nexder
Goto Top

IPv6 - DynDNS - "Forwarding"

Hallo,

Dank meines Dual-Stack Anschlusses beschäftige ich mich gezwungenermaßen immer mal wieder mit IPv6.
Zum Einen ganz gut um generell den Umgang damit zu lernen; Zum Anderen aber auch um sich mit der ganzen Krücke IPv4 auf IPv6 herum zu schlagen.

Ich würde gern hier ein paar Fragen loswerden wollen, die sich so angesammelt haben.

Die angestrebte "Ideallösung" ist vermutlich das Netz via VPN zu kontaktieren und dann auf die Clients zuzugreifen.

Was mich technisch aber noch interessiert sind die Lösungen ohne VPN:

IPv6 Geräte sind direkt aus dem IPv6-Netz von Aussen erreichbar; Kein NAT; Kein PortForwarding, soweit klar
-> Bedeutet, dass man nun zu jedem Gerät auch einen DynDNS Client + Adresse einrichten müsste?
-> Was ist, wenn der Client das selbst nicht unterstützt (IPCam, Toaster, Zahnbürste, Toilette)

Über MyFritz bekomme ich die aktuelle IPv6 Adressen aller Netzwerkclients (<clientname>.<MyFritzID>.myfritz.net)
-> Sind die Geräte dadurch nicht deutlich angreifbarer wenn Ihre Adresse bekannt ist; Bei Portforwarding via IPv4 war dies ja nicht der Fall klar es läuft weiterhin über die FW des Routers. Die Aussage "Das Gerät ist unter IPv6 direkt erreichbar" hinterlässt aber irgendwie noch ein unwohles Gefühl

Den Dienst Feste-ip.net finde ich schon als "Übergangslösung" eine nette Sache. Dennoch sehe ich irgendwie nicht ein, zusätzlich Geld (wenn auch nur wenig) zu bezahlen, nur weil es die Anbieter nicht auf die Reihe bekommen endlich komplett auf IPv6 umzustellen.
So wie ich es verstanden habe, müsste ich also für jeden Client einen Portmapper einrichten und die gewünschten Ports freigeben?
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?


Viele Grüße

Content-ID: 366935

Url: https://administrator.de/contentid/366935

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

aqui
aqui 05.03.2018 aktualisiert um 10:22:22 Uhr
Goto Top
Sind die Geräte dadurch nicht deutlich angreifbarer wenn Ihre Adresse bekannt ist
Theoretisch ja, praktisch nein.
Über die wechselnde Prefix Delegation bekommst du ja zyklisch neue Adressen und auch die Privacy Extension verschleiern es:
https://www.heise.de/ct/artikel/IPv6-Privacy-Extensions-einschalten-1204 ...
Bei Portforwarding via IPv4 war dies ja nicht der Fall
Der Router und damit das Ziel lässt sich damit aber auch herausbekommen. OK nicht das dedizierte Endgerät aber das verhindern bei v6 ja auch die Privacy Extensions.
nur weil es die Anbieter nicht auf die Reihe bekommen endlich komplett auf IPv6 umzustellen.
Bei der Telekom (und auch anderen) ist das aber schon lange kein Thema mehr. Da rennt alles auch auch IPv6.
Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding
Nein. Wäre ja auch technischer Blödsinn !
StefanKittel
StefanKittel 05.03.2018 um 10:50:39 Uhr
Goto Top
Moin

Zitat von @Nexder:
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?

NAT und Portweiterleitung sind ja nicht als Sicherheitsfeature entwickelt worden.
Man hat halt schlicht festgestellt, dass es zu wenigen IPv4-Adressen gibt.
640KB sind ja nun auch genug.

Mal schauen ob das bei IPv6 auch passiert.
Aber da können wir ja einfach den Adressraum der Venus hinzufügen.

Stefan
aqui
aqui 05.03.2018 aktualisiert um 11:33:30 Uhr
Goto Top
Mal schauen ob das bei IPv6 auch passiert.
Wohl kaum !! face-wink
http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
StefanKittel
StefanKittel 05.03.2018 um 11:53:08 Uhr
Goto Top
Zitat von @aqui:
Mal schauen ob das bei IPv6 auch passiert.
Wohl kaum !! face-wink
http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
Ich weiß, aber 640kb waren ja auch mal genug.
Wenn z.B. jede KI 1 Milliarde IP-Adressen benötigt...
canlot
canlot 05.03.2018 um 13:00:35 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @aqui:
Mal schauen ob das bei IPv6 auch passiert.
Wohl kaum !! face-wink
http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
Ich weiß, aber 640kb waren ja auch mal genug.
Wenn z.B. jede KI 1 Milliarde IP-Adressen benötigt...
Oder wenn weiterhin so verschwenderisch mit den Adressen umgegangen wird, jeder Anschluß bekommt einen 64 Block, was man eigentlich gar nicht brauch.
wusa88
wusa88 06.03.2018 um 09:58:56 Uhr
Goto Top
Zitat von @Nexder:
So wie ich es verstanden habe, müsste ich also für jeden Client einen Portmapper einrichten und die gewünschten Ports freigeben?
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?

Ich habe das ganze bei mir mit "feste-ip.net" umgesetzt.
Hab dafür genau 1 Gerät verwendet. Und zwar einen Raspberry Pi auf dem OpenVPN läuft.
So habe ich einen Portmapper und genau einen Port der zum Raspi geroutet wird. Und zwar der Port für VPN.

So bin ich in meinem Netzwerk und kann alle Geräte erreichen.


Zitat von @aqui:

Bei der Telekom (und auch anderen) ist das aber schon lange kein Thema mehr. Da rennt alles auch auch IPv6.
Im Mobilfunknetz bin ich noch nicht deiner Meinung. Hier ist noch (fast) alles IPv4
aqui
aqui 06.03.2018 um 10:49:54 Uhr
Goto Top
Ich habe das ganze bei mir mit "feste-ip.net" umgesetzt.
Sprich also DynDNS ?!
So bin ich in meinem Netzwerk und kann alle Geräte erreichen.
Das ist im Grunde ein SSL Tunnel also das berühmte VPN für Arme:
VPN für Arme - TCP in SSH tunneln mit Putty
Im Mobilfunknetz bin ich noch nicht deiner Meinung.
LTE basiert vollständig auf IPv6 auch die Telefonie. Ab da wirds also losgehen mit v6.
Nexder
Nexder 07.03.2018 um 01:26:52 Uhr
Goto Top
Sprich also DynDNS ?!
Feste-IP.net bietet einen "PortMapper" an.
Anfragen aus dem IPv4 Netz werden über den Dienst in das IPv6 Netz übersetzt, wodurch die Kommunikation Netzübergreifend funktioniert.
Damit auch ein echtes VPN durch den lokale OpenVPN Dienst

Ich habe es bei mir nun auch so aufgesetzt und teste noch auf Funktion. Schaut soweit aber ganz gut aus.

LTE basiert vollständig auf IPv6 auch die Telefonie. Ab da wirds also losgehen mit v6.
Wäre ja Interessant, aber nur bedingt Zielführend, da im O2 Netz zumindest EDGE kein IPv6 unterstützt.
Werde es morgen mal bei LTE Verfügbarkeit testen
aqui
aqui 07.03.2018 aktualisiert um 11:30:11 Uhr
Goto Top
Feste-IP.net bietet einen "PortMapper" an.
Wäre ja bei IPv6 eigentlich überflüssig, da man sowas da gar nicht braucht ! Wozu auch, wenn man auf beiden Enden öffentlich erreichbare Netze hat ?!
Du benötigst sowas nur wenn du ein DS-Lite Netz hast und mit IPv4 arbeiten willst. Bei IPv6 ohne NAT ist sowas doch vollkommen überflüssig !
Nexder
Nexder 07.03.2018 um 12:36:50 Uhr
Goto Top
Bis auf den Punkt
mit IPv4 arbeiten willst.
gebe ich dir völlig recht.

UM = DS-Lite
O2 Mobilnetz = IPv4

Habe es gerade nochmal getestet und über O2 bekomme ich auch im LTE Netz definitiv keine IPv6 Adresse.
aqui
aqui 07.03.2018 um 14:07:44 Uhr
Goto Top
Na ja, bei O2 und seinem gruseligen Mobilnetz wundert das sicher niemanden....