Das längste Thema

  • mainziman Alles gut?! „die komische fe80::” ist eine LLA. Die brauchst Du in jedem Fall.

    ich weiss was diese komische fe80:: Adresse ist, und wenn des Teil sich keine ordentliche 2001::... aufzwingen läßt,

    braucht er auch nicht mit der komischen fe80:: Adressen meinen da sich wohin zu verbinden :D


    aber zum Thema IPv4 Adressen bereinigen, wieso nicht den MS-Quark mit 169.254.0.0/16 ?

    weil des is ja wie: "i bi z'bled den dhcp z'frogn und d'rum gib i ma selba ane, oba geh' tuat trotzdem nixe"

    oder gibts f. den Quark wirklich an sinnvollen Use-case?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Ich glaube die Antwort zu kennen: Froxlor. Wobei man sich wahrscheinlich gedacht haben wird, dass man Debian 9 auslassen kann. Nur gibt es schon getestete Konfigurationssnippet für Froxlor mit Debian Buster?

    Auf meinen Server läuft Froxlor zusammen mit Debian 10 ohne Probleme.

    Froxlor 0.10.0-rc2 hat auch direkt die Konfiguration für Debian 10 an Board.

  • ich weiss was diese komische fe80:: Adresse ist, und wenn des Teil sich keine ordentliche 2001::... aufzwingen läßt,

    braucht er auch nicht mit der komischen fe80:: Adressen meinen da sich wohin zu verbinden

    Das finde ich aber gar nicht zum Lachen: Kann es sein, dass Dein Androide eine Firewall-App drauf hat, die es etwas zu gut mit ihm meint und auf dem linklokalen Netz UDP 546/547 blockt? (https://en.wikipedia.org/wiki/DHCPv6)

  • Das finde ich aber gar nicht zum Lachen

    ich schon :D:D:D:D

    Kann es sein, dass Dein Androide eine Firewall-App drauf hat

    Nein definitiv nicht, meine Firewall ist ein "selfmade" CentOS


    und DHCPv6 ist ja genau der Quatsch,

    ich hab von SLAAC auf stateful DHCPv6 umgestellt,

    und Android kann kein stateful DHCPv6 :rolleyes:


    sag ja immer schon, dass IPv6 nicht funktioniert;

    dafür dass es nicht funktioniert, klappt es doch schon ganz gut:D


    meine Firewall-Regeln in IP6tables

    Code
    # Enable DHCPv6 from LAN                                                                                                      -A INPUT -i br0 -s fe80::/10 -d ff02::1:2 -m udp -p udp -m multiport --dports 546,547 -j ACCEPT                               

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Ja, Android kann kein statefull DHCPv6. Ist so gewollt, ist ein Politikum. Das Argument ist, dass dadurch User Tracking ermöglicht wird (z. B

    in Campus-WiFis). Das will der Chef-Netzwerker bei Android nicht ermöglichen, also sagt er "nutz gefälligst SLAAC".

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • https://www.techrepublic.com/a…d-ipv6-deployment-issues/

    Hmmm...


    Erfordert Root...

    https://play.google.com/store/…mar.dhcpv6client&hl=en_US


    Hmmm... nur bis Lollipop...

    https://en.wikipedia.org/wiki/…port_in_operating_systems


    Hmmm...

    https://seclists.org/nanog/2015/Oct/448


    Also, wenn Dein Device nicht allzu alt ist, und, wenn Dein Device via SLAAC/Radvd einen LLA-Router angekündigt bekommt, aber via dhcpv6 die externe Adresse erhält (Radvd assisted mode), könnte es ja klappen, oder?


    Ja, Android kann kein statefull DHCPv6. Ist so gewollt, ist ein Politikum. Das Argument ist, dass dadurch User Tracking ermöglicht wird (z. B

    in Campus-WiFis). Das will der Chef-Netzwerker bei Android nicht ermöglichen, also sagt er "nutz gefälligst SLAAC".

    Wie rührend, dass Google sich um den Schutz unserer Daten so sehr bemüht. :P

  • Das Argument ist, dass dadurch User Tracking ermöglicht wird (z. B in Campus-WiFis).

    ach, und die IPv6-Adresse, welche da durch SLAAC "verteilt" wird,

    die MAC-Adresse vom Device beinhaltet und so auch ein Tracking ermöglicht wird,

    hat der Android-Netzwerker noch nicht erkannt ...:(

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • ach, und die IPv6-Adresse, welche da durch SLAAC "verteilt" wird,

    die MAC-Adresse vom Device beinhaltet und so auch ein Tracking ermöglicht wird,

    hat der Android-Netzwerker noch nicht erkannt ...:(

    Genau dafür sind ja die privacy extensions da. Mit SLAAC kannst du als Admin auf Netzebene eben genau nicht sagen welche IPv6 ein Gerät bekommt. Das wird immer vom Gerät selber entschieden und liegt entsprechend in der Hand des Benutzers/Geräteadmins.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • Mit SLAAC kannst du als Admin auf Netzebene eben genau nicht sagen welche IPv6 ein Gerät bekommt. Das wird immer vom Gerät selber entschieden und liegt entsprechend in der Hand des Benutzers/Geräteadmins.

    wenn Du Dich da mal nicht täuscht;

    wenn ich mal den Wireshark aktivier, oder einfach tcpdump am Router, dann haste ja genau das, was der Admin nicht haben darf ...


    die komischen fe80:: Adressen haben die MAC-Adresse dabei und werden intensivst verwendet;

    wenn ich folgende Regel von IP6tables entferne ist IPv6 quasi tot ...8o


    -A INPUT -i br0 -s HE-IPv6-routed-prefix::/64 -d fe80::/10 -j ACCEPT

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • die komischen fe80:: Adressen haben die MAC-Adresse dabei und werden intensivst verwendet;

    wenn ich folgende Regel von IP6tables entferne ist IPv6 quasi tot ...


