Umstellung von IPv4 auf IPv6 (zusätzlich)
Umstellung von IPv4 auf IPv6 (zusätzlich)
Hallo,
ich hoffe, hier richtig zu sein. Wenn nicht, bitte ich um einen Hinweis.
Nachdem ich sehr lange IPv6 gemieden habe und alles mit IPv4 abgedeckt habe, wird es anscheinend doch allmählich Zeit.
Mit IPv4 kann ich einigermaßen gut umgehen. Jetzt suche ich idealerweise einen Online-Kurs, der erklärt, wie man als IPv4-ler mit IPv6 umgeht.
Die Frage mag heutzutage doof klingen, aber ich bin ja bereit, dazuzulernen...
Motivation: Na ja, dazulernen, aber wichtiger ist, dass öffentliche routingfähige IPv4-Adressen für Privatkunden von den ISPs allmählich immer seltener zugesagt werden. Mit einer "Intranet-IP" kann ich nichts anfangen, ich brauche VPN-Zugang von draußen. Bleibt, IPv6 zu verwenden. Daher.
Eigentlich kann in meinem internen Netz (ca. 15 Clients) alles bei IPv4 bleiben.
Könnt ihr helfen, die richtigen Fragen zu stellen?
Danke schon mal.
ich hoffe, hier richtig zu sein. Wenn nicht, bitte ich um einen Hinweis.
Nachdem ich sehr lange IPv6 gemieden habe und alles mit IPv4 abgedeckt habe, wird es anscheinend doch allmählich Zeit.
Mit IPv4 kann ich einigermaßen gut umgehen. Jetzt suche ich idealerweise einen Online-Kurs, der erklärt, wie man als IPv4-ler mit IPv6 umgeht.
Die Frage mag heutzutage doof klingen, aber ich bin ja bereit, dazuzulernen...
Motivation: Na ja, dazulernen, aber wichtiger ist, dass öffentliche routingfähige IPv4-Adressen für Privatkunden von den ISPs allmählich immer seltener zugesagt werden. Mit einer "Intranet-IP" kann ich nichts anfangen, ich brauche VPN-Zugang von draußen. Bleibt, IPv6 zu verwenden. Daher.
Eigentlich kann in meinem internen Netz (ca. 15 Clients) alles bei IPv4 bleiben.
Könnt ihr helfen, die richtigen Fragen zu stellen?
Danke schon mal.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Einen Onlinekurs? Ich weiß jetzt nicht genau was du da erwartest, aber bei Youtube findet man bestimmt massenhaft Videos dazu.
Ansonsten empfehle ich den Wikipedia-Artikel zu IPv6.
Welche Fragen hast du denn bereits?
Ansonsten empfehle ich den Wikipedia-Artikel zu IPv6.
Welche Fragen hast du denn bereits?
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Hier im df gibt es diverse Post aus der Anfangszeit des IPv6. Damals wurde so was wie eine Endzeit des alten Systems von einigen df usern angekündigt. Bisher ist nichts davon eingetreten.
Mein Nachbar hat in seinem Haus ein privates Netzwerk mit 307 IPs vergeben mit denen er alle Fenster, Rolläden, Kameras, Leuchten ... ansurfen kann. Das ist alles IPv4.
Mein Arbeitgeber hatte eine IPv6 Webseite aufgesetzt. In einem Jahr hatte die Seite 8 oder 9 Aufrufe. Die Webseite wurde wieder gelöscht. Ich wüßte aktuell auch nicht welches unserer deutschen Leitmedien mit einer IPv6 Webseite aktiv ist.
Das ist genau wie mit iptables und nftables vor ein paar Jahren oder mit Cobol vor ein paar Jahrzehnten. Alles Hype.
Mein Nachbar hat in seinem Haus ein privates Netzwerk mit 307 IPs vergeben mit denen er alle Fenster, Rolläden, Kameras, Leuchten ... ansurfen kann. Das ist alles IPv4.
Mein Arbeitgeber hatte eine IPv6 Webseite aufgesetzt. In einem Jahr hatte die Seite 8 oder 9 Aufrufe. Die Webseite wurde wieder gelöscht. Ich wüßte aktuell auch nicht welches unserer deutschen Leitmedien mit einer IPv6 Webseite aktiv ist.
Das ist genau wie mit iptables und nftables vor ein paar Jahren oder mit Cobol vor ein paar Jahrzehnten. Alles Hype.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Bisher ist ja alles IPv4. Ich habe zunächst in meiner meine FritzBox IPv6 enabled und erhalte auch eine IPv6-Adresse und ein Präfix.cosinus hat geschrieben:05.06.2023 21:10:46Ansonsten empfehle ich den Wikipedia-Artikel zu IPv6.
Welche Fragen hast du denn bereits?
