Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
IPv6 oder wie geh ich vor?
45 views
Skip to first unread message
Nelson Matias
Mar 26, 2021, 7:25:38 AM3/26/21
to
Hallo Gruppe,
ich habe aktuell etwas Zeit für mich, weil ich andere meiden soll ;-)
Also habe ich jetzt die Modernisierung meines eigenen Netzes in Angriff
genommen.
Stand jetzt:
Ich betreibe einen Fli4l hinter einer Fritz!Box. Der Fli4l ist dort als
exposed Host eingetragen und alles funzt jetzt.
Allerdings ist der Fli4l nicht mehr aktuell. Es läuft die Version 3.4.0.
Flames deswegen bitte gleich nach /dev/null.
Ich habe schon einmal den Umstieg zu neuerer Version versucht. Die neue
Syntax hat mir anfangs ein wenig Fragezeichen geschenkt und mein Wissen
über meine Konfiguration war auch etwas eingerostet. Dann kam der Frust
dazu ... nimm doch gleich die 4er, weil die stabile wird eh bald abgelöst.
So also steh ich jetzt neu da. Mit jetzt mehr Zeit und auch einer neuen
Motivation. Ich habe mich in das Thema IPv6 ein wenig eingearbeitet und
verstehe jetzt die wesentlichen Unterschiede. Und habe da noch ein paar
Fragen an die Profis, die das jetzt schon einsetzen. Auch hier: Jeder
der mich davon abhalten will solchen neuen Teufelszeug nutzen zu wollen
möchte das bitte an /dev/null schicken.
Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann
ich diese Adressen verwalten?
Ich betreibe auch einen Eis der mir eine Cloud bereitstellt, sich um
meine Post kümmert und auch andere Sachen macht.
Zusätzlich habe ich (natürlich) auch einige smarte Dinge daheim die sich
mit dem Netz unterhalten (und dabei mich gerne auch mal ignorieren).
Was habe ich bisher Verstanden:
Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
interfaces gleich sein, daher muss sie bei der Verwendung immer auch
einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
intern (also im OS) genutzt?
Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
sondern einen Netzbereich /56 oder so.
Jetzt die konkreten Fragen von mir:
Meine Geräte machen sich normalerweise ihre eigenen Adressen. Der
Einfachheit wegen nehme ich dazu jetzt feste Nummern (suffixe).
Also könnte ich wollen, das mein Eis das Suffix 200 hat. somit hat er
eine link-local-Adresse fe80::200.
In meinem Heimnetz kann ich ihm dann auch eine eigene Adresse geben.
Dazu bekommt er vom Router das prefix fdaa:21a7:a92c:2008::/64 und er
macht sich seine Adresse wieder selber -> fdaa:21a7:a92c:2008:2008::200
Dabei ist fd der hinweis, das es sich um eine ula handelt, aa:21a7:a92C
ist eine zufällig generierte Zahl und die 2008 habe ich festgelegt.
Hier auch schon meine Fragen dazu:
Wann wird die zufällige Komponente generiert? Und was ist wenn diese
sich ändert? Ist das eine Adresse, die ich global nutzen kann?
Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
ohne großen Konfigurationsaufwand untereinander unterhalten?
Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
Wie hoch ist dazu der Aufwand.
Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
gebunden werden. (Stichwort: Trennung Intra-/Internet)
Und schließlich wenn das Netz soweit steht ... wie kann ich das
Kontrollieren. Ich nutze aktuell das c3surf-paket. Dort sind neue Geräte
erst mal vom Internet abgeschnitten. Das lebt aber von statischen
Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
Druckers den Namen Drucker verwenden.
Puh ....
Also das sind die ersten Fragen. Wer bis hier durchgehalten hat, Respekt!
Die Antworten können auch spezifischer sein und lediglich Teilbereiche
abdecken. Dann evtl. den Betreff anpassen.
Ich verspreche, das es weitere Fragen geben wird. Ich bin auch mit
Antworten ala: 'Schau mal hier [link], da wird das beantwortet.' Sind
auch willkommen.
Ja, ich kenne auch gidf.de und ja ich habe auch selber schon gesucht.
Aber ich komme aktuell nicht auf eine Lösung, die mir das konkret
erklärt. Und schon gar nicht auf eine Lösung, die mir bei der
Konfiguration hilft.
Ach ja ... bei der 4er Version von Fli4l sollte das IPv6-Paket umbenannt
werden, weil es ja keine IPv6-Funktionalität bringt, sondern für Tunnel
da ist.
So jetzt reichts aber erst mal.
bleibt Gesund
Nelson
ich habe aktuell etwas Zeit für mich, weil ich andere meiden soll ;-)
Also habe ich jetzt die Modernisierung meines eigenen Netzes in Angriff
genommen.
Stand jetzt:
Ich betreibe einen Fli4l hinter einer Fritz!Box. Der Fli4l ist dort als
exposed Host eingetragen und alles funzt jetzt.
Allerdings ist der Fli4l nicht mehr aktuell. Es läuft die Version 3.4.0.
Flames deswegen bitte gleich nach /dev/null.
Ich habe schon einmal den Umstieg zu neuerer Version versucht. Die neue
Syntax hat mir anfangs ein wenig Fragezeichen geschenkt und mein Wissen
über meine Konfiguration war auch etwas eingerostet. Dann kam der Frust
dazu ... nimm doch gleich die 4er, weil die stabile wird eh bald abgelöst.
So also steh ich jetzt neu da. Mit jetzt mehr Zeit und auch einer neuen
Motivation. Ich habe mich in das Thema IPv6 ein wenig eingearbeitet und
verstehe jetzt die wesentlichen Unterschiede. Und habe da noch ein paar
Fragen an die Profis, die das jetzt schon einsetzen. Auch hier: Jeder
der mich davon abhalten will solchen neuen Teufelszeug nutzen zu wollen
möchte das bitte an /dev/null schicken.
Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann
ich diese Adressen verwalten?
Ich betreibe auch einen Eis der mir eine Cloud bereitstellt, sich um
meine Post kümmert und auch andere Sachen macht.
Zusätzlich habe ich (natürlich) auch einige smarte Dinge daheim die sich
mit dem Netz unterhalten (und dabei mich gerne auch mal ignorieren).
Was habe ich bisher Verstanden:
Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
interfaces gleich sein, daher muss sie bei der Verwendung immer auch
einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
intern (also im OS) genutzt?
Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
sondern einen Netzbereich /56 oder so.
Jetzt die konkreten Fragen von mir:
Meine Geräte machen sich normalerweise ihre eigenen Adressen. Der
Einfachheit wegen nehme ich dazu jetzt feste Nummern (suffixe).
Also könnte ich wollen, das mein Eis das Suffix 200 hat. somit hat er
eine link-local-Adresse fe80::200.
In meinem Heimnetz kann ich ihm dann auch eine eigene Adresse geben.
Dazu bekommt er vom Router das prefix fdaa:21a7:a92c:2008::/64 und er
macht sich seine Adresse wieder selber -> fdaa:21a7:a92c:2008:2008::200
Dabei ist fd der hinweis, das es sich um eine ula handelt, aa:21a7:a92C
ist eine zufällig generierte Zahl und die 2008 habe ich festgelegt.
Hier auch schon meine Fragen dazu:
Wann wird die zufällige Komponente generiert? Und was ist wenn diese
sich ändert? Ist das eine Adresse, die ich global nutzen kann?
Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
ohne großen Konfigurationsaufwand untereinander unterhalten?
Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
Wie hoch ist dazu der Aufwand.
Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
gebunden werden. (Stichwort: Trennung Intra-/Internet)
Und schließlich wenn das Netz soweit steht ... wie kann ich das
Kontrollieren. Ich nutze aktuell das c3surf-paket. Dort sind neue Geräte
erst mal vom Internet abgeschnitten. Das lebt aber von statischen
Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
Druckers den Namen Drucker verwenden.
Puh ....
Also das sind die ersten Fragen. Wer bis hier durchgehalten hat, Respekt!
Die Antworten können auch spezifischer sein und lediglich Teilbereiche
abdecken. Dann evtl. den Betreff anpassen.
Ich verspreche, das es weitere Fragen geben wird. Ich bin auch mit
Antworten ala: 'Schau mal hier [link], da wird das beantwortet.' Sind
auch willkommen.
Ja, ich kenne auch gidf.de und ja ich habe auch selber schon gesucht.
Aber ich komme aktuell nicht auf eine Lösung, die mir das konkret
erklärt. Und schon gar nicht auf eine Lösung, die mir bei der
Konfiguration hilft.
Ach ja ... bei der 4er Version von Fli4l sollte das IPv6-Paket umbenannt
werden, weil es ja keine IPv6-Funktionalität bringt, sondern für Tunnel
da ist.
So jetzt reichts aber erst mal.
bleibt Gesund
Nelson
Olaf Jaehrling
Mar 26, 2021, 5:58:56 PM3/26/21
to
Hallo Nelson,
Nelson Matias schrieb am 26.03.21 um 12:25:
> Hallo Gruppe,
die kein v4 menr können.
>
> Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann
> ich diese Adressen verwalten?
sieh unten. die fd00-fe sinbd genau für den privaten, nicht öffentliuch
Bereich gedacht und werden auch nicht im i-net geroutet.
>
> Was habe ich bisher Verstanden:
> Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
> interfaces gleich sein, daher muss sie bei der Verwendung immer auch
> einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
> intern (also im OS) genutzt?
Nur vom OS genutzt!
>
> Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
> entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
jupp, siehe unten.
den Bereich fd. (siehe https://de.wikipedia.org/wiki/IPv6 unter Unique
Local Unicast)
Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
man sich sogar (mit einem Trick) merken.
zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
fd00:8535:4517:45:31::1/64
fd00 = nehme ich mal fest
8535 = home
4517 = netz
4531 = nema (Ne[lson]ma[tias]
die fe80 sollten niemals für die ipv6 Kommunikation verwendet werden,
ausser als default-gateway.
>
> In meinem Heimnetz kann ich ihm dann auch eine eigene Adresse geben.
> Dazu bekommt er vom Router das prefix fdaa:21a7:a92c:2008::/64 und er
> macht sich seine Adresse wieder selber -> fdaa:21a7:a92c:2008:2008::200
> Dabei ist fd der hinweis, das es sich um eine ula handelt, aa:21a7:a92C
> ist eine zufällig generierte Zahl und die 2008 habe ich festgelegt.
>
> Hier auch schon meine Fragen dazu:
> Wann wird die zufällige Komponente generiert? Und was ist wenn diese
> sich ändert? Ist das eine Adresse, die ich global nutzen kann?
Du brauchst im prtivaten Bereich die zufällige Variante nicht und kannst
du mit :: kürzen.
Mein Netz ist z.Bsp.net6 fd0c:1a0:4020:ba01::/64 und mein Laptop hat die
IP fd0c:1a0:4020:ba01::78
>
> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
> ohne großen Konfigurationsaufwand untereinander unterhalten?
Ja, natürlich. Das wären dann hie hinteren 4 Felder der IP, doe ich oben
ignoriert habe.
Hier kannst du auch mit Bereichen Arbeien und das selbe Muster anwenden
wir bei den 3 Bereichen vorne. Also für webserver zum Bsp
4520:5835:8728:1205 (webs:erve:rzuh:ause)
Die Adrfesse für den Webserver könnte also
fd00:8535:4517:4531:4520:5835:8728:1205/64 sein
Da sind deiner Fantasie fast keine Grenzen gesetz.
sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
mehre ips haben?
