IPv6 Verwirrung, Multihoming

Mitglied: emjot42

emjot42 (Level 1) - Jetzt verbinden

2020/11/21 um 20:10 Uhr, 392 Aufrufe, 4 Kommentare

Hallo allerseits,

ich habe gerade ein kleines Problem mit meinem Netzwerk. Ich wohne in einem Mehrfamilienhaus eine Etage über meinen Eltern und habe nun beide Netze verbunden, um gemeinsame Ressourcen zu nutzen.
In beiden Netzen ist jeweils ein DSL-Anschluss vorhanden (einmal Telekom, einmal o2), beides Dualstack.
Nun wollte ich es so betreiben, dass der Anschluss meiner Eltern DHCP macht und alle Geräte die auf DHCP gestellt sind diesen nutzen und nur mit meinem Festrechner über O2 gehen. Daher stellte ich bei diesem DHCP aus und gab ihm die 192.168.2.2 (TK Router hat die 1). Auf meinem Client fest eingestellt. Soweit so gut - bei Ipv4 funktioniert es, jedoch habe ich bei IPv6 allerhand Probleme.
Leider sind das auch beides "Gammelrouter" (Speedport und Homebox).

Nun zu den Problemen:

1) Ich bekomme nun von beiden Geräten eine GUA. Leider kann ich keines der Geräte so konfigurieren, dass es die GUA des Providers nicht propagiert.
2) Beide Router habe die LinkLocal fe80:1 (seh ich wenn ich tracert drauf mache - mal antwortet der eine, mal der andere)
3) Wenn ich nun IPv6 pinge, dann gehen ein paar Pakete durch, dann kommt Zeitüberschreitung, dann mal Zielnetz nicht erreichbar, dann geht mal wieder was durch. Werden hier Pakete mit dem falschen Präfix übers falsche Netz versucht zu senden? Das wäre meine Erklärung...

Verwirrend außerdem:

Wenn ich route anzeige, dann habe ich die Route mit dem Ziel 0 (alles) über fe80:1. Wenn ich aber tracert auf eine ipv6 mache, geht er über die GUA adressen... oO

Also ich bin zu dem Schluss gekommen, dass ich vermutlich wenigstens einen Router durch einen ordentlichen ersetzen muss (wo man die LinkLocal umstellen kann) und vlt. auch DHCP für das IPv6 deaktivieren kann. Wisst ihr, welche Geräte da in Frage kommen? Fritzbox?

Andere Idee wäre, durch einen VLAN-Fähigen switch beide Netze zu trennen und nur IPv4 zwischen den Netzen zu gestatten (wäre ja ausreichend für Ressourcenzugriff).

Was würdest ihr mir raten, wie würdet ihr vorgehen.

Danke schon mal im Voraus,
em

Achja - wie verhält es sich mit der Sicherheit, wenn ich die IPv6 GUA verwende. Eigentlich würde ich mich mit NAT etwas besser fühlen - aber das scheint bei IPv6 nicht empfohlen zu sein - wenn gleich möglich...
Mitglied: tikayevent
2020/11/21 um 20:35 Uhr
Achja - wie verhält es sich mit der Sicherheit, wenn ich die IPv6 GUA verwende. Eigentlich würde ich mich mit NAT etwas besser fühlen - aber das scheint bei IPv6 nicht empfohlen zu sein - wenn gleich möglich...
NAT ist kein Sicherheitsfeature, es ist nur eine Behelfstechnik für den Mangel an IPv4-Adressen. Die Sicherheit kommt durch eine SPI-Firewall, egal ob bei IPv4 oder IPv6.

Wenn ich route anzeige, dann habe ich die Route mit dem Ziel 0 (alles) über fe80:1. Wenn ich aber tracert auf eine ipv6 mache, geht er über die GUA adressen... oO
Das ist ein ganz normale Verhalten.

Also ich bin zu dem Schluss gekommen, dass ich vermutlich wenigstens einen Router durch einen ordentlichen ersetzen muss (wo man die LinkLocal umstellen kann)
Link Local kann man nicht beeinflußen. Diese wird automatisch generiert und hier muss man auch nichts ändern.
und vlt. auch DHCP für das IPv6 deaktivieren kann.
Würde vermutlich nichts bringen, weil IPv6 DHCP gar nicht benötigt. Ich sage nur SLAAC und NDP-RA.

