SSH über Internet mit IPv6 nicht erreichbar

l8lechi

Cadet 2nd Year
Registriert
Apr. 2015
Beiträge
18
Moin!

Kurze Erkläuterung zu meiner Idee und dem daraus entstandenem Problem:

Ich habe mir ein ziemlich altes Thinkpad gekauft um auch unterwegs arbeiten zu können. Meine Idee war, dass ich auf meiner Workstation zuhause OpenSSH als Server laufen lasse, und mich von unterwegs via SSH nach Hause verbinden kann.

Ich bin bei Vodafone mit einem Gigabit-Vertrag (9er WG :D) und habe hier ne gemietete Fritzbox 6660 Cable.

Die Fritzbox verwendet einen DS-Lite Tunnel. Irgendwo habe ich gelesen dass das dann über IPv4 sowieso nicht mehr geht, darum habe ich direkt beschlossen das über IPv6 zu machen. Warum auch nicht.

Also habe ich mir erstmal openssh-server installiert, in /etc/ssh/sshd_config den Port und PubkeyAuthentication eingestellt und bei der PC-Firewall den Port freigegeben.
Dann kam der tricky Teil, weil ich eigentlich nicht so viel Ahnung von Netzwerken habe - die Routereinstellungen ändern.
Ich habe folgendes getan:
  • Auf fritz.box eingeloggt.
  • Unter Internet - Freigaben auf Gerät für Freigaben hinzufügen geclickt
  • Meine Workstation ausgewählt
    • IPv6 Interface ID eingestellt auf etwas was ich mir merken kann
    • IPv6 Einstellungen:
      • PING6 freigeben
      • Firewall für delegierte IPv6 Präfixe dieses Gerätes öffnen
      • NICHT die exposed host Option angehakt
    • Auf Neue Freigabe geclickt
      • Anwendung: andere Anwendung
      • Bezeichnung: ssh
      • Protokoll: TCP
      • Port an Gerät: ABCDE bis ABCDE (das ist auch der Port den ich in /etc/ssh/sshd_config benutzt hab)
      • Port extern gewünscht: ABCDE
      • Freigabe aktivieren angekreuzt
      • Internetzugriff über IPv4 und IPv6
    • Übernehmen
Auf meinem Computer habe ich dann noch die IPv6 Adresse im NetworkManager hinzugefügt die der IPv6 Interface ID entspricht.

Über mein lokales Netzwerk ist es mir jetzt möglich mich mit SSH von meinem Laptop und meinem Handy aus mit meinem PC zu verbinden:
ssh username@IPv6:Präf:ix00:0000:IPv6:Inte:rfac:eID0 -p ABCDE


Klappt ohne Probleme. Versuche ich es aber über das Internet kommt immer der Fehler
Connection timed out

Auf keycdn.com hab ich dann den IP locator Test, den Ping Test und den Traceroute Test gemacht, um zu schauen woran es liegt.
Der Ping locator Test funktioniert einwandfrei.
Beim Ping Test habe ich 100% Packet loss bei allen Servern.
Beim Traceroute Test auch, allerdings habe ich etwas was vielleicht hilft gefunden:
  • xxxx:xxxx::1a:1
  • xxxx:xxxx:0:336::2
oder
  • xxxx:xxxx:42:1
  • xxxx:xxxx:0:359::2
Die xxxx-Teile sind immer gleich, und stimmen mit den ersten zwei Abschnitten der IPv6 von meinem Router überein (diese hat aber insgesamt vier Abschnitte).
Mach ich irgendwas falsch? Lässt mich meine Fritzbox oder Vodafone nicht durch?

Danke schonmal für Hilfe! :)

PS: Über IPv4 funktioniert natürlich auch nichts obwohl ich es probiert habe - der Port sollte ja sowohl für IPv6 als auch IPv4 geöffnet sein.
 
l8lechi schrieb:
Beim Traceroute Test auch, allerdings habe ich etwas was vielleicht hilft gefunden:
  • xxxx:xxxx::1a:1
  • xxxx:xxxx:0:336::2
oder
  • xxxx:xxxx:42:1
  • xxxx:xxxx:0:359::2
Die xxxx-Teile sind immer gleich, und stimmen mit den ersten zwei Abschnitten der IPv6 von meinem Router überein (diese hat aber insgesamt vier Abschnitte).
Was genau heißt das? Sind das Hops des Traces? Wenn ja, wo im Trace? Zeige am besten den ganzen Trace.

