IPv6-Adressen erneuern?
-
@tpf said in IPv6-Adressen erneuern?:
Wenn ICMP aktiv ist, lassen sich Geräte sehr einfach in ihrem online-Status verfolgen / kontrollieren. Die für Server gewünschten eindeutige Erreichbarkeit ist für normale Endgeräte unerwünscht. Jedenfalls für mich.
Selbst ein /64er Netz ist praktisch nicht mehr zu scannen. Wir reden von 2^64 IPv6 Adressen (18,446,744,073,709,551,616). ICMP von extern nach intern habe ich nicht offen. Ich wüsste auch nicht wozu.
Ich glaube alleine die Masse an IPv6 Adressen macht es Angreifer extrem schwer ein Opfer zu wählen. Selbst wenn die nur mein /48er Netz scannen würde wären die schon sehr lange beschäftigt.
-
@tpf said in IPv6-Adressen erneuern?:
Er muss dazu nur den Hostnamen kennen und wenns ICMP aktiv hat, antwortet es fleißig. Du könntest jetzt von Dir daheim mein Handy pingen und sehen, dass ich zuhause im WLAN bin. Super!
a) Woher sollte ich deinen Hostnamen deines Handys haben?
b) Firewall Regeln auf dem WAN sind dir ein Begriff?
c) Gerade Handys (bzw. mobile Endgeräte) haben deshalb privacy extensions aktiv und haben nutzen bei ausgehenden Verbindungen ständig andere IP6 Adressen?
d) Warum sollte dein Handy überhaupt einen DNS Namen bekommen?
e) Wer sagt, dass dein Handy auf jeden ICMP überhaupt reagiert? Das Gerät selbst hat ja auch noch mitzureden.So what? Da steht auch nicht, dass JEDES Gerät von außen per ICMPv6 erreichbar sein MUSS, sondern dass es gute Gründe gibt, warum es Schwachsinn ist einfach default alles zu blocken und zu denken "yay, jetzt bin ich unsichtbar" ;)
Nene, da bin ich zu sehr auf meine Privatsphäre bedacht.
Privatsphäre sicher. Aber erstmal verstehen, was wie wo funktioniert bevor man panisch den Aluhut aufsetzt. Dein Handybeispiel ist dazu ziemlich strange, wo gerade "Smartphones" ja prädestiniert sind, sich mit ID oder sonstwo überall anzumelden. Ob da ICMP6 dann - wenn es überhaupt so funktionieren würde wie du dachtest - eine Geige spielt, wage ich zu bezweifeln.
Die IPv6-Konnektivität verschwindet wenige Minuten nach einem Neustart und kommt auch nicht wieder. Auf keinem meiner Endgeräte.
Autsch - hört sich aber eher nach Problem beim ISP an? Wenn nicht, ggf. nochmal die Settings prüfen und mit den Optionen spielen, bis man wieder ne Adresse bekommt. Gerade
- Request v6 via v4
brauchen viele eigentlich nicht mehr bzw. eher selten. Auch das Prefix wäre seltsam. Da würde ich nachfragen, denn die meisten ISPs müssen ein /56 an Kunden abgeben, nicht nur ein billiges /64er, das gibt dem Kunden dann sonst nur ein Netz und das ist zu wenig. Würde das mal auf /60 oder /56 testweise stellen. Prefix und Prefix Hint sollten eigentlich gut sein. Ggf. noch mit "nur prefix, keine Adresse". Wobei ich wie gesagt mit den Einstellungen spielen/testen würde. Einen Haken raus. Speichern. unter Status/Interfaces nachschauen und ein bisschen warten, ob sich was auf WAN und LAN tut. Rinse & Repeat
Beim Track Interface kannst du bei /64 auch nichts einstellen, daher wäre das eher selten. Bei /60 oder /56 kannst du mittels ID dann das Netz bestimmen was das Interface bekommt.
Bei UM ist mein Setup:
- /60 Delegation Size
- Send Prefix Hint
Was anderes brauche ich nicht. IP6 kommt und Netz auch, per Tracking an 3 VLANs abgegeben. Tracking ID ist bei /60 der Bereich [0-f] wobei ich dann meine VLAN IDs in Kurzfassung angegeben habe. Somit habe ich in Status/Interfaces:
IPv6 Link Local fe80::xxx:xxx:xxxx:xxZZ%igb0 IPv6 Address 2a02:8071:2bfe:3a00:xxxx:xxxx:xxxx:xxZZ Subnet mask IPv6 64 Gateway IPv6 fe80::e228:6dff:fe53:6373
Also sowohl ne fe80 Adresse mit der FritzBox Cable vornedran sowie eine echte IP6 die sie sich vom zugewiesenen /56er abgeholt hat (3a00 -> 00 erste ID).
Ein internes Dummy Netz (extra gebaut, nur pfSense Interface drauf) hat dann mit ID "b" z.B.
2a02:8071:2bfe:3afb:xxxx:xxxx:xxxx:xxZZ
Und ja die x'e sind die gleichen, da sich der Router hier die gleiche IP6 gibt für seine Interfaces und nur in der Interface Unterscheidung (ZZ) da abweicht. Der IP6 Block ist aber demnächst eh wieder anders da die Tage nachts wieder gewartet wird und dann garantiert vorher/nachher wieder einige Re-Inits kommen inkl. neuem Prefix-Block. nerv
Ansonsten steht mein DHCP6 Server auf "aus" und nur die RAs sind an. Steht auf Mode Assisted und die DNS Einstellungen unten sind ausgefüllt. Ansonsten wird es schwer, via SLAAC Geräte mit DNS6 auszustatten (SLAAC übernimmt nur Automatismus für IP6 Erstellung und Routing, kein NTP/DNS, das kommt über DHCP6, daher assisted).
Würde eigentlich eher einen Mix aus SLAAC und DHCP6 fahren, aber Android kann leider kein DHCP6 was extrem nervt.Grüße
-
Kleiner Nachtrag:
https://www.heise.de/ct/artikel/IPv6-Privacy-Extensions-einschalten-1204783.html
Wenn deine Win7 Kiste keine PE aktiv hat, wäre das seltsam aber möglich. Einfach mal schauen. Ansonsten kann es auch an "unmanaged" liegen, was du willst ist IMHO "assisted" wie ich den DHCP6 konfiguriert habe, sonst bekommt die Mühle kein RA ab und weiß auch nichts, dass sie v6 sprechen könnte.
-
Hallo,
mein Tip immer noch: https://danrl.com/projects/ipv6-workshop/ , als Buch kaufbar und inzwischen auch kostenlos auf der Website wenn man sich mit dem Thema IPv6 auseinandersetzen muss.
Grüße
-
Kein schlechter Hinweis, ich kann Benedikt Stockebrand empfehlen. Weniger das Buch, das ist schon ein wenig in die Jahre gekommen (IPv6 in practice) aber sollte man irgendeine Veranstaltung sehen, bei der er Speaker ist oder man als Workshop hin kann, macht das. :)
Ich hatte das Glück ihn 2014 in einem Workshop über v6 zu haben. Super interessant und tolle Gespräche. -
Danke für die Lektüre. Wie gesagt, ich muss mich da einlesen. So langsam wirds ja auch etwas klarer.
Mittlerweile läuft es bei mir wieder. Was mir aber nicht so ganz klar ist: Ich habe den lokalen DHCPv6 aktiviert und die RA auf Assisted. Meine Windows-Rechner erhalten darüber eine IP und das mit der Privacy funktioniert auch. Meine Mobilgeräte erhalten von diesem keine IP und zumindest mein Handy hat nun nur noch eine Privacy-IP, statt wie zuvor mehrere im Verlauf.
Wie ist denn der eigentliche Wunschzustand?
a) Woher sollte ich deinen Hostnamen deines Handys haben?
b) Firewall Regeln auf dem WAN sind dir ein Begriff?
c) Gerade Handys (bzw. mobile Endgeräte) haben deshalb privacy extensions aktiv und haben nutzen bei ausgehenden Verbindungen ständig andere IP6 Adressen?
d) Warum sollte dein Handy überhaupt einen DNS Namen bekommen?
e) Wer sagt, dass dein Handy auf jeden ICMP überhaupt reagiert? Das Gerät selbst hat ja auch noch mitzureden.a) Aus Webserver-/Verbindungslogs. Ich gehe einfach von einem interessierten Angreifer aus.
b) Natürlich.
c) Mittlerweile auch gemerkt, auch wenn mein Handy nun schon länger dieselbe hat
d) Die Telekom vergibt zu jeder IP einen t-online.de-Hostnamen
e) Es tut es. Auch von außen, wenn ICMP reingelassen wird. -
@tpf said in IPv6-Adressen erneuern?:
a) Aus Webserver-/Verbindungslogs. Ich gehe einfach von einem interessierten Angreifer aus.
Da steht kein Hostname bzw. dein Provider wird wohl kaum für dein Prefix ohne Wissen von DUIDs oder spezifischen /128er Adressen für jeden Pieps einen extra Hostnamen definieren. Ich sehe also deine IP6 - sonst nichts.
b) natürlich
Genau, die gelten weiter. Irgendwie ist jeder im Kopf noch bei IP4 und NAT und wuuzaa da ist ja alles sicher (als ob NAT was mit Sicherheit zu tun hätte), aber sobald plötzlich IP6 Adressen im Spiel sind - weil zumeist von GUAs die Rede ist - ist man panisch weil das ja öffentliche Adressen sind (Panikmodus). Dass man genau dafür ja Firewall Regeln schreibt scheint irgendwie vergessen worden sein, weil man sich damit ja "dank NAT" nie auseinandergesetzt hat. Darum die Erinnerung - egal was für Adressen, die werden genauso gefiltert wie v4 jetzt auch. :)
c) Mittlerweile auch gemerkt, auch wenn mein Handy nun schon länger dieselbe hat
Sollte sich in einem gewissen Zeitraum ständig ändern, dafür ist SLAAC und die PEs zuständig.
d) Die Telekom vergibt zu jeder IP einen t-online.de-Hostnamen
IP4. Vielleicht. Aber nicht IP6. Du kannst und willst nicht 64bit Adressen einfach mal so durch-vernamen. Ist quatsch und macht keinen Sinn. Wenn wird da ein Generikum vergeben und das ist auch nicht aussagekräftiger als die ersten 64bit der Adresse (ergo dein Prefix).
e) Es tut es. Auch von außen, wenn ICMP reingelassen wird.
Tut es - weil PE - nicht. Denn bis man 2 Tage später aus dem Log eine IP6 fischt ist diese weil es allermeistens eine PE Adresse ist bereits wieder abgelaufen und nicht mehr vergeben -> Ping6 schlägt fehl. Aussagekraft von solchen Adressen tendiert gegen 0, der Prefix ist was anderes und das ist wieder recht gleichzusetzen mit ner v4 Adresse. Jedes Cookie, Canvas, Fingerprinting etc. tut mehr zur Identifikation als das.
Wie ist denn der eigentliche Wunschzustand?
Meiner wäre "Assisted" allerdings scheitert das an DHCP6-Losigkeit von Mobile Geräten. Für dich wahrscheinlich eher "Stateless DHCP" - dann sollen sich die Geräte per SLAAC IP6 vergeben und bekommen zusätlich Details (DNS, NTP) vom DHCP6. Das ist eigentlich der beste Start zum Testen weil dann keine Adressen per fixer DUID und DHCP6 vergeben werden und der dann nicht dazwischengrätscht.
-
Also ich bekomme zu jeder Adresse einen zur IP passenden Hostnamen. Natürlich nicht die Geräte-Hostnamen. Redeten wir da aneinander vorbei?
![Bild Text]( Bild Link)
-
@tpf said in IPv6-Adressen erneuern?:
Also ich bekomme zu jeder Adresse einen zur IP passenden Hostnamen. Natürlich nicht die Geräte-Hostnamen. Redeten wir da aneinander vorbei?