Mit einer Fritzbox wirst du hier auch nicht viel weiterkommen, die ist auch zu doof dafür. Du benötigt hier schon einen Router der gehobenen Klasse (und mit mehr Komplexität). Hier gibt es verschiedene Möglichkeiten, wie Mikrotik, pfSense, LANCOM, Cisco. Dazu wirst du vermutlich noch einige Zusatzgeräte wie DSL-Modems oder für die Telefonie benötigen.
In jedem Fall wirst du BEIDE vorhandenen Router nicht sinnvoll weiterverwenden können, da bei denen zwingend notwendige Sachen wie statisches Routing fehlt.
Bitte warten ..
Mitglied: emjot42
2020/11/21 um 22:46 Uhr
NAT ist kein Sicherheitsfeature, es ist nur eine Behelfstechnik für den Mangel an IPv4-Adressen. Die Sicherheit kommt durch eine SPI-Firewall, egal ob bei IPv4 oder IPv6.

Also zumindest ist meine IP nicht vom Netz erreichbar, solange ich kein Portforwarding aktiviert habe. Wenn nun jemand meine GUA errät, könnte er ja theoretisch auf Dienste wie SMB zugreifen? Oder ist Windows (die eingebaute Firewall) so clever, Pakete von der IP nicht an diese Services zu vermitteln (man stellt ja ein "nur für private Netzwerde" - bei IPv4 war mir dann eher klar, was da passiert)

Wenn ich route anzeige, dann habe ich die Route mit dem Ziel 0 (alles) über fe80:1. Wenn ich aber tracert auf eine ipv6 mache, geht er über die GUA adressen... oO
Das ist ein ganz normale Verhalten.

Dann hab ich aber ein IPv6 Addressenkonflikt, das ist ja dann doof. Korrekt wäre es ja, wenn die Router nicht fe80::1 hätten, sondern einer z.B. fe80::1 und der andere fe80::2
Wäre es nicht sinnvoll, wenn man Router baut um sowas zu vermeiden, die Linklocal z.B. fe80:xxxx:xxxx:xxxx/64 zu setzen, um solchen Konflikten von vorn herein aus dem Weg zu gehen?

Link Local kann man nicht beeinflußen. Diese wird automatisch generiert und hier muss man auch nichts ändern.
Ja ich weiß die wird automatisch generiert. Eigentlich mit Hilfe der MAC? Naja jedenfalls doof, wenn man 2 Geräte mit der selben, automatisch generierten Adresse hat...

und vlt. auch DHCP für das IPv6 deaktivieren kann.
Würde vermutlich nichts bringen, weil IPv6 DHCP gar nicht benötigt. Ich sage nur SLAAC und NDP-RA.
Das stimmt. Das war jetzt ungenau beschrieben meinerseits. Aber letztlich propagiert der Router ja den Adressprefix meines Providers im Netz. Das sollte man doch im besten Falle unterbinden können?!
Bei meiner O2.Box gibts leider nur den Punkt "DHCPv6 stateless Server aktiviert" oder so. Hab im Netz nen Screenshot gesehen, wo beim gleichen Router wie ich habe es noch einen Punkt " "DHCPv6 stateless Server deaktiviert" gibt. Aber der fehlt bei mir! Ich vermute mal, der ist aus diversen Gründen mit 'nem FW-Update rausgenommen worden? (Ich nutze die aktuellste FW)

Mit einer Fritzbox wirst du hier auch nicht viel weiterkommen, die ist auch zu doof dafür. Du benötigt hier schon einen Router der gehobenen Klasse (und mit mehr Komplexität). Hier gibt es verschiedene Möglichkeiten, wie Mikrotik, pfSense, LANCOM, Cisco. Dazu wirst du vermutlich noch einige Zusatzgeräte wie DSL-Modems oder für die Telefonie benötigen.
Ok gut zu wissen. Ich überlege mir nen Raspi oder so hinzustellen und nen Linux drauf zu machen. Vlt IP-Cop? Gibts das noch?