Zugang von außen habe ich bisher (v4) per port forwarding gelöst. Und NAT bietet ja auch schon etwas Sicherheit. Soweit ich bisher gelesen habe, bekommen Clients eine öffentliche Adresse?
Was muss, ist:
- IPv6 nach draußen - ist gegeben, s.o.
- IPv6 auf internen Rechnern, die von außen erreichbar sein müssen. Sind erstmal nur 2, beide Debian 11 bzw. 12
- IPv6 für netfilter
- IPv6 auf pi-hole, das soll dann auch DNS für v6 abgeben
- Kür: bind9 für IPv4 und IPv6 - mit jeweils lokalen Zonen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Ja, schon. Deshalb auch meine bisherige Ignoranz. Aber wenn ich andere ISPs, als die Telekom in Betracht ziehen will, brauche ich wg. VPN-Zugang wohl oder übel IPv6.mino23 hat geschrieben:05.06.2023 21:30:54Hier im df gibt es diverse Post aus der Anfangszeit des IPv6. Damals wurde so was wie eine Endzeit des alten Systems von einigen df usern angekündigt. Bisher ist nichts davon eingetreten.
Mein Nachbar hat in seinem Haus ein privates Netzwerk mit 307 IPs vergeben mit denen er alle Fenster, Rolläden, Kameras, Leuchten ... ansurfen kann. Das ist alles IPv4.
Idealerweise läuft extern bis in den Router (der auch VPN-Gateway ist), IPv6. Intern dann gern weiter IPv4. Ist das vernünftig und machbar?
Zuletzt geändert von jochen02 am 05.06.2023 21:51:19, insgesamt 1-mal geändert.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Ein Hype ist IPv6 garantiert nicht. Das Ding ist nur, dass man noch viele Jahre parallel fahren muss, da es immer noch Geräte gibt, die kein IPv6 können. Und es gibt immer noch Provider, die einfach kein IPv6 anbieten.mino23 hat geschrieben:05.06.2023 21:30:54Das ist genau wie mit iptables und nftables vor ein paar Jahren oder mit Cobol vor ein paar Jahrzehnten. Alles Hype.
Und eben weil ja alles irgendwie noch mit IPv4 läuft ist bei vielen einfach der Druck noch nicht groß genug, sich mit IPv6 zu beschäftigen.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
jochen02 hat geschrieben:05.06.2023 21:44:32Bisher ist ja alles IPv4. Ich habe zunächst in meiner meine FritzBox IPv6 enabled und erhalte auch eine IPv6-Adresse und ein Präfix.
NAT ist eigentlich kein Sicherheitsfeature. Es gibt eher zufällig etwas Sicherheit, da beim NAT wie man das vom Router her kennt, kein Port/Dienst von außen erreichbar ist, dazu müsste erst ein Portforwarding eingerichtet werden.
Jein. Das ist eine Frage wie man das konfiguriert. In den Standardeinstellungen generieren moderne OS automatisch IP-Adressen. Zum einen die Link-Local-Adressen (fangen mit fe80 an) und zum anderen die öffentlichen Adressen, also die man vom Provider bekommt. Das nennt sich dann Router Advertisement, idR stellt hier der Router die Info welches v6-Subnet genutzt werden soll (die erste Hälfe der IPv6-Adresse) und die Clients generieren sich die zweite Hälfe selbst.jochen02 hat geschrieben:05.06.2023 21:44:32Zugang von außen habe ich bisher (v4) per port forwarding gelöst. Und NAT bietet ja auch schon etwas Sicherheit. Soweit ich bisher gelesen habe, bekommen Clients eine öffentliche Adresse?
Das ist erstmal halb so wild. Einen Router hast du ja? Welchen?jochen02 hat geschrieben:05.06.2023 21:44:32Das sind erstmal meine Vorhaben. Ich habe bisher praktisch keine Ahnung von IPv6 (leider).
Der stellt dir IPv6 zur Verfügung. Aber leider gibt es viele Router, die lassen keine Konfiguration der Firewall für IPv6 zu...
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Ja, schon klar. Aber die Nichterreichbarkeit der internen Rechner ist schon ganz nett.cosinus hat geschrieben:05.06.2023 21:59:03NAT ist eigentlich kein Sicherheitsfeature. Es gibt eher zufällig etwas Sicherheit, da beim NAT wie man das vom Router her kennt, kein Port/Dienst von außen erreichbar ist, dazu müsste erst ein Portforwarding eingerichtet werden.
Die Interfaces hier intern habe ich mit quasi-festen IPs konfiguriert. DHCP --> DNS, du kennst das sicher. Ich würde die IPv6-Adressen auch gern wieder zentral fest vergeben.Jein. Das ist eine Frage wie man das konfiguriert. In den Standardeinstellungen generieren moderne OS automatisch IP-Adressen. Zum einen die Link-Local-Adressen (fangen mit fe80 an) und zum anderen die öffentlichen Adressen, also die man vom Provider bekommt. Das nennt sich dann Router Advertisement, idR stellt hier der Router die Info welches v6-Subnet genutzt werden soll (die erste Hälfe der IPv6-Adresse) und die Clients generieren sich die zweite Hälfe selbst.jochen02 hat geschrieben:05.06.2023 21:44:32Zugang von außen habe ich bisher (v4) per port forwarding gelöst. Und NAT bietet ja auch schon etwas Sicherheit. Soweit ich bisher gelesen habe, bekommen Clients eine öffentliche Adresse?
Der Router ist eine FritzBox 7490 mit Softwarestand 07.29.Das ist erstmal halb so wild. Einen Router hast du ja? Welchen?jochen02 hat geschrieben:05.06.2023 21:44:32Das sind erstmal meine Vorhaben. Ich habe bisher praktisch keine Ahnung von IPv6 (leider).
Der stellt dir IPv6 zur Verfügung. Aber leider gibt es viele Router, die lassen keine Konfiguration der Firewall für IPv6 zu...
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Damit hab ich leider keine Erfahrung - du meinst doch DHCPv6?jochen02 hat geschrieben:05.06.2023 22:15:11Ich würde die IPv6-Adressen auch gern wieder zentral fest vergeben.
grundsätzlich kannst du aber intern vorhersehbare Adressen verwenden, denn die einzelnen Rechner generieren sich ja via EUI64 selbst ihre Adressen. IdR sind auch noch die privacy Extensions aktiv, sodass noch weitere IPv6-Adressen generiert werden (bei dem der 2. Teil der Adresse dann aber gewürfelt ist)
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Ja, dafür dann DHCPv6.
Und was dann die vorhersehbaren IPs angeht, bin ich wissensmäßig schon wieder draussen.
Und was dann die vorhersehbaren IPs angeht, bin ich wissensmäßig schon wieder draussen.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Macht doch nichts, das kann man ja auch nur wissen wenn man sich damit beschäftigtjochen02 hat geschrieben:05.06.2023 22:29:32Und was dann die vorhersehbaren IPs angeht, bin ich wissensmäßig schon wieder draussen.
Nach EUI-64 wird die IPv6-Adresse aus der MAC-gebildet. Du kannst dann intern mit den fe80-Adressen arbeiten...oder bekommst du ein statisches Prefix von deinem Provider?
Hier mal ein Beispiel aus meiner Debian-VM:
Code: Alles auswählen
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 08:00:27:6b:bc:88 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.77/24 brd 192.168.2.255 scope global enp0s3
valid_lft forever preferred_lft forever
inet6 2003:****:****:****:b774:dabd:bf10:10ed/64 scope global temporary dynamic
valid_lft 172765sec preferred_lft 85766sec
inet6 2003:****:****:****:a00:27ff:fe6b:bc88/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 172765sec preferred_lft 86365sec
inet6 fdcb::77/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::a00:27ff:fe6b:bc88/64 scope link
valid_lft forever preferred_lft forever
Die daraus nach EUI-64 gebildeten Adressen: 2003:****:****:****:a00fe6b:bc88 und fe80::a00fe6b:bc88
Erkennst du die MAC in den Adressen wieder?
2003:****:****:****:b774:dabd:bf10:10ed ist die gewürfelte Adresse (privacy extensions)
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Nein, die Adresse wird sich ab und zu ändern.cosinus hat geschrieben:05.06.2023 22:47:23
Nach EUI-64 wird die IPv6-Adresse aus der MAC-gebildet. Du kannst dann intern mit den fe80-Adressen arbeiten...oder bekommst du ein statisches Prefix von deinem Provider?
Die IPv6-Adresse beginnt mit "2003" und hat: Gültigkeit: 14155/1555s
Es wird (zusätzlich?) ein Prefix zugewiesen. /56, Gültigkeit: 13804/1204s
Hier mal ein Beispiel aus meiner Debian-VM:
Code: Alles auswählen
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 08:00:27:6b:bc:88 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.77/24 brd 192.168.2.255 scope global enp0s3
valid_lft forever preferred_lft forever
inet6 2003:****:****:****:b774:dabd:bf10:10ed/64 scope global temporary dynamic
valid_lft 172765sec preferred_lft 85766sec
inet6 2003:****:****:****:a00:27ff:fe6b:bc88/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 172765sec preferred_lft 86365sec
inet6 fdcb::77/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::a00:27ff:fe6b:bc88/64 scope link
valid_lft forever preferred_lft forever
Die daraus nach EUI-64 gebildeten Adressen: 2003:****:****:****:a00fe6b:bc88 und fe80::a00fe6b:bc88
Erkennst du die MAC in den Adressen wieder?
2003:****:****:****:b774:dabd:bf10:10ed ist die gewürfelte Adresse (privacy extensions)
[/quote]
Ich sehe bei deinem Beispiel den Zusammenhang zwischen MAC und den IPv6-Adressen.