l8lechi schrieb:
Versuche ich es aber über das Internet kommt immer der Fehler
Connection timed out
Was heißt "über das Internet"? Was war die Internetverbindung des Clients? Die ist auch IPv6 tauglich?
 
wenn es nur für dich selber ist, überlege mal ob es nicht Sinn macht eigenes VPN (Wireguard) mit ins Boot zu nehmen statt SSH global fürs Internet frei zu schalten
 
  • Gefällt mir
Reaktionen: Teckler
riversource schrieb:
Was genau heißt das? Sind das Hops des Traces? Wenn ja, wo im Trace? Zeige am besten den ganzen Trace.
Ja genau, das sind die letzten Hops im Trace. Habe hier einen Screenshot von zwei der Traces, ich weiß allerdings nicht wieviel ich von den Routen zeigen kann ohne mich selbst zu doxxen. Ich habe so lang gebraucht um den Roman zu schreiben, dass jetzt manche Pings/Traces durchgehen. Eigentlich habe ich nichts geändert.
Screenshot_20240626_160942.png

Ergänzung ()

riversource schrieb:
Was heißt "über das Internet"? Was war die Internetverbindung des Clients? Die ist auch IPv6 tauglich?
Die ist IPv6 tauglich, ja :)
kieleich schrieb:
wenn es nur für dich selber ist, überlege mal ob es nicht Sinn macht eigenes VPN (Wireguard) mit ins Boot zu nehmen statt SSH global fürs Internet frei zu schalten
Klingt vernünftig, ist das deutlich sicherer und/oder unkomplizierter? Schau ich mir gleich mal an
 
l8lechi schrieb:
Meine Idee war, dass ich auf meiner Workstation zuhause OpenSSH als Server laufen lasse, und mich von unterwegs via SSH nach Hause verbinden kann.
Sicherheitstechnisch eine ganz blöde Idee!
SSH offen im Internet würde ich niemals machen.

Warum richtest du dir nicht einfach Wireguard auf der Fritzbox ein? Somit sparst du dir die Probleme mit den Freigaben und hast SSH nicht im Internet offen.
 
  • Gefällt mir
Reaktionen: Teckler, h2f und madmax2010
l8lechi schrieb:
Klingt vernünftig, ist das deutlich sicherer und/oder unkomplizierter? Schau ich mir gleich mal an

Es ist "anders" - Wireguard schickt UDP Pakete, die meisten Firewalls, lassen diese durch. Es gibt hartnäckige Fälle wo man nur mit OpenVPN weiter kommt (unterstützt TCP)

Das VPN liefert dann ein ganzes Netzwerk Interface ab, darüber kann man nicht nur SSH sondern auch Netzwerk Dateisysteme Drucker oder sonstige Protokolle abwickeln. Das hat dann in Punkto "Sicherheit" die Folge das man aufpassen muss wen man in sein Wireguard rein lässt bzw. dass man dieses auch nochmal, mit iptables & Co, absichern muss wie eine herkömmliche Netzwerkkarte. Da Wireguard von sich alleine aus, nicht auf SSH einschränken kann

Bei SSH musst du Root-Login Passwort-Login (nur Keys) deaktivieren alte Protokoll Standards deaktivieren und dann immer noch hoffen das es sicher ist und kein Heartbleed, Backdoor, und der gleichen Schwierigkeiten bereitet. Ich vertraue SSH seit den letzten beiden geschichten nicht mehr 100% und Bots die endlos versuchen sich einzuloggen sind bei SSH eben auch immer mit von der Partie

Wireguard hat den ganzen Firlefanz mit alten Protokollen nicht da gibts nur Keys und da ist Ruhe, aber es ist eben eine andere Technologie bei der man immer noch dies und das zu beachten hat
 
l8lechi schrieb:
Ja genau, das sind die letzten Hops im Trace.
Das sind die Router des Providers. Da ist es kein Wunder, wenn Teile des Prefixes identisch sind.

l8lechi schrieb:
Die ist IPv6 tauglich, ja
Und sie unterscheidet sich von der Internetanbindung des Servers?

Yesman9277 schrieb:
Sicherheitstechnisch eine ganz blöde Idee!
SSH offen im Internet würde ich niemals machen.
Ich finde einen SSH Server unkritischer, als einen VPN Server. Wenn es auf dieser Welt eine gehärtete Softwarekomponente gibt, dann ist es ein OpenSSH Server. Richtig eingerichtet (anderer Port, zertifikatsbasierte Anmeldung) ist das mit Sicherheit der sicherste Fernzugang (sic!).
Ein VPN würde ich auch jederzeit einrichten, keine Frage. Jeden anderen Dienst würde ich auch eher über VPN anbieten, als direkt ins Internet zu hängen - außer SSH.

kieleich schrieb:
Es ist "anders" - Wireguard schickt UDP Pakete, die meisten Firewalls, lassen diese durch.
Da hab ich komplett andere Erfahrungen gemacht. Es sind in vielen Firewall/Proxy Kombination nur extrem wenige UDP Ports offen - Port 500 für IPSec trifft man noch öfter mal. TCP Port 443 ist das einzige, auf das man sich verlassen kann, aber häufig auch nur mit einer typischen TLS Verschlüsselung (wie bei OpenVPN), die Proxys überlistet.

kieleich schrieb:
Bei SSH musst du Root-Login Passwort-Login (nur Keys) deaktivieren alte Protokoll Standards deaktivieren und dann immer noch hoffen das es sicher ist und kein Heartbleed, Backdoor, und der gleichen Schwierigkeiten bereitet. Ich vertraue SSH seit den letzten beiden geschichten nicht mehr 100%
Vorsicht! Verwechsle nicht SSL Probleme mit SSH. Von den Lücken waren auch viele VPNs betroffen, das rettet einen dann auch nicht.
 
  • Gefällt mir
Reaktionen: CoMo
Isolak schrieb:
Wenn du keine Lust auf VPN einrichten hast kann ich Tailscale (https://tailscale.com/) empfehlen
Das ist ja easy :D fast zu schön um wahr zu sein, wenn man mich fragt ^^
Fürs erste auf jeden Fall sehr angenehm und unkompliziert, am liebsten hätte ich allerdings trotzdem was was ohne externe Firmen funktioniert :)

riversource schrieb:
Ich finde einen SSH Server unkritischer, als einen VPN Server.
kieleich schrieb:
Das VPN liefert dann ein ganzes Netzwerk Interface ab, darüber kann man nicht nur SSH sondern auch Netzwerk Dateisysteme Drucker oder sonstige Protokolle abwickeln.
Das habe ich mir auch gedacht, als ich das gelesen habe.
Außerdem scheint mir TCP sicherer als UDP zu sein, sofern ich mir als Laie da eine Meinung bilden kann.
Ich würde gerne das Thema weiter verfolgen, den SSH-Server aufzusetzen.

riversource schrieb:
Das sind die Router des Providers. Da ist es kein Wunder, wenn Teile des Prefixes identisch sind.
Das hatte ich vermutet. Gibt es aus Redundanzgründen da zwei Unterschiedliche, oder warum sonst? :)

riversource schrieb:
Und sie unterscheidet sich von der Internetanbindung des Servers?
Yes, das habe ich über Mobilfunk mit meinem Handy versucht, das nen Vertrag bei der Telekom hat.

riversource schrieb:
Richtig eingerichtet (anderer Port, zertifikatsbasierte Anmeldung) ist das mit Sicherheit der sicherste Fernzugang (sic!).
Anderen Port habe ich ja schon konfiguriert, bis jetzt hab ich nur die PubkeyAuthentication eingerichtet und die PasswordAuthentication deaktiviert, Rootlogin deaktiviert, MaxAuthTries auf 3 und MaxSessions auf 2 gesetzt.
Zertifikatsbasierte Anmeldung mach ich sobald es irgendwie funktioniert, glaube ich.

Zurück zum Thema - kann es sein dass Vodafone mich einfach blockt, oder gibt es bei der Fritzbox noch ne versteckte Firewall bei der ich auch noch einen Port öffnen muss?
 
l8lechi schrieb:
urück zum Thema - kann es sein dass Vodafone mich einfach blockt, oder gibt es bei der Fritzbox noch ne versteckte Firewall bei der ich auch noch einen Port öffnen muss?
Nein, wenn du eine Portfreigabe (keine Portweiterleitung!) eingerichtet hast.