In jedem Fall wirst du BEIDE vorhandenen Router nicht sinnvoll weiterverwenden können, da bei denen zwingend notwendige Sachen wie statisches Routing fehlt.
Prinzipiell könnte ich ja auch Clientseitig rumspielen - will ich aber nicht, da eine recht große Anzahl von Clients. Noch dazu sind die Arbeitsrechner von meiner Mutter auf das Uninetzwerk eingestellt und ich will das ungern "kaputt machen".

Danke auf jeden Fall schon mal für die Antwort. Aber was würdest du prinzipiell zu der Idee sagen, die Netzwerke mit nem VLAN-Switch zu trennen? Würde das Sinn machen?
Bitte warten ..
Mitglied: tikayevent
2020/11/21, aktualisiert um 23:10 Uhr
Also zumindest ist meine IP nicht vom Netz erreichbar, solange ich kein Portforwarding aktiviert habe. Wenn nun jemand meine GUA errät, könnte er ja theoretisch auf Dienste wie SMB zugreifen? Oder ist Windows (die eingebaute Firewall) so clever, Pakete von der IP nicht an diese Services zu vermitteln (man stellt ja ein "nur für private Netzwerde" - bei IPv4 war mir dann eher klar, was da passiert)
Ja, er kann nicht auf die IP zugreifen, aber ohne SPI-Firewall greift er einfach auf die IP des NAT-Routers zu, scannt die Ports und landet dann bei einem offenen Port auch direkt auf einer aktiven Anwendung auf einem Host in deinem LAN. Und da ja mehr als ein System in deinem LAN ist, wären also ohne Firewall sehr viele Ports gleichzeitig offen und bei 2x 65535 möglichen Ports auf der selben IP sehr schnell irgendwelche Geräte erreicht.

Ohne Firewall wären bei IPv6 die Geräte einfacher zu erreichen, aber du müsstest, um einen aktiven Dienst zu finden, erstmal 295 Trillionen IP-Adressen x 2 Protokolle x 65525 Ports scannen. Und da du in der Regel nicht nur ein /64 sondern ein größere Subnetz bekommst, sind es also nochmal mehr.

Da heute aber jeder Plasterouter eine SPI-Firewall haben sollte, ist NAT nur Mittel zum Zweck für IPv4 und bei IPv6 gibt es keine geringere oder höhere Sicherheit.

Wäre es nicht sinnvoll, wenn man Router baut um sowas zu vermeiden, die Linklocal z.B. fe80:xxxx:xxxx:xxxx/64 zu setzen, um solchen Konflikten von vorn herein aus dem Weg zu gehen?
Dafür gibt es EUI-64, was ordentliche Router auch haben. Ebenso gibt es DAD um sowas zu vermeiden. Und fe80::1 ist eine legitime IP-Adresse, im Gegensatz zu deinem Beispiel, es müsste fe80:xxxx:xxxx:xxxx::/64 heißen und deine fe80::1 wäre auf dein Beispiel angepasst fe80:0000:0000:0000::1, bei IPv6 gibt es die Kurzschreibweise. Zwei Doppelpunkte ersetzen zwei oder mehr Blöcke, deren Bits 0 sind.
Den Kram den du da hast, ist halt der letzte Schrott, Providerrouter für den unfähigen Enddeppen.

Aber was würdest du prinzipiell zu der Idee sagen, die Netzwerke mit nem VLAN-Switch zu trennen? Würde das Sinn machen?
Gar nichts, weil es nichts bringt. Du hättest dann zwei getrennte Netze, da kannst du auch einfach beide Netzwerke mit einem Seitenschneider trennen. Um die Netzwerke wieder zu verbinden, benötigst du dann wieder einen Router, könnte man sich bei einem Layer 3-Switch ersparen, aber dennoch benötigst du als Ersatz für die Providerplasterouter ordentliche Geräte, die mindestens die Anlage von statischen Routen beherrschen.

Prinzipiell könnte ich ja auch Clientseitig rumspielen - will ich aber nicht, da eine recht große Anzahl von Clients.
Eher nicht, weil insbesondere beim IPv6 bringt es dir nichts. Statisch kannst du die Adressen nicht vergeben, da sich die Prefixe ja ändern und NAT ist bei IPv6 zwar möglich, aber in den Plasteroutern nicht integriert. Und zu den vielen Clients: Bei dir ist es ein Heimnetz, da gilt zur Größe immer selbst Schuld und viel Spaß.
Bitte warten ..
Mitglied: emjot42
2020/11/21 um 23:43 Uhr
Zitat von tikayevent:

Ja, er kann nicht auf die IP zugreifen, aber ohne SPI-Firewall greift er einfach auf die IP des NAT-Routers zu, scannt die Ports und landet dann bei einem offenen Port auch direkt auf einer aktiven Anwendung auf einem Host in deinem LAN. Und da ja mehr als ein System in deinem LAN ist, wären also ohne Firewall sehr viele Ports gleichzeitig offen und bei 2x 65535 möglichen Ports auf der selben IP sehr schnell irgendwelche Geräte erreicht.

Aber wenn in der NAT Tabelle kein Eintrag ist, würde doch das Paket trotzdem nicht weiter ins Netz geleitet, oder? Aber du hast Recht - jeder Router hat heute ne SPI-FW .. daher ...

Ohne Firewall wären bei IPv6 die Geräte einfacher zu erreichen, aber du müsstest, um einen aktiven Dienst zu finden, erstmal 295 Trillionen IP-Adressen x 2 Protokolle x 65525 Ports scannen. Und da du in der Regel nicht nur ein /64 sondern ein größere Subnetz bekommst, sind es also nochmal mehr.

Das stimmt - erraten ist eher unwahrscheinlich ... dann wäre eher eine Gefahr, wenn man auf eine Honeypot-Website geht versehentlich.

Wäre es nicht sinnvoll, wenn man Router baut um sowas zu vermeiden, die Linklocal z.B. fe80:xxxx:xxxx:xxxx/64 zu setzen, um solchen Konflikten von vorn herein aus dem Weg zu gehen?
Dafür gibt es EUI-64, was ordentliche Router auch haben. Ebenso gibt es DAD um sowas zu vermeiden. Und fe80::1 ist eine legitime IP-Adresse, im Gegensatz zu deinem Beispiel, es müsste fe80:xxxx:xxxx:xxxx::/64 heißen und deine fe80::1 wäre auf dein Beispiel angepasst fe80:0000:0000:0000::1, bei IPv6 gibt es die Kurzschreibweise. Zwei Doppelpunkte ersetzen zwei oder mehr Blöcke, deren Bits 0 sind.
Den Kram den du da hast, ist halt der letzte Schrott, Providerrouter für den unfähigen Enddeppen.
Ja sorry ... das mit der Kurzschreibweise verstehe ich schon - die Doppelpunkte an der Stelle einfach vergessen. Also EUI-64 bzw. DAD wird ja offensichtlich nicht genutzt, sonst hätten ja nicht beide die valide IP fe80::1. Aber gut - sind halt nur Schrummelrouter und nicht verwunderlich, dass solche Fälle da nicht bedacht wurden...

Aber was würdest du prinzipiell zu der Idee sagen, die Netzwerke mit nem VLAN-Switch zu trennen? Würde das Sinn machen?
Gar nichts, weil es nichts bringt. Du hättest dann zwei getrennte Netze, da kannst du auch einfach beide Netzwerke mit einem Seitenschneider trennen. Um die Netzwerke wieder zu verbinden, benötigst du dann wieder einen Router, könnte man sich bei einem Layer 3-Switch ersparen, aber dennoch benötigst du als Ersatz für die Providerplasterouter ordentliche Geräte, die mindestens die Anlage von statischen Routen beherrschen.

Na Seitenschneider brauch ich gar nicht - reicht ja einfach den Stecker aus dem Port zu ziehen... :D Aber ok ja klar muss ich dann noch routen - dachte man kann das vlt. (bei dem ein oder anderen) VLAN-Switch (mit Router-Funktionalität) gleich mit einstellen? Praktisch wäre das ja. Aber ich hab noch keine VLAN-Switches verwendet bis jetzt...

Prinzipiell könnte ich ja auch Clientseitig rumspielen - will ich aber nicht, da eine recht große Anzahl von Clients.
Eher nicht, weil insbesondere beim IPv6 bringt es dir nichts. Statisch kannst du die Adressen nicht vergeben, da sich die Prefixe ja ändern und NAT ist bei IPv6 zwar möglich, aber in den Plasteroutern nicht integriert. Und zu den vielen Clients: Bei dir ist es ein Heimnetz, da gilt zur Größe immer selbst Schuld und viel Spaß.

