Die Netzwerkeinstellungen an meinem Router Synology RT2600ac geben mir nach wie vor Rätsel auf. Nicht akut, weil es im Moment nicht funktioniert, sondern vor allem weil es keine unmittelbaren Störungen gibt, wenn ich etwas ändere. Aber vielleicht verursachen falsche Einstellungen verzögerte Probleme?

Es geht mir um die Einstellungen in diesem Fenster. Die Adresse in "Primäres DNS" im Bild ist die IPv6-Adresse von meinem Synology-NAS, auf dem per Docker AdGuard installiert ist. Jedoch funktioniert auch alles, wenn ich die DNS von Google, Quad9 etc. eintrage oder auch "::1". Was gehört da rein?
Die DNS-Adresse von AdGuard (= IP vom NAS), trage ich zudem noch an anderer Stelle in den Internet-Einstellungen ein. Diese Eintragung muss doch nicht zweimal, also redudant, eingetragen werden?
Im Internet finde ich keine Screenshots und die Support-Seiten von Synology sind keine Hilfe.

Zusatzfrage: Stateless-DHCPv6 oder Stateful-Modus?

Gegenfrage, was erwartest Du, was nicht funktionieren sollte? Selbst wenn dort Unfug drin steht, wird sicherlich auf IPv4 zurückgegriffen. Der Eintrag wird nur dann interessant, wenn Du ein Gerät hast, das spezifische DNS-Informationen liefert, die Du aus irgend einem Grund dringend benötigst.

Probleme bei internen IPv6-Adressen.
Diese Einstellungen sollten dafür sorgen, dass in meinem Netzwerk die Geräte eine IPv6-Adresse erhalten. Von extern spreche ich meine Synology direkt per IPv6 an. Mit falschen Einstellungen wird das NAS also nicht erreichbar oder die Let's Encrypt-Zertifikate für DDNS ließen sich nicht einrichten.

Einen Anlass gibt es schon. Ich habe Docker-Dienste, die ich per Reverse Proxy anspreche, z.B. https://adguard.marm.example.com:443 (nur IPv6 zugewiesen). Dies funktioniert neuerdings bei ein paar Diensten nicht mehr. Mir scheint, dass es jene sind für die ich WebSocket einrichten muss. Und WebSocket hat ja auch etwas mit Server-Erreichbarkeit zu tun.

Ok, ich vereinfache mal die Frage:
Warum gibt es bei den IPv6 DHCP-Einstellungen die Angabe des DNS, wenn ich doch an anderer Stelle im Router schon einen DNS-Server angegeben habe?

Das tun sie sobald Du den Haken setzt (DHCP). Es wird an die Geräte, die ihre Adresse per DHCP geliefert bekommen lediglich kein DNS vorgegeben. Sie bekommen ja aber sicher auch eine IPv4 Adresse und einen DNS-Server, was dann sozusagen als Fallback dient.Wenn Du eine IP angibst, brauchst Du überhaupt kein DNS. Bei der Angabe einer IP sollte es sowieso einen Zertifikatsfehler geben, wenn das Zertifikat auf einen Hostnamen lautet.Im Reverse Proxy ist doch aber Host-Name und IP verknüpft!? Auch hier braucht es kein DNS. Oder verstehe ich jetzt was total falsch?

Bei den gezeigten Einstellungen geht es darum den Geräten, die ihre IP per DHCP bekommen einen DNS-Server mitzugeben, wo für sie wichtige DNS-Einträge liegen. Das hat weder was mit der Erreichbarkeit von Außen, mit Reverse Proxy oder mit der Erreichbarkeit über IP zu tun. Lediglich wenn Du intern für die Geräte Host-Namen verwendest und sie auch darüber ansprechen willst. Der eingetragene DNS muss diese Informationen dann aber auch vorhalten.

Für IPv6 könnte ein anderer DNS Server zuständig sein, warum auch immer. Es könnte auch ein Netz sein, dass nur über IPv6 funktioniert. Es gibt bestimmt noch weitere Gründe, die Du bestimmt wüsstest, wenn Dein Netz entsprechend konfiguriert wäre. Mir scheint aber, dass Du gar keine DNS Informationen zur Verfügung stellst.

Du meinst, dieser DNS ist nur für interne Zwecke um Host-Namen und IP zuzuordnen? Quasi die internen gelben Seiten? Dann brauche ich mir um diesen Eintrag keine großen Gedanken machen.
Das Synology-NAS kann ein Wildcard-Zertifikat bei Let's Encrypt anfordern, also für *.marm.example.com. Das funktioniert aber nur bei Synology-Domains.
Router und NAS sind über IPv6 erreichbar, aber nicht über IPv4. Ein separater DNS-Server für IPv6 kann ich mir nicht so recht vorstellen.
Für IPv4 kann ich ebenfalls extra primäres und sekundäres DNS eintragen (zusätzlich zum DNS-Server in den Internet-Einstellungen).

Nein.

Ob Du den DNS über IPv4 oder IPv6 ansprichst ist vollkommen egal. Beide können sowohl IPv4-Adressen (A-Records) oder IPv6-Adressen (AAAA-Records) liefern. Es geht nur um den Netzwerktransport - wenn Du Deinen DNS-Server nur per IPv4 erreichen kannst reicht das auch.

Etwas anderes ist, wenn Du den DNS gar nicht über IPv4 erreichst. Dann solltest Du natürlich eine IPv6-Adresse eintragen, bei Quad9 z.B. "2620:fe::fe".

Weil es sein kann, daß ein Netz gar nicht über IPv4 erreichbar ist. Dann brauchst Du halt die Adresse eines DNS-Servers, der über IPv6 erreicht werden kann, und die bekommst Du z.B. per DHCPv6.

Ich habe den DNS oben gelöscht und alles funktioniert weiter.
Zusätzlich habe ich von Stateless-DHCPv6 auf Stateful umgeschaltet, was ich auch vorher zumeist so eingerichtet hatte. Damit zeigt der Router IPv6-Adressen diverser Geräte an (die zuvor aber auch per IPv6 erreichbar waren). Das NAS hat im Stateful-Modus zusätzlich zur extern erreichbaren IPv6 und der internen mit fe:: noch eine Unique Local Address, die mit fd:: beginnt.
Das mysteriöse Reverse Proxy-Problem hat wohl eine andere Ursache.

eigentlich versucht man kein DHCP für v6 zu machen, sondern man nutzt SLAAC.

Stateful war keine gute Idee. Das NAS hat sofort seine IPv6 verloren. Mit Stateless (gleich SLAAC nehme ich an) werde ich nicht nach der DNS gefragt und das automatische IPv6-Setup für das NAS funktioniert. Das war mir früher nie aufgefallen, weil ich das NAS manuell konfiguriert hatte.

Das kommt mir doch bekannt vor, und ich verweise zu gerne auf meine damalige Antwort
Das ist der DNS-Server, der per Stateless-DHCPv6 oder Stateful an die Clients verteilt wird. Wenn du dort Google einträgst, und sich ein interner Client diese Info zieht, kann der keine internen Namen mehr auf IPv6 auflösen.
An dieser Stelle trägst du eine interne Adresse ein, die sowohl interne wie externe Namen in IPv4 und IPv6 auflösen kann.
Doch, weil es zwei paar Schuhe sind. Das oben war der DNS, der an die Clients verteilt wird. Das hier ist der DNS, den der Router selbst zur Namensauflösung benutzt.
Der braucht das vielleicht für Updates und um nach Hause zu telefonieren, oder wenn man ihn selbst oben bei IPv6 DHCP einträgt.

Ein pauschales Richtig gibt es hier nicht. Wenn du intern einen Dienst betreibst, der deine internen Namen in IPv6 auflösen kann und als Forwarder für unbekannte Namen einen öffentlichen DNS nutzt, trägst du den an beiden Stellen ein.
Da Stateful meiner Meinung nach „alte Gewohnheiten aus IPv4“ auf IPv6 gestülpt sind, würde ich hier Stateless-DHCPv6 auswählen.

Die Diskussion hatte ich auch nicht vergessen Wobei ich zugeben muss beim nochmaligen Lesen, dass Du schon damals geschrieben hast, dass DHCP nicht auf Pi-hole zeigen soll. Ich brauchte wohl nochmal eine Auffrischung.
Mit Stateless würfelte es mir zwar gerade die interne IP vom NAS neu, aber so konnte ich die manuelle Eintragung am Netzwerkzugang entfernen.

Ich mache mich nun weiter auf die Suche, warum zwei/drei Docker-Container nicht mit Reverse Proxy funktionieren. An diesen Einstellungen lag es wohl nicht.

Das hier ist mal eine klare Erklärung:

Wenn du das so machst:Wirst du um eine feste/manuelle IP für dein NAS nicht herumkommen, sonst wird das nie richtig funktionieren.
Henne-Ei-Problem.

Wird gemacht 👍

Auch nicht pauschal richtig. DHCPv6 kann mehr als SLAAC.

Die Router Advertisements in SLAAC können zwar genutzt werden, um dem Client sein Prefix und (was schon eine Erweiterung des ursprünglichen Protokolls ist) DNS-Server zu annoncieren, aber das war es dann auch. Für die Adreßwahl innerhalb des zugewiesenen Prefixes ist der Client schon selbst verantwortlich.

Auf diese Weise kann man z.B. keine festen IPv6-Adressen für bestimmte Hosts zuweisen, Clients auf bestimmte Adreßbereiche beschränken etc. DHCPv6 ist hier wesentlich flexibler. Dafür muß man aber halt einen DHCPv6-Server betreiben und korrekt konfigurieren.

Ob marm das in seinem Setup braucht ist eine andere Frage. Ich vermute eher nicht, SLAAC reicht meist aus.