IPv6 - DynDNS - "Forwarding"
Hallo,
Dank meines Dual-Stack Anschlusses beschäftige ich mich gezwungenermaßen immer mal wieder mit IPv6.
Zum Einen ganz gut um generell den Umgang damit zu lernen; Zum Anderen aber auch um sich mit der ganzen Krücke IPv4 auf IPv6 herum zu schlagen.
Ich würde gern hier ein paar Fragen loswerden wollen, die sich so angesammelt haben.
Die angestrebte "Ideallösung" ist vermutlich das Netz via VPN zu kontaktieren und dann auf die Clients zuzugreifen.
Was mich technisch aber noch interessiert sind die Lösungen ohne VPN:
IPv6 Geräte sind direkt aus dem IPv6-Netz von Aussen erreichbar; Kein NAT; Kein PortForwarding, soweit klar
-> Bedeutet, dass man nun zu jedem Gerät auch einen DynDNS Client + Adresse einrichten müsste?
-> Was ist, wenn der Client das selbst nicht unterstützt (IPCam, Toaster, Zahnbürste, Toilette)
Über MyFritz bekomme ich die aktuelle IPv6 Adressen aller Netzwerkclients (<clientname>.<MyFritzID>.myfritz.net)
-> Sind die Geräte dadurch nicht deutlich angreifbarer wenn Ihre Adresse bekannt ist; Bei Portforwarding via IPv4 war dies ja nicht der Fall klar es läuft weiterhin über die FW des Routers. Die Aussage "Das Gerät ist unter IPv6 direkt erreichbar" hinterlässt aber irgendwie noch ein unwohles Gefühl
Den Dienst Feste-ip.net finde ich schon als "Übergangslösung" eine nette Sache. Dennoch sehe ich irgendwie nicht ein, zusätzlich Geld (wenn auch nur wenig) zu bezahlen, nur weil es die Anbieter nicht auf die Reihe bekommen endlich komplett auf IPv6 umzustellen.
So wie ich es verstanden habe, müsste ich also für jeden Client einen Portmapper einrichten und die gewünschten Ports freigeben?
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?
Viele Grüße
Dank meines Dual-Stack Anschlusses beschäftige ich mich gezwungenermaßen immer mal wieder mit IPv6.
Zum Einen ganz gut um generell den Umgang damit zu lernen; Zum Anderen aber auch um sich mit der ganzen Krücke IPv4 auf IPv6 herum zu schlagen.
Ich würde gern hier ein paar Fragen loswerden wollen, die sich so angesammelt haben.
Die angestrebte "Ideallösung" ist vermutlich das Netz via VPN zu kontaktieren und dann auf die Clients zuzugreifen.
Was mich technisch aber noch interessiert sind die Lösungen ohne VPN:
IPv6 Geräte sind direkt aus dem IPv6-Netz von Aussen erreichbar; Kein NAT; Kein PortForwarding, soweit klar
-> Bedeutet, dass man nun zu jedem Gerät auch einen DynDNS Client + Adresse einrichten müsste?
-> Was ist, wenn der Client das selbst nicht unterstützt (IPCam, Toaster, Zahnbürste, Toilette)
Über MyFritz bekomme ich die aktuelle IPv6 Adressen aller Netzwerkclients (<clientname>.<MyFritzID>.myfritz.net)
-> Sind die Geräte dadurch nicht deutlich angreifbarer wenn Ihre Adresse bekannt ist; Bei Portforwarding via IPv4 war dies ja nicht der Fall klar es läuft weiterhin über die FW des Routers. Die Aussage "Das Gerät ist unter IPv6 direkt erreichbar" hinterlässt aber irgendwie noch ein unwohles Gefühl
Den Dienst Feste-ip.net finde ich schon als "Übergangslösung" eine nette Sache. Dennoch sehe ich irgendwie nicht ein, zusätzlich Geld (wenn auch nur wenig) zu bezahlen, nur weil es die Anbieter nicht auf die Reihe bekommen endlich komplett auf IPv6 umzustellen.
So wie ich es verstanden habe, müsste ich also für jeden Client einen Portmapper einrichten und die gewünschten Ports freigeben?
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366935
Url: https://administrator.de/contentid/366935
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
11 Kommentare
Neuester Kommentar
Sind die Geräte dadurch nicht deutlich angreifbarer wenn Ihre Adresse bekannt ist
Theoretisch ja, praktisch nein.Über die wechselnde Prefix Delegation bekommst du ja zyklisch neue Adressen und auch die Privacy Extension verschleiern es:
https://www.heise.de/ct/artikel/IPv6-Privacy-Extensions-einschalten-1204 ...
Bei Portforwarding via IPv4 war dies ja nicht der Fall
Der Router und damit das Ziel lässt sich damit aber auch herausbekommen. OK nicht das dedizierte Endgerät aber das verhindern bei v6 ja auch die Privacy Extensions.nur weil es die Anbieter nicht auf die Reihe bekommen endlich komplett auf IPv6 umzustellen.
Bei der Telekom (und auch anderen) ist das aber schon lange kein Thema mehr. Da rennt alles auch auch IPv6.Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding
Nein. Wäre ja auch technischer Blödsinn !
Moin
NAT und Portweiterleitung sind ja nicht als Sicherheitsfeature entwickelt worden.
Man hat halt schlicht festgestellt, dass es zu wenigen IPv4-Adressen gibt.
640KB sind ja nun auch genug.
Mal schauen ob das bei IPv6 auch passiert.
Aber da können wir ja einfach den Adressraum der Venus hinzufügen.
Stefan
Zitat von @Nexder:
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?
NAT und Portweiterleitung sind ja nicht als Sicherheitsfeature entwickelt worden.
Man hat halt schlicht festgestellt, dass es zu wenigen IPv4-Adressen gibt.
640KB sind ja nun auch genug.
Mal schauen ob das bei IPv6 auch passiert.
Aber da können wir ja einfach den Adressraum der Venus hinzufügen.
Stefan
Mal schauen ob das bei IPv6 auch passiert.
Wohl kaum !! http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
Zitat von @aqui:
http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
Ich weiß, aber 640kb waren ja auch mal genug.Mal schauen ob das bei IPv6 auch passiert.
Wohl kaum !! http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
Wenn z.B. jede KI 1 Milliarde IP-Adressen benötigt...
Zitat von @StefanKittel:
Wenn z.B. jede KI 1 Milliarde IP-Adressen benötigt...
Oder wenn weiterhin so verschwenderisch mit den Adressen umgegangen wird, jeder Anschluß bekommt einen 64 Block, was man eigentlich gar nicht brauch.Zitat von @aqui:
http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
Ich weiß, aber 640kb waren ja auch mal genug.Mal schauen ob das bei IPv6 auch passiert.
Wohl kaum !! http://blog.united-domains.de/2011/06/600-billiarden-adressen-pro-quadr ...
Wenn z.B. jede KI 1 Milliarde IP-Adressen benötigt...
Zitat von @Nexder:
So wie ich es verstanden habe, müsste ich also für jeden Client einen Portmapper einrichten und die gewünschten Ports freigeben?
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?
So wie ich es verstanden habe, müsste ich also für jeden Client einen Portmapper einrichten und die gewünschten Ports freigeben?
-> Gibt es tatsächlich keine vergleichbare Lösung gemäß dem Portforwarding, oder einem Proxy, der im IPv6 Netz Anfragen an andere Geräte verteilt und so von Aussen nur ein Gerät erreichbar ist?
Ich habe das ganze bei mir mit "feste-ip.net" umgesetzt.
Hab dafür genau 1 Gerät verwendet. Und zwar einen Raspberry Pi auf dem OpenVPN läuft.
So habe ich einen Portmapper und genau einen Port der zum Raspi geroutet wird. Und zwar der Port für VPN.
So bin ich in meinem Netzwerk und kann alle Geräte erreichen.
Bei der Telekom (und auch anderen) ist das aber schon lange kein Thema mehr. Da rennt alles auch auch IPv6.
Im Mobilfunknetz bin ich noch nicht deiner Meinung. Hier ist noch (fast) alles IPv4Ich habe das ganze bei mir mit "feste-ip.net" umgesetzt.
Sprich also DynDNS ?!So bin ich in meinem Netzwerk und kann alle Geräte erreichen.
Das ist im Grunde ein SSL Tunnel also das berühmte VPN für Arme:VPN für Arme - TCP in SSH tunneln mit Putty
Im Mobilfunknetz bin ich noch nicht deiner Meinung.
LTE basiert vollständig auf IPv6 auch die Telefonie. Ab da wirds also losgehen mit v6.Feste-IP.net bietet einen "PortMapper" an.
Wäre ja bei IPv6 eigentlich überflüssig, da man sowas da gar nicht braucht ! Wozu auch, wenn man auf beiden Enden öffentlich erreichbare Netze hat ?!Du benötigst sowas nur wenn du ein DS-Lite Netz hast und mit IPv4 arbeiten willst. Bei IPv6 ohne NAT ist sowas doch vollkommen überflüssig !