Naja ich könnte IPv6 z.B. ausstellen. :D Ansonsten hätte ich noch die Idee, in der Routingtabelle der Clients die Metrik dahingehend zu verändern, dass er halt wirklich immer eine bestimmte Route bevorzugt. (Momentan ist die Metrik für beide IPv6 gleich)
Oder ist das nen Denkfehler meinerseits? Das komische ist ja wie gesagt, dass ca 50% der Pakete durchkommen. Meiner Meinung nach geht er halt manchmal einfach über die falsche Route...
Ja dass sich die Präfixe manchmal ändern weiß ich, daher keine statische IP...
Das mit dem Heimnetz und der Größe versteh ich nicht wie du das meinst. Mit PCs und Handys und TV-Sticks sind es halt mehr als ein Duzend Geräte und manche sind Arbeitslaptops mit bestimmten Netzwerkeinstellungen, die sollen eben "out of the box" laufen und ich will da auch nicht zu viel dran rummanipulieren...
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Auslagerungsdatei wird nicht kleiner
GwaihirFrageWindows Server23 Kommentare

Hallo zusammen, gestern hat jemand auf einem unserer Terminalserver (Windows Server 2012 R2) eine Anwendung gestartet, die den RAM ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke23 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
gelöst StefanKittelFrageSicherheit19 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

LAN, WAN, Wireless
Externes Ziel nicht erreichbar vom internen Netzwerk
Stibe88FrageLAN, WAN, Wireless16 Kommentare

Hallo Community Ich habe bei mir Homematic IP installiert. Nun kann ich seit 4 Tagen mich nicht mehr in ...

Internet Domänen
Azure AD deactivate Identity Protection
Jannik2018FrageInternet Domänen15 Kommentare

kann mir einer sagen wie ich beim meiner MS Azure AD Domäne die Identity Protection deactiviere siehe Screenshot sollte ...

Debian
2 ungesyncte Mountpoints an einem Raid 1 ?!?
jrglndmnnFrageDebian13 Kommentare

Hallo die Damen und Herren, Liebe Menschen und Menschinnen! Ich habe folgende Ausgangssituation und bitte, verzeiht mir die kleine ...

Ähnliche Inhalte
Windows Server
Dateirechte-Verwirrung Windows 2012R2
gelöst SlainteMhathFrageWindows Server4 Kommentare

Moin, ich steh wohl grad total auf der Leitung - Folgendes Szenario: Auf dem Folder E.\Test sind folgende Rechte ...

Video & Streaming
HMDI Kabel Verwirrung Beamer
grillinator95FrageVideo & Streaming6 Kommentare

Hallo, in meinem Besprechungsraum habe ich einen Beamer der über ein verlegtes HDMI Kabel Leitung <10m erreichbar ist. Das ...

Hyper-V

Hyper-V Host Netzwerkkarten - Verwirrung!

RG2525FrageHyper-V5 Kommentare

Hallo, Habe letzte Woche einen W2K12 Hyper-V host ersetzt. Habe jetzt einen HP Server mit 4 Netzwerkanschlüssen. (W2K16) Diese ...

Netzwerkgrundlagen

IPv6 Fragen

gelöst CharlyXLFrageNetzwerkgrundlagen10 Kommentare

Hallo zusammen, ich möchte gerne meinen neuen Server gleich mit Server 2019 ordentlich aufsetzen und für die Zukunft bereit ...

Netzwerkprotokolle

Verständnissfrage IPv6

killtecFrageNetzwerkprotokolle22 Kommentare

Hi, ich habe mir einen Online-Kurs zu IPv6 angeschaut. Dabei stellt sich mir die Frage der nutzbaren IPv6-Adressen. Bei ...

LAN, WAN, Wireless

Verwirrung bzgl. 802.11n und ac (Anzeige Netzwerk)

gelöst HellgoreFrageLAN, WAN, Wireless4 Kommentare

Aloah, ich mache hier meine ersten Schritte und bin auch erst mitten in der Ausbildung zum FISI - das ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud