ipv6 ...

[Andreas Leitgeb]

Ich hatte eigentlich nicht vor, mich allzusehr mit ipv6 zu beschäftigen.

Mein Router ist eigentlich nur für ipv4 konfiguriert, mit statischen
adressen im LAN und dhcp off. Für ipv6 bietet er mir "Auto", "Nur
DHCPv6", "SLAAC+Stateless DHCPv6" und "SLAAC+RDNSS" ... viele böhmische
Dörfer, die ich da wohl mal besuchen (googeln) müsste - derzeit ist
da "Nur DHCPv6" eingestellt.

Im NetworkManager ist für die ipv6 ebenso "Automatisch" eingestellt.
ifconfig -a liefert mir ipv4 und ipv6 adressen, aber keine einzige
ipv6 adresse (außer der eigenen) ist ping-bar ("Das Netzwerk ist nicht
erreichbar")

Jetzt gibt es manche Hosts im WWW, die mir bei der Auflösung *zuerst*
ein paar IPv6 adressen liefern, die dann (etwa bei wget) auf timeout
gehen, und erst danach dann auch noch eine ipv4 adresse, mit der es
dann nach zwei ip6-timeouts dann plötzlich schnell geht.

Ich weiß grad nicht, wo ich am besten ansetzen soll:
- das richtige böhmische Dorf für den Router finden, damit er - nur
für ipv6 dann doch dhcp macht, und hoffen, dass das dann nicht
negativ auf meine ipv4 adressen überschlägt
- irgendwelche ipv6 adressen erfinden, a la 1::1, 1::2, ... und diese
bei ipv6 auch im router statisch hinterlegen... (risiko, dass ein
echter host im Netz auch grad diese adresse hat... - gibts bei
ipv6 auch private ranges, die merkbar sind und bei manueller
Eingabe keine Schreibkrämpfe verusachen? ich verwende auch bei
ipv4 nur 10.*, und nicht 192.168.*)
- kann ich dem resolved (dem vom systemd) sagen, dass er einfach nur
ipv4-adressen ausgeben soll?

Falls es Antworten gibt, für die ich ipv6 nicht komplett lernen und
verstehen muss, würde mich das sehr freuen.

[Thomas Zajic]

* Andreas Leitgeb <a...@logic.at>

> [...]

> Falls es Antworten gibt, für die ich ipv6 nicht komplett lernen und
> verstehen muss, würde mich das sehr freuen.

Das (kurze) Studium von [1] und [2] hat bei mir zu [3] geführt, damit
werden *zuerst* IPv4 Adressen aufgelöst bzw. höher priorisiert als IPv6
Adressen:

[1] https://serverfault.com/questions/93717/setting-ipv4-as-preferred-protocol-over-ipv6
[2] https://man7.org/linux/man-pages/man5/gai.conf.5.html

[3] [root@disclosure:~]# cat /etc/gai.conf
precedence ::1/128 50
precedence ::/0 40
precedence 2002::/16 30
precedence ::/96 20
precedence ::ffff:0:0/96 100

Als ich noch bei Kabsi (jetzt Kabelplus) war, war das nicht nötig. Aber
UPC (jetzt Magenta) hat eine derart grottige IPv6 Anbindung, daß ich "gar
nicht so viel essen kann wie ich kotzen möchte". :-P Sprich mindestens
>50% Paketverlust, im Normalfall eher so um die 80-90%. Also für jeglichen
vernünftigen Einsatz komplett zu vergessen. But I digress ...

HTH & LG
Thomas
--
=-------------------------------------------------------------------------=
- Thomas "ZlatkO" Zajic <zla...@gmx.at> Linux-6.1 & slrn-1.0.3a -
- "In layman's terms: speedy thing goes in, speedy thing comes out." -
=-------------------------------------------------------------------------=

[Marco Moock]

Am 14.08.2023 um 11:10:35 Uhr schrieb Andreas Leitgeb:

> Ich hatte eigentlich nicht vor, mich allzusehr mit ipv6 zu
> beschäftigen.

Das solltest du aber tun, wenn du weiterhin im Internet mitspielen
willst. Die Tage von IPv4 sind gezählt...

> Mein Router ist eigentlich nur für ipv4 konfiguriert, mit statischen
> adressen im LAN und dhcp off. Für ipv6 bietet er mir "Auto", "Nur
> DHCPv6", "SLAAC+Stateless DHCPv6" und "SLAAC+RDNSS" ... viele
> böhmische Dörfer, die ich da wohl mal besuchen (googeln) müsste -
> derzeit ist da "Nur DHCPv6" eingestellt.

SLAAC ist die Autokonfiguration und sollte aktiv sein.
RDNSS ist die Möglichkeit, DNS-Server über das Router-Advertisement zu
verteilen. Sollte aktiv sein.
Stateless DHCPv6 sollte als Fallback aktiv, sein, damit Systeme, die
kein RDNSS können, einen DNS bekommen können.

Was ist da sonst noch eingestellt?
Hat der Router zum Provider öffentliche Adressen?

> Im NetworkManager ist für die ipv6 ebenso "Automatisch" eingestellt.
> ifconfig -a liefert mir ipv4 und ipv6 adressen, aber keine einzige
> ipv6 adresse (außer der eigenen) ist ping-bar ("Das Netzwerk ist nicht
> erreichbar")

Zeige ip -6 a

> Ich weiß grad nicht, wo ich am besten ansetzen soll:
> - das richtige böhmische Dorf für den Router finden, damit er - nur
> für ipv6 dann doch dhcp macht, und hoffen, dass das dann nicht
> negativ auf meine ipv4 adressen überschlägt

Der muss richtig konfiguriert werden.

> - irgendwelche ipv6 adressen erfinden, a la 1::1, 1::2, ... und diese
> bei ipv6 auch im router statisch hinterlegen... (risiko, dass
> ein echter host im Netz auch grad diese adresse hat... - gibts bei

Das ist Bullshit.

> ipv6 auch private ranges, die merkbar sind und bei manueller
> Eingabe keine Schreibkrämpfe verusachen? ich verwende auch bei
> ipv4 nur 10.*, und nicht 192.168.*)

Ist Bullshit, da man da NAT braucht. Einziger Nutzen dieser Adressen:
Serverdienste, die nur im eigenen Netz erreichbar sein sollen.
Internetverkehr mit GUA.
Wenn du etwas geübt bist, ist der Netzanteil in den Fingern. Feste
Adressen legt man dann auf ::123 oder so und nicht auf
ca7f:558d:7a30:fee0.

> - kann ich dem resolved (dem vom systemd) sagen, dass er einfach nur
> ipv4-adressen ausgeben soll?

Das ist ebenso Bullshit.

> Falls es Antworten gibt, für die ich ipv6 nicht komplett lernen und
> verstehen muss, würde mich das sehr freuen.

Du musst das nicht komplett verstehen, nur die Grundlagen.

[Marco Moock]

Am 14.08.2023 um 16:37:11 Uhr schrieb Thomas Zajic:

> * Andreas Leitgeb <a...@logic.at>
>
> > [...]
> > Falls es Antworten gibt, für die ich ipv6 nicht komplett lernen und
> > verstehen muss, würde mich das sehr freuen.
>
> Das (kurze) Studium von [1] und [2] hat bei mir zu [3] geführt, damit
> werden *zuerst* IPv4 Adressen aufgelöst bzw. höher priorisiert als
> IPv6 Adressen:

Kann man machen, bleibt man halt in der IT-Steinzeit.

> Als ich noch bei Kabsi (jetzt Kabelplus) war, war das nicht nötig.
> Aber UPC (jetzt Magenta) hat eine derart grottige IPv6 Anbindung, daß
> ich "gar nicht so viel essen kann wie ich kotzen möchte". :-P Sprich
> mindestens
> >50% Paketverlust, im Normalfall eher so um die 80-90%. Also für
> >jeglichen
> vernünftigen Einsatz komplett zu vergessen. But I digress ...

Dann melde denen diese Störung, das ist der einzig sinnvolle Weg.

[Andreas Leitgeb]

Thomas Zajic <zla...@gmx.at> wrote:
> Das (kurze) Studium von [1] und [2] hat bei mir zu [3] geführt, damit
> werden *zuerst* IPv4 Adressen aufgelöst bzw. höher priorisiert als IPv6
> Adressen:
> [1] https://serverfault.com/questions/93717/setting-ipv4-as-preferred-protocol-over-ipv6
> [2] https://man7.org/linux/man-pages/man5/gai.conf.5.html
> [3] [root@disclosure:~]# cat /etc/gai.conf
> precedence ::1/128 50
> precedence ::/0 40
> precedence 2002::/16 30
> precedence ::/96 20
> precedence ::ffff:0:0/96 100

Danke für die Hinweise... in meinem Fall hat es dazu geführt, dass
die auf serverfault erwähnte adresse dieser ipv6-shill seite bei mir im
browser "funktionierte", im wget aber nicht. Letztlich stellte ich
fest, dass der rechner-name eben doch auch eine ipv4-adresse hatte,
und ich bei wget einfach nur "-4" als option ergänzen musste, um dann
auch die ursprünglich problematische Seite ohne anfängliche ipv6-timeouts
laden zu können (ging dort um eine Rest-API abfrage, drum mit wget).

> Aber UPC (jetzt Magenta) hat eine derart grottige IPv6 Anbindung,

In meinem Fall liegt es wahrscheinlich nicht am Provider, denn mit
traceroute6 kommt er nichteinmal bis zum Router...

> HTH & LG
> Thomas

Ja, es half :-)

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 14.08.2023 um 16:37:11 Uhr schrieb Thomas Zajic:
>> * Andreas Leitgeb <a...@logic.at>

>> > Falls es Antworten gibt, für die ich ipv6 nicht komplett lernen und
>> > verstehen muss, würde mich das sehr freuen.
>> Das (kurze) Studium von [1] und [2] hat bei mir zu [3] geführt, damit
>> werden *zuerst* IPv4 Adressen aufgelöst bzw. höher priorisiert als
>> IPv6 Adressen:
> Kann man machen, bleibt man halt in der IT-Steinzeit.

Persönlich glaube ich, dass der weltweite Klima-kollaps, ein Meteoriten-
einschlag, oder mein natürliches, altersbedingtes Ableben noch *vor* der
vollständigen ipv6-isierung des Internets erfolgt. Da ich selber keinen
Server betreibe, kann ich das wahrscheinlich bis zum Schluss erfolgreich
aussitzen.

Was nicht heißt, dass es mich nicht doch auch ein bisschen interessiert,
aber halt irgendwo weiter hinten auf der langen Bank.

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 14.08.2023 um 11:10:35 Uhr schrieb Andreas Leitgeb:
>> Ich hatte eigentlich nicht vor, mich allzusehr mit ipv6 zu
>> beschäftigen.
> Das solltest du aber tun, wenn du weiterhin im Internet mitspielen
> willst. Die Tage von IPv4 sind gezählt...

Das haben sie doch vor 10 Jahren schon behauptet...

>> Mein Router ist eigentlich nur für ipv4 konfiguriert, mit statischen
>> adressen im LAN und dhcp off. Für ipv6 bietet er mir "Auto", "Nur
>> DHCPv6", "SLAAC+Stateless DHCPv6" und "SLAAC+RDNSS" ... viele
>> böhmische Dörfer, die ich da wohl mal besuchen (googeln) müsste -
>> derzeit ist da "Nur DHCPv6" eingestellt.
> SLAAC ist die Autokonfiguration und sollte aktiv sein.
> RDNSS ist die Möglichkeit, DNS-Server über das Router-Advertisement zu
> verteilen. Sollte aktiv sein.
> Stateless DHCPv6 sollte als Fallback aktiv, sein, damit Systeme, die
> kein RDNSS können, einen DNS bekommen können.

Vielen Dank für die Info, aber die genannten Einträge sind die
möglichen Werte für eine Option... eine single-select dropdown box.

> Was ist da sonst noch eingestellt?

Naja, ipv4 ist von mir alles statisch mit 10.*.*.*-adressen eingestellt.
S'warad wegn'm wenig-tippn.

> Hat der Router zum Provider öffentliche Adressen?

Die Antwort werd ich nachliefern, sobald ich wieder daheim beim Router
bin. Ich glaub mich aber zu erinnern, dass auf ipv4 auch eine 10.*-
adresse vom provider-seite steht, ob vom provider zusätzlich auch eine
ipv6 adresse kam, muss ich (abends) daheim nachschauen.

>> Im NetworkManager ist für die ipv6 ebenso "Automatisch" eingestellt.
>> ifconfig -a liefert mir ipv4 und ipv6 adressen, aber keine einzige
>> ipv6 adresse (außer der eigenen) ist ping-bar ("Das Netzwerk ist nicht
>> erreichbar")
> Zeige ip -6 a

Die info hab ich mir gestern noch weggesichert:
am ethernet-device habe ich da jetzt 2 ipv6-adressen:
inet6 2001:xxxx:xxxx:xxxx::12f/128 scope global dynamic noprefixroute
valid_lft 36291sec preferred_lft 36291sec
inet6 fe80::xxxx:xxxx:xxxx:e098/64 scope link noprefixroute
valid_lft forever preferred_lft forever
Da ich von den range-konventionen noch keine Ahnung habe, weiß ich
nicht, was dann nicht am ende doch von außen erreichbar wäre, drum
die xxxx'erln.

>> Ich weiß grad nicht, wo ich am besten ansetzen soll:
>> - das richtige böhmische Dorf für den Router finden, damit er - nur
>> für ipv6 dann doch dhcp macht, und hoffen, dass das dann nicht
>> negativ auf meine ipv4 adressen überschlägt
> Der muss richtig konfiguriert werden.

>> ipv6 auch private ranges, die merkbar sind und bei manueller
>> Eingabe keine Schreibkrämpfe verusachen? ich verwende auch bei
>> ipv4 nur 10.*, und nicht 192.168.*)
> Ist Bullshit, da man da NAT braucht.

Hab schon mal mitgekriegt, dass ipv6-fans bei NAT alle Haare aufstellen.
Ich kann das nicht nachvollziehen, da NAT ja nicht NUR ein workaround
für zuwenig adressen ist, sondern auch eine Art Info-Abschirmung, damit
da draußen niemand über meine Rechner-aufstellung mehr weiß, als was
er für die Kommunikation wissen muss.

> Einziger Nutzen dieser Adressen:
> Serverdienste, die nur im eigenen Netz erreichbar sein sollen.
> Internetverkehr mit GUA.
> Wenn du etwas geübt bist, ist der Netzanteil in den Fingern. Feste
> Adressen legt man dann auf ::123 oder so und nicht auf
> ca7f:558d:7a30:fee0.

Damit hast mich leider auch schon abgehängt. Zu GUA find ich eine
italienische Stadt, einen französischen Geistlichen, Fruchtlimonaden,
Kosmetik-produkte, ...

Bei den adress-beispielen weiß ich nicht worauf es ankommt...
aufs anfängliche ::, oder ist 123 speziell? ist ca7f speziell, oder
einfach nur eine adresse irgendeines rechners, der aus dem internet
erreichbar wäre?

>> - kann ich dem resolved (dem vom systemd) sagen, dass er einfach nur
>> ipv4-adressen ausgeben soll?
> Das ist ebenso Bullshit.

Zumindest hat "wget -4" mein akutes problem gelöst.

>> Falls es Antworten gibt, für die ich ipv6 nicht komplett lernen und
>> verstehen muss, würde mich das sehr freuen.
> Du musst das nicht komplett verstehen, nur die Grundlagen.

Ich bin dir durchaus dankbar, dass du hier versuchst, mich zum Thema
ipv6 "abzuholen", und da und dort ein paar details habe ich auch schon
mal dazu aufgeschnappt, aber ich sehe vor lauter Wald noch keinen Baum.


Wo ich bei ipv6 auch noch anstehe:
- wenn jeder meiner Rechner im home-lan eine ipv6 adresse hätte,
und ich dann meinen Provider wechsle, dann müsste ich jedem
meiner hosts (PCs, evtl IoT-geräte) eine neue adresse zuordnen?
- wenn ich die ip(4&6)-adressen meines rechners abrufe, und auf einer
der 2 ipv6-adressen einen (LAN-lokalen) server "lauschen" lassen
will, dann krieg ich "Invalid argument", bei der anderen gehts aber.

Vielleicht erklärt das meine generelle "sch...-drauf, des kummt eh nie"
Mentalität...

[Marco Moock]

Am 16.08.2023 um 11:31:32 Uhr schrieb Andreas Leitgeb:

> Marco Moock <mo...@posteo.de> wrote:
> > Am 14.08.2023 um 11:10:35 Uhr schrieb Andreas Leitgeb:
> >> Ich hatte eigentlich nicht vor, mich allzusehr mit ipv6 zu
> >> beschäftigen.
> > Das solltest du aber tun, wenn du weiterhin im Internet mitspielen
> > willst. Die Tage von IPv4 sind gezählt...
> Das haben sie doch vor 10 Jahren schon behauptet...

Die Verbreitung von IPv6 hat auch massiv zugenommen, gerade neuere
Provider können IPv4 nicht mehr für alle Kunden anbieten. Länder wie
China wollen 2030 IPv4 abstellen. Auch wenn sich das noch verzögert, es
ist besser, sich vorher drum zu kümmern, statt dann kurz vor knapp.

> Die info hab ich mir gestern noch weggesichert:
> am ethernet-device habe ich da jetzt 2 ipv6-adressen:
> inet6 2001:xxxx:xxxx:xxxx::12f/128 scope global dynamic

Ist ne öffentliche IP am PC. Kannst du den 2. Block auch noch zeigen
(das ist dann i.d.R. das Provider-Netz /32).

> >> Ich weiß grad nicht, wo ich am besten ansetzen soll:
> >> - das richtige böhmische Dorf für den Router finden, damit er -
> >> nur für ipv6 dann doch dhcp macht, und hoffen, dass das dann nicht
> >> negativ auf meine ipv4 adressen überschlägt
> > Der muss richtig konfiguriert werden.
>
> >> ipv6 auch private ranges, die merkbar sind und bei manueller
> >> Eingabe keine Schreibkrämpfe verusachen? ich verwende auch bei
> >> ipv4 nur 10.*, und nicht 192.168.*)
> > Ist Bullshit, da man da NAT braucht.
>
> Hab schon mal mitgekriegt, dass ipv6-fans bei NAT alle Haare
> aufstellen. Ich kann das nicht nachvollziehen, da NAT ja nicht NUR
> ein workaround für zuwenig adressen ist, sondern auch eine Art
> Info-Abschirmung, damit da draußen niemand über meine
> Rechner-aufstellung mehr weiß, als was er für die Kommunikation
> wissen muss.

Hängt damit zusammen, dass NAT einfach bei vielen Protokollen nervt.
NAT-Hairpinning nervt ebenso.
Wer die Sicherheit von NAT will, nimmt ne SPI-Firewall bei IPv6. Haben
eh fast alle Router.
Wer unbedingt stateful NAT66 haben will, kann das ebenso tun. Vorteil:
Ich muss es nicht tun, wenn sich andere damit befassen wollen, bitte.

> > Einziger Nutzen dieser Adressen:
> > Serverdienste, die nur im eigenen Netz erreichbar sein sollen.
> > Internetverkehr mit GUA.
> > Wenn du etwas geübt bist, ist der Netzanteil in den Fingern. Feste
> > Adressen legt man dann auf ::123 oder so und nicht auf
> > ca7f:558d:7a30:fee0.
>
> Damit hast mich leider auch schon abgehängt. Zu GUA find ich eine
> italienische Stadt, einen französischen Geistlichen, Fruchtlimonaden,
> Kosmetik-produkte, ...

Global Unicast Address, eine global geroutete Adresse.

> Bei den adress-beispielen weiß ich nicht worauf es ankommt...
> aufs anfängliche ::, oder ist 123 speziell? ist ca7f speziell, oder
> einfach nur eine adresse irgendeines rechners, der aus dem internet
> erreichbar wäre?

Die hinteren 64 Bit. Die vorderen sind das Netz, da darfst du am PC
nichts ändern.

> >> - kann ich dem resolved (dem vom systemd) sagen, dass er einfach
> >> nur ipv4-adressen ausgeben soll?
> > Das ist ebenso Bullshit.
>
> Zumindest hat "wget -4" mein akutes problem gelöst.

Das weist wget an, IPv4 zu nutzen. Wenn das Schloss der Eingangstür
klemmt und du die Terrassentür rausgehst, ist das akute Problem auch
gelöst. Das ursächliche aber nicht.

> Wo ich bei ipv6 auch noch anstehe:
> - wenn jeder meiner Rechner im home-lan eine ipv6 adresse hätte,
> und ich dann meinen Provider wechsle, dann müsste ich jedem
> meiner hosts (PCs, evtl IoT-geräte) eine neue adresse zuordnen?

Wenn du diese manuell festgelegt hast, ja.
Wenn du die providerübergreifend gleich haben willst, musst du bei der
RIPE einen provider-independent-Adressraum beantragen (bekommt man bei
IPv6 problemlos) und den über deinen Provider routen lassen.

> - wenn ich die ip(4&6)-adressen meines rechners abrufe, und auf einer
> der 2 ipv6-adressen einen (LAN-lokalen) server "lauschen" lassen
> will, dann krieg ich "Invalid argument", bei der anderen gehts
> aber.

Was genau gibst du ein?
Einige Anwendungen wollen IPv6-Adressen in eckigen Klammern. Kommt ein
Port dazu, ist das fast immer der Fall, da man sonst nicht
unterscheiden kann.

[Marco Moock]

Am 16.08.2023 um 10:44:39 Uhr schrieb Andreas Leitgeb:

> Persönlich glaube ich, dass der weltweite Klima-kollaps, ein
> Meteoriten- einschlag, oder mein natürliches, altersbedingtes Ableben
> noch *vor* der vollständigen ipv6-isierung des Internets erfolgt. Da
> ich selber keinen Server betreibe, kann ich das wahrscheinlich bis
> zum Schluss erfolgreich aussitzen.

Solltest du 90 sein, glaube ich das. :-)

Ich gebe dem öffentlichen IPv4-Internet noch 10 Jahre, mehr aber nicht.

Die Verbreitung ist in den letzten Jahren massiv gestiegen.
Google erfasst die Seitenzugriffe:
https://www.google.com/intl/en/ipv6/statistics.html

Sollten es da in einigen Statten mal 90% geben, werden da einige
Serverbetreiber anfangen, kein IPv4 mehr zu bieten, einfach weil das im
gesamten Netzwerk nervt - nicht skalierbar und unschierig.

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 16.08.2023 um 11:31:32 Uhr schrieb Andreas Leitgeb:
>> Marco Moock <mo...@posteo.de> wrote:
>>> Am 14.08.2023 um 11:10:35 Uhr schrieb Andreas Leitgeb:
>> Die info hab ich mir gestern noch weggesichert:
>> am ethernet-device habe ich da jetzt 2 ipv6-adressen:
>> inet6 2001:xxxx:xxxx:xxxx::12f/128 scope global dynamic
> Ist ne öffentliche IP am PC.

Würde das ipv6-Routing funktionieren, wäre ich dann über
diese Adresse jetzt schon aus dem Internet direkt erreichbar?

>> Hab schon mal mitgekriegt, dass ipv6-fans bei NAT alle Haare
>> aufstellen.

> Hängt damit zusammen, dass NAT einfach bei vielen Protokollen nervt.

Komm mir jetzt aber bitte nicht mit FTP und PASSIVE mode... ;-D

> NAT-Hairpinning nervt ebenso.
> Wer die Sicherheit von NAT will, nimmt ne SPI-Firewall bei IPv6. Haben
> eh fast alle Router.
> Wer unbedingt stateful NAT66 haben will, kann das ebenso tun. Vorteil:
> Ich muss es nicht tun, wenn sich andere damit befassen wollen, bitte.

Ok, Böhmen hat echt viele Dörfer... NAT-Hairpinning, SPI, NAT66,...

>>> Einziger Nutzen dieser Adressen:
>>> Serverdienste, die nur im eigenen Netz erreichbar sein sollen.
>>> Internetverkehr mit GUA.

[ Global Unicast Address, eine global geroutete Adresse. ]

>>> Wenn du etwas geübt bist, ist der Netzanteil in den Fingern. Feste
>>> Adressen legt man dann auf ::123 oder so und nicht auf
>>> ca7f:558d:7a30:fee0.

>> Bei den adress-beispielen weiß ich nicht worauf es ankommt...
>> aufs anfängliche ::, oder ist 123 speziell? ist ca7f speziell, oder
>> einfach nur eine adresse irgendeines rechners, der aus dem internet
>> erreichbar wäre?
> Die hinteren 64 Bit. Die vorderen sind das Netz, da darfst du am PC
> nichts ändern.

Ich reime mir jetzt mal zusammen...
Die ersten 64 bit, also die ersten 4 ...ähm... hexadecette (angelehnt
an die octette bei ipv4) kriegert ich vom Provider... dahinter kann ich
mir einen weiteren 32 (oder nochmal 64 ?) bit Adressraum selber auf meine
Rechner verteilen...

