Das längste Thema

  • Wen die Schuld trifft, ist dem normalen Endanwender in der Regel aber egal. ;)


    Ich möchte es auch nicht mehr missen, nicht umsonst habe ich jahrelang einen eigenen 6in4-Tunnelserver betrieben und den Internetprovider u.a. wegen der fehlenden IPv6-Unterstützung gewechselt. Dass der Standard schuld ist, behaupte ich auch gar nicht. Aber die Implementierung ist an vielen Stellen durch Hersteller von Soft-/Hardware mangelhaft oder nicht zu Ende gedacht.

    Unterschreibe ich so.


    Schon mal versucht einen lokalen DNS Server der auch IPv6 macht über DHCP den Clients bekannt zu machen in der FritzBox? Es ist etwas "kompliziert" umgesetzt im Vergleich zum v4. Da hätte ich mir gewünscht dass AVM dass in einem einzigen Menüpunkt vereint.

  • vom Router aus gesteuert werden

    und genau da scheitert es ...

    Genau. Das fehlt mir halt, weil die IP Vergabe entweder durch SLAAC oder durch den DHCP vom Provider stattfindet. (Ganz hab ichs noch nicht verstanden.) Und dadurch die klassischen Mechaniken die ich sonst mit dhcpd + bind9 + ddns habe fehlen.


    Ansonsten wäre es absolut kein Problem DNS Updates an meinen öffentlichen Primary zu schicken.

  • genau das ist aber das Problem; das physikalische Netzwerk ist aber das selbe und die Anforderungen auch;

    Mit dem physikalischen Netz hat IPv6 nichts zu tun. Die Anforderungen lassen sich meistens mit beiden Technologien erfüllen, bis auf wenige, die mit IPv4 einfach nicht gehen.

    und NAT ist kein Klimmzug, sondern hat seinen Snn;

    NAT ist einer der schlimmsten Klimmzüge, die es je gab, und der vermeintliche Sicherheitsgewinn ist nur ein (fahrlässiges) Argument, nicht eine ordentliche Firewall konfigurieren zu müssen.

    und ehrlich würdest Du ein Unternehmen, z.B. eine Bank so konfigurieren,

    dass jeder Client direkt vom Internet aus erreichbar ist?

    Er muss ja nicht erreichbar sein, aber er kann. Ob und wie er es ist, hängt von der Firewall ab, und kann erheblich flexibler und präziser konfiguriert werden. Oder eben einfach so wie bei IPv4.

    Und wenn die 65.000 Ports auf der öffentlichen NAT IP langsam knapp werden, dann ist jeder Admin froh über die Endgeräte, die in den Antworten direkt adressierbar sind.

    nein nicht jedes Ding macht sein eigenes DDNS des muss zentral z.B. vom Router aus gesteuert werden

    und genau da scheitert es ...

    dynv6 und ab dafür. Wo ist das Problem? Ein Prefix-Update durch den Router, und alle Geräte fliegen. Wer schon mal 25 Portweiterleitungen einrichten musste, um Kameras von außen erreichbar zu machen, und dabei für jede Kamera einzeln erst mal passende Ports identifizieren musste, die in der Client Firewall auch zulässig sind, wird es lieben.

    IPv6 ist aus Sicht heute - dem fast zu Ende gehenden Jahr 2021 - immer noch unvollständig;

    Das einzige, was ich bislang vermisse, ist eine flexible Prefix Länge bei SLAAC.

    od. will mir jetzt jemand erklären, IPv6 hat sich sogar um den Layer 1 Gedanken gemacht;

    das wäre der Oberquark;

    Nein, natürlich nicht, da hat IPv6 auch gar nichts verloren. IP ist Schicht 3, nichts anderes, und kann auf nahezu beliebige Physical Layer und MAC Konstrukte aufsetzen. Ethernet in allen Derivaten, WLAN, Bluetooth, ZigBee, ... alles möglich.

    alleine das mit den Prefixen gefriert mir den Grinser ein;

    wie käme man auf die Idee z.B. ein /60 zu vergeben?

    würdest gleich in Richtung /48 gehen dann kannst gleich IPv8 designen,

    Das längste sinnvolle Prefix ist momentan natürlich /64, wegen SLAAC. Aber bei kürzeren Prefixes bist du recht flexibel. Aber mal ehrlich: Wer außer Infrastrukturbetreibern braucht mehr als /48? Die kannst du an einer Hand abzählen.

  • genau das ist aber das Problem; das physikalische Netzwerk ist aber das selbe und die Anforderungen auch;

    und NAT ist kein Klimmzug, sondern hat seinen Snn;

    und ehrlich würdest Du ein Unternehmen, z.B. eine Bank so konfigurieren,

    dass jeder Client direkt vom Internet aus erreichbar ist?

    nur weil es mit IPv6 geht - der vielen Adressen sei Dank - heißt es nicht, dass es auch Sinn macht;

    NAT wird immer als Sicherheitsfeature missverstanden. Nur weil mein Rechner global adressierter ist, muss meine Firewall noch lange keinen beliebigen Traffic von außen durchlassen.

    Selbst wenn NAT für dich einen signifikanten Vorteil mit sich bringt, verbietet es dir niemand nicht auch für IPv6 address- und/oder prefix-Translation zu nutzen.


    und perryflynn hat es auch angesprochen; DDNS ist bei IPv6 kompletter Quark,

    obwohl bei nicht fixenm/statischem Prefix eine Notwendigkeit;

    nein nicht jedes Ding macht sein eigenes DDNS des muss zentral z.B. vom Router aus gesteuert werden

    und genau da scheitert es ...


    Ja, wechselnde Präfixe sind bei v6 kacke. Auch wenn es das vielleicht nicht als fertige Lösung gibt, sollte es dennoch möglich sein DDNS von zentraler Stelle für verschiedene Endgeräte zu updaten.

    Voraussetzung ist, dass über SLAAC bei jedem Präfixwechsel eine Adresse mit dem selben Suffix konfiguriert wird (Stichwort EUI-64).

    Dein Router kennt jeweils den gültigen Präfix und kann mit dem statischen Suffix die gesamte Adresse zusammensetzen und updaten.



    Die Theorie kann ich leider grade nicht testen, weil ich vorübergehend hinter einem Vodafone DSL ohne v6 sitze :wacko:.

  • dass jeder Client direkt vom Internet aus erreichbar ist?

    Falsch, selbst deine 0815 fritzbox lässt über IPv6 keinen Traffic von außen rein.
    Betreibe hier dual stack mittel 3 fritzboxen (repeater,switch + main router). So doof waren die Entwickler von ipv6/routern dann doch net.

    Einzig und allein jedes Gerät bekommt seine eigene Adresse, aber das ist genau der Sinn davon. Und deine Sicherheit wird ja wohl hoffentlich nicht darauf beruhen dass keiner die genaue IPv6 kennt. Ich sehe die Bedenken, aber finde sie letztlich Blödsinn. Moderne STUN Lösungen kommen auch so schon um jede NAT "firewall" drum herum. Eingebaut in jedem Vo-IP/vpn system das nicht alles über die Server leitet.

  • NAT wird immer als Sicherheitsfeature missverstanden.

    es ist auch ein Sicherheitsfeature; das ist nun mal so;

    sagen wir es mal anders: das SIcherheitsfeature ist ein Abfallprodukt, welches man gerne gleich mit verwendet;

    vgl. Nebenwirkungen von Medikamenten die man eigentlich nicht will;

    (Viagra ist eigentlich das Ergebnis der Nebenwirkung eines Herzpräparates)

    Nur weil mein Rechner global adressierter ist, muss meine Firewall noch lange keinen beliebigen Traffic von außen durchlassen.

    das ist vom Grundsatz mal richtig,

    nur bei IPv6 genügt ein Fehler und dem ist so; bei IPv4 mit NAT einfach unmöglich;

    Und wenn die 65.000 Ports auf der öffentlichen NAT IP langsam knapp werden, dann ist jeder Admin froh über die Endgeräte, die in den Antworten direkt adressierbar sind.

    Denkfehler! dann hat der Admin nicht verstanden ein ordentliches Sicherheitskonzept durchzusetzen. ohne einem ordentlichen Sicherheitskonzept nützt Dir eine ordentliche Firewall auch nichts - um in deinem Jargon zu bleiben und was auch immer Du als ordentliche Firewall verstehst;

    Wer schon mal 25 Portweiterleitungen einrichten musste, um Kameras von außen erreichbar zu machen

    jetzt musst nur noch erklären wieso etwas das man als Hochsicherheit betrachtet vom Internet aus erreichbar sein soll?;)

    genau das soll es ja eben nicht sein, dass unbefugten ein Zugriff auf eine (Überwachungs-)Kamera ermöglicht wird;:D

    Das einzige, was ich bislang vermisse, ist eine flexible Prefix Länge bei SLAAC.

    Fehler im Standard; das wurde sehr bald besiegelt dass dem so ist mit einem /64; (Stichwort EUI-64)

    Nein, natürlich nicht, da hat IPv6 auch gar nichts verloren. IP ist Schicht 3,

    die Geschichte mit den Link-Localen IPv6 Adressen fe80::/10 suggeriert einem aber was anderes ...

    Aber mal ehrlich: Wer außer Infrastrukturbetreibern braucht mehr als /48?

    jedes Unternehmen, welches bei IPv4 hinter einem NAT alle Mglkt.en aus RFC1918 ausgeschöpft hat, würd ich mal sagen ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Quote

    und NAT ist kein Klimmzug, sondern hat seinen Snn;

    und ehrlich würdest Du ein Unternehmen, z.B. eine Bank so konfigurieren,

    dass jeder Client direkt vom Internet aus erreichbar ist?

    NAT ist keine Firewall.


    Quote

    doch einiges davon muss man dem Standard anlasten, IPv6 ist aus Sicht heute - dem fast zu Ende gehenden Jahr 2021 - immer noch unvollständig;

    und teilweise sogar fehlerhaft;

    IPv6 ist nicht unvollständig oder fehlerhaft - die Umsetzung durch die Provider ist unvollständig oder fehlerhaft. Fehlerhaft bei dem Serverprovider mit den zwei einsen und unvollständig hier bei Netcup (mit Blick auf den Leitsatz: der Kunde sollte sich niemals eingeschränkt fühlen und über so Krücken wie NAT nachdenken müssen). Darüber hinaus haben sämtliche DSL Provider, inklusive des großen T IPv6 fehlerhaft implementiert: so etwas wie dynamische Prefixe ist erst der Ursprung allen Übels und war nie vorgesehen.


    Wir beziehen im Wohnheim vom LRZ einen statischen /48 Prefix und können damit intern wunderbar und unbegrenzt arbeiten - so wie es sein sollte. Damit entfällt dann auch Murks wie NAT reflection etc.

  • IPv6 ist nicht unvollständig oder fehlerhaft - die Umsetzung durch die Provider ist unvollständig oder fehlerhaft.

    das widerspricht sich; Provider tun auch nur das, was in den RFCs verbockt ist;


    und ja Du hast Recht NAT ist keine Firewall, aber ein Konzept,

    mit einem sehr guten Abfallprodukt;

    welches im Vergleich zu einer echten Firewall sehr robust ist;


    Wir beziehen im Wohnheim vom LRZ einen statischen /48 Prefix und können damit intern wunderbar und unbegrenzt arbeiten - so wie es sein sollte.

    klar so ist es auch sinnvoll; und damit bringst Du mich auf das nächste nicht unproblematische;


    man sperrt bei IPv6 keine einzelnen IPv6-Adressen sondern gleich ganze Prefixe;

    und wenn da einer von euch Mist baut, ist der ganze Prefix gesperrt; findest das dann auch toll?;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Oh oh, RS Zimtstern, da ist mir mein Black Tornado lieber. Zimtstern ist mir schon ein etwas zu harmloser Name für das Teil. ^^

    In der Tat. Obwohl in Spezifikation und Preis absolut identisch mit dem Black Tornado, bin ich da doch froh einen BT zu haben. ;) (Bei "Zimtstern" hätte ich eher einen kleinen süßen VPS erwartet. ^^)

  • Denkfehler! dann hat der Admin nicht verstanden ein ordentliches Sicherheitskonzept durchzusetzen. ohne einem ordentlichen Sicherheitskonzept nützt Dir eine ordentliche Firewall auch nichts - um in deinem Jargon zu bleiben und was auch immer Du als ordentliche Firewall verstehst;

    Du spielst auf einen Proxy an? Kann man machen. Und der geht auch mit IPv6, und schon wieder viel einfacher und besser, als mit IPv4.


    jetzt musst nur noch erklären wieso etwas das man als Hochsicherheit betrachtet vom Internet aus erreichbar sein soll?

    genau das soll es ja eben nicht sein, dass unbefugten ein Zugriff auf eine (Überwachungs-)Kamera ermöglicht wird;

    Wer redet von unbefugt oder Hochsicherheit? Es ging in deiner Aussage um dyndns und um den Zugriff von außen. Darauf zielt das Beispiel ab. Und das geht eben mit IPv6 schon wieder einfacher und komfortabler, als bei IPv4, auch bei dynamischen Prefixes, vor allem, wenn viele gleichartige Geräte benutzt werden sollen. Unbefugt ist der Zugriff deshalb ja noch lange nicht. Und es sind ja auch nicht nur Banken im Internet unterwegs.


    Fehler im Standard; das wurde sehr bald besiegelt dass dem so ist mit einem /64; (Stichwort EUI-64)

    Ja, genau. Wie gesagt, das stört mich ein wenig. Ich könnte mir einige Anwendungsfälle für ein /80 Prefix vorstellen, wenn es z.B. sowas wie EUI-48 gäbe (Ooops - gibts ja =O). Würde die Flexibilität für kleine Netze halt noch mal vergrößern, wenn man wirklich mal nur ein /64 zur Verfügung hat. Naja, geht auch so.


    die Geschichte mit den Link-Localen IPv6 Adressen fe80::/10 suggeriert einem aber was anderes ...

    Wie kommt man denn von "link-local" auf Layer 1??? 8| Praktisch jedes Netz hat doch schon mindestens zwei Physical Layer (Ethernet und WLAN), und es ist trotzdem eine Broadcast Domain.


    jedes Unternehmen, welches bei IPv4 hinter einem NAT alle Mglkt.en aus RFC1918 ausgeschöpft hat, würd ich mal sagen ...

    Braucht vor allem erst mal IPv6, würde ich sagen 8o8o8o

    (Und wäre dann mit einem /64, aufgeteilt in viele /80 mit EUI-48, eigentlich mehr aus ausreichend bedient. :saint:)

  • klar so ist es auch sinnvoll; und damit bringst Du mich auf das nächste nicht unproblematische;

    man sperrt bei IPv6 keine einzelnen IPv6-Adressen sondern gleich ganze Prefixe;

    und wenn da einer von euch Mist baut, ist der ganze Prefix gesperrt; findest das dann auch toll?;)

    was meinst du konkret damit? Wie soll man "Mist" bauen, sodass man wo gesperrt wird? Außerdem - was ist der Unterschied zu IPv4? Da sperrst du halt nach der gleichen Logik die einzelne IP Adresse, das ist rein das gleiche.

  • In der Tat. Obwohl in Spezifikation und Preis absolut identisch mit dem Black Tornado, bin ich da doch froh einen BT zu haben. ;) (Bei "Zimtstern" hätte ich eher einen kleinen süßen VPS erwartet. ^^)

    Das ist ja allerliebst. Gerade sehe ich im Syslog, das jemand versucht, von einem netcup-Server aus per SMTP und POP3 auf meinen Black Tornado zu verbinden. Sehr spannend. Was das wohl werden soll...

  • Hmm, "no auth attempts in 0 secs", "user=<>", könnte das Teil eines Portscans sein? Immer wieder das selbe Spiel.

    Was vorher unter der IP war weiss ich freilich nicht.


    Nette Download/Upload Werte, wie ist das gemessen?

  • Gerade sehe ich im Syslog, das jemand versucht, von einem netcup-Server aus per SMTP und POP3 auf meinen Black Tornado zu verbinden.

    ertappt. entschuldige. :(


    ---


    sooo, schon 1/3 des adventskalenders bisher überwunden ohne unüberlegt was zu bestellen. mal sehen wie es bei den restlichen 2/3 aussehen wird. :rolleyes:^^

  • ertappt. entschuldige. :(

    Falls du das wirklich sein solltest, was sollte das werden :?:

    Läuft ja immer noch. Nicht dass mir das was ausmacht, zig Russen, Chinesen, Amerikaner und Deutsche machen das eh die ganze Zeit bei allen meinen Servern. Mir ist nur die Serverdomain, luckysrv.de, aufgefallen als zu netcup gehörig. Das zugehörige Subnetz ist auch schon wieder auf der UCEProtect L2 Blacklist, nicht nur L3. Aber es existieren da sowieso noch keine Postfächer. Insofern muss ich auch keine bayerischen Behörden erreichen. EIgentlich wollte ich ja nur schauen ob mein Cronjob auch wirklich läuft, was er denn auch anfangs tatsächlich nicht getan hat.

  • Falls du das wirklich sein solltest

    und ich hatte echt noch überlegt einen entsprechenden Smiley oder *sarcasm* an meinen Beitrag zu pappen... dachte war nicht nötig, so viel Schmu wie wir hier schreiben. ^^


    also nein, mein Server verbindet sich nicht willkürlich mit Nachbarservern - zumindest nicht dass ich wüsste. (:D!)