Du greifst aber schon auf die richtige IP zu, oder? Bei IPv6 muss man auf die IP des Endgeräts zugreifen, nicht auf die des Routers. Das ist vor allem bei dyndns Diensten tückisch, da man dort für einen expliziten Eintrag fürs Endgerät sorgen muss.
 
riversource schrieb:
Du greifst aber schon auf die richtige IP zu, oder?
Ich bin mir nicht zu 100% sicher, aber die IP von meinem Computer ist die Kombination ist doch die Kombination aus dem IPv6-Präfix und der IPv6 Interface ID, richtig?

riversource schrieb:
Nein, wenn du eine Portfreigabe (keine Portweiterleitung!) eingerichtet hast.
Solange "Freigabe" auch Freigabe bei ner Fritzbox bedeutet sollte das dann so passen ;) .

Kleines Update noch, die Ping Tests gehen nicht mehr durch. Weder mit der IP aus dem Präfix und der Interface ID, als auch von der IP die ich bekomme wenn ich z.B. auf diese Seite gehe und von da meine IPv6 kopiere.

Das habe ich übrigens auch noch nicht verstanden. Wenn ich
ip -6 addr show
benutze kriege ich mehrere Adressen, eine ist die die ich eingestellt habe, eine die ich auf IP check Seiten sehe, noch eine Andere die gleich lang ist wie die davor, und noch eine Kürzere (siehe Bild). Bei den langen Adressen sind die ersten vier Blöcke der IP (die Teile die mit : voneinander getrennt sind) identisch, danach unterscheiden sie sich.
 

Anhänge

  • Screenshot_20240626_200338.png
    Screenshot_20240626_200338.png
    76,8 KB · Aufrufe: 61
Zuletzt bearbeitet: (Bisschen mehr Info :))
l8lechi schrieb:
eine die ich auf IP check Seiten sehe, noch eine Andere die gleich lang ist wie die davor, und noch eine Kürzere (siehe Bild).
Das dürften die temporäre, die statische und die link-lokake Adresse sein. Die statische Adresse ist die, die eigentlich für Serverdienste vorgesehen ist, wenn du selber keine generierst.

Ich kann mir eigentlich nur vorstellen, dass die Interface-ID des PCs nicht zur Freigabe in der Box passt. Mitbden :: und "0" kann man da schon mal durcheinander kommen.
 
@l8lechi
Vergiss erstmal die ganzen "Tipps" mit VPN und Sicherheitsblablabla. Wenn das Passwort bei SSH deaktiviert ist, wie du ja geschrieben hast, ist der SSH-Server schon ganz gut abgesichert. Dazu kannst du noch fail2ban einrichten. Die meisten Passwortattacken sind Wörterbuchattacken. Da kann man im im Journallog schön zusehen, was da alles durchprobiert wird.

Ich hab's bei mir so eingerichtet.
Fritzbox
Einstellungen → IPv6
  • [x] Router Advertisement im LAN aktiv
  • [x] Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
  • [ ] DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
  • [x][DHCPv6-Server in der FRITZ!Box deaktivieren
Bei IPv6 wird die IP-Adresse der LAN-Geräte per Stateless Autokonfiguration zugewiesen. Heißt, die Device-ID wird über die Mac-Adresse gebildet. Der Präfix kommt vom Internetprovider.

Die IPv6 selbst zuzuweisen würde ich an Deiner Stelle (erstmal) vermeiden. Eventuell sind Deine Probleme auch schon dadurch begründet. Auch musst du auf dem LAN-Client (Workstation) die IPv6 nicht per Networkmanager konfigurieren. Bei einem IPv6-Internetanschluss bekommt normalerweise jedes Gerät im LAN automatisch eine externe IPv6 zugewiesen. Die lautet dann 2a00:xxxx:irgendwas.

In der Fritzbox sollten Dir unter Internet → Freigaben → Portfreigaben auch der Client und die IPv4 sowie die Device-ID korrekt angezeigt werden. Ich hab da bei meinem SSH-Server übrigens gar kein Häkchen (Exposed Host, Ping6, Firewall) gesetzt. Als externen Port hab ich 222 verwendet. Den hab ich auch in der sshd_config konfiguriert neben der 22.

