:180:801::/64 freigeben, aber da das eine dynamische Adresse ist, passt die Regel u.U. ziemlich schnell nicht mehr und gibt jemandem anderen Zugriff.
5) Könnte ich mit den "metric" Angaben im Routing spielen, so dass die fd00:: Verbindung "billiger" wird als die dynamische globale Adresse? Funktioniert das? Wahrscheinlich nicht...
[UPDATE]: Gerade http://www.robert-arnold.de/cms/en/...-2-stabile-ipv6-adressen-im-lokalen-netzwerk/ gefunden, dass genau mein Problem erläutert, und "Prefix Policy" als Lösung vorschlägt. Jetzt muss ich dass nur noch mit Linux hinkriegen und dann hoffen, dass alle meine Devices dass auch können
[UPDATE2]: http://www.ietf.org/rfc/rfc3484.txt und /etc/gai.conf für die Technik/Linuxinteressierten.
ich bekomme natives IPv6 vom ISP (Prefix u.U. aber dynamisch), und habe eine synology dahinter hängen, die ich per IPv6 von aussen gut erreichen kann (zumindest auf den Ports die ich zulasse
).Jetzt habe ich aber das Problem dass ich *nur im LAN* auch Zugriff auf die Windows Freigaben erlauben will (ebenso SSH).
Dazu verteile ich ULA (unique local address) um der Syno eine permanente lokale IPv6 zu geben, d.h.:
synology.fritz.box has IPv6 address 2001:4b00:180:801:211:32ff:fe0d:ee0c
synology.fritz.box has IPv6 address fd00::211:32ff:fe0d:ee0c
und habe die Synology Firewall so konfiguriert habe, dass fd00:: Zugriff bekommt, der Rest aber nicht. So weit so gut. Klappt auch.
Versuche ich mich von einem Rechner im Lan mit der Synology zu verbinden, versucht er es meist mit der 2001:4b00 (d.h. dynamischen) Adresse zuerst, was wegen der Firewallregel natürlich schief geht. Verbinde ich mich direkt, z.B. "ssh fd00::211:32ff:fe0d:ee0c", klappt der Zugriff vom LAN einwandfrei.
Ideen wie ich das Problem lösen kann? Das sind meine Ideen bisher:
1) Ich könnte mich immer direkt mit fd00::211:32ff:fe0d:ee0c verbinde, und den Hostnamen/DNS ignorieren. Unschön.
2) Ich könnte einen neuen Namen, z.B. syno-lan der auf fd00::211:32ff:fe0d:ee0c zeigt in meine /etc/hosts tun.
3) Ich könnte die blöde Fritzbox dazu bringen, nur die ULA und nicht die globale dynamische IPv6 Adresse rauszurücken, wenn ich synology.fritz.box abfrage... Das wäre meine bevorzugte Lösung. Geht das? Scheint nicht.... Ist das ein Ticket wert?
4) Ich könnte die Firewall natürlich auch für 2001:4b00:180:801::/64 freigeben, aber da das eine dynamische Adresse ist, passt die Regel u.U. ziemlich schnell nicht mehr und gibt jemandem anderen Zugriff.
5) Könnte ich mit den "metric" Angaben im Routing spielen, so dass die fd00:: Verbindung "billiger" wird als die dynamische globale Adresse? Funktioniert das? Wahrscheinlich nicht...
[UPDATE]: Gerade http://www.robert-arnold.de/cms/en/...-2-stabile-ipv6-adressen-im-lokalen-netzwerk/ gefunden, dass genau mein Problem erläutert, und "Prefix Policy" als Lösung vorschlägt. Jetzt muss ich dass nur noch mit Linux hinkriegen und dann hoffen, dass alle meine Devices dass auch können
[UPDATE2]: http://www.ietf.org/rfc/rfc3484.txt und /etc/gai.conf für die Technik/Linuxinteressierten.
Zuletzt bearbeitet:
