Umstellung von IPv4 auf IPv6 (zusätzlich)

[jochen02]

Hallo,

ich hoffe, hier richtig zu sein. Wenn nicht, bitte ich um einen Hinweis.

Nachdem ich sehr lange IPv6 gemieden habe und alles mit IPv4 abgedeckt habe, wird es anscheinend doch allmählich Zeit.
Mit IPv4 kann ich einigermaßen gut umgehen. Jetzt suche ich idealerweise einen Online-Kurs, der erklärt, wie man als IPv4-ler mit IPv6 umgeht.

Die Frage mag heutzutage doof klingen, aber ich bin ja bereit, dazuzulernen...

Motivation: Na ja, dazulernen, aber wichtiger ist, dass öffentliche routingfähige IPv4-Adressen für Privatkunden von den ISPs allmählich immer seltener zugesagt werden. Mit einer "Intranet-IP" kann ich nichts anfangen, ich brauche VPN-Zugang von draußen. Bleibt, IPv6 zu verwenden. Daher.

Eigentlich kann in meinem internen Netz (ca. 15 Clients) alles bei IPv4 bleiben.

Könnt ihr helfen, die richtigen Fragen zu stellen?

Danke schon mal.

[cosinus]

Einen Onlinekurs? Ich weiß jetzt nicht genau was du da erwartest, aber bei Youtube findet man bestimmt massenhaft Videos dazu.
Ansonsten empfehle ich den Wikipedia-Artikel zu IPv6.

Welche Fragen hast du denn bereits?

[mino23]

Hier im df gibt es diverse Post aus der Anfangszeit des IPv6. Damals wurde so was wie eine Endzeit des alten Systems von einigen df usern angekündigt. Bisher ist nichts davon eingetreten.

Mein Nachbar hat in seinem Haus ein privates Netzwerk mit 307 IPs vergeben mit denen er alle Fenster, Rolläden, Kameras, Leuchten ... ansurfen kann. Das ist alles IPv4.

Mein Arbeitgeber hatte eine IPv6 Webseite aufgesetzt. In einem Jahr hatte die Seite 8 oder 9 Aufrufe. Die Webseite wurde wieder gelöscht. Ich wüßte aktuell auch nicht welches unserer deutschen Leitmedien mit einer IPv6 Webseite aktiv ist.

Das ist genau wie mit iptables und nftables vor ein paar Jahren oder mit Cobol vor ein paar Jahrzehnten. Alles Hype.

[jochen02]

Ansonsten empfehle ich den Wikipedia-Artikel zu IPv6.

Welche Fragen hast du denn bereits?

Bisher ist ja alles IPv4. Ich habe zunächst in meiner meine FritzBox IPv6 enabled und erhalte auch eine IPv6-Adresse und ein Präfix.
Zugang von außen habe ich bisher (v4) per port forwarding gelöst. Und NAT bietet ja auch schon etwas Sicherheit. Soweit ich bisher gelesen habe, bekommen Clients eine öffentliche Adresse?

Was muss, ist:

• IPv6 nach draußen - ist gegeben, s.o.

• IPv6 auf internen Rechnern, die von außen erreichbar sein müssen. Sind erstmal nur 2, beide Debian 11 bzw. 12

• IPv6 für netfilter

• IPv6 auf pi-hole, das soll dann auch DNS für v6 abgeben

• Kür: bind9 für IPv4 und IPv6 - mit jeweils lokalen Zonen

Das sind erstmal meine Vorhaben. Ich habe bisher praktisch keine Ahnung von IPv6 (leider).

[jochen02]

Hier im df gibt es diverse Post aus der Anfangszeit des IPv6. Damals wurde so was wie eine Endzeit des alten Systems von einigen df usern angekündigt. Bisher ist nichts davon eingetreten.

Mein Nachbar hat in seinem Haus ein privates Netzwerk mit 307 IPs vergeben mit denen er alle Fenster, Rolläden, Kameras, Leuchten ... ansurfen kann. Das ist alles IPv4.

Ja, schon. Deshalb auch meine bisherige Ignoranz. Aber wenn ich andere ISPs, als die Telekom in Betracht ziehen will, brauche ich wg. VPN-Zugang wohl oder übel IPv6.

Idealerweise läuft extern bis in den Router (der auch VPN-Gateway ist), IPv6. Intern dann gern weiter IPv4. Ist das vernünftig und machbar?

