Das längste Thema

  • Nein; auch kein DSlite, weil ja Dein IPv4 kein CGN ist, oder?

    Mein ISP NATtet (zumindest bei mir) nicht, da ich eine statische IPv4 habe. I.d.R. macht er das aber schon. Falls du da jetzt drauf hinaus wolltest.


    bei einem HE-Tunnel hast Du die gewünschten Eigenschaften, der Tunnel fkt. so, daß Du auf Deiner Seite

    ein /64-Prefix hast, den Du innerhalb Deines LANs vergeben kannst und von einem weiteren /64-Prefix ist die ::1 Adresse auf der WAN-Seite bei Dir, und die ::2 Adresse beim Tunnel-Ausgangspunkt;

    und diesen Tunnel nennt man 6in4

    Ahh, interessant. Von 6in4 habe ich auch schon gelesen, da werde ich mich mal näher dazu informieren. :)

    VPS 1000 G8 Plus | VPS 200 G8 | selbstgebautes NAS


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • whoami0501 nein ich wollt eigentlich darauf hinaus, daß bei DSlite Du zwar IPv6 hast, aber bei IPv4 nur was aus RFC1918,

    welches im IPv6 getunnelt wird;

    irgendwie was verkorkstes;


    hat jetzt jemand einen verkorksten ISP, der ihm CGN auf's Aug' drückt, dann hat er mit einem HE-Tunnel sowas ähnliches wie DSlite

    wenn es mit den Bandbreiten passt, quasi sogar was besseres als wenn er DSlite hätte ...

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • 6in4 funktioniert bei CGN aber gar nicht ;-)

    wenn die eigentliche IPv4-Adresse, mit welcher Du im Netz bist, sich nicht wie ein Chamäleon ändert, schon¹;;)

    (quasi habe ich das ja bei mir zu Hause so: die eigentliche IPv4-Adresse ist am Cisco-Router vom ISP,

    dahinter habe ich meinen Router - eine ZBOX mit CentOS - und dazwischen ist meine DMZ - sowohl DMZ als auch LAN sind IPv4-Adressen nach RFC1918;

    meine ZBOX announced LANseitig auf einem Bridge-Device zwischen eth0 und wlan0 den HE-Tunnel mit radvd)
    ¹ ändert sich die eigentliche WAN-IPv4-Adresse bekommt dies die ZBOX mit, und setzt die IPv4-Adresse vom Tunnelendpunkt auf meiner Seite neu;

    beim HE-Tunnel ist das ein Aufruf der Art:

    curl -A "$USRAGNT" -u "$IP6USER:$IP6PWD" -k -s "https://ipv4.tunnelbroker.net/nic/update?hostname=$IP6HOST"

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Wegen Eurer Diskussion zu Transistion-Mechanisms:

    6in4 verkapselt IPv6 in IPv4 - dazu braucht man eben einen Tunnelbroker. Im Fall von erhöhten Latenzen deutet das u.U. auf ein ausgelastetes Gateway hin; in diesem Fall -wie bei he.net vorgesehen-, kann man einfach den PoP wechseln, indem man einen anderen Tunnel auf einer anderen Location anlegt. Man bekommt dann aber auch einen anderen Prefix zugewiesen.

    4in6 verkapselt IPv4 in IPv6 und mapt IPv4 zu IPv6.

    6to4 ist eine Sonderform von 6in4. Technisch ist es dasselbe, aber der fix definierte IPv4 Tunnelpunkt wird per Anycast von mehreren PoPs angekündigt, man „fällt dort raus“, wo es auf dem Weg liegt. Das Protokoll macht Schwierigkeiten beim Zurückrouten des Prefix zum „richtigen“ IPv4-PoP und gilt daher als deprecated.

    Dual Stack: natives IPv4 und natives IPv4

    DS-Lite: Die Verbindung läuft rein über IPv6 ab, IPv4 wird mittels 4in6 auf Deinem jeweiligen „Providermodem“ (CPE) auf einen spezifischen Prefix geroutet, diese Pakete kommen dann auf einem Gateway an, der sie zu IPv4 rückübersetzt und ge-nat-tet.

    Überlegungen zu DS-Lite: Ob die Adressen aus RFC1918 sein müssen, müsste ich erst in RFC6333 nachlesen. Im Grunde könnte man den Mechanismus auch für zugewiesene öffentliche IPs nützen, die aber dennoch am CGN/4in6-Gateway „anliegen“. Das wird bei Endkunden nicht gemacht und für zahlungskräftige Businesskunden kann man dafür ohnehin auf Dual Stack und MPLS/VPLS zurückgreifen.


    Das Problem mit den 6in4 und 6to4 ist außerdem, dass man über eine externe IPv4 verfügen MUSS. D.h. hinter NAT kann man sich das abschminken, weil die in IPv4 verkapselten IPv6-Pakete einen routbaren, erreichbaren Endpunkt benötigen, und den gibt es gerade nicht, weil die letzte routbare Adresse das Gateway ist. Detto geht klassisches ipip, wie auch der SIT-Tunnel deshalb nicht. Auch würde Protocol 41 wohl in den meisten Fällen gar nicht ge-nat-tet werden, sondern nur tcp, udp, icmp und eventuell noch gre.


    Für Knoten hinter einem NAT bleibt eigentlich dann nur ein TCP- oder UDP-Tunnel, wie ihn Teredo vorgesehen hat, oder man nützt eben einen eigenen Dual-Stack-Cloudhost mit einer Tunnellösung wie etwa OpenVPN. Teredo dürfte auch nicht mehr allzu aktiv sein und hat den Nachteil, dass es nur eine Adresse ( /128) zur Verfügung stellt, über die nicht weiter geroutet wird.


    Eventuell kann lokal auch ein in einem RFC6598- Range (100.64.0.0/16) gelegener Node mit einem 6in4-Tunnel funktionieren, wenn der Access Provider und der PoP zusammenarbeiten und den Shared Adress Space routen. Ich bezweifle, dass das irgendwo real nutzbar existiert, denn dann kann man iaR auch gleich Dual Stack anbieten. https://tools.ietf.org/html/rfc6598

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░

  • Dachte ich lasse das mal unkommentiert einfach hier 😂

    "Abschied" :-)


    Ich hatte da wirklich schon verzweifelte Anrufe auf dem AB. "Sie müssen sofort meine Webseiten löschen und die Domain kündigen. Die ist gehackt worden".

    Auf Nachfragen und nach Rumdrucksen, hat er mir dann eine Mail der obigen Art geforwardet...

  • Naja, im CCP sind ja mein Name und auch die Mailadresse mail@mein-unternehmen.de hinterlegt. Warum dann nicht mein.name@mein-unternehmen.de vertraut wird, erschließt sich mir nicht ganz

    doch ist logisch, weil nirgends steht, dass mein.name@mein-unternehmen.de dazu befugt ist;

    darum überlege man, welche Mailadresse man im CCP hinterlegt;

    eine Mailadresse wie admins@mein-unternehmen.de unter der alle Admins versenden dürfen, oder eben mein.name@mein-unternehmen.de unter der nur ein einziger Mitarbeiter versenden kann ...

    Wenn die hinterlegte Adresse im CC oder Reply-To steht, dann wird je nach Support Mitarbeiter das Ticket komplett ignoriert. Es würde ja reichen, die Antwort nur an die hinterlegte Adresse zu senden.

    CC und Reply-to sind Kommentarfelder und eigentlich sind Mails mit einem vorhandenen Reply-to eher als SPAM als seriös zu behandeln;

    "Du hättest die Mail ja gleich von der richtigen Mailadresse absenden können" als Antwort von der empfangenden Seite wäre hier durchaus nicht unlogisch;

    D.h. hinter NAT kann man sich das abschminken, weil die in IPv4 verkapselten IPv6-Pakete einen routbaren, erreichbaren Endpunkt benötigen

    Du meinst, mein IPv6 dürfte gar nicht funktionieren?

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Du meinst, mein IPv6 dürfte gar nicht funktionieren?

    Die regulären he.net-SIT-Tunnel hinter NAT dürften eigentlich nicht funktionieren, da das Verfahren PtP voraussetzt - wie eben ipip und ipip6 auch.

    Wenn Du allerings eine statische IP oder eine dynamische IP mit DynDNS hast oder per Script die IP bei he.net updatest, und Dein Router, sofern er nicht selber den Tunnel macht, Protokoll 41 nattet, müsste es schon gehen. Die üblichen 0815-LTE-Stick-an-Router-Setups werden so eine Konfiguration eher nicht spielen und nicht jeder hat Dein technisches Fachwissen.


    Du meinst wahrscheinlich: https://ipv6.he.net/tunnelbroker-update.php

    oder das:

    Code
    1. http://ipv4.tunnelbroker.net/nic/update?hostname=ABCDEF&myip=<ipaddr>&username=<username>&password=<pass>

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░

  • mainziman : Äh ja; Versuch das einmal mit einer Yesss-, HoT- oder sonstigen Wertkarte und einem Spusu ohne externe IP.


    Es wird funktionieren, wenn man Dir eine externe IP auf Anfrage zuweist und Du den He-Tunnel registrierst, die MTU einstellst, das DynDNS samt API-Key einrichtest. Für Otto Normalverbraucher ist das keine Lösung. Da war SiXXs wegen der restriktiven Haltung der Admins schon keine - die wollten quasi nur Experten Flüchtigkeitsfehler bei der Registrierung hatten schon Konsequenzen.


    Wirklich Out-of-the-box funktioniert IMO nur Teredo, aber selbst das wird zusehends fallen gelassen. Ich habe die Unix-Variante miredo sehr geschätzt.

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░

  • Versuch das einmal mit einer Yesss-, HoT- oder sonstigen Wertkarte und einem Spusu ohne externe IP.

    bei Yesss haste seit kurzem IPv6 mit dabei ;)

    evtl. auf der Heizflosse den APN aktualisieren;

    webapn.at lt. yesss! Interneteinstellungen hier

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • killerbees19 Du denkst wohl wieder im Hornissen-Style;

    nix mit /64; eine einzige IPv6 zusätzlich zur RFC1918 bekommste auf der Heizflosse :D

    in dem ich festgestellt habe, daß bei Georg - was des wohl f. ein schwindliger Anbieter ist - der selbe APN gilt,

    ist des eine Geschichte von A1 und all seinen Trittbrettfahrern¹ ;)


    ¹ wie bezeichnet ma bob, yesss, Georg, ... wirklich?

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • killerbees19

    Unterschied Heizflosse und anderer Plunder?

    würd jede Heizflosse wirklich auch ein /64 bekommen - kann man sich die vielen möglichen IPv6 Adressen einrexen;

    weil dann haste gerade ein paar Bits mehr als bei IPv4 :D

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Quizfrage (ich kenne die Antwort selbst nicht)...

    Code
    1. #fdisk -l
    2. [...]
    3. Device Start End Sectors Size Type
    4. /dev/sda1 2048 468791966 468789919 223.5G Linux filesystem

    So weit so gut. Die Datei /dev/sda1 existiert nur nicht. Es existiert nur /dev/sda. Why?