Bislang hatte ich immer noch in meinem Heimnetz in der Fritzbox 7590 IPV6 ausgeschaltet. Ich kenne mich mit IPV4 Networking aus, aber nicht mit IPV6. IPV6 gibt es schon seit über 25 Jahren und da habe ich mir gedacht, jetzt muss ich mich endlich auch mal mit IPV6 befassen und kennenlernen. Am leichtesten lernt man etwas kennen, wenn man Theorie und Praxis verbindet und somit habe ich in meinem lokalen Netz auch IPV6 eingeschaltet. Mein Provider ist 1und1 der Dual Stack anbietet, d.h. ich erhalte sowohl eine IPV4 wie auch eine IPV6 von meinem Provider. Da ich bei mir pi-hole mit ubound nutze frangte ich mich, ob auch Änderungen am lokalen Setup von Fritzbox, pi-hole und unbound notwendig sind. Im folgenden Artikel beschreibe ich ob es notwendig ist und was ich geändert habe.

Genaugenommen ist eigentlich ausser dem Einschalten von IPV6 in der Fritzbox nichts weiter notwendig. Allerdings darf kein Routeradverticement eingeschaltet werden, denn dann erhalten die Clients neben der IPV4 Adresse des pi-hole für die DNS A Record Auflösung auch die IPV6 Adresse der Fritzbox für die DNS AAAA Record Auflösung. Da ein IPv6 DNS vor IPv4 DNS genutzt wird  ein DNS Query von Fritzbox aufgelöst und somit geht das alles an dem pi-hole und unbound vorbei. Der kleine Nachteil ist, dass dann die Clients nicht direkt mit ihrer IPV6 mit dem Internet kommunizieren können, da die IPV6 Default Route nicht bekannt ist. Einfacher Test:

ping6 https://ipv6.ident.me/

 oder im Browser

https://ipv6.ident.me

öffnen. Beides liefert einen Fehler zurück.

Das bedeutet, dass Clients keine reinen IPV6 Ziele erreichen können. Allerdings ist die Zahl der Server, die nur IPV6 können gering. Entweder haben die Server nur IPV4 oder sowohl IPV4 als auch IPV6 und kann der Client kein IPV6 wird IPV4 zur Kommunikation genutzt.

Möchte man aber auch reine IPV6 Server erreichen können ist etwas Konfiguration in der Fritzbox notwendig:

Dazu muss dass Router Adventicement in der Fritzbox eingetragen werden. Beschrieben ist das bei AVM hier. Wichtig ist dass "Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung" NICHT ausgewählt wird. In der AVM Doku steht das auch nicht drin, aber leider wird auch nicht explizit darauf hingewiesen, dass das nicht ausgewählt werden darf. Mich hat es viel Zeit gekostet und letztendlich hat mich der Support bei AVM auf diesen Fehler hingewisen.

Allerdings gibt es noch eine Sache, die dazu beitrug, fast zu verzweifeln: Wenn man die ULA des eigenen lokalen IPv6 DNS - also die vom pi-hole - einträgt und bestätigt, wird dort danach wieder die FB ULA angezeigt. Oder es wird weiterhin die eingegebene ULA angezeigt, aber wenn man das Fenster verläßt und wieder öffnet, steht wieder die FB ULA. D.h. man nimmt an, dass die eigene ULA nicht von der FB genutzt wird. Das ist aber falsch, denn offensichtlich hat die FB an der Stelle ein Bug. Wenn man auf den Netzwerkclienten nachsieht, welche DNS von denen genutzt wird mit

nmcli device show | grep -E 'IP4.DNS|IP6.DNS'

wird die IPv4 wie auch die IPv6 des pi-holes angezeigt. Alternativ kann man sich auch das Routing Adverticement ansehen mit

sudo tcpdump -n -vv -i eth0 'icmp6 and icmp6[0] == 134'

und findet in der Zeile mit dem Text "rdnss"  die ULA des pi-hole.

Kurzum, wenn man strickt der o.g. Anleitung folgt, wobei nur Schritt 2 notwendig ist, und ignoriert, dass nach der EIngabe der pi-hole ULA wieder die FB ULA angezeigt wird, hat man den pi-hole IPv6 DNS zugefügt. Überprüfen kann man das mit den zwei o.g. Befehlen auf einem Linuxsystem.

Referenzen:

IPv4 / IPv6 - Verwirrung, wann was notwendig - Help / Deutschsprachige Hilfe - Pi-hole Userspace