Wie IPv6 richtig nutzen (LAN/WAN)?

[Je_Tho]

Hallo CB-Gemeinde,

ich bin mir durchaus bewusst, dass ich hiermit ein großes Buch aufschlage, doch mittelfristig kommt um das Thema sowieso kein halbwegs ambitionierter Anwender bzw. ITler mehr herum.
Mir geht es "allgemein" um die Anwendung von IPv6, mit besonderem Bezug auf Dienste, welche gegenwärtig weitestgehend und reibungslos mit IPv4 umgesetzt werden.

Wer sich ein Wenig in IPv6 einlesen möchte, dem empfehle ich erst einmal diverse Artikel von ELKO:
http://www.elektronik-kompendium.de/sites/net/0812201.htm

Erste Frage:
Ich sehe aus verschiedenen Gründen weitestgehend davon ab Auto-DHCP zu nutzen. Momentan ist alles auf IPv4 konfiguriert (Adress-Bindung, etc.).
Wie sieht die ideale Konfiguration mit IPv6 aus? Was muss wie eingestellt werden?
Der DHCP sollte idealer Weise weiterhin zentral über den Router laufen - der Parallelbetrieb von IPv4 und IPv6 sollte ja kein großes Problem darstellen, oder?

Zweite Frage:
Wie kann ich meine im lokalen Netzwerk vorhanden Geräte von "Außen" ansprechen (mit üblichem Privatkunden-Internetanschluss)?
Mit IPv4 ist das ja alles kein Problem:
1. D-DNS einrichten (sofern gewünscht)
2. Port-Weiterleitung am Router einrichten
3. Loslegen

Wie funktioniert das nun konkret mit IPv6? Ist ein Dienst, vergleichbar mit D-DNS überhaupt noch notwendig? Welche Einstellungen müssen am Router getätigt werden? Wie sind die Routing- und Endgeräte (generell) zu konfigurieren?
Ein gängiger Anwendungsfall, ist sicherlich der Zugriff auf das lokale NAS.

Dritte Frage:
Wenn ich nun alles mit IPv4 und IPv6 betreibe, welches Protokoll wird wann bevorzugt (von den Geräten / Diensten)? Ist eine Priorisierung der Protokolle möglich? Wo wird dies eingestellt?

Meine Landschaft:
Diverse Computer mit Windows 10 Pro, QNap TS-253A (QTS 4.2.2), TP-Link Archer VR200v, Internetanschluss Telekom (echtes Dual-Stack).
Für alle Dual-Stack-Lite-Geplagten, wäre es sicher auch interessant zu wissen, wie es sich damit verhält...

Vielen Dank vorab!
(Ich habe dieses Thema absichtlich etwas "schwammig" formuliert, in der Hoffnung möglichst viele sinnvolle Antworten zu erhalten.)

 

[Yuuri]

Ich sehe aus verschiedenen Gründen weitestgehend davon ab Auto-DHCP zu nutzen. Momentan ist alles auf IPv4 konfiguriert (Adress-Bindung, etc.).

Was ist Auto-DHCP? Entweder APIPA oder DHCP oder was meinst du hier?

Wie sieht die ideale Konfiguration mit IPv6 aus? Was muss wie eingestellt werden?

Es gibt kein "ideal". Das kommt ganz auf die Anwendungen oder die Vorlieben an. Ich mag bspw. 10.0.0.0/24, andere wollen ihr Gewohntes 192.168.0.0/24. IP und Subnetz festlegen, DHCP Range anpassen, fertig. Da gibts nicht mehr einzustellen.

Der DHCP sollte idealer Weise weiterhin zentral über den Router laufen - der Parallelbetrieb von IPv4 und IPv6 sollte ja kein großes Problem darstellen, oder?

Klar, wie sollte sonst dein Dual Stack funktionieren?

Wie kann ich meine im lokalen Netzwerk vorhanden Geräte von "Außen" ansprechen (mit üblichem Privatkunden-Internetanschluss)?

Wie funktioniert das nun konkret mit IPv6? Ist ein Dienst, vergleichbar mit D-DNS überhaupt noch notwendig?

Läuft komplett identisch. Und ja, DDNS ist genauso notwendig, außer du willst bspw. (exemplarisch) Google nicht mehr über google.com, sondern [2a00:1450:4001:800::200e] aufrufen. DNS kümmert sich um die Übersetzung von einer menschenlesbaren Form in eine Brauchbare für Maschinen. Es übersetzt also google.com nach bspw. 216.58.208.46. Das brauchst du bei IPv4 sowie IPv6. Dafür gibts im DNS dann A Records für v4 und AAAA für v6. Du brauchst also nur nen v6 kompatiblen DDNS-Provider oder du nutzt einen eigenen DNS-Server irgendwo und betreibst deinen eigenen DDNS-Server.

Wenn ich nun alles mit IPv4 und IPv6 betreibe, welches Protokoll wird wann bevorzugt (von den Geräten / Diensten)? Ist eine Priorisierung der Protokolle möglich? Wo wird dies eingestellt?

http://superuser.com/questions/436574/ipv4-vs-ipv6-priority-in-windows-7

Praktisch sollte es aber komplett irrelevant sein, außer du hast Server am Laufen, welche nur an ein v4 Interface binden können. Ob nun was über v4 oder v6 läuft... Hauptsache es ist erreichbar.

 

[Je_Tho]

Was ist Auto-DHCP? Entweder APIPA oder DHCP oder was meinst du hier?

Mit Auto-DHCP ist die automatische Verteilung von IP-Adressen im lokalen Netz gemeint. Im Gegensatz dazu, vergebe ich meine lokalen IPv4-Adressen gegenwärtig manuell am Router (Stichwort Adressbindung).
Abseits dessen: APIPA bezieht sich meines Wissens nur auf die selbstständige Vergabe bzw. Zuweisung von IPv4-Adressen durch einen Windows-Client (169.254.xxx.xxx).

Es gibt kein "ideal". Das kommt ganz auf die Anwendungen oder die Vorlieben an. Ich mag bspw. 10.0.0.0/24, andere wollen ihr Gewohntes 192.168.0.0/24. IP und Subnetz festlegen, DHCP Range anpassen, fertig. Da gibts nicht mehr einzustellen.

Was du angibst, sind IPv4-Adressen. Meine Frage war allerdings auf IPv6 bezogen.

Klar, wie sollte sonst dein Dual Stack funktionieren?

Nach welchem Schema mein Internet-Provider die IP-Adressen vergibt, ist an dieser Stelle relativ egal. Diese Frage war auf die lokale IP-Adressvergabe bezogen.

Läuft komplett identisch. Und ja, DDNS ist genauso notwendig, außer du willst bspw. (exemplarisch) Google nicht mehr über google.com, sondern [2a00:1450:4001:800::200e] aufrufen. DNS kümmert sich um die Übersetzung von einer menschenlesbaren Form in eine Brauchbare für Maschinen. Es übersetzt also google.com nach bspw. 216.58.208.46. Das brauchst du bei IPv4 sowie IPv6. Dafür gibts im DNS dann A Records für v4 und AAAA für v6. Du brauchst also nur nen v6 kompatiblen DDNS-Provider oder du nutzt einen eigenen DNS-Server irgendwo und betreibst deinen eigenen DDNS-Server.

Leider erneut falsch verstanden. Kannst du mir eine beispielhafte Adresse nennen, wie ich mein lokales NAS von einem beliebigen Standort (also aus dem Internet / WAN) aus ansprechen kann? Bitte ebenso die Konfiguration im Router. NAT bzw. "virtuelle Server" ist mit IPv6 leider nicht mehr möglich (falls ich mit dieser Aussage falsch liege, lasse ich mich gerne korrigieren).

http://superuser.com/questions/436574/ipv4-vs-ipv6-priority-in-windows-7

Danke, werde ich mir noch genauer angucken und testen.

Praktisch sollte es aber komplett irrelevant sein, außer du hast Server am Laufen, welche nur an ein v4 Interface binden können. Ob nun was über v4 oder v6 läuft... Hauptsache es ist erreichbar.

Stimmt, aber ich möchte es am liebsten mit beiden Protokollen erreichen können. IPv4 ist schließlich nicht mehr als zukunftsträchtig zu betrachten.

 

[martinallnet]

Im Heimnetzwerk ist IPv4 auch weiterhin möglich und sinnvoll.
Da kann also alles wie gewohnt bleiben.

Jedes Gerät bekommt nun aber zusätzlich eine interne und externe IPv6-Adresse, die interne muss man nicht nutzen, die externe kann sinnvoll sein.
Natürlich ist dann ohne zusätzliche Absicherung über eine Firewall im Router erst einmal jedes Gerät aus dem Internet heraus erreichbar was im Heimnetzwerk ist, d. h. entweder das Endgerät muss dann gegen unerwünschte Zugriffe abgesichert werden oder wie in meinem Fall, der Router blockiert nicht freigegebene eingehende Verbindungen.

 

[Je_Tho]

Im Heimnetzwerk ist IPv4 auch weiterhin möglich und sinnvoll.
Da kann also alles wie gewohnt bleiben.

Jedes Gerät bekommt nun aber zusätzlich eine interne und externe IPv6-Adresse, die interne muss man nicht nutzen, die externe kann sinnvoll sein.
Natürlich ist dann ohne zusätzliche Absicherung über eine Firewall im Router erst einmal jedes Gerät aus dem Internet heraus erreichbar was im Heimnetzwerk ist, d. h. entweder das Endgerät muss dann gegen unerwünschte Zugriffe abgesichert werden oder wie in meinem Fall, der Router blockiert nicht freigegebene eingehende Verbindungen.

Naja, wenn man einzelne Geräte via IPv6 von Außen erreichen möchte, kommt man doch auch um eine lokale Konfiguration von IPv6 nicht herum, oder? Portweiterleitungen von IPv6 auf IPv4 sind schließlich nicht möglich, oder doch?

"Jedes Gerät" ist ja eigentlich nicht richtig. In Wirklichkeit bekommt doch nur dein Gateway (=Router/Modem) eine IPv6-Adresse zugewiesen.

Dein Router blockiert unerwünschte Zugriffe (aus dem WAN), soweit so gut. Eine Firewall blockiert ja eigentlich nahezu jeden Zugriff, außer jene, die freigegeben sind. Hast du irgendetwas zusätzlich (bzw. manuell) konfiguriert, seitdem du eine IPv6-Adresse von deinem ISP erhalten hast?

 

[martinallnet]

Es bekommt jedes einzelne Gerät eine eigene extern erreichbare Adresse, das ist schon richtig. Das NAT fällt weg. Bei meinem Asus ist die Firewall standardmäßig aktiviert. Zur Kommunikation nach außen oder von außen hat jedes Gerät am Anschluss seine eigene IPv6 Adresse.

Ergänzung (10. September 2016)

In dem Zuge fällt auch DHCP weg, aus der MAC und dem Prefix des Providers bzw. des Routers wird die IPv6 errechnet.
Und das NAT fällt durch die Adresse pro Gerät weg, Port Weiterleitungen sind dadurch nicht mehr notwendig.

 

[Je_Tho]

Es bekommt jedes einzelne Gerät eine eigene extern erreichbare Adresse, das ist schon richtig. Das NAT fällt weg. Bei meinem Asus ist die Firewall standardmäßig aktiviert. Zur Kommunikation nach außen oder von außen hat jedes Gerät am Anschluss seine eigene IPv6 Adresse.

Ergänzung (10. September 2016)

In dem Zuge fällt auch DHCP weg, aus der MAC und dem Prefix des Providers bzw. des Routers wird die IPv6 errechnet.
Und das NAT fällt durch die Adresse pro Gerät weg, Port Weiterleitungen sind dadurch nicht mehr notwendig.

Von wem erhalten die Geräte ihre IPv6-Adresse?
Der WAN-Port vom Router erhält seine IPv6-Adresse logischer Weise vom ISP. Woher bekommen deine LAN-Geräte ihre IPv6-Adresse?

Ja, die Router-Firewall sollte eigentlich immer standardmäßig aktiviert sein. Ich schätze, du hast keinen speziellen Einstellungen bezüglich IPv6 vorgenommen.

Angenommen, du möchtest dein NAS oder PC von Außen via IPv6 und mit gesicherter Verbindung aufrufen, wie machst du das (ohne D-DNS) - welche Adresse verwendest du hierfür (kannst du ja gerne zensiert angeben)?
Kleines Beispiel:
Ich rufe mein NAS üblicher Weise via

httpS://123.123.123.123

auf (entspricht IPv4 und Port 443 + definierter Port-Weiterleitung am Router).
Welche Adresse müsste ich nun in Zusammenhang mit IPv6 angeben? Wer/welches Gerät bestimmt diese Adresse?

Entschuldige bitte meine "dümmliche" Fragerei, ich möchte es nur gerne die beste Möglichkeit in Erfahrung bringen.

 

[HominiLupus]

Bei welchem Provider bist du überhaupt und was bietet dieser als IPv6 an? Mit welchem Router?

 

[Je_Tho]

Router: TP-Link VR200v (Emulator siehe HIER)
ISP: Telekom (mit Dual-Stack)

Nichts desto weniger Trotz, würde ich es schön finden, wenn auch jemand die passende Antwort(en) für DS-Lite-Nutzer parat hat (wie bereits eingangs erwähnt).

 

[error]

Moin,

zu deinen Fragen:

Erste Frage:
Ich sehe aus verschiedenen Gründen weitestgehend davon ab Auto-DHCP zu nutzen. Momentan ist alles auf IPv4 konfiguriert (Adress-Bindung, etc.).
Wie sieht die ideale Konfiguration mit IPv6 aus? Was muss wie eingestellt werden?
Der DHCP sollte idealer Weise weiterhin zentral über den Router laufen - der Parallelbetrieb von IPv4 und IPv6 sollte ja kein großes Problem darstellen, oder?

Bei IPv6 gibt es in diesem Sinne keine Bindings mehr. Die extern erreichbaren Adressen bekommst du über den Provider zugewiesen. Interne Adressen kannst du, bis auf den Prefix, frei wählen.
Dadurch ergeben sich zwei Felder:
1) Extern erreichbare IPs: Diese bekommst du vom Provider zugewiesen. Dein Router delegiert die Adressen nur weiter. Diese Adressen sind immer erreichbar aus dem Internet. Ein NAT ist hier nicht vorgesehen. Firewall wird gewissermaßen auch nicht berücksichtigt.
2) Interne IPs: Diese sind wie die privaten Adressbereiche bei IPv4 nicht routbar. Sie sid nur lokal in deinem Heimnetzwerk erreichbar. Prefix ist: "fd" und danach dann die Adresse mit einem /64-Netz. Siehe RFC 4193.

Der parallele Betrieb funktioniert ohne Probleme*

Zweite Frage:
Wie kann ich meine im lokalen Netzwerk vorhanden Geräte von "Außen" ansprechen (mit üblichem Privatkunden-Internetanschluss)?
Mit IPv4 ist das ja alles kein Problem:
1. D-DNS einrichten (sofern gewünscht)
2. Port-Weiterleitung am Router einrichten
3. Loslegen

Wie funktioniert das nun konkret mit IPv6? Ist ein Dienst, vergleichbar mit D-DNS überhaupt noch notwendig? Welche Einstellungen müssen am Router getätigt werden? Wie sind die Routing- und Endgeräte (generell) zu konfigurieren?
Ein gängiger Anwendungsfall, ist sicherlich der Zugriff auf das lokale NAS.

Bei IPv6 ist es ähnlich. Du brauchst deine öffentliche IPv6-Adresse des Geräts, dass du erreihen willst. Portweiterleitungen gibt es nicht mehr, da die Geräte direkt am Internet hängen. Ob du es via ddns oder der direkten IP machst ist dir überlassen.
Konfigureiren musst du am Router nichts. Nur das Endgerät sollte seine IP-Adresse an den ddns-Dienst weiterleiten.

Dritte Frage:
Wenn ich nun alles mit IPv4 und IPv6 betreibe, welches Protokoll wird wann bevorzugt (von den Geräten / Diensten)? Ist eine Priorisierung der Protokolle möglich? Wo wird dies eingestellt?

Wenn IPv6 geht, wird IPv6 bevorzugt. Ansonsten geht es normal über IPv4. Priorisieren kannst du es meines Wissens nicht.

Bei DS-Lite ist IPv6 voll nutzbar. Nur IPv4-Verbindungen werden genattet.

------------------------------------------------------------------
*Probleme mit IPv6:
-Thema Firewall: Ist in IPv6 nicht vorgesehen. Die Geräte sind direkt aus dem Internet erreichbar. Eine Firewall am Endgerät ist somit die einzig sinnvolle Lösung.
-Thema IPs: Die externen IP-Adressen werden delegiert. Demnach ist sie immer gleich. Datenschutztechnisch ist das sehr heikel.
-....

IPv6 ist generell ein sehr umstrittenes Thema, da gewisse Prozesse in der Entwicklung jahrelang verschleppt wurden und heute nicht mehr aktuell sind. Generell hat der Markt bisher kein Bedürfniss auf IPv6 umzusteigen, weswegen Technologien schleppend entwickelt werden.
In Firmen z.B. ist IPv6 meistens kein Thema, da IPv4 in vollem Umfang nutzbar ist und Sicherheit bietet, die IPv6 (noch) nicht hat.

gruß

PS:
Beim VR200v gibt es keine IPv6 Firewall. Also ist alles, korrekte IPv6-Adresse bekannt, direkt erreichbar.

IPv6-WAN-Einstellungen:
Adressing Type: SLAAC

IPv6-DHCP:
DHCP-Typ: RADVD
RDNSS: Aktiviert
ULA-Prefix: Bei Bedarf aktivieren ("private IPv6-Adressen")
Site-Prefix-Type: Delegated
------------------------------
Links:
http://unique-local-ipv6.com/

 

[engine]

Naja, wenn man einzelne Geräte via IPv6 von Außen erreichen möchte, kommt man doch auch um eine lokale Konfiguration von IPv6 nicht herum, oder? Portweiterleitungen von IPv6 auf IPv4 sind schließlich nicht möglich, oder doch?
...

Die Lösung ist "SLAAC - Stateless Address Autoconfiguration (IPv6)".
Grob: der IPv6 Router erhält vom Provider einen IPv6 Präfix, mit dem ein Gerät im LAN seine IPv6-Adresse selber generieren kann.
Das ersetzt sozusagen das DHCP bei IPv4. Genaue Beschreibung im Link.
Mit dieser Adresse ist das Gerät vom Internet erreichbar.
Falls dein IPv6-Router eine IPv6-Firewall besitzt, dann musst du eine IPv6-Freigabe einrichten.

Hier auch ein uralter Heise-Artikel, aber wohl noch aktuell.

 

[Evil E-Lex]

-Thema Firewall: Ist in IPv6 nicht vorgesehen. Die Geräte sind direkt aus dem Internet erreichbar. Eine Firewall am Endgerät ist somit die einzig sinnvolle Lösung.
-Thema IPs: Die externen IP-Adressen werden delegiert. Demnach ist sie immer gleich. Datenschutztechnisch ist das sehr heikel.

Zu Punkt 1: Das ist grober Unfug. IPv6-Paketfilter gibt es natürlich. Nur NAT wird, bis auf Spezialfälle, nicht mehr benötigt.
Zu Punkt 2: Dafür gibt es die Privacy Extensions. Es werden vom OS temporäre IPv6-Adressen gebildet, diese sind immer für einen bestimmten Zeitraum gültig (meist zwischen acht und 24 Stunden). Diese Adressen werden für ausgehenden Datenverkehr genutzt. Allerdings ist der Endnutzer je nach Provider immer noch über das Prefix identifizierbar. Das lässt sich nur verhindern, wenn der Provider das Prefix regelmäßig wechselt.

 

[error]

Zu Punkt 1: Das ist grober Unfug. IPv6-Paketfilter gibt es natürlich. Nur NAT wird, bis auf Spezialfälle, nicht mehr benötigt.
Zu Punkt 2: Dafür gibt es die Privacy Extensions. Es werden vom OS temporäre IPv6-Adressen gebildet, diese sind immer für einen bestimmten Zeitraum gültig (meist zwischen acht und 24 Stunden). Diese Adressen werden für ausgehenden Datenverkehr genutzt. Allerdings ist der Endnutzer je nach Provider immer noch über das Prefix identifizierbar. Das lässt sich nur verhindern, wenn der Provider das Prefix regelmäßig wechselt.

Ich habe auch nie behauptet, dass es keine IPv6 Firewalls gibt. Lediglich, dass sie im Kommunikatioskonzept von IPv6 nicht vorgesehen sind und nur am Endgerät Sinn machen.

Und in der Regel hat das Endgerät keine IPv6-Firewall. Oder hast du einen Drucker mit IPv6-Firewall gesehen? Deswegen halte ich es für gerechtfertigt das Thema Firewall bei IPv6 anzusprechen und zu sagen, dass die meisten Geräte eben direkt aus dem Internet erreichbar sind.

Gruß

 

[Evil E-Lex]

Ich habe auch nie behauptet, dass es keine IPv6 Firewalls gibt. Lediglich, dass sie im Kommunikatioskonzept von IPv6 nicht vorgesehen sind und nur am Endgerät Sinn machen.

Wie kommst du darauf bzw. wo steht das? Nur weil die IPv6-Adressen global geroutet werden können, bedeutet das noch lange nicht, das keine Firewalls vorgesehen sind.

 

[error]

Wie kommst du darauf bzw. wo steht das? Nur weil die IPv6-Adressen global geroutet werden können, bedeutet das noch lange nicht, das keine Firewalls vorgesehen sind.

Siehe RFC 2460, IPv6 Spezifikation. Darin kommt nichts vom Thema Firewall vor.
Im reinen Ipv6-Schema ist somit keine Firewall vorgesehen.

Das Thema Firewall/Paketfilter ist ein separates Thema, dass an IPv6 angepasst wurde. In der Praxis wird natürlich niemand ohne Firewall/Paketfilter arbeiten. Ich hoffe das ist verständlicher

 

[Evil E-Lex]

Siehe RFC 2460, IPv6 Spezifikation. Darin kommt nichts vom Thema Firewall vor.
Im reinen Ipv6-Schema ist somit keine Firewall vorgesehen.

OK. In RFC 791 auch nicht, damit ist im reinen "IPv4-Schema" auch keine Firewall vorgesehen. Diese ganzen Krückenlösungen wie NAT waren für IPv4 auch nicht geplant, insofern geht IPv6 hier zurück zu den Wurzeln.

Das Thema Firewall/Paketfilter ist ein separates Thema, dass an IPv6 angepasst wurde. In der Praxis wird natürlich niemand ohne Firewall/Paketfilter arbeiten. Ich hoffe das ist verständlicher

Das ist korrekt, das schreibst du aber weiter oben so nicht. Es ließt sich so, als würdest du hostbasierte Paketfilter empfehlen, weil Router das nicht können. Bei älteren Routern ist das tatsächlich so. Das ist aber kein Problem von IPv6, sondern schlichtweg die Dummheit der Routerhersteller. Wir betreiben hier in der Firma problemlos seit über zwei Jahren Dual-Stack, an den Filteregeln auf der Firewall hat sich nichts geändert, außer das es jetzt zwei Regelsätze für IPv4 & IPv6 gibt.

 

[Vegeta59]

Hi möchte mich mal einklinken ich richte auch gern Netzwerke ein und versuche jetzt auch über Ipv6 zu lernen aber ich Verstehe letztendlich nicht wo da jetzt die Sicherheit Liegt wenn ein NAS oder PC mit einer Ipv6 Adresse erreichbar ist könnt ihr mir das für ein Dummy nochmal erklären?

 

[error]

Hi möchte mich mal einklinken ich richte auch gern Netzwerke ein und versuche jetzt auch über Ipv6 zu lernen aber ich Verstehe letztendlich nicht wo da jetzt die Sicherheit Liegt wenn ein NAS oder PC mit einer Ipv6 Adresse erreichbar ist könnt ihr mir das für ein Dummy nochmal erklären?

Moin,

gerne.
Im Gegensatz zu IPv4 gibt es bei IPv6 kein NAT. Dies bedeutet für IPv6, dass jedes Gerät mit einer global erreichbaren IPv6-Adressen direkt ansprechbar ist.
Der Router/Firewall ist hierbei dann die Instanz, die über eine Kommunikation entscheidet.

Falls der Router keine IPv6-Firewall hat, sind die Engeräte direkt über die IPv6-Adresse erreichbar. Gibt es eine Firewall, sind die Geräte geschützt.
Das ist einfache Erklärung zu dem Thema
-------------------------------------------
Allerdings haben die wenigsten Router aktuell eine IPv6-Firewall. Als Schlussfolgerung daraus sind die Geräte direkt erreichbar. Und das ist nicht so toll. Grade im Heimanwenderbereich machen sich die wenigsten Gedanken über Sicherheit.

----------------------------------

Das ist korrekt, das schreibst du aber weiter oben so nicht. Es ließt sich so, als würdest du hostbasierte Paketfilter empfehlen, weil Router das nicht können. Bei älteren Routern ist das tatsächlich so. Das ist aber kein Problem von IPv6, sondern schlichtweg die Dummheit der Routerhersteller. Wir betreiben hier in der Firma problemlos seit über zwei Jahren Dual-Stack, an den Filteregeln auf der Firewall hat sich nichts geändert, außer das es jetzt zwei Regelsätze für IPv4 & IPv6 gibt.

Okay, ich verstehe deine Kritik.
Aber selbst aktuelle Heimrouter haben noch keine IPv6-Firewall bzw. ist diese noch schlampig implementiert. Daher habe ich es so geschreiben, dass eine Firewall am Endgerät aktuell mehr Sinn macht.
Im Businessbereich ist zumindest bei mir auf Arbeit IPv6 global einzuführen noch kein Thema. Bedarf IPv6 einzuführen besteht bei uns nicht, da alles über IPv4 erreichbar ist.

gruß

 

[engine]

... aber ich Verstehe letztendlich nicht wo da jetzt die Sicherheit Liegt wenn ein NAS oder PC mit einer Ipv6 Adresse [direkt aus dem Internet] erreichbar ist ...

Wie kommst du darauf, das mit Sicherheit in diese Verbindung zu bringen?
Auch wenn der Adressraum von ipv6 riesig ist und dein Provider evtl. dynamische Präfixe verteilt, oder du sowieso mit einer dynamischen ipv6 mit dem Internet verbunden bist, irgendeiner findet dich und dein z.B. NAS.

Das ist gar kein Thema, um das man sich theoretisch kümmern muss, einfach einen ipv6 Router mit ipv6 Firewall kaufen und gut ist, Router mit ipv6 Firewall gibts schon seit 2013.

Niemand wird sein privates-/Unternehmens-Netzwerk ohne ipv6 Firewall betreiben, egal was ein RFC vorgibt.
Das Einfache plug&play z.B. einer ipv6-Kamera ist damit aber dann auch wieder hinfällig, es müssen wieder ipv6 Freigaben in der Router-Firewall konfiguriert werden, wie unter ipv4 auch.

 

[Tino77]

Hallo zusammen,
hier scheinen ja einige fundierte Expertise zum Thema IPv6 zu besitzen! Großartig.

Hier mein allgemeine Frage/n:
IPv6 wird vom ISP zugewiesen - verstanden
IPv6 wird mit diesem Präfix etc. an Geräte im Netz verteilt - verstanden

Soweit so klar...
Aber wie funktioniert das mit einer IPv6 Firewall (im Folgenden FW) im Netzwerk, wenn doch alle Geräte vom Präfix eine Adresse erhalten?
Dann geht die Anfrage, nach meinem Verständnis "über den Router hinweg" und direkt ins Internet.
Wie und wo würde denn die IPv6 FW greifen?
Was muss ich ggf. konfigurieren, ähnlich wie bei IPv4 ein eigenes für das lokale Netz?

Falls die Fragen keinen Sinn machen, dann würde ich mich über entsprechende Aufklärung freuen, danke!

Grüße
Tino