Bei mir aber nicht. Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen. Das Prefix der 2003-Adresse entspricht dem vom Provider zugewiesenen. Es geht dann anscheinend mit dem immer wieder geäderten Teil (privacy extensions) weiter. Ich will allerdings nicht bei den im internen Netz vorhandenen Geräten, dass sich deren IP ändert, nur weil der Provider ein anderes Präfix zuweist. Das wirkt unpraktisch.
DHCPd für IPv6 ist zur Zeit die FritzBox, die das Prefix ja kennt.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Wenn du IPv4 wirklich verstanden hast. (Also wie Netzmasken und Routen berechnet werden.) Nichts Lediglich dass es:Jetzt suche ich idealerweise einen Online-Kurs, der erklärt, wie man als IPv4-ler mit IPv6 umgeht.
a) kein NAT und keine Fragmentierung mehr gibt, weil die unnötig kompliziert waren.
b) ARP wurde durch ND ersetzt darin spielen die fe80-Adresse in etwa die Rolle, die früher die MAC-Adressen gespielt haben.
c) DHCP ist tot. Alles im LAN läuft über RA das minimal anders funktioniert. (Client wählt sich seine Adresse und teilt sie dem Router mit.Nicht umgekehrt.) Daneben gibt es noch DHCPv6. Das hat wenig mit DHCP zu tun, kann viel mehr und läuft üblicherweise nicht auf deinem PC.
Nein. Das ist wirklich der einzige große Unterschied zwischen IPv6 und IPv4. Clienten erfragen Adressen sie bekommen sie nicht zugewiesen. Wenn sich der hintere Teil die ganze Zeit ändert, dann weil du das aktiv so am PC eingestellt hast. Debian macht das per default nicht. Aber z.B. Windows und Ubuntu im Gnome-Spin. Musst du die privacy-extentions abstellen. Nutzt du die /etc/network/interfaces oder systemd-networkd oder NetworkManager?Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen.
Es sind nu wirklich genug IPv6-Präfixe da, dass jeder sein eigenes haben kann. Im Standard steht sehr eindeutig, dass ein wechsel nur zusätzlich oder auf anfrage des Clients passieren darf. Wenn man jetzt einen Router hast, der das die ganze Zeit anfragt, sollte man sich fragen ob man nicht das Problem, da wo es entsteht beheben sollte. Wenn man beim rosa Riesen ist, der monatlich 33€ zusätzlich haben will, dass er sich an die Standards hält, sonst ändert sich das Präfix alle 180 Tage. Auch da würde ich stark für wechseln statt Symptome behandeln plädieren. Problem bleibt, dass andere Anbieter ziemlich hinterm Berg halten, wie sie das handhaben. Die meisten verweisen auf ihre teuren Businesstarife nutzen aber für alle Anschlüsse Hardware von der Stange, die sich standardkonform verhält. Bei kleineren bekommst du meist auf nachträgliche anfrage ein festes. Aber in den Vertrag wollen sie es alle nicht schreiben.Bei mir aber nicht. Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen. Das Prefix der 2003-Adresse entspricht dem vom Provider zugewiesenen. Es geht dann anscheinend mit dem immer wieder geäderten Teil (privacy extensions) weiter. Ich will allerdings nicht bei den im internen Netz vorhandenen Geräten, dass sich deren IP ändert, nur weil der Provider ein anderes Präfix zuweist. Das wirkt unpraktisch.
Ansonsten sind die Adressen doch eh zu lange zum merken. Namen sind einfach der sinnvollere Weg. Und da man die IPv4 verkrüppeln mit internen und externen Adressen nicht mehr hat, macht DynDNS das leben extrem viel einfacher im LAN. Aber ich wette, dass du einer von denen bist, die unbedingt alle Nachteile von IPv4 auf IPv6 portieren wollen. Dann schreibt IPv6 vor dass jedes Interface viele Adressen können muss. Im Idealfall nutzt man da eine dynamische Adresse für ausgehende Verbindungen (aus Privatsphäregründen) und eine feste für eingehende (Damit man sich nicht dauernd andere IPs merken muss.). Leider sieht die Realität anders aus und das funktioniert mit den wenigsten Provider/Routerkombinationen.
Du kannst einfach auf alle Rechner zusätzlich eine ULA konfigurieren. Du generierst dir ein Präfix und und dann ersetzt du das ende durch ::1,::2... Dann hast du für immer statische Adressen. Das sorgt dann aber dafür, dass du wieder den IPv4 Quatsch hast, dass interne und externe Adressen unterschiedlich sind. Aber ich habe gelernt: Die Leute stehen auf schmerzen.
rot: Moderator wanne spricht, default: User wanne spricht.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Das kann nicht sein. Auch mit aktiven privacy extensions müsstest du zusätzlich noch die "echte" fe80-Adresse und die management Adresse haben, beide werden nach EUI-64 gebildet. Wie sieht denn die Ausgabe von ip a bei dir aus?jochen02 hat geschrieben:06.06.2023 16:59:12Ich sehe bei deinem Beispiel den Zusammenhang zwischen MAC und den IPv6-Adressen.
Bei mir aber nicht. Es wird hier eine fe80-Adresse und eine 2003-Adresse zugewiesen.
Man kann noch wenn man will, bei den Clients zusätzliche statische Adressen konfigurieren. Ich hab das testweise gemacht:jochen02 hat geschrieben:06.06.2023 16:59:12Das Prefix der 2003-Adresse entspricht dem vom Provider zugewiesenen. Es geht dann anscheinend mit dem immer wieder geäderten Teil (privacy extensions) weiter. Ich will allerdings nicht bei den im internen Netz vorhandenen Geräten, dass sich deren IP ändert, nur weil der Provider ein anderes Präfix zuweist. Das wirkt unpraktisch.
Code: Alles auswählen
inet6 fdcb::77/64 scope global
Das ist aber nur Spielerei, man kann intern auch einfach die gewohnten 192.168.x.y Adressen aus dem v4-Raum weiternutzen.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
cosinus hat geschrieben:06.06.2023 19:41:45Das kann nicht sein. Auch mit aktiven privacy extensions müsstest du zusätzlich noch die "echte" fe80-Adresse und die management Adresse haben, beide werden nach EUI-64 gebildet. Wie sieht denn die Ausgabe von ip a bei dir aus?
Code: Alles auswählen
$ ip a
2: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether dc:71:96:69:fa:eb brd ff:ff:ff:ff:ff:ff
(...)
inet6 2003:xx:xxxx:xxxx:c933:a7a8:98ad:9f0a/64 scope global dynamic noprefixroute
valid_lft 6764sec preferred_lft 1364sec
inet6 fe80::f42e:baf6:93f4:4eb9/64 scope link noprefixroute
valid_lft forever preferred_lft forever
Na ja, wenn ich mir das hier durchlese, ist das sowieso (noch?) unnütz:Man kann noch wenn man will, bei den Clients zusätzliche statische Adressen konfigurieren. Ich hab das testweise gemacht:
siehe Abschnitt Unique Local Unicast bei IPv6 in WikipediaCode: Alles auswählen
inet6 fdcb::77/64 scope global
Das ist aber nur Spielerei, man kann intern auch einfach die gewohnten 192.168.x.y Adressen aus dem v4-Raum weiternutzen.
"Sind VPN-Verbindungen zur FRITZ!Box mit IPv6 oder DS-Lite möglich?
Die FRITZ!Box unterstützt VPN-Verbindungen nur über IPv4. IPv6-VPN-Verbindungen werden von der FRITZ!Box nicht unterstützt. Mithilfe des Verfahrens DS-Lite ("Dual Stack Lite") sind VPN-Verbindungen allerdings auch an einem IPv6-Internetzugang möglich."
Quelle: <https://avm.de/service/wissensdatenbank ... C3%B6glich>
Zuletzt geändert von jochen02 am 06.06.2023 23:01:20, insgesamt 2-mal geändert.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Nun, das hat echte Vorteile. Aber auch kleinere Nachteile. Ich muss die Paketfilter gut pflegen (den Ausdruck "firewall" mag ich nicht), die Konfiguration der Clients im Netz muss sauber sein.wanne hat geschrieben:06.06.2023 18:51:45Wenn du IPv4 wirklich verstanden hast. (Also wie Netzmasken und Routen berechnet werden.) Nichts Lediglich dass es:
a) kein NAT und keine Fragmentierung mehr gibt, weil die unnötig kompliziert waren.
Daran knabbere ich derzeit noch, siehe oben.b) ARP wurde durch ND ersetzt darin spielen die fe80-Adresse in etwa die Rolle, die früher die MAC-Adressen gespielt haben.
Den DHCP-Server will ich auch nicht auf meinem Arbeitsplatz-PC betreiben, sondern auf einem Server.c) DHCP ist tot. Alles im LAN läuft über RA das minimal anders funktioniert. (Client wählt sich seine Adresse und teilt sie dem Router mit.Nicht umgekehrt.) Daneben gibt es noch DHCPv6. Das hat wenig mit DHCP zu tun, kann viel mehr und läuft üblicherweise nicht auf deinem PC.
Selbst wenn ich DHCPv6 für die IP-Vergabe nicht mehr brauche, so verteile ich doch gern routes und DNS etc.
Das ist eine interessante Information, danke.Das ist wirklich der einzige große Unterschied zwischen IPv6 und IPv4. Clienten erfragen Adressen sie bekommen sie nicht zugewiesen.