    -A INPUT -i br0 -s HE-IPv6-routed-prefix::/64 -d fe80::/10 -j ACCEPT

    Ergibt diese Regel einen Sinn? Du lässt Pakete, die auf br0 hereinkommen, an die linklokalen Clients der br0 zu?

    Normalerweise würdest Du den Rückverkehr mittels ACCEPTED,RELATED für eine ausgehende Verbindung für einen öffentlichen Prefix zulassen, und fe80 untereinander zulassen, respektive eingehenden Verkehr für den externen Prefix für bestimmte Ports erlauben.

    Der Rest sollte Linklokal funktionieren?

    Anmerkung: Antwortpakete werden ja an -d Prefix vom Client gesendet. Die Fe80 dringt ja gar nicht nach außen.


    Außerdem frag ich mich, wieso Du nur den kleinen Routed Prefix von he und nicht den /48er nimmst? Oder ist dieses /64 Teil des gerouteten /48?

  • Ergibt diese Regel einen Sinn?

    anscheinend ja, die ICMPv6-Packete mit Typ 136 (Neighbor Advertisement) werden damit erlaubt;:)


    wieso Du nur den kleinen Routed Prefix von he und nicht den /48er nimmst?

    weil sich ein paar Quacksalber etwas derart stranges ausgedacht haben, daß der /48er f. den primitiven Use case¹ unbrauchbar ist;

    sprich: zu meinen einfach _48-prefix::1/48 als IPv6-Adresse am Interface zu definieren und dann jede beliebige IPv6-Adresse von dem Prefix im LAN verwenden zu können ist ein Irrtum; es braucht f. jeden /64-Sub-prefix eine entsprechende IPv6 am Interface und das ist mehr als Humbug;


    Oder ist dieses /64 Teil des gerouteten /48?

    nein;


    ¹ bei IPv4 habe ich einfach 172.16.0.1 als IP und 255.255.0.0 als Subnetmask, und das wars

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Na dann müssen wir aber aus der 16 aber noch ne 24 machen. Spaß bei Seite.


    Das ist doch alles nur noch Flickschusterei. Wir haben alles verprasst und kramen gerade noch die letzten zwei Euro Stücken aus den Couchritzen... was ein Schwachsinn. Ich vertrete schon länger die Idee/Position, dass jenen die sich gegen IPv6 wehren/es ignorieren Sanktionen drohen müssen. Ansonsten wird das doch nie was...

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • dass jenen die sich gegen IPv6 wehren/es ignorieren Sanktionen drohen müssen.

    Ich warte drauf das Google die Abschaltung von v4 für USA und Europa ankündigt. Maximal 24 Monate Vorlauf für die Provider.


    Andererseits habe ich heute mal wieder versucht meinen Router IPv6 beizubringen, was auch darin mündete, dass dieser vom Modem nur ein einzelnes /64 Prefix bekommen hat. Ich bekomme es einfach nicht hin ein /56 oder /48 zu ziehen. Keine Ahnung ob es an mir oder der Telekom liegt.

  • Ich warte drauf das Google die Abschaltung von v4 für USA und Europa ankündigt. Maximal 24 Monate Vorlauf für die Provider.


    Andererseits habe ich heute mal wieder versucht meinen Router IPv6 beizubringen, was auch darin mündete, dass dieser vom Modem nur ein einzelnes /64 Prefix bekommen hat. Ich bekomme es einfach nicht hin ein /56 oder /48 zu ziehen. Keine Ahnung ob es an mir oder der Telekom liegt.

    Darauf warte ich auch... aber ob die das machen? Ich glaube es nicht. Aber die Aktion wäre geil, bei dem Einfluss den die haben. Kann den Konzern zwar nicht leiden, aber bekanntlich soll man seine Feinde ja auch ausnutzen anstatt sie zu zerstören.


    Aber mal ganz ehrlich. Wofür braucht man so einen wahnsinnig großen Netzbereich ala /56 oder /48?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Aber mal ganz ehrlich. Wofür braucht man so einen wahnsinnig großen Netzbereich ala /56 oder /48?

    z.B. getrennte VLANs, die trotzdem SLAAC unterstützen sollen. Dafür brauchst Du mindestens ein /64 je VLAN. Und da man kaum nur zwei oder drei davon hat, wäre mindestens /60 empfehlenswert.


    Oder noch ein Grund: Du willst Dir jeden Tag ein anderes Präfix aussuchen, um für ein wenig mehr Anonymität zu sorgen. Tracking auf ein /64 ist schon quasi Standard.


    Ich verstehe sowieso nicht, warum die Provider bei Internetanschlüssen so mit IPv6-Adressen geizen. Alles kleiner als /56 ist in meinen Augen eine Verarschung. Und afaik auch nicht die Empfehlung von RIPE o.ä. Institutionen.