IPv6 + Privacy Extension + systemd-networkd

  • Hallo,


    ich verwende systemd-networkd + systemd-resolved in meiner ARCH Installation, IPv4 kommt via DHCP, IPv6 habe ich statisch eingerichtet, da es über DHCP6 nicht automatisch kommt.



    und (aus dem arch wiki)

    Code
    # /etc/sysctl.d/40-ipv6.conf
    net.ipv6.conf.all.use_tempaddr = 2
    net.ipv6.conf.default.use_tempaddr = 2
    net.ipv6.conf.ens3.use_tempaddr = 2



    Wenn ich nun mit "ip addr" prüfe, sehe ich nur eine einzige IPv6 (scope global) und eine mit scope link.


    -->Wo sind die zusätzlichen temporären IPv6 Adressen ?


    Mir ist natürlich schon klar, dass das Thema "privacy extension " auf einem Server nicht viel Sinn macht, aber funktionieren sollte es ja schon, man hat ja ein /64 Subnetzt bekommen.


    Danke für alle Antworten!

  • Ich bin mir nicht ganz sicher, aber bei statischer Konfiguration wirst Du keine Privacy Extension nutzen können. Das Widerspricht sich irgendwie. Du kannst das maximal mit einem eigenen kleinen Script nachbauen. Wobei die Sinnhaftigkeit einer solchen Konfiguration etwas in Frage zu stellen ist. Ein Server soll öffentlich erreichbar sein, möglichst immer über die gleiche IP-Adresse. Von woher die ausgehenden Anfragen kommen, ist dabei sowas von egal. Gerade bei einer Subnetzgröße von nur /64 weiß doch eh jedes Analysetool, dass es der gleiche User ist.



    MfG Christian


    PS: DHCPv6 und SLAAC ist afaik hier nicht möglich. Die statische Konfiguration wird für Server eigentlich immer empfohlen.

  • Quote

    Ich bin mir nicht ganz sicher, aber bei statischer Konfiguration wirst Du keine Privacy Extension nutzen können.


    Ok, habe bei wikipedia gefunden "Diese Privacy-Extensions generieren bei der Autokonfiguration via SLAAC einen zufälligen hostspezifischen Teil." Da steht also wirklich nichts von manueller Konfiguration. In die RFC lese ich mich aber jetzt nicht ein :)

    Quote


    Das Widerspricht sich irgendwie. Du kannst das maximal mit einem eigenen kleinen Script nachbauen. Wobei die Sinnhaftigkeit einer solchen Konfiguration etwas in Frage zu stellen ist. Ein Server soll öffentlich erreichbar sein, möglichst immer über die gleiche IP-Adresse.


    Mit eine /64 Subnetz hat man dann natürlich mehrere Adressen, eine statische IPv6 für den Webserver, gerne z.B. ::80 oder ::443, dann welche für email usw, nicht zu verwechseln mit Ports :)


    Quote


    Von woher die ausgehenden Anfragen kommen, ist dabei sowas von egal. Gerade bei einer Subnetzgröße von nur /64 weiß doch eh jedes Analysetool, dass es der gleiche User ist.


    Das ist mir klar, da der Ipv6 Prefix ja gleich bleibt. Allerdings wäre es doch schön zu wissen, dass die Privacy Extension funktionieren, und man auf dem Server z.B. für die ausgehenden ntp Requests, das wget für ein Script oder git immer eine neue IPv6 bekommen würde.


    Quote


    PS: DHCPv6 und SLAAC ist afaik hier nicht möglich.


    Danke!