Und weil du das Problem mit der schwer zu merkenden öffentlichen IPv6 angesprochen hast. Dafür gibt's DynDNS. Ich hatte hier dazu mal eine Anleitung geschrieben.
 
Pummeluff schrieb:
Heißt, die Device-ID wird über die Mac-Adresse gebildet.
Nein, das ist nicht immer so, sondern nur, wenn EUI-64 konfiguriert ist. Sonst sind auch zufällige statische IDs möglich.

Pummeluff schrieb:
In der Fritzbox sollten Dir unter Internet → Freigaben → Portfreigaben auch der Client und die IPv4 sowie die Device-ID korrekt angezeigt werden.
Auch das klappt nur, wenn EUI-64 aktiv ist. Sonst muss man die Host-ID manuel einstellen.
 
  • Gefällt mir
Reaktionen: M-X
Morgen!

Kurzes Update: Ich hatte die selbstständige Portfreigabe aktiviert und eben ist mir aufgefallen dass dort "1 aktiv" stand, und Port 41641 war über UDP geöffnet. Das ist ein Port den Tailscale verwendet. Lustigerweise kann ich, wenn dieser Port geöffnet ist, mit meinem Handy über Mobilfunk per SSH über den ANDEREN Port den ich eingestellt hatte auf meinen Computer zugreifen. Wenn ich Tailscale ausschalte (mit sudo tailscale down) kann ich das nicht mehr. Habt ihr Ideen warum das so ist?
Eigentlich würde ich gerne möglichst keine anderen Produkte nutzen. Vielleicht kann ich was einstellen sodass auch mein SSH Port mit der selbstständigen Freigabe läuft?

Pummeluff schrieb:
  • [x] Router Advertisement im LAN aktiv
  • [x] Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
  • [ ] DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
  • [x][DHCPv6-Server in der FRITZ!Box deaktivieren
So habe ich es nun auch, mir ist nur nicht 100% klar warum man den DHCP Server deaktivieren muss. Bei der Fritzbox kann ich während ich das Gerät für die Freigabe hinzufüge eine Interface-ID eingeben, die sollte dann doch auch gültig sein wenn der DHCPv6-Server läuft, oder?

Unter Portfreigaben sehe ich sowohl eine lokale IPv4 Adresse als auch die IPv6 Interface ID, die ich eingestellt habe, mit einem Doppelpunkt davor.
Wenn ich die Portfreigabe bearbeite, wird mir bei IP-Adresse im Internet auch die Adresse bestehend aus Präfix und Interface-ID angezeigt.

riversource schrieb:
Nein, das ist nicht immer so, sondern nur, wenn EUI-64 konfiguriert ist. Sonst sind auch zufällige statische IDs möglich.
Ich habe EUI-64 konfiguriert glaube ich:
net.ipv6.conf.default.addr_gen_mode = 0
net.ipv6.conf.enp4s0.addr_gen_mode = 0

@Pummeluff, hast du die selbstständige Portfreigabe aktiviert? Und steht bei dir unter "selbstständige Portfreigabe" dass etwas aktiv ist, oder wird auch "0 aktiv" angezeigt?
 
Zuletzt bearbeitet:
l8lechi schrieb:
Vielleicht kann ich was einstellen sodass auch mein SSH Port mit der selbstständigen Freigabe läuft?
Das muss auf jeden Fall gehen, das ist millionenfach so im Einsatz. Da muss noch irgendein Konfigurationsproblem vorliegen. Vielleicht ist die Freigabe nicht standardmäßig aktiviert?

l8lechi schrieb:
Habt ihr Ideen warum das so ist?
Ja, hab ich. Die automatische Freigabe wird ja nicht auf der IP eingerichtet, die du manuell hinzugefügt hast. Mein Verdacht wird immer stärker, dass dein Problem im Umfeld dieser selbst generierten Interface-ID zu suchen ist.
Zeig doch mal die ID und die zugehörige Fritzbox Eingabe. Dann können wir besser einschätzen, ob die Zuordnung korrekt ist.

