Warum kann man IPv6 link local Adresen nicht nutzen?

[TomL]

Unbedingt benötigt man einen DHCP-Server bei IPv6 nicht:

Sehe ich auch so. Vielleicht ist eine falsche Router-Einstellung das Problem. Deswegen hatte ich das ja hier schon gepostet:
viewtopic.php?f=30&t=170176#p1178108

Allerdings hatte ich gedacht, der Router würde mit diesem Dienst ipv6 für die Clients generieren oder manuell eingestellte vergeben können . Das der Port ins Web offen ist, hat mich echt überrascht. Aber wie gesagt, brauchen tut mans imho nicht.

[ingo2]

Also, jetzt nochmal genau meine Konfiguration (war vorher wohl über mehrere Posts verstreut):

Code: Alles auswählen

DHCPv6-Server im Heimnetz:
   {x]  DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)
   Lokaler DNSv6-Server:
          <Die ULA meines DNS-Servers (unbound) auf einem APU.2C4>

Code: Alles auswählen

DHCPv6-Server im Heimnetz:
[ ]   DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
[x]   DHCPv6-Server in der FRITZ!Box deaktivieren: 
   [x]  Es sind keine anderen DHCPv6-Server im Heimnetz vorhanden.
   [ ]  Das O-Flag in den Router Advertisement-Nachrichten der FRITZ!Box aktivieren
   [ ]  Das M- und das O-Flag in den Router Advertisement-Nachrichten der FRITZ!Box aktivieren (SLAAC möglich)
   [ ]  Das M- und das O-Flag in den Router Advertisement-Nachrichten der FRITZ!Box aktivieren (SLAAC nicht möglich).

Und das geht einwandfrei!
Die Adressen bzw. Pfrefix und Gateway werden wie üblich über RA (router advertisement) bekannt gegeben = SLAAC
Und, das ist die Abweichung vom Default:
Auch der DNS-Server wird über RA bekannt gegeben (SLAAC) und den kann man einstellen. Da habe ich dann statt des Default (den DNS der FritzBox) meinen RDNSS (recursive DNS-Server, mein unbound) angegeben. Der beherrscht auch DNSSEC und zusätzlich habe ich eine DNS-Blacklist gegen Ungeziefer, Malware und Advertising eingerichtet.

Es ist also gar kein DHCPv6-Server in meinem Heimnetz aktiv (installiert habe ich sowas nie)!
Auf diese Weise konfiguriert sich IPv6 in meinem Heimnetz vollautomatisch via RA!

Der einzige Quirk dabei: dieses RDNSS via RA beherrschen Win7 und Win8.x nicht und können mangels DNS kein IPv6 - ist mir sogar Recht, die sollen halt IPv4 nutzen. Linux und iOS beherrschen das.

So, jetzt noch zu Jana's Frage:
Den UDP-Portscan habe ich von dieser URL aus gemacht:
http://ipv6tech.ch/?udpportscan
Und das zu scannende Interface ist der WAN-Port des Routers bzw. dessen IPv6. Der steht gleich auf der Übersichtsseite des Web-Interfaces der FB. Diese IPv6 gehört zu dem Hostnamen, wie ihn die Telekom vergibt, z.B.

Code: Alles auswählen

$host <IPv6 des WAN-Interfaces>
p200300C7EFFF1EBD3A10D5FFFED22358.dip0.t-ipconnect.de

Falls noch Fragen sind, bitte melden
Ingo

P.S.:
was mir gerade noch einfällt: dass der Port 547 nicht auf ein Ping oder was readgiert, heißt nicht zwangsläufig, dass da niemand lauscht. Da DHCPv6-Anfragen zwingend den Source-Port 546 haben müssen, könnte sich da auch ein Filter hinter dem Port befinden, der alles andere ersatzlos droppt - man müßte also "real conditions" testen, aber das kann ich selbst nicht.

[mat6937]

... - man müßte also "real conditions" testen, aber das kann ich selbst nicht.

Das kannst Du mit z. B. tcpdump und dem restart des dhcp-Clienten machen. Z. B.:

Code: Alles auswählen

tcpdump -vvveni <Interface> udp portrange 546-547

Gekürztes Beispiel für eine Ausgabe von tcpdump:
Anfrage dhcp-Client (source-Port 546 an IPv6 multicast-Adresse):

Code: Alles auswählen

fe80::####:ebff:fea8:6a64.546 > ff02::1:2.547

Antwort Router mit mit dhcp-Server (source-Port 547):

Code: Alles auswählen

fe80::xxxx:6ff:fe2b:52de.547 > fe80::####:ebff:fea8:6a64.546

[ingo2]

... - man müßte also "real conditions" testen, aber das kann ich selbst nicht.

Das kannst Du mit z. B. tcpdump und dem restart des dhcp-Clienten machen. Z. B.:

Code: Alles auswählen

tcpdump -vvveni <Interface> udp portrange 546-547

Wie soll ich das aus dem internen LAN auf den WAN-Port des Routers machen?

Das Analogon dazu habe ich mit dem FritzBox-internen DNS-Server gemacht - geht und er löst sogar hostnames auf!

Code: Alles auswählen

dig -6 @p200300C7EFFF1EBD3A10D5FFFED22358.dip0.t-ipconnect.de ct.de aaaa

Das wird vermutlich innerhalb des Routers direkt verbunden. Ein privater DNS-Server auf dem WAN-Interface zum Internet wird doch sicher von den Providern geächtet und scheint mir deshalb unwahrscheinlich

Das meinte ich mit "real conditions" - aus dem LAN heraus kann ich das nicht zuverlässig testen.

P.S.: zur Info:
Die oben genannte Adresse des WAN-Interfaces ist nicht mehr gültig, also bitte die eigene oder die IPv6 benutzen.

Ich bin aber gerne bereit, meine aktuelle WAN-IPv6 per PM mitzuteilen für einen realen Test übere Internet - bitte melden!

[mat6937]

Ich bin aber gerne bereit, meine aktuelle WAN-IPv6 per PM mitzuteilen für einen realen Test übere Internet - bitte melden!

Nicht mehr erforderlich, denn ich habe gerade über das Internet getestet:

Code: Alles auswählen

:~ $ dig -6 aaaa +short heise.de @2003:##:####:####:224:feff:fef5:556a
;; connection timed out; no servers could be reached

BTW: UDP-Portscans über das Internet sind nicht brauchbar.

[BenutzerGa4gooPh]

... man müßte also "real conditions" testen, aber das kann ich selbst nicht.

Na, etwas wohl doch: Ich habe zwar keine Fritzbox, jedoch las ich mal, dass man den WAN-Port (xDSL oder Faser) auch auf einen LAN-Port umkonfigurieren kann, hätte somit einen 1GBE-RJ45-WAN-Port an der Fritzbox. Diesen Port könnte man mit oder von einem PC oder Laptop scannen, nmap oder sowas. Meinte ich damit:

WAN-Anschluss ist ja xDSL oder LWL, da würde ich zum Portscan einen LAN-Port zum WAN umkonfigurieren, man will ja die Sicherheit von außen wissen.

Ist nicht ganz "real life" und eventuell Problem: Den PPPoE-Server des Providers müsste man eigentlich auf dem PC/Laptop (simulierter Provider) auch konfigurieren - oder eben dieses Protokoll für Tests nicht verwenden, dafür DHCP-Client:
https://avm.de/service/fritzbox/fritzbo ... inrichten/
Stateful Packet Inspection, Portweiterleitungen/offene Ports dürfte man bei Scans sehen. K. A. ob das auch mit IPv6 so klappt.

Modem + Router mit Ethernet-WAN-Port hat schon was (eindeutige Leistungsgrenzen und Testmöglichkeiten, anstelle Router für Tests auch mal PC mit PPPoE-Client möglich.

[ingo2]

Danke mat6937,

Da war mein Gedanke doch richtig, daß das an ein und demselben Anschluß keine korrekten Werte liefert.
Hast du tatsächlich 2 verschiedene voll IPv6-taugliche Internetanschlüsse - nobel
Jedenfalls bin ich jetzt beruhigt, daß da kei größeres Leck nach außen besteht.

@Jana66
Dein Vorschlag, einen LAN-Port zum WAN-Port umzuwidmen geht wohl mit meiner Box nicht. Die Anleitung sagt:

Mit einem zusätzlichen Kabelmodem können Sie Ihre
FRITZ!Box 7430 auch an einem Kabelanschluss einsetzen.
Verwenden Sie dafür ein Netzwerkkabel.
FRITZ!Box 7430
1. Stecken Sie ein Ende des Netzwerkkabels in die LAN-
Buchse (Ethernet-Buchse) des Kabelmodems.
2. Stecken Sie das andere Ende des Netzwerkkabels in die
mit „LAN 1“ beschriftete Buchse der FRITZ!Box.
3. Verbinden Sie einen Computer entweder über ein
Netzwerkkabel oder kabellos über WLAN mit der FRITZ!
Box, ...

Ich verstehe das so, daß die mit "Modem" einen Kasten meinen, der schon die komplette PPPoE -> Ethernet Umsetzung inklusive Filterung macht. Es gibt ja an der FritzBox nichts umzukonfigurieren bzw. zu routen, die arbeitet dann wie ein Switch nur mit LAN-Interfaces?
Bei der Konfiguration dazu heißt es dann

Die FritzBox erkennt und konfiguriert bei Einsatz eines Modems den Internetanschluß automatisch

Mit anderen Worten:
ich kann da selbst garnichts konfigurieren.

[BenutzerGa4gooPh]

Ich verstehe das so, daß die mit "Modem" einen Kasten meinen, der schon die komplette PPPoE -> Ethernet Umsetzung inklusive Filterung macht.

Das ist wohl so. PPPoE kann die FB am umkonfigurierten LAN1=WLAN nicht (mehr). Also nicht ganz "real life".

Es gibt ja an der FritzBox nichts umzukonfigurieren bzw. zu routen, die arbeitet dann wie ein Switch nur mit LAN-Interfaces?

Nach dem AVM-Link ist dem nicht so, man kann eine Routerkaskade herstellen. Der Upstream-Router (vom Provider) wäre in deinem (Test-/Scan-) Fall der Scan-PC mit DHCP-Server und ohne Internetzugang, macht ja nichts, nur zum Scan. Die FB wäre "Downstream-Router" oder kaskadierter Router, klappt nur mit entsprechend umkonfigurierten (!) LAN1-Port. Die restlichen LAN-Ports wären dann dazu geroutet und untereinander geswitcht. Aber wie gesagt, keine Ahnung, wie das bei IPv6 ist. Vielleicht mal in entsprechenden Foren nachfragen, manchmal sind Entwickler dort.
Noch mal anders ausgedrückt: Dein Scan-PC ersetzt/simuliert sozusagen den Accessrouter des Providers ohne Modem und DSLAM, weil reines, neudenglisch "plane" Ethernet mit DHCP-Server. Der Scan-PC selbst kann nur Verbindungen zur WAN-IP der FB checken. Aus dem LAN (Ports 2-4) und WLAN der FB müsstest du den Scan-PC an LAN1 (=WAN) "sehen" (pingen) können. Somit würde der Scan-PC offene Ports am umkonfiguriertem (!) LAN1=WAN der FB erkennen.
(Weiß nicht, ob Portscan wirklich nunmehriges Anliegen ist oder ob ich zu weit aushole, passt jedenfalls nicht zum Threadanfang. )