[cosinus]

Das ist genau wie mit iptables und nftables vor ein paar Jahren oder mit Cobol vor ein paar Jahrzehnten. Alles Hype.

Ein Hype ist IPv6 garantiert nicht. Das Ding ist nur, dass man noch viele Jahre parallel fahren muss, da es immer noch Geräte gibt, die kein IPv6 können. Und es gibt immer noch Provider, die einfach kein IPv6 anbieten.
Und eben weil ja alles irgendwie noch mit IPv4 läuft ist bei vielen einfach der Druck noch nicht groß genug, sich mit IPv6 zu beschäftigen.

[cosinus]

Bisher ist ja alles IPv4. Ich habe zunächst in meiner meine FritzBox IPv6 enabled und erhalte auch eine IPv6-Adresse und ein Präfix.

NAT ist eigentlich kein Sicherheitsfeature. Es gibt eher zufällig etwas Sicherheit, da beim NAT wie man das vom Router her kennt, kein Port/Dienst von außen erreichbar ist, dazu müsste erst ein Portforwarding eingerichtet werden.

Zugang von außen habe ich bisher (v4) per port forwarding gelöst. Und NAT bietet ja auch schon etwas Sicherheit. Soweit ich bisher gelesen habe, bekommen Clients eine öffentliche Adresse?

Jein. Das ist eine Frage wie man das konfiguriert. In den Standardeinstellungen generieren moderne OS automatisch IP-Adressen. Zum einen die Link-Local-Adressen (fangen mit fe80 an) und zum anderen die öffentlichen Adressen, also die man vom Provider bekommt. Das nennt sich dann Router Advertisement, idR stellt hier der Router die Info welches v6-Subnet genutzt werden soll (die erste Hälfe der IPv6-Adresse) und die Clients generieren sich die zweite Hälfe selbst.

Das sind erstmal meine Vorhaben. Ich habe bisher praktisch keine Ahnung von IPv6 (leider).

Das ist erstmal halb so wild. Einen Router hast du ja? Welchen?
Der stellt dir IPv6 zur Verfügung. Aber leider gibt es viele Router, die lassen keine Konfiguration der Firewall für IPv6 zu...

[jochen02]

NAT ist eigentlich kein Sicherheitsfeature. Es gibt eher zufällig etwas Sicherheit, da beim NAT wie man das vom Router her kennt, kein Port/Dienst von außen erreichbar ist, dazu müsste erst ein Portforwarding eingerichtet werden.

Ja, schon klar. Aber die Nichterreichbarkeit der internen Rechner ist schon ganz nett.

Zugang von außen habe ich bisher (v4) per port forwarding gelöst. Und NAT bietet ja auch schon etwas Sicherheit. Soweit ich bisher gelesen habe, bekommen Clients eine öffentliche Adresse?

Jein. Das ist eine Frage wie man das konfiguriert. In den Standardeinstellungen generieren moderne OS automatisch IP-Adressen. Zum einen die Link-Local-Adressen (fangen mit fe80 an) und zum anderen die öffentlichen Adressen, also die man vom Provider bekommt. Das nennt sich dann Router Advertisement, idR stellt hier der Router die Info welches v6-Subnet genutzt werden soll (die erste Hälfe der IPv6-Adresse) und die Clients generieren sich die zweite Hälfe selbst.

Die Interfaces hier intern habe ich mit quasi-festen IPs konfiguriert. DHCP --> DNS, du kennst das sicher. Ich würde die IPv6-Adressen auch gern wieder zentral fest vergeben.

Das sind erstmal meine Vorhaben. Ich habe bisher praktisch keine Ahnung von IPv6 (leider).

Das ist erstmal halb so wild. Einen Router hast du ja? Welchen?
Der stellt dir IPv6 zur Verfügung. Aber leider gibt es viele Router, die lassen keine Konfiguration der Firewall für IPv6 zu...

Der Router ist eine FritzBox 7490 mit Softwarestand 07.29.

[cosinus]

Ich würde die IPv6-Adressen auch gern wieder zentral fest vergeben.

Damit hab ich leider keine Erfahrung - du meinst doch DHCPv6?
grundsätzlich kannst du aber intern vorhersehbare Adressen verwenden, denn die einzelnen Rechner generieren sich ja via EUI64 selbst ihre Adressen. IdR sind auch noch die privacy Extensions aktiv, sodass noch weitere IPv6-Adressen generiert werden (bei dem der 2. Teil der Adresse dann aber gewürfelt ist)

[jochen02]

Ja, dafür dann DHCPv6.

Und was dann die vorhersehbaren IPs angeht, bin ich wissensmäßig schon wieder draussen.

[cosinus]

Und was dann die vorhersehbaren IPs angeht, bin ich wissensmäßig schon wieder draussen.

Macht doch nichts, das kann man ja auch nur wissen wenn man sich damit beschäftigt
Nach EUI-64 wird die IPv6-Adresse aus der MAC-gebildet. Du kannst dann intern mit den fe80-Adressen arbeiten...oder bekommst du ein statisches Prefix von deinem Provider?

Hier mal ein Beispiel aus meiner Debian-VM:

Code: Alles auswählen

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:6b:bc:88 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.77/24 brd 192.168.2.255 scope global enp0s3
       valid_lft forever preferred_lft forever
    inet6 2003:****:****:****:b774:dabd:bf10:10ed/64 scope global temporary dynamic 
       valid_lft 172765sec preferred_lft 85766sec
    inet6 2003:****:****:****:a00:27ff:fe6b:bc88/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 172765sec preferred_lft 86365sec
    inet6 fdcb::77/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe6b:bc88/64 scope link 
       valid_lft forever preferred_lft forever

Die MAC-Adresse des Netzwerkadapters der VM lautet 08:00:27:6b:bc:88
Die daraus nach EUI-64 gebildeten Adressen: 2003:****:****:****:a00fe6b:bc88 und fe80::a00fe6b:bc88
Erkennst du die MAC in den Adressen wieder?

2003:****:****:****:b774:dabd:bf10:10ed ist die gewürfelte Adresse (privacy extensions)

[jochen02]

Nach EUI-64 wird die IPv6-Adresse aus der MAC-gebildet. Du kannst dann intern mit den fe80-Adressen arbeiten...oder bekommst du ein statisches Prefix von deinem Provider?

Nein, die Adresse wird sich ab und zu ändern.
Die IPv6-Adresse beginnt mit "2003" und hat: Gültigkeit: 14155/1555s
Es wird (zusätzlich?) ein Prefix zugewiesen. /56, Gültigkeit: 13804/1204s

Hier mal ein Beispiel aus meiner Debian-VM:

Code: Alles auswählen

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:6b:bc:88 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.77/24 brd 192.168.2.255 scope global enp0s3
       valid_lft forever preferred_lft forever
    inet6 2003:****:****:****:b774:dabd:bf10:10ed/64 scope global temporary dynamic 
       valid_lft 172765sec preferred_lft 85766sec
    inet6 2003:****:****:****:a00:27ff:fe6b:bc88/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 172765sec preferred_lft 86365sec
    inet6 fdcb::77/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe6b:bc88/64 scope link 
       valid_lft forever preferred_lft forever

Die MAC-Adresse des Netzwerkadapters der VM lautet 08:00:27:6b:bc:88
Die daraus nach EUI-64 gebildeten Adressen: 2003:****:****:****:a00fe6b:bc88 und fe80::a00fe6b:bc88
Erkennst du die MAC in den Adressen wieder?

2003:****:****:****:b774:dabd:bf10:10ed ist die gewürfelte Adresse (privacy extensions)
[/quote]
Ich sehe bei deinem Beispiel den Zusammenhang zwischen MAC und den IPv6-Adressen.
Bei mir aber nicht. Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen. Das Prefix der 2003-Adresse entspricht dem vom Provider zugewiesenen. Es geht dann anscheinend mit dem immer wieder geäderten Teil (privacy extensions) weiter. Ich will allerdings nicht bei den im internen Netz vorhandenen Geräten, dass sich deren IP ändert, nur weil der Provider ein anderes Präfix zuweist. Das wirkt unpraktisch.

DHCPd für IPv6 ist zur Zeit die FritzBox, die das Prefix ja kennt.

[wanne]

Jetzt suche ich idealerweise einen Online-Kurs, der erklärt, wie man als IPv4-ler mit IPv6 umgeht.

Wenn du IPv4 wirklich verstanden hast. (Also wie Netzmasken und Routen berechnet werden.) Nichts Lediglich dass es:
a) kein NAT und keine Fragmentierung mehr gibt, weil die unnötig kompliziert waren.
b) ARP wurde durch ND ersetzt darin spielen die fe80-Adresse in etwa die Rolle, die früher die MAC-Adressen gespielt haben.
c) DHCP ist tot. Alles im LAN läuft über RA das minimal anders funktioniert. (Client wählt sich seine Adresse und teilt sie dem Router mit.Nicht umgekehrt.) Daneben gibt es noch DHCPv6. Das hat wenig mit DHCP zu tun, kann viel mehr und läuft üblicherweise nicht auf deinem PC.

Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen.

Nein. Das ist wirklich der einzige große Unterschied zwischen IPv6 und IPv4. Clienten erfragen Adressen sie bekommen sie nicht zugewiesen. Wenn sich der hintere Teil die ganze Zeit ändert, dann weil du das aktiv so am PC eingestellt hast. Debian macht das per default nicht. Aber z.B. Windows und Ubuntu im Gnome-Spin. Musst du die privacy-extentions abstellen. Nutzt du die /etc/network/interfaces oder systemd-networkd oder NetworkManager?

Bei mir aber nicht. Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen. Das Prefix der 2003-Adresse entspricht dem vom Provider zugewiesenen. Es geht dann anscheinend mit dem immer wieder geäderten Teil (privacy extensions) weiter. Ich will allerdings nicht bei den im internen Netz vorhandenen Geräten, dass sich deren IP ändert, nur weil der Provider ein anderes Präfix zuweist. Das wirkt unpraktisch.

Es sind nu wirklich genug IPv6-Präfixe da, dass jeder sein eigenes haben kann. Im Standard steht sehr eindeutig, dass ein wechsel nur zusätzlich oder auf anfrage des Clients passieren darf. Wenn man jetzt einen Router hast, der das die ganze Zeit anfragt, sollte man sich fragen ob man nicht das Problem, da wo es entsteht beheben sollte. Wenn man beim rosa Riesen ist, der monatlich 33€ zusätzlich haben will, dass er sich an die Standards hält, sonst ändert sich das Präfix alle 180 Tage. Auch da würde ich stark für wechseln statt Symptome behandeln plädieren. Problem bleibt, dass andere Anbieter ziemlich hinterm Berg halten, wie sie das handhaben. Die meisten verweisen auf ihre teuren Businesstarife nutzen aber für alle Anschlüsse Hardware von der Stange, die sich standardkonform verhält. Bei kleineren bekommst du meist auf nachträgliche anfrage ein festes. Aber in den Vertrag wollen sie es alle nicht schreiben.

Ansonsten sind die Adressen doch eh zu lange zum merken. Namen sind einfach der sinnvollere Weg. Und da man die IPv4 verkrüppeln mit internen und externen Adressen nicht mehr hat, macht DynDNS das leben extrem viel einfacher im LAN. Aber ich wette, dass du einer von denen bist, die unbedingt alle Nachteile von IPv4 auf IPv6 portieren wollen. Dann schreibt IPv6 vor dass jedes Interface viele Adressen können muss. Im Idealfall nutzt man da eine dynamische Adresse für ausgehende Verbindungen (aus Privatsphäregründen) und eine feste für eingehende (Damit man sich nicht dauernd andere IPs merken muss.). Leider sieht die Realität anders aus und das funktioniert mit den wenigsten Provider/Routerkombinationen.
Du kannst einfach auf alle Rechner zusätzlich eine ULA konfigurieren. Du generierst dir ein Präfix und und dann ersetzt du das ende durch ::1,::2... Dann hast du für immer statische Adressen. Das sorgt dann aber dafür, dass du wieder den IPv4 Quatsch hast, dass interne und externe Adressen unterschiedlich sind. Aber ich habe gelernt: Die Leute stehen auf schmerzen.

[cosinus]

Ich sehe bei deinem Beispiel den Zusammenhang zwischen MAC und den IPv6-Adressen.
Bei mir aber nicht. Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen.

Das kann nicht sein. Auch mit aktiven privacy extensions müsstest du zusätzlich noch die "echte" fe80-Adresse und die management Adresse haben, beide werden nach EUI-64 gebildet. Wie sieht denn die Ausgabe von ip a bei dir aus?

Das Prefix der 2003-Adresse entspricht dem vom Provider zugewiesenen. Es geht dann anscheinend mit dem immer wieder geäderten Teil (privacy extensions) weiter. Ich will allerdings nicht bei den im internen Netz vorhandenen Geräten, dass sich deren IP ändert, nur weil der Provider ein anderes Präfix zuweist. Das wirkt unpraktisch.

