info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Groups keyboard shortcuts have been updated
Dismiss
See shortcuts
IPv6-Routing: 2000::/3 statt ::/0
2 views
Skip to first unread message
Marco Moock
May 12, 2022, 12:04:57 AM5/12/22
to
Hallo zusammen,
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
hier werden die Adressbereiche von IPv6 genannt.
Global Unicast (global geroutet) ist ja 2000::/3.
Wäre es da bei einem Router daheim nicht völlig ausreichend, die Route
2000:/3 via <IP vom Provider-Router> einzutragen und auf eine
Standardroute zu verzichten?
Das muss selbstverständlich angepasst werden, wenn der GUA-Bereich
erweitert wird.
Da ja alle öffentlichen IPv6-Adressen in diesem Bereich liegen, müsste
das eigentlich ausreichen. Das link-local-Netz (und das GUA-Netz)
zwischen eigenem Router und dem Provider-Router muss natürlich auch
eingetragen sein, ist dann ja direkt verbunden.
So könnte man ohne Firewall verhindern, dass Pakete mit anderen Zielen
als GUA, wie z.B. site-local (fec0::/10 und fd00::/7) zum Provider
gelangen und der User würde über ein ICMP-Paket (no Route to Network)
informiert werden.
Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
Macht das jemand so?
--
Gruß
Marco
https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
hier werden die Adressbereiche von IPv6 genannt.
Global Unicast (global geroutet) ist ja 2000::/3.
Wäre es da bei einem Router daheim nicht völlig ausreichend, die Route
2000:/3 via <IP vom Provider-Router> einzutragen und auf eine
Standardroute zu verzichten?
Das muss selbstverständlich angepasst werden, wenn der GUA-Bereich
erweitert wird.
Da ja alle öffentlichen IPv6-Adressen in diesem Bereich liegen, müsste
das eigentlich ausreichen. Das link-local-Netz (und das GUA-Netz)
zwischen eigenem Router und dem Provider-Router muss natürlich auch
eingetragen sein, ist dann ja direkt verbunden.
So könnte man ohne Firewall verhindern, dass Pakete mit anderen Zielen
als GUA, wie z.B. site-local (fec0::/10 und fd00::/7) zum Provider
gelangen und der User würde über ein ICMP-Paket (no Route to Network)
informiert werden.
Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
Macht das jemand so?
--
Gruß
Marco
Marc Haber
May 12, 2022, 2:43:09 AM5/12/22
to
Marco Moock <mo...@posteo.de> wrote:
>Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
>Macht das jemand so?
Ich nehme 2000::/3 gerne als more specific, wenn ich eine vorhandene
>Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
>Macht das jemand so?
Defaultroute überschreiben möchte (z.B. in einen VPN-Tunnel hinein).
Dass ich damit ULAs ausschließe, ist mir bis eben nie aufgefallen.
Aber natürlich hast Du da Recht.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Marco Moock
May 12, 2022, 2:59:37 AM5/12/22
to
Am Thu, 12 May 2022 08:43:07 +0200
schrieb Marc Haber <mh+usene...@zugschl.us>:
> Marco Moock <mo...@posteo.de> wrote:
> >Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
> >Macht das jemand so?
>
> Ich nehme 2000::/3 gerne als more specific, wenn ich eine vorhandene
> Defaultroute überschreiben möchte (z.B. in einen VPN-Tunnel hinein).
> Dass ich damit ULAs ausschließe, ist mir bis eben nie aufgefallen.
> Aber natürlich hast Du da Recht.
Klar schließt man damit ULA aus, aber das ist in meinem Fall ja extra
so gewollt. Das hat im Normalfall beim Provider nix zu suchen und soll
daher gleich am Router blockiert werden. Zudem wird per ICMP darauf
aufmerksam gemacht, dass keine Route besteht, wenn das ULA-Netz nicht
lokal vorhanden und damit explizit in der Routingtabelle ist.
Spricht aber etwas dagegen, zum Provider nur 2000::/3 zu routen?
Ich habe bisher keinen Grund gefunden.
schrieb Marc Haber <mh+usene...@zugschl.us>:
> Marco Moock <mo...@posteo.de> wrote:
> >Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
> >Macht das jemand so?
>
> Ich nehme 2000::/3 gerne als more specific, wenn ich eine vorhandene
> Defaultroute überschreiben möchte (z.B. in einen VPN-Tunnel hinein).
> Dass ich damit ULAs ausschließe, ist mir bis eben nie aufgefallen.
> Aber natürlich hast Du da Recht.
so gewollt. Das hat im Normalfall beim Provider nix zu suchen und soll
daher gleich am Router blockiert werden. Zudem wird per ICMP darauf
aufmerksam gemacht, dass keine Route besteht, wenn das ULA-Netz nicht
lokal vorhanden und damit explizit in der Routingtabelle ist.
Spricht aber etwas dagegen, zum Provider nur 2000::/3 zu routen?
Ich habe bisher keinen Grund gefunden.
Friedemann Stoyan
May 12, 2022, 4:45:09 AM5/12/22
to
Marco Moock wrote:
> Spricht aber etwas dagegen, zum Provider nur 2000::/3 zu routen?
> Ich habe bisher keinen Grund gefunden.
Also mir fällt da auch nichts ein was dagegen spräche.
> Spricht aber etwas dagegen, zum Provider nur 2000::/3 zu routen?
> Ich habe bisher keinen Grund gefunden.
mfg Friedemann
Friedemann Stoyan
May 12, 2022, 4:48:50 AM5/12/22
to
Marco Moock wrote:
> Spricht aber etwas dagegen, zum Provider nur 2000::/3 zu routen?
> Ich habe bisher keinen Grund gefunden.
> Spricht aber etwas dagegen, zum Provider nur 2000::/3 zu routen?
> Ich habe bisher keinen Grund gefunden.
Also mir fällt da auch nichts ein was dagegen spräche.
Doch! Eine Sache:
Wenn Du was mit rule based routing machst, und Konstruktionen hast, die
"suppress_prefixlength 0" machen. Das fällt dann wahrscheinlich hin.
mfg Friedemann
Juergen Ilse
May 12, 2022, 6:08:07 AM5/12/22
to
Hallo,
Marco Moock <mo...@posteo.de> wrote:
> https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
> hier werden die Adressbereiche von IPv6 genannt.
> Global Unicast (global geroutet) ist ja 2000::/3.
> Wäre es da bei einem Router daheim nicht völlig ausreichend, die Route
> 2000:/3 via <IP vom Provider-Router> einzutragen und auf eine
> Standardroute zu verzichten?
Welchen Vorteil haettest du davon? Und das 2000::/3 (beachte bitte, dass es
hier *2* Doppelpunkte sein muessen, damit ein ipv6 subnet spezifiziert wird)
mal erweitert werden sollte, musst du nacharbeiten. Was hast du davon?
> Da ja alle öffentlichen IPv6-Adressen in diesem Bereich liegen, müsste
> das eigentlich ausreichen. Das link-local-Netz (und das GUA-Netz)
> zwischen eigenem Router und dem Provider-Router muss natürlich auch
> eingetragen sein, ist dann ja direkt verbunden.
link local wird von *keinem* korrekt implementierten IPv6 Router geroutet.
> So könnte man ohne Firewall verhindern, dass Pakete mit anderen Zielen
> als GUA, wie z.B. site-local (fec0::/10 und fd00::/7) zum Provider
> gelangen und der User würde über ein ICMP-Paket (no Route to Network)
> informiert werden.
Ich sehe *keinerlei* wirkliche Vorteile darin.
> Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
> Macht das jemand so?
Ich kann mir nicht vorstellen, dass das jemand mit Ahnung von IPv6 so macht.
Stueckelst du deine IPv4 Routen auh mittels einem Rudel Einzelrouten auf
die global gerouteten Netzwerkbloeccke zusaammen (und nimmst damit z.B.
RFC1918-, APIPA- und andere reserved Adressbereiche aus? Wenn nein, warum
nicht?).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Marco Moock <mo...@posteo.de> wrote:
> https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
> hier werden die Adressbereiche von IPv6 genannt.
> Global Unicast (global geroutet) ist ja 2000::/3.
> Wäre es da bei einem Router daheim nicht völlig ausreichend, die Route
> 2000:/3 via <IP vom Provider-Router> einzutragen und auf eine
> Standardroute zu verzichten?
hier *2* Doppelpunkte sein muessen, damit ein ipv6 subnet spezifiziert wird)
mal erweitert werden sollte, musst du nacharbeiten. Was hast du davon?
> Da ja alle öffentlichen IPv6-Adressen in diesem Bereich liegen, müsste
> das eigentlich ausreichen. Das link-local-Netz (und das GUA-Netz)
> zwischen eigenem Router und dem Provider-Router muss natürlich auch
> eingetragen sein, ist dann ja direkt verbunden.
> So könnte man ohne Firewall verhindern, dass Pakete mit anderen Zielen
> als GUA, wie z.B. site-local (fec0::/10 und fd00::/7) zum Provider
> gelangen und der User würde über ein ICMP-Paket (no Route to Network)
> informiert werden.
> Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
> Macht das jemand so?
Stueckelst du deine IPv4 Routen auh mittels einem Rudel Einzelrouten auf
die global gerouteten Netzwerkbloeccke zusaammen (und nimmst damit z.B.
RFC1918-, APIPA- und andere reserved Adressbereiche aus? Wenn nein, warum
nicht?).
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
Marco Moock
May 12, 2022, 6:35:23 AM5/12/22
to
Am 12 May 2022 10:08:05 GMT
schrieb Juergen Ilse <ne...@usenet-verwaltung.de>:
> Marco Moock <mo...@posteo.de> wrote:
> > https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
> > hier werden die Adressbereiche von IPv6 genannt.
> > Global Unicast (global geroutet) ist ja 2000::/3.
> > Wäre es da bei einem Router daheim nicht völlig ausreichend, die
> > Route 2000:/3 via <IP vom Provider-Router> einzutragen und auf eine
> > Standardroute zu verzichten?
>
> Welchen Vorteil haettest du davon? Und das 2000::/3 (beachte bitte,
> dass es hier *2* Doppelpunkte sein muessen, damit ein ipv6 subnet
> spezifiziert wird) mal erweitert werden sollte, musst du
> nacharbeiten. Was hast du davon?
Das mit dem fehlenden Doppelpunkt war ein Tippfehler.
Der Aufwand, das zu erweitern ist m.E. kleiner als der ständige Aufwand
der FW, die Ziel-Adresse zu überprüfen. Das eine mache ich manuell, das
andere macht zwar die FW, dafür aber ständig, was dann bei hohem
Paketaufkommen und schwacher Hardware auf die Latenz geht. Das merkt
man z.B. bei älteren Cisco-Routern deutlich. Daher hat man da gerne
weniger FW-Regeln. Man könnte zwar damit leben, dass dann Pakete mit
nicht-globalen IPv6-Adressen ins Providernetz gelangen, aber der hat ja
das gleiche Problem und eigentlich will man nicht, dass solche Pakete
das eigene Netz verlassen.
> > Da ja alle öffentlichen IPv6-Adressen in diesem Bereich liegen,
> > müsste das eigentlich ausreichen. Das link-local-Netz (und das
> > GUA-Netz) zwischen eigenem Router und dem Provider-Router muss
> > natürlich auch eingetragen sein, ist dann ja direkt verbunden.
>
> link local wird von *keinem* korrekt implementierten IPv6 Router
> geroutet.
Richtig, aber ein link-local-Netz ist immer in der Routingtabelle und
immer direkt verbunden, daher habe ich das erwähnt.
> > So könnte man ohne Firewall verhindern, dass Pakete mit anderen
> > Zielen als GUA, wie z.B. site-local (fec0::/10 und fd00::/7) zum
> > Provider gelangen und der User würde über ein ICMP-Paket (no Route
> > to Network) informiert werden.
>
> Ich sehe *keinerlei* wirkliche Vorteile darin.
Der Vorteil wäre, dass hier a) keine FW-Regel für die Zieladresse
erforderlich ist (u.a. gut für Performance) und b) der Absender per ICMP
informiert wird, dass keine Route zu diesem Netz besteht. Finde ich
irgendwie sinnvoller als die Pakete zu droppen, weil dann der Absender
mitbekommt, was Sache ist und nicht denkt, dass das Paket verloren
gegangen ist und es daher nicht mehrfach versucht.
> > Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
> > Macht das jemand so?
>
> Ich kann mir nicht vorstellen, dass das jemand mit Ahnung von IPv6 so
> macht. Stueckelst du deine IPv4 Routen auh mittels einem Rudel
> Einzelrouten auf die global gerouteten Netzwerkbloeccke zusaammen
> (und nimmst damit z.B. RFC1918-, APIPA- und andere reserved
> Adressbereiche aus? Wenn nein, warum nicht?).
Nein, das tue ich nicht, weil der Aufwand hier viel zu groß wäre. Bei
IPv6 ist aber der Aufwand extrem klein (nur ein Eintrag). Sollte der
Bereich mal vergrößert werden, wird man das sicher früh genug
mitbekommen und kann die Routingtabelle dann anpassen. Das wird aber
vermutlich noch Jahre dauern.
--
Gruß
Marco
schrieb Juergen Ilse <ne...@usenet-verwaltung.de>:
> Marco Moock <mo...@posteo.de> wrote:
> > https://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xml
> > hier werden die Adressbereiche von IPv6 genannt.
> > Global Unicast (global geroutet) ist ja 2000::/3.
> > Wäre es da bei einem Router daheim nicht völlig ausreichend, die
> > Route 2000:/3 via <IP vom Provider-Router> einzutragen und auf eine
> > Standardroute zu verzichten?
>
> Welchen Vorteil haettest du davon? Und das 2000::/3 (beachte bitte,
> dass es hier *2* Doppelpunkte sein muessen, damit ein ipv6 subnet
> spezifiziert wird) mal erweitert werden sollte, musst du
> nacharbeiten. Was hast du davon?
Der Aufwand, das zu erweitern ist m.E. kleiner als der ständige Aufwand
der FW, die Ziel-Adresse zu überprüfen. Das eine mache ich manuell, das
andere macht zwar die FW, dafür aber ständig, was dann bei hohem
Paketaufkommen und schwacher Hardware auf die Latenz geht. Das merkt
man z.B. bei älteren Cisco-Routern deutlich. Daher hat man da gerne
weniger FW-Regeln. Man könnte zwar damit leben, dass dann Pakete mit
nicht-globalen IPv6-Adressen ins Providernetz gelangen, aber der hat ja
das gleiche Problem und eigentlich will man nicht, dass solche Pakete
das eigene Netz verlassen.
> > Da ja alle öffentlichen IPv6-Adressen in diesem Bereich liegen,
> > müsste das eigentlich ausreichen. Das link-local-Netz (und das
> > GUA-Netz) zwischen eigenem Router und dem Provider-Router muss
> > natürlich auch eingetragen sein, ist dann ja direkt verbunden.
>
> link local wird von *keinem* korrekt implementierten IPv6 Router
> geroutet.
immer direkt verbunden, daher habe ich das erwähnt.
> > So könnte man ohne Firewall verhindern, dass Pakete mit anderen
> > Zielen als GUA, wie z.B. site-local (fec0::/10 und fd00::/7) zum
> > Provider gelangen und der User würde über ein ICMP-Paket (no Route
> > to Network) informiert werden.
>
> Ich sehe *keinerlei* wirkliche Vorteile darin.
erforderlich ist (u.a. gut für Performance) und b) der Absender per ICMP
informiert wird, dass keine Route zu diesem Netz besteht. Finde ich
irgendwie sinnvoller als die Pakete zu droppen, weil dann der Absender
mitbekommt, was Sache ist und nicht denkt, dass das Paket verloren
gegangen ist und es daher nicht mehrfach versucht.
> > Spricht da was dagegen (ich habe gerade dafür keine Testumgebung)?
> > Macht das jemand so?
>
> Ich kann mir nicht vorstellen, dass das jemand mit Ahnung von IPv6 so
> macht. Stueckelst du deine IPv4 Routen auh mittels einem Rudel
> Einzelrouten auf die global gerouteten Netzwerkbloeccke zusaammen
> (und nimmst damit z.B. RFC1918-, APIPA- und andere reserved
> Adressbereiche aus? Wenn nein, warum nicht?).
IPv6 ist aber der Aufwand extrem klein (nur ein Eintrag). Sollte der
Bereich mal vergrößert werden, wird man das sicher früh genug
mitbekommen und kann die Routingtabelle dann anpassen. Das wird aber
vermutlich noch Jahre dauern.
--
Gruß
Marco
Laurenz Trossel
May 12, 2022, 12:27:10 PM5/12/22
to
On 2022-05-12, Marco Moock <mo...@posteo.de> wrote:
> Nein, das tue ich nicht, weil der Aufwand hier viel zu groß wäre. Bei
> IPv6 ist aber der Aufwand extrem klein (nur ein Eintrag). Sollte der
> Bereich mal vergrößert werden, wird man das sicher früh genug
> mitbekommen und kann die Routingtabelle dann anpassen. Das wird aber
> vermutlich noch Jahre dauern.
Ja, super. Genau diese Einstellung führt dazu, daß die IPv6 Range praktisch
> Nein, das tue ich nicht, weil der Aufwand hier viel zu groß wäre. Bei
> IPv6 ist aber der Aufwand extrem klein (nur ein Eintrag). Sollte der
> Bereich mal vergrößert werden, wird man das sicher früh genug
> mitbekommen und kann die Routingtabelle dann anpassen. Das wird aber
> vermutlich noch Jahre dauern.
nie vergrößert werden kann weil es Jahrzehnte bräuchte, bis der letzte
Router angepasst wurde.
Wenn deine Firewall zu schwach ist, eine weitere Filterregel zu
verarbeiten, dann wäre jetzt ein guter Zeitpunkt, bessere Hardware
anzuschaffen.
Marco Moock
May 12, 2022, 3:12:57 PM5/12/22
to
Am Donnerstag, 12. Mai 2022, um 16:27:09 Uhr schrieb Laurenz Trossel:
> Ja, super. Genau diese Einstellung führt dazu, daß die IPv6 Range
> praktisch nie vergrößert werden kann weil es Jahrzehnte bräuchte, bis
> der letzte Router angepasst wurde.
Das wäre wohl der einzige Nachteil. Ich vermute jedoch, dass dies kein
> Ja, super. Genau diese Einstellung führt dazu, daß die IPv6 Range
> praktisch nie vergrößert werden kann weil es Jahrzehnte bräuchte, bis
> der letzte Router angepasst wurde.
so großes Problem wäre, denn einerseits ist der aktuelle
GUA-Adressbereich schon recht groß bemessen, andererseits gibt es das
gleiche Problem wenn ich in der FW eine Whitelist konfiguriere, die als
Ziel nur 2000::/3 zulässt. Zudem werden solche Änderungen ja
angekündigt und heise & Co werden da sicher drüber berichten. Eine
andere Option wäre, die site-local-Netze fd00::/7 und fec0::/10
mithilfe des discard-Prefixes ins Nirvana zu routen. Es wäre dann auch
kein Problem, wenn man Teilnetze (z.B. fd00:1234:abcd::/64) dieser
nutzt, da ja im Normalfall longest prefix matching gilt und daher die
Route zum genutzten Netz bevorzugt würde.
> Wenn deine Firewall zu schwach ist, eine weitere Filterregel zu
> verarbeiten, dann wäre jetzt ein guter Zeitpunkt, bessere Hardware
> anzuschaffen.
durchaus finanzielle Gründe, dies nicht zu tun.
Die Frage wäre (müsste man testen), ob da die Methode mit der
Routing-Tabelle oder mit der FW performanter ist. Ich tippe auf die
Routing-Tabelle, müsste das aber in der Praxis wirklich testen.
Juergen Ilse
May 12, 2022, 8:53:31 PM5/12/22
to
meienr Erfahrung nach kaum relevant sein. Bei Routern duerfte "blackhole
routing" und reverse-path-filtering (solange vom Router ausreichend fuer
den jeweiligen Anwendungsfall unterstuetzt) *erheblich* effektiver als
access-listen sein. Manche Cisco IOS Firmware hatte dieMacke, dass "inpect"
Regeln fuer IPv6 z.T. zu erheblichen Performanceverlusten fuehrte (einige
IOS 12.x Versionen). "inspect" Regeln (fuer "stateful filternig") bremsen
aber auch sonst vermutlich den Router gegenueber einfachen ACLs erheblich
aus.
Tschuess,
Juergen Ilse (juergequsenet-verwaltung.de)
0 new messages