Metronet - Avantgarde der IPv4-Welt

[Ignatios Souvatzis]

Ach, was haben wir in meiner Jugend die armen Metronetter bedauert,
dass sie in ihrem 10er-Netz gefangen waren!

Dabei war doch Metronet die Avantgarde der Branche und den
Mitwettbewerbern um Jahrzehnte voraus, die erst in den letzten
Jahren Carrier-Grade NAT eingeführt haben!


reumütig,
-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor

[Marco Moock]

Am 09.11.2022 um 19:19:28 Uhr schrieb Ignatios Souvatzis:

> Ach, was haben wir in meiner Jugend die armen Metronetter bedauert,
> dass sie in ihrem 10er-Netz gefangen waren!
>
> Dabei war doch Metronet die Avantgarde der Branche und den
> Mitwettbewerbern um Jahrzehnte voraus, die erst in den letzten
> Jahren Carrier-Grade NAT eingeführt haben!

Heute kann man Leute bedauern, die in IPv4 gefangen sind und keine
IPv6-Hosts erreichen können. Mit oder ohne CG-NAT.

[Arno Welzel]

Marco Moock, 2022-11-09 20:39:

Gibr es schon bedeutendere IPv6-Hosts, die nicht auch über IPv4
verfügen? Bisher habe ich das eher umgekehrt erlebt.


--
Arno Welzel
https://arnowelzel.de

[Marco Moock]

Am 11.11.2022 um 20:48:54 Uhr schrieb Arno Welzel:

> Gibr es schon bedeutendere IPv6-Hosts, die nicht auch über IPv4
> verfügen? Bisher habe ich das eher umgekehrt erlebt.

Leider nicht, aber da wir noch so viele IPv6-Verweigerer haben, wird
das leider noch für längere Zeit so bleiben und man muss noch seine
Server per IPv4 erreichbar machen.

[Marco Moock]

Am 11.11.2022 um 21:14:57 Uhr schrieb Ralf Kiefer:

> Arno Welzel wrote:
>
> > Gibr es schon bedeutendere IPv6-Hosts, die nicht auch über IPv4
> > verfügen?
>

> Mein Web-Space ist über beide erreichbar (bei Hetzner). Schaue ich ins
> Logfile, sehe ich eine unbedeutende Minderheit, die mit IPv6 ankommt.
> Mit IPv4 kommen insbesondere die, die zuhauf nicht vorhandene Dateien
> abholen wollen.

Es kommt auf die Zielgruppe an. Sind die Zielgruppe eher Länder, in
denen IPv6 wenig verbreitet ist oder Firmen (auch da ist IPv6 noch
wenig verbreitet, faulte Admins halt).

Angriffe kommen meist per IPv4, weil man da den gesamten Bereich so
schön scannen kann.

SSH-Server lass ich wenn möglich gar nicht mehr auf IPv4 lauschen, dann
hat man weitestgehend Ruhe vor Brute-Force.

[Marco Moock]

Am 12.11.2022 um 00:33:59 Uhr schrieb Andreas Kohlbach:

> Persönlich gut. Ich bekomme schon Kopfschmerzen, wenn ich nur auf eine
> IPv6-Adresse schaue.

Von DNS hast du schon gehört?
Von Mathe auch?
Der IPv4-Adressbereich sit halt nicht groß genug.

[Marco Moock]

Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:

> Marco Moock wrote:
>
> > Von DNS hast du schon gehört?
>

> DNS betrifft die "gegnerische" Seite der Verbindung. Mein PC ist
> ebenso mit einer IPv6-Adresse sichtbar. Und wer hat schon verstanden,
> wie IPv6 geNATtet wird, wie Fritzboxen damit umgehen, usw.?

Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
NAT. Der Pc hat ne öffentliche IP und eine FritzBox geht damit genauso
um wie jeder andere Router auch.

> > Der IPv4-Adressbereich sit halt nicht groß genug.
>

> Das Argument hörte ich bereits im letzten Jahrtausend. Es geht
> trotzdem noch erstaunlich gut.

Weil bestimmte Dinge ignoriert werden, wie z.B. dass Kunden mit
CG-NAT/DS-Lite keine IPv4-Server (eigener Fileserver usw.)
bereitstellen können.

[Hanno Foest]

On 12.11.22 14:42, Ralf Kiefer wrote:

>> Der IPv4-Adressbereich sit halt nicht groß genug.
>

> Das Argument hörte ich bereits im letzten Jahrtausend. Es geht trotzdem
> noch erstaunlich gut.

Unter anderem, weil IPv6 etwas den Druck rausgenommen hat. IPv4 Adressen
sind ziemlich teuer geworden.

Hanno

--
The modern conservative is engaged in one of man's oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

[Diedrich Ehlerding]

Marco Moock meinte:

> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
> NAT. Der Pc hat ne öffentliche IP und eine FritzBox geht damit genauso
> um wie jeder andere Router auch.

Nein. Die Fritzboxen NATten zwar IpV6 nicht, weil für IPv6 kein NAT
erforderlich ist, aber sie routen Verbindungswünsche von außen nach
innen nur dann, wenn der entsprechende Port da per Portfreigabe
aufgemacht worden ist. (Sagt jedenfalls AVM:
<https://en.avm.de/service/knowledge-base/dok/FRITZ-Box-7340-int/845_Setting-up-IPv6-port-sharing-in-the-FRITZ-Box/>

--
gpg-Key (DSA 1024) D36AD663E6DB91A4
fingerprint = 2983 4D54 E00B 8483 B5B8 C7D1 D36A D663 E6DB 91A4
HTML-Mail wird ungeleſen entſorgt.

[Marco Moock]

Am 12.11.2022 um 15:45:57 Uhr schrieb Diedrich Ehlerding:

> Marco Moock meinte:
>
> > Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
> > NAT. Der Pc hat ne öffentliche IP und eine FritzBox geht damit
> > genauso um wie jeder andere Router auch.
>
> Nein. Die Fritzboxen NATten zwar IpV6 nicht, weil für IPv6 kein NAT
> erforderlich ist, aber sie routen Verbindungswünsche von außen nach
> innen nur dann, wenn der entsprechende Port da per Portfreigabe
> aufgemacht worden ist. (Sagt jedenfalls AVM:
> <https://en.avm.de/service/knowledge-base/dok/FRITZ-Box-7340-int/845_Setting-up-IPv6-port-sharing-in-the-FRITZ-Box/>

Auch das ist so nicht richtig. Das Routing läuft hier ganz normal wie
bei jedem anderen Router auch. Jedoch ist eine SPI-Firewall aktiv, die
eingehende Pakete nur reinlässt, wenn die zuvor angefordert wurden.
Diese FW kann man konfigurieren mit einer passenden Regel (Portfreigabe
genannt) bzw. auch ganz abstellen. Zu IPv4 gibt es da aber keinen
Unterschied, sowas geht damit ganz genauso.

Zudem ist das kein Sonderfeature einer Fritzbox, sondern eines jeder
Firewall.

[Diedrich Ehlerding]

Die Behauptung war, dass IPv6 für PCs hinter einer Fritzbox
problematisch sei, weil es bei IPv6 kein NAT gebe und die Froitzbox
ei9nfach Route, m.a.W. dass der PC hinter der Friotzbox öffentlich
erreichbar sei, wenn da denn jemand am IPv6-Interface laucht. Und dem
ist eben nicht so. Ob die Fritzbox nicht routet oder ob vorher eine
Firewall aktiv ist, ist dafür wumpe.

IUnd bei IPv4 ist es anders, da NATtet eine Fritzbox (ausgehend immer
und eingehend dann, wenn eine IPv4-Portfreigabe eingerichtet wurde);
aber von außen adressiert man dann die Fritzbox. Bei IPv6 nattet die
Fritzbox nicht (m.a.W. da könnte der PC hinter der Fritzbox seine eigene
IPv6-Adresse zB per dyndns bekanntgeben und wäre erreichbar, nämlich
über die Fritzbox als Router (und nicht als NATter) - aber eben nur
dann, wenn das freigegeben wird.

[Gerrit Heitsch]

On 11/12/22 14:58, Marco Moock wrote:
> Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:
>
>> Marco Moock wrote:
>>
>>> Von DNS hast du schon gehört?
>>
>> DNS betrifft die "gegnerische" Seite der Verbindung. Mein PC ist
>> ebenso mit einer IPv6-Adresse sichtbar. Und wer hat schon verstanden,
>> wie IPv6 geNATtet wird, wie Fritzboxen damit umgehen, usw.?
>
> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
> NAT. Der Pc hat ne öffentliche IP und eine FritzBox geht damit genauso
> um wie jeder andere Router auch.

Und schon hat man ein Problem wenn man zwei Router hintereinander hat.
Der erste liefert noch ein /64 auf seinem LAN-Anschluss, aber der zweite
kann das nicht mehr.

BTW: Wer hatte die schräge Idee, /64 als kleinstes Subnetz zu definieren?

Gerrit

[Marco Moock]

Am 12.11.2022 um 16:52:36 Uhr schrieb Diedrich Ehlerding:

> Die Behauptung war, dass IPv6 für PCs hinter einer Fritzbox
> problematisch sei, weil es bei IPv6 kein NAT gebe und die Froitzbox
> ei9nfach Route, m.a.W. dass der PC hinter der Friotzbox öffentlich
> erreichbar sei, wenn da denn jemand am IPv6-Interface laucht. Und dem
> ist eben nicht so. Ob die Fritzbox nicht routet oder ob vorher eine
> Firewall aktiv ist, ist dafür wumpe.

Fachlich nicht, denn Routing ist was anderes als die Firewall.

> IUnd bei IPv4 ist es anders, da NATtet eine Fritzbox (ausgehend immer
> und eingehend dann, wenn eine IPv4-Portfreigabe eingerichtet wurde);
> aber von außen adressiert man dann die Fritzbox.

Auch eingehend natted die bei IPv4, denn die Ziel-IP muss dann von der
öffentlichen in ne private IPv4 geändert werden. Ggf. auch noch der
Port.