Man kann noch wenn man will, bei den Clients zusätzliche statische Adressen konfigurieren. Ich hab das testweise gemacht:

Code: Alles auswählen

inet6 fdcb::77/64 scope global

siehe Abschnitt Unique Local Unicast bei IPv6 in Wikipedia
Das ist aber nur Spielerei, man kann intern auch einfach die gewohnten 192.168.x.y Adressen aus dem v4-Raum weiternutzen.

[jochen02]

Das kann nicht sein. Auch mit aktiven privacy extensions müsstest du zusätzlich noch die "echte" fe80-Adresse und die management Adresse haben, beide werden nach EUI-64 gebildet. Wie sieht denn die Ausgabe von ip a bei dir aus?

Code: Alles auswählen

$ ip a

2: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether dc:71:96:69:fa:eb brd ff:ff:ff:ff:ff:ff
(...)
    inet6 2003:xx:xxxx:xxxx:c933:a7a8:98ad:9f0a/64 scope global dynamic noprefixroute 
       valid_lft 6764sec preferred_lft 1364sec
    inet6 fe80::f42e:baf6:93f4:4eb9/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Man kann noch wenn man will, bei den Clients zusätzliche statische Adressen konfigurieren. Ich hab das testweise gemacht:

Code: Alles auswählen

inet6 fdcb::77/64 scope global

siehe Abschnitt Unique Local Unicast bei IPv6 in Wikipedia
Das ist aber nur Spielerei, man kann intern auch einfach die gewohnten 192.168.x.y Adressen aus dem v4-Raum weiternutzen.

Na ja, wenn ich mir das hier durchlese, ist das sowieso (noch?) unnütz:

"Sind VPN-Verbindungen zur FRITZ!Box mit IPv6 oder DS-Lite möglich?
Die FRITZ!Box unterstützt VPN-Verbindungen nur über IPv4. IPv6-VPN-Verbindungen werden von der FRITZ!Box nicht unterstützt. Mithilfe des Verfahrens DS-Lite ("Dual Stack Lite") sind VPN-Verbindungen allerdings auch an einem IPv6-Internetzugang möglich."
Quelle: <https://avm.de/service/wissensdatenbank ... C3%B6glich>

[jochen02]

Wenn du IPv4 wirklich verstanden hast. (Also wie Netzmasken und Routen berechnet werden.) Nichts Lediglich dass es:
a) kein NAT und keine Fragmentierung mehr gibt, weil die unnötig kompliziert waren.

Nun, das hat echte Vorteile. Aber auch kleinere Nachteile. Ich muss die Paketfilter gut pflegen (den Ausdruck "firewall" mag ich nicht), die Konfiguration der Clients im Netz muss sauber sein.

b) ARP wurde durch ND ersetzt darin spielen die fe80-Adresse in etwa die Rolle, die früher die MAC-Adressen gespielt haben.

Daran knabbere ich derzeit noch, siehe oben.

c) DHCP ist tot. Alles im LAN läuft über RA das minimal anders funktioniert. (Client wählt sich seine Adresse und teilt sie dem Router mit.Nicht umgekehrt.) Daneben gibt es noch DHCPv6. Das hat wenig mit DHCP zu tun, kann viel mehr und läuft üblicherweise nicht auf deinem PC.

Den DHCP-Server will ich auch nicht auf meinem Arbeitsplatz-PC betreiben, sondern auf einem Server.
Selbst wenn ich DHCPv6 für die IP-Vergabe nicht mehr brauche, so verteile ich doch gern routes und DNS etc.

Das ist wirklich der einzige große Unterschied zwischen IPv6 und IPv4. Clienten erfragen Adressen sie bekommen sie nicht zugewiesen.

Das ist eine interessante Information, danke.

Wenn sich der hintere Teil die ganze Zeit ändert, dann weil du das aktiv so am PC eingestellt hast. Debian macht das per default nicht. Aber z.B. Windows und Ubuntu im Gnome-Spin. Musst du die privacy-extentions abstellen. Nutzt du die /etc/network/interfaces oder systemd-networkd oder NetworkManager?