Wo zwei doppelpunkte zusammenkommen, steht das (laut Erinnerung aus dem
Hinterkopf) für eine serie von 0000:... bis die Gesamtlänge passt.
Damit wäre dann eben ::123 das gleiche wie 0000:...:0000:0123, womit
ich dann wohl vermutlich mit 0000:0000:... irgendsoetwas ähnlich privates
wie das 10.* im ipv4 hätte...

Jetzt hat mein rechner aber auch noch eine weitere adresse mit fe80::
mit "scope link" - was fangt man mit sowas an? (fortsetzung dazu weiter
unten)

>> >> - kann ich dem resolved (dem vom systemd) sagen, dass er einfach
>> >> nur ipv4-adressen ausgeben soll?
>> > Das ist ebenso Bullshit.
>> Zumindest hat "wget -4" mein akutes problem gelöst.
> Das weist wget an, IPv4 zu nutzen. Wenn das Schloss der Eingangstür
> klemmt und du die Terrassentür rausgehst, ist das akute Problem auch
> gelöst. Das ursächliche aber nicht.

Der Vergleich ist nicht so schlecht... die Terrassentür lässt sich
aber auch von außen versperren, also ist es derzeit letztlich egal,
durch welche Türe ich rausgehe. - Nur, wenn mal draußen auf der
Terrasse ein hungriger Löwe wartet, sollte ich schauen, ob ich die
andere Türe nicht doch mal aufkriege. In der Zeit bis dahin (also
bis zum Löwen auf der Terrasse) passiert aber noch viel... vielleicht
wird vorher noch das Haus abgerissen (und ein neues gebaut) oder
Nachbars Grizzly verjagt den Löwen und kommt dann wieder zahm zurück.
Jedenfalls würde es sich in diesen Fällen erübrigen, mich um das
defekte Schloss an der Vordertüre zu kümmern :-)

>> Wo ich bei ipv6 auch noch anstehe:
>> - wenn jeder meiner Rechner im home-lan eine ipv6 adresse hätte,
>> und ich dann meinen Provider wechsle, dann müsste ich jedem
>> meiner hosts (PCs, evtl IoT-geräte) eine neue adresse zuordnen?
> Wenn du diese manuell festgelegt hast, ja.
> Wenn du die providerübergreifend gleich haben willst, musst du bei der
> RIPE einen provider-independent-Adressraum beantragen (bekommt man bei
> IPv6 problemlos) und den über deinen Provider routen lassen.

Klingt so, als wäre das erstens nicht ganz kostenlos, und müsste mich
dann auch darum kümmern, wie ich dem provider diesen indep. adressraum
verklickere... und wenn ich zwei router (zu verschiedenen providern)
im Netz habe, und je nach konfig eines einzenen rechners den einen oder
den anderen mit höherer metric versehe, dann komm ich mit einem
indep. addressraum wohl auch nicht weiter.

>> - wenn ich die ip(4&6)-adressen meines rechners abrufe, und auf einer
>> der 2 ipv6-adressen einen (LAN-lokalen) server "lauschen" lassen
>> will, dann krieg ich "Invalid argument", bei der anderen gehts aber.
> Was genau gibst du ein?

auf basis der in einem älteren postings dieses threads genannten IP(v6)
adressen:
::1/128 scope host

2001:xxxx:xxxx:xxxx::12f/128 scope global

fe80::xxxx:xxxx:xxxx:e098/64 scope link

dann:
netcat -l ::1 1234 -> ok
netcat -l fe80::xxxx:xxxx:xxxx:e098 1234 -> Invalid argument
netcat -l 2001:xxxx:xxxx:xxxx::12f 1234 -> ok

Ähnlich, aber etwas anders bei ping:
ping ::1 -> ok
ping 2001:xxxx:xxxx:xxxx::12f -> ok
ping fe80::xxxx:xxxx:xxxx:e098 -> nix (keine transfers, kein fehler)
ping 2a00:1450:4016:80c::200e -> ping: connect: Das Netzwerk ist nicht erreichbar
(letzteres ist google.com)

cave scopem linkem. (a la "cave canem": vorsicht vor dem hund)

[Marco Moock]

Am 16.08.2023 um 18:10:09 Uhr schrieb Andreas Leitgeb:

> Marco Moock <mo...@posteo.de> wrote:
> > Am 16.08.2023 um 11:31:32 Uhr schrieb Andreas Leitgeb:
> >> Marco Moock <mo...@posteo.de> wrote:
> >>> Am 14.08.2023 um 11:10:35 Uhr schrieb Andreas Leitgeb:
> >> Die info hab ich mir gestern noch weggesichert:
> >> am ethernet-device habe ich da jetzt 2 ipv6-adressen:
> >> inet6 2001:xxxx:xxxx:xxxx::12f/128 scope global dynamic
> > Ist ne öffentliche IP am PC.
>
> Würde das ipv6-Routing funktionieren, wäre ich dann über
> diese Adresse jetzt schon aus dem Internet direkt erreichbar?

Prinzipiell ja. Das ist aber nur dann ein Problem, wenn auf deinem PC
Serverdienste laufen, die du nicht im Internet bereitstellen willst.
Bei Linux normalerweise nicht der Fall, es sei denn, du hast die
eingerichtet.
Im Router ist aber i.d.R. eine SPI-Firewall, die solche Anfragen
blockiert.

> >> Hab schon mal mitgekriegt, dass ipv6-fans bei NAT alle Haare
> >> aufstellen.
> > Hängt damit zusammen, dass NAT einfach bei vielen Protokollen
> > nervt.
>
> Komm mir jetzt aber bitte nicht mit FTP und PASSIVE mode... ;-D

VoIP wäre was.
FTP mit Passive-Mode geht per NAT, aktiv geht nicht.

> > Die hinteren 64 Bit. Die vorderen sind das Netz, da darfst du am PC
> > nichts ändern.
>
> Ich reime mir jetzt mal zusammen...
> Die ersten 64 bit, also die ersten 4 ...ähm... hexadecette (angelehnt
> an die octette bei ipv4) kriegert ich vom Provider... dahinter kann
> ich mir einen weiteren 32 (oder nochmal 64 ?) bit Adressraum selber
> auf meine Rechner verteilen...

Gescheite Provider vergeben min. /56, manche leider weniger.
In einem IPv6-Netz hat man im Normalfall immer /64. In einem normalen
Heimnetz wird dann nur ein /64 genutzt.
Die ersten 64 Bit gehören zum Netz (wie beim IPv4-Subnetting) und dürfe
am Client nicht verändert werden.

> Wo zwei doppelpunkte zusammenkommen, steht das (laut Erinnerung aus
> dem Hinterkopf) für eine serie von 0000:... bis die Gesamtlänge passt.

Genau.

> Damit wäre dann eben ::123 das gleiche wie 0000:...:0000:0123, womit
> ich dann wohl vermutlich mit 0000:0000:... irgendsoetwas ähnlich
> privates wie das 10.* im ipv4 hätte...

Nein.
Das Äquivalent zu den privaten IPv4-Adressen ist fd00::/8.
Diese Adressen werden aber nicht öffentlich geroutet, du brauchst auf
deinen Systemen GUA-Adressen (2xxx:: oder 3xxx::).

> Jetzt hat mein rechner aber auch noch eine weitere adresse mit fe80::
> mit "scope link" - was fangt man mit sowas an? (fortsetzung dazu
> weiter unten)

Link-local, ist dazu gedacht, dass man ganz ohne Konfiguration auf dem
eigenen Ethernet-Link kommunizieren kann.
Wird für das Neighbor-Discovery gebraucht (u.a. doppelte
Adresserkennung, Erhalt vom Router-Advertisement, Auflösen von IPs in
MAC-Adressen (wie bei IPv4-ARP), usw.).
Muss dich aber vorerst nicht kratzen.

> >> >> - kann ich dem resolved (dem vom systemd) sagen, dass er
> >> >> einfach nur ipv4-adressen ausgeben soll?
> >> > Das ist ebenso Bullshit.
> >> Zumindest hat "wget -4" mein akutes problem gelöst.
> > Das weist wget an, IPv4 zu nutzen. Wenn das Schloss der Eingangstür
> > klemmt und du die Terrassentür rausgehst, ist das akute Problem auch
> > gelöst. Das ursächliche aber nicht.
>
> Der Vergleich ist nicht so schlecht... die Terrassentür lässt sich
> aber auch von außen versperren, also ist es derzeit letztlich egal,
> durch welche Türe ich rausgehe. - Nur, wenn mal draußen auf der
> Terrasse ein hungriger Löwe wartet, sollte ich schauen, ob ich die
> andere Türe nicht doch mal aufkriege. In der Zeit bis dahin (also
> bis zum Löwen auf der Terrasse) passiert aber noch viel... vielleicht
> wird vorher noch das Haus abgerissen (und ein neues gebaut) oder
> Nachbars Grizzly verjagt den Löwen und kommt dann wieder zahm zurück.
> Jedenfalls würde es sich in diesen Fällen erübrigen, mich um das
> defekte Schloss an der Vordertüre zu kümmern :-)

Man kann IPv6 noch weiter aufschieben - so wie viele das mit
Migrationen machen.
Irgendwann kommt die Deadline und wenn man dann keine Erfahrung damit
hat, wird es sehr, sehr stressig. War bei ISDN hier so, beim EoL von
Windows 7 auch.

> Klingt so, als wäre das erstens nicht ganz kostenlos, und müsste mich
> dann auch darum kümmern, wie ich dem provider diesen indep. adressraum
> verklickere... und wenn ich zwei router (zu verschiedenen providern)
> im Netz habe, und je nach konfig eines einzenen rechners den einen
> oder den anderen mit höherer metric versehe, dann komm ich mit einem
> indep. addressraum wohl auch nicht weiter.

Doch, weil du dann dieses Netz über beide Provider routen kannst.
Natürlich kostet das was und ist kein normales Heimnetz mehr.

> auf basis der in einem älteren postings dieses threads genannten
> IP(v6) adressen:
> ::1/128 scope host
> 2001:xxxx:xxxx:xxxx::12f/128 scope global
> fe80::xxxx:xxxx:xxxx:e098/64 scope link
> dann:
> netcat -l ::1 1234 -> ok
> netcat -l fe80::xxxx:xxxx:xxxx:e098 1234 -> Invalid argument

Bei den link-local muss man das Interface angeben, denn du kannst
mehrere haben.

hier einfach fe80:1234%eth2 nehmen.

> netcat -l 2001:xxxx:xxxx:xxxx::12f 1234 -> ok
>
> Ähnlich, aber etwas anders bei ping:
> ping ::1 -> ok
> ping 2001:xxxx:xxxx:xxxx::12f -> ok
> ping fe80::xxxx:xxxx:xxxx:e098 -> nix (keine transfers, kein
> fehler) ping 2a00:1450:4016:80c::200e -> ping: connect: Das Netzwerk
> ist nicht erreichbar (letzteres ist google.com)

Auch hier das Interface angeben bei link-local.

Der Rest ist ein Routing-Problem.

Zeige mal bitte deine IPv6-Konfig im Router.

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 16.08.2023 um 18:10:09 Uhr schrieb Andreas Leitgeb:
>> Würde das ipv6-Routing funktionieren, wäre ich dann über
>> diese Adresse jetzt schon aus dem Internet direkt erreichbar?
> Prinzipiell ja. Das ist aber nur dann ein Problem, wenn auf deinem PC
> Serverdienste laufen, die du nicht im Internet bereitstellen willst.
> Bei Linux normalerweise nicht der Fall, es sei denn, du hast die
> eingerichtet.
> Im Router ist aber i.d.R. eine SPI-Firewall, die solche Anfragen
> blockiert.

In meinem Fall blockt hier bereits der provider hereinkommende
Verbindungen. Ich glaube mich erinnern zu können, dass ich das
irgendwo über mein Kundenprofil beim Provider konfigurieren
könnte, und hier aber eben "versteckt" bin. Ich Feigling ;-)

Infos vom Router: Im web-interface sehe ich, dass der Router
vom Provider tatsächlich ein paar ipv6-adressen bekommen hat.
WAN IPv6-Adresse: 2001:xxxx:xxxx:xxxx:yyyy:yyyy:yyyy:yyyy/64
WAN IPv6-Gateway: fe80::...
LAN IPv6-Adresse: 2001:xxxx:xxxx:xxxx:cabf:zzzz:zzzz:zzzz/64
LAN IPv6-Präfix: 2001:xxxx:xxxx:xxxx::

und dann auch noch zwei ipv6-adressen für DNS (2001:xxxy:... - die
letzte Stelle der zweiten hexzahl ist schon ein bisschen abweichend
von "meiner" ipv6)

>> > Hängt damit zusammen, dass NAT einfach bei vielen Protokollen
>> > nervt.
>> Komm mir jetzt aber bitte nicht mit FTP und PASSIVE mode... ;-D
> VoIP wäre was.

ok, war bisher noch nicht mein Thema...

