8
IPv6 - dauerhaft privacy extensions deaktivieren
Hallo zusammen
Ich habe eine IPv6 Portweiterleitung über feste-ip.net, um ein Windows 11 System via RDP hinter einer Fritzbox erreichen zu können.
Windows hat aber ja standardmäßig einen sich verändernden IPv6 Prefix, den man wie folgt aber ja deaktivieren kann:
Problem ist, dass nach einem Neustart das wieder aktiviert ist.
Ich habe schon ausprobiert:
Was aber nicht funktioniert hat.
Nach einem Neustart ist trotzdem immer die IPv6 nicht die, die für die Portweiterleitung erforderlich ist.
Hat jemand einen Trick, wie ich das dauerhaft und über einen Neustart hinweg konfigurieren kann?
Die Sicherheitsrisiken mit Portfreigabe sind bekannt und auch VPN via Wireguard mit IPv6 als Alternativlösung mit dann direktem IPv4 Zugriff.
Ich habe eine IPv6 Portweiterleitung über feste-ip.net, um ein Windows 11 System via RDP hinter einer Fritzbox erreichen zu können.
Windows hat aber ja standardmäßig einen sich verändernden IPv6 Prefix, den man wie folgt aber ja deaktivieren kann:
netsh interface ipv6 set global randomizeidentifiers=disabled
netsh interface ipv6 set privacy state=disabledProblem ist, dass nach einem Neustart das wieder aktiviert ist.
Ich habe schon ausprobiert:
netsh interface ipv6 set global randomizeidentifiers=disabled store=active
netsh interface ipv6 set privacy state=disabled store=activenetsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
netsh interface ipv6 set privacy state=disabled store=persistentWas aber nicht funktioniert hat.
Nach einem Neustart ist trotzdem immer die IPv6 nicht die, die für die Portweiterleitung erforderlich ist.
Hat jemand einen Trick, wie ich das dauerhaft und über einen Neustart hinweg konfigurieren kann?
Die Sicherheitsrisiken mit Portfreigabe sind bekannt und auch VPN via Wireguard mit IPv6 als Alternativlösung mit dann direktem IPv4 Zugriff.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670725
Url: https://administrator.de/forum/ipv6-dauerhaft-privacy-extensions-deaktivieren-670725.html
Ausgedruckt am: 16.01.2025 um 16:01 Uhr
8 Kommentare
Neuester Kommentar
Moin.
Kann ich hier nicht nachvollziehen, ein cleanes aktuelles Windows 11 mit diesen Einstellungen behält diese auch über einen Neustart hinaus auch ohne explizite Angabe des Stores welcher per Default persistent ist.
Der Rechner benutzt dann wie zu erwarten war die EUI-64 Adresse gebildet aus Prefix und MAC. Es muss also etwas auf deiner Kiste die Einstellungen wieder zurücksetzen (Treiber/Skript/GPO/Netzwerktool/...). Schau mal in die NIC Settings ob da was konfiguriert ist. Im zweifel nutze Process Monitor im Bootmode um festzustellen welcher Prozess das bei dir tut.
Du kannst auch mal testweise eine elevated Powershell dafür hernehmen, ob das bei dir etwas am Verhalten deiner Kiste ändert
Hier meine VM nach deaktivieren der privacy extensions und Reboot:
Gruß gastric
Kann ich hier nicht nachvollziehen, ein cleanes aktuelles Windows 11 mit diesen Einstellungen behält diese auch über einen Neustart hinaus auch ohne explizite Angabe des Stores welcher per Default persistent ist.
Der Rechner benutzt dann wie zu erwarten war die EUI-64 Adresse gebildet aus Prefix und MAC. Es muss also etwas auf deiner Kiste die Einstellungen wieder zurücksetzen (Treiber/Skript/GPO/Netzwerktool/...). Schau mal in die NIC Settings ob da was konfiguriert ist. Im zweifel nutze Process Monitor im Bootmode um festzustellen welcher Prozess das bei dir tut.
Du kannst auch mal testweise eine elevated Powershell dafür hernehmen, ob das bei dir etwas am Verhalten deiner Kiste ändert
Set-NetIPv6Protocol -RandomizeIdentifiers Disabled -UseTemporaryAddresses DisabledHier meine VM nach deaktivieren der privacy extensions und Reboot:
Gruß gastric
1
Neustart: Private IPv6 drin:
Ich habe aber auch beim Befehl "netsh int ipv global" bei "zufälliger Bezeichner" enabled drin stehen nach einem Reboot...
Powershell als Admin habe ich auch mal ausprobiert. Das System ist in keiner Domäne, hat keine GPOs. Kann Eset sowas ändern? Google hat nichts ausgespuckt mit Beispielen.
Das mit der Prozessüberwachung muss ich sonst mal machen.
Ich habe aber auch beim Befehl "netsh int ipv global" bei "zufälliger Bezeichner" enabled drin stehen nach einem Reboot...
Powershell als Admin habe ich auch mal ausprobiert. Das System ist in keiner Domäne, hat keine GPOs. Kann Eset sowas ändern? Google hat nichts ausgespuckt mit Beispielen.
Das mit der Prozessüberwachung muss ich sonst mal machen.
Wissen wir ja nun schon ... was läuft denn sonst so auf der Kiste auch im Hintergrund? Schon interface komplett resettet (
netsh int ipv6 reset) rebootet und Settings neu konfiguriert? Oder mal eine Reparatur-Installation laufen lassen oder ein sfc /scannow ? Kann Eset sowas ändern?
Ja durchaus, mit Systemberechtigungen können die alles. Alles was verdächtig ist, erst mal deaktivieren dann findest du deinen Übeltäter.1
Powershell als Admin mit dem Befehl hat geholfen. Nach Neustart war die IP weiterhin die richtige.
Stellt ansonsten ein Windows Update das wieder zurück und überschreibt den Powershell Befehl? Oder bisher keine Fälle dazu bekannt?
Stellt ansonsten ein Windows Update das wieder zurück und überschreibt den Powershell Befehl? Oder bisher keine Fälle dazu bekannt?
Zitat von @hausrocker:
Powershell als Admin mit dem Befehl hat geholfen. Nach Neustart war die IP weiterhin die richtige.
👍Powershell als Admin mit dem Befehl hat geholfen. Nach Neustart war die IP weiterhin die richtige.
Stellt ansonsten ein Windows Update das wieder zurück und überschreibt den Powershell Befehl? Oder bisher keine Fälle dazu bekannt?
Sag niemals nie, vor allem bei Windows musst du mit allem rechnen. Im Zweifel ein Skript in den Computer-Start packen welches die Einstellung bei jedem Boot explizit so setzt. (Local GPO / Task-Scheduler)
Ich hatte das Skript als normale Batch in shell:common startup liegen aber die Befürchtung, dass das nicht läuft, weil ja es eine Admin Eingabeaufforderung sein muss. Aber vllt. wollte auch einfach die Eingabeaufforderung halt nicht.
Danke für den Tipp mit der Powershell. Ist halt doof, wenn man nicht mehr via RDP auf das System kommt, um das überhaupt einzurichten.
Danke für den Tipp mit der Powershell. Ist halt doof, wenn man nicht mehr via RDP auf das System kommt, um das überhaupt einzurichten.
Zitat von @hausrocker:
Ich hatte das Skript als normale Batch in shell:common startup liegen aber die Befürchtung, dass das nicht läuft, weil ja es eine Admin Eingabeaufforderung sein muss. Aber vllt. wollte auch einfach die Eingabeaufforderung halt nicht.
Das klappt so natürlich nicht, das muss im System-Kontext bzw. elevated laufen. Das erreichst du entweder über die Platzierung als Startskript (s.o.) in der local GPO (gpedit.msc), diese Skripte laufen alle mit SYSTEM Rechten vor dem Login, oder über einen Task im Task-Scheduler mit "SYSTEM" Principle, dann klappt das problemlos.Ich hatte das Skript als normale Batch in shell:common startup liegen aber die Befürchtung, dass das nicht läuft, weil ja es eine Admin Eingabeaufforderung sein muss. Aber vllt. wollte auch einfach die Eingabeaufforderung halt nicht.
1
Windows hat aber ja standardmäßig einen sich verändernden IPv6 Prefix
Nur der Vollständigkeit halber... Das ist in einem Admin Forum netztechnisch gesehen so nicht korrekt, denn der "Prefix" wird nie oder zu mindestens vom Endgerät selber nicht verändert. Gemeinhin ist dies das Netzwerk bzw. der Netzwerkteil der wie bei v4 fest vorgegeben ist.Was du meinst sind sehr wahrscheinlich die "Privacy Extensions", (RFC 4941) oder? Die sind dann auch keineswegs Winblows spezifisch sondern in allen OS vertreten. Das ist dann der Hostteil der Adresse der sich dann nicht aus der Mac Adresse herleitet (EUI-64) sondern wechselnd zufällig generiert wird.