>
> Und schließlich wenn das Netz soweit steht ... wie kann ich das
> Kontrollieren. Ich nutze aktuell das c3surf-paket. Dort sind neue Geräte
> erst mal vom Internet abgeschnitten. Das lebt aber von statischen
> Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
> will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
> zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
> Druckers den Namen Drucker verwenden.
nftables oder ip6tables sind da dein Freund. Wobei ich aber nftables
verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
Wie das alles beim fli4l geht weiß ich allerdings nicht.
Achja. Man kann den clients auch per routeradvertisment die ip dynamisch
vergeben, bzw in Verbindung mit dhcpv6 sogar feste ipv6 vergeben.
Für den eis gibt es den radvd-Paket [1]. Ob der dhcp-server des eis
mittlerweile ipv6 unterstützt weiß ich nicht. Ich habe mir dafür den
dhvp-server von einem Debian ausgeliehen (dhcpd 4.3.6-P1). Der kann ipv4
und ipv6
>
Gruß
Olaf
--
[1] Paketserver: https://ojaehrling.de/eis/index.txt
Nelson Matias schrieb am 26.03.21 um 12:25:
> Hallo Gruppe,
>
>
> So also steh ich jetzt neu da. Mit jetzt mehr Zeit und auch einer neuen
> Motivation. Ich habe mich in das Thema IPv6 ein wenig eingearbeitet und
> verstehe jetzt die wesentlichen Unterschiede. Und habe da noch ein paar
> Fragen an die Profis, die das jetzt schon einsetzen. Auch hier: Jeder
> der mich davon abhalten will solchen neuen Teufelszeug nutzen zu wollen
> möchte das bitte an /dev/null schicken.
Früher oder später müssen es die Admins nehmen. Ich kenn schon Geräte
>
> So also steh ich jetzt neu da. Mit jetzt mehr Zeit und auch einer neuen
> Motivation. Ich habe mich in das Thema IPv6 ein wenig eingearbeitet und
> verstehe jetzt die wesentlichen Unterschiede. Und habe da noch ein paar
> Fragen an die Profis, die das jetzt schon einsetzen. Auch hier: Jeder
> der mich davon abhalten will solchen neuen Teufelszeug nutzen zu wollen
> möchte das bitte an /dev/null schicken.
die kein v4 menr können.
>
> Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann
> ich diese Adressen verwalten?
Bereich gedacht und werden auch nicht im i-net geroutet.
>
> Was habe ich bisher Verstanden:
> Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
> interfaces gleich sein, daher muss sie bei der Verwendung immer auch
> einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
> intern (also im OS) genutzt?
>
> Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
> entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
>
> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
> sondern einen Netzbereich /56 oder so.
>
> Jetzt die konkreten Fragen von mir:
> Meine Geräte machen sich normalerweise ihre eigenen Adressen. Der
> Einfachheit wegen nehme ich dazu jetzt feste Nummern (suffixe).
>
> Also könnte ich wollen, das mein Eis das Suffix 200 hat. somit hat er
> eine link-local-Adresse fe80::200.
Nein, definitiv keine fe80. für die vergebenene Addressen nutze bitte
> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
> sondern einen Netzbereich /56 oder so.
>
> Jetzt die konkreten Fragen von mir:
> Meine Geräte machen sich normalerweise ihre eigenen Adressen. Der
> Einfachheit wegen nehme ich dazu jetzt feste Nummern (suffixe).
>
> Also könnte ich wollen, das mein Eis das Suffix 200 hat. somit hat er
> eine link-local-Adresse fe80::200.
den Bereich fd. (siehe https://de.wikipedia.org/wiki/IPv6 unter Unique
Local Unicast)
Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
man sich sogar (mit einem Trick) merken.
zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
fd00:8535:4517:45:31::1/64
fd00 = nehme ich mal fest
8535 = home
4517 = netz
4531 = nema (Ne[lson]ma[tias]
die fe80 sollten niemals für die ipv6 Kommunikation verwendet werden,
ausser als default-gateway.
>
> In meinem Heimnetz kann ich ihm dann auch eine eigene Adresse geben.
> Dazu bekommt er vom Router das prefix fdaa:21a7:a92c:2008::/64 und er
> macht sich seine Adresse wieder selber -> fdaa:21a7:a92c:2008:2008::200
> Dabei ist fd der hinweis, das es sich um eine ula handelt, aa:21a7:a92C
> ist eine zufällig generierte Zahl und die 2008 habe ich festgelegt.
>
> Hier auch schon meine Fragen dazu:
> Wann wird die zufällige Komponente generiert? Und was ist wenn diese
> sich ändert? Ist das eine Adresse, die ich global nutzen kann?
du mit :: kürzen.
Mein Netz ist z.Bsp.net6 fd0c:1a0:4020:ba01::/64 und mein Laptop hat die
IP fd0c:1a0:4020:ba01::78
>
> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
> ohne großen Konfigurationsaufwand untereinander unterhalten?
ignoriert habe.
Hier kannst du auch mit Bereichen Arbeien und das selbe Muster anwenden
wir bei den 3 Bereichen vorne. Also für webserver zum Bsp
4520:5835:8728:1205 (webs:erve:rzuh:ause)
Die Adrfesse für den Webserver könnte also
fd00:8535:4517:4531:4520:5835:8728:1205/64 sein
Da sind deiner Fantasie fast keine Grenzen gesetz.
>
> Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
> Wie hoch ist dazu der Aufwand.
>
> Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
> also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
> mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
> sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
> gebunden werden. (Stichwort: Trennung Intra-/Internet)
Ja, habe ich mich aber noch nie mit beschäftig, weil das für mich
> Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
> Wie hoch ist dazu der Aufwand.
>
> Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
> also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
> mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
> sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
> gebunden werden. (Stichwort: Trennung Intra-/Internet)
sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
mehre ips haben?
>
> Und schließlich wenn das Netz soweit steht ... wie kann ich das
> Kontrollieren. Ich nutze aktuell das c3surf-paket. Dort sind neue Geräte
> erst mal vom Internet abgeschnitten. Das lebt aber von statischen
> Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
> will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
> zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
> Druckers den Namen Drucker verwenden.
verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
Wie das alles beim fli4l geht weiß ich allerdings nicht.
Achja. Man kann den clients auch per routeradvertisment die ip dynamisch
vergeben, bzw in Verbindung mit dhcpv6 sogar feste ipv6 vergeben.
Für den eis gibt es den radvd-Paket [1]. Ob der dhcp-server des eis
mittlerweile ipv6 unterstützt weiß ich nicht. Ich habe mir dafür den
dhvp-server von einem Debian ausgeliehen (dhcpd 4.3.6-P1). Der kann ipv4
und ipv6
>
Gruß
Olaf
--
[1] Paketserver: https://ojaehrling.de/eis/index.txt
Nelson Matias
Mar 30, 2021, 1:05:22 PM3/30/21
to
Hallo Jürgen,
ich hab mich noch etwas mehr eingelesen und so die eine oder andere
Frage schon erschlagen, die ich hier noch nicht gestellt hatte ;)
Die späte Antwort, weil ich jetzt doch nicht so lang zu Hause bleiben muss.
>> Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann>> ich diese Adressen verwalten?> > sieh unten. die fd00-fe sinbd genau
für den privaten, nicht öffentliuch> Bereich gedacht und werden auch
nicht im i-net geroutet.
Ok. Also sind sie quasi die 'Spitznamen' im LAN.
Zusätzlich erhält dann jedes Gerät noch eine weitere Adresse, die
geroutet werden kann. Sozusagen der Name im Personalausweis.
>> Was habe ich bisher Verstanden:
>> Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
>> interfaces gleich sein, daher muss sie bei der Verwendung immer auch
>> einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
>> intern (also im OS) genutzt?
>
> Nur vom OS genutzt!
Könnte ich denn notfalls diese Adresse auch nutzen? Ich meine für den
Fall, das ich Mist baue und das Gerät nicht über die normale Adresse
erreichbar ist. Ich weis, das geht nur direkt. Aber würde es auch z.B.
von Gerät 1 (LAN) zu Gerät 2 (WLAN) funktionieren? Oder werden solche
Pakete von Switches/Hubs gedropt?
>> Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
>> also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
>> mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
>> sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
>> gebunden werden. (Stichwort: Trennung Intra-/Internet)
>
> Ja, habe ich mich aber noch nie mit beschäftig, weil das für mich
> sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
> mehre ips haben?
Naja ... ich dachte da an eine Option intern Dienste bereit zu stellen
die dann weniger gesichert sind. Also eine User-Erkennung z.B. über das
Gerät. Da möchte ich aber sicherstellen, das mir auf diese Adresse
keiner von Außen kommt. Oder ich hab Webseiten, die nur im LAN angezeigt
werden sollen. Aber ich denke das wird auch anders lösbar sein.
>>
>> Und schließlich wenn das Netz soweit steht ... wie kann ich das
>> Kontrollieren. Ich nutze aktuell das c3surf-paket. Dort sind neue Geräte
>> erst mal vom Internet abgeschnitten. Das lebt aber von statischen
>> Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
>> will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
>> zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
>> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
>> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
>> Druckers den Namen Drucker verwenden.
>
> nftables oder ip6tables sind da dein Freund. Wobei ich aber nftables
> verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
Ich sehe schon ... das ist auch ein Thema, das ich mir einverleiben
muss. Vorschläge bezüglich passender Literatur/Anleitungen?
>
> Wie das alles beim fli4l geht weiß ich allerdings nicht.
Ok. Dafür gibts ja die Fli4l-Gruppen. Und zumindest meine Erfahrung hat
gezeigt, dass wenn ich das ganze verstanden hab, dann komm ich auch mit
der Konfiguration des Fli4l zurecht. Die Firewall soll ja Primär im
Fli4l Konfiguriert sein. Der ist schließlich mein Türsteher zum Internet.
So ... ich geh dann noch ein wenig weiter lesen ....
Grüße Nelson
ich hab mich noch etwas mehr eingelesen und so die eine oder andere
Frage schon erschlagen, die ich hier noch nicht gestellt hatte ;)
Die späte Antwort, weil ich jetzt doch nicht so lang zu Hause bleiben muss.
>> Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann>> ich diese Adressen verwalten?> > sieh unten. die fd00-fe sinbd genau
für den privaten, nicht öffentliuch> Bereich gedacht und werden auch
nicht im i-net geroutet.
Zusätzlich erhält dann jedes Gerät noch eine weitere Adresse, die
geroutet werden kann. Sozusagen der Name im Personalausweis.
>> Was habe ich bisher Verstanden:
>> Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
>> interfaces gleich sein, daher muss sie bei der Verwendung immer auch
>> einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
>> intern (also im OS) genutzt?
>
> Nur vom OS genutzt!
Fall, das ich Mist baue und das Gerät nicht über die normale Adresse
erreichbar ist. Ich weis, das geht nur direkt. Aber würde es auch z.B.
von Gerät 1 (LAN) zu Gerät 2 (WLAN) funktionieren? Oder werden solche
Pakete von Switches/Hubs gedropt?
>> Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
>> also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
>> mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
>> sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
>> gebunden werden. (Stichwort: Trennung Intra-/Internet)
>
> Ja, habe ich mich aber noch nie mit beschäftig, weil das für mich
> sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
> mehre ips haben?
die dann weniger gesichert sind. Also eine User-Erkennung z.B. über das
Gerät. Da möchte ich aber sicherstellen, das mir auf diese Adresse
keiner von Außen kommt. Oder ich hab Webseiten, die nur im LAN angezeigt
werden sollen. Aber ich denke das wird auch anders lösbar sein.
>>
>> Und schließlich wenn das Netz soweit steht ... wie kann ich das
>> Kontrollieren. Ich nutze aktuell das c3surf-paket. Dort sind neue Geräte
>> erst mal vom Internet abgeschnitten. Das lebt aber von statischen
>> Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
>> will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
>> zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
>> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
>> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
>> Druckers den Namen Drucker verwenden.
>
> nftables oder ip6tables sind da dein Freund. Wobei ich aber nftables
> verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
muss. Vorschläge bezüglich passender Literatur/Anleitungen?
>
> Wie das alles beim fli4l geht weiß ich allerdings nicht.
gezeigt, dass wenn ich das ganze verstanden hab, dann komm ich auch mit
der Konfiguration des Fli4l zurecht. Die Firewall soll ja Primär im
Fli4l Konfiguriert sein. Der ist schließlich mein Türsteher zum Internet.
So ... ich geh dann noch ein wenig weiter lesen ....
Grüße Nelson
Olaf Jaehrling
Mar 30, 2021, 3:49:44 PM3/30/21
to
Hallo Nelson,
Nelson Matias schrieb am 30.03.21 um 19:05:
> Hallo Jürgen,
:-)
>
>>> Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
>>> interfaces gleich sein, daher muss sie bei der Verwendung immer auch
>>> einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
>>> intern (also im OS) genutzt?
>>
>> Nur vom OS genutzt!
>
> Könnte ich denn notfalls diese Adresse auch nutzen? Ich meine für den
> Fall, das ich Mist baue und das Gerät nicht über die normale Adresse
> erreichbar ist.
Nicht das ich wüsste. Du kannst ja auch keine 127'er Adressen verwenden.
Also ich habe es noch nie geschafft, aber auch noch nicht wirklich
versucht. Es gibt dafür ja auch kein routing.
>
> Naja ... ich dachte da an eine Option intern Dienste bereit zu stellen
> die dann weniger gesichert sind. Also eine User-Erkennung z.B. über das
> Gerät. Da möchte ich aber sicherstellen, das mir auf diese Adresse
> keiner von Außen kommt. Oder ich hab Webseiten, die nur im LAN angezeigt
> werden sollen. Aber ich denke das wird auch anders lösbar sein.
Ja, man kann vieles damit machen, muss aber dem Dienst auch sagen
können, dass er über diese Adresse auch antwortet. Wenn er das nicht
macht, dann antwortet der Server immer über die erste Adresse, welche
auf der NIC konfiguriert ist. Und damit gehen dann die Probleme los.
https://www.kuketz-blog.de/howto-wechsel-von-iptables-zu-nftables/
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
>
>>
>> Wie das alles beim fli4l geht weiß ich allerdings nicht.
>
> Ok. Dafür gibts ja die Fli4l-Gruppen. Und zumindest meine Erfahrung hat
> gezeigt, dass wenn ich das ganze verstanden hab, dann komm ich auch mit
> der Konfiguration des Fli4l zurecht. Die Firewall soll ja Primär im
> Fli4l Konfiguriert sein. Der ist schließlich mein Türsteher zum Internet.
>
> So ... ich geh dann noch ein wenig weiter lesen ....
>
> Grüße Nelson
Gruß
Olaf
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Nelson Matias schrieb am 30.03.21 um 19:05:
> Hallo Jürgen,
:-)
>
>>> Es gibt auf jedem Interface eine link-local-Adresse. Die darf für alle
>>> interfaces gleich sein, daher muss sie bei der Verwendung immer auch
>>> einen if-namen enthalten. Muss ich mir diese merken oder werden die nur
>>> intern (also im OS) genutzt?
>>
>> Nur vom OS genutzt!
>
> Könnte ich denn notfalls diese Adresse auch nutzen? Ich meine für den
> Fall, das ich Mist baue und das Gerät nicht über die normale Adresse
> erreichbar ist.
Also ich habe es noch nie geschafft, aber auch noch nicht wirklich
versucht. Es gibt dafür ja auch kein routing.
>
> Naja ... ich dachte da an eine Option intern Dienste bereit zu stellen
> die dann weniger gesichert sind. Also eine User-Erkennung z.B. über das
> Gerät. Da möchte ich aber sicherstellen, das mir auf diese Adresse
> keiner von Außen kommt. Oder ich hab Webseiten, die nur im LAN angezeigt
> werden sollen. Aber ich denke das wird auch anders lösbar sein.
können, dass er über diese Adresse auch antwortet. Wenn er das nicht
macht, dann antwortet der Server immer über die erste Adresse, welche
auf der NIC konfiguriert ist. Und damit gehen dann die Probleme los.
>
>>>
>>
>> nftables oder ip6tables sind da dein Freund. Wobei ich aber nftables
>> verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
>
> Ich sehe schon ... das ist auch ein Thema, das ich mir einverleiben
> muss. Vorschläge bezüglich passender Literatur/Anleitungen?
Jupp,
>>>
>>
>> nftables oder ip6tables sind da dein Freund. Wobei ich aber nftables
>> verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
>
> Ich sehe schon ... das ist auch ein Thema, das ich mir einverleiben
> muss. Vorschläge bezüglich passender Literatur/Anleitungen?
https://www.kuketz-blog.de/howto-wechsel-von-iptables-zu-nftables/
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
>
>>
>> Wie das alles beim fli4l geht weiß ich allerdings nicht.
>
> Ok. Dafür gibts ja die Fli4l-Gruppen. Und zumindest meine Erfahrung hat
> gezeigt, dass wenn ich das ganze verstanden hab, dann komm ich auch mit
> der Konfiguration des Fli4l zurecht. Die Firewall soll ja Primär im
> Fli4l Konfiguriert sein. Der ist schließlich mein Türsteher zum Internet.
>
> So ... ich geh dann noch ein wenig weiter lesen ....
>
> Grüße Nelson
Olaf
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Kay Martinen
Mar 30, 2021, 5:30:03 PM3/30/21
to
Am 26.03.21 um 22:58 schrieb Olaf Jaehrling:
> Früher oder später müssen es die Admins nehmen. Ich kenn schon Geräte
> die kein v4 menr können.
Echt? Sag mir welche bitte?
>> Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann
>> ich diese Adressen verwalten?
>
> sieh unten. die fd00-fe sinbd genau für den privaten, nicht öffentliuch
> Bereich gedacht und werden auch nicht im i-net geroutet.
So wie ich das verstehe kann jedes Interface diese hier haben:
- Link-Lokal (nur innerhalb der Broadcast-domäne
- ULA (nur innerhalb der von einem verwalteten Site[ID])
- und Global Unicast (wenn man welche hätte)
Wobei man nur mit einer Global Unicast Adresse auch das Internet via
IPv6 erreicht!
>> Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
>> entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
>
> jupp, siehe unten.
Aber *kein* Gerät *braucht* wirklich eine ULA wenn es nicht um ein
großes Netz geht oder mehrere getrennte Subnetze verschiedene
Adressbereiche haben müssen.
>> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
>> sondern einen Netzbereich /56 oder so.
Die Differenz zwischen 56 und 64: 8 Bits. Ein Byte dessen Besetzung über
die nummer(n) der /64 entscheiden die man unterteilen könnte.
Wenn der Providerrouter Präfix-Delegation kann!
> Nein, definitiv keine fe80. für die vergebenene Addressen nutze bitte
> den Bereich fd. (siehe https://de.wikipedia.org/wiki/IPv6 unter Unique
> Local Unicast)
Dort steht aber außerdem:
-snip-
Sofern in einem privaten Netz im Dualstack mit IPv4 nur ULA-Adressen
verwendet werden, bevorzugt die Mehrheit der Clients bei einer
DNS-Auflösung die IPv4-Adresse, auch wenn ein AAAA-Record existiert, da
davon auszugehen ist, dass mit einer ULA-Adresse niemals der öffentliche
IPv6-Adressraum erreicht werden kann. Dies führt in der Praxis dazu,
dass in privaten Netzen (insbesondere beim Einsatz von NAT6) im
Dualstack von ULA-Adressen abgeraten wird.
-snap-
Heißt: ULA taugen nicht für Verbindungen ins IPv6 Internet.
Heißt weiter: Man braucht Global Unicast Adressen dafür. Und die rückt
entweder nur der Provider-Router direkt raus (bei mir) oder man braucht
eine Kombi aus Router mit PD und 2. Router mit radvd+dhcpd6 und ???
Da die Adressen auch im Subnet dann gültige sein müssten werden sie wohl
direkt durchgeleitet. An das IPv6 Default-GW. Und sie können sich
ändern. Und ein Paketfilter auf dem Weg dazwischen muß das wissen.
> Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
> man sich sogar (mit einem Trick) merken.
> zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
> a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
>
> fd00:8535:4517:45:31::1/64
> fd00 = nehme ich mal fest
> 8535 = home
> 4517 = netz
> 4531 = nema (Ne[lson]ma[tias]
Welche Datenbank-datei übersetzt das für die IPv6 tools wenn sie nicht
mit -n aufgerufen werden? ethers nicht, hosts vielleicht?
Wer soll sich den haufen zahlen denn bitte merken? Wenn sie wenigstens
immer gleich blieben. Aber davon ist m.E. nicht aus zu gehen.
> die fe80 sollten niemals für die ipv6 Kommunikation verwendet werden,
> ausser als default-gateway.
Da fe80::1 link-lokal ist taugt das auch nur für den Next-Hop.
>> Hier auch schon meine Fragen dazu:
>> Wann wird die zufällige Komponente generiert? Und was ist wenn diese
>> sich ändert? Ist das eine Adresse, die ich global nutzen kann?
> Du brauchst im prtivaten Bereich die zufällige Variante nicht und kannst
> du mit :: kürzen.
PEX?
> Mein Netz ist z.Bsp.net6 fd0c:1a0:4020:ba01::/64 und mein Laptop hat die
> IP fd0c:1a0:4020:ba01::78
Und damit erreichst du jeden IPv6 Host im Internet? Direkt?
>> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
>> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
>> ohne großen Konfigurationsaufwand untereinander unterhalten?
Ein einziges /64 wäre groß genug für alle zusammen. Und wenn es für
Subnetze keinen anderen Grund gäbe könnte man das auch tun. Aber ich
stelle immer gern die Frage wozu man IPv6 auf den Geräten im LAN denn
braucht? Wenn sie aus dem Internet ereichbar sein sollen, Ja. Dann aber
mit Globalen Adressen.
> Ja, natürlich. Das wären dann hie hinteren 4 Felder der IP, doe ich oben
> ignoriert habe.
der Verkehr passieren darf der soll und anderer ausgesperrt wird: Hoch!
Die Chance das man kompromittiert wird wenn alles in einem IPv6 Segment
liegt - mit Smart oder IoT Geräten: ebenfalls hoch!
Ich meine, da kann man auch gleich bei V4 bleiben, die sachen hinter ein
NAT stecken und den Paketfilter einstellen ist dann viel einfacher. Und
da machen Subnetze dann auch (wieder) mehr sinn.
>> Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
>> also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
>> mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
>> sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
>> gebunden werden. (Stichwort: Trennung Intra-/Internet)
Intra- und Inter-Net Sites sollte man nie auf dem Gleichen Gerät halten.
Ein Adressfehler und alles ist durcheinander.
Prinzipiell gehts doch darum: welche IP(v?) wird extern auf welchen
domainnamen aufgelöst und führt die aufrufer genau zu DEINEM Anschluß
und darüber zu deinem webserver auf IP-A. Und welche IP(v?) wird intern
aufgelöst (von einem hoffentlich vorhandenen nameserver) und leitet
anfragen genau an an IP-B.
> Ja, habe ich mich aber noch nie mit beschäftig, weil das für mich
> sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
> mehre ips haben?
+ localhost? Warum sollte er nicht. Man kann virtuelle IPs einrichten,
named_virtual hosts, name-based Hosts... ist nur die Frage ob man die
Kontrolle über die Adressen hat oder das durch eine Trennung der
Internet-verbindung alles durcheinander gewürfelt wird.
>> Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
>> will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
>> zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
PEX. Privacy Extensions sind dafür gedacht.
>> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
>> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
>> Druckers den Namen Drucker verwenden.
Dann brauchst du einen internen Nameserver der IPv6 kann.
> Für den eis gibt es den radvd-Paket [1]. Ob der dhcp-server des eis
> mittlerweile ipv6 unterstützt weiß ich nicht. Ich habe mir dafür den
> dhvp-server von einem Debian ausgeliehen (dhcpd 4.3.6-P1). Der kann ipv4
> und ipv6
Als ich das auf dem EIS machen wollte konnte der dhcp davon nichts. Seit
etlichen Jahren läuft hier eine ubuntu-server VM mit isc-dhcpd und
named. Könnten V6 aber ich brauch's einfach nicht. Und mein Router kann
eh kein PD.
Kay
--
Posted via leafnode
>
> Nelson Matias schrieb am 26.03.21 um 12:25:
> Nelson Matias schrieb am 26.03.21 um 12:25:
>> Fragen an die Profis, die das jetzt schon einsetzen. Auch hier: Jeder
>> der mich davon abhalten will solchen neuen Teufelszeug nutzen zu wollen
>> möchte das bitte an /dev/null schicken.
Wenn du so "wild entschlossen" bist. Na gut, also >> /dev/null ;-)
>> der mich davon abhalten will solchen neuen Teufelszeug nutzen zu wollen
>> möchte das bitte an /dev/null schicken.
> Früher oder später müssen es die Admins nehmen. Ich kenn schon Geräte
> die kein v4 menr können.
>> Ich verstehe nun das jedes Gerät in IPv6 mehrere Adressen hat. Wie kann
>> ich diese Adressen verwalten?
>
> sieh unten. die fd00-fe sinbd genau für den privaten, nicht öffentliuch
> Bereich gedacht und werden auch nicht im i-net geroutet.
- Link-Lokal (nur innerhalb der Broadcast-domäne
- ULA (nur innerhalb der von einem verwalteten Site[ID])
- und Global Unicast (wenn man welche hätte)
Wobei man nur mit einer Global Unicast Adresse auch das Internet via
IPv6 erreicht!
>> Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
>> entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
>
> jupp, siehe unten.
großes Netz geht oder mehrere getrennte Subnetze verschiedene
Adressbereiche haben müssen.
>> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
>> sondern einen Netzbereich /56 oder so.
die nummer(n) der /64 entscheiden die man unterteilen könnte.
Wenn der Providerrouter Präfix-Delegation kann!
> Nein, definitiv keine fe80. für die vergebenene Addressen nutze bitte
> den Bereich fd. (siehe https://de.wikipedia.org/wiki/IPv6 unter Unique
> Local Unicast)
-snip-
Sofern in einem privaten Netz im Dualstack mit IPv4 nur ULA-Adressen
verwendet werden, bevorzugt die Mehrheit der Clients bei einer
DNS-Auflösung die IPv4-Adresse, auch wenn ein AAAA-Record existiert, da
davon auszugehen ist, dass mit einer ULA-Adresse niemals der öffentliche
IPv6-Adressraum erreicht werden kann. Dies führt in der Praxis dazu,
dass in privaten Netzen (insbesondere beim Einsatz von NAT6) im
Dualstack von ULA-Adressen abgeraten wird.
-snap-
Heißt: ULA taugen nicht für Verbindungen ins IPv6 Internet.
Heißt weiter: Man braucht Global Unicast Adressen dafür. Und die rückt
entweder nur der Provider-Router direkt raus (bei mir) oder man braucht
eine Kombi aus Router mit PD und 2. Router mit radvd+dhcpd6 und ???
Da die Adressen auch im Subnet dann gültige sein müssten werden sie wohl
direkt durchgeleitet. An das IPv6 Default-GW. Und sie können sich
ändern. Und ein Paketfilter auf dem Weg dazwischen muß das wissen.
> Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
> man sich sogar (mit einem Trick) merken.
> zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
> a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
>
> fd00:8535:4517:45:31::1/64
> fd00 = nehme ich mal fest
> 8535 = home
> 4517 = netz
> 4531 = nema (Ne[lson]ma[tias]
mit -n aufgerufen werden? ethers nicht, hosts vielleicht?
Wer soll sich den haufen zahlen denn bitte merken? Wenn sie wenigstens
immer gleich blieben. Aber davon ist m.E. nicht aus zu gehen.
> die fe80 sollten niemals für die ipv6 Kommunikation verwendet werden,
> ausser als default-gateway.
>> Hier auch schon meine Fragen dazu:
>> Wann wird die zufällige Komponente generiert? Und was ist wenn diese
>> sich ändert? Ist das eine Adresse, die ich global nutzen kann?
> Du brauchst im prtivaten Bereich die zufällige Variante nicht und kannst
> du mit :: kürzen.
> Mein Netz ist z.Bsp.net6 fd0c:1a0:4020:ba01::/64 und mein Laptop hat die
> IP fd0c:1a0:4020:ba01::78
>> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
>> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
>> ohne großen Konfigurationsaufwand untereinander unterhalten?
Subnetze keinen anderen Grund gäbe könnte man das auch tun. Aber ich
stelle immer gern die Frage wozu man IPv6 auf den Geräten im LAN denn
braucht? Wenn sie aus dem Internet ereichbar sein sollen, Ja. Dann aber
mit Globalen Adressen.
> Ja, natürlich. Das wären dann hie hinteren 4 Felder der IP, doe ich oben
> ignoriert habe.
>> Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
>> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
>> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
>> Wie hoch ist dazu der Aufwand.
Die Paketfilter zwischen einem Haufen Netzen so ein zu stellen das nur
>> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
>> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
>> Wie hoch ist dazu der Aufwand.
der Verkehr passieren darf der soll und anderer ausgesperrt wird: Hoch!
Die Chance das man kompromittiert wird wenn alles in einem IPv6 Segment
liegt - mit Smart oder IoT Geräten: ebenfalls hoch!
Ich meine, da kann man auch gleich bei V4 bleiben, die sachen hinter ein
NAT stecken und den Paketfilter einstellen ist dann viel einfacher. Und
da machen Subnetze dann auch (wieder) mehr sinn.
>> Dann habe ich ja mehrere Dienste auf dem Server. Kann ich dem Server
>> also auch mehrere Adressen geben (kann ich ihm sagen, das er sich
>> mehrere machen soll) wo ich dienstespezifisch die Adresse angebe. Oder
>> sogar im Apache die unterschiedlichen Sites an unterschiedliche Adressen
>> gebunden werden. (Stichwort: Trennung Intra-/Internet)
Ein Adressfehler und alles ist durcheinander.
Prinzipiell gehts doch darum: welche IP(v?) wird extern auf welchen
domainnamen aufgelöst und führt die aufrufer genau zu DEINEM Anschluß
und darüber zu deinem webserver auf IP-A. Und welche IP(v?) wird intern
aufgelöst (von einem hoffentlich vorhandenen nameserver) und leitet
anfragen genau an an IP-B.
> Ja, habe ich mich aber noch nie mit beschäftig, weil das für mich
> sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
> mehre ips haben?
named_virtual hosts, name-based Hosts... ist nur die Frage ob man die
Kontrolle über die Adressen hat oder das durch eine Trennung der
Internet-verbindung alles durcheinander gewürfelt wird.
>> Adressen. Diese will ich aber im IPv6 nicht haben. Im Gegenteil ich
>> will, das meine Geräte ihre Adresse mehrmals täglich wechseln ...
>> zumindest in Richtung Internet. Im privaten Bereich dann eher nicht. Es
>> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
>> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
>> Druckers den Namen Drucker verwenden.
> Für den eis gibt es den radvd-Paket [1]. Ob der dhcp-server des eis
> mittlerweile ipv6 unterstützt weiß ich nicht. Ich habe mir dafür den
> dhvp-server von einem Debian ausgeliehen (dhcpd 4.3.6-P1). Der kann ipv4
> und ipv6
etlichen Jahren läuft hier eine ubuntu-server VM mit isc-dhcpd und
named. Könnten V6 aber ich brauch's einfach nicht. Und mein Router kann
eh kein PD.
Kay
--
Posted via leafnode
Nelson Matias
Mar 31, 2021, 2:13:45 PM3/31/21
to
Hallo Jürgen,
On 30.03.2021 21:49, Olaf Jaehrling wrote:
Ok. Ich hab kapiert, das ich link-local-adressen einfach vergessen kann.
>> Naja ... ich dachte da an eine Option intern Dienste bereit zu stellen
>> die dann weniger gesichert sind. Also eine User-Erkennung z.B. über das
>> Gerät. Da möchte ich aber sicherstellen, das mir auf diese Adresse
>> keiner von Außen kommt. Oder ich hab Webseiten, die nur im LAN angezeigt
>> werden sollen. Aber ich denke das wird auch anders lösbar sein.
>
> Ja, man kann vieles damit machen, muss aber dem Dienst auch sagen
> können, dass er über diese Adresse auch antwortet. Wenn er das nicht
> macht, dann antwortet der Server immer über die erste Adresse, welche
> auf der NIC konfiguriert ist. Und damit gehen dann die Probleme los.
Genau deshalb will ich drüber reden! An diese Problematik hab ich gar
nicht gedacht. Ok dann hat sich das erledigt.
>>> nftables oder ip6tables sind da dein Freund. Wobei ich aber nftables
>>> verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
>>
>> Ich sehe schon ... das ist auch ein Thema, das ich mir einverleiben
>> muss. Vorschläge bezüglich passender Literatur/Anleitungen?
>
> Jupp,
> https://www.kuketz-blog.de/howto-wechsel-von-iptables-zu-nftables/
> https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
Hurra! Ostern wird nicht langweilig.
Danke schon mal. Ich denke meine nächsten Fragen werden dann schon
konkreter.
Grüße
Nelson
On 30.03.2021 21:49, Olaf Jaehrling wrote:
Ok. Ich hab kapiert, das ich link-local-adressen einfach vergessen kann.
