IPv6 mit FritzBox?
-
Na du willst ja nicht bei 64bit Adressen pro Prefix ernsthaft anfangen einzelne Adressen zu blocken? Das ist ja zum Beginn schon zum Scheitern verurteilt. Wie gesagt sind durch PE - privacy Extensions - und SLAAC und Co. eh schon problemlos mehrere v6 Adressen pro Rechner am Start, die du nicht beeinflussen kannst. Was willst du also blocken? :)
Ich verstehe deine Anforderung da nicht, was du bei v6 überhaupt spezifisch per Adresse blocken willst?! Vielleicht hast du ein Beispiel dass es klarer macht?
-
Na du willst ja nicht bei 64bit Adressen pro Prefix ernsthaft anfangen einzelne Adressen zu blocken?
Also nein, da wir ja IPv6 nicht gebändigt bekommen bekommen, was die IP Adressvergabe angeht, kann ich das vergessen.
Mein Ansatz war, dass ich generell den kompletten IPv6 Bereich blocke und nur die Clients, die dhcpv6 unterstützen oder Statisch vergeben sind, dürfen raus bzw. kommen restriktiert raus.Das ist ja zum Beginn schon zum Scheitern verurteilt. Wie gesagt sind durch PE - privacy Extensions - und SLAAC und Co.
Meine Rede, diese Stateless IP Vergabe ist nur misst. Ich habe keine Kontrolle mehr darüber, wer welche IP bekommt.
Ich verstehe deine Anforderung da nicht, was du bei v6 überhaupt spezifisch per Adresse blocken willst?! Vielleicht hast du ein Beispiel dass es klarer macht?
Ganz einfach, ich will verhindern, dass meine Kinder rund um die Uhr ins Internet kommen können, ohne das Smartphone jedesmal einsacken zu müssen.
Und da Android und seit neuster Kenntnis Windows 10 (Anniversary Update Version) kein DHCPv6 können, ist es momentan nicht möglich.
Deswegen die Frage, wie kann IPv6 Devices restriktieren, wenn nicht über die IP.
–Update, das mit Windows 10 scheint nicht generell zu sein, der eine Rechner hat ne DHCP IP, der andere nicht. Muss mal schauen an was das liegt.
-
Meine Rede, diese Stateless IP Vergabe ist nur misst. Ich habe keine Kontrolle mehr darüber, wer welche IP bekommt.
OK dann hast du aber auch v6 nicht wirklich verstanden. Das ist kein Mist, das ist eine sinnvolle Methode das ganze überhaupt sinnvoll bekommen. Bei einem Client ist die Adresse völlig egal. Warum ist die wichtig? Bei einem Server ist es OK, aber da wird die Adresse auch meist statisch vergeben. Ich verstehe das Problem nicht. Du scheinst einfach Mechanismen oder eingefahrenen Workflow von v4 Zeiten einfach auf v6 zu übertragen und das klappt nicht. Es sind nicht einfach längere IP Adressen, es ist ein komplett eigenständiges (anderes) Protokoll. :)
Ganz einfach, ich will verhindern, dass meine Kinder rund um die Uhr ins Internet kommen können, ohne das Smartphone jedesmal einsacken zu müssen.
Und wo ist das Problem? Dann werden die Kids in ein eigenes Prefix gesteckt und das Prefix entsprechend behandelt und mit einer time-based Rule bspw. geblockt. Problem gelöst :)
Es hat schon seinen Grund, warum gesagt wird, dass man bei v6 entsprechend genug Prefixe zur Verfügung stellen soll und dass die Broadcast Domains nicht zu groß werden sollen. Zudem versuchst du ein Problem auf eine Art zu erschlagen (IP Blocken) die vorher schon nicht wirklich sinnvoll war (bei v4 vergibt man sich einfach ne andere IP - done - das geht auch auf dem Handy und "dank" YT Videos kann das jeder). Wenn du da ordentlich blocken willst (bsp Handys), dann löse das doch über bspw. ein Captive Portal - das ist auch dafür gedacht :)
Grüße
-
OK dann hast du aber auch v6 nicht wirklich verstanden.
Ich glaube schon dass ich IPv6 im Groben verstanden habe, nur bin ich mit dieser Philosophie nicht einverstanden. Das ist ein Unterschied.
Und wo ist das Problem? Dann werden die Kids in ein eigenes Prefix gesteckt und das Prefix entsprechend behandelt und mit einer time-based Rule bspw. geblockt. Problem gelöst :)
Eigenes Prefix bedeutet anderes (V)LAN, oder irre ich mich ? Das ist ja wie durch die Brust ins Auge.
Mal davon abgesehen, muss ich meiner Fritzbox Mullti-SSID und VLAN beibringen. Das wäre zwar mittels Freetz sogar noch möglich aber der Aufwand wäre mir zu hoch. Oder ich nehme einen zusätzlichen AP in Betrieb. ::)Es hat schon seinen Grund, warum gesagt wird, dass man bei v6 entsprechend genug Prefixe zur Verfügung stellen soll
Das ist z.b. eins von den Dingen, die ich an dieser Philosophie nicht mag, nur weil durch ipv6 quasi unmengen an Adressen zu Verfügung stehen, verschleudern wir Diese jetzt als wären sie unendlich verfügbar.
Alleine für ein Tranfernetz wird bereits ein /64er Prefix verballert ???und dass die Broadcast Domains nicht zu groß werden sollen.
Das ist das 1 mal 1 des Netzwerkdesigns, diese Regel gabs schon unter IPv4.
Nur zur Info, ich hab die kleinstmögliche Größe (/64) für jedes Vlan genommen.Zudem versuchst du ein Problem auf eine Art zu erschlagen (IP Blocken) die vorher schon nicht wirklich sinnvoll war (bei v4 vergibt man sich einfach ne andere IP - done
Dafür müsste er eine IP wissen, die nicht beblockt ist. Das ist ihnen bis jetzt nicht gelungen. Dank YT werden immer nur 192.168.x.x/24 Beispiele gezeigt und da ich ein Class B Netz habe und meine Kidds IP Subnet nicht verstanden haben, hat es bereits einige unterhaltsame Momente gegeben.
Fazit:
Also wenn ich dich jetzt richtig verstanden habe, ist dein Vorschlag, IP Generell zu blocken und über Captive Portal freizuschalten. :-
Nunja, Sicherheit und Komfort beissen sich halt, aber das wusste ich bereits vorher.Trotzdem Danke
-
verschleudern wir Diese jetzt als wären sie unendlich verfügbar.
Alleine für ein Tranfernetz wird bereits ein /64er Prefix verballert ???Es wird nichts "verballert", deshalb auch meine Aussage - die nicht böse gemeint war - du mögest dich ggf. erstmal mehr mit IPv6 beschäftigen. Dass hier auch für Transfernetze etc. /64 gesetzt werden ist zum einen im RFC und von den Agenturen wie RIPE etc. vorgegeben, zum anderen hat es was damit zu tun, dass /64 die kleinste Größe ist, bei der alle v6 Mechanismen entsprechend sauber automatisch funktionieren wie bspw. SLAAC und Co. Zudem kann und wird bei einigen Geräten zur weiteren Beschleunigung und Vereinfachung einiges in Hardware abgebildet und berechnet (ASICs) und auch hier ist das der restliche 64bit Teil. Kleinere Größen würden hier nur noch manuell funktionieren und könnten dann auch wieder nur umständlich in Hardware abgebildet werden. Zudem brauchen IPv6 Routen entsprechend wesentlich mehr RAM als die v4 Pendants, mit entsprechend viel mehr kleineren Subnetzen würde also auch der Speicherbedarf für Routing Tabellen und Co enorm ansteigen.
Eigenes Prefix bedeutet anderes (V)LAN, oder irre ich mich ? Das ist ja wie durch die Brust ins Auge.
Warum ist das durch die Brust ins Auge? :o Es ist die sinnvollste Möglichkeit das sauber zu lösen und nicht mit künstlichen IP Sperren zu hantieren, die dann manuell durch Vergabe von anderer IP ausgehebelt werden können.
Ich glaube schon dass ich IPv6 im Groben verstanden habe, nur bin ich mit dieser Philosophie nicht einverstanden. Das ist ein Unterschied.
Es ist keine Philosophie. Es ist ein Protokoll das komplett und komplex durchgestaltet und geplant wurde und immer weiter auch aktuell angepasst wird. Genau wie v4 sich auch mehrfach entwickelt hat :)
Das hat nichts mit theoretischer Philosophie zu tun. Das wurde durchaus sinnvoll durchgerechnet und mit entsprechender Luft nach oben auch begonnen um eben genau nicht wieder dumm dazustehen und keine Adressen mehr zu haben. Nur weil es im ersten Moment jetzt so aussieht, dass zu viele Adressen ausgegeben werden, heißt das nicht, dass die uns wieder ausgehen werden oder die Vergabe zu großzügig ist. Vor allem wenn man überlegt, dass momentan ja sowieso nur 2001:: vergeben wird. Da kratzen wir die anderen /3 oder /4 Netze ja noch nicht mal an…Das ist das 1 mal 1 des Netzwerkdesigns, diese Regel gabs schon unter IPv4.
Mag sein, bei v6 aber wird explizit auch in Bezug auf Security und Co darauf hingewiesen, dass hier die BC Domains so klein als sinnvoll möglich gestaltet werden sollen. Gerade da eben viel automatisch und automatisiert ablaufen kann (und darf oder auch soll), will man hier die Angriffsfläche bzw. den Impact minimieren, wenn jemand Mist baut und bspw. das ND oder RA versaut.
Nur zur Info, ich hab die kleinstmögliche Größe (/64) für jedes Vlan genommen.
Das doch gut :) So solls ja auch gemacht werden.
und meine Kidds IP Subnet nicht verstanden haben, hat es bereits einige unterhaltsame Momente gegeben.
:) auch nicht schlecht. Aber trotzdem geht das schneller als du denkst, dass das kein Problem mehr ist. Und warum überhaupt dann erst eine Methode nutzen, die per se schon eher ungeeignet ist, anstatt etwas zu verwenden, was besser auf deinen Fall passt? Portal oder Mac Auth wäre da doch einfacher weil nicht so leicht umgehbar. Es gibt ja auch (hörensagen) schon recht günstig Switche die 802.1x können.
EDIT:
Weils mir gerade noch zugeflogen kam:
http://etherealmind.com/allocating-64-wasteful-ipv6-not/Ein Zitat und eine gute kurze Zusammenfassung warum /64:
Using a subnet prefix length other than a /64 will break many features of IPv6, amongst other things Neighbor Discovery (ND), Secure Neighborship Discovery (SEND) [RFC3971], privacy extensions [RFC4941], parts of Mobile IPv6 [RFC4866], PIM-SM with Embedded-RP [RFC3956], and SHIM6 [SHIM6]. A number of other features currently in development, or being proposed, also rely on /64 subnet prefixes. -
Eigenes Prefix bedeutet anderes (V)LAN, oder irre ich mich ? Das ist ja wie durch die Brust ins Auge.
Warum ist das durch die Brust ins Auge? :o Es ist die sinnvollste Möglichkeit das sauber zu lösen und nicht mit künstlichen IP Sperren zu hantieren, die dann manuell durch Vergabe von anderer IP ausgehebelt werden können.
Da ich für 4 Geräte ein eigenes Vlan bzw. L3 Instanz bauen muss. Etwas oversized in meinen Augen, wohl aber notwending, so wie es aussieht :/
Ich muss mich jetzt erstmal entscheiden ob ich IPv6 abschalte, oder mir einen Multi-SSID AP bestelle.
Achso, noch ne Sache zum Captive Portal.
Das können wir in Verbindung mit ipv6 wohl vergessen, da es ipv6 nicht unterstützt…
https://forum.pfsense.org/index.php?topic=125146.0
Gruß
Rubinho -
Autsch! OK danke, war mir in diesem Zusammenhang nicht bekannt (dazu benutze ich CP viel zu wenig), aber das macht es natürlich unbrauchbar :/
BTW MultiSSID AP -> Die UniFy Teile kosten ja jetzt nicht soo viel und können das (und noch mehr). Alternativ wie gesagt vielleicht ein Switch mit 802.1x Auth - wäre auch spannend :)
-
BTW MultiSSID AP -> Die UniFy Teile kosten ja jetzt nicht soo viel und können das (und noch mehr). Alternativ wie gesagt vielleicht ein Switch mit 802.1x Auth - wäre auch spannend :)
Meinst du die Ubiquiti Unifi APs ?
Wenn ja, die Dinger sind wirklich preiswert, habe von Ubiquiti 3 Richtfunkstrecken in Betrieb und die laufen völlig problemlos.Bei dem Thema 802.1x ist der Aufwand wieder recht hoch. Ich müsste jedem Client erstmal ein Zertifikat zuweisen. Spannend ja, aber wie gesagt, recht aufwendig.
Ich hab da noch einen alten TP-Link AP rumfliegen, der mit einer OpenWRT Firmware bespaßt ist. Mit dem werde ich mal eine Multi-SSID Testumgebung aufbauen.
-
Wenn ich es nicht ganz falsch verstanden habe, hat meine Beta tatsächlich einen BUG der vor kurzem (man geht zumindest davon aus) geschlossen wurde. Wenn ich also auf die neuste Beta aktualisiere, sollte es funktionieren.
- aus der Diskussion (da ich "nichts" von IPv6 weiß) ist mir (min.) eine Sache aber nicht ganz klar. Und zwar wegen der Aktualisierung der Präfixe. Ich verstehe es so, dass die Fritzbox eben ggf. mehrfach in 24 Stunden den Präfix beim ISP nachfragt und aktualisiert. Dementsprechend musste die pfSense es auch tun - also sich neuen Präfix bei der Fritze abholen und am Ende eben die Klients bei pfSense. Richtig?
Wenn ja - wo bzw. warum soll es ein Problem darstellen? Wenn nein - was habe ich da nicht/ falsch verstanden?
- aus der Diskussion (da ich "nichts" von IPv6 weiß) ist mir (min.) eine Sache aber nicht ganz klar. Und zwar wegen der Aktualisierung der Präfixe. Ich verstehe es so, dass die Fritzbox eben ggf. mehrfach in 24 Stunden den Präfix beim ISP nachfragt und aktualisiert. Dementsprechend musste die pfSense es auch tun - also sich neuen Präfix bei der Fritze abholen und am Ende eben die Klients bei pfSense. Richtig?
-
@rubinho: Beachte bitte, die Ubiquiti für Richtstrecken sind andere als die Accesspoints. Sie können zwar auch als AP genutzt werden, mit ihrem airmax-OS können sie aber kein Multissid! Das geht maximal über die CLI. Die schicken Unifi Ufos können mind. 4 SSIDs.
Gruß
pfadmin -
Eher maximal 4 SSIDs (pro Antennen-Set), pfadmin, aber ansonsten richtig. Die können Multi-SSID, aber noch spaßiger: sie können VLAN based Access. Man braucht nicht zwangsläufig mehrere SSIDs für die Einordnung der User ins richtige VLAN. Es genügt WPA2-Enterprise zu machen (also nicht PSK sondern user/passwort) und auf der Basis des Usernamens diesen dann entsprechend ins gewünschte VLAN zu kleben. Das spart viele unnötige SSIDs die ansonsten die Bandbreite reduzieren :)
also sich neuen Präfix bei der Fritze abholen und am Ende eben die Klients bei pfSense. Richtig?
Nope. Dafür gibts RA - Routing Announcements. Wenn die Fritz ein anderes Prefix bekommen hat, muss/soll sie das an nachgelegene Router weiter annoncieren, damit diese darauf reagieren können. Push statt Pull.
Grüße
-
ja das die Richtfunk Systeme (Airmax) und die Ufo APs (Unifi) unterschiedlch sind, ist mir bewusst. Ich wollte ja nur erwähnen, dass mir der Hersteller bekannt ist.
Trotzdem Danke
Aber das Vlan based Access ist natürlich auch ein nettes Feature, da spare ich mir die SSiDs.
Wenn ich das richtig in Erinnerung habe, benötige ich aber für den Betrieb der Unifi Teilen, zwingend die WLC Software, oder brauch ich diese nur zum konfigurieren ? -
Wenn ich das richtig in Erinnerung habe, benötige ich aber für den Betrieb der Unifi Teilen, zwingend die WLC Software, oder brauch ich diese nur zum konfigurieren ?
Also diese "komische" Software braucht man nur zum Konfigurieren.
-
Das kommt drauf an was man damit macht, rubinho/Tobi. Je nachdem welches Feature wird die Controller Software nachher weiterhin benötigt oder eben nicht. Allerdings läuft die ja zwischenzeitlich auch schon auf einigen anderen Geräten inkl. NAS oder PI, so dass das jetzt kein großes Problem wäre.
-
Ja nachdem ich die Soft kurz auf meinem Windows Client installiert hatte, hab ich mich schnell entschieden die Controller-Soft fest auf meinen Linux-Server zu installieren.
Der ist eh immer an, von daher halb so wild.Leider hab ich noch Startprobleme mit dem neuen System, aber dafür hab ich jetzt endlich einen eigenen Thread aufgemacht…..
-
Ich habe heute die BETA aktualisiert und an sich sollte es mit IPV6 hinter der Fritz funktionieren. Tut es aber nicht.
Hat vielleicht doch noch jemand eine Idee was womöglich ich falsch gemacht haben könnte?
-
Hallo,
also ich bin dann ein Stück weiter :). Jetzt bekommt pfSense zwar was es soll (Präfix - lag daran dass ich bei dem WAN Interface den Hacken bei "Request a IPv6 prefix/information through the IPv4 connectivity link" an hatte)
ABER so richtig scheint es mir nicht zu sein. Ich habe APU2 bei dem an LAN1 zusätzlich 3 VLANS definiert sind. Jetzt ist doch so, dass die 4 Interfaces gleiches Präfix haben. Das ist denke ich nicht im Sinne des Erfinders oder?
