emjot42
Goto Top

IPv6 Verwirrung, Multihoming

Hallo allerseits,

ich habe gerade ein kleines Problem mit meinem Netzwerk. Ich wohne in einem Mehrfamilienhaus eine Etage über meinen Eltern und habe nun beide Netze verbunden, um gemeinsame Ressourcen zu nutzen.
In beiden Netzen ist jeweils ein DSL-Anschluss vorhanden (einmal Telekom, einmal o2), beides Dualstack.
Nun wollte ich es so betreiben, dass der Anschluss meiner Eltern DHCP macht und alle Geräte die auf DHCP gestellt sind diesen nutzen und nur mit meinem Festrechner über O2 gehen. Daher stellte ich bei diesem DHCP aus und gab ihm die 192.168.2.2 (TK Router hat die 1). Auf meinem Client fest eingestellt. Soweit so gut - bei Ipv4 funktioniert es, jedoch habe ich bei IPv6 allerhand Probleme.
Leider sind das auch beides "Gammelrouter" (Speedport und Homebox).

Nun zu den Problemen:

1) Ich bekomme nun von beiden Geräten eine GUA. Leider kann ich keines der Geräte so konfigurieren, dass es die GUA des Providers nicht propagiert.
2) Beide Router habe die LinkLocal fe80:1 (seh ich wenn ich tracert drauf mache - mal antwortet der eine, mal der andere)
3) Wenn ich nun IPv6 pinge, dann gehen ein paar Pakete durch, dann kommt Zeitüberschreitung, dann mal Zielnetz nicht erreichbar, dann geht mal wieder was durch. Werden hier Pakete mit dem falschen Präfix übers falsche Netz versucht zu senden? Das wäre meine Erklärung...

Verwirrend außerdem:

Wenn ich route anzeige, dann habe ich die Route mit dem Ziel 0 (alles) über fe80:1. Wenn ich aber tracert auf eine ipv6 mache, geht er über die GUA adressen... oO

Also ich bin zu dem Schluss gekommen, dass ich vermutlich wenigstens einen Router durch einen ordentlichen ersetzen muss (wo man die LinkLocal umstellen kann) und vlt. auch DHCP für das IPv6 deaktivieren kann. Wisst ihr, welche Geräte da in Frage kommen? Fritzbox?

Andere Idee wäre, durch einen VLAN-Fähigen switch beide Netze zu trennen und nur IPv4 zwischen den Netzen zu gestatten (wäre ja ausreichend für Ressourcenzugriff).

Was würdest ihr mir raten, wie würdet ihr vorgehen.

Danke schon mal im Voraus,
em

Achja - wie verhält es sich mit der Sicherheit, wenn ich die IPv6 GUA verwende. Eigentlich würde ich mich mit NAT etwas besser fühlen - aber das scheint bei IPv6 nicht empfohlen zu sein - wenn gleich möglich...

Content-Key: 624686

Url: https://administrator.de/contentid/624686

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: tikayevent
tikayevent 21.11.2020 um 20:35:32 Uhr
Goto Top
Achja - wie verhält es sich mit der Sicherheit, wenn ich die IPv6 GUA verwende. Eigentlich würde ich mich mit NAT etwas besser fühlen - aber das scheint bei IPv6 nicht empfohlen zu sein - wenn gleich möglich...
NAT ist kein Sicherheitsfeature, es ist nur eine Behelfstechnik für den Mangel an IPv4-Adressen. Die Sicherheit kommt durch eine SPI-Firewall, egal ob bei IPv4 oder IPv6.

Wenn ich route anzeige, dann habe ich die Route mit dem Ziel 0 (alles) über fe80:1. Wenn ich aber tracert auf eine ipv6 mache, geht er über die GUA adressen... oO
Das ist ein ganz normale Verhalten.

Also ich bin zu dem Schluss gekommen, dass ich vermutlich wenigstens einen Router durch einen ordentlichen ersetzen muss (wo man die LinkLocal umstellen kann)
Link Local kann man nicht beeinflußen. Diese wird automatisch generiert und hier muss man auch nichts ändern.
und vlt. auch DHCP für das IPv6 deaktivieren kann.
Würde vermutlich nichts bringen, weil IPv6 DHCP gar nicht benötigt. Ich sage nur SLAAC und NDP-RA.

Mit einer Fritzbox wirst du hier auch nicht viel weiterkommen, die ist auch zu doof dafür. Du benötigt hier schon einen Router der gehobenen Klasse (und mit mehr Komplexität). Hier gibt es verschiedene Möglichkeiten, wie Mikrotik, pfSense, LANCOM, Cisco. Dazu wirst du vermutlich noch einige Zusatzgeräte wie DSL-Modems oder für die Telefonie benötigen.
In jedem Fall wirst du BEIDE vorhandenen Router nicht sinnvoll weiterverwenden können, da bei denen zwingend notwendige Sachen wie statisches Routing fehlt.
Mitglied: emjot42
emjot42 21.11.2020 um 22:46:59 Uhr
Goto Top
NAT ist kein Sicherheitsfeature, es ist nur eine Behelfstechnik für den Mangel an IPv4-Adressen. Die Sicherheit kommt durch eine SPI-Firewall, egal ob bei IPv4 oder IPv6.

Also zumindest ist meine IP nicht vom Netz erreichbar, solange ich kein Portforwarding aktiviert habe. Wenn nun jemand meine GUA errät, könnte er ja theoretisch auf Dienste wie SMB zugreifen? Oder ist Windows (die eingebaute Firewall) so clever, Pakete von der IP nicht an diese Services zu vermitteln (man stellt ja ein "nur für private Netzwerde" - bei IPv4 war mir dann eher klar, was da passiert)

Wenn ich route anzeige, dann habe ich die Route mit dem Ziel 0 (alles) über fe80:1. Wenn ich aber tracert auf eine ipv6 mache, geht er über die GUA adressen... oO
Das ist ein ganz normale Verhalten.

Dann hab ich aber ein IPv6 Addressenkonflikt, das ist ja dann doof. Korrekt wäre es ja, wenn die Router nicht fe80::1 hätten, sondern einer z.B. fe80::1 und der andere fe80::2
Wäre es nicht sinnvoll, wenn man Router baut um sowas zu vermeiden, die Linklocal z.B. fe80:xxxx:xxxx:xxxx/64 zu setzen, um solchen Konflikten von vorn herein aus dem Weg zu gehen?

Link Local kann man nicht beeinflußen. Diese wird automatisch generiert und hier muss man auch nichts ändern.
Ja ich weiß die wird automatisch generiert. Eigentlich mit Hilfe der MAC? Naja jedenfalls doof, wenn man 2 Geräte mit der selben, automatisch generierten Adresse hat...

und vlt. auch DHCP für das IPv6 deaktivieren kann.
Würde vermutlich nichts bringen, weil IPv6 DHCP gar nicht benötigt. Ich sage nur SLAAC und NDP-RA.
Das stimmt. Das war jetzt ungenau beschrieben meinerseits. Aber letztlich propagiert der Router ja den Adressprefix meines Providers im Netz. Das sollte man doch im besten Falle unterbinden können?!
Bei meiner O2.Box gibts leider nur den Punkt "DHCPv6 stateless Server aktiviert" oder so. Hab im Netz nen Screenshot gesehen, wo beim gleichen Router wie ich habe es noch einen Punkt " "DHCPv6 stateless Server deaktiviert" gibt. Aber der fehlt bei mir! Ich vermute mal, der ist aus diversen Gründen mit 'nem FW-Update rausgenommen worden? (Ich nutze die aktuellste FW)

Mit einer Fritzbox wirst du hier auch nicht viel weiterkommen, die ist auch zu doof dafür. Du benötigt hier schon einen Router der gehobenen Klasse (und mit mehr Komplexität). Hier gibt es verschiedene Möglichkeiten, wie Mikrotik, pfSense, LANCOM, Cisco. Dazu wirst du vermutlich noch einige Zusatzgeräte wie DSL-Modems oder für die Telefonie benötigen.
Ok gut zu wissen. Ich überlege mir nen Raspi oder so hinzustellen und nen Linux drauf zu machen. Vlt IP-Cop? Gibts das noch?

In jedem Fall wirst du BEIDE vorhandenen Router nicht sinnvoll weiterverwenden können, da bei denen zwingend notwendige Sachen wie statisches Routing fehlt.
Prinzipiell könnte ich ja auch Clientseitig rumspielen - will ich aber nicht, da eine recht große Anzahl von Clients. Noch dazu sind die Arbeitsrechner von meiner Mutter auf das Uninetzwerk eingestellt und ich will das ungern "kaputt machen".

Danke auf jeden Fall schon mal für die Antwort. Aber was würdest du prinzipiell zu der Idee sagen, die Netzwerke mit nem VLAN-Switch zu trennen? Würde das Sinn machen?
Mitglied: tikayevent
tikayevent 21.11.2020 aktualisiert um 23:10:19 Uhr
Goto Top
Also zumindest ist meine IP nicht vom Netz erreichbar, solange ich kein Portforwarding aktiviert habe. Wenn nun jemand meine GUA errät, könnte er ja theoretisch auf Dienste wie SMB zugreifen? Oder ist Windows (die eingebaute Firewall) so clever, Pakete von der IP nicht an diese Services zu vermitteln (man stellt ja ein "nur für private Netzwerde" - bei IPv4 war mir dann eher klar, was da passiert)
Ja, er kann nicht auf die IP zugreifen, aber ohne SPI-Firewall greift er einfach auf die IP des NAT-Routers zu, scannt die Ports und landet dann bei einem offenen Port auch direkt auf einer aktiven Anwendung auf einem Host in deinem LAN. Und da ja mehr als ein System in deinem LAN ist, wären also ohne Firewall sehr viele Ports gleichzeitig offen und bei 2x 65535 möglichen Ports auf der selben IP sehr schnell irgendwelche Geräte erreicht.

Ohne Firewall wären bei IPv6 die Geräte einfacher zu erreichen, aber du müsstest, um einen aktiven Dienst zu finden, erstmal 295 Trillionen IP-Adressen x 2 Protokolle x 65525 Ports scannen. Und da du in der Regel nicht nur ein /64 sondern ein größere Subnetz bekommst, sind es also nochmal mehr.

Da heute aber jeder Plasterouter eine SPI-Firewall haben sollte, ist NAT nur Mittel zum Zweck für IPv4 und bei IPv6 gibt es keine geringere oder höhere Sicherheit.

Wäre es nicht sinnvoll, wenn man Router baut um sowas zu vermeiden, die Linklocal z.B. fe80:xxxx:xxxx:xxxx/64 zu setzen, um solchen Konflikten von vorn herein aus dem Weg zu gehen?
Dafür gibt es EUI-64, was ordentliche Router auch haben. Ebenso gibt es DAD um sowas zu vermeiden. Und fe80::1 ist eine legitime IP-Adresse, im Gegensatz zu deinem Beispiel, es müsste fe80:xxxx:xxxx:xxxx::/64 heißen und deine fe80::1 wäre auf dein Beispiel angepasst fe80:0000:0000:0000::1, bei IPv6 gibt es die Kurzschreibweise. Zwei Doppelpunkte ersetzen zwei oder mehr Blöcke, deren Bits 0 sind.
Den Kram den du da hast, ist halt der letzte Schrott, Providerrouter für den unfähigen Enddeppen.

Aber was würdest du prinzipiell zu der Idee sagen, die Netzwerke mit nem VLAN-Switch zu trennen? Würde das Sinn machen?
Gar nichts, weil es nichts bringt. Du hättest dann zwei getrennte Netze, da kannst du auch einfach beide Netzwerke mit einem Seitenschneider trennen. Um die Netzwerke wieder zu verbinden, benötigst du dann wieder einen Router, könnte man sich bei einem Layer 3-Switch ersparen, aber dennoch benötigst du als Ersatz für die Providerplasterouter ordentliche Geräte, die mindestens die Anlage von statischen Routen beherrschen.

Prinzipiell könnte ich ja auch Clientseitig rumspielen - will ich aber nicht, da eine recht große Anzahl von Clients.
Eher nicht, weil insbesondere beim IPv6 bringt es dir nichts. Statisch kannst du die Adressen nicht vergeben, da sich die Prefixe ja ändern und NAT ist bei IPv6 zwar möglich, aber in den Plasteroutern nicht integriert. Und zu den vielen Clients: Bei dir ist es ein Heimnetz, da gilt zur Größe immer selbst Schuld und viel Spaß.
Mitglied: emjot42
emjot42 21.11.2020 um 23:43:01 Uhr
Goto Top
Zitat von @tikayevent:

Ja, er kann nicht auf die IP zugreifen, aber ohne SPI-Firewall greift er einfach auf die IP des NAT-Routers zu, scannt die Ports und landet dann bei einem offenen Port auch direkt auf einer aktiven Anwendung auf einem Host in deinem LAN. Und da ja mehr als ein System in deinem LAN ist, wären also ohne Firewall sehr viele Ports gleichzeitig offen und bei 2x 65535 möglichen Ports auf der selben IP sehr schnell irgendwelche Geräte erreicht.

Aber wenn in der NAT Tabelle kein Eintrag ist, würde doch das Paket trotzdem nicht weiter ins Netz geleitet, oder? Aber du hast Recht - jeder Router hat heute ne SPI-FW .. daher ...

Ohne Firewall wären bei IPv6 die Geräte einfacher zu erreichen, aber du müsstest, um einen aktiven Dienst zu finden, erstmal 295 Trillionen IP-Adressen x 2 Protokolle x 65525 Ports scannen. Und da du in der Regel nicht nur ein /64 sondern ein größere Subnetz bekommst, sind es also nochmal mehr.

Das stimmt - erraten ist eher unwahrscheinlich ... dann wäre eher eine Gefahr, wenn man auf eine Honeypot-Website geht versehentlich.

Wäre es nicht sinnvoll, wenn man Router baut um sowas zu vermeiden, die Linklocal z.B. fe80:xxxx:xxxx:xxxx/64 zu setzen, um solchen Konflikten von vorn herein aus dem Weg zu gehen?
Dafür gibt es EUI-64, was ordentliche Router auch haben. Ebenso gibt es DAD um sowas zu vermeiden. Und fe80::1 ist eine legitime IP-Adresse, im Gegensatz zu deinem Beispiel, es müsste fe80:xxxx:xxxx:xxxx::/64 heißen und deine fe80::1 wäre auf dein Beispiel angepasst fe80:0000:0000:0000::1, bei IPv6 gibt es die Kurzschreibweise. Zwei Doppelpunkte ersetzen zwei oder mehr Blöcke, deren Bits 0 sind.
Den Kram den du da hast, ist halt der letzte Schrott, Providerrouter für den unfähigen Enddeppen.
Ja sorry ... das mit der Kurzschreibweise verstehe ich schon - die Doppelpunkte an der Stelle einfach vergessen. Also EUI-64 bzw. DAD wird ja offensichtlich nicht genutzt, sonst hätten ja nicht beide die valide IP fe80::1. Aber gut - sind halt nur Schrummelrouter und nicht verwunderlich, dass solche Fälle da nicht bedacht wurden...

Aber was würdest du prinzipiell zu der Idee sagen, die Netzwerke mit nem VLAN-Switch zu trennen? Würde das Sinn machen?
Gar nichts, weil es nichts bringt. Du hättest dann zwei getrennte Netze, da kannst du auch einfach beide Netzwerke mit einem Seitenschneider trennen. Um die Netzwerke wieder zu verbinden, benötigst du dann wieder einen Router, könnte man sich bei einem Layer 3-Switch ersparen, aber dennoch benötigst du als Ersatz für die Providerplasterouter ordentliche Geräte, die mindestens die Anlage von statischen Routen beherrschen.

Na Seitenschneider brauch ich gar nicht - reicht ja einfach den Stecker aus dem Port zu ziehen... :D Aber ok ja klar muss ich dann noch routen - dachte man kann das vlt. (bei dem ein oder anderen) VLAN-Switch (mit Router-Funktionalität) gleich mit einstellen? Praktisch wäre das ja. Aber ich hab noch keine VLAN-Switches verwendet bis jetzt...

Prinzipiell könnte ich ja auch Clientseitig rumspielen - will ich aber nicht, da eine recht große Anzahl von Clients.
Eher nicht, weil insbesondere beim IPv6 bringt es dir nichts. Statisch kannst du die Adressen nicht vergeben, da sich die Prefixe ja ändern und NAT ist bei IPv6 zwar möglich, aber in den Plasteroutern nicht integriert. Und zu den vielen Clients: Bei dir ist es ein Heimnetz, da gilt zur Größe immer selbst Schuld und viel Spaß.

Naja ich könnte IPv6 z.B. ausstellen. :D Ansonsten hätte ich noch die Idee, in der Routingtabelle der Clients die Metrik dahingehend zu verändern, dass er halt wirklich immer eine bestimmte Route bevorzugt. (Momentan ist die Metrik für beide IPv6 gleich)
Oder ist das nen Denkfehler meinerseits? Das komische ist ja wie gesagt, dass ca 50% der Pakete durchkommen. Meiner Meinung nach geht er halt manchmal einfach über die falsche Route...
Ja dass sich die Präfixe manchmal ändern weiß ich, daher keine statische IP...
Das mit dem Heimnetz und der Größe versteh ich nicht wie du das meinst. Mit PCs und Handys und TV-Sticks sind es halt mehr als ein Duzend Geräte und manche sind Arbeitslaptops mit bestimmten Netzwerkeinstellungen, die sollen eben "out of the box" laufen und ich will da auch nicht zu viel dran rummanipulieren...
Mitglied: emjot42
emjot42 07.12.2020 aktualisiert um 12:53:30 Uhr
Goto Top
Moin,

falls noch mal jemand mit ähnlichem Problem hierüber stolpert...

...nach ein bisschen hin und her überlegen, entschied ich mich, einen managed Switch zu kaufen (brauchte sowieso mal einen).

Meine Lösung:

Ich habe das Netz auf IPv6 Ebene durch 2 Vlan getrennt. Genutzt habe ich hierfür "protokollbasiertes VLAN". Ein solches VLAN existiert quasi nur für die eingestellten Protokolle - alle anderen Pakete werden an das default - VLAN oder ähnliches weitergeleitet.

Meine Konfiguration kurz beschrieben:
Im Switch habe ich neben dem default VLAN, welches alle Ports untagged beinhaltet noch 2 weitere VLAN hinzugefügt, die wiederum die entsprechenden, zu trennenden Ports beinhalten und nur für ipv6 genutzt werden.
vlan ID 1 (default) - normales switching aller Protokolle außer ipv6 auf allen Ports
vlan ID 2 (ipv6unten) - beinhaltet nur einen Port mit dem Link zur anderen Wohnung. (nur ipv6)
vlan ID 3 (ipv6oben) - alle weiteren Ports (nur ipv6)

Funktioniert wunderbar - ipv6 ist nun getrennt und über ipv4 sind die Systeme noch verbunden und auch in der selben Broadcast-Domäne (was ja z.B. für das Finden von Netzwerkdrucken oder ähnliches vorteilhaft sein kann.

Es hätte natürlich auch andere Lösungen gegeben (einen oder beide Route zu ersetzen und ipv6 dort vernüftig zu konfigurieren), aber aus diversen Gründen wurde nun diese Gewählt...