Nutzt ihr IPV6?



  • Hallo zusammen,

    ich nutze seit vielen Jahren PfSense in Verbindung mit einem Vigor 130 Modem und der Telekom.
    Von Beginn an habe ich nur IPV4 eingerichtet, da ich mich mit IPV6 bzw. Dual-Stack nie beschäftigt habe.
    Ich sehe aktuell eher sogar Nachteile: Ich müsste PfBlocker auch mit IPV6 Listen versorgen und ggf. auch bei Firewall Rules etwas anpassen. Auch Snort müