IPV6: Verständnisproblem

[doa115]

Hallo zusammen,

arbeite mich gerade in IPV6 ein und habe ein Verständnisproblem oder stehe vielleicht einfach nur auf der Leitung:

Hintergrund ist die Bereitstellung von IPV6 in kleineren Netzwerken aber mit eigenem Windows-Server. In solchen Umgebungen gibt es immer wieder aus Kostengründen Internetzugänge ohne Fest-IP.

Grundsätzlich ist die Vergabe der IPV6-Adressen an die Rechner über Router-Advertisements und/oder DHCPv6 klar aber was passiert wenn ich dem Server bzw. noch weiteren Netzteilnehmer eine feste öffentliche IPv6-Adresse zukommen lassen will. Da vom Provider keine feste IPs gebucht wurden wechselt das Netzwerkpräfix immer wieder und damit werden meine manuell fest vergebenen IPs im Prinzip ungültig, bzw. sind von Außen halt nicht mehr erreichbar.

Sehe ich das falsch oder stehe ich einfach nur auf dem Schlauch?

Gruß

 

[burglar225]

Soweit ich weiß, liegst du damit richtig.

 

[Ost-Ösi]

Ganz einfach: Eine feste IP -- dann bestimmst du. Keine feste -- es bestimmt der Provider.

 

[Bartmensch]

Möglich wäre ein Zugriff von draußen über einen Router.
Beispielsweise kann man sich bei AVM Geräten mittels LogIn auf der Webseite mit seinem Router verbinden und dann auf das Netzwerk zugreifen. Statische IP Adressen muss man aber entweder extra Zahlen oder bekommt sie mWn nur bei Business-Lösungen vom Provider.

 

[up.whatever]

Wenn du feste globale IPv6 Adressen (also einen festen Prefix) haben willst, musst du beim Provider einen entsprechenden Tarif buchen. Das ist, abgesehen von der Anzahl der Adressen, identisch zu IPv4.

Wenn du hingegen im LAN feste lokale IPs benötigst, treten die Unterschiede auf: Mit IPv4 benutzt man in der Regel lokale IPs auf den Geräten und NAT auf dem Router, mit IPv6 hingegen verteilst du einfach zusätzlich zum globalen- einen ULA-Prefix, so dass letztendlich alle Geräte IPs aus beiden Netzen besitzen.

 

[Helge01]

Sehe ich das falsch oder stehe ich einfach nur auf dem Schlauch?

Alles korrekt und du hast damit den Schwachsinn von wechselnden Präfixen erkannt, die so unter IPv6 nie vorgesehen waren. Das alles nur, damit die Provider weiterhin ihre teuren Geschäftskundenanschlüssen verkaufen können.

 

[lokon]

Inzwischen unterstützen viele Dyndns-Provider auch IPv6.

Ein wechselnder Präfix bietet eventuell Vorteile gegen Profilbildung also IPv6="User-ID" Mapping.
edit: also näheres hier

 

[Helge01]

Inzwischen unterstützen viele Dyndns-Provider auch IPv6.

Nützt aber aber nichts, wenn es um differenzierte Firewallregeln geht. In einer Firewall wird in den Regeln eine IPv6 Adresse eingetragen, das ist bei wechselnden Präfix nicht möglich.

Ich kenne welche, die jeden einzelnen Server/PC in ein eigenes VLAN packen, nur um ausgehend ordentliche Firewallregeln erstellen zu können. Das Problem mit den eingehenden Regeln hat man aber weiterhin. Es gibt zwar auch dafür je nach Firewall Möglichkeiten, aber das ist alles größtenteils Gefrickel.

Ein wechselnder Präfix bietet eventuell Vorteile gegen Profilbildung

Damit wird das immer begründet, obwohl der IPv6 Standard selbst dafür die Privacy Extensions hat.

Den Providern ging mit der Einführung von IPv6 der Arsch auf Grundeis. Deswegen haben die nach einer Lösung gesucht, um das betreiben von Servern an privaten Anschlüssen zu erschweren. Begründet haben die das einführen von wechselnden Präfixen mit der Anonymisierung, obwohl das denen völlig egal ist. Vor allem ist die IP Adresse heute zum anonymisieren überhaupt nicht mehr geeignet, da es viel bessere Möglichkeiten gibt User zu identifizieren.

 

[lokon]

Eine zentrale Firewall behindert die mit IPv6 erwünschte End-to-End-Kommunikation ebenfalls.

Bei differenzierten Lösungen / VLAN etc. ist der Aufwand doch irgendwann so groß, dass Firewall-Management mit irgendwelchen Tools eingesetzt wird, bei denen dann dyndns Regeln genauso zentral administriert werden könnten.
Der Präfix wechselt afaik nicht unangekündigt: die Adressen haben eine Lifetime und an diese sind dann die Firewall-Regeln geknüpft.
Über irgendeinen Mechanismus sollte dann die Firewall die Veränderung mitbekommen - Interface up/down, von dem DHCP Server bei Adressvergabe, IPv6-NDP, eventuell IDS ....

Wenn das zu kompliziert mit den "fremden" Präfixen ist, dann kann als Alternative doch eigene Präfixe genutzt werden - also IPv6 NAT.

 

[Helge01]

Eine zentrale Firewall behindert die mit IPv6 erwünschte End-to-End-Kommunikation ebenfalls.

Wieso? Dafür werden Regeln in Firewalls erstellt.

Der Rest ist wie ich schon schrieb Gefrickel. Irgendwann gibt man entnervt auf und wechselt zu den Geschäftskundenanschluss. Damit ist der Provider wieder zufrieden, da Ziel erreicht und der Rubel rollt...

kann als Alternative doch eigene Präfixe genutzt werden - also IPv6 NAT.

IPv6 NAT??? Um Himmelswillen! Man ist froh das diese Krücke von IPv4 nicht mehr notwendig ist und dann soll man so was wieder bei IPv6 einsetzen? Und das alles nur weil der Provider sein künstlich geschaffenes Geschäftsmodell bedroht sieht?

 

[doa115]

Hallo,

zuerst mal Danke für alle Reaktionen, ich lag also mit meinen Gedanken nicht so falsch.

Klar, einen Tarif mit fester IP wäre die einfachste Lösung, lässt sich leider nicht immer umsetzen.
Aber ich muss halt auch ohne feste IP eine Kommunikation in beide Richtungen ermöglcieh.

Wie wäre es denn mit folgendem Ansatz wenn man mal nur mal die reine Kommunikation betrachtet und das Thema Anonymisierung außen vor lässt:

Die Geräte erhalten über den Router die öffentlich globale Adresse plus zusätzlich noch die temp-globale über Privacy-Extension. Zusätzlich verbreite ich intern im Netz noch ein festes ULA-Präfix. Damit hätte dann z.B. der Server insgesamt 4 Adressen:

• dyn. globale Adresse
• dyn. temp-globale Adresse
• feste ULA-Adresse
• feste verbindungslokale Adresse

Von Innen nach Außen kommuniziert der Rechner dann über die temp-globale Adresse.

Für einen Zugriff von Außen nach Innen müsste de globale IPV6-Adresse des Routers mittels DDNS registriert werden und dann über entsprechende Firewall-Regeln plus Port-Forwarding auf die interne feste ULA-Adresse weitergeleitet werden.

Passen meine Gedanken in etwa?

Gruß

 

[UweP44]

Damit wird das immer begründet, obwohl der IPv6 Standard selbst dafür die Privacy Extensions hat.

Ist nur recht wirkungslos.

Denn der Anschluss (und damit der Haushalt) ist damit trotzdem genausogut identifizierbar wie früher mit einer einzelnen IPv4 Adresse und NAT. Weil mit den privacy extensions ändert sich ja nur der lokale Teil der IPv6 Adresse und das vom Provider vergebene Netz bleibt gleich.

...........

Passen meine Gedanken in etwa?

Ja

 

[Helge01]

@UweP44 Der wechselnde Präfix ist aber genauso wirkungslos, da es viel bessere Möglichkeiten gibt User zu identifizieren. Über IP-Adressen macht das kaum noch jemand.

Für einen Zugriff von Außen nach Innen müsste de globale IPV6-Adresse des Routers mittels DDNS registriert werden und dann über entsprechende Firewall-Regeln plus Port-Forwarding auf die interne feste ULA-Adresse weitergeleitet werden.

Das funktioniert nicht. Erstens gibt es bei IPv6 kein Port-Forwarding, sondern nur eine Port Öffnung zu einer IPv6-Adresse. Dadurch gibt es auch keine Weiterleitung von globalen IPv6 Adressen zu ULAs. Die globale IPv6 Adresse von den jeweiligen Gerät muss direkt aus dem Internet erreichbar sein.

 

[snaxilian]

lässt sich leider nicht immer umsetzen

Sag doch einfach, dass der Chef/Kunde/Auftraggeber schlicht und ergreifend zu geizig ist und lieber Geld damit verbrennt indem du da eine Lösung drum herum frickeln sollst.
Wenn eine feste IP vom Provider nicht gewünscht ist gibt es auch bei IPv6 die Möglichkeit einen oder mehrere Adressblöcke von der RIPE zu bekommen. Was du aber damit nicht machen kannst: diese provider-unabhängigen Blöcke auf billige Privatkundenanschlüsse werfen. Dazu musst in die AGBs und Produktbeschreibungen der jeweiligen Provider und deren Produkte gucken ob du da direkt Adressen der RIPE drauf packen kannst.

 

[Bob.Dig]

In einer Firewall wird in den Regeln eine IPv6 Adresse eingetragen, das ist bei wechselnden Präfix nicht möglich.

Das geht mit "meiner" lieblings-Firewall inzwischen aber. 😉
Komm von dem Teil nicht weg, seit dem Du mich darauf aufmerksam gemacht hast. 😁

 

[Helge01]

Hi @Bob.Dig machst du das per Alias mit dem Hostname?

 

[Bob.Dig]

@Helge01 Genau das, dafür muss aber die IP mittels DHCPv6 Server fest vergeben werden.

Spoiler: :)

 

[Helge01]

So hatte ich das auch mal, es gab dann irgendwann mal eine Sense Version wo das nicht mehr funktionierte und da habe ich dann umgebaut .

 

[Bob.Dig]

So hatte ich das auch mal, es gab dann irgendwann mal eine Sense Version wo das nicht mehr funktionierte und da habe ich dann umgebaut .

True. Sense halt.
In letzter Zeit aber recht stabil das Feature.