Wenn sich der hintere Teil die ganze Zeit ändert, dann weil du das aktiv so am PC eingestellt hast. Debian macht das per default nicht. Aber z.B. Windows und Ubuntu im Gnome-Spin. Musst du die privacy-extentions abstellen. Nutzt du die /etc/network/interfaces oder systemd-networkd oder NetworkManager?
Code: Alles auswählen
# systemctl status networking
networking.service - Raise network interfaces
Loaded: loaded (/lib/systemd/system/networking.service; enabled; preset: enabled)
Ich hätte grundsätzlich kein Problem damit, dass sich eine der Adressen des Interfaces ab und zu ändert, sofern ich das auch "von draußen" übersetzt bekomme (dyndns).Es sind nu wirklich genug IPv6-Präfixe da, dass jeder sein eigenes haben kann. Im Standard steht sehr eindeutig, dass ein wechsel nur zusätzlich oder auf anfrage des Clients passieren darf. Wenn man jetzt einen Router hast, der das die ganze Zeit anfragt, sollte man sich fragen ob man nicht das Problem, da wo es entsteht beheben sollte. Wenn man beim rosa Riesen ist, der monatlich 33€ zusätzlich haben will, dass er sich an die Standards hält, sonst ändert sich das Präfix alle 180 Tage. Auch da würde ich stark für wechseln statt Symptome behandeln plädieren. Problem bleibt, dass andere Anbieter ziemlich hinterm Berg halten, wie sie das handhaben. Die meisten verweisen auf ihre teuren Businesstarife nutzen aber für alle Anschlüsse Hardware von der Stange, die sich standardkonform verhält. Bei kleineren bekommst du meist auf nachträgliche anfrage ein festes. Aber in den Vertrag wollen sie es alle nicht schreiben.
Ja, IPv6-Adressen kann man sich wirklich nicht merken.Ansonsten sind die Adressen doch eh zu lange zum merken. Namen sind einfach der sinnvollere Weg. Und da man die IPv4 verkrüppeln mit internen und externen Adressen nicht mehr hat, macht DynDNS das leben extrem viel einfacher im LAN.
Vorsicht mit Wetten, du könntest sie verlieren.Aber ich wette, dass du einer von denen bist, die unbedingt alle Nachteile von IPv4 auf IPv6 portieren wollen.
Das hatte ich gerade begonnen, als Vorteil zu sehen.Dann schreibt IPv6 vor dass jedes Interface viele Adressen können muss. Im Idealfall nutzt man da eine dynamische Adresse für ausgehende Verbindungen (aus Privatsphäregründen) und eine feste für eingehende (Damit man sich nicht dauernd andere IPs merken muss.). Leider sieht die Realität anders aus und das funktioniert mit den wenigsten Provider/Routerkombinationen.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Wie hast du denn dein Netzwerk konfiguriert?jochen02 hat geschrieben:06.06.2023 22:38:06Code: Alles auswählen
$ ip a 2: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether dc:71:96:69:fa:eb brd ff:ff:ff:ff:ff:ff (...) inet6 2003:xx:xxxx:xxxx:c933:a7a8:98ad:9f0a/64 scope global dynamic noprefixroute valid_lft 6764sec preferred_lft 1364sec inet6 fe80::f42e:baf6:93f4:4eb9/64 scope link noprefixroute valid_lft forever preferred_lft forever
Ich hab das noch klassisch über die /etc/network/interfaces
Das ist leider sehr ärgerlich, ich sprach das ja an, dass viele auch gute DSL-Router eine vernünftige IPv6-Konfig nicht zulassen. So ist das auch zB beim Telekom-Speedport-Router. Wie das mit VPN aussieht weiß ich nicht ob der überhaupt diese Funktion hat, aber man da zB die Firewall den Paketfilter nicht konfigurieren. Alles eingehende für IPv6 wird immer geblockt.jochen02 hat geschrieben:06.06.2023 22:38:06Na ja, wenn ich mir das hier durchlese, ist das sowieso (noch?) unnütz:
Ich denke du brauchst ein neues vernünftiges Gateway. Oder einen anderen Router der das kann. Zuhause brauch ich sowas nicht, in der Firma setzen wir zur Zeit noch auf Sophos UTM 9.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Ich habe das auf dem Notebook, mit dem ich das teste, per GUI (KDE) getan und hoffe, mich nicht schämen zu müssen. Auf dem Server schon aus Gewohnheit per /etc/network/interfaces. Zu meiner Entschuldigung: Ich bin mit dem Notebook öfters unterwegs, da macht sich die Netzwerk-Konfiguration per GUI einfacher.cosinus hat geschrieben:07.06.2023 09:52:06
Wie hast du denn dein Netzwerk konfiguriert?