> Bei IPv6 nattet die Fritzbox nicht (m.a.W. da könnte der PC hinter
> der Fritzbox seine eigene IPv6-Adresse zB per dyndns bekanntgeben und
> wäre erreichbar, nämlich über die Fritzbox als Router (und nicht als
> NATter) - aber eben nur dann, wenn das freigegeben wird.

Was aber NUR an der Firewall liegt. Und es ist keine Naturkonstante,
dass eine solche aktiv ist.

[Marco Moock]

Am 12.11.2022 um 18:35:14 Uhr schrieb Gerrit Heitsch:

> On 11/12/22 14:58, Marco Moock wrote:
> > Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:
> >
> >> Marco Moock wrote:
> >>
> >>> Von DNS hast du schon gehört?
> >>
> >> DNS betrifft die "gegnerische" Seite der Verbindung. Mein PC ist
> >> ebenso mit einer IPv6-Adresse sichtbar. Und wer hat schon
> >> verstanden, wie IPv6 geNATtet wird, wie Fritzboxen damit umgehen,
> >> usw.?
> >
> > Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
> > NAT. Der Pc hat ne öffentliche IP und eine FritzBox geht damit
> > genauso um wie jeder andere Router auch.
>
> Und schon hat man ein Problem wenn man zwei Router hintereinander
> hat. Der erste liefert noch ein /64 auf seinem LAN-Anschluss, aber
> der zweite kann das nicht mehr.

Warum sollte man in einem Heimnetz 2 Router hintereinander haben?
Wo ist da der Nutzen?
Warum nicht einfach ein Switch?

> BTW: Wer hatte die schräge Idee, /64 als kleinstes Subnetz zu
> definieren?

Die Ersteller des RFC. :-)
Die haben aber auch vorgeschlagen, dass jeder Kunde ein /48 bekommt.
Gescheite Provider bieten das auch bzw. min. /56. So hat man genügend
Netze, um daheim mehrere Subnetze und ggf. mehrere Router zu betreiben.

[Gerrit Heitsch]

On 11/12/22 18:44, Marco Moock wrote:
> Am 12.11.2022 um 18:35:14 Uhr schrieb Gerrit Heitsch:
>
>> On 11/12/22 14:58, Marco Moock wrote:
>>> Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:
>>>
>>>> Marco Moock wrote:
>>>>
>>>>> Von DNS hast du schon gehört?
>>>>
>>>> DNS betrifft die "gegnerische" Seite der Verbindung. Mein PC ist
>>>> ebenso mit einer IPv6-Adresse sichtbar. Und wer hat schon
>>>> verstanden, wie IPv6 geNATtet wird, wie Fritzboxen damit umgehen,
>>>> usw.?
>>>
>>> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
>>> NAT. Der Pc hat ne öffentliche IP und eine FritzBox geht damit
>>> genauso um wie jeder andere Router auch.
>>
>> Und schon hat man ein Problem wenn man zwei Router hintereinander
>> hat. Der erste liefert noch ein /64 auf seinem LAN-Anschluss, aber
>> der zweite kann das nicht mehr.
>
> Warum sollte man in einem Heimnetz 2 Router hintereinander haben?
> Wo ist da der Nutzen?

Simpel. So habe ich einen Router der komplett unter meiner Kontrolle
ist, genau das tut was ich will und auch die Konfiguration die ich will
(aktuell OpenWRT mit eigenem DNS für LAN). Wie ich damit ins Netz gehe
ist dann egal. Ich kann den Provider wechseln und brauche nur die
LAN-IP, Netmask und Gateway des Routers anzupassen, schon bin ich online
mit der gesamten Konfiguration wie ich sie gewohnt bin.

Oder das DSL geht offline, dann redneckengineer ich mir was mit LTE/5G,
verbinde das mit dem WAN-Port des Routers und mein LAN funktioniert wie
gewohnt.

> Warum nicht einfach ein Switch?

Weil das nicht so funktioniert wie von mir beschrieben. Einen Switch
habe ich natürlich auch im Einsatz weil die 4 Ports am Router nicht weit
reichen.

>> BTW: Wer hatte die schräge Idee, /64 als kleinstes Subnetz zu
>> definieren?
>
> Die Ersteller des RFC. :-)

An dem Tag hatte der Dealer wohl keinen guten Stoff.

> Die haben aber auch vorgeschlagen, dass jeder Kunde ein /48 bekommt.

Da wird dann aber langsam absehbar, daß irgendwann bei IPv6 auch die
Adressen ausgehen.

> Gescheite Provider bieten das auch bzw. min. /56.

Ja, der Router der Telekom bekommt ein /56, reicht mir aber nur ein /64
weiter. Weiter geht es wohl nur mit NAT für IPv6.

Gerrit

[Peter J. Holzer]

Nicht wirklich. Ein /48 pro Person reicht für 281'474'976'710'656
Personen oder ca. 35'000 mal die Erdbevölkerung. Selbst wenn davon
relativ große Teile für nicht-Unicast-Adressen reserviert sind, reicht
das eine Weile.

hp

[Gerrit Heitsch]

Man hat schon von Organisationen gehört die unbedingt ein /32 haben
wollen. Also mach dir keine Sorgen, wir werden die Adressen verschwenden
und uns dann wundern.

Gerrit

[Marco Moock]

Am 12.11.2022 um 19:22:31 Uhr schrieb Gerrit Heitsch:

> Da wird dann aber langsam absehbar, daß irgendwann bei IPv6 auch die
> Adressen ausgehen.

Wie soll das denn erreicht werden?
Da ist noch haufenweise Platz?

> > Gescheite Provider bieten das auch bzw. min. /56.
>
> Ja, der Router der Telekom bekommt ein /56, reicht mir aber nur ein
> /64 weiter. Weiter geht es wohl nur mit NAT für IPv6.

Nein, du musst den Telekom.Router entsorgen und durch was gescheites
ersetzen. Dann kann man mehrere /64er-Netze nutzen und auch über
weitere Router routen.

Mit Heimuserplasteroutern geht das halt nicht.
Ist aber keine Schuld von IPv6.

[Gerrit Heitsch]

On 11/12/22 20:21, Marco Moock wrote:
> Am 12.11.2022 um 19:22:31 Uhr schrieb Gerrit Heitsch:
>
>> Da wird dann aber langsam absehbar, daß irgendwann bei IPv6 auch die
>> Adressen ausgehen.
>
> Wie soll das denn erreicht werden?
> Da ist noch haufenweise Platz?

Es wurden schon /32 von Organisationen gefordert. Mal sehen wann der
erste ein /16 will weil wichtig und so.

>>> Gescheite Provider bieten das auch bzw. min. /56.
>>
>> Ja, der Router der Telekom bekommt ein /56, reicht mir aber nur ein
>> /64 weiter. Weiter geht es wohl nur mit NAT für IPv6.
>
> Nein, du musst den Telekom.Router entsorgen und durch was gescheites
> ersetzen.

Was wäre 'was gescheites'? Muss natürlich auch noch Telefon können.
Glasfasertauglich wäre auch nett weil das schon im Keller liegt.

> Mit Heimuserplasteroutern geht das halt nicht.

Mit OpenWRT geht das ziemlich sicher schon... Aber das hat eben nur mein
eigener Router.

Gerrit

[Marco Moock]

Am 12.11.2022 um 20:34:38 Uhr schrieb Gerrit Heitsch:

> Was wäre 'was gescheites'? Muss natürlich auch noch Telefon können.
> Glasfasertauglich wäre auch nett weil das schon im Keller liegt.

Cisco, OpenWRT usw.

> > Mit Heimuserplasteroutern geht das halt nicht.
>
> Mit OpenWRT geht das ziemlich sicher schon... Aber das hat eben nur
> mein eigener Router.

Dann nehme einen solchen und hänge ein passendes Modem davor.

[Gerrit Heitsch]

Also jetzt 3 Geräte? Ich denke, dann schaue ich mir lieber NAT für IPv6
oder Relay mode nochmal genauer an.

Die aktuelle Config hat noch den weiteren Vorteil einer Art DMZ, an den
LAN-Anschlüssen des Telekom-Routers kann ich Geräte ins Netz bringen die
ich nicht im eigenen LAN haben will wie AV-Receiver (Webradio) oder
Firmenlaptop im HomeOffice.

Gerrit

[Diedrich Ehlerding]

Marco Moock meinte:

>>Die Behauptung war, dass IPv6 für PCs hinter einer Fritzbox
>> problematisch sei, weil es bei IPv6 kein NAT gebe und die Froitzbox
>> ei9nfach Route, m.a.W. dass der PC hinter der Friotzbox öffentlich
>> erreichbar sei, wenn da denn jemand am IPv6-Interface laucht. Und dem
>> ist eben nicht so. Ob die Fritzbox nicht routet oder ob vorher eine
>> Firewall aktiv ist, ist dafür wumpe.
>
> Fachlich nicht, denn Routing ist was anderes als die Firewall.

Ja doch. Deine Behauptung war aber "PCs hinter einer Fritzbox sind
unsicher", nicht PCs hinter einem Router sind unsicher" wenn sie UPv6
verwenden. Ich zitiere dich mal:

| Der Pc hat ne öffentliche IP und eine FritzBox geht damit genauso
| um wie jeder andere Router auch.

Und diese Behauptung ist fsclah, denn von außen kommt man nur dann durch
die Fritzbox, wenn man das explizit erlaubt. Die /Fritzbox/ als Ganzes
(also die Software, die AVM da zusammengestellt hat) reeagiert eben
nicht wie jeder andere Router. Nur der fürs Routing zuständige Teil geht
mit Pakete genauso um; aber ein anderer Teil der Software verwirft die.

>
>> IUnd bei IPv4 ist es anders, da NATtet eine Fritzbox (ausgehend immer

^^^^^^^^ ^^^^^ ^^^^^^^^^^^^^^

>> und eingehend dann, wenn eine IPv4-Portfreigabe eingerichtet wurde);

^^^^^^^^^^^^^^^

>> aber von außen adressiert man dann die Fritzbox.
>
> Auch eingehend natted die bei IPv4,

Ach - und was hatte ich da oben geschrieben?

> denn die Ziel-IP muss dann von der
> öffentlichen in ne private IPv4 geändert werden. Ggf. auch noch der
> Port.
>
>> Bei IPv6 nattet die Fritzbox nicht (m.a.W. da könnte der PC hinter
>> der Fritzbox seine eigene IPv6-Adresse zB per dyndns bekanntgeben und
>> wäre erreichbar, nämlich über die Fritzbox als Router (und nicht als
>> NATter) - aber eben nur dann, wenn das freigegeben wird.
>
> Was aber NUR an der Firewall liegt. Und es ist keine Naturkonstante,
> dass eine solche aktiv ist.

Es ist aber bei Fritzboxen im Auslieferungszustand der Fall. Und darum
ginbgs - dass deine Bahauptung "IPv6 ist unsicher" für Fritzboxen so
nicht zutrifft. Recht hättest du, wenn du schriebest "ein PC mit IPv6
hinter einem selbsgehäkelten IPv6-Roter ohne zusätzliche Maßnahmen ist
ein sScherheitsrisiko"

[Marco Moock]

Am 13.11.2022 um 10:24:52 Uhr schrieb Diedrich Ehlerding:

> Marco Moock meinte:
>
> >>Die Behauptung war, dass IPv6 für PCs hinter einer Fritzbox
> >> problematisch sei, weil es bei IPv6 kein NAT gebe und die
> >> Froitzbox ei9nfach Route, m.a.W. dass der PC hinter der Friotzbox
> >> öffentlich erreichbar sei, wenn da denn jemand am IPv6-Interface
> >> laucht. Und dem ist eben nicht so. Ob die Fritzbox nicht routet
> >> oder ob vorher eine Firewall aktiv ist, ist dafür wumpe.
> >
> > Fachlich nicht, denn Routing ist was anderes als die Firewall.
>
> Ja doch. Deine Behauptung war aber "PCs hinter einer Fritzbox sind
> unsicher", nicht PCs hinter einem Router sind unsicher" wenn sie UPv6
> verwenden. Ich zitiere dich mal:

Ich habe nichts von unsicher geschrieben. Das ist das normale
Verhalten, Firewalls kamen erst später auf und sind heute mehr oder
weniger fast überall Standard. Trotzdem haben sie mit dem Routing
nichts zu tun.

> | Der Pc hat ne öffentliche IP und eine FritzBox geht damit genauso
> | um wie jeder andere Router auch.
>
> Und diese Behauptung ist fsclah, denn von außen kommt man nur dann
> durch die Fritzbox, wenn man das explizit erlaubt. Die /Fritzbox/ als
> Ganzes (also die Software, die AVM da zusammengestellt hat) reeagiert
> eben nicht wie jeder andere Router. Nur der fürs Routing zuständige
> Teil geht mit Pakete genauso um; aber ein anderer Teil der Software
> verwirft die.

Meine Aussage war auf das Routing bezogen. Routing und Firewall müssen
fachlich getrennt behandelt werden.

> > Was aber NUR an der Firewall liegt. Und es ist keine Naturkonstante,
> > dass eine solche aktiv ist.
>
> Es ist aber bei Fritzboxen im Auslieferungszustand der Fall. Und
> darum ginbgs - dass deine Bahauptung "IPv6 ist unsicher" für
> Fritzboxen so nicht zutrifft. Recht hättest du, wenn du schriebest
> "ein PC mit IPv6 hinter einem selbsgehäkelten IPv6-Roter ohne
> zusätzliche Maßnahmen ist ein sScherheitsrisiko"

Ich habe wie gesagt nie von unsicher gesprochen. Unsicher wird es dann,
wenn da a) Serverdienste laufen und b) diese Sicherheitslücken haben
oder falsch konfiguriert sind. Jahrelang war es normal, dass ein PC
ohne Firewall eine öffentliche IPv4 hatte.

[Peter J. Holzer]

["Followup-To:" header set to de.alt.folklore.computer.]

On 2022-11-12 18:55, Gerrit Heitsch <ger...@laosinh.s.bawue.de> wrote:
> On 11/12/22 19:51, Peter J. Holzer wrote:
>> On 2022-11-12 18:22, Gerrit Heitsch <ger...@laosinh.s.bawue.de> wrote:
>>> On 11/12/22 18:44, Marco Moock wrote:
>>>> Die haben aber auch vorgeschlagen, dass jeder Kunde ein /48 bekommt.
>>>
>>> Da wird dann aber langsam absehbar, daß irgendwann bei IPv6 auch die
>>> Adressen ausgehen.
>>
>> Nicht wirklich. Ein /48 pro Person reicht für 281'474'976'710'656
>> Personen oder ca. 35'000 mal die Erdbevölkerung. Selbst wenn davon
>> relativ große Teile für nicht-Unicast-Adressen reserviert sind, reicht
>> das eine Weile.
>
> Man hat schon von Organisationen gehört die unbedingt ein /32 haben
> wollen.

Uni Wien z.B. "Wir haben 90000 Studenten und 10000 Mitarbeiter und die
könnten theoretisch alle einen Internet-Anschluss beantragen[1] und laut
RFC müssten wir jedem ein /48 geben, also brauchen wir mindestens ein
/31". Ich weiß jetzt nicht, ob sie das /31 damals bekommen haben, aber
die Aktion war schon eher dafür gedacht, um aufzuzeigen, dass ein /48
vielleicht nicht in jeder Situation die kleinste Allokationseinheit sein
sollte.

> Also mach dir keine Sorgen, wir werden die Adressen verschwenden
> und uns dann wundern.

Nicht mit /48, nicht einmal mit Aktionen wie die der Uni Wien damals.
Aber möglicherweise, wenn man irgendwelche /8 o.ä. für Zwecke
reserviert, die dann kaum genützt werden.

hp

[1] Die Wiener Unis hatten damals (haben vielleicht noch immer) eine
Kooperation mit UPC (jetzt Magenta).

[Diedrich Ehlerding]

Marco Moock meinte:

>> Ja doch. Deine Behauptung war aber "PCs hinter einer Fritzbox sind
>> unsicher", nicht PCs hinter einem Router sind unsicher" wenn sie UPv6
>> verwenden. Ich zitiere dich mal:
>
> Ich habe nichts von unsicher geschrieben.

den Wegfall des NATtens als "Problem" bezeichnet und explizit die
Fritzbox genannt, als Beispiel einer Umgebung, die zum Problem führt.

.
> Das ist das normale
> Verhalten, Firewalls kamen erst später auf und sind heute mehr oder
> weniger fast überall Standard. Trotzdem haben sie mit dem Routing
> nichts zu tun.

Ja doch. Ich habe auch nie behauptet, dass das was mit Routing zu tun
hat, sondern dass IPv6 und der dadurch bedingte Wegfall des NATs von und
zu privaten Netzsegmenten mit Friztzboxen aufgrund von deren
Funktionalität kein Problem ist.

[Arno Welzel]

Andreas Kohlbach, 2022-11-12 06:33:

> On Fri, 11 Nov 2022 20:58:37 +0100, Marco Moock wrote:
>>

> Persönlich gut. Ich bekomme schon Kopfschmerzen, wenn ich nur auf eine
> IPv6-Adresse schaue.

Deswegen gibt es ja auch DNS. Server spreche ich eigentlich nur über
Hostnamen an und nie IP-Adressen.

[Arno Welzel]

Ralf Kiefer, 2022-11-12 14:42:

> Marco Moock wrote:
>
>> Von DNS hast du schon gehört?
>

> DNS betrifft die "gegnerische" Seite der Verbindung. Mein PC ist ebenso
> mit einer IPv6-Adresse sichtbar. Und wer hat schon verstanden, wie IPv6
> geNATtet wird, wie Fritzboxen damit umgehen, usw.?
>
>

>> Der IPv4-Adressbereich sit halt nicht groß genug.
>

> Das Argument hörte ich bereits im letzten Jahrtausend. Es geht trotzdem
> noch erstaunlich gut.

Ja, weil Carrier-Grade-NAT mittlerweile bei vielen Privatkunden üblich
ist. Jedem Endnutzer eine eigene IPv4-Adresse zu geben, ist schon lange
nicht mehr möglich.

[Arno Welzel]

Diedrich Ehlerding, 2022-11-12 15:45:

> Marco Moock meinte:
>
>> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
>> NAT. Der Pc hat ne öffentliche IP und eine FritzBox geht damit genauso
>> um wie jeder andere Router auch.
>
> Nein. Die Fritzboxen NATten zwar IpV6 nicht, weil für IPv6 kein NAT
> erforderlich ist, aber sie routen Verbindungswünsche von außen nach
> innen nur dann, wenn der entsprechende Port da per Portfreigabe
> aufgemacht worden ist. (Sagt jedenfalls AVM:
> <https://en.avm.de/service/knowledge-base/dok/FRITZ-Box-7340-int/845_Setting-up-IPv6-port-sharing-in-the-FRITZ-Box/>

Ja, weil die Fritz!Box nicht nur ein Router ist, sondern auch
Paketfilter enthält.

[Arno Welzel]

Gerrit Heitsch, 2022-11-12 19:22:

> On 11/12/22 18:44, Marco Moock wrote:

[...]

>> Warum sollte man in einem Heimnetz 2 Router hintereinander haben?
>> Wo ist da der Nutzen?
>
> Simpel. So habe ich einen Router der komplett unter meiner Kontrolle
> ist, genau das tut was ich will und auch die Konfiguration die ich will
> (aktuell OpenWRT mit eigenem DNS für LAN). Wie ich damit ins Netz gehe
> ist dann egal. Ich kann den Provider wechseln und brauche nur die
> LAN-IP, Netmask und Gateway des Routers anzupassen, schon bin ich online
> mit der gesamten Konfiguration wie ich sie gewohnt bin.

Wenn Du mit "komplett unter meiner Kontrolle" meinst, dass auch die
Software auf dem Router komplett einsehbar ist, ja, dann geht es nur so.

Ansonsten müssen Provider einem aber sogar den Anschluss eigener Router
erlauben und die dafür nötigen Daten herausrücken - der "Routerzwang"
ist schon länger abgeschafft.

> Oder das DSL geht offline, dann redneckengineer ich mir was mit LTE/5G,
> verbinde das mit dem WAN-Port des Routers und mein LAN funktioniert wie
> gewohnt.