Code: Alles auswählen

# systemctl status networking
networking.service - Raise network interfaces
     Loaded: loaded (/lib/systemd/system/networking.service; enabled; preset: enabled)

Es sind nu wirklich genug IPv6-Präfixe da, dass jeder sein eigenes haben kann. Im Standard steht sehr eindeutig, dass ein wechsel nur zusätzlich oder auf anfrage des Clients passieren darf. Wenn man jetzt einen Router hast, der das die ganze Zeit anfragt, sollte man sich fragen ob man nicht das Problem, da wo es entsteht beheben sollte. Wenn man beim rosa Riesen ist, der monatlich 33€ zusätzlich haben will, dass er sich an die Standards hält, sonst ändert sich das Präfix alle 180 Tage. Auch da würde ich stark für wechseln statt Symptome behandeln plädieren. Problem bleibt, dass andere Anbieter ziemlich hinterm Berg halten, wie sie das handhaben. Die meisten verweisen auf ihre teuren Businesstarife nutzen aber für alle Anschlüsse Hardware von der Stange, die sich standardkonform verhält. Bei kleineren bekommst du meist auf nachträgliche anfrage ein festes. Aber in den Vertrag wollen sie es alle nicht schreiben.

Ich hätte grundsätzlich kein Problem damit, dass sich eine der Adressen des Interfaces ab und zu ändert, sofern ich das auch "von draußen" übersetzt bekomme (dyndns).

Ansonsten sind die Adressen doch eh zu lange zum merken. Namen sind einfach der sinnvollere Weg. Und da man die IPv4 verkrüppeln mit internen und externen Adressen nicht mehr hat, macht DynDNS das leben extrem viel einfacher im LAN.

Ja, IPv6-Adressen kann man sich wirklich nicht merken.

Aber ich wette, dass du einer von denen bist, die unbedingt alle Nachteile von IPv4 auf IPv6 portieren wollen.

Vorsicht mit Wetten, du könntest sie verlieren.

Dann schreibt IPv6 vor dass jedes Interface viele Adressen können muss. Im Idealfall nutzt man da eine dynamische Adresse für ausgehende Verbindungen (aus Privatsphäregründen) und eine feste für eingehende (Damit man sich nicht dauernd andere IPs merken muss.). Leider sieht die Realität anders aus und das funktioniert mit den wenigsten Provider/Routerkombinationen.

Das hatte ich gerade begonnen, als Vorteil zu sehen.

[cosinus]

Code: Alles auswählen

$ ip a

2: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether dc:71:96:69:fa:eb brd ff:ff:ff:ff:ff:ff
(...)
    inet6 2003:xx:xxxx:xxxx:c933:a7a8:98ad:9f0a/64 scope global dynamic noprefixroute 
       valid_lft 6764sec preferred_lft 1364sec
    inet6 fe80::f42e:baf6:93f4:4eb9/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Wie hast du denn dein Netzwerk konfiguriert?
Ich hab das noch klassisch über die /etc/network/interfaces

Na ja, wenn ich mir das hier durchlese, ist das sowieso (noch?) unnütz:

Das ist leider sehr ärgerlich, ich sprach das ja an, dass viele auch gute DSL-Router eine vernünftige IPv6-Konfig nicht zulassen. So ist das auch zB beim Telekom-Speedport-Router. Wie das mit VPN aussieht weiß ich nicht ob der überhaupt diese Funktion hat, aber man da zB die Firewall den Paketfilter nicht konfigurieren. Alles eingehende für IPv6 wird immer geblockt.

Ich denke du brauchst ein neues vernünftiges Gateway. Oder einen anderen Router der das kann. Zuhause brauch ich sowas nicht, in der Firma setzen wir zur Zeit noch auf Sophos UTM 9.

[jochen02]

Wie hast du denn dein Netzwerk konfiguriert?
Ich hab das noch klassisch über die /etc/network/interfaces

Ich habe das auf dem Notebook, mit dem ich das teste, per GUI (KDE) getan und hoffe, mich nicht schämen zu müssen. Auf dem Server schon aus Gewohnheit per /etc/network/interfaces. Zu meiner Entschuldigung: Ich bin mit dem Notebook öfters unterwegs, da macht sich die Netzwerk-Konfiguration per GUI einfacher.

Das ist leider sehr ärgerlich, ich sprach das ja an, dass viele auch gute DSL-Router eine vernünftige IPv6-Konfig nicht zulassen. So ist das auch zB beim Telekom-Speedport-Router. Wie das mit VPN aussieht weiß ich nicht ob der überhaupt diese Funktion hat, aber man da zB die Firewall den Paketfilter nicht konfigurieren. Alles eingehende für IPv6 wird immer geblockt.

Ich denke du brauchst ein neues vernünftiges Gateway. Oder einen anderen Router der das kann. Zuhause brauch ich sowas nicht, in der Firma setzen wir zur Zeit noch auf Sophos UTM 9.

Ich hoffe da auf ein Software-Update durch AVM. Der Grund, sich jetzt mit dem Thema zu befassen ist, dass ich nächstes Jahr wahrscheinlich umziehen werde und nicht sicher bin, dort auch wieder eine "echte" IPv4 nach draußen zu bekommen.

[cosinus]

Es ist absolut keine Schande das Netzwerk auf einem Notebook per GUI zu konfigurieren
Was VPN und IPv6 mit der FritzBox angeht, dazu habe ich grade eben diesen Artikel gefunden, leider hinter Paywall.

[jochen02]

Was VPN und IPv6 mit der FritzBox angeht, dazu habe ich grade eben diesen Artikel gefunden, leider hinter Paywall.

Ja, der Artikel hat mir Hoffnung gegeben, dass es mit der Firmware-Version 7.50 der FritzBox besser wird. VPN macht da dann vorzugsweise WireGuard:

Code: Alles auswählen

Obwohl WireGuard- und IPSec-VPN mit IPv6 auf Fritzboxen nur als Vorschauversionen vorliegen, eignen sie sich gut für Gehversuche.
WireGuard auf Fritzboxen ist für ein VPN bemerkenswert leicht einzurichten.
Beide, IPSec und WireGuard, eignen sich sowohl für Sterntopologien als auch für LAN-zu-LAN-Kopplungen.

[wanne]

Nun, das hat echte Vorteile.

Schlicht. Nein. Jedes Ziel ist deutlich einfacher ohne zu erreichen. Außer: es soll genau wie früher funktionieren.

Selbst wenn ich DHCPv6 für die IP-Vergabe nicht mehr brauche, so verteile ich doch gern routes und DNS etc.

Und all das können RAs. Nochmal: Wer mit Gewalt DHCP durch DHCPv6 ersetzen will, weil es den ähnlicheren Namen hat, wird sich in den Fuß schießen. Der Ersatz für deinen DHCP-Server bei IPv4 heißt bei IPv6 radvd. Völlig egal, was da im Web rum gammelt. Ja. DNS wurde in der ursprünglichen RFC von 1995 vergessen, weshalb irgend wann mal vorgeschlagen wurde, das 2003 vorgestellte DHCPv6 dafür zu nutzen. Aber radvd kann das seit 2004. Seit 2007 ist es Standard. Effektiv war das also ein Jahr lang, als noch keiner IPv6 nutze relevant. Aber die Info ist nicht tot zu kriegen.

Code: Alles auswählen

# systemctl status networking
networking.service - Raise network interfaces
     Loaded: loaded (/lib/systemd/system/networking.service; enabled; preset: enabled)

Das sagt leider wenig. weil es lediglich ein überservice für alle netzwerkservices ist. Wenn du über KDE konfigurierst bin ich mir sicher, dass die Optionen zu privacy extentions (und vermutlich sogar doppeladressen mit und ohne) haben. Die haben doch für alles Optionen.

Ich hätte grundsätzlich kein Problem damit, dass sich eine der Adressen des Interfaces ab und zu ändert, sofern ich das auch "von draußen" übersetzt bekomme (dyndns).

Wie gesagt: ich rate massiv dazu, das einzurichten. Es macht Sachen deutlich einfacher. – Insbesondere wegen der Unzulänglichkeiten unserer Internetanbieter. – Es gibt btw, länder die vorschreiben, dass man sich standardkonform verhalten will.

Ja, IPv6-Adressen kann man sich wirklich nicht merken.

Ne. ::1 ist hundert mal einfacher als 127.0.0.1. Nur wenn die IPv4-Adressen schon auswendig gelernt hast, ist das komplizierter zu merken.

Das hatte ich gerade begonnen, als Vorteil zu sehen.

Ja. Die da die Provider alle Vorteile von IPv6 als premiumfeature verkaufen und die Routerhersteller jede Vereinfachung als Sicherheitsproblem ansehen. Läuft es darauf raus, dass IPv6 halt mit viel Zusatzaufwand defakto zum Featureset IPv4 verkrüppelt wurde und sich keine Vorteile ergeben. Das selbe gilt für mobile IP und Multicast. Am Ende machen halt doch wieder alle Spagate wie VPN, STUN und Webstreaming, was eigentlich nicht mehr nötig wäre.

Alles eingehende für IPv6 wird immer geblockt.

Bei meinem kann ich den Filter ganz abstellen. Das finde ich deutlich angenehmer, als was AVM bietet.