Ich hab das noch klassisch über die /etc/network/interfaces
Ich hoffe da auf ein Software-Update durch AVM. Der Grund, sich jetzt mit dem Thema zu befassen ist, dass ich nächstes Jahr wahrscheinlich umziehen werde und nicht sicher bin, dort auch wieder eine "echte" IPv4 nach draußen zu bekommen.Das ist leider sehr ärgerlich, ich sprach das ja an, dass viele auch gute DSL-Router eine vernünftige IPv6-Konfig nicht zulassen. So ist das auch zB beim Telekom-Speedport-Router. Wie das mit VPN aussieht weiß ich nicht ob der überhaupt diese Funktion hat, aber man da zB die Firewall den Paketfilter nicht konfigurieren. Alles eingehende für IPv6 wird immer geblockt.
Ich denke du brauchst ein neues vernünftiges Gateway. Oder einen anderen Router der das kann. Zuhause brauch ich sowas nicht, in der Firma setzen wir zur Zeit noch auf Sophos UTM 9.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Es ist absolut keine Schande das Netzwerk auf einem Notebook per GUI zu konfigurieren
Was VPN und IPv6 mit der FritzBox angeht, dazu habe ich grade eben diesen Artikel gefunden, leider hinter Paywall.
Was VPN und IPv6 mit der FritzBox angeht, dazu habe ich grade eben diesen Artikel gefunden, leider hinter Paywall.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Ja, der Artikel hat mir Hoffnung gegeben, dass es mit der Firmware-Version 7.50 der FritzBox besser wird. VPN macht da dann vorzugsweise WireGuard:cosinus hat geschrieben:07.06.2023 11:04:05Was VPN und IPv6 mit der FritzBox angeht, dazu habe ich grade eben diesen Artikel gefunden, leider hinter Paywall.
Code: Alles auswählen
Obwohl WireGuard- und IPSec-VPN mit IPv6 auf Fritzboxen nur als Vorschauversionen vorliegen, eignen sie sich gut für Gehversuche.
WireGuard auf Fritzboxen ist für ein VPN bemerkenswert leicht einzurichten.
Beide, IPSec und WireGuard, eignen sich sowohl für Sterntopologien als auch für LAN-zu-LAN-Kopplungen.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Schlicht. Nein. Jedes Ziel ist deutlich einfacher ohne zu erreichen. Außer: es soll genau wie früher funktionieren.
Und all das können RAs. Nochmal: Wer mit Gewalt DHCP durch DHCPv6 ersetzen will, weil es den ähnlicheren Namen hat, wird sich in den Fuß schießen. Der Ersatz für deinen DHCP-Server bei IPv4 heißt bei IPv6 radvd. Völlig egal, was da im Web rum gammelt. Ja. DNS wurde in der ursprünglichen RFC von 1995 vergessen, weshalb irgend wann mal vorgeschlagen wurde, das 2003 vorgestellte DHCPv6 dafür zu nutzen. Aber radvd kann das seit 2004. Seit 2007 ist es Standard. Effektiv war das also ein Jahr lang, als noch keiner IPv6 nutze relevant. Aber die Info ist nicht tot zu kriegen.Selbst wenn ich DHCPv6 für die IP-Vergabe nicht mehr brauche, so verteile ich doch gern routes und DNS etc.
Das sagt leider wenig. weil es lediglich ein überservice für alle netzwerkservices ist. Wenn du über KDE konfigurierst bin ich mir sicher, dass die Optionen zu privacy extentions (und vermutlich sogar doppeladressen mit und ohne) haben. Die haben doch für alles Optionen.Code: Alles auswählen
# systemctl status networking networking.service - Raise network interfaces Loaded: loaded (/lib/systemd/system/networking.service; enabled; preset: enabled)
Wie gesagt: ich rate massiv dazu, das einzurichten. Es macht Sachen deutlich einfacher. – Insbesondere wegen der Unzulänglichkeiten unserer Internetanbieter. – Es gibt btw, länder die vorschreiben, dass man sich standardkonform verhalten will.Ich hätte grundsätzlich kein Problem damit, dass sich eine der Adressen des Interfaces ab und zu ändert, sofern ich das auch "von draußen" übersetzt bekomme (dyndns).
Ne. ::1 ist hundert mal einfacher als 127.0.0.1. Nur wenn die IPv4-Adressen schon auswendig gelernt hast, ist das komplizierter zu merken.Ja, IPv6-Adressen kann man sich wirklich nicht merken.
Ja. Die da die Provider alle Vorteile von IPv6 als premiumfeature verkaufen und die Routerhersteller jede Vereinfachung als Sicherheitsproblem ansehen. Läuft es darauf raus, dass IPv6 halt mit viel Zusatzaufwand defakto zum Featureset IPv4 verkrüppelt wurde und sich keine Vorteile ergeben. Das selbe gilt für mobile IP und Multicast. Am Ende machen halt doch wieder alle Spagate wie VPN, STUN und Webstreaming, was eigentlich nicht mehr nötig wäre.Das hatte ich gerade begonnen, als Vorteil zu sehen.
Bei meinem kann ich den Filter ganz abstellen. Das finde ich deutlich angenehmer, als was AVM bietet.Alles eingehende für IPv6 wird immer geblockt.
Nein es ist absoluter Unsinn. – Wenn ein Programm kein listen() macht ist es auch ohne NAT nicht erreichbar. Wenn ein Programm STUN (+eventuell SOCKS) macht, kann man es jederzeit von überall aus auch durch NAT erreichen. (Siehe VoIP) Lediglich die maximale Paketlänge (die eh von Anschluss zu Anschluss variiert) wird minimal kürzer. Dass es sicherer sein soll, dass Programme die sich schlicht dumm verhalten und das eine machen aber das andere nicht nicht erreichbar sind halte ich für quatsch. Ganz im Gegenteil. Das man Programme dazu zwingt STUN zu implementieren hat zu zahlreichen Sicherheitslücken in dieser Implementierung geführt. Aber das Narrativ ist nicht tot zu kriegen.Ja, schon klar. Aber die Nichterreichbarkeit der internen Rechner ist schon ganz nett.
rot: Moderator wanne spricht, default: User wanne spricht.
- cosinus
- Beiträge: 3439
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Das Merken von IP-Adressen macht eh nur Sinn bei intern statisch vergebenen Adressen. Oder merkt sich irgendwer alle IPv4-Adressen von heise, google und dem debianforum?wanne hat geschrieben:07.06.2023 14:35:19Ne. ::1 ist hundert mal einfacher als 127.0.0.1. Nur wenn die IPv4-Adressen schon auswendig gelernt hast, ist das komplizierter zu merken.
Über DHCP vergebene 192.168.xxx.xxx Adressen zu merken ergibt auch wenig Sinn, es sei denn man hat diese quasistatisch eingerichtet durch DHCP-Reservierungen.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Das lass' ich mal absichtlich unkommentiert.wanne hat geschrieben:07.06.2023 14:35:19Schlicht. Nein. Jedes Ziel ist deutlich einfacher ohne zu erreichen. Außer: es soll genau wie früher funktionieren.
Nun, ich habe ganz oben ja deutlich gemacht, dass mein Kenntnisstand in Bezug auf IPv6 -- sagen wir -- sehr basic ist. Wenn ich bei dir zwischen den Zeilen lese, dass ich auch keine Ahnung von IPv4 habe, muss ich sagen, dass du mich nicht kennst. Kann aber sein, dass ich das mißverstehe.Und all das können RAs. Nochmal: Wer mit Gewalt DHCP durch DHCPv6 ersetzen will, weil es den ähnlicheren Namen hat, wird sich in den Fuß schießen. Der Ersatz für deinen DHCP-Server bei IPv4 heißt bei IPv6 radvd. Völlig egal, was da im Web rum gammelt. Ja. DNS wurde in der ursprünglichen RFC von 1995 vergessen, weshalb irgend wann mal vorgeschlagen wurde, das 2003 vorgestellte DHCPv6 dafür zu nutzen. Aber radvd kann das seit 2004. Seit 2007 ist es Standard. Effektiv war das also ein Jahr lang, als noch keiner IPv6 nutze relevant. Aber die Info ist nicht tot zu kriegen.
Sie haben Optionen für privacy extensions:Das sagt leider wenig. weil es lediglich ein überservice für alle netzwerkservices ist. Wenn du über KDE konfigurierst bin ich mir sicher, dass die Optionen zu privacy extentions (und vermutlich sogar doppeladressen mit und ohne) haben. Die haben doch für alles Optionen.
- Standard
- deaktiviert
- aktiviert (öffentliche Adresse bevorzugt)
- aktiviert (temporäre Adresse bevorzugt)
::1 ist eine verkürzte Darstellung, nicht wahr? Wenn du dir IPv6 besser merken kannst, Gratulation. Bei mir ist es anders. Es muss aber noch mehr Menschen so gehen, denn irgendwer hat DNS ja für eine gute Idee gehalten.Ne. ::1 ist hundert mal einfacher als 127.0.0.1. Nur wenn die IPv4-Adressen schon auswendig gelernt hast, ist das komplizierter zu merken.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Hier! Ich!cosinus hat geschrieben:07.06.2023 21:02:02Über DHCP vergebene 192.168.xxx.xxx Adressen zu merken ergibt auch wenig Sinn, es sei denn man hat diese quasistatisch eingerichtet durch DHCP-Reservierungen.
Re: Umstellung von IPv4 auf IPv6 (zusätzlich)
Insgesamt:
- Ich bin lernwillig. Ob ich lernfähig bin, muss sich zeigen...
- Ich will Hilfskonstrukte von IPv4 nicht verteidigen. Ich habe es ja nicht erfunden. Ich möchte mir nur durch unzureichendes Wissen keine Löcher ins Netz reißen.