> FTP mit Passive-Mode geht per NAT, aktiv geht nicht.

Ja, hast Recht. Ich habs verwechselt. Hab zum Glück schon
länger nichts mehr damit zu tun gehabt.

>> Ich reime mir jetzt mal zusammen...
>> Die ersten 64 bit, also die ersten 4 ...ähm... hexadecette (angelehnt
>> an die octette bei ipv4) kriegert ich vom Provider... dahinter kann
>> ich mir einen weiteren 32 (oder nochmal 64 ?) bit Adressraum selber
>> auf meine Rechner verteilen...
> Gescheite Provider vergeben min. /56, manche leider weniger.

Warum "leider"? Die verschenken dann doch einfach Adressraum an den
Kunden... nicht gut für den Kunden?

>> Damit wäre dann eben ::123 das gleiche wie 0000:...:0000:0123, womit
>> ich dann wohl vermutlich mit 0000:0000:... irgendsoetwas ähnlich
>> privates wie das 10.* im ipv4 hätte...
> Nein.
> Das Äquivalent zu den privaten IPv4-Adressen ist fd00::/8.

Ah, danke für die Info! /8 heißt dann ja, dass hier "00" auch schon
was anderes sein kann... z.B.: fd42::... richtig?

> Diese Adressen werden aber nicht öffentlich geroutet, du brauchst auf
> deinen Systemen GUA-Adressen (2xxx:: oder 3xxx::).

Ok, das hab ich jetzt verstanden. Danke!

>> Jetzt hat mein rechner aber auch noch eine weitere adresse mit fe80::
>> mit "scope link" - was fangt man mit sowas an? (fortsetzung dazu
>> weiter unten)

> [...]

> Muss dich aber vorerst nicht kratzen.

Ok, so halt ichs mal mit den link-locals...

> Man kann IPv6 noch weiter aufschieben - so wie viele das mit
> Migrationen machen.
> Irgendwann kommt die Deadline und wenn man dann keine Erfahrung damit

> hat, wird es sehr, sehr stressig. ...
In den meisten solchen Fällen wäre eine frühere Migration nicht
weniger schmerzhaft/teuer, und bei manchen Projekten hat sich die
Migration dann auch erübrigt, weil das Projekt dann einfach
selbst ge-EOL-t wurde...

> Bei den link-local muss man das Interface angeben, denn du kannst
> mehrere haben.
> hier einfach fe80:1234%eth2 nehmen.

Ach ja, "%" ist dafür der Trenner...

>> ping 2a00:1450:4016:80c::200e -> ping: connect: Das Netzwerk
>> ist nicht erreichbar (letzteres ist google.com)

> Der Rest ist ein Routing-Problem.
> Zeige mal bitte deine IPv6-Konfig im Router.

Also die vom provider bezogenen ipv6 adressen (ge-xxxx-lt) stehen
weiter oben... darüberhinaus gibt es dann eben unter "LAN"
eine dropdownbox, mit den Werten

"Auto", "Nur DHCPv6", "SLAAC+Stateless DHCPv6" und "SLAAC+RDNSS"

zur Auswahl. Du hast mir da schon einiges davon erklärt (Danke!)
ich zitiers hier nochmal:

> SLAAC ist die Autokonfiguration und sollte aktiv sein.
> RDNSS ist die Möglichkeit, DNS-Server über das Router-Advertisement zu
> verteilen. Sollte aktiv sein.
> Stateless DHCPv6 sollte als Fallback aktiv, sein, damit Systeme, die
> kein RDNSS können, einen DNS bekommen können.

Jetzt wo ich das nocheinmal lese, nehme ich an, dass "SLAAC+RDNSS"
das beste wäre... kompatibel muss das in erster Linie mal nur
mit Ubuntu 22.04 sein; alles ältere ist von der ipv6-mig mal
ausgenommen.

Nach Umstellung des routers auf "SLAAC+RDNSS" tauchte bei "ip -6 a"
eine weitere ipv6-adresse auf, (auch wieder mit 2001:xxxx:... aber
ab dem 64sten bit ganz anders)

Ein ping auf eine fremde (z.B. google.com) ipv6-adresse geht aber
immernoch auf "ping: connect: Das Netzwerk ist nicht erreichbar"

im NetworkManager ist im ipv6-Tab "Automatisch" eingestellt - damit
dürfte es wohl das interface für ipv6 konfigurieren, aber nicht die
routen: "route -6n" zeigt mir nur soetwas wie host-routes (/128)
für die 2 konfigurierten adressen und die link-local addresse,
desweiteren gibts noch zusätzlich die folgenden:
::1/128 :: U 256 1 0 lo
fe80::/64 :: U 1024 1 0 enp5s0
::/0 :: !n -1 1 0 lo
::1/128 :: Un 0 7 0 lo
ff00::/8 :: U 256 5 0 enp5s0
::/0 :: !n -1 1 0 lo

Irritieren tun mich die routen für lo, weil jeweils doppelt,
und noch mehr "::/0" was ja quasi "alles" bedeuten würde, aber
eben nach "lo".

Warum wird vom NetworkManager keine "richtige" route gesetzt?
Vielleicht ein Bug? Dann hätte ich ja gute chancen, dass das
irgendwann noch gefixt wird, und danach eh alles automagisch
geht.

Mit einem (nach ein paar experimenten) "erratenen"
sudo route -6 add 2001:xxxx:xxxx:xxxx:cabf:zzzz:zzzz:zzzz/128 enp5s0
sudo route -6 add ::/0 gateway 2001:xxxx:xxxx:xxxx:cabf:zzzz:zzzz:zzzz enp5s0
scheint es nun mal zu gehen...
Den wget lass ich aber wohl weiterhin über die Terrassentür "-4" raus ;-)

[Marco Moock]

Am 17.08.2023 um 10:08:33 Uhr schrieb Andreas Leitgeb:

> Marco Moock <mo...@posteo.de> wrote:

> In meinem Fall blockt hier bereits der provider hereinkommende
> Verbindungen. Ich glaube mich erinnern zu können, dass ich das
> irgendwo über mein Kundenprofil beim Provider konfigurieren
> könnte, und hier aber eben "versteckt" bin. Ich Feigling ;-)

Dann schalte das mal ab und frage ggf. nach.

> Infos vom Router: Im web-interface sehe ich, dass der Router
> vom Provider tatsächlich ein paar ipv6-adressen bekommen hat.
> WAN IPv6-Adresse: 2001:xxxx:xxxx:xxxx:yyyy:yyyy:yyyy:yyyy/64
> WAN IPv6-Gateway: fe80::...
> LAN IPv6-Adresse: 2001:xxxx:xxxx:xxxx:cabf:zzzz:zzzz:zzzz/64
> LAN IPv6-Präfix: 2001:xxxx:xxxx:xxxx::

Sieht gut aus.

> und dann auch noch zwei ipv6-adressen für DNS (2001:xxxy:... - die
> letzte Stelle der zweiten hexzahl ist schon ein bisschen abweichend
> von "meiner" ipv6)

Nachvollziehbar, da der DNS-Server nicht in deinem Netz steht.

> Warum "leider"? Die verschenken dann doch einfach Adressraum an den
> Kunden... nicht gut für den Kunden?

Es gibt bei IPv6 keine Knappheit, das Protokoll wurde so gestaltet,
dass man Adressraum verschenken kann, um Rangierfläche zu haben.
Das IPv4-Geizkragenprinzip ist nicht nötig.
/56 für jeden Kunden ist technisch problemlos machbar, von der RIPE
wird /48 empfohlen.

> >> Damit wäre dann eben ::123 das gleiche wie 0000:...:0000:0123,
> >> womit ich dann wohl vermutlich mit 0000:0000:... irgendsoetwas
> >> ähnlich privates wie das 10.* im ipv4 hätte...
> > Nein.
> > Das Äquivalent zu den privaten IPv4-Adressen ist fd00::/8.
> Ah, danke für die Info! /8 heißt dann ja, dass hier "00" auch schon
> was anderes sein kann... z.B.: fd42::... richtig?

Ja. Man soll aber bis /48 mit Zufallswerten füllen, falls Netze mal
zusammengeschaltet werden sollen und man da ULA zusätzlich benutzt.

> > Man kann IPv6 noch weiter aufschieben - so wie viele das mit
> > Migrationen machen.
> > Irgendwann kommt die Deadline und wenn man dann keine Erfahrung
> > damit hat, wird es sehr, sehr stressig. ...
> In den meisten solchen Fällen wäre eine frühere Migration nicht
> weniger schmerzhaft/teuer, und bei manchen Projekten hat sich die
> Migration dann auch erübrigt, weil das Projekt dann einfach
> selbst ge-EOL-t wurde...

Problem: Wenn jemand wie Google ankündigt, in 1 Jahr IPv4 abzustellen,
muss man innerhalb kürzester Zeit alles umstellen und das ohne
Erfahrung.

Ist keine gute Idee.

> Also die vom provider bezogenen ipv6 adressen (ge-xxxx-lt) stehen
> weiter oben... darüberhinaus gibt es dann eben unter "LAN"
> eine dropdownbox, mit den Werten
> "Auto", "Nur DHCPv6", "SLAAC+Stateless DHCPv6" und "SLAAC+RDNSS"
> zur Auswahl. Du hast mir da schon einiges davon erklärt (Danke!)
> ich zitiers hier nochmal:

SLAAC+RDNSS ist für den Standardfall passend.

> Nach Umstellung des routers auf "SLAAC+RDNSS" tauchte bei "ip -6 a"
> eine weitere ipv6-adresse auf, (auch wieder mit 2001:xxxx:... aber
> ab dem 64sten bit ganz anders)

Ggf. eine zusätzliche aufgrund von Privacy Extensions.

> im NetworkManager ist im ipv6-Tab "Automatisch" eingestellt - damit
> dürfte es wohl das interface für ipv6 konfigurieren, aber nicht die
> routen: "route -6n" zeigt mir nur soetwas wie host-routes (/128)
> für die 2 konfigurierten adressen und die link-local addresse,
> desweiteren gibts noch zusätzlich die folgenden:
> ::1/128 :: U 256 1 0 lo
> fe80::/64 :: U 1024 1 0 enp5s0
> ::/0 :: !n -1 1 0 lo
> ::1/128 :: Un 0 7 0 lo
> ff00::/8 :: U 256 5 0 enp5s0
> ::/0 :: !n -1 1 0 lo
>
> Irritieren tun mich die routen für lo, weil jeweils doppelt,
> und noch mehr "::/0" was ja quasi "alles" bedeuten würde, aber
> eben nach "lo".

Zeige mal die komplette Ausgabe von
ip -6 route show

> Warum wird vom NetworkManager keine "richtige" route gesetzt?
> Vielleicht ein Bug? Dann hätte ich ja gute chancen, dass das
> irgendwann noch gefixt wird, und danach eh alles automagisch
> geht.

Nein, bei Hundertausenden geht das problemlos, da muss bei dir was faul
sein.

Installiere ndisc6 und führe dann
rdisc6 eth0
aus.
Das postest du hier, es zeigt das IPv6-RA vom Router.

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 17.08.2023 um 10:08:33 Uhr schrieb Andreas Leitgeb:
>> Ich glaube mich erinnern zu können, dass ich das
>> irgendwo über mein Kundenprofil beim Provider konfigurieren
>> könnte, und hier aber eben "versteckt" bin. Ich Feigling ;-)
> Dann schalte das mal ab und frage ggf. nach.

Nicht in nächster Zeit...

>> Warum "leider"? Die verschenken dann doch einfach Adressraum an den
>> Kunden... nicht gut für den Kunden?
> Es gibt bei IPv6 keine Knappheit, das Protokoll wurde so gestaltet,
> dass man Adressraum verschenken kann, um Rangierfläche zu haben.
> Das IPv4-Geizkragenprinzip ist nicht nötig.
> /56 für jeden Kunden ist technisch problemlos machbar, von der RIPE
> wird /48 empfohlen.

Genau. Ich hatte die Vorgeschichte so verstanden, dass du es mit
dem Wort "leider" bezeichnet hast, wenn ein Provider einen Adress-
bereich mit <56, also z.B. eine "Netzmaske" /42 zuweist.
Jetzt scheint es mir, als meintest du, dass für Kunden manchmal
weniger als 56bit übrig bleiben - dabei ist das "leider" schon
eher schlüssig.

