ipv6 address leak

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
captaincode
Beiträge: 11
Registriert: 20.10.2012 10:33:16

ipv6 address leak

Beitrag von captaincode » 08.03.2018 20:08:41

Wenn ich mit meinem Debian Laptop am Unitymedia (IPv6 only) Anschluss meiner Eltern hänge und per VPN über die Fritzbox zu meinem heimischen Telekom (IPv4) Anschluss connecte, ergibt sich folgendes Szenario:
- Meine IPv4 Adresse ist die des Telekom Anschlusses
- Meine IPv6 Adresse ist jedoch weiterhin die IPv6 des Unitymedia Anschlusses

Das ist natürlich recht unbefriedigend, ich hätte am liebsten genau wie wenn ich von zu Hause aus surfe garkeine IPv6 Adresse. Welcher Weg würde eine effektive Lösung bieten? Das einzige was mir einfällt wäre eine Remote Desktop Verbindung auf einen PC im Netzwerk und dann auf diesem PC arbeiten. Aber das ist natürlich mehr als umständlich.

alternative Notlösung: an der Fritzbox IPv6 aktivieren und so zumindest eine Telekom IPv6 Adresse erhalten?

Freue mich auf eure Tipps, Danke!

TomL

Re: ipv6 address leak

Beitrag von TomL » 08.03.2018 20:58:58

captaincode hat geschrieben: ↑ zum Beitrag ↑
08.03.2018 20:08:41
Wenn ich mit meinem Debian Laptop am Unitymedia (IPv6 only) Anschluss meiner Eltern hänge und per VPN über die Fritzbox zu meinem heimischen Telekom (IPv4) Anschluss connecte, ergibt sich folgendes Szenario:
- Meine IPv4 Adresse ist die des Telekom Anschlusses
- Meine IPv6 Adresse ist jedoch weiterhin die IPv6 des Unitymedia Anschlusses
Das kann eigentlich nicht sein... wenn Du über den Router Deiner Eltern verbunden bist, bekommt Dein Laptop einen IPv6-ISP-Prefix über das Router-Advertisement des Routers und bildet vermutlich damit und mit Verwendung seiner MAC-Adresse die globale IPv6-Adresse (...wenn die PE deaktiviert sind). Zusätzlich bekommt der Laptop vom Router wohl auch noch eine lokale IPv4 aus dessen DHCP-Range. Wenn diese IP jetzt die gleiche wie zuhause wäre, dann ist das eher ein Zufall, soll heissen, zufällig verwenden beide Router das gleiche Standard-Netz 192.168.* gemäß der üblichen Voreinstellung. Da es bei einem reinen IPv6-Account aber kein IPv4-NAT gibt, ist die IPV4 nur eine lokale Adresse innerhalb des LANs, mit der Du nicht "raus" kommst.
Das ist natürlich recht unbefriedigend, ich hätte am liebsten genau wie wenn ich von zu Hause aus surfe garkeine IPv6 Adresse.
Das wird imho wohl nicht gehen, eben weil der Unitymedia-Anschluss DS-Lite ist, also ein Anschluss, der gar kein IPv4 kann.
alternative Notlösung: an der Fritzbox IPv6 aktivieren und so zumindest eine Telekom IPv6 Adresse erhalten?
Keine Ahnung, wie das mit VPN funktioniert... aber was IPv6 angeht, da verstehe ich sowieso nicht, warum man das deaktivieren sollte.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: ipv6 address leak

Beitrag von mludwig » 08.03.2018 21:44:47

Der Tunnel zu deinem Netz zu Hause transportiert ausschließlich IPv4, also wird IPv4-Verkehr ins Internet über den VPN zu deinem Heimischen Anschluss und dort ins Internet geroutet. Im Internet erscheint also die öffentliche IP des heimischen Anschlusses. Da IPv6 nicht durch den Tunnel geht, wird er direkt bei deien Eltern ins Internet geroutet.

In diesem Fall wäre es wohl einfacher, auf deinem Laptop im "Ausland" IPv6 zu deaktivieren. Alternativ müsste ein Tunnel geschaffen werden, der auch IPv6 tunnelt. Ob eine Fritzbox das kann weiß ich nicht.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: ipv6 address leak

Beitrag von mat6937 » 08.03.2018 23:07:27

captaincode hat geschrieben: ↑ zum Beitrag ↑
08.03.2018 20:08:41
Wenn ich mit meinem Debian Laptop am Unitymedia (IPv6 only) Anschluss meiner Eltern hänge und per VPN über die Fritzbox zu meinem heimischen Telekom (IPv4) Anschluss connecte, ...
Was für eine VPN-Verbindung ist das? Mit welcher Software? IPv6 only, wird der UM-Anschluss nicht sein. Da wird IPv4 per DS-lite möglich sein. Mach mal von einem Gerät _deiner Eltern_, z. B. einen v4-traceroute zu einer IP-Adresse im Internet. Z. B.:

Code: Alles auswählen

mtr -4nr -c 2 -i 2 9.9.9.9
(oder gleichwertig).

TomL

Re: ipv6 address leak

Beitrag von TomL » 08.03.2018 23:22:44

mat6937 hat geschrieben: ↑ zum Beitrag ↑
08.03.2018 23:07:27
Da wird IPv4 per DS-lite möglich sein. Mach mal von einem Gerät _deiner Eltern_, z. B. einen v4-traceroute zu einer IP-Adresse im Internet.
Bei UM und DS-Lite gibt es imho keine eigene WAN-IPv4... sondern nur eine private, die nicht aus dem Internet erreicht werden kann. Das ist eine ge'share'te IPv4, für die UM ein Masquerading durchführt. Das Problem ist, diese IPv4 kann durchaus gleichzeitig von mehreren Kunden verwendet werden... da man sie aber nicht von außen erreichen kann und weil UM die Pakete maskiert, ist das wohl kein Problem... anderes gesagt, raus geht (IPv4 in IPv6-Tunnel), rein geht nicht. So hat mir das mal die UM-Technik erklärt... und das war dann ein Grund für mich, dort kein Kunde zu werden.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: ipv6 address leak

Beitrag von mat6937 » 08.03.2018 23:28:43

TomL hat geschrieben: ↑ zum Beitrag ↑
08.03.2018 23:22:44
Bei UM und DS-Lite gibt es imho keine eigene WAN-IPv4... sondern nur eine private, ...
Ja, ich weiß wie das bei UM ist, denn ich bin UM-Kunde. Ein DS-lite-Anschluss ist kein IPv6-only-Anschluss. VPN (über das Internet) geht auch von einem DS-lite-Anschluss zu einem nativen IPv4-Anschluss.

TomL

Re: ipv6 address leak

Beitrag von TomL » 08.03.2018 23:52:45

Ach ja, klar...sorry... ich war in Gedanken wieder auf dem umgekehrten Weg. :wink:

captaincode
Beiträge: 11
Registriert: 20.10.2012 10:33:16

Re: ipv6 address leak

Beitrag von captaincode » 09.03.2018 10:40:17

Vielen Dank für eure Antworten.

Also wenn ich am Laptop IPv6 deaktiviere ändert dies am Sachverhalt leider nichts.

Das Traceroute Ergebnis wenn ich am UM Anschluss hänge:

Code: Alles auswählen

HOST: debook             Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.1.1                0.0%     2    1.7   2.9   1.7   4.1   1.4
  2.|-- 81.210.166.6               0.0%     2   14.3  16.6  14.3  19.0   3.3
  3.|-- 81.210.166.5               0.0%     2   22.3  19.3  16.3  22.3   4.1
  4.|-- 84.116.197.42              0.0%     2   21.6  25.2  21.6  28.8   5.0
  5.|-- 84.116.134.6               0.0%     2   20.4  20.8  20.4  21.1   0.0
  6.|-- 80.81.194.42               0.0%     2   46.3  32.9  19.5  46.3  18.9
  7.|-- 9.9.9.9                    0.0%     2   20.5  18.6  16.7  20.5   2.6
Und zum Vergleich wenn ich per VPN zum Telekom Anschluss verbunden bin:

Code: Alles auswählen

HOST: debook           Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 9.9.9.9                    0.0%     2   21.7  20.9  20.0  21.7   1.0
Die VPN Verbindung baue ich per vpnc über den network-manager auf.

PS: Mit IPv6 only wollte ich ausdrücken das es kein richtiger Dual Stack Anschluss ist sondern nur ein DS-LITE Anschluss. Nach meinem Verständnis kann dieser Anschlusstyp keine direkte IPv4 Verbindung ins Inet aufbauen sondern nur über AFTR Gateways

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: ipv6 address leak

Beitrag von mat6937 » 09.03.2018 10:48:29

captaincode hat geschrieben: ↑ zum Beitrag ↑
09.03.2018 10:40:17
Also wenn ich am Laptop IPv6 deaktiviere ändert dies am Sachverhalt leider nichts.
Ich denke schon, dass sich da was am "Sachverhalt" ändert. Siehe z. B. mit und ohne aktiviertem IPv6 auf deinem Laptop, die Ausgaben von:

Code: Alles auswählen

ping6 -c 3 2620:0:ccc::2
mtr -6nr -c 2 -i 2 2620:0:ccc::2
dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2
ip a | grep -i inet6
ip -6 r
ip n s

captaincode
Beiträge: 11
Registriert: 20.10.2012 10:33:16

Re: ipv6 address leak

Beitrag von captaincode » 09.03.2018 15:15:38

Ah, da war ich etwas voreilig. Es reicht wohl nicht IPv6 nur im Network-Manager zu deaktivieren :oops:

Dieses Workaround funktioniert also, hat dann aber den Nachteil das ich an meinem Laptop immer IPv6 deaktiviert habe. Sofern jemanden noch eine andere Lösung einfällt teste ich diese gerne, ansonsten bis hierhin schon einmal vielen Dank.

PS: Falls sich jemand fragt warum ich dies als Nachteil empfinde. Dadurch wird mein Traffic an einem IPv6 Anschluss ja komplett über die langsamen AFTR Gateways geleitet und nicht nur eine evtl. aktive VPN Verbindung...

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: ipv6 address leak

Beitrag von mat6937 » 09.03.2018 15:36:31

captaincode hat geschrieben: ↑ zum Beitrag ↑
09.03.2018 15:15:38
... warum ich dies als Nachteil empfinde. Dadurch wird mein Traffic an einem IPv6 Anschluss ja komplett über die langsamen AFTR Gateways geleitet und nicht nur eine evtl. aktive VPN Verbindung...
Ist das so? ... dass das AFTR-Gateway der Flaschenhals ist? Teste bzw. vergleiche mal mit:

Code: Alles auswählen

wget -6 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz
und

Code: Alles auswählen

wget -4 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: ipv6 address leak

Beitrag von habakug » 09.03.2018 16:40:43

Hallo,

ja, das ist so.

Code: Alles auswählen

$ wget -6 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz
/dev/null           100%[===================>] 153,59M  22,6MB/s    in 7,1s
$ wget -4 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz
/dev/null           100%[===================>] 153,59M  1,53MB/s    in 1m 40s 
Das IPv4 geht über Kalifornien, IPv6 (hier KD) direkt zu netcologne.

Gruss, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: ipv6 address leak

Beitrag von mat6937 » 09.03.2018 16:59:12

habakug hat geschrieben: ↑ zum Beitrag ↑
09.03.2018 16:40:43
Das IPv4 geht über Kalifornien,
Hast Du DS-lite bei KD? Ist das natives IPv4 oder IPv4 mit DS-lite (AFTR-gateway), das bei dir über Kalifornien geht?

BTW: Der TE müsste mit dem (zusätzlichen/parallelen) nativen IPv6 (von UM) doch zufrieden sein, denn ich denke das wird schneller sein als sein IPv4 über VPN.

EDIT:

Hier mit nativem IPv4 am 50Mbit/s-Anschluss:

Code: Alles auswählen

:~ $ wget -4 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz

/dev/null                      100%[====================================================>] 153.59M  6.45MB/s   in 24s

captaincode
Beiträge: 11
Registriert: 20.10.2012 10:33:16

Re: ipv6 address leak

Beitrag von captaincode » 12.03.2018 10:10:23

Also ich habe es jetzt einmal getestet, der "Umweg" macht bei mir objektiv ca 10% aus, subjektiv nicht zu bermerken. Damit kann ich leben -> Problem gelöst.

Vielen Dank an alle.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: ipv6 address leak

Beitrag von ingo2 » 01.04.2018 18:00:43

Habe den Thread gerade erst gesehen, kann dir aber meine erprobte Lösung nbur empfehlen.
Die benutzte ich grundsätzlich auf portablen Geräten mit VPN, um IPv6 bei VPN-Nutzung abzuschalten. Das ist sonst natürlich ein toller Bypass und macht den Sinn/die Sicherheit das VPN zunichte:

Script erstellen:
/etc/NetworkManager/dispatcher.d/02noipv6onvpn

Code: Alles auswählen

#!/bin/sh -e
# Script to disable IPv6 during VPN-connections
# Place in /etc/NetworkManager/dispatcher.d/
if [ "$2" = "vpn-up" ]; then
   echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
fi
if [ "$2" = "vpn-down" ]; then
   echo 0 > /proc/sys/net/ipv6/conf/all/disable_ipv6
fi
Die Anregung dazu habe ich übrigens aus der man page http://linux.die.net/man/8/networkmanager

EDIT:
Damit verbinde ich mich dann, wenn ich an fremden Anschlüssen/Hotspots eingelogt bin, mit Zuhause und aller Verkehr läuft sicher über meinen Heimatanschluß. Sogar Telefonieren mit Linphone geht dann unter Nutzung meiner heimischen Festnetz-Flat-Rate.
Testen kann man das schön auf dieser Site: http://whatismyv6.com/

EDIT2:
Wenn du zuhause IPv6 nutzt, brauchst du keine Angst vor Tracking, .. zu haben, schalte einfach die "privacy extensions" ein, die sind dafür:
Systemweit:
Konfigurationsdatei erstellen /etc/sysctl.d/10-ipv6-privacy.conf

Code: Alles auswählen

net.ipv6.conf.all.use_tempaddr = 2		#alle Interfaces
net.ipv6.conf.default.use_tempaddr = 2		#up at boot time
Separat je Verbindung in der entsprechenden Verbindungskonfiguration:
/etc/NetworkManager/system-connections/<deine SSID bzw. Name>

Code: Alles auswählen

[ipv6]
method=ignore
ip6-privacy=2
So, jetzt ist es überkomplett ;-)

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: ipv6 address leak

Beitrag von bluestar » 15.04.2018 23:31:40

Eigentlich müsste es reichen, wenn du auf dem Router deiner Eltern IPv6 für‘s LAN deaktivierst. Ob das mit Unity-Routerhardware möglich ist, kann ich dir jedoch nicht sagen.

Alternativ blockiere mit ip6tables sämtlichen V6-Verkehr mit dem Start der VPN-Verbindung.

Antworten