Geht hier ebenso mit der Fritz!Box - ganz ohne OpenWRT. Ich muss noch
nicht mal den WAN-Port verwenden, LTE im Smartphone als Hotspot
freischalten und in der Fritz!Box verbinden reicht. Es gibt auch
Modelle, bei denen LTE gleich fest eingebaut ist für so einen Fallback,
wenn man das häufiger bruacht.

>> Die haben aber auch vorgeschlagen, dass jeder Kunde ein /48 bekommt.
>
> Da wird dann aber langsam absehbar, daß irgendwann bei IPv6 auch die
> Adressen ausgehen.

Sehr unwahrscheinlich. Wir reden hier über millionenfach mehr Adressen
als der gesamte IPv4-Adressraum umfasst.

>> Gescheite Provider bieten das auch bzw. min. /56.
>
> Ja, der Router der Telekom bekommt ein /56, reicht mir aber nur ein /64
> weiter. Weiter geht es wohl nur mit NAT für IPv6.

"Nur" /64 ist bei IPv6 immer noch millionenfach mehr als man bei IPv4
weltweit hat.

[Arno Welzel]

Gerrit Heitsch, 2022-11-12 20:34:

> On 11/12/22 20:21, Marco Moock wrote:

[...]

>> Nein, du musst den Telekom.Router entsorgen und durch was gescheites
>> ersetzen.
>
> Was wäre 'was gescheites'? Muss natürlich auch noch Telefon können.
> Glasfasertauglich wäre auch nett weil das schon im Keller liegt.

Fritz!Box - die gibt's auch für Glasfaser.

[Gerrit Heitsch]

Im eigenen LAN hat ja auch jeder einen DNS.

Gerrit

[Arno Welzel]

Ralf Kiefer, 2022-11-11 21:14:

> Arno Welzel wrote:
>
>> Gibr es schon bedeutendere IPv6-Hosts, die nicht auch über IPv4
>> verfügen?
>

> Mein Web-Space ist über beide erreichbar (bei Hetzner). Schaue ich ins
> Logfile, sehe ich eine unbedeutende Minderheit, die mit IPv6 ankommt.
> Mit IPv4 kommen insbesondere die, die zuhauf nicht vorhandene Dateien
> abholen wollen.

Hier ist es eher umgekehrt: IPv6 ist die Mehrheit, IPv4 etwa noch
20-30%. Bezugsgröße ca. 40000 Besucher pro Tag verteilt auf 8 Domains.

[Gerrit Heitsch]

On 11/13/22 16:15, Arno Welzel wrote:
> Gerrit Heitsch, 2022-11-12 19:22:
>
>> On 11/12/22 18:44, Marco Moock wrote:
> [...]
>>> Warum sollte man in einem Heimnetz 2 Router hintereinander haben?
>>> Wo ist da der Nutzen?
>>
>> Simpel. So habe ich einen Router der komplett unter meiner Kontrolle
>> ist, genau das tut was ich will und auch die Konfiguration die ich will
>> (aktuell OpenWRT mit eigenem DNS für LAN). Wie ich damit ins Netz gehe
>> ist dann egal. Ich kann den Provider wechseln und brauche nur die
>> LAN-IP, Netmask und Gateway des Routers anzupassen, schon bin ich online
>> mit der gesamten Konfiguration wie ich sie gewohnt bin.
>
> Wenn Du mit "komplett unter meiner Kontrolle" meinst, dass auch die
> Software auf dem Router komplett einsehbar ist, ja, dann geht es nur so.

Ist OpenWRT.

> Ansonsten müssen Provider einem aber sogar den Anschluss eigener Router
> erlauben und die dafür nötigen Daten herausrücken - der "Routerzwang"
> ist schon länger abgeschafft.

Da muss man sich erst einmal einen Router besorgen der alle Features
hat. Ich kann hier einen nehmen der nach draußen Ethernet spricht und es
passt.

Wenn ich hier alles mit einem Router erledigen will muss der neben dem
üblichen schon ein paar Dinge können:

- Telefon
- DSL (aktuell in Benutzung)
- Glasfaser (Übergabepunkt im Keller vorhanden)
- DHCP mit statischem Mapping und dynamischem Bereich
- DNS für das interne LAN
- DMZ (aktuell hier via den LAN-Ports am Telekomrouter realisiert, da
hängt dran was ins Netz darf, aber nicht in mein LAN)

Fällt dir da was passendes ein?

>> Oder das DSL geht offline, dann redneckengineer ich mir was mit LTE/5G,
>> verbinde das mit dem WAN-Port des Routers und mein LAN funktioniert wie
>> gewohnt.
>
> Geht hier ebenso mit der Fritz!Box - ganz ohne OpenWRT. Ich muss noch
> nicht mal den WAN-Port verwenden, LTE im Smartphone als Hotspot
> freischalten und in der Fritz!Box verbinden reicht.

Der Fritzbox wirst du da noch ein paar Details mitteilen müssen, denn
die muss ja als Client mit dem Smartphone reden, den eigenen DHCP-Server
abschalten usw.

>> Ja, der Router der Telekom bekommt ein /56, reicht mir aber nur ein /64
>> weiter. Weiter geht es wohl nur mit NAT für IPv6.
>
> "Nur" /64 ist bei IPv6 immer noch millionenfach mehr als man bei IPv4
> weltweit hat.

Ja, aber leider nicht weiter segmentierbar, oder ist ein /96 bei IPv6
möglich? In einem LAN-Segment sind aber mehr als 200 bis 300 Rechner
nicht sinnvoll, man verschwendet also unglaublich viele Adressen.

Gerrit

[Gerrit Heitsch]

On 11/13/22 16:21, Arno Welzel wrote:
> Gerrit Heitsch, 2022-11-12 20:34:
>
>> On 11/12/22 20:21, Marco Moock wrote:
> [...]
>>> Nein, du musst den Telekom.Router entsorgen und durch was gescheites
>>> ersetzen.
>>
>> Was wäre 'was gescheites'? Muss natürlich auch noch Telefon können.
>> Glasfasertauglich wäre auch nett weil das schon im Keller liegt.
>
> Fritz!Box - die gibt's auch für Glasfaser.

Aktuell ist hier noch DSL in Benutzung, der Telekom-Router kann beides
(Der Umsetzer von Glasfaser auf Ethernet ist eine externe Box). Die
Fritzbox auch?

Gerrit

[Marco Moock]

Die Ausbreitung von IPv6 ist sehr unterschiedlich. Es gibt Staaten
mit >50%, andere unter 5%.

[Marco Moock]

Ja, das ist möglich, aber nicht vorgesehen. Die meisten Geräte fressen
es aber (eigene Erfahrung).

[Arno Welzel]

Gerrit Heitsch, 2022-11-13 16:35:

Fritz!Box gibt es wahlweise für DSL oder Glasfaser. Ein Austauschbares
Modul in der Box oder als externer Umsetzer ist AFAIK nicht vorgesehen,
bei der 5530 Fiber ist aber ein SFP-Modul vorhanden, damit man sowohl
AON oder GPON nutzen kann, man muss nur das passende Modul einsetzen.

Wenn aber Glasfaser ohnehin nach Ethernet umgesetzt wird, kann man das
vermutlich auch einfach an den Ethernet-WAN-Port einer DSL-Fritz!Box
anschließen.

[Gerrit Heitsch]

Beisst sich das nicht mit der automatischen Vergabe von IP-Adressen?

Gerrit

[Gerrit Heitsch]

Bei der Telekom bekommst du, wenn du den passenden Router hast, eben
jenen Umsetzer. Hast du einen eigenen Router ist das dein Problem. Daher
die Frage ob man eine Fritzbox bekommen kann die DSL und Glasfaser kann.

Gerrit

[Arno Welzel]

Gerrit Heitsch, 2022-11-13 16:34:

> On 11/13/22 16:15, Arno Welzel wrote:

[...]

> Wenn ich hier alles mit einem Router erledigen will muss der neben dem
> üblichen schon ein paar Dinge können:
>
> - Telefon
> - DSL (aktuell in Benutzung)
> - Glasfaser (Übergabepunkt im Keller vorhanden)
> - DHCP mit statischem Mapping und dynamischem Bereich
> - DNS für das interne LAN
> - DMZ (aktuell hier via den LAN-Ports am Telekomrouter realisiert, da
> hängt dran was ins Netz darf, aber nicht in mein LAN)
>
> Fällt dir da was passendes ein?

Nein.

[...]

>> Geht hier ebenso mit der Fritz!Box - ganz ohne OpenWRT. Ich muss noch
>> nicht mal den WAN-Port verwenden, LTE im Smartphone als Hotspot
>> freischalten und in der Fritz!Box verbinden reicht.
>
> Der Fritzbox wirst du da noch ein paar Details mitteilen müssen, denn
> die muss ja als Client mit dem Smartphone reden, den eigenen DHCP-Server
> abschalten usw.

Es genügt, wenn ich bei "Internetzugang" umschalte von DSL auf den
WLAN-Hotspot des Smartphone. Mehr ist nicht nötig, da DHCP etc.
weiterhin von der Fritz!Box kommt. Ja, das ist dann nur IPv4 mit NAT,
aber zur Not immer noch besser, als gar kein Netz.

>>> Ja, der Router der Telekom bekommt ein /56, reicht mir aber nur ein /64
>>> weiter. Weiter geht es wohl nur mit NAT für IPv6.
>>
>> "Nur" /64 ist bei IPv6 immer noch millionenfach mehr als man bei IPv4
>> weltweit hat.
>
> Ja, aber leider nicht weiter segmentierbar, oder ist ein /96 bei IPv6
> möglich? In einem LAN-Segment sind aber mehr als 200 bis 300 Rechner
> nicht sinnvoll, man verschwendet also unglaublich viele Adressen.

Was kleineres als /64 ist in der Tat nicht vorgesehen.

Aber worin das Problem bei mehr als 200-300 Rechnern in einem Segment
besteht, ist mir nicht ganz klar. IPv4-Netze mit /20 oder /21 habe ich
schon oft gesehen - und da reden wir auch von mehreren hundert Systemen
in einem Subnetz.

