IPv6 Troubleshooting: RA/ND, SLAAC, DHCPv6 und Prefix Filter

IPv6 Troubleshooting ist in vielen Umgebungen der Moment der Wahrheit: Auf dem Papier ist IPv6 „einfach nur eine größere Adresse“, in der Praxis hängen jedoch Adressvergabe, Default Gateway, Neighbor Discovery, Sicherheitsfilter und Routing viel enger zusammen als in klassischen IPv4-Designs. Typische Symptome klingen zunächst banal – Clients bekommen keine IPv6-Adresse, DNS funktioniert nur teilweise, einzelne Ziele sind über IPv6 nicht erreichbar, oder Verbindungen brechen nach Minuten ab. Doch hinter diesen Symptomen stecken meist ganz konkrete Mechanismen: Router Advertisements (RA) steuern SLAAC und Default Route, Neighbor Discovery (ND) ersetzt ARP und ist gleichzeitig ein Angriffsvektor, DHCPv6 kann ergänzen oder widersprechen, und Prefix Filter entscheiden darüber, ob ein Netz überhaupt „glaubt“, dass ein Prefix gültig ist. Wer IPv6 Troubleshooting methodisch angeht, muss daher nicht „raten“, sondern die Kette aus Signalen prüfen: Welche RAs kommen an? Welche Flags sind gesetzt? Welche Prefix Information Options (PIO) werden verteilt? Wie sehen Neighbor Cache und Duplicate Address Detection (DAD) aus? Gibt es RA Guard oder ND Inspection, die legitime Pakete droppen? Und sind in der Infrastruktur Prefix-Filter, Route-Maps oder uRPF-Regeln aktiv, die IPv6 anders behandeln als IPv4? Dieser Artikel zeigt eine praxiserprobte Vorgehensweise, um RA/ND, SLAAC, DHCPv6 und Prefix Filter schnell einzuordnen, Fehler sauber nachzuweisen und stabile Fixes umzusetzen.

Das IPv6-Grundprinzip für Troubleshooting: Erst „Local“, dann „Global“

IPv6 startet immer lokal. Bevor Sie globales Routing, Firewall-Regeln oder Application-Fehler untersuchen, prüfen Sie die L2/L3-Basis:

• Link-Local: Hat der Host eine Link-Local-Adresse (fe80::/10)? Kann er den Router per Link-Local erreichen?
• Default Gateway: Gibt es einen Default Router (via RA)? Ist die Default Route auf dem Host gesetzt?
• Global/ULA-Adresse: Hat der Host eine GUA (2000::/3) oder ULA (fc00::/7) und passt sie zum Segment?
• DNS und Policy: Erst wenn Adressierung und Default Route stimmen, machen DNS/Firewall-Analysen Sinn.

Dieses Vorgehen verhindert den häufigsten Zeitfresser: stundenlang an Routing oder Firewall zu drehen, obwohl schlicht keine gültige RA am Client ankommt.

RA und ND: Das „Steuergerät“ des IPv6-Access

Router Advertisements (RA) sind ICMPv6-Nachrichten, die Hosts mitteilen, wie sie sich im Netz verhalten sollen: Prefixe für SLAAC, Default Router Lifetime, MTU und wichtige Flags, die DHCPv6 signalisieren. ND (Neighbor Discovery) ist der Mechanismus, der IPv6-Neighbors auflöst, Erreichbarkeit prüft und Router ermittelt. Im Gegensatz zu ARP ist ND stärker in IPv6 integriert und wird häufig durch Security-Features beeinflusst.

• Router Solicitation (RS): Host fragt aktiv nach RAs, z. B. nach Link-Up.
• Router Advertisement (RA): Router antwortet periodisch oder auf RS, enthält PIO/Flags.
• Neighbor Solicitation/Advertisement (NS/NA): Auflösung und Reachability, ersetzt ARP.
• DAD: Duplicate Address Detection prüft, ob eine Adresse bereits verwendet wird.

Technischer Hintergrund zu ND und RA ist in RFC 4861 (Neighbor Discovery) beschrieben. Für SLAAC und Address Autoconfiguration ist RFC 4862 zentral.

SLAAC verstehen: Wenn „Adresse da“ nicht bedeutet „Connectivity da“

SLAAC (Stateless Address Autoconfiguration) ist für viele Teams ungewohnt, weil Hosts sich selbst konfigurieren – aber nur, wenn RA korrekt ist. Für Troubleshooting ist entscheidend, was der Router im RA wirklich ausliefert.

Die wichtigsten RA-Bausteine für SLAAC

• Prefix Information Option (PIO): enthält Prefix, Prefix Length, Valid Lifetime, Preferred Lifetime sowie das A-Flag.
• A-Flag (Autonomous): bestimmt, ob der Host aus dem Prefix per SLAAC eine Adresse bilden darf.
• L-Flag (On-link): signalisiert, ob der Prefix on-link ist (relevant für Neighbor Cache und Reachability).
• Router Lifetime: bestimmt, ob der Router als Default Gateway gilt und wie lange.
• MTU Option: falsche MTU kann „klein geht, groß nicht“ auslösen, gerade bei Tunneln.

Typische SLAAC-Fehlerbilder

• Adresse fehlt komplett: RA kommt nicht an, RA Guard dropt, VLAN falsch, oder Router sendet keine PIOs.
• Adresse vorhanden, aber keine Default Route: Router Lifetime ist 0 oder RA wird gefiltert; Host hat nur Link-Local/Global ohne Gateway.
• Adresse wechselt ständig: Privacy Extensions aktiv (normal), aber bei instabilen RAs oder DAD-Problemen kann es zu churn kommen.
• Nur bestimmte Hosts betroffen: Switch-Security (RA Guard), WLAN-Controller/Client-Isolation oder L2-Path-Asymmetrie bei ND.

DHCPv6 richtig einordnen: Stateful, Stateless und die Flags im RA

DHCPv6 ist in IPv6 nicht automatisch „der Adressdienst“ wie DHCP in IPv4. Oft wird DHCPv6 für DNS-Optionen genutzt, während Adressen per SLAAC kommen. Der Router signalisiert das Verhalten über RA-Flags.

M-Flag und O-Flag: Die beiden wichtigsten Schalter

• M-Flag (Managed): Host soll per DHCPv6 eine Adresse beziehen (stateful DHCPv6).
• O-Flag (Other): Host soll per DHCPv6 „andere“ Infos beziehen, typischerweise DNS (stateless DHCPv6).

Wenn M/O falsch gesetzt sind, entsteht ein Klassiker: Der Host wartet auf DHCPv6, bekommt aber keinen Server (oder umgekehrt), und verhält sich dadurch „inkonsistent“ zwischen Betriebssystemen.

DHCPv6-Symptome, die oft missverstanden werden

• IPv6-Adresse da, aber DNS fehlt: SLAAC liefert Adresse, aber O-Flag ist aus oder DHCPv6 wird gefiltert.
• Windows vs. Linux Unterschied: Betriebssysteme interpretieren RA/DHCPv6-DNS unterschiedlich; testen Sie immer mit mindestens zwei Clients.
• DHCPv6 Relay/Firewall: DHCPv6 nutzt UDP/546 (Client) und UDP/547 (Server). Blockierte Relays oder ACLs führen zu „silent failures“.

Als Überblick zu DHCPv6 hilft RFC 8415 (DHCPv6), insbesondere für Message-Flow und Ports.

ND und DAD debuggen: Wenn Neighbor Resolution die eigentliche Ursache ist

Viele IPv6-Störungen wirken wie Routing-Probleme, sind aber ND-Probleme: Neighbor Entries fehlen, sind „stale“, oder DAD schlägt fehl. Das Ergebnis: Verbindungen bauen nicht auf, obwohl Adressen und Default Route korrekt aussehen.

High-Signal Indikatoren für ND-Probleme

• Neighbor Cache Einträge bleiben INCOMPLETE: NS geht raus, NA kommt nicht zurück (Filter, falsches VLAN, L2-Problem).
• DAD-Fehlschläge: Host markiert Adresse als duplicate; häufig durch echte Duplicate, Virtualisierung, falsch konfigurierte Anycast-IPs oder L2-Leaks.
• Nur bei Last: ND kann unter Control-Plane-Policing oder CPU-Stress leiden; NS/NA wird gedroppt.

ND-Sicherheit: RA Guard, ND Inspection und ihre Nebenwirkungen

Security-Features sind in IPv6 essenziell, können aber legitimen Traffic droppen, wenn sie falsch konfiguriert sind. Typische Fehler: RA Guard blockt echte Router-RAs, oder ND Inspection blockt NA/NS, weil Binding-Tabellen nicht konsistent sind.

• RA Guard: schützt vor Rogue RAs, muss aber „Trusted Ports“ korrekt setzen (Uplinks/Routerports trusted, Access untrusted).
• ND Inspection / SAVI-ähnliche Mechanismen: binden IP/MAC/Port, können bei Moves (VM-Migration, WLAN Roaming) false positives erzeugen.
• Mitigation: policy-basierte Ausnahmen, saubere Bindings, Monitoring auf ND Drops.

Prefix Filter: Die unterschätzte Quelle für „IPv6 geht nicht“

Prefix Filter sind im IPv6-Kontext besonders wichtig, weil IPv6-Designs häufig mit Aggregation, mehreren Prefixes pro Standort und dynamischen Advertisements arbeiten. Gleichzeitig sind Prefix Filter häufig „zu hart“, weil Teams sie aus IPv4-Denkmustern übernehmen oder IPv6-Ranges falsch einschätzen.

Wo Prefix Filter typischerweise greifen

• BGP Import/Export Policies: prefix-lists, route-maps, communities – blocken gewünschte Prefixes oder lassen zu viele durch.
• IGP Redistribution: falsch gefilterte Redistribution kann dazu führen, dass ein Prefix nur lokal bekannt ist.
• Firewall/ACLs: IPv6-ACLs sind oft restriktiver als IPv4, insbesondere für ICMPv6 und ND.
• uRPF/Anti-Spoofing: uRPF strict kann legitime IPv6-Quellen droppen, wenn Routing asymmetrisch ist.

Typische Prefix-Filter-Fehlerbilder

• Nur ein Standort betroffen: Prefix wird lokal verteilt, aber nicht global geroutet (Export-Filter).
• Nur Rückweg fehlt: Inbound funktioniert, Rückweg wird gefiltert oder nimmt anderen Pfad; führt zu Timeouts und scheinbar „random“ Drops.
• Nur IPv6 betroffen: IPv4-Policies wurden gepflegt, IPv6-Policies sind veraltet oder zu strikt.

ICMPv6 ist kein „optional“: Wenn Filter IPv6 kaputt machen

Ein extrem häufiger IPv6-Fehler ist das übermäßige Blocken von ICMPv6. Während man in IPv4 oft „ICMP blocken“ als vermeintliche Härtung gesehen hat, ist ICMPv6 integraler Bestandteil von ND, PMTUD und Fehlerdiagnose. Zu harte ICMPv6-Filter führen zu schwer erklärbaren Symptomen, insbesondere zu MTU-Problemen und zu fehlender Neighbor-Funktion.

• ND benötigt ICMPv6: NS/NA, RS/RA sind ICMPv6.
• PMTUD benötigt ICMPv6: „Packet Too Big“ ist entscheidend, sonst entstehen Blackholes.
• Fehlerdiagnose: Destination Unreachable, Time Exceeded sind wichtig für Troubleshooting.

Für PMTUD in IPv6 ist RFC 8201 relevant. Für IPv6-Grundlagen und Header-Verhalten ist RFC 8200 hilfreich.

Toolchain für IPv6 Troubleshooting: schnell, reproduzierbar, beweisbar

IPv6 Troubleshooting wird deutlich schneller, wenn Sie ein kleines Set an Werkzeugen konsequent nutzen und die Ergebnisse als Beweisführung dokumentieren.

• Packet Capture: Ein kurzer Mitschnitt auf dem Client oder am Access-Port zeigt sofort, ob RS/RA und NS/NA wirklich laufen. Referenz: Wireshark Dokumentation.
• tcpdump Ring Buffer: Bei intermittierenden IPv6-Problemen (z. B. sporadische Rogue RAs) ist Ring Buffer unschlagbar. Referenz: tcpdump Manpage.
• Flow Telemetry: NetFlow/IPFIX oder sFlow hilft, betroffene Prefixe/Ports/Interfaces zu lokalisieren, wenn Filter- oder Routing-Probleme vermutet werden.
• Syslog/Events: RA Guard Drops, ND Inspection Drops, DHCPv6 Relay Errors, Prefix-Filter Hits.

Praxis-Workflows: Die häufigsten IPv6 Incidents strukturiert lösen

Incident 1: „Client hat keine IPv6-Adresse“

• Prüfen: Kommt RA an? (RS/RA sichtbar) Gibt es PIO mit A-Flag?
• Prüfen: RA Guard aktiv und korrekt (Trusted Ports)?
• Prüfen: VLAN/SSID korrekt, ND nicht gefiltert?
• Fix: RA-Quelle korrigieren, RA Guard Policy anpassen, Router-Interface/RA-Config prüfen.

Incident 2: „Adresse da, aber kein Internet/kein Default Gateway“

• Prüfen: Router Lifetime im RA > 0? Default Route auf Host vorhanden?
• Prüfen: ND zum Default Router funktioniert (Neighbor Entry REACHABLE)?
• Fix: RA Router Lifetime/Default Router Settings korrigieren, ND/ICMPv6 erlauben.

Incident 3: „IPv6 geht, aber DNS nicht“

• Prüfen: Werden DNS-Server via DHCPv6 (O-Flag) oder via RA/RDNSS verteilt (plattformabhängig)?
• Prüfen: DHCPv6 Relay/ACLs für UDP 546/547.
• Fix: RA-Flags korrekt setzen, DHCPv6/Relay stabilisieren, DNS-Optionen konsistent verteilen.

Incident 4: „Nur manche Ziele funktionieren“

• Prüfen: Prefix Filter/Route Policies: fehlt ein Rückweg-Prefix? Gibt es RIB/FIB-Mismatch?
• Prüfen: uRPF/Anti-Spoofing: droppt strict uRPF legitime Quellen bei Asymmetrie?
• Fix: Prefix-Lists und Export/Import-Policies korrigieren, uRPF-Modus an Topologie anpassen.

Runbook-Baustein: IPv6 Troubleshooting in 15 Minuten

• Minute 0–3: Symptom klassifizieren: keine Adresse, keine Default Route, DNS fehlt, nur manche Ziele. Scope definieren (nur ein VLAN/SSID? nur IPv6?).
• Minute 3–6: RA/ND prüfen: RS/RA sichtbar? PIO korrekt (A/L, Lifetimes)? Neighbor Cache zum Router stabil?
• Minute 6–9: DHCPv6 prüfen: M/O Flags passen? DHCPv6 Messages erreichen Server/Relay? DNS-Infos korrekt?
• Minute 9–12: Filter prüfen: ICMPv6/ND nicht überblockt? RA Guard/ND Inspection Drops? Prefix Filter/Route Policies für betroffene Prefixe?
• Minute 12–15: Beweis sichern: kurzer PCAP, relevante Logs, Routing-Auszüge. Fix mit kleinem Blast Radius umsetzen und sofort verifizieren (Adresse, Default Route, DNS, End-to-End Connectivity).

Weiterführende Quellen

• RFC 4861 für Neighbor Discovery (RA/ND Mechanik, RS/RA/NS/NA)
• RFC 4862 für SLAAC (Address Autoconfiguration und DAD)
• RFC 8415 für DHCPv6 (Message Flow, Ports, Relaying)
• RFC 8200 für IPv6-Grundlagen (Header, Adressierung, Verhalten)
• RFC 8201 für IPv6 PMTUD (ICMPv6 „Packet Too Big“ als Pflichtbaustein)
• RFC 3704 und RFC 2827 (BCP 38) für uRPF/Ingress Filtering und Anti-Spoofing-Design
• tcpdump Manpage und Wireshark Dokumentation für Beweisführung per Packet Capture

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.