Ja, schon klar. Aber die Nichterreichbarkeit der internen Rechner ist schon ganz nett.

Nein es ist absoluter Unsinn. – Wenn ein Programm kein listen() macht ist es auch ohne NAT nicht erreichbar. Wenn ein Programm STUN (+eventuell SOCKS) macht, kann man es jederzeit von überall aus auch durch NAT erreichen. (Siehe VoIP) Lediglich die maximale Paketlänge (die eh von Anschluss zu Anschluss variiert) wird minimal kürzer. Dass es sicherer sein soll, dass Programme die sich schlicht dumm verhalten und das eine machen aber das andere nicht nicht erreichbar sind halte ich für quatsch. Ganz im Gegenteil. Das man Programme dazu zwingt STUN zu implementieren hat zu zahlreichen Sicherheitslücken in dieser Implementierung geführt. Aber das Narrativ ist nicht tot zu kriegen.

[cosinus]

Ne. ::1 ist hundert mal einfacher als 127.0.0.1. Nur wenn die IPv4-Adressen schon auswendig gelernt hast, ist das komplizierter zu merken.

Das Merken von IP-Adressen macht eh nur Sinn bei intern statisch vergebenen Adressen. Oder merkt sich irgendwer alle IPv4-Adressen von heise, google und dem debianforum?
Über DHCP vergebene 192.168.xxx.xxx Adressen zu merken ergibt auch wenig Sinn, es sei denn man hat diese quasistatisch eingerichtet durch DHCP-Reservierungen.

[jochen02]

Schlicht. Nein. Jedes Ziel ist deutlich einfacher ohne zu erreichen. Außer: es soll genau wie früher funktionieren.

Das lass' ich mal absichtlich unkommentiert.

Und all das können RAs. Nochmal: Wer mit Gewalt DHCP durch DHCPv6 ersetzen will, weil es den ähnlicheren Namen hat, wird sich in den Fuß schießen. Der Ersatz für deinen DHCP-Server bei IPv4 heißt bei IPv6 radvd. Völlig egal, was da im Web rum gammelt. Ja. DNS wurde in der ursprünglichen RFC von 1995 vergessen, weshalb irgend wann mal vorgeschlagen wurde, das 2003 vorgestellte DHCPv6 dafür zu nutzen. Aber radvd kann das seit 2004. Seit 2007 ist es Standard. Effektiv war das also ein Jahr lang, als noch keiner IPv6 nutze relevant. Aber die Info ist nicht tot zu kriegen.

Nun, ich habe ganz oben ja deutlich gemacht, dass mein Kenntnisstand in Bezug auf IPv6 -- sagen wir -- sehr basic ist. Wenn ich bei dir zwischen den Zeilen lese, dass ich auch keine Ahnung von IPv4 habe, muss ich sagen, dass du mich nicht kennst. Kann aber sein, dass ich das mißverstehe.

Das sagt leider wenig. weil es lediglich ein überservice für alle netzwerkservices ist. Wenn du über KDE konfigurierst bin ich mir sicher, dass die Optionen zu privacy extentions (und vermutlich sogar doppeladressen mit und ohne) haben. Die haben doch für alles Optionen.

Sie haben Optionen für privacy extensions:
- Standard
- deaktiviert
- aktiviert (öffentliche Adresse bevorzugt)
- aktiviert (temporäre Adresse bevorzugt)

Ne. ::1 ist hundert mal einfacher als 127.0.0.1. Nur wenn die IPv4-Adressen schon auswendig gelernt hast, ist das komplizierter zu merken.

::1 ist eine verkürzte Darstellung, nicht wahr? Wenn du dir IPv6 besser merken kannst, Gratulation. Bei mir ist es anders. Es muss aber noch mehr Menschen so gehen, denn irgendwer hat DNS ja für eine gute Idee gehalten.

[jochen02]

Über DHCP vergebene 192.168.xxx.xxx Adressen zu merken ergibt auch wenig Sinn, es sei denn man hat diese quasistatisch eingerichtet durch DHCP-Reservierungen.

Hier! Ich!

[jochen02]

Insgesamt:

• Ich bin lernwillig. Ob ich lernfähig bin, muss sich zeigen...

• Ich will Hilfskonstrukte von IPv4 nicht verteidigen. Ich habe es ja nicht erfunden. Ich möchte mir nur durch unzureichendes Wissen keine Löcher ins Netz reißen.