l8lechi schrieb:
So habe ich es nun auch, mir ist nur nicht 100% klar warum man den DHCP Server deaktivieren muss.
Das muss man auf keinen Fall, ganz im Gegenteil. Es gibt Systeme, die sich über DHCPv6 z.B. die Nameserver holen. Der muss anbleiben, auch wenn er keine Adressen verteilt (das kann man ja separat einstellen).

l8lechi schrieb:
Wenn ich die Portfreigabe bearbeite, wird mir bei IP-Adresse im Internet auch die Adresse bestehend aus Präfix und Interface-ID angezeigt.
Da musst du sehr pingelig sein. Wie gesagt, ich vermute das Problem an dieser Stelle.
 
l8lechi schrieb:
mir ist nur nicht 100% klar warum man den DHCP Server deaktivieren muss.
Du brauchst für IPv6 erstmal nicht generell einen DHCP-Server. Wie ich oben schon mal geschrieben hab, wird die IPv6 normalerweise per Stateless Autoconfiguration gebildet. Das ist der große Unterschied zu IPv4.

Deswegen würde ich Dir auch raten, dass du eben zumindest zum Testen keine selbstgebastelte IPv6 verwendest. Zumindest würde ich das für die Fehlersuche ausschließen.

Die IPv6 wird Dir auf der Workstation angezeigt mit
Code:
ip a
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
…
inet6 2a00:xxxx:xxxx:xxxx::5ac/64 scope global dynamic mngtmpaddr noprefixroute
Ist Die bei Dir in der Form vorhanden? Nur um sicher zu gehen, dass du keine unique local address
(ULA, fc00) oder Link-Local-Adresse (fe80) verwendest.

riversource schrieb:
Das muss man auf keinen Fall, ganz im Gegenteil. Es gibt Systeme, die sich über DHCPv6 z.B. die Nameserver holen. Der muss anbleiben, auch wenn er keine Adressen verteilt
Tja, muss er nicht. Bei mir ist er aus.

Allerdings verwende ich im LAN auch kein IPv6. Ich wollte mal damit rumspielen, auch im LAN alles auf IPv6 umzustellen. War aber dann den Aufwand nicht wert. IPv6 nutz ich nur fürs Internet. Und demzufolge brauch ich im LAN auch keinen DHCP- und keine DNS-Server für IPv6.

l8lechi schrieb:
Ich habe EUI-64 konfiguriert glaube ich:
net.ipv6.conf.default.addr_gen_mode = 0
net.ipv6.conf.enp4s0.addr_gen_mode = 0
Sieht bei mir auch so aus:
Code:
root ~> sysctl net.ipv6.conf.default.addr_gen_mode
net.ipv6.conf.default.addr_gen_mode = 0
root ~> sysctl net.ipv6.conf.eth0.addr_gen_mode 
net.ipv6.conf.eth0.addr_gen_mode = 0

l8lechi schrieb:
@Pummeluff, hast du die selbstständige Portfreigabe aktiviert? Und steht bei dir unter "selbstständige Portfreigabe" dass etwas aktiv ist, oder wird auch "0 aktiv" angezeigt?
Nein, ist nicht aktiviert. Will ich auch nicht. Port 222 ist bei mir für IPv6 (von außen) fest eingerichtet. Für IPv4 hab ich keine Freigabe in der Fritzbox angelegt.
 
Pummeluff schrieb:
Tja, muss er nicht. Bei mir ist er aus.
Dann hast du zumindest unter Windows keine IPv6 Nameserver.

Pummeluff schrieb:
Allerdings verwende ich im LAN auch kein IPv6. Ich wollte mal damit rumspielen, auch im LAN alles auf IPv6 umzustellen. War aber dann den Aufwand nicht wert. IPv6 nutz ich nur fürs Internet. Und demzufolge brauch ich im LAN auch keinen DHCP- und keine DNS-Server für IPv6.
Dann hab ich jetzt ganz schlechte Nachrichten für dich: Ohne IPv6 im LAN nutzt du es auch fürs Internet nicht. Die Heimnetzgeräte brauchen IPv6 Adressen, Routen und DNS Server, sonst liegt die IPv6 Verbindung komplett lahm.
Der größte Vorteil von IPv6 ist doch die Verteilung öffentlicher Adressen im LAN. Und genau darauf verzichtest du?
Aber ja: Dann kannst du auch den DHCP Server auslassen. Und den RA Daemon auch. 🤣
 
Zurück
Oben