>> Ah, danke für die Info! /8 heißt dann ja, dass hier "00" auch schon
>> was anderes sein kann... z.B.: fd42::... richtig?
> Ja. Man soll aber bis /48 mit Zufallswerten füllen, falls Netze mal
> zusammengeschaltet werden sollen und man da ULA zusätzlich benutzt.

Nachvollziehbar als "best practice".

> Problem: Wenn jemand wie Google ankündigt, in 1 Jahr IPv4 abzustellen,
> muss man innerhalb kürzester Zeit alles umstellen und das ohne
> Erfahrung.

Dafür können "late adopters" oft leichter auf Erfahrungen anderer
zurückgreifen. Auch die üblichen "Kinderkrankheiten" können sich
die "late adopters" oft ersparen.

> Zeige mal die komplette Ausgabe von
> ip -6 route show

Ah, das ist schon aufgeräumter...

Davor habe ich meine manuellen routen mal geputzt (im nm-applet
das gespeicherte Profil für Ethernet geklickt, also neu verbunden)

bei "ip -6 route show" gibts da jetzt nur:
::1 dev lo proto kernel metric 256 pref medium
fe80::/64 dev enp5s0 proto kernel metric 1024 pref medium

>> Warum wird vom NetworkManager keine "richtige" route gesetzt?
>> Vielleicht ein Bug? Dann hätte ich ja gute chancen, dass das
>> irgendwann noch gefixt wird, und danach eh alles automagisch
>> geht.
> Nein, bei Hundertausenden geht das problemlos, da muss bei dir was faul
> sein.

Ob es bei den Hundertausenden mit Ubuntu 22.04 problemlos geht,
oder es nur keinem auffällt, bzw keinen kümmert, darauf würde
ich nicht wetten.

Das system wurde relativ frisch aufgesetzt, sollte also keine
Altlasten enthalten. Vielleicht "spuckt" da meine statische
ipv4-Konfig bei ipv6 rein... Zumindest damit bin ich abseits
des ausgetretenen Pfades.

> Installiere ndisc6 und führe dann
> rdisc6 eth0
> aus.
> Das postest du hier, es zeigt das IPv6-RA vom Router.

Da kommt recht viel...
Auffällig ist dabei, dass der bekannte Präfix 2001:xxxx:...::/64
vorkommt, und auch ein "rekursiver DNS" mit einer fe80::...
adresse, die mit den hinteren 64bit der mit 2001:xxxx:... anfangenden
LAN IPv6-Adresse des routers aufhörte.

Nur in die routing-tabelle kommen diese infos offenbar nicht von
selber rein...

Die bisherigen zwei route-kommandos konnte ich somit aber auf eines
reduzieren:
sudo route -6 add ::/0 gateway fe80::cabf:zzzz:zzzz:zzzz enp5s0

[Christoph 'Mehdorn' Weber]

Hallo!

* Andreas Leitgeb <a...@logic.at>:

> Naja, ipv4 ist von mir alles statisch mit 10.*.*.*-adressen eingestellt.
> S'warad wegn'm wenig-tippn.

Dafür hab ich einfach einen lokalen Nameserver. Da muss ich mir
nicht mal die Adressen merken, sondern habe Namen, die leicht von
der Hand gehen.

> Wo ich bei ipv6 auch noch anstehe:
> - wenn jeder meiner Rechner im home-lan eine ipv6 adresse hätte,
> und ich dann meinen Provider wechsle, dann müsste ich jedem
> meiner hosts (PCs, evtl IoT-geräte) eine neue adresse zuordnen?

Jein. Meist macht man SLAAC, d.h. der Router verteilt per
Router-Advertisement das Netz (konkret das Präfix) und die Clients
suchen sich in dem Bereich automatisch eine freie Adresse.
Wechselt die Provider-Adresse, schwenken die automatisch um.
Üblich ist es, das Router-Advertisement alle 1-5 Minuten zu
schicken, daher geht das recht flott. Man kann sogar mehrere
Router gleichzeitig haben, ein fliegender Wechsel ist über eine
Prioritätensteuerung möglich.

Und du kannst problemlos mehrere Netze gleichzeitig in Betrieb
haben, also wahlweise zwei Router, oder ein Router verteilt
zusätzlich private Adressen im Bereich fd00::/8. Letzteres mache
ich so: Die privaten Adressen sind fix und stehen im internen DNS,
die öffentlichen vom Provider ändern sich gelegentlich und werden
quasi nur für den Internet-Zugriff benutzt.


Es ist auch nicht unüblich, daß ein Rechner mehrere Adressen im
selben Subnetz hat. Ein Stichwort wäre da "Privacy Extensions",
bei denen für ausgehende Verbindungen zufällige Suffixe gewürfelt
werden, weil die von SLAAC häufig auf der MAC-Adresse basieren und
somit zu einem gewissen Grad Tracking erlauben.

Ich gebe gern wichtigen Rechnern einfache Adressen zusätzlich,
z.B. dem Router "Präfix::1" und dem Nameserver "Präfix::53", damit
ich bei irgendwelchen Störungen ohne großes Nachdenken die
Adressen ohne Nachschlagen eingeben kann. Außerdem kann man ::53
leicht umziehen, wenn (nur) der DNS-Server migriert werden sollte.
(Eine eigene IPv6-Adresse pro Dienst ist gar nicht so unüblich.)

Christoph

--
Gibt es eine Moeglichkeit selbstgebrannte DVDs
mit einem simplen Kopierschutz auszustatten? --
3s Mikrowelle.
(Andreas Martin, Detlef Neubauer)

[Andreas Leitgeb]

Christoph 'Mehdorn' Weber <spam...@das-mehdorn.de> wrote:
> * Andreas Leitgeb <a...@logic.at>:
>> Naja, ipv4 ist von mir alles statisch mit 10.*.*.*-adressen eingestellt.
>> S'warad wegn'm wenig-tippn.
> Dafür hab ich einfach einen lokalen Nameserver.

Ja, der resolved aus dem systemd zickt so oft, dass ich meistens
nur mit /etc/hosts und manuell überschriebenem /etc/resolv.conf
arbeite.

Wenn dann mal ein Kistl neu aufgesetzt wird, muss ich erst mal
die IP-adresse eines bestehenden Kistls wissen, um mir von dort
das gepflegte /etc/hosts holen zu können, und es dann mit dem
lokalen zu mergen.

>> Wo ich bei ipv6 auch noch anstehe:
>> - wenn jeder meiner Rechner im home-lan eine ipv6 adresse hätte,
>> und ich dann meinen Provider wechsle, dann müsste ich jedem
>> meiner hosts (PCs, evtl IoT-geräte) eine neue adresse zuordnen?
> Jein. Meist macht man SLAAC, d.h. der Router verteilt per
> Router-Advertisement das Netz (konkret das Präfix) und die Clients
> suchen sich in dem Bereich automatisch eine freie Adresse.
> Wechselt die Provider-Adresse, schwenken die automatisch um.

Und welchen nameserver verwendest du für diese "hoch-volatilen"
adressen?

> Üblich ist es, das Router-Advertisement alle 1-5 Minuten zu
> schicken, daher geht das recht flott. Man kann sogar mehrere
> Router gleichzeitig haben, ein fliegender Wechsel ist über eine
> Prioritätensteuerung möglich.

Hab jetzt mal auf meinen anderen rechner (auch Ubuntu 22.04) geschaut,
der hat - wohl seit meinen jüngsten aktionen am router - schon 65
ipv6-adressen angesammelt...

Ich hab den Eindruck, die Zeit der Kinderkrankheiten ist für ipv6
noch nicht vorbei.

> Und du kannst problemlos mehrere Netze gleichzeitig in Betrieb
> haben, also wahlweise zwei Router, oder ein Router verteilt
> zusätzlich private Adressen im Bereich fd00::/8. Letzteres mache
> ich so: Die privaten Adressen sind fix und stehen im internen DNS,
> die öffentlichen vom Provider ändern sich gelegentlich und werden
> quasi nur für den Internet-Zugriff benutzt.

Ok, aber eigentlich hält mich *intern* ja mal gar nichts davon ab,
weiterhin ipv4 zu verwenden. ;-)
Das ipv6 brauch ich ja mal nur, um gegebenenfalls auch auf eine
externe ipv6-only adresse zugreifen zu können.

> Es ist auch nicht unüblich, daß ein Rechner mehrere Adressen im
> selben Subnetz hat. Ein Stichwort wäre da "Privacy Extensions",
> bei denen für ausgehende Verbindungen zufällige Suffixe gewürfelt
> werden, weil die von SLAAC häufig auf der MAC-Adresse basieren und
> somit zu einem gewissen Grad Tracking erlauben.

Verglichen damit ist ja dann selbst NAT noch einfach handzuhaben.

Da braucht es keine Zufallsadressen, sondern alles maskiert sich
nach außen als wärs der Router selbst.

> Ich gebe gern wichtigen Rechnern einfache Adressen zusätzlich,
> z.B. dem Router "Präfix::1" und dem Nameserver "Präfix::53", damit
> ich bei irgendwelchen Störungen ohne großes Nachdenken die
> Adressen ohne Nachschlagen eingeben kann.

Sollte das dann auch mit präfix "::" (also ::53) oder fd00::53
im gesamten heimnetz funktionieren?

Meine Rechner können jedenfalls noch nicht über ipv6 plaudern...

Beide können sie zwar den router über fe80::cabf:zzzz:zzzz:zzzz%eth0
pingen, und beide haben sie eine default-route:
default via fe80::cabf:zzzz:zzzz:zzzz dev eth0 metric 1 pref medium
aber weiter gehts nur bei einem der 2 Rechner. Der andere ignoriert
die ipv6-route, wie per traceroute6 zu erkennen.

> Außerdem kann man ::53
> leicht umziehen, wenn (nur) der DNS-Server migriert werden sollte.

ui, da hast mich jetzt doch noch verloren... Ich kapiers nicht.

> (Eine eigene IPv6-Adresse pro Dienst ist gar nicht so unüblich.)

ja. hat sich ja schon der resolved für ipv4 meist auf 127.0.0.53 gebunden.

[Marco Moock]

Am 17.08.2023 um 22:20:36 Uhr schrieb Andreas Leitgeb:

> Dafür können "late adopters" oft leichter auf Erfahrungen anderer
> zurückgreifen. Auch die üblichen "Kinderkrankheiten" können sich
> die "late adopters" oft ersparen.

Erfahrungen zu IPv6 und mit den Systemen gibt es bereits, die
Kinderkrankheiten sind beseitigt, sonst würde das nicht von Millionen
Leuten problemlos genutzt werden können.
Es ist aber dennoch notwendig, selbst Erfahrung damit zu haben, die
Best-Practise zu kennen, Diagnosewerkzeuge nutzen zu können.

Millionen Leute fahren Fahrrad und kennen die Gefahren, trotzdem musst
du es selbst lernen.

> bei "ip -6 route show" gibts da jetzt nur:
> ::1 dev lo proto kernel metric 256 pref medium
> fe80::/64 dev enp5s0 proto kernel metric 1024 pref medium

Dann gibt es keine Standardroute.

> >> Warum wird vom NetworkManager keine "richtige" route gesetzt?
> >> Vielleicht ein Bug? Dann hätte ich ja gute chancen, dass das
> >> irgendwann noch gefixt wird, und danach eh alles automagisch
> >> geht.
> > Nein, bei Hundertausenden geht das problemlos, da muss bei dir was
> > faul sein.
>
> Ob es bei den Hundertausenden mit Ubuntu 22.04 problemlos geht,
> oder es nur keinem auffällt, bzw keinen kümmert, darauf würde
> ich nicht wetten.

Bei Ubuntu 22.04 funktioniert das problemlos.

> Das system wurde relativ frisch aufgesetzt, sollte also keine
> Altlasten enthalten. Vielleicht "spuckt" da meine statische
> ipv4-Konfig bei ipv6 rein... Zumindest damit bin ich abseits
> des ausgetretenen Pfades.

Nein.

> > Installiere ndisc6 und führe dann
> > rdisc6 eth0
> > aus.
> > Das postest du hier, es zeigt das IPv6-RA vom Router.
>
> Da kommt recht viel...
> Auffällig ist dabei, dass der bekannte Präfix 2001:xxxx:...::/64
> vorkommt, und auch ein "rekursiver DNS" mit einer fe80::...
> adresse, die mit den hinteren 64bit der mit 2001:xxxx:... anfangenden
> LAN IPv6-Adresse des routers aufhörte.

Poste bitte die KOMPLETTE Ausgabe davon. Dein Präfix kannst du
maskieren.

> Nur in die routing-tabelle kommen diese infos offenbar nicht von
> selber rein...

Wie ist denn der NetworkManager eingestellt?
Kannst du da mal eine komplett neue Verbindung zum Test einrichten?

[Marco Moock]

Am 18.08.2023 um 11:25:50 Uhr schrieb Andreas Leitgeb:

> Christoph 'Mehdorn' Weber <spam...@das-mehdorn.de> wrote:
> > * Andreas Leitgeb <a...@logic.at>:
> >> Naja, ipv4 ist von mir alles statisch mit 10.*.*.*-adressen
> >> eingestellt. S'warad wegn'm wenig-tippn.
> > Dafür hab ich einfach einen lokalen Nameserver.
>
> Ja, der resolved aus dem systemd zickt so oft, dass ich meistens
> nur mit /etc/hosts und manuell überschriebenem /etc/resolv.conf
> arbeite.

Dann deaktiviere diese Dienst bitte vollständig, sonst sind Probleme
vorprogrammiert.

> Wenn dann mal ein Kistl neu aufgesetzt wird, muss ich erst mal
> die IP-adresse eines bestehenden Kistls wissen, um mir von dort
> das gepflegte /etc/hosts holen zu können, und es dann mit dem
> lokalen zu mergen.

Da das die Leute vor über 30 Jahren schon genervt hat, wurde DNS
erfunden.

> > Üblich ist es, das Router-Advertisement alle 1-5 Minuten zu
> > schicken, daher geht das recht flott. Man kann sogar mehrere
> > Router gleichzeitig haben, ein fliegender Wechsel ist über eine
> > Prioritätensteuerung möglich.
>
> Hab jetzt mal auf meinen anderen rechner (auch Ubuntu 22.04) geschaut,
> der hat - wohl seit meinen jüngsten aktionen am router - schon 65
> ipv6-adressen angesammelt...

Werden die in "ip a" angezeigt"

> Ich hab den Eindruck, die Zeit der Kinderkrankheiten ist für ipv6
> noch nicht vorbei.

Ich vermute da eher Konfigurationsprobleme oder ganz häufige Wechsel
des Präfixes.

> > Und du kannst problemlos mehrere Netze gleichzeitig in Betrieb
> > haben, also wahlweise zwei Router, oder ein Router verteilt
> > zusätzlich private Adressen im Bereich fd00::/8. Letzteres mache
> > ich so: Die privaten Adressen sind fix und stehen im internen DNS,
> > die öffentlichen vom Provider ändern sich gelegentlich und werden
> > quasi nur für den Internet-Zugriff benutzt.
>
> Ok, aber eigentlich hält mich *intern* ja mal gar nichts davon ab,
> weiterhin ipv4 zu verwenden. ;-)

Bringt dir aber nix, wenn du mit dem Rest der Welt per IPv6
kommunizieren willst.

> > Es ist auch nicht unüblich, daß ein Rechner mehrere Adressen im
> > selben Subnetz hat. Ein Stichwort wäre da "Privacy Extensions",
> > bei denen für ausgehende Verbindungen zufällige Suffixe gewürfelt
> > werden, weil die von SLAAC häufig auf der MAC-Adresse basieren und
> > somit zu einem gewissen Grad Tracking erlauben.
>
> Verglichen damit ist ja dann selbst NAT noch einfach handzuhaben.

Nein, denn wenn du die zufällig generierten Adressen nicht willst, nimm
DHCPv6, wenn du das unbedingt willst.

> Da braucht es keine Zufallsadressen, sondern alles maskiert sich
> nach außen als wärs der Router selbst.

Und nervt bei diversen Protokollen und erhöht die Latenz.

> > Ich gebe gern wichtigen Rechnern einfache Adressen zusätzlich,
> > z.B. dem Router "Präfix::1" und dem Nameserver "Präfix::53", damit
> > ich bei irgendwelchen Störungen ohne großes Nachdenken die
> > Adressen ohne Nachschlagen eingeben kann.
>
> Sollte das dann auch mit präfix "::" (also ::53) oder fd00::53
> im gesamten heimnetz funktionieren?

Was genau meinst du?

> Meine Rechner können jedenfalls noch nicht über ipv6 plaudern...
>
> Beide können sie zwar den router über fe80::cabf:zzzz:zzzz:zzzz%eth0
> pingen, und beide haben sie eine default-route:
> default via fe80::cabf:zzzz:zzzz:zzzz dev eth0 metric 1 pref medium
> aber weiter gehts nur bei einem der 2 Rechner. Der andere ignoriert
> die ipv6-route, wie per traceroute6 zu erkennen.

Siehe die andere Antwort.

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 17.08.2023 um 22:20:36 Uhr schrieb Andreas Leitgeb:
>>>> Warum wird vom NetworkManager keine "richtige" route gesetzt?
>>>> Vielleicht ein Bug? Dann hätte ich ja gute chancen, dass das
>>>> irgendwann noch gefixt wird, und danach eh alles automagisch
>>>> geht.
>>> Nein, bei Hundertausenden geht das problemlos, da muss bei dir was
>>> faul sein.
>> Ob es bei den Hundertausenden mit Ubuntu 22.04 problemlos geht,
>> oder es nur keinem auffällt, bzw keinen kümmert, darauf würde
>> ich nicht wetten.
> Bei Ubuntu 22.04 funktioniert das problemlos.

>> Zumindest damit bin ich abseits des ausgetretenen Pfades.
> Nein.

Na dann bin ich neugierig, ob wir den Fehler finden...
Und danke für die Geduld mit mir.

>> > rdisc6 eth0

> Poste bitte die KOMPLETTE Ausgabe davon. Dein Präfix kannst du
> maskieren.

=====
ff02::2 wird angeboten (ff02::2) auf eth0 ...

Sprungbegrenzung : 64 ( 0x40)
Zustandsorientierte Adresskonf. : Ja
Andere zustandsorientierte Konf. : Ja
Mobiler Home-Agent : Nein
Router-Einstellung : hoch
Nachbarschaftsermittlungs-Proxy: Nein
Router-Lebensdauer : 180 (0x000000b4) Sekunden
Erreichbarkeitszeit : nicht spezifiziert (0x00000000)
Rückübertragungszeit : nicht spezifiziert (0x00000000)
Quell-Verknüpfungsebenen-Adresse: 3C:XX:XX:XX:XX:XX
von fe80::1

Sprungbegrenzung : 64 ( 0x40)
Zustandsorientierte Adresskonf. : Nein
Andere zustandsorientierte Konf. : Nein
Mobiler Home-Agent : Nein
Router-Einstellung : hoch
Nachbarschaftsermittlungs-Proxy: Nein
Router-Lebensdauer : 60 (0x0000003c) Sekunden
Erreichbarkeitszeit : nicht spezifiziert (0x00000000)
Rückübertragungszeit : nicht spezifiziert (0x00000000)
Quell-Verknüpfungsebenen-Adresse: C8:YY:YY:YY:YY:YY
MTU : 1500 Byte (gültig)
Präfix : 2001:xxxx:xxxx:xxxx::/64
On-link : Ja
Selbständige Adresskonf.: Ja
Gültigkeitszeit : endlos (0xffffffff)
Wunschzeit : endlos (0xffffffff)
Rekursiver DNS-Server : fe80::cabf:zzzz:zzzz:zzzz
DNS-Server-Lebensdauer : 200 (0x000000c8) Sekunden
von fe80::cabf:zzzz:zzzz:zzzz

=====
Legende:
2001:xxxx:xxxx:xxxx der vom provider mir zugewiesene präfix.
cabf:zzzz:zzzz:zzzz die "hinteren 64 bits" der Adr des Routers

>> Nur in die routing-tabelle kommen diese infos offenbar nicht von
>> selber rein...
> Wie ist denn der NetworkManager eingestellt?

Im Tab "IPv6-Einstellungen" gibts:
Methode: "Automatisch"
Zusätzliche statische Adressen: (keine)
Zusätzliche DNS-Server: (keine)
Zusätzliche Suchdomänen: (keine)
IPv6-Erweiterungen zum Schutz der Privatsphäre: "Vorgabe"
IPv6-Adresserstellungsmodus: "Stabile Privatsphäre"
IPv6-Adressierung zur Fertigstellung ... erforderlich: (nicht gehakerlt)
Routen: (keine im Popup)
Sind andere Tabs auch relevant?

> Kannst du da mal eine komplett neue Verbindung zum Test einrichten?

Neue Verbindung -> Ethernet:
im IPv6-Tab ist alles gleich, nur im IPv4 Tab ist die Methode "Automatisch (DHCP)"

Da bei meinen Routern DHCP für ipv4 abgedreht ist, würde ich mit
aktivierung dieser neuen Verbindung die ipv4 Verbindung zu meinem
slrn im screen auf dem remote rechner verlieren, also belasse ich
es mal beim Erstellen. Falls ich später doch einen Router mit DHCP
betraue, und dann mit DHCP'ter ipv4-adresse auch bei ipv6 plötzlich
die default-route gesetzt wird, gibts dann noch ein Followup.

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 18.08.2023 um 11:25:50 Uhr schrieb Andreas Leitgeb:
>> Christoph 'Mehdorn' Weber <spam...@das-mehdorn.de> wrote:
>> > * Andreas Leitgeb <a...@logic.at>:
>> >> Naja, ipv4 ist von mir alles statisch mit 10.*.*.*-adressen
>> >> eingestellt. S'warad wegn'm wenig-tippn.
>> > Dafür hab ich einfach einen lokalen Nameserver.
>> Ja, der resolved aus dem systemd zickt so oft, dass ich meistens
>> nur mit /etc/hosts und manuell überschriebenem /etc/resolv.conf
>> arbeite.
> Dann deaktiviere diese Dienst bitte vollständig, sonst sind Probleme
> vorprogrammiert.

Es ist mein home-LAN, ich geb dem resolvd nach jedem reboot (aus welchen
Gründen auch immer) die chance, ab dann wieder zu funktionieren.

Sobald er dann wieder zickt, wird für die Session /etc/resolv.conf
eben wieder angepasst.

Im Wort "zicken" steckt ja drin, dass es dafür einen Grund gibt, der
nur nicht so einfach zu erkennen ist. Würde ich sehen, woran es liegt,
würde ich es nicht "zicken" nennen, sondern die Ursache beheben.

>> Wenn dann mal ein Kistl neu aufgesetzt wird, muss ich erst mal
>> die IP-adresse eines bestehenden Kistls wissen, um mir von dort
>> das gepflegte /etc/hosts holen zu können, und es dann mit dem
>> lokalen zu mergen.
> Da das die Leute vor über 30 Jahren schon genervt hat, wurde DNS
> erfunden.

Der ist gut :-)

Für meine 4 Rechner, die alle nicht immer "up" sind, ist
die "dezentrale" Lösung gerade noch managebar. Die Router werden
halt ab und zu mal ausgetauscht, (z.B. LTE -> 5G - neue HW) - dort
die Rechnernamen zu definieren ist auch nicht nachhaltig.

Eine Zeit lang lief auf einem Rechner dnrd (o.ä.) der fiel dann
mal aus der paketliste raus, dann gabs eine Weile den dnsmasq,
für den ich die Konfig noch anpasste, aber beim systemd-resolved
der nur mehr im "lo" (also am host) erreichbar ist, hab ich dann
den Hut draufgehaut.

>> Hab jetzt mal auf meinen anderen rechner (auch Ubuntu 22.04) geschaut,
>> der hat - wohl seit meinen jüngsten aktionen am router - schon 65
>> ipv6-adressen angesammelt...
> Werden die in "ip a" angezeigt"

Nur in "ip -6 a", natürlich.
Offenbar hält er da so 64-65 Adressen, denn derzeit sinds grad
wieder nur 64 Adressen - obs die gleichen sind, oder 64 neue, werd
ich erst beim nächsten mal wissen... diesmal habe ich die aktuelle
liste mal in eine Datei geschrieben - für späteren Vergleich.

>> Ich hab den Eindruck, die Zeit der Kinderkrankheiten ist für ipv6
>> noch nicht vorbei.

Hab mich falsch ausgedrückt... nicht für ipv6 an sich, sondern für
ipv6 unter Ubuntu... mit den je nach distro-version üblichen tools.

> Ich vermute da eher Konfigurationsprobleme oder ganz häufige Wechsel
> des Präfixes.

Da könnt was dran sein... wenn ich die liste sortiere, sehe ich
dass da 8 verschiedene Präfixe vorkommen, und zu jedem davon
gabs 8 adressen. (Wie es zuletzt bei den 65 Adressen war, habe
ich damals leider nicht gespeichert...)

>> Ok, aber eigentlich hält mich *intern* ja mal gar nichts davon ab,
>> weiterhin ipv4 zu verwenden. ;-)
> Bringt dir aber nix, wenn du mit dem Rest der Welt per IPv6
> kommunizieren willst.

Die Türe zum draußeren ipv6 netz versuche ich ja nun zu reparieren,
aber wie ich im Hause herumlaufe, wird halt für minimale Tipperei
optimiert.

Falls interne Ipv6 adressen ::2 - ::ff im home-LAN machbar
wären, dann wären sie kürzer als "10.x.y.z" und somit wieder
im Rennen. Für ssh auf localhost (z.B. zwecks user-wechsel)
verwend ich auch jetzt schon oft "::1" statt "localhost" - auf
anderen maschinen zumindest, weil daheim hat mein /etc/hosts
in der localhost zeile schon "l" als alias drin.

>> > Ich gebe gern wichtigen Rechnern einfache Adressen zusätzlich,
>> > z.B. dem Router "Präfix::1" und dem Nameserver "Präfix::53", damit
>> > ich bei irgendwelchen Störungen ohne großes Nachdenken die
>> > Adressen ohne Nachschlagen eingeben kann.
>> Sollte das dann auch mit präfix "::" (also ::53) oder fd00::53
>> im gesamten heimnetz funktionieren?
> Was genau meinst du?

Dass mir da schon das Merken des Präfix zuviel wäre... vor allem,
wenn ich vom Provider ja immerwiedermal einen anderen bekomme.

Darum der Gedanke, im LAN ein parallel-Netz mit "::x" einzurichten,
oder, falls technisch so nicht möglich, dann eben "1::x" mit dem
in Kauf genommenen Risiko, dass ich mal einen eventuellen echten
Host mit genau dieser Adressse dann nicht erreichen würde.
"fd00::x" ist ja schon an der Mehrtipp-Grenze, da "::" ja
drei keystrokes sind, zumindest auf deutschen Tastaturen.

[Marco Moock]

Am 18.08.2023 um 23:10:57 Uhr schrieb Andreas Leitgeb:

> Na dann bin ich neugierig, ob wir den Fehler finden...

Das RA sieht ok aus.

Nun ip a
ip -6 route show

[Marco Moock]

Am 19.08.2023 um 00:25:03 Uhr schrieb Andreas Leitgeb:

> Marco Moock <mo...@posteo.de> wrote:
> > Am 18.08.2023 um 11:25:50 Uhr schrieb Andreas Leitgeb:

> >> Ich hab den Eindruck, die Zeit der Kinderkrankheiten ist für ipv6
> >> noch nicht vorbei.
>
> Hab mich falsch ausgedrückt... nicht für ipv6 an sich, sondern für
> ipv6 unter Ubuntu... mit den je nach distro-version üblichen tools.

Kann ich nicht bestätigen, Ubuntu wird auch woanders massenhaft
benutzt. Es ist eher kein generelles Problem.

> > Ich vermute da eher Konfigurationsprobleme oder ganz häufige Wechsel
> > des Präfixes.
>
> Da könnt was dran sein... wenn ich die liste sortiere, sehe ich
> dass da 8 verschiedene Präfixe vorkommen, und zu jedem davon
> gabs 8 adressen. (Wie es zuletzt bei den 65 Adressen war, habe
> ich damals leider nicht gespeichert...)

Dann entferne die mal bitte. Ggf. war da auch die Gültigkeit vom RA
sehr lange.

Gültigkeitszeit : endlos (0xffffffff)
Wunschzeit : endlos (0xffffffff)

Das ist dann wohl eindeutig Sache des Routers, schau mal, ob man da was
einstellen kann.
Problem: Wenn sich das Präfix ändert, bleiben die alten Adressen, wenn
kein Neustart stattfinden. Dann funktionieren die aber nicht mehr.

> Falls interne Ipv6 adressen ::2 - ::ff im home-LAN machbar
> wären, dann wären sie kürzer als "10.x.y.z" und somit wieder
> im Rennen.

Würde gehen mit fd00::/64.

> >> > Ich gebe gern wichtigen Rechnern einfache Adressen zusätzlich,
> >> > z.B. dem Router "Präfix::1" und dem Nameserver "Präfix::53",
> >> > damit ich bei irgendwelchen Störungen ohne großes Nachdenken die
> >> > Adressen ohne Nachschlagen eingeben kann.
> >> Sollte das dann auch mit präfix "::" (also ::53) oder fd00::53
> >> im gesamten heimnetz funktionieren?
> > Was genau meinst du?
>
> Dass mir da schon das Merken des Präfix zuviel wäre... vor allem,
> wenn ich vom Provider ja immerwiedermal einen anderen bekomme.

Ich habe mir deswegen einen ISP gesucht, bei dem ich ein festes /48

bekomme.

> Darum der Gedanke, im LAN ein parallel-Netz mit "::x" einzurichten,
> oder, falls technisch so nicht möglich, dann eben "1::x" mit dem
> in Kauf genommenen Risiko, dass ich mal einen eventuellen echten
> Host mit genau dieser Adressse dann nicht erreichen würde.
> "fd00::x" ist ja schon an der Mehrtipp-Grenze, da "::" ja
> drei keystrokes sind, zumindest auf deutschen Tastaturen.

Das sind wohl Luxusprobleme...

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 18.08.2023 um 23:10:57 Uhr schrieb Andreas Leitgeb:
>> Na dann bin ich neugierig, ob wir den Fehler finden...
> Das RA sieht ok aus.
> Nun ip a

ich hab noch -6 dazugenommen... wäre es um die ipv4-zeilen
auch gegangen?

Zensur-legende:
xxxx: die bits 16-64 des vom provider kommenden Präfix
zzzz: die letzten 48 bits der Router-ip
*: die (volatilen) hinteren 48 bits der rechner-ip-adressen.
(vormals yyyy, als es davon erst eine gab)
Die physischen devices heißen auf den rechnern nicht wirklich eth0.

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
inet6 2001:xxxx:xxxx:xxxx:7ea4:*/64 scope global temporary dynamic
valid_lft 604786sec preferred_lft 86363sec
inet6 2001:xxxx:xxxx:xxxx:c9e8:*/64 scope global mngtmpaddr noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::400c:*/64 scope link noprefixroute
valid_lft forever preferred_lft forever

> ip -6 route show

::1 dev lo proto kernel metric 256 pref medium

fe80::/64 dev eth0 proto kernel metric 1024 pref medium

Die (von mir letztens manuell ergänzte) route kam
nach dem dis-/re-connect aber NICHT automatisch:

default via fe80::cabf:zzzz:zzzz:zzzz dev eth0 metric 1 pref medium

Soeben habe ich aber eine Überraschung... ich hab nun bei meinem
anderen Rechner (also dem, wo bisher nur der router per ipv6 pingbar
war, aber trotz meiner selber gesetzten dflt-route nix von außen)
auch mal die verbindung dis/re-connected, und dort scheint
beim "ip -6 r s" jetzt plötzlich folgendes auf:

::1 dev lo proto kernel metric 256 pref medium

2001:xxxx:xxxx:xxxx::/64 dev eth0 proto ra metric 100 pref medium
fe80::/64 dev eth0 proto kernel metric 1024 pref medium
default proto ra metric 100 pref high
nexthop via fe80::1 dev eth0 weight 1
nexthop via fe80::cabf:zzzz:zzzz:zzzz dev eth0 weight 1

Der andere Rechner hat jetzt also zusätzlich:
- eine route mit dem aktuellen provider-Präfix,
- diesen drei-zeiligen "default"-block mit "nexthop", aber
auch weiterhin über die link-local adresse fe80:...

Mit dieser Neuerung kommt der jetzt auch über ipv6 nach draußen.

(beim ersten Rechner hab ich das schon zigmal gemacht, mit dem
einzigen Effekt, dass stets nur meine manuelle Route ersatzlos
verschwindet.)

[Marco Moock]

Am 21.08.2023 um 09:00:43 Uhr schrieb Andreas Leitgeb:

> (beim ersten Rechner hab ich das schon zigmal gemacht, mit dem
> einzigen Effekt, dass stets nur meine manuelle Route ersatzlos
> verschwindet.)

Boote den mal bitte mit einem Live-Ubuntu 22.04, nur zum Test.
Kannst du beim installierten System mal schauen, ob Kernel-Parameter
gesetzt sind, die IPv6 beeinflussen?

Die Verbindung steht bei IPv6 auf "Automatisch" und NICHT auf
Automatisch (nur DHCP) oder Automatisch (nur Adressen)?

Verwaltet der NM auch wirklich diese Verbindung?
Ist diese auch aktiv oder ggf. ein anderes Verbindungsprofil?

[Andreas Leitgeb]

Marco Moock <mo...@posteo.de> wrote:
> Am 21.08.2023 um 09:00:43 Uhr schrieb Andreas Leitgeb:
>> (beim ersten Rechner hab ich das schon zigmal gemacht, mit dem
>> einzigen Effekt, dass stets nur meine manuelle Route ersatzlos
>> verschwindet.)
> Boote den mal bitte mit einem Live-Ubuntu 22.04, nur zum Test.

Hat sich jetzt aufgeklärt. :-)

Letzte Schritte zur Lösung:

Habe jetzt zwischendurch mal einen Laptop ins home-LAN
eingehängt (bis dahin war dieser immer nur über einen eigenen
HotSpot im Netz), die ipv4 auf manuell (mit einer frischen
LAN-adresse) und siehe da, ipv6 ging da auch gleich mit
korrekt gesetzter default-route.

Als nächstes habe ich doch mal die letztens neu erstellte test-
verbindung aktiviert, und nur zusätzlich noch ipv4 auf manuell
mit adresse ... und ipv6 ging!

Jetzt musste ich also nur noch schauen, worin sich meine alten und
neuen Ethernet-profile im NetworkManager wirklich unterscheiden,
obwohl im GUI ja "alles gleich aussah".

Hab die profile dann in /etc/NetworkManager/system-connections
gefunden... und ... die Unterschiedliche Option war eine,
die (im Nachhinein betrachtet), wohl unter den "Routen" zu
sehen hätte sein müssen: "Automatisch bezogene Routen ignorieren"
Dass ich beim Vergleich nicht auch zu den Routen geschaut habe,
wo mir das Hakerl wahrscheinlich doch aufgefallen wäre, ist mir
jetzt schon etwas peinlich :-}

Also danke nochmal für die Hilfe, und für die vielen Infos rund
um ipv6.

Auch wenn noch kein hungriger Löwe auf der Terrasse steht, ist
es gut, wenn die Vordertür auch wieder funktioniert.

[Christoph 'Mehdorn' Weber]

Hallo!

* Andreas Leitgeb <a...@logic.at>:

> Christoph 'Mehdorn' Weber <spam...@das-mehdorn.de> wrote:
>> * Andreas Leitgeb <a...@logic.at>:

>> Dafür hab ich einfach einen lokalen Nameserver.
> Ja, der resolved aus dem systemd zickt so oft, dass ich meistens
> nur mit /etc/hosts und manuell überschriebenem /etc/resolv.conf
> arbeite.

Wie du den Nameserver befragst, spricht erst mal nicht gegen
einen lokalen Nameserver.

Hast du schon mal "resolvectl" nach dem Status befragt? Das war
recht hilfreich, um zu sehen, was der so treibt, als ich ihn auf
Arbeit konfiguriert hatte. Ansonsten benutze ich ihn bisher nicht.

>> Jein. Meist macht man SLAAC, d.h. der Router verteilt per
>> Router-Advertisement das Netz (konkret das Präfix) und die Clients
>> suchen sich in dem Bereich automatisch eine freie Adresse.
>> Wechselt die Provider-Adresse, schwenken die automatisch um.
> Und welchen nameserver verwendest du für diese "hoch-volatilen"
> adressen?

Gar keinen, das gelegentliche Provider-Praefix hab ich nicht
im DNS. Und fuer den internen Bereich fd00 benutze ich schlicht
dnsmasq und ein Script, was mir die MAC-basierte SLAAC-Adresse
ausrechnet und eintraegt, waehrend fuer IPv4 auf Basis der
MAC-Adresse gleichzeitig noch ein statisches DHCP-Lease erstellt
wird.

> Hab jetzt mal auf meinen anderen rechner (auch Ubuntu 22.04) geschaut,
> der hat - wohl seit meinen jüngsten aktionen am router - schon 65
> ipv6-adressen angesammelt...

Kann durchaus normal sein. Ein aktuell wenig genutzter
Heimrechner hat aktivierte Privacy Extensions und gerade 14
v6-Adressen.

>> Es ist auch nicht unüblich, daß ein Rechner mehrere Adressen im
>> selben Subnetz hat. Ein Stichwort wäre da "Privacy Extensions",
>> bei denen für ausgehende Verbindungen zufällige Suffixe gewürfelt
>> werden, weil die von SLAAC häufig auf der MAC-Adresse basieren und
>> somit zu einem gewissen Grad Tracking erlauben.
>
> Verglichen damit ist ja dann selbst NAT noch einfach handzuhaben.

Och, viel mehr als Ein-/Ausschalten muss man bei den "Privacy
Extensions" nicht konfigurieren (mit
net.ipv6.conf.$iface.use_tempaddr). Unterschieden wird zwischen
<=0 (deaktiviert), =1 (aktiv, aber nicht bevorzugt) oder >1 (aktiv
und bevorzugt). Und die Einstellung =1 ist IMO eher exotisch.

> Da braucht es keine Zufallsadressen, sondern alles maskiert sich
> nach außen als wärs der Router selbst.

Dafuer wird es nur mit NAT fummelig, wenn man von aussen auf
einen Dienst innen zugreifen will.

> Sollte das dann auch mit präfix "::" (also ::53) oder fd00::53
> im gesamten heimnetz funktionieren?

Bei :: weiss ich es nicht und waere vorsichtig, aber fd::53
sollte eine ganz normale gueltige Adresse im privaten Bereich
sein.

> Beide können sie zwar den router über fe80::cabf:zzzz:zzzz:zzzz%eth0
> pingen, und beide haben sie eine default-route:
> default via fe80::cabf:zzzz:zzzz:zzzz dev eth0 metric 1 pref medium
> aber weiter gehts nur bei einem der 2 Rechner. Der andere ignoriert
> die ipv6-route, wie per traceroute6 zu erkennen.

Du kannst im sysctl mal schauen, ob accept_ra fuer die
Interfaces passend eingestellt ist. Da gibt es drei Werte:

0 - nicht akzeptieren (dann musst du es manuell einrichten)
1 - nur akzeptieren, wenn IP-Forwarding abgeschaltet ist
2 - immer akzeptieren

Ausserdem kann man explizit abschalten, ob der Default-Router
aus dem RA uebernommen werden soll (accept_ra_defrtr), bzw.
weitere Praefixe/Routen (accept_ra_pinfo).

>> Außerdem kann man ::53
>> leicht umziehen, wenn (nur) der DNS-Server migriert werden sollte.
> ui, da hast mich jetzt doch noch verloren... Ich kapiers nicht.

Sagen wir, dein dnsmasq laeuft auf Rechner A, der hat
die Adresse fd00::affe:1234, und fuer den Nameserver zusaetzlich
fd00::53. Den willst du jetzt in den Ruhestand schicken, und der
Nameserver soll kuenftig auf Rechner B mit fd00::dead:beef laufen.
Statt jetzt alle Clients von fd00::affe:1234 auf fd00::dead:beef
umzustellen, nimmst du bei A lediglich fd00::53 weg und gibst es
Rechner B.

>> (Eine eigene IPv6-Adresse pro Dienst ist gar nicht so unüblich.)
> ja. hat sich ja schon der resolved für ipv4 meist auf 127.0.0.53 gebunden.

Na ja, 127/8 ist sowieso ein Spezialfall auf Linux. Da kann man
sogar Adressen anpingen, die man vorher gar nicht auf dem
Interface konfiguriert hat.

Christoph

--
Eine Orgel ist nicht einfach eine Ansammlung einzelner perfekter
Pfeifen in einem unendlichen, echolosen Raum. --
Das mit der Ansammlung perfekter Pfeifen erinnert mich an die Firma
im Stockwerk ueber uns ... (Juergen P. Meier, Gabriele Conrad)

[Marco Moock]

Am 21.08.2023 um 18:50:35 Uhr schrieb Christoph 'Mehdorn' Weber:

> * Andreas Leitgeb <a...@logic.at>:

> Kann durchaus normal sein. Ein aktuell wenig genutzter
> Heimrechner hat aktivierte Privacy Extensions und gerade 14
> v6-Adressen.

Bei ihm ist das RA schuld. Wenn die Lifetime halt unendlich für das
Präfix ist, macht der Rechner das. Wenn der dann Wochen läuft...

> Och, viel mehr als Ein-/Ausschalten muss man bei den "Privacy
> Extensions" nicht konfigurieren (mit
> net.ipv6.conf.$iface.use_tempaddr). Unterschieden wird zwischen
> <=0 (deaktiviert), =1 (aktiv, aber nicht bevorzugt) oder >1 (aktiv
> und bevorzugt). Und die Einstellung =1 ist IMO eher exotisch.

Das gilt aber nur für den Kernel, nutzt man den NM muss man das da
konfigurieren.

> > Da braucht es keine Zufallsadressen, sondern alles maskiert sich
> > nach außen als wärs der Router selbst.
>
> Dafuer wird es nur mit NAT fummelig, wenn man von aussen auf
> einen Dienst innen zugreifen will.

Und vor allem unnötig, es gibt viel bessere Methoden zum Tracking der
User als IP-Adressen.

> > Sollte das dann auch mit präfix "::" (also ::53) oder fd00::53
> > im gesamten heimnetz funktionieren?
>
> Bei :: weiss ich es nicht und waere vorsichtig, aber fd::53
> sollte eine ganz normale gueltige Adresse im privaten Bereich
> sein.

::/64 ist nicht dafür vorgesehen. fd00::/8 ist ULA und für die
unkoordinierte rein private Nutzung vorgesehen.

> > Beide können sie zwar den router über fe80::cabf:zzzz:zzzz:zzzz%eth0
> > pingen, und beide haben sie eine default-route:
> > default via fe80::cabf:zzzz:zzzz:zzzz dev eth0 metric 1 pref
> > medium aber weiter gehts nur bei einem der 2 Rechner. Der andere
> > ignoriert die ipv6-route, wie per traceroute6 zu erkennen.
>
> Du kannst im sysctl mal schauen, ob accept_ra fuer die
> Interfaces passend eingestellt ist. Da gibt es drei Werte:

Es war im NM abgestellt, die Defaultroute zu akzeptieren, was man
natürlich erst selbst so einstellen muss.

> Ausserdem kann man explizit abschalten, ob der Default-Router
> aus dem RA uebernommen werden soll (accept_ra_defrtr), bzw.
> weitere Praefixe/Routen (accept_ra_pinfo).

Gilt aber ebenfalls nur für den Kernel, falls man den NM nutzt, muss
man es da einstellen.

> >> (Eine eigene IPv6-Adresse pro Dienst ist gar nicht so unüblich.)
> > ja. hat sich ja schon der resolved für ipv4 meist auf 127.0.0.53
> > gebunden.
>
> Na ja, 127/8 ist sowieso ein Spezialfall auf Linux. Da kann man
> sogar Adressen anpingen, die man vorher gar nicht auf dem
> Interface konfiguriert hat.

Das ist eine Eigenschaft von lo für IPv4.
Geht mit "sudo ip addr add 172.16.0.1/16 dev lo" genauso.

Bei IPv6 geht das nicht:
m@ryz:~$ sudo ip addr add fec0::/16 dev lo
m@ryz:~$ ping fec0::
PING fec0::(fec0::) 56 data bytes
64 bytes from fec0::: icmp_seq=1 ttl=64 time=0.041 ms
^C
--- fec0:: ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.041/0.041/0.041/0.000 ms
m@ryz:~$ ping fec0::4
PING fec0::4(fec0::4) 56 data bytes
From fec0:: icmp_seq=1 Destination unreachable: No route
From fec0:: icmp_seq=2 Destination unreachable: No route
^C
--- fec0::4 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time
1023ms

m@ryz:~$

Das sind aber alles theoretische Spielereien, die auf Produktivsystemen
nix verloren haben.

[Christoph 'Mehdorn' Weber]

Hallo!

* Marco Moock <mo...@posteo.de>:

> Bei ihm ist das RA schuld. Wenn die Lifetime halt unendlich für das
> Präfix ist, macht der Rechner das. Wenn der dann Wochen läuft...

Vielmehr genau eine Woche, zumindest ist das der Default-Wert
von temp_valid_lft. Ausserdem mag noch interessant sein, dass
temp_prefered_lft normalerweise bei einem Tag liegt.

> Am 21.08.2023 um 18:50:35 Uhr schrieb Christoph 'Mehdorn' Weber:

>> Och, viel mehr als Ein-/Ausschalten muss man bei den "Privacy
>> Extensions" nicht konfigurieren (mit
>> net.ipv6.conf.$iface.use_tempaddr). Unterschieden wird zwischen
>> <=0 (deaktiviert), =1 (aktiv, aber nicht bevorzugt) oder >1 (aktiv
>> und bevorzugt). Und die Einstellung =1 ist IMO eher exotisch.
> Das gilt aber nur für den Kernel, nutzt man den NM muss man das da
> konfigurieren.

Ich bin ziemlich sicher, dass der auch nur mit Wasser kocht und
man trotzdem in /proc den Status sehen und ggf. ueberschreiben
kann. Aber mehr als "im Vorinstalliert-Fall schnell entfernen" hab
ich mit NM zugegebenermassen noch nicht gemacht.

Wie man die Lifetime der Default-Route selbst ueberschreiben
kann, finde ich auf die Schnelle allerdings nicht heraus.

Dafuer ist mir max_addresses aufgefallen, was normalerweise auf
16 steht (pro Interface) und vielleicht auch erklaert, warum ich
nur 14 Adressen hatte.

> Das sind aber alles theoretische Spielereien, die auf Produktivsystemen
> nix verloren haben.

Apropos Spielereien: Gruppenadressen wie ff02::1 sind auch
gelegentlich hilfreich, wenn ein neuer Host ins Netz kommt und
man dessen Adresse nicht kennt, aber er normal auf Ping reagiert.

Christoph

--
On the other hand, poor Samara -- transcoded to FLV. No one deserves that.

[Marco Moock]

Am 28.08.2023 um 18:25:43 Uhr schrieb Christoph 'Mehdorn' Weber:

> * Marco Moock <mo...@posteo.de>:
>
> > Bei ihm ist das RA schuld. Wenn die Lifetime halt unendlich für das
> > Präfix ist, macht der Rechner das. Wenn der dann Wochen läuft...
>
> Vielmehr genau eine Woche, zumindest ist das der Default-Wert
> von temp_valid_lft. Ausserdem mag noch interessant sein, dass
> temp_prefered_lft normalerweise bei einem Tag liegt.

Message-ID: <slrnudvuk...@logic.at>
Die Ausgabe sagt was anderes:

Präfix : 2001:xxxx:xxxx:xxxx::/64
On-link : Ja
Selbständige Adresskonf.: Ja

Gültigkeitszeit : endlos (0xffffffff)
Wunschzeit : endlos (0xffffffff)

> > Am 21.08.2023 um 18:50:35 Uhr schrieb Christoph 'Mehdorn' Weber:
>
> >> Och, viel mehr als Ein-/Ausschalten muss man bei den "Privacy
> >> Extensions" nicht konfigurieren (mit
> >> net.ipv6.conf.$iface.use_tempaddr). Unterschieden wird zwischen
> >> <=0 (deaktiviert), =1 (aktiv, aber nicht bevorzugt) oder >1 (aktiv
> >> und bevorzugt). Und die Einstellung =1 ist IMO eher exotisch.
> > Das gilt aber nur für den Kernel, nutzt man den NM muss man das da
> > konfigurieren.
>
> Ich bin ziemlich sicher, dass der auch nur mit Wasser kocht und
> man trotzdem in /proc den Status sehen und ggf. ueberschreiben
> kann. Aber mehr als "im Vorinstalliert-Fall schnell entfernen" hab
> ich mit NM zugegebenermassen noch nicht gemacht.

Der NM machst das meines Wissens alles selbst, ich bin da aber nicht im
Detail drin, gerne können wir das in einem anderen Thread diskutieren.

> Wie man die Lifetime der Default-Route selbst ueberschreiben
> kann, finde ich auf die Schnelle allerdings nicht heraus.

Die sit nicht das Problem (die link-local des Routers wird sich nicht
ändern), sondern die Lifetime des Präfix.

> > Das sind aber alles theoretische Spielereien, die auf
> > Produktivsystemen nix verloren haben.
>
> Apropos Spielereien: Gruppenadressen wie ff02::1 sind auch
> gelegentlich hilfreich, wenn ein neuer Host ins Netz kommt und
> man dessen Adresse nicht kennt, aber er normal auf Ping reagiert.

Das ist aber im Standard so vorgesehen, meine Tests mit dem
lo-Interface sind es nicht. :-)