Ja guuut, das ist auch nix anderes als die tumben "p37958756917.dip.blah" Adressen nur in dem Fall, dass die IP6 drin steckt. Oder lese ich das falsch? Sieht eher wie ne stupide (und nicht empfohlene) "wir-packen-IP6-in-Namen" Resolving aus. DAS bekomm ich auch mit jedem isc-dhcpd und Regex hin ;) Aber der Namen sagt eben genauso wenig aus wie ne IP6. shrug
Dein Gerät wird dadurch aber nicht mehr oder weniger identifizierbar ;) -
@JeGr said in IPv6-Adressen erneuern?:
WTF? Darf ich tauschen? Ums genau zu sagen: Es kotzt mich übelst an, dass ich ein beschissenes dynamisches Prefix egal wie groß (/56) zugewiesen bekomme und nicht ordentlich mit meinen v6 Adressen/Prefixen arbeiten kann! Daher musste ich mir extra ein statisches Netz von HE.net dazu holen.
Ja, das glaub ich. Hierzu gibt es einen Feature Request im Bugtracker. Leider passiert da nicht sehr viel. Schade, AVM bekommts ja auch hin ^^
-
@pmisch said in IPv6-Adressen erneuern?:
Ja, das glaub ich. Hierzu gibt es einen Feature Request im Bugtracker.
Ich verstehe aber auch warum da nicht viel passiert, denn a) muss das Upstream bei den Projekten selbst passieren, nicht eine pfSense Sonderlocke werden und b) ist das bescheuerter §(/&$"/%$(%!= weil man auf ISP Seite versucht alte und unpassende Strukturen über neue/andere Technik zu stülpen damit man den gleichen Murks der vorherigen Jahre noch beliebig lange weitermurksen kann.
Ich möchte statische IPs ohne vermurksten Dual-Stack oder IP-Light-CGN Mist. Und solange mein Flat-Tarif besteht gibt es auch keinen Grund auf Zwangstrennung, Abschaltung, Prefix-Wechsel etc. Man versucht einfach nur Geld damit rauszuschlagen. Mehr nicht. Siehe die ganzen IPv6 Topics im en-Teil des Forums. Was man da liest, wie ISPs ihre IP Vergabe vergewaltigen und mal eben auf Standards verzichten und dann dem Kunden sagen, er soll doch SEIN Gerät fixen ist an Dreistigkeit nicht zu überbieten. Und die Lösung ist dann das vermurkste ISP Gerät zu kaufen? Danke nein, erschießt mich!
-
@JeGr said in IPv6-Adressen erneuern?:
a) muss das Upstream bei den Projekten selbst passieren
Es gibt hier aber kein Upstream. pfpSense muss da etwas dran ändern. Es ist ja nicht pf was damit nicht zurecht käme, oder etwa doch?
@JeGr said in IPv6-Adressen erneuern?:
b) ist das bescheuerter §(/&$"/%$(%!= weil man auf ISP Seite versucht alte und unpassende Strukturen über neue/andere Technik zu stülpen
Was wird denn hier versucht zu stülpen? Ich kann die Provider schon verstehen, dass die nicht jedem Privatkunden einen statischen Präfix geben wollen. Wie soll man sonst Geschäftskundenanschlüsse vermarkten im Zeitalter von IPv6? Irgendjemand muss den Aufbau und die Pflege der Infrastruktur bezahlen. Die Privatkunden tun das mit Ihren 19,99 € Anschlüssen sicherlich nicht.
-
@pmisch said in IPv6-Adressen erneuern?:
Es ist ja nicht pf was damit nicht zurecht käme, oder etwa doch?
Du weißt, was mit Upstream gemeint ist? pfSense besteht nicht aus "PF" und ein bisschen OS, sondern aus FreeBSD, den entsprechenden Userland Applikationen etc. Und in dem Fall muss das ein Zusammenspiel werden aus dem pf-FreeBSD Port, dem DHCP6, der auf dem WAN das neue Prefix bekommt und per Tracking dann an das LAN oder mehrere gibt wo Clients hängen. Dazu müssten für Firewall Regeln die Clients auch noch statische IP6 Adressen haben. Also müsste der DHCP6 ihnen Adressen auf Grund ihrer DUID bzw. des konfigurierten Client-Teils geben und soll dann vornedran dann vom RA und dem DHCP6 auf dem WAN noch ggf. ein anderes Prefix einsetzen.
Sind also mindestens zwei wenn nicht drei Komponenten / Daemon beteiligt plus das ganze noch in pfSense, UI etc. selbst zu integrieren und zu testen, damit es vorhandenes nicht zerschlägt. Und sowas baut man sicherlich nicht selbst um dann ständig den Upstream Projekten wie DHCP6 und PF hinterher zu laufen und ständig bei neuen Versionen wieder manuell patchen zu müssen. Darum arbeitet man ja u.a. bei bspw. IPSEC direkt am FreeBSD Kernel und an der Basis um Sachen gleich Upstream zu implementieren, damit sie da sind, wo alle von profitieren, und nicht wo man selbst immer und immer wieder stundenlang selbst den gleichen Kram reinpatchen muss. :)
Sorry @tpf - kleiner Rant incoming ;)
Ich kann die Provider schon verstehen, dass die nicht jedem Privatkunden einen statischen Präfix geben wollen.
Achja? Warum?
Wie soll man sonst Geschäftskundenanschlüsse vermarkten im Zeitalter von IPv6?
Tolles Argument. Wir halten deine IP4/IP6 Prefixe unter Verschluß weil wir sonst kein Geld bekommen. Cooles Modell. Komisch dass das andere Anbieter schaffen.
Irgendjemand muss den Aufbau und die Pflege der Infrastruktur bezahlen. Die Privatkunden tun das mit Ihren 19,99 € Anschlüssen sicherlich nicht.
Ja genau. Das ewig alte Kostenargument. Deshalb gibt es bei denen, die das "verbrechen" ja auch so günstige Angebote... oh wait, nein, da kostet es meist das doppelte und ich bekomme immer noch keine statische IP. Nasowas. Die günstigen Angebote kommen von Drittanbietern die nichts von der Infrastruktur bezahlen, sondern sie benutzen. Und anscheinend ist das trotzdem noch für die Netzanbieter profitabel, sonst könnten sie es ja nicht billig weiterverkaufen. Sowas aber auch.
Es ist quatsch. Firmenkunden haben ein ganz anderes Bedürfnis, nämlich SLAs und Support. Die brauchen fixe Entstörzeiten etc. Die IP ist ein nettes Gimmick aber kein Grund warum ne Firma ihren Anschluß als Geschäftskundenanschluß kauft. Firmen kaufen den Anschluß so, wenn er definitiv laufen muss und sie sich keinen langen Ausfall erlauben können. Und ansonsten ist denen ihre IP meist wurscht - gibt viele die sich Endkundenanschlüsse ranholen weil man a) höhere Datenraten überhaupt nicht bekommt (was ein Schwachsinn) und b) sie keine fixe IP(4) zwingend brauchen.
Und wenn bspw. die arme Telekom ihren Netzausbau nicht mehr bezahlen könnte weil die Preise zu billig sind würden sie den Preis erhöhen. Ob ich fixe oder dymaische IPs bekomme erzeugt in der Technik minimalen Aufwand und diesen lediglich einmalig. Hier ein "das kostet" Argument zu bringen ist Nonsense, da haben schon diverse Telekom Techniker und Insider nur müde abgewinkt.Die Privatkunden tun das mit Ihren 19,99 € Anschlüssen sicherlich nicht.
Genau und dann will der Privatkunde einen Firmenanschluß wegen fixen Daten - und bekommt ihn nicht. Jap. Wird nicht verkauft. Oder man bekommt ihn aber er ist bei wesentlich niedrigerer Rate 3x so teuer -> ist ja logisch, weil ... äh warum genau? Nein ist es nicht. Privatanschluß bekomme ich dazu als Bestandskunde mit Dual-Stack v4/v6. Glück gehabt. Neue Privatkunden nur noch DS-light mit v6 und Murks-V4 hinter CGN. Firmen? NUR IPv4. SUPER! Warum? Nachfrage: Ja da gabs immer Probleme mit dem IP6 Zeugs.
Solang man jahrelang Bullshit erzählt und nichts technisch erneuert - sorry, kein Mitleid.
Was wird denn hier versucht zu stülpen?
Wo willst du anfangen? PPPoE war von Anfang an eine Murks-Idee, weil man alte PPP Einwahl- und Abrechnungstechnik nicht ersetzen wollte. Hätte von Angang an PPPoA oder simples IP sein können. Aber nee, dann hätte man was ändern müssen. Zwangstrennung bei Analog/ISDN hatte noch Gründe. Bei IP Anschlüssen wars von Anfang an unsinnig. Privacy wurde da immer vorgeschoben, ist aber quatsch, da man früher Logs eh für Jahre aufbewahrt hat. Und man musste keinen Telefonkanal in der Vermittlungsstelle mehr "freimachen" wie bei alten Telefonsignalen. Spätestens mit Beginn der Flatrates war der ganze Kram kompletter Quatsch. Es gab keinen technischen Grund mehr für Trennung noch für IP-Wechsel außer den Kunden davon abzuhalten seine Leitung dauerhaft zu nutzen und ggf. sogar selbst kleinere Dienste bei sich zu erreichen. War hinter den Kulissen bekannt und in diversen Memos zu lesen.
Wenn du mir jetzt Mitleid für das Geschäftsmodell machen möchtest - sorry dazu habe ich mit zu vielen Leuten aus den Firmen/Providern etc. gesprochen und gehört was da intern läuft als dass ich da nur 1g Mitleid haben könnte für die Beteiligten (egal welcher großen ISPs). Vor allem wenn ich gerade live miterleben kann wie hier im Landkreis die Telekom mit allen Mitteln den Ausbau und die Abdeckung von Breitband eines lokalen Anbieters mit eigenem Backbone massivst boykottiert und sabotiert - wo jetzt schon über Klagen nachgedacht wird. Nope, Sorry.
-
Ich kann Deine Aufregung gut verstehen.
Ich arbeite bei einem kleinen Provider (20 Mitarbeiter). Unser Glasfasernetz ist aber schon relativ groß und wir agieren sicherlich nicht mit Praktiken wie die Telekom Statische IPv6 werden aber auch wir Privatkunden nicht anbieten. Zwangstrennung machen wir zwar nicht, aber bringt dem Kunden auch nix, wenn erst nach 2 Monaten der Präfix wechselt.
Wenn es nach mir ginge, würde man als Kommune den Ausbau des Internets selber in die Hand nehmen und ein Ethernet-basiertes MAN mit dynamischen Routing und Glasfaser von Haus zu Haus (Maschentopologie) aufbauen. Dann kann man die IP Vergabe und andere Details selber bestimmen. Kein PPPoE. Ein vernünftiges Netz, wo man mit Gigabit+ ein Backup auf das NAS bei den Eltern in der gleichen Stadt schieben kann ohne die Daten über die angezapften IX zu schicken.
As a matter of fact arbeite ich bereits an einem Konzept, schreibe dazu einiges auf und arbeite an einer möglichen Lösung allerdings basiert die bisher eher auf Linux/OpenWrt da es dort Wireguard gibt und andere dynamische Routingalgorithmen wie babel, bmx oder batman-adv. Vielleicht hat ja sogar jemand Lust da mitzuwirken -
@pmisch said in IPv6-Adressen erneuern?:
Statische IPv6 werden aber auch wir Privatkunden nicht anbieten. Zwangstrennung machen wir zwar nicht, aber bringt dem Kunden auch nix, wenn erst nach 2 Monaten der Präfix wechselt.
Verstehe zwar den Grund nicht warum man sich selbst das Leben damit schwer macht um überhaupt Mechanismen zu bauen, die dann den Prefix/die Prefixe neu vergeben. Wofür überhaupt erst den ganzen Aufriß nur um zwischen "normal" und "corporate" zu trennen? Ist nicht umsonst so, dass RIPE vorschlägt/vorgibt: Vergebt euren Kunden ein /56 und gut ist. Warum machen es alle so unnötig schwer?
Wenn es nach mir ginge, würde man als Kommune den Ausbau des Internets selber in die Hand nehmen und ein Ethernet-basiertes MAN mit dynamischen Routing und Glasfaser von Haus zu Haus (Maschentopologie) aufbauen
Interessanter Ansatz aber warum überhaupt was neues machen, anstatt einfach an normale Glasring-Backbones anzudocken? Wozu brauche ich im kommunalen Ansatz ein Mesh? Wegen Crypto direkt im Backbone (Wireguard)? Bin ich extrem skeptisch zudem ein Haupt-Gegenargument von Wireguard u.a. immer noch ist, dass das ganze Ding komplett auf einem einzigen Crypto aufbaut und nicht wählbar wie bei OVPN/IPsec. Egal welche Implementierung auf welchem OS - wenn da was broken wäre, müsste man komplett überall alles auf neue Versionen hochziehen um das zu fixen. Einfach mal die Werte ändern wie bei anderen Lösungen geht nicht. Sowas dann noch dazu direkt ins Netz auf Backbone Level zu integrieren bin ich hochgradig skeptisch und wäre mir unangenehm, weil mir dann quasi schon direkt die maximale PPS und Ethernet Parameter gedrückt werden. Gegenüber normalen Ethernet mit MTU von 1500 und Layer 2 würde ich quasi ein Layer2,5/3 Konstrukt bekommen... da wäre mir FTTH doch lieber. Ich mache on demand gern eigene Crypto ohne Overhead.
Aber interessante Idee.
-
@JeGr said in IPv6-Adressen erneuern?:
Interessanter Ansatz aber warum überhaupt was neues machen, anstatt einfach an normale Glasring-Backbones anzudocken?
Weil die Provider immer das machen, was wir nicht wollen und wenn doch nur zu Konditionen, die wir nicht wollen oder können.
Warum nicht mal ein Netz aufbauen, so wie wir das gerne hätten...
Wireguard ist nur mein erster Ansatz. Was ich im Endeffekt nehme wird sich zeigen, aber derzeit gibt es wohl keine bessere / performantere Variante. -
@pmisch OK dann wäre ich (aber ggf. OT in einem anderen Thread ;)) neugierig, was die machen was ihr nicht wollt bzw. viel Geld dafür wollen und was ihr eigentlich gern hättet Weil klingt interessant. :)
aber um für @tpf den Bogen wieder zum Thema zu schlagen: ich denke nicht, dass Regeln für den v6-Adressteil da die Lösung wären, eher ein Workaround fürs Problem wenn man dynamische Prefixe hat.
Allerdings bin ich gespannt, ob seine Clients jetzt so funktionieren (normale v6+PE Adressen) wie er es wollte :)
-
Also ich bekomme einfach ein /48 übergeben und davon ist das 1. /64 das Transportnetz. Mein Provider hat da einfach die pfSense IP als Next Hop eingetragen und gut is.
Mit dieser Lösung habe ich noch nie Probleme gehabt.
-
@JeGr said in IPv6-Adressen erneuern?:
Allerdings bin ich gespannt, ob seine Clients jetzt so funktionieren (normale v6+PE Adressen) wie er es wollte :)
Joar, schaut derweil net so schlecht aus. Danke der Nachfrage!
Dass das WAN seine v6 IP auf Basis seiner MAC erhählt, also keine PE, ist gewünscht, nehme ich an. Was ich interessant finde: Ohne den Haken: "Only request an IPv6 prefix, do not request an IPv6 address" habe ich dauernd Probleme. Es soll wohl also nicht so sein, dass das WAN versucht eine andere IP zu bekommen.
Korrekt?
-
@tpf said in IPv6-Adressen erneuern?:
Korrekt
Das ist immer Providerabhängig, bei mir "darf" es wohl dran bzw. habe keine Probleme damit, manche wollen aber nur das Prefix weitergeben und machen das Routing über die fe80 LinkLocal Adressen, das ist dann auch nicht außergewöhnlich :)
Dass das WAN seine v6 IP auf Basis seiner MAC erhählt, also keine PE, ist gewünscht, nehme ich an
Das ist m.W. die normale/alte Implementation vom RFC dass an Hand der MAC Adresse die ID auswürfelt. Inzwischen gibts aber noch ein neueres RFC was das Generieren anders ohne MAC implementiert, das ist aber IMHO in FreeBSD noch nicht enthalten wenn ich mich recht erinnere.
Somit: Ja ist (noch) normal so, sollte sich ggf. zukünftig ändern um Rückschlüsse via MAC zu minimieren.
Gruß