>> Naja ... ich dachte da an eine Option intern Dienste bereit zu stellen
>> die dann weniger gesichert sind. Also eine User-Erkennung z.B. über das
>> Gerät. Da möchte ich aber sicherstellen, das mir auf diese Adresse
>> keiner von Außen kommt. Oder ich hab Webseiten, die nur im LAN angezeigt
>> werden sollen. Aber ich denke das wird auch anders lösbar sein.
>
> Ja, man kann vieles damit machen, muss aber dem Dienst auch sagen
> können, dass er über diese Adresse auch antwortet. Wenn er das nicht
> macht, dann antwortet der Server immer über die erste Adresse, welche
> auf der NIC konfiguriert ist. Und damit gehen dann die Probleme los.
nicht gedacht. Ok dann hat sich das erledigt.
>>> nftables oder ip6tables sind da dein Freund. Wobei ich aber nftables
>>> verwenden würde. ip)6)tables wird zukünftig nicht mehr weitergeplegt.
>>
>> Ich sehe schon ... das ist auch ein Thema, das ich mir einverleiben
>> muss. Vorschläge bezüglich passender Literatur/Anleitungen?
>
> Jupp,
> https://www.kuketz-blog.de/howto-wechsel-von-iptables-zu-nftables/
> https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
Danke schon mal. Ich denke meine nächsten Fragen werden dann schon
konkreter.
Grüße
Nelson
Nelson Matias
Mar 31, 2021, 2:43:32 PM3/31/21
to
Hallo Kay,
On 30.03.2021 23:23, Kay Martinen wrote:
>>> Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
>>> entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
>>
>> jupp, siehe unten.
>
> Aber *kein* Gerät *braucht* wirklich eine ULA wenn es nicht um ein
> großes Netz geht oder mehrere getrennte Subnetze verschiedene
> Adressbereiche haben müssen.
Ok. Das wusste ich nicht.
>>> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
>>> sondern einen Netzbereich /56 oder so.
>
> Die Differenz zwischen 56 und 64: 8 Bits. Ein Byte dessen Besetzung über
> die nummer(n) der /64 entscheiden die man unterteilen könnte.
>
> Wenn der Providerrouter Präfix-Delegation kann!
hier kann ich konkreter werden.
Mein Provider unterstützt noch kein natives IPv6 sondern nutzt einen
6to4-Tunnel. Ich bekomme ein /56-Prefix. Und der Router ist eine
Fritz!Box 7490. Ich denke dabei ist auch wichtig, dass ich eine feste
IPv4-Adresse von meinem Provider bekomme. Das ist wichtig bei der
6to4-Umrechnung.
> Heißt weiter: Man braucht Global Unicast Adressen dafür. Und die rückt
> entweder nur der Provider-Router direkt raus (bei mir) oder man braucht
> eine Kombi aus Router mit PD und 2. Router mit radvd+dhcpd6 und ???
>
> Da die Adressen auch im Subnet dann gültige sein müssten werden sie wohl
> direkt durchgeleitet. An das IPv6 Default-GW. Und sie können sich
> ändern. Und ein Paketfilter auf dem Weg dazwischen muß das wissen.
OK. Ich nutze aktuell ja den Fli4l als Router und DNS für mein Netz.
Daher kann ich hier intern auch die Namen nutzen, die ich von außen
nutze. Ich bin eh schon am Lesen der FLi4l-Doku. Mal schaun was dort zum
DNS drin steht.
>> Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
>> man sich sogar (mit einem Trick) merken.
>> zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
>> a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
>>
>> fd00:8535:4517:45:31::1/64
>> fd00 = nehme ich mal fest
>> 8535 = home
>> 4517 = netz
>> 4531 = nema (Ne[lson]ma[tias]
>
> Welche Datenbank-datei übersetzt das für die IPv6 tools wenn sie nicht
> mit -n aufgerufen werden? ethers nicht, hosts vielleicht?
>
> Wer soll sich den haufen zahlen denn bitte merken? Wenn sie wenigstens
> immer gleich blieben. Aber davon ist m.E. nicht aus zu gehen.
hmm ... wir haben ober festgestellt, dass ula-Adressen nicht notwendig
sind. Also könnte ich ja meine Geräte gleich mit dem prefix von meinem
Provider nutzen. Ich brauche die festen Adressen ja nur für meine
administrativen Sachen. Die Kommunikation mit dem Internet darf ja auch
gerne über temporäre Adressen nach PEX stattfinden.
>>> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
>>> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
>>> ohne großen Konfigurationsaufwand untereinander unterhalten?
>
> Ein einziges /64 wäre groß genug für alle zusammen. Und wenn es für
> Subnetze keinen anderen Grund gäbe könnte man das auch tun. Aber ich
> stelle immer gern die Frage wozu man IPv6 auf den Geräten im LAN denn
> braucht? Wenn sie aus dem Internet ereichbar sein sollen, Ja. Dann aber
> mit Globalen Adressen.
Und da kann ich ja mit mehreren subnetzen solche regeln einfacher
stellen. Wer nicht aus dem Internet erreichbar sein soll, der ist in
Netz-a, wer erreichbar sein soll ist in Netz-b.
>> Ja, natürlich. Das wären dann hie hinteren 4 Felder der IP, doe ich oben
>> ignoriert habe.
>
>>> Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
>>> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
>>> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
>>> Wie hoch ist dazu der Aufwand.
>
> Die Paketfilter zwischen einem Haufen Netzen so ein zu stellen das nur
> der Verkehr passieren darf der soll und anderer ausgesperrt wird: Hoch!
Ja aber doch nur initial. Wenn die Regeln stehen, dann hab ich da keinen
weiteren Aufwand.
> Die Chance das man kompromittiert wird wenn alles in einem IPv6 Segment
> liegt - mit Smart oder IoT Geräten: ebenfalls hoch!
Deshalb ja dann die Trennung und subnetze.
> Ich meine, da kann man auch gleich bei V4 bleiben, die sachen hinter ein
> NAT stecken und den Paketfilter einstellen ist dann viel einfacher. Und
> da machen Subnetze dann auch (wieder) mehr sinn.
hmm ... das ist eine Idee. Ich hab hier noch aus dem Wertstoffhof 2
funktionierende EDGE-Router. Da kann ich ja dann hier ein kleines
IPv4-Netz für die IoT/smart-Geräte machen. Dieses dann mit NAT.
>> Ja, habe ich mich aber noch nie mit beschäftig, weil das für mich
>> sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
>> mehre ips haben?
>
> + localhost? Warum sollte er nicht. Man kann virtuelle IPs einrichten,
> named_virtual hosts, name-based Hosts... ist nur die Frage ob man die
> Kontrolle über die Adressen hat oder das durch eine Trennung der
> Internet-verbindung alles durcheinander gewürfelt wird.
Mein Anwendungsfall ist einfach. Aktuell nutzt mein Sohn meinen Server
für seine Sachen mit. (ein VHOST im Apachen und ein Minecraft-Server)
Hätten diese beiden eine eigene IP, dann könnte man sie auch einfach auf
ein anderes Gerät verlagern. Das neue Gerät würde dann die Adresse
bekommen.
Grüße
Nelson
On 30.03.2021 23:23, Kay Martinen wrote:
>>> Jedes Gerät hat mindestens eine ULA (unique-local-adress). Das
>>> entspricht den privaten IPv4-Adressen (192.168.0.0/24 etc).
>>
>> jupp, siehe unten.
>
> Aber *kein* Gerät *braucht* wirklich eine ULA wenn es nicht um ein
> großes Netz geht oder mehrere getrennte Subnetze verschiedene
> Adressbereiche haben müssen.
>>> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
>>> sondern einen Netzbereich /56 oder so.
>
> Die Differenz zwischen 56 und 64: 8 Bits. Ein Byte dessen Besetzung über
> die nummer(n) der /64 entscheiden die man unterteilen könnte.
>
> Wenn der Providerrouter Präfix-Delegation kann!
Mein Provider unterstützt noch kein natives IPv6 sondern nutzt einen
6to4-Tunnel. Ich bekomme ein /56-Prefix. Und der Router ist eine
Fritz!Box 7490. Ich denke dabei ist auch wichtig, dass ich eine feste
IPv4-Adresse von meinem Provider bekomme. Das ist wichtig bei der
6to4-Umrechnung.
> Heißt weiter: Man braucht Global Unicast Adressen dafür. Und die rückt
> entweder nur der Provider-Router direkt raus (bei mir) oder man braucht
> eine Kombi aus Router mit PD und 2. Router mit radvd+dhcpd6 und ???
>
> Da die Adressen auch im Subnet dann gültige sein müssten werden sie wohl
> direkt durchgeleitet. An das IPv6 Default-GW. Und sie können sich
> ändern. Und ein Paketfilter auf dem Weg dazwischen muß das wissen.
Daher kann ich hier intern auch die Namen nutzen, die ich von außen
nutze. Ich bin eh schon am Lesen der FLi4l-Doku. Mal schaun was dort zum
DNS drin steht.
>> Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
>> man sich sogar (mit einem Trick) merken.
>> zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
>> a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
>>
>> fd00:8535:4517:45:31::1/64
>> fd00 = nehme ich mal fest
>> 8535 = home
>> 4517 = netz
>> 4531 = nema (Ne[lson]ma[tias]
>
> Welche Datenbank-datei übersetzt das für die IPv6 tools wenn sie nicht
> mit -n aufgerufen werden? ethers nicht, hosts vielleicht?
>
> Wer soll sich den haufen zahlen denn bitte merken? Wenn sie wenigstens
> immer gleich blieben. Aber davon ist m.E. nicht aus zu gehen.
sind. Also könnte ich ja meine Geräte gleich mit dem prefix von meinem
Provider nutzen. Ich brauche die festen Adressen ja nur für meine
administrativen Sachen. Die Kommunikation mit dem Internet darf ja auch
gerne über temporäre Adressen nach PEX stattfinden.
>>> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
>>> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
>>> ohne großen Konfigurationsaufwand untereinander unterhalten?
>
> Ein einziges /64 wäre groß genug für alle zusammen. Und wenn es für
> Subnetze keinen anderen Grund gäbe könnte man das auch tun. Aber ich
> stelle immer gern die Frage wozu man IPv6 auf den Geräten im LAN denn
> braucht? Wenn sie aus dem Internet ereichbar sein sollen, Ja. Dann aber
> mit Globalen Adressen.
stellen. Wer nicht aus dem Internet erreichbar sein soll, der ist in
Netz-a, wer erreichbar sein soll ist in Netz-b.
>> Ja, natürlich. Das wären dann hie hinteren 4 Felder der IP, doe ich oben
>> ignoriert habe.
>
>>> Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
>>> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
>>> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
>>> Wie hoch ist dazu der Aufwand.
>
> Die Paketfilter zwischen einem Haufen Netzen so ein zu stellen das nur
> der Verkehr passieren darf der soll und anderer ausgesperrt wird: Hoch!
weiteren Aufwand.
> Die Chance das man kompromittiert wird wenn alles in einem IPv6 Segment
> liegt - mit Smart oder IoT Geräten: ebenfalls hoch!
> Ich meine, da kann man auch gleich bei V4 bleiben, die sachen hinter ein
> NAT stecken und den Paketfilter einstellen ist dann viel einfacher. Und
> da machen Subnetze dann auch (wieder) mehr sinn.
funktionierende EDGE-Router. Da kann ich ja dann hier ein kleines
IPv4-Netz für die IoT/smart-Geräte machen. Dieses dann mit NAT.
>> Ja, habe ich mich aber noch nie mit beschäftig, weil das für mich
>> sinnlos ist. Warum solle ein Server, der mehrere Dienste bereitstellt)
>> mehre ips haben?
>
> + localhost? Warum sollte er nicht. Man kann virtuelle IPs einrichten,
> named_virtual hosts, name-based Hosts... ist nur die Frage ob man die
> Kontrolle über die Adressen hat oder das durch eine Trennung der
> Internet-verbindung alles durcheinander gewürfelt wird.
für seine Sachen mit. (ein VHOST im Apachen und ein Minecraft-Server)
Hätten diese beiden eine eigene IP, dann könnte man sie auch einfach auf
ein anderes Gerät verlagern. Das neue Gerät würde dann die Adresse
bekommen.
Grüße
Nelson
Olaf Jaehrling
Mar 31, 2021, 4:14:31 PM3/31/21
to
Hallo Kay,
Kay Martinen schrieb am 30.03.21 um 23:23:
WILL, nicht was man braucht.
wirklich der (meißtens) Windowsfirewall vertrauen? Brr, mich schüttelt
es gerade.
>
>> Nein, definitiv keine fe80. für die vergebenene Addressen nutze bitte
>> den Bereich fd. (siehe https://de.wikipedia.org/wiki/IPv6 unter Unique
>> Local Unicast)
>
> Dort steht aber außerdem:
>
> -snip-
> Sofern in einem privaten Netz im Dualstack mit IPv4 nur ULA-Adressen
> verwendet werden, bevorzugt die Mehrheit der Clients bei einer
> DNS-Auflösung die IPv4-Adresse, auch wenn ein AAAA-Record existiert, da
> davon auszugehen ist, dass mit einer ULA-Adresse niemals der öffentliche
> IPv6-Adressraum erreicht werden kann. Dies führt in der Praxis dazu,
> dass in privaten Netzen (insbesondere beim Einsatz von NAT6) im
> Dualstack von ULA-Adressen abgeraten wird.
Der Eintrag scheint schon älter zu sein. Bei mir ist es zumindest so,
dass alle Dienste bei vorhandensein einer ipv6adresse zuerst diese
verwenden. Ich weiß dass das mal anders war.
> -snap-
>
> Heißt: ULA taugen nicht für Verbindungen ins IPv6 Internet.
Nein, nicht für direkte Verbindungen in das Internet. Hatte ich aber
auch geschrieben, das die nicht geroutet werden.
> Heißt weiter: Man braucht Global Unicast Adressen dafür. Und die rückt
> entweder nur der Provider-Router direkt raus (bei mir) oder man braucht
> eine Kombi aus Router mit PD und 2. Router mit radvd+dhcpd6 und ???
>
> Da die Adressen auch im Subnet dann gültige sein müssten werden sie wohl
> direkt durchgeleitet. An das IPv6 Default-GW. Und sie können sich
> ändern. Und ein Paketfilter auf dem Weg dazwischen muß das wissen.
Nicht wenn PE ausgeschaltet ist, oder dem Client garnicht erst eine
übergeben wird.
Der DHCP-Server vergibt anhand der duid oder Hardwareadresse(MAC) immer
die selbe Adresse.
>
>> Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
>> man sich sogar (mit einem Trick) merken.
>> zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
>> a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
>>
>> fd00:8535:4517:45:31::1/64
>> fd00 = nehme ich mal fest
>> 8535 = home
>> 4517 = netz
>> 4531 = nema (Ne[lson]ma[tias]
>
> Welche Datenbank-datei übersetzt das für die IPv6 tools wenn sie nicht
> mit -n aufgerufen werden? ethers nicht, hosts vielleicht?
Nein, wie ich schrieb ... ein Trick. Somit kann man pro site einen
Adressebereich bestimmen. Im endeffekt will man sich sowas natürlich
nicht merken. Wozu auch? Es gibt doch dns. Aber man könnte :)
>
> Wer soll sich den haufen zahlen denn bitte merken? Wenn sie wenigstens
> immer gleich blieben. Aber davon ist m.E. nicht aus zu gehen.
Doch radvd zusammen mit dhcpv6 und schon kann man jedem Client eine
feste IP zuweisen. Ist nicht ganz so einfach wie bei v4, aber es geht
(Sitchwort DUID)
>
>> die fe80 sollten niemals für die ipv6 Kommunikation verwendet werden,
>> ausser als default-gateway.
>
> Da fe80::1 link-lokal ist taugt das auch nur für den Next-Hop.
Jupp
>
>>> Hier auch schon meine Fragen dazu:
>>> Wann wird die zufällige Komponente generiert? Und was ist wenn diese
>>> sich ändert? Ist das eine Adresse, die ich global nutzen kann?
>
>> Du brauchst im prtivaten Bereich die zufällige Variante nicht und kannst
>> du mit :: kürzen.
>
> PEX?
>
>> Mein Netz ist z.Bsp.net6 fd0c:1a0:4020:ba01::/64 und mein Laptop hat die
>> IP fd0c:1a0:4020:ba01::78
>
> Und damit erreichst du jeden IPv6 Host im Internet? Direkt?
guckst du:
olaf@Laptop-FJ:~$ ip -6 add
3: wlp10s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fd0c:1a0:4020:ba01::78/128 scope global dynamic noprefixroute
valid_lft 43366sec preferred_lft 20686sec
inet6 fe80::4501:5352:380:dd5e/64 scope link noprefixroute
valid_lft forever preferred_lft forever
olaf@Laptop-FJ:~$ ping -6 ojaehrling.de
PING ojaehrling.de(jaehrling.org (2a02:c207:3003:2299::1)) 56 data bytes
64 bytes from jaehrling.org (2a02:c207:3003:2299::1): icmp_seq=1 ttl=56
time=27.8 ms
^C
--- ojaehrling.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 27.784/27.784/27.784/0.000 ms
olaf@Laptop-FJ:~$ ip -6 route show default
default via fe80::21c:7fff:fe36:8793 dev wlp10s0 proto ra metric 600
pref low
>
>>> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
>>> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
>>> ohne großen Konfigurationsaufwand untereinander unterhalten?
>
> Ein einziges /64 wäre groß genug für alle zusammen. Und wenn es für
> Subnetze keinen anderen Grund gäbe könnte man das auch tun. Aber ich
> stelle immer gern die Frage wozu man IPv6 auf den Geräten im LAN denn
> braucht? Wenn sie aus dem Internet ereichbar sein sollen, Ja. Dann aber
> mit Globalen Adressen.
Jein. Wie ich schon mehrfach erwähnt hatte habe ich u.a ipv6-only Netze.
Allerdings habe ich keinen Bedarf dort die Clients im Internet stehen zu
haben. Deshalb steht da eine Firewall vor. Bei dieser ist natürlich eine
GUA vorhanden und diese Nat'tet dann zu ULA
>
>> Ja, natürlich. Das wären dann hie hinteren 4 Felder der IP, doe ich oben
>> ignoriert habe.
>
>>> Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
>>> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
>>> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
>>> Wie hoch ist dazu der Aufwand.
>
> Die Paketfilter zwischen einem Haufen Netzen so ein zu stellen das nur
> der Verkehr passieren darf der soll und anderer ausgesperrt wird: Hoch!
Warum? Wenn eine FW ipv6 kann, kann sie auch ganz normal wie bei ipv4
filtern.
Selbst der EIS kann mit ip6tables oder nftables ipv6-traffic filtern.
Das ist doch kein Hexenwerk.
>
> Die Chance das man kompromittiert wird wenn alles in einem IPv6 Segment
> liegt - mit Smart oder IoT Geräten: ebenfalls hoch!
Nein, nicht wenn man nur Clients ins Internet lässt, die bekannt sich.
same like ipv4
Im Endeffeckt kann man jeden ipv6client mit nftables den kompletten
Traffic verbieten und nur bekannten Clients, die immer die selben
Adressen bekommen, den Traffic erlauben.
Geht ganz einfach
nft add rule ip6 nat POSTROUTING oifname "wan" ip6 saddr
fd0c:1a0:4020:ba01::6 masquerade
nft add rule ip6 nat POSTROUTING oifname "wan" ip6 saddr
fd0c:1a0:4020:ba01::/64 drop
Somit könnte jetzt nur der Client mit der 6 surfen
IOT Geräte würden ja vom dhcp-server eine Adresse aus dem Dyn-Bereich
bekommen und der wäre nicht freigegeben.
>
> Ich meine, da kann man auch gleich bei V4 bleiben, die sachen hinter ein
> NAT stecken und den Paketfilter einstellen ist dann viel einfacher. Un*
kein v4 mehr kann, aber ich habe schon welche gesehen.
Früher oder später wird man mit ipv6 zurecht kommen müssen.
Aber ich weiß. ipv6 ist noch viel zu jung. Da kann man sich ja nicht
nicht mit auskennen *freundlich lach*
Übrigens opensense kann auch NPTv6. Das ist m.E. v6-Natting
>
>
> Intra- und Inter-Net Sites sollte man nie auf dem Gleichen Gerät halten.
> Ein Adressfehler und alles ist durcheinander.
Versehe ich nicht. Wenn man mit DNS arbeite ist das gar kein Problem.
Ich würde da eher ein Sicherheitsproblem sehen als ein Adressproblem.
>
> Prinzipiell gehts doch darum: welche IP(v?) wird extern auf welchen
> domainnamen aufgelöst und führt die aufrufer genau zu DEINEM Anschluß
> und darüber zu deinem webserver auf IP-A. Und welche IP(v?) wird intern
> aufgelöst (von einem hoffentlich vorhandenen nameserver) und leitet
> anfragen genau an an IP-B.
>
überhaupt nicht mehr absicherbar. Wie soll ich damit bestimmten Clients
bestimmte Sachen erlauben oder verbieten. Meine Privatsphäre kann ich
viel besser schützen wenn nach aussen hin immer nur eine ip-Adresse
kommuniziert. Das macht meine Firewall und kein Hoster/Provider oder
sonst wer sieht welches Endgerät mit wen kommuniziert.
>
>>> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
>>> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
>>> Druckers den Namen Drucker verwenden.
>
> Dann brauchst du einen internen Nameserver der IPv6 kann.
Na das kann doch mittlerweile jeder. Selbst der kleine unbound kann ein
lokales Netz mit ipv4 und ipv6 versorgen.
>
>> Für den eis gibt es den radvd-Paket [1]. Ob der dhcp-server des eis
>> mittlerweile ipv6 unterstützt weiß ich nicht. Ich habe mir dafür den
>> dhvp-server von einem Debian ausgeliehen (dhcpd 4.3.6-P1). Der kann ipv4
>> und ipv6
>
> Als ich das auf dem EIS machen wollte konnte der dhcp davon nichts. Seit
> etlichen Jahren läuft hier eine ubuntu-server VM mit isc-dhcpd und
Hab ich doch geschrieben, dass ich den von einem Debian "ausgeliehen"
habe weil der vom EIS kein v6 kann.
> named. Könnten V6 aber ich brauch's einfach nicht. Und mein Router kann
> eh kein PD.
>
> Kay
P.S. Vieleicht ist es ja irgendwann mal möglich mit dem dhcp-Server des
EIS ipv6-Addressen zu vergeben. Die meißten Anwendungen des EIS
verwenden immer noch ipv4.
Ich merke das immer ganz doll beim Apachen. Da wird beim Aufruf des
setup oder beim update immer ipv6 abgeschaltet und mein Server ist dann
nicht mehr erreichbar. Das ist immer sehr ärgerlich. Ich habe dann als
würgaround ein script geschrieben, welches den Eintrag in der
apache.conf mittels sed ändert und den Server neustartet.
Viele Grüße
Kay Martinen schrieb am 30.03.21 um 23:23:
> Am 26.03.21 um 22:58 schrieb Olaf Jaehrling:
>>
>
>>
>
> Aber *kein* Gerät *braucht* wirklich eine ULA wenn es nicht um ein
> großes Netz geht oder mehrere getrennte Subnetze verschiedene
> Adressbereiche haben müssen.
Gebraucht wird grundsätzlich erstmal nie was. Es kommt darauf an was man
> großes Netz geht oder mehrere getrennte Subnetze verschiedene
> Adressbereiche haben müssen.
WILL, nicht was man braucht.
>
>>> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
>>> sondern einen Netzbereich /56 oder so.
>
> Die Differenz zwischen 56 und 64: 8 Bits. Ein Byte dessen Besetzung über
> die nummer(n) der /64 entscheiden die man unterteilen könnte.
>
> Wenn der Providerrouter Präfix-Delegation kann!
Aber nur wenn man will das die Clients im Internet stehen. Will man
>>> Ich bekomme normalerweise nicht eine IP-Adresse von meinem Provider,
>>> sondern einen Netzbereich /56 oder so.
>
> Die Differenz zwischen 56 und 64: 8 Bits. Ein Byte dessen Besetzung über
> die nummer(n) der /64 entscheiden die man unterteilen könnte.
>
> Wenn der Providerrouter Präfix-Delegation kann!
wirklich der (meißtens) Windowsfirewall vertrauen? Brr, mich schüttelt
es gerade.
>
>> Nein, definitiv keine fe80. für die vergebenene Addressen nutze bitte
>> den Bereich fd. (siehe https://de.wikipedia.org/wiki/IPv6 unter Unique
>> Local Unicast)
>
> Dort steht aber außerdem:
>
> -snip-
> Sofern in einem privaten Netz im Dualstack mit IPv4 nur ULA-Adressen
> verwendet werden, bevorzugt die Mehrheit der Clients bei einer
> DNS-Auflösung die IPv4-Adresse, auch wenn ein AAAA-Record existiert, da
> davon auszugehen ist, dass mit einer ULA-Adresse niemals der öffentliche
> IPv6-Adressraum erreicht werden kann. Dies führt in der Praxis dazu,
> dass in privaten Netzen (insbesondere beim Einsatz von NAT6) im
> Dualstack von ULA-Adressen abgeraten wird.
dass alle Dienste bei vorhandensein einer ipv6adresse zuerst diese
verwenden. Ich weiß dass das mal anders war.
> -snap-
>
> Heißt: ULA taugen nicht für Verbindungen ins IPv6 Internet.
auch geschrieben, das die nicht geroutet werden.
> Heißt weiter: Man braucht Global Unicast Adressen dafür. Und die rückt
> entweder nur der Provider-Router direkt raus (bei mir) oder man braucht
> eine Kombi aus Router mit PD und 2. Router mit radvd+dhcpd6 und ???
>
> Da die Adressen auch im Subnet dann gültige sein müssten werden sie wohl
> direkt durchgeleitet. An das IPv6 Default-GW. Und sie können sich
> ändern. Und ein Paketfilter auf dem Weg dazwischen muß das wissen.
übergeben wird.
Der DHCP-Server vergibt anhand der duid oder Hardwareadresse(MAC) immer
die selbe Adresse.
>
>> Da kannst du jedem Client eine eigene ipv6-Adresse vergeben und di kann
>> man sich sogar (mit einem Trick) merken.
>> zum Bsp. fd00:home:netz:nema::1/64 ergoibt bei:
>> a1,b2,c3,d4,e5,f6,g7,h8,i9,j0,k1,l2,m3,n4,o5,p6,q7,r8,s0,t1,u2,v3,w4,x5,y6,z7
>>
>> fd00:8535:4517:45:31::1/64
>> fd00 = nehme ich mal fest
>> 8535 = home
>> 4517 = netz
>> 4531 = nema (Ne[lson]ma[tias]
>
> Welche Datenbank-datei übersetzt das für die IPv6 tools wenn sie nicht
> mit -n aufgerufen werden? ethers nicht, hosts vielleicht?
Adressebereich bestimmen. Im endeffekt will man sich sowas natürlich
nicht merken. Wozu auch? Es gibt doch dns. Aber man könnte :)
>
> Wer soll sich den haufen zahlen denn bitte merken? Wenn sie wenigstens
> immer gleich blieben. Aber davon ist m.E. nicht aus zu gehen.
feste IP zuweisen. Ist nicht ganz so einfach wie bei v4, aber es geht
(Sitchwort DUID)
>
>> die fe80 sollten niemals für die ipv6 Kommunikation verwendet werden,
>> ausser als default-gateway.
>
> Da fe80::1 link-lokal ist taugt das auch nur für den Next-Hop.
>
>>> Hier auch schon meine Fragen dazu:
>>> Wann wird die zufällige Komponente generiert? Und was ist wenn diese
>>> sich ändert? Ist das eine Adresse, die ich global nutzen kann?
>
>> Du brauchst im prtivaten Bereich die zufällige Variante nicht und kannst
>> du mit :: kürzen.
>
> PEX?
>
>> Mein Netz ist z.Bsp.net6 fd0c:1a0:4020:ba01::/64 und mein Laptop hat die
>> IP fd0c:1a0:4020:ba01::78
>
> Und damit erreichst du jeden IPv6 Host im Internet? Direkt?
olaf@Laptop-FJ:~$ ip -6 add
3: wlp10s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fd0c:1a0:4020:ba01::78/128 scope global dynamic noprefixroute
valid_lft 43366sec preferred_lft 20686sec
inet6 fe80::4501:5352:380:dd5e/64 scope link noprefixroute
valid_lft forever preferred_lft forever
olaf@Laptop-FJ:~$ ping -6 ojaehrling.de
PING ojaehrling.de(jaehrling.org (2a02:c207:3003:2299::1)) 56 data bytes
64 bytes from jaehrling.org (2a02:c207:3003:2299::1): icmp_seq=1 ttl=56
time=27.8 ms
^C
--- ojaehrling.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 27.784/27.784/27.784/0.000 ms
olaf@Laptop-FJ:~$ ip -6 route show default
default via fe80::21c:7fff:fe36:8793 dev wlp10s0 proto ra metric 600
pref low
>
>>> Ich will mein Heimnetz besser organisieren. Kann ich unterschiedliche
>>> Gerätetypen in unterschiedliche Teil-Netze stecken und können die sich
>>> ohne großen Konfigurationsaufwand untereinander unterhalten?
>
> Ein einziges /64 wäre groß genug für alle zusammen. Und wenn es für
> Subnetze keinen anderen Grund gäbe könnte man das auch tun. Aber ich
> stelle immer gern die Frage wozu man IPv6 auf den Geräten im LAN denn
> braucht? Wenn sie aus dem Internet ereichbar sein sollen, Ja. Dann aber
> mit Globalen Adressen.
Allerdings habe ich keinen Bedarf dort die Clients im Internet stehen zu
haben. Deshalb steht da eine Firewall vor. Bei dieser ist natürlich eine
GUA vorhanden und diese Nat'tet dann zu ULA
>
>> Ja, natürlich. Das wären dann hie hinteren 4 Felder der IP, doe ich oben
>> ignoriert habe.
>
>>> Also z.B. Alle Fernseher in ein Subnetz, dessen Schutz in der Firewall
>>> höher ist. Alle smarten Dinge in ein anderes. Die Usergeräte in eines.
>>> Den Server in ein eigenes (falls mal ein zweiter oder so mit da ist).
>>> Wie hoch ist dazu der Aufwand.
>
> Die Paketfilter zwischen einem Haufen Netzen so ein zu stellen das nur
> der Verkehr passieren darf der soll und anderer ausgesperrt wird: Hoch!
filtern.
Selbst der EIS kann mit ip6tables oder nftables ipv6-traffic filtern.
Das ist doch kein Hexenwerk.
>
> Die Chance das man kompromittiert wird wenn alles in einem IPv6 Segment
> liegt - mit Smart oder IoT Geräten: ebenfalls hoch!
same like ipv4
Im Endeffeckt kann man jeden ipv6client mit nftables den kompletten
Traffic verbieten und nur bekannten Clients, die immer die selben
Adressen bekommen, den Traffic erlauben.
Geht ganz einfach
nft add rule ip6 nat POSTROUTING oifname "wan" ip6 saddr
fd0c:1a0:4020:ba01::6 masquerade
nft add rule ip6 nat POSTROUTING oifname "wan" ip6 saddr
fd0c:1a0:4020:ba01::/64 drop
Somit könnte jetzt nur der Client mit der 6 surfen
IOT Geräte würden ja vom dhcp-server eine Adresse aus dem Dyn-Bereich
bekommen und der wäre nicht freigegeben.
>
> Ich meine, da kann man auch gleich bei V4 bleiben, die sachen hinter ein
> da machen Subnetze dann auch (wieder) mehr sinn.
Ja, natürlich. Ich habe jetzt im Moment auch kein Gerät parat, welchen
kein v4 mehr kann, aber ich habe schon welche gesehen.
Früher oder später wird man mit ipv6 zurecht kommen müssen.
Aber ich weiß. ipv6 ist noch viel zu jung. Da kann man sich ja nicht
nicht mit auskennen *freundlich lach*
Übrigens opensense kann auch NPTv6. Das ist m.E. v6-Natting
>
>
> Intra- und Inter-Net Sites sollte man nie auf dem Gleichen Gerät halten.
> Ein Adressfehler und alles ist durcheinander.
Ich würde da eher ein Sicherheitsproblem sehen als ein Adressproblem.
>
> Prinzipiell gehts doch darum: welche IP(v?) wird extern auf welchen
> domainnamen aufgelöst und führt die aufrufer genau zu DEINEM Anschluß
> und darüber zu deinem webserver auf IP-A. Und welche IP(v?) wird intern
> aufgelöst (von einem hoffentlich vorhandenen nameserver) und leitet
> anfragen genau an an IP-B.
>
> PEX. Privacy Extensions sind dafür gedacht.
Ach komm. Das ist de größte Mist den es gibt. Damit ist ein lokales Netz
überhaupt nicht mehr absicherbar. Wie soll ich damit bestimmten Clients
bestimmte Sachen erlauben oder verbieten. Meine Privatsphäre kann ich
viel besser schützen wenn nach aussen hin immer nur eine ip-Adresse
kommuniziert. Das macht meine Firewall und kein Hoster/Provider oder
sonst wer sieht welches Endgerät mit wen kommuniziert.
>
>>> sei denn ich bekomme das hin, das die Geräte ihre Adresse beim DNS
>>> entsprechend registrieren. Dann kann ich ja statt der IPv6-Adresse des
>>> Druckers den Namen Drucker verwenden.
>
> Dann brauchst du einen internen Nameserver der IPv6 kann.
lokales Netz mit ipv4 und ipv6 versorgen.
>
>> Für den eis gibt es den radvd-Paket [1]. Ob der dhcp-server des eis
>> mittlerweile ipv6 unterstützt weiß ich nicht. Ich habe mir dafür den
>> dhvp-server von einem Debian ausgeliehen (dhcpd 4.3.6-P1). Der kann ipv4
>> und ipv6
>
> Als ich das auf dem EIS machen wollte konnte der dhcp davon nichts. Seit
> etlichen Jahren läuft hier eine ubuntu-server VM mit isc-dhcpd und
habe weil der vom EIS kein v6 kann.
> named. Könnten V6 aber ich brauch's einfach nicht. Und mein Router kann
> eh kein PD.
>
> Kay
EIS ipv6-Addressen zu vergeben. Die meißten Anwendungen des EIS
verwenden immer noch ipv4.
Ich merke das immer ganz doll beim Apachen. Da wird beim Aufruf des
setup oder beim update immer ipv6 abgeschaltet und mein Server ist dann
nicht mehr erreichbar. Das ist immer sehr ärgerlich. Ich habe dann als
würgaround ein script geschrieben, welches den Eintrag in der
apache.conf mittels sed ändert und den Server neustartet.
Viele Grüße
Nelson Matias
Apr 1, 2021, 1:45:28 PM4/1/21
to
Hallo Olaf,
On 31.03.2021 22:14, Olaf Jaehrling wrote:
>>
>> Prinzipiell gehts doch darum: welche IP(v?) wird extern auf welchen
>> domainnamen aufgelöst und führt die aufrufer genau zu DEINEM Anschluß
>> und darüber zu deinem webserver auf IP-A. Und welche IP(v?) wird intern
>> aufgelöst (von einem hoffentlich vorhandenen nameserver) und leitet
>> anfragen genau an an IP-B.
>
>>
>> PEX. Privacy Extensions sind dafür gedacht.
>
> Ach komm. Das ist de größte Mist den es gibt. Damit ist ein lokales Netz
> überhaupt nicht mehr absicherbar. Wie soll ich damit bestimmten Clients
> bestimmte Sachen erlauben oder verbieten. Meine Privatsphäre kann ich
> viel besser schützen wenn nach aussen hin immer nur eine ip-Adresse
> kommuniziert. Das macht meine Firewall und kein Hoster/Provider oder
> sonst wer sieht welches Endgerät mit wen kommuniziert.
Ja so hab ich mir das ja auch gedacht. Ein Subnetz wo die Geräte drin
sind, die ich aus dem Internet erreichen will. Diese Geräte brauchen
keine PEX weil diese Server sind (Aktuell nur einer aber können ja auch
mehr werden) Und diese Geräte haben eine anderes Sicherheit als der
Rest. Hier würde dann auch der Bedarf für CONNTRAK-Helper wegfallen,
wenn die GUA dieser Geräte fix ist.
Ein Subnetz mit den HID-Geräten. Das sind dann die Windosen, Andrioden
und anderes Zeugs mit Benutzern. Die werden besser geschützt und da
würde ich jetzt auch Natten. Somit brauchen die auch keine PEX. Wenn die
das von selber machen ist mir das auch egal, solang alles klappt.
Ein Subnetz für die ganzen smarten Dinge. Also auch die IoTs. Dort
dürfen dann nur die ins Netz, die es müssen (die smarten, weil ja alles
über die Hersteller-server läuft *seufz*) Da kann ich aber hoffentlich
alle Anfragen aus der Internetseite blocken, da ja die Befehle über die
bestehenden Verbindungen zu den Servern kommen sollten.
Und damit ich mir sicher bin die PEX richtig verstanden zu haben hier
noch der Erklärungsversuch vion meiner Seite:
Ein Gerät mit PEX generiert sich in regelmäßigen Abständen neue
Global-Unicast-Adressen. Also z.B. alle 60 Minuten. Somit werden NEUE
Verbindungen dann mit der neuen Adresse gemacht und ein Tracking rein
über die IP-Adresse ist kaum mehr möglich. Damit aber bestehende
Verbindungen nicht abbrechen (z.B. der Blockbuster in Netflix) bleiben
die alten Adressen noch so lange aktiv bis keine Verbindung mit dieser
Adresse noch offen ist. Somit kann es sein, das ein Gerät gleichzeitig
mehrere GUA hat. Wovon aber immer nur die jüngste für neue Verbindungen
genutzt wird.
Grüße
Nelson
On 31.03.2021 22:14, Olaf Jaehrling wrote:
>>
>> Prinzipiell gehts doch darum: welche IP(v?) wird extern auf welchen
>> domainnamen aufgelöst und führt die aufrufer genau zu DEINEM Anschluß
>> und darüber zu deinem webserver auf IP-A. Und welche IP(v?) wird intern
>> aufgelöst (von einem hoffentlich vorhandenen nameserver) und leitet
>> anfragen genau an an IP-B.
>
>>
>> PEX. Privacy Extensions sind dafür gedacht.
>
> Ach komm. Das ist de größte Mist den es gibt. Damit ist ein lokales Netz
> überhaupt nicht mehr absicherbar. Wie soll ich damit bestimmten Clients
> bestimmte Sachen erlauben oder verbieten. Meine Privatsphäre kann ich
> viel besser schützen wenn nach aussen hin immer nur eine ip-Adresse
> kommuniziert. Das macht meine Firewall und kein Hoster/Provider oder
> sonst wer sieht welches Endgerät mit wen kommuniziert.
sind, die ich aus dem Internet erreichen will. Diese Geräte brauchen
keine PEX weil diese Server sind (Aktuell nur einer aber können ja auch
mehr werden) Und diese Geräte haben eine anderes Sicherheit als der
Rest. Hier würde dann auch der Bedarf für CONNTRAK-Helper wegfallen,
wenn die GUA dieser Geräte fix ist.
Ein Subnetz mit den HID-Geräten. Das sind dann die Windosen, Andrioden
und anderes Zeugs mit Benutzern. Die werden besser geschützt und da
würde ich jetzt auch Natten. Somit brauchen die auch keine PEX. Wenn die
das von selber machen ist mir das auch egal, solang alles klappt.
Ein Subnetz für die ganzen smarten Dinge. Also auch die IoTs. Dort
dürfen dann nur die ins Netz, die es müssen (die smarten, weil ja alles
über die Hersteller-server läuft *seufz*) Da kann ich aber hoffentlich
alle Anfragen aus der Internetseite blocken, da ja die Befehle über die
bestehenden Verbindungen zu den Servern kommen sollten.
Und damit ich mir sicher bin die PEX richtig verstanden zu haben hier
noch der Erklärungsversuch vion meiner Seite:
Ein Gerät mit PEX generiert sich in regelmäßigen Abständen neue
Global-Unicast-Adressen. Also z.B. alle 60 Minuten. Somit werden NEUE
Verbindungen dann mit der neuen Adresse gemacht und ein Tracking rein
über die IP-Adresse ist kaum mehr möglich. Damit aber bestehende
Verbindungen nicht abbrechen (z.B. der Blockbuster in Netflix) bleiben
die alten Adressen noch so lange aktiv bis keine Verbindung mit dieser
Adresse noch offen ist. Somit kann es sein, das ein Gerät gleichzeitig
mehrere GUA hat. Wovon aber immer nur die jüngste für neue Verbindungen
genutzt wird.
Grüße
Nelson
Nelson Matias
Apr 1, 2021, 1:51:13 PM4/1/21
to
Hallo Olaf
On 31.03.2021 22:14, Olaf Jaehrling wrote:
Hier muss ich mal anmerken, das ich es schade finde keinen Kommentar aus
dem Fli4l-Team zu bekommen.
Erstens ist die die Gruppe spline.FLI4L.geschnatter und ich hatte ja
geschrieben, das ich einen Fli4l betreibe. Ich denke, der kann das. Aber
die Fli4l-Doku ist sehr umfangreich und liegt erst dieses WE auf dem Plan.
Da ich meinen Anschluss nicht alleine Nutze muss ich auf die anderen
Teilnehmer im Haus Rücksicht nehmen und kann nicht einfach mal das
Internet abschalten weil ich Routerconfigs testen muss. Meine Kinder
würden sich freuen, weil Mama sie nicht mehr nerven könnte. Aber meine
'in-laws' würden mich lynchen, wenn diese meine Frau nicht mehr
erreichen könnten.
Ich wünsche aber hier schon mal allen Frohe Ostern.
Nelson
On 31.03.2021 22:14, Olaf Jaehrling wrote:
dem Fli4l-Team zu bekommen.
Erstens ist die die Gruppe spline.FLI4L.geschnatter und ich hatte ja
geschrieben, das ich einen Fli4l betreibe. Ich denke, der kann das. Aber
die Fli4l-Doku ist sehr umfangreich und liegt erst dieses WE auf dem Plan.
Da ich meinen Anschluss nicht alleine Nutze muss ich auf die anderen
Teilnehmer im Haus Rücksicht nehmen und kann nicht einfach mal das
Internet abschalten weil ich Routerconfigs testen muss. Meine Kinder
würden sich freuen, weil Mama sie nicht mehr nerven könnte. Aber meine
'in-laws' würden mich lynchen, wenn diese meine Frau nicht mehr
erreichen könnten.
Ich wünsche aber hier schon mal allen Frohe Ostern.
Nelson
Ulrich Hupe
Apr 3, 2021, 4:51:05 AM4/3/21
to
Hi Nelson,
> Hier muss ich mal anmerken, das ich es schade finde keinen Kommentar aus
> dem Fli4l-Team zu bekommen.
> Erstens ist die die Gruppe spline.FLI4L.geschnatter und ich hatte ja
> geschrieben, das ich einen Fli4l betreibe. Ich denke, der kann das. Aber
> die Fli4l-Doku ist sehr umfangreich und liegt erst dieses WE auf dem Plan.
>
aufmerksam, da ich dies Projekt auch noch auf der Agenda habe.
Mein Provider (Telekom) unterstützt den dual stack, so daß ich beide
Varianten v4/6 parallel einsetzen möchte. mal sehen
frohe Ostern, Ulrich
> Hier muss ich mal anmerken, das ich es schade finde keinen Kommentar aus
> dem Fli4l-Team zu bekommen.
> Erstens ist die die Gruppe spline.FLI4L.geschnatter und ich hatte ja
> geschrieben, das ich einen Fli4l betreibe. Ich denke, der kann das. Aber
> die Fli4l-Doku ist sehr umfangreich und liegt erst dieses WE auf dem Plan.
>
> Ich wünsche aber hier schon mal allen Frohe Ostern.
>
Habe leider grad nicht viel beizusteuern, verfolge das Geschnatter aber
>
aufmerksam, da ich dies Projekt auch noch auf der Agenda habe.
Mein Provider (Telekom) unterstützt den dual stack, so daß ich beide
Varianten v4/6 parallel einsetzen möchte. mal sehen
frohe Ostern, Ulrich
0 new messages