[Marco Moock]

Die Autokonfiguration (SLAAC) geht dann nicht. Manuelle Vergabe oder
DHCPv6 gehen aber schon.

[Gerrit Heitsch]

On 11/13/22 16:59, Arno Welzel wrote:
> Gerrit Heitsch, 2022-11-13 16:34:

>> Ja, aber leider nicht weiter segmentierbar, oder ist ein /96 bei IPv6
>> möglich? In einem LAN-Segment sind aber mehr als 200 bis 300 Rechner
>> nicht sinnvoll, man verschwendet also unglaublich viele Adressen.
>
> Was kleineres als /64 ist in der Tat nicht vorgesehen.
>
> Aber worin das Problem bei mehr als 200-300 Rechnern in einem Segment
> besteht, ist mir nicht ganz klar. IPv4-Netze mit /20 oder /21 habe ich
> schon oft gesehen - und da reden wir auch von mehreren hundert Systemen
> in einem Subnetz.

Kommt immer drauf an wieviele Broadcasts diese Systeme generieren.

Gerrit

[Arno Welzel]

Gerrit Heitsch, 2022-11-13 16:56:

> On 11/13/22 16:49, Arno Welzel wrote:

[...]

>> Wenn aber Glasfaser ohnehin nach Ethernet umgesetzt wird, kann man das
>> vermutlich auch einfach an den Ethernet-WAN-Port einer DSL-Fritz!Box
>> anschließen.
>
> Bei der Telekom bekommst du, wenn du den passenden Router hast, eben
> jenen Umsetzer. Hast du einen eigenen Router ist das dein Problem. Daher
> die Frage ob man eine Fritzbox bekommen kann die DSL und Glasfaser kann.

Der Umsetzer von Glasfaser nach Ethernet stellt faktisch nur einen
IP-Zugang dar - aka "Glasfaser-Modem". Den kann man auch mit der
Fritz!Box einfach so nutzen.

Eine Fritz!Box mit direktem Anschluss von Glasfaser *und* DSL gibt es
nicht, da vermutlich niemand den Aufpreis für Hardware zahlen will, von
der er eine Hälfte ungenutzt bleibt. Und vorab etwas zu bezahlen, weil
man vielleicht in ein paar Jahren auch FTTH nutzen will, ist auch wenig
sinnvoll.

[Arno Welzel]

Gerrit Heitsch, 2022-11-13 16:55:

Ja, tut es. Deswegen sollte man das auch nicht ohne Not machen.

[Marco Moock]

Am 13.11.2022 um 17:03:41 Uhr schrieb Gerrit Heitsch:

> Kommt immer drauf an wieviele Broadcasts diese Systeme generieren.

Broadcast und Multicast sorgt dann natürlich für ordentlich Traffic,
aber selbst wenn 10 MBit/s dauerhaft durch Broadcast/Multicast
blockiert ist, spielt das bei Gigabit kaum eine Geige.

[Markus Elsken]

Moin!

Am 13.11.22 um 16:21 schrieb Arno Welzel:

> Fritz!Box - die gibt's auch für Glasfaser.

Da viele Installationen in den Häusern schon auf ethernet wandeln reicht
eine beliebige Box. Meine 7590AX hat dafür einen WAN-Port.

mfg Markus

[Hanno Foest]

On 12.11.22 19:22, Gerrit Heitsch wrote:

>>> BTW: Wer hatte die schräge Idee, /64 als kleinstes Subnetz zu
>>> definieren?
>>
>> Die Ersteller des RFC. :-)
>
> An dem Tag hatte der Dealer wohl keinen guten Stoff.

Ich empfehle die Lektüre von "The world in which IPv6 was a good
design", https://apenwarr.ca/log/20170810

Es gab schon ganz gute Gründe für die Designentscheidungen. Leider
brauchte IPv6 so lange für ein nennenswertes Deployment, daß die Gründe
inzwischen großenteils obsolet sind.

Hanno

--
The modern conservative is engaged in one of man's oldest exercises in
moral philosophy; that is, the search for a superior moral justification
for selfishness.
- John Kenneth Galbraith

[Andreas Bockelmann]

Arno Welzel schrieb:

> Ja, weil die Fritz!Box nicht nur ein Router ist, sondern auch
> Paketfilter enthält.

Warum muss ich gerade wieder an den seligen UFH denken?


--
Mit freundlichen Grüßen
Andreas Bockelmann

[Andreas Bockelmann]

Marco Moock schrieb:

> Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:
>
> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
> NAT. Der Pc hat ne öffentliche IP

Ja, das halte ich für ein Riesenproblem:

Warum sollten meine PCs, Drucker, IoT-Geräte alle eine öffnekltiche IP
haben? Will ich nicht, also: IPv6 brauche ich nicht, bringt mehr Risiken als
Nutzen.

[Gerrit Heitsch]

On 11/13/22 18:52, Andreas Bockelmann wrote:
> Marco Moock schrieb:
>> Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:
>>
>> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
>> NAT. Der Pc hat ne öffentliche IP
>
> Ja, das halte ich für ein Riesenproblem:
>
> Warum sollten meine PCs, Drucker, IoT-Geräte alle eine öffnekltiche IP
> haben?

Normalerweise soll der Paketfilter im Router Verbindungen nach innen
verhindern. Wenn er fehlerfrei implementiert und konfiguriert ist tut er
das auch.

Gerrit

[Marco Moock]

Am 13.11.2022 um 18:52:46 Uhr schrieb Andreas Bockelmann:

> Marco Moock schrieb:
> > Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:
> >
> > Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
> > NAT. Der Pc hat ne öffentliche IP
>
> Ja, das halte ich für ein Riesenproblem:
>
> Warum sollten meine PCs, Drucker, IoT-Geräte alle eine öffnekltiche
> IP haben? Will ich nicht, also: IPv6 brauche ich nicht, bringt mehr
> Risiken als Nutzen.

Dann mache halt NAT bei IPv6, wenn es dich glücklich macht. Wenn du nur
den Sicherheitsvorteil von IPv4-NAT willst, installiere ne SPI-Firewall
im Router (ist beim Heimroutern standesmäßig eh der Fall).

Und "IPv6 brauche ich nicht" zeugt halt davon, dass du entweder das
IPv4-Problem nicht verstanden hast oder bewusst ignorierst.

[Hanno Foest]

On 13.11.22 18:52, Andreas Bockelmann wrote:

>> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
>> NAT. Der Pc hat ne öffentliche IP
>
> Ja, das halte ich für ein Riesenproblem:
>
> Warum sollten meine PCs, Drucker, IoT-Geräte alle eine öffnekltiche IP
> haben?

Die Frage ist eher, warum nicht. Haben ist besser als brauchen. NAT ist
kein Firewalling, auch wenn man sich aufgrund knapper IPv4 und
knauseriger ISPs daran gewöhnt haben mag. Und ich hab sicher mehr Arbeit
damit gehabt, Port forwardings von außen für die Geräte, die dann doch
mal erreichbar sein sollten, einzurichten, als ich mit einem "Deny from
<extern>" auf meinem Router gehabt hätte.

[Hermann Riemann]

Am 13.11.22 um 19:03 schrieb Gerrit Heitsch:

> Normalerweise soll der Paketfilter im Router Verbindungen nach innen
> verhindern.

192.168 filtern?
>


--
http://www.hermann-riemann.de

[Marco Moock]

Am 13.11.2022 um 19:30:42 Uhr schrieb Hermann Riemann:

> Am 13.11.22 um 19:03 schrieb Gerrit Heitsch:
>
> > Normalerweise soll der Paketfilter im Router Verbindungen nach
> > innen verhindern.
>
> 192.168 filtern?

Befasse dich halt mal mit SPI-Firewalling, dann kannst du mitreden.

[Marco Moock]

Am 13.11.2022 um 19:53:11 Uhr schrieb Ralf Kiefer:

> Hanno Foest wrote:
>
> > On 13.11.22 18:52, Andreas Bockelmann wrote:
> >
> > > Warum sollten meine PCs, Drucker, IoT-Geräte alle eine
> > > öffnekltiche IP haben?
> >
> > Die Frage ist eher, warum nicht.
>

> Das kann ich aus meinem Blickwinkel beantworten: ich möchte draußen
> nicht preisgeben, welche Art von Rechner mitspielt und in meinem
> lokalen Netz rumsteht, und das bei konstanter Adresse für seine
> Lebenszeit.
>
> Der tägliche oder noch häufigere Wechsel der Adresse hat durchaus
> Vorteile. Schon die Verfolgungsmethoden mit Hilfe des Web-Browsers
> durch viele Web-Anbieter sind mehr als lästig.

Dann aktiviere Privacy-Extensions und bitte einen provider, dir täglich
einen neuen Präfix zu geben. Die 16 Bit Netzanteil lässt du vom Router
zufällig generieren.

[Diedrich Ehlerding]

Gerrit Heitsch meinte:

> Aktuell ist hier noch DSL in Benutzung, der Telekom-Router kann beides
> (Der Umsetzer von Glasfaser auf Ethernet ist eine externe Box). Die
> Fritzbox auch?

Die normalen Fritzboxen (zB 7530, 7590, 7490) können DSL. Und sie können
"externes Modem", also u.a. auch das Glasfasermodem der T, am Anschluss
LAN1.; d.h. in dem Moment, wo man die Faser in Betrieb nimmt, muss man
so eine Box umkonfigurieren (evtl. Zugangsdaten bereithalten).

Und es gibt neuere Fritzboxen (5530, 5590), die direkt Glasfaser können,
d.h. da brauchst du dann kein Glasfasermodem der T oder eines anderen
Glasfaserlieferanten, sondern stöpselst das Glaskabel, das heute zum
Modem (der von dir erwähnten "externen Box")führt, in die Fritzbox. Ich
vermute aber, dass die dann kein DSL mehr können, die bräuchten dann ein
externes DSL-Modem.
--
gpg-Key (DSA 1024) D36AD663E6DB91A4
fingerprint = 2983 4D54 E00B 8483 B5B8 C7D1 D36A D663 E6DB 91A4
HTML-Mail wird ungeleſen entſorgt.

[Marco Moock]

Am 13.11.2022 um 20:51:17 Uhr schrieb Ralf Kiefer:

> Marco Moock wrote:
>
> > Dann aktiviere Privacy-Extensions
>
> Ich sehe mich wieder stundenlang in diversen Linuxen rumbasteln, neu
> starten, prüfen und frustriert aufgeben, denn das scheint keine
> einfache Einstellung mal eben so zu sein.

Das stimmt nicht. Der NetworkManager macht es standardmäßig. Nutzt du
einen anderen Manager, musst du halt da schauen, wie es geht. Ist aber
mit DHCPv4 das Gleiche.

> > und bitte einen provider, dir täglich
> > einen neuen Präfix zu geben.
>

> Ein Provider in Deutschland mit einer technischen Frage oder Bitte zu
> belästigen funktioniert eher nicht. BTDT. Oder wie siehst Du eine
> Chance, daß in meinem Fall Null-Zwo so was machen würde?

Bei einem gescheiten Provider geht das. Ggf. musst du aber für so ne
Leistung extra bezahlen.

> > Die 16 Bit Netzanteil lässt du vom Router
> > zufällig generieren.
>

> Das ist 'ne Fritzbox (FritzOS < 7). Das sollte als Antwort reichen.

Nur weil eine FB das nicht kann, ist nicht IPv6 schuld.

> 2,5 von 3 Punkten sehe ich als wenig erfolgversprechend.
>
> Eine Erklärung zur Funktionsweise von IPv6 sowie ein vernünftiges
> Beispiel für meine lokalen Netze fand ich bis jetzt genausowenig für
> mein Niveau.

Du brauchst vom Provider ein ausreichend großes Netz, damit du für
jeden Ethernet-Link ein /64 hast. /56 wäre dafür völlig ausreichend.

> BTW IPv4 wird weiterhin laufen, denn diverse PCs mit
> MacOS 8.6 und WinXP sowie OS-9 werden weiterhin von hier aus draußen
> im Netz mitspielen. Wir sind ja in *.folklore :-)

Wenn du gerne Sicherheitslücken hast, tu das. Ich lasse sowas lieber.
XP kann übrigens IPv6, wenn man es aktiviert.

[Gerrit Heitsch]

On 11/13/22 22:03, Ralf Kiefer wrote:
>
> Ansonsten gibt's in meinen lokalen Netzen kein DHCP für die relevanten
> Rechner. Niemals. KISS eben. Das wäre eine weitere Komponente, die ich
> überwachen und pflegen müßte. Und verstehen. Zudem bräuchte ich mehrere
> Instanzen davon wg. unterschiedlicher Subnetze und Parametersätze. Zur
> Erläuterung: hier haben im gleichen Subnetz nebeneinanderstehende
> Rechner nicht immer denselben Default-Router oder DNS-Server,
> individuelle Routing-Tabellen inklusive. Wg. Freifunk.

Ich hab auf meinem Router einen dnsmasq als DHCP-Server laufen.
Funktioniert gut und ich kann fixes mapping benutzen, womit ich mir die
Netzwerk-Konfiguration diverser Geräte spare weil sie auf dem Router
konfiguriert sind. Sie sind dann unter immer derselben IP zu finden und
DNS funktioniert auch.


Gerrit

[Hanno Foest]

On 13.11.22 19:53, Ralf Kiefer wrote:

>>> Warum sollten meine PCs, Drucker, IoT-Geräte alle eine öffnekltiche IP
>>> haben?
>>
>> Die Frage ist eher, warum nicht.
>

> Das kann ich aus meinem Blickwinkel beantworten: ich möchte draußen
> nicht preisgeben, welche Art von Rechner mitspielt und in meinem lokalen
> Netz rumsteht,

Dabei hilft dir NAT nur sehr wenig. Für alle Geräte, die nicht mit der
großen weiten Welt reden wollen, besteht kein Unterschied (Firewalling).
Geräte, die Verbindungen nach draußen aufmachen, können mit OS
Fingerprinting und/oder Techniken wie

https://www.diva-portal.org/smash/get/diva2:1112928/FULLTEXT02.pdf
http://cecs.louisville.edu/nihat/papers/ICCCN2011.pdf
https://www.cs.columbia.edu/~smb/papers/fnat.pdf

erkannt werden. (Mit "modulate state" von OpenBSDs pf kann man hier
mitigieren)

> und das bei konstanter Adresse für seine Lebenszeit.

Muß man ja nicht so konfigurieren. Aber man sollte sich nicht darauf
verlassen, daß der Wechsel der Adresse irgendwas bringt außer
Unannehmlichkeiten beim Versuch, selber Netzdienste anzubieten: Die
Filesharing-Abmahungen der Musikindustrie finden ja dennoch ihr Ziel -
und das sind sicher nicht die Einzigen. (In diesem Rahmen könnte es
sogar sein, daß IPv6 hilft: Ich kann mir durchaus vorstellen, daß die
Musikindustrie bzw. ihre Handlanger IPv6 für noch nicht so wichtig
erachten, sodaß dies noch nicht getrackt wird. Weiß jemand genaueres?)

Wenn man sich verstecken möchte, nimmt man ein VPN. Alles andere ist
Augenwischerei.

> Der tägliche oder noch häufigere Wechsel der Adresse hat durchaus
> Vorteile. Schon die Verfolgungsmethoden mit Hilfe des Web-Browsers durch
> viele Web-Anbieter sind mehr als lästig.

Kann man mitigieren (Adblocker, uMatrix, Cookies löschen...). Wenn man
bereits damit ein Problem hat, ist IP-Adreßverfolgung eh das geringste
Problem.

[Arno Welzel]

Andreas Bockelmann, 2022-11-13 18:52:

> Marco Moock schrieb:
>> Am 12.11.2022 um 14:42:13 Uhr schrieb Ralf Kiefer:
>>
>> Da ist schon das erste Problem: Bei IPv6 gibt es im Normalfall kein
>> NAT. Der Pc hat ne öffentliche IP
>
> Ja, das halte ich für ein Riesenproblem:
>
> Warum sollten meine PCs, Drucker, IoT-Geräte alle eine öffnekltiche IP
> haben? Will ich nicht, also: IPv6 brauche ich nicht, bringt mehr Risiken als
> Nutzen.

Welches Risiko siehst Du darin? Unerwünschte Zugriffe auf diese Geräte
kann ja verhindern und auch bei IPv4 mit NAT gab es diverse Probleme mit
Konstrukten wie "FTP-Helpern", die ungefragt Portweiterleitungen
eingerichtet haben, weil sie glaubten, dass ein Client im LAN einem
FTP-Server mittgeteilt hat, dass er über einen bestimmten Port
Datenverbindungen akzeptiert.

[Arno Welzel]

Ralf Kiefer, 2022-11-13 19:53:

[...]> Der tägliche oder noch häufigere Wechsel der Adresse hat durchaus

> Vorteile. Schon die Verfolgungsmethoden mit Hilfe des Web-Browsers durch
> viele Web-Anbieter sind mehr als lästig.

Der Adresswechsel ist bei IPv6 mit Privacy Extensions Standard.

[Arno Welzel]

Ralf Kiefer, 2022-11-13 20:51:

> Marco Moock wrote:
>
>> Dann aktiviere Privacy-Extensions
>
> Ich sehe mich wieder stundenlang in diversen Linuxen rumbasteln, neu
> starten, prüfen und frustriert aufgeben, denn das scheint keine einfache
> Einstellung mal eben so zu sein.

Examplarisch:

<https://wiki.ubuntuusers.de/IPv6/Privacy_Extensions/>

[Gerrit Heitsch]

On 11/13/22 23:15, Peter Heirich wrote:

> Am Sun, 13 Nov 2022 17:03:41 +0100 schrieb Gerrit Heitsch:
>
>> Kommt immer drauf an wieviele Broadcasts diese Systeme generieren.
>

> Es gibt auch Netze, die damit weniger Probleme haben.
>
> Die Deutsche Post hat viele Jahre Tokenring statt Ethernet benutzt. In so
> einem Frachtzentrum ( ohne Sortiertechnik, die war Ethernet ) kommen
> leicht mal um 400 Clients zusammen, die auf 2 Ringe aufgeteilt werden.

Und schon bist du wieder im Rahmen der von mir erwähnten 200-300 Clients
pro LAN-Segment.

Gerrit

[Gerrit Heitsch]

On 11/14/22 01:04, Ralf Kiefer wrote:
>
> Ich halte es für wichtiger zu verschleiern, welcher interne Rechner was
> draußen macht und welche Art von Rechner das ist. Mit TR-069 holt der
> "Bösewicht beim Provider"[tm] die (aktiven) MAC-Adressen ab. Et voila,
> schon lassen sich Macs, Raspis und andere spezielle Rechnerfamilien
> direkt einordnen.

Und bei meinem '2 Router hintereinander' Setup bekommt er nur die MAC
vom WAN-Port des zweiten Routers zu sehen.

Gerrit

[Marco Moock]

Am 13.11.2022 um 22:03:46 Uhr schrieb Ralf Kiefer:

> Mein Erfahrungswert: bei jeder Version muß man an anderer Stelle
> irgendwelche Konfigurationsdateien editieren, denn beim nächsten Mal
> könnte es schon wieder nicht mehr funktionieren und die gerade
> editierte Datei wird nach dem nächsten Neustart übergebügelt. Kurz:
> Raspbian-Doku ist teils Murks.

Daher nutze ich das nicht. Nimm halt Debian oder Ubuntu auf dem Raspi.

> Es könnte so einfach sein unter /etc eine Datei oder ein Subdirectory
> einzurichten, wo alle relevanten Parameter fürs IP-Protokoll
> eingetragen werden und als einzige(!) Quelle betrachtet werden.
> Dasselbe für Netatalk/AppleTalk, NTP, FTP-Server usw. Wenn dann noch
> in einer graf. Benutzeroberfläche unter diesem Linux (sofern
> vorhanden) genau ein Kontrollfeld den Editor für diese eine Datei
> ersetzen würde, wäre es zeitgemäß.

Da kocht halt jeder seine eigene Suppe, daher ist das so komplex.

> Schön :-( Auf dem Land gibt's manchmal ein begrenztes Angebot an
> Providern. Und manchmal auch sehr teure. Der letzte einäugige unter
> den komplett blinden war bis vor ein paar Jahren Easybell.
>
> Welcher Provider wäre denn ein gscheiter?

Telekom bietet /56, TAL.de /48 (fix), titan-networks auch /48.

> Das ist mir klar. Blöd ist, daß es quasi einen Fritzbox-Zwang gibt.
> Einerseits verweigern Provider Service, wenn keine Fritzbox als
> DSL-Router genommen wird.

Das geht rechtlich gar nicht mehr (Routerfreiheit). Und wenn der Support
nicht will, muss man denen zur Not halt drohen, nicht zu zahlen.

> > Du brauchst vom Provider ein ausreichend großes Netz, damit du für
> > jeden Ethernet-Link ein /64 hast. /56 wäre dafür völlig
> > ausreichend.
>

> Gibt's irgendwo verstehbare Erklärungen? Vorneweg: ich habe vor Jahren
> versucht das jeweilige Geschreibsel in der c't zu verstehen. Ich hatte
> nicht den Eindruck, daß die verstanden hatten, was sie schreiben.
> Zumindestens deren Erklärungsversuche waren eher amateurhaft, weil
> unlogisch und/oder lückenhaft.

Ja, man muss es aber verstehen wollen. Für einen Ethernet-Link ist /64
vorgesehen.

Für einen Kunden ist (glaub so gar im RFC) ein /48 vorgesehen.
Andere Größen sind möglich, haben aber Nachteile.

> Sicherheitslücken hätte ich auch mit der neuesten Variante von Windows
> 11 oder MacOS X, mit Linuxen inklusive. Heutige Betriebssysteme und
> Anwendungen sind nunmal mit einem recht großen Schrottpotential
> gesegnet. Da muß man mit leben. Frei nach Fefe: "Das ist Software, da
> kann man nichts machen."

Auch in neuen Systemen gibt es Lücken, die werden aber behoben.
Das Nutzen von Software ohne Updates ist halt ein größeres Risiko und
dagegen kann man schon was machen, wenn man will.

[Marco Moock]

Am 14.11.2022 um 01:04:05 Uhr schrieb Ralf Kiefer:

> IP-Adresse. Die verschiedenen Anwendungen oder Betriebssysteme müssen
> aufwendig getrackt werden, also nicht trivial. Und dazu gehört
> (kriminelle) Energie.

Das ist zumindest beim Browser seit 20 Jahren standard, weil es schon
da Proxies und NAT gab.

> Die werden hier im Router (in einem internen) "hinter" der Fritzbox
> sowieso gesperrt, z.B. Drucker, die heim telefonieren wollen. Kein
> Problem mit denen.

Auch mit IPv6 nicht. Du stellst im RA das A-Flag ab für das GUA-Netz
und dann richtest du einen DHCPv6 für die Rechner ein, die ins Internet
können sollen. Sonst ein ULA-Netz mit A-Flag, damit Drucker & Co im
internen Netz kommunizieren können.

> Zunächst halte ich es für weniger schlimm, wenn draußen im
> Provider-Netz abgeschätzt werden kann, wieviele unterschiedliche
> Netzteilnehmer aus meinem lokalen Netz draußen mitspielen. Zumal der
> Provider meist mit TR-069 den/seinen ersten Router befragen kann und
> dieser seine Kenntnisse über alle direkt angeschlossenen Netzgeräte
> freizügig nach draußen reicht. Wenn diese Fritzbox zudem DNS- und
> DHCP-Server spielen sollte ...

Es hat seine Gründe, warum ich niemals einen Router mit aktivem TR-069
nutzen würde. Ich will halt nicht, dass ein Provider darüber Kontrolle
hat.

> Ich halte es für wichtiger zu verschleiern, welcher interne Rechner
> was draußen macht und welche Art von Rechner das ist. Mit TR-069 holt
> der "Bösewicht beim Provider"[tm] die (aktiven) MAC-Adressen ab. Et
> voila, schon lassen sich Macs, Raspis und andere spezielle
> Rechnerfamilien direkt einordnen.

s.o.

> Z.B. läßt sich wohl beim Mitlesen von (S)NTP-Anfragen nicht nur die
> Zahl der Rechner hinter dem NAT-Gerät erkennen, sondern ziemlich
> genau auch das Merkmal Betriebssystem teils inkl. Version. Abhilfe:
> lokaler NTP-Server. Das war einfach :-) Gar keine NTP-Anfragen nach
> draußen bekommt man mit seinem lokalen NTP-Server mit DCF77- oder
> GPS-basierter Uhr. Da kann einem nicht mal ein Bösewicht im
> Provider-Netz die ein oder andere Verschlüsselungsmethode abschalten,
> indem NTP manipuliert wird.

Wenn das deine größten Probleme sind...

> Das Alles ist mit IPv4 überschaubar, aber nicht mehr so sehr mit IPv6.
> IPv6 wurde zu einer Zeit entwickelt, als es all diese Fragen in der
> Praxis noch nicht gab.

Und auch da stimmt mal wieder nicht. Wenn du NAT so gerne hast, kannst
du das auch mit IPv6 machen. Nur der Rest der Welt hat darauf halt
keinen Bock, weil es die Nachteile von NAT hat (wer hätte das gedacht).

> Canvas Fingerprinting ist schon sehr lange ein weiteres Problem. Dafür
> hat man NoScript, kann dafür im Gegenzug nicht mehr jede Web-Seite
> problemlos anschauen. Z.B. die FAZ liefert schon seit ein paar Jahren
> ihre Texte mit Hilfe von Javascript aus. Folge: ich lese keine FAZ
> mehr. Vermutlich war das sogar das Ziel bei der FAZ ;-)

Und das funktioniert mit IPv4 genauso wie mit IPv6. Das meiden solcher
Webserver ist die bessere Lösung.

[Marco Moock]

Am 14.11.2022 um 13:10:18 Uhr schrieb Ralf Kiefer:

> Die Ports 1000, 5555, 7547, 8089 und 46000 werden für TCP und UDP auf
> eine nicht vorhandene, interne IP-Adresse umgeleitet. Ich hatte
> seinerzeit großflächig gesucht und diese 5 Ports als verdächtig
> befunden. Man darf mich korrigieren :-)

Ich würde das Feature deaktivieren und wenn das nicht geht ein anderes
Gerät nehmen, in dem es keine administrativen Zugänge für fremde Leute
gibt.

[Gerrit Heitsch]

On 11/14/22 12:35, Ralf Kiefer wrote:

> Gerrit Heitsch wrote:
>
>> Und bei meinem '2 Router hintereinander' Setup bekommt er nur die MAC
>> vom WAN-Port des zweiten Routers zu sehen.
>

> ACK. Zusätzlich kann man bei einigen Geräten die MAC-Adresse leicht
> ändern, z.B. die ersten 3 Byte :-)

Oder auch die komplette MAC, zumindest auf Linux:

ip link set dev eth0 down
ip link set dev eth0 address <new MAC>
ip link set dev eth0 up

oder mit ifconfig:

ifconfig eth0 down
ifconfig eth0 hw ether <new MAC>
ifconfig eth0 up

Wer wissen will, welchem Hersteller die ersten 3 Bytes einer MAC
entsprechen:

https://standards-oui.ieee.org/oui/oui.txt

Gerrit

[Ignatios Souvatzis]

Marco Moock wrote:

> Am 13.11.2022 um 16:55:03 Uhr schrieb Gerrit Heitsch:
>
>> On 11/13/22 16:45, Marco Moock wrote:
>> > Am 13.11.2022 um 16:34:26 Uhr schrieb Gerrit Heitsch:
>> >
>> >> On 11/13/22 16:15, Arno Welzel wrote:
>> >>> "Nur" /64 ist bei IPv6 immer noch millionenfach mehr als man bei
>> >>> IPv4 weltweit hat.
>> >>
>> >> Ja, aber leider nicht weiter segmentierbar, oder ist ein /96 bei
>> >> IPv6 möglich? In einem LAN-Segment sind aber mehr als 200 bis 300
>> >> Rechner nicht sinnvoll, man verschwendet also unglaublich viele
>> >> Adressen.
>> >
>> > Ja, das ist möglich, aber nicht vorgesehen. Die meisten Geräte
>> > fressen es aber (eigene Erfahrung).
>>
>> Beisst sich das nicht mit der automatischen Vergabe von IP-Adressen?
>

> Die Autokonfiguration (SLAAC) geht dann nicht. [...]

kryptografische oder anonysierte Adressen auch nicht,

-is

[Marco Moock]

Am 14.11.2022 um 14:35:00 Uhr schrieb Ralf Kiefer:

> Vor einigen Jahren schloß ich meine Suche ab: Fritzboxen sind (leider)
> alternativlos. Und so gelangt mein IPv4-Verkehr weiterhin bis zu
> dreimal geNATtet nach draußen ...

Komischerweise gehen die von dir gewollten Funktionen mit einer
FritzBox. Die Verwaltung durch den ISP kann man deaktivieren.
Warum es da 3x NAT braucht konntest du bisher nicht nachvollziehbar
erläutern.

[Marco Moock]

Am 14.11.2022 um 17:20:58 Uhr schrieb Ralf Kiefer:

> Ersteres ja, weswegen ich trotzdem eine solche verwende. Zweiteres
> nicht offiziell. Den Punkt "Automatische Einrichtung durch den
> Dienstanbieter zulassen" kann man ausknipsen. Es wirkt nur nicht.
> Dazu kommt, daß dieser Punkt bei Neueinrichtung zunächst NICHT
> ausgeknipst werden kann. Erst wenn die Fritzbox zum ersten Mal vom
> Provider befingert wurde, geht das. So bei FritzOS 6.86.

Ist das ne Box von nem Provider?
Ggf. Branding entfernen!

[Markus Elsken]

Moin!

Am 14.11.22 um 15:30 schrieb Marco Moock:

> Die Verwaltung durch den ISP kann man deaktivieren.

Mal geprüft: ab Werk deaktiviert, auch bei der alten 7490.

mfg Markus

[Diedrich Ehlerding]

>> Mal geprüft: ab Werk deaktiviert, auch bei der alten 7490.
>

> Hast Du diese Fritzbox dazu an die DSL-Leitung gehängt?
>
> Und dann schau mal bitte in die gesicherte Konfigurationsdatei wg.
> TR-069 und den Zeitstempeln.

BTDT.

Bei meiner 7560, seit ca 5 Jahren am DSL und neuerdings an Glas, steht
da:


|tr069cfg {
| enabled = no;
[usw.]

und alle Zeitstempel sehen gleich aus, nämlich so:
| LastInformReq = "1970-01-01 00:00:00";
| LastSuccessfulContact = "1970-01-01 00:00:00";

Bewusst konfiguriert, insbesondere TR-069 abgeschaltet, habe ich da
seinerzeit nix.

[Markus Elsken]

Moin!

Am 15.11.22 um 00:20 schrieb Ralf Kiefer:

> Hast Du diese Fritzbox dazu an die DSL-Leitung gehängt?

Die 7590AX hängt dran, die 7490 hängt via MESH dran.

> Und dann schau mal bitte in die gesicherte Konfigurationsdatei wg.
> TR-069 und den Zeitstempeln.

Meinst DU die Exportdatei?

mfg Markus

[Arno Welzel]

Ralf Kiefer, 2022-11-15 13:35:

> Diedrich Ehlerding wrote:
>
>> Bewusst konfiguriert, insbesondere TR-069 abgeschaltet, habe ich da
>> seinerzeit nix.
>

> Dann macht AVM das je nach Lust, Laune und Modell unterschiedlich. So,
> wie in Deiner Fritzbox, sollte es sein.

Oder einfach mal bei AVM selber nachsehen, statt zu spekulieren:

<https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1472_Unterstutzt-die-FRITZ-Box-TR-069/>

Zitat:

2 Ist TR-069 aktiv?

Klicken Sie in der Benutzeroberfläche der FRITZ!Box auf "Diagnose".
Klicken Sie im Menü "Diagnose" auf "Sicherheit".
Ob TR-069 aktiv ist, wird im Abschnitt "Anbieter-Dienste (TR069)" angezeigt.

(Zitat Ende)

Da steht dann bei meiner Fritz!Box 7590, die ich selber gekauft habe und
an einem Telekom-VDSL-Anschluss nutze:

Anbieter-Dienste (TR069)

Auto Configuration Server (ACS): nicht aktiv
Genutztes ACS Protokoll: -
Überprüfung des ACS Zertifikats: -

[Chr. Maercker]

Marco Moock wrote:
> Von DNS hast du schon gehört?
> Von Mathe auch?

"Zahlen" in der Schreibweise 1:::...:FFFF hatten wir weder im Studium
geschweige denn im Matheunterricht. ;-)

> Der IPv4-Adressbereich sit halt nicht groß genug.

Mit IPX wär das nicht passiert. Obendrein wäre die Adressierung damit
weit übersichtlicher als die von IPv6.

--


Duck & wech Chr. Maercker.

[Marco Moock]

Am 15.11.2022 um 20:44:19 Uhr schrieb Chr. Maercker:

> Marco Moock wrote:
> > Von DNS hast du schon gehört?
> > Von Mathe auch?
>
> "Zahlen" in der Schreibweise 1:::...:FFFF hatten wir weder im Studium
> geschweige denn im Matheunterricht. ;-)

Wir hatten das in der Schule. Da wurden in Mathe auch Zahlensysteme
durchgenommen, incl. römischen Zahlen, hex und binär.
Nur der Doppelpunkt hat gefehlt. :-)

> > Der IPv4-Adressbereich sit halt nicht groß genug.
>
> Mit IPX wär das nicht passiert. Obendrein wäre die Adressierung damit
> weit übersichtlicher als die von IPv6.

IPX war vor meiner Zeit, davon habe ich mal kurz was gelesen, sonst hat
das wohl heute so ne Relevant wie UUCP.

[Gerrit Heitsch]

On 11/15/22 21:09, Marco Moock wrote:
> Am 15.11.2022 um 20:44:19 Uhr schrieb Chr. Maercker:
>
>> Marco Moock wrote:
>>> Von DNS hast du schon gehört?
>>> Von Mathe auch?
>>
>> "Zahlen" in der Schreibweise 1:::...:FFFF hatten wir weder im Studium
>> geschweige denn im Matheunterricht. ;-)
>
> Wir hatten das in der Schule. Da wurden in Mathe auch Zahlensysteme
> durchgenommen, incl. römischen Zahlen, hex und binär.
> Nur der Doppelpunkt hat gefehlt. :-)

Der wurde hoffentlich im Deutschunterricht behandelt.

Gerrit

[Arno Welzel]

Chr. Maercker, 2022-11-15 20:44:

Du scheinst weder IPX noch IPv6 wirklich zu kennen.

[Chr. Maercker]

Marco Moock wrote:
> Wir hatten das in der Schule. Da wurden in Mathe auch Zahlensysteme
> durchgenommen, incl. römischen Zahlen, hex und binär.
> Nur der Doppelpunkt hat gefehlt. :-)

Allerdings. Übersichtlich sieht anders aus.

>>> Der IPv4-Adressbereich sit halt nicht groß genug.

>> Mit IPX wär das nicht passiert. Obendrein wäre die Adressierung damit
>> weit übersichtlicher als die von IPv6.

> IPX war vor meiner Zeit, davon habe ich mal kurz was gelesen, sonst hat
> das wohl heute so ne Relevant wie UUCP.

Denkbar einfaches Adress-Schema: 4 Bytes Network address, anschließend
12 Bytes Node address = MAC-Adresse vom NIC. Getrennt durch Doppelpunkt.
Service numbers wie beim TCP gab es auch, die hießen Socket numbers.
Kein DHCP nötig, Adressen ergeben sich quasi automatisch. Im Gegensatz
zu M$ NetPfui ist IPX routingfähig.

IPv6 ist letzlich eine Weiterentwicklung von IPX.
--


CU Chr. Maercker.

[Marco Moock]

Am 18.11.2022 um 17:34:19 Uhr schrieb Chr. Maercker:

> Denkbar einfaches Adress-Schema: 4 Bytes Network address, anschließend
> 12 Bytes Node address = MAC-Adresse vom NIC. Getrennt durch
> Doppelpunkt. Service numbers wie beim TCP gab es auch, die hießen
> Socket numbers. Kein DHCP nötig, Adressen ergeben sich quasi
> automatisch. Im Gegensatz zu M$ NetPfui ist IPX routingfähig.

Warum wurde das dann nicht verwendet?
Irgendwelche Patente/Urheberrecht?

Wurde es jemand nennenswert genutzt?

[Hanno Foest]

On 18.11.22 17:55, Marco Moock wrote:

>> Denkbar einfaches Adress-Schema: 4 Bytes Network address, anschließend
>> 12 Bytes Node address = MAC-Adresse vom NIC. Getrennt durch
>> Doppelpunkt. Service numbers wie beim TCP gab es auch, die hießen
>> Socket numbers. Kein DHCP nötig, Adressen ergeben sich quasi
>> automatisch. Im Gegensatz zu M$ NetPfui ist IPX routingfähig.
>
> Warum wurde das dann nicht verwendet?

Vermutlich zu wenig flexibel. Ob das jetzt gut oder schlecht ist sei
dahingestellt.

> Wurde es jemand nennenswert genutzt?

DOS Spiele haben das gern zur Vernetzung benutzt.

[Chr. Maercker]

Peter Heirich wrote:
[Wurde IPX nicht verwendet? Irgendwelche Patente/Urheberrecht?]

WIMRE hatte Xerox ein Patent auf IPX. Evtl. war das ein Hindernis?

> Es wurde, massiv sogar.
> Novell Netware war das führende Netzwerkbetriebssystem bis etwa 2000.

ACK, nur deswegen kenne ich IPX.

> Unter Netware 4 wurde die NDS eingeführt, der Vorläufer des Active
> Directory. In Teilen ist die NDS noch weiter entwickelt als das AD,
> insbesondere was die Verknüpfung von Rollen mit Personen betrifft.

M$ hat eDirectory alias NDS nicht mal ordentlich abgekupfert.

> Die Bindery von 3.x Novell entspricht etwa der linearen Struktur der
> Nutzerdatenbank bis Windows NT.

Nicht ganz:
Bindery: eine Nutzerverwaltung je Server
Domain: eine Nutzerverwaltung je Domain, d.h. für mehrere Server
Dafür ist die Bindery gut zehn Jahre älter als das Domain-Modell.

> Das AD soll Gerüchten zufolge entstanden
> sein, dass MS die wichtigsten Entwickler von Novell abgeworben hat.

Dann wäre Active Directory damals wie heute besser. ;-)
Aber richtig ist, eNTe-Server wurden eigens entwickelt, um Novell
auszubooten. Mit Netzwerkprotokollen, die nicht standardkonform waren
und nicht richtig funktionierten, aber von M$s Marktmacht zum "Standard"
gemacht wurden.

> Die Replikation innerhalb des AD wurde etwas besser gelöst, als in der
> NDS, die auf Zeitstempeln basiert.

Stimmt, NDS-Sync war immer etwas hakelig. Unter Beachtung einiger
Grundregeln funktionierten verteilte NDS-Systeme dennoch sehr zuverlässig.

>> Wurde es jemand nennenswert genutzt?

> Zu Tausenden.

Server. Inklusive Clients millionenfach.
--


CU Chr. Maercker.

[Chr. Maercker]

Hanno Foest wrote:
> Vermutlich zu wenig flexibel. Ob das jetzt gut oder schlecht ist sei
> dahingestellt.

SAP und RIP, mit dem die Server- und Routinginformationen ausgetauscht
wurden, arbeiten mit allerhand Broadcasts. Das soll ein entscheidender
Grund gegen IPX gewesen sein. Wobei RIP/SAP übergeordnete Protokolle
sind, die nur IPX zum Transport nutzen.

>> Wurde es jemand nennenswert genutzt?

> DOS Spiele haben das gern zur Vernetzung benutzt.

Peer to peer, ohne Server, sogar das ging. Unter NetWare lief jede Menge
Profi-Software mit IPX.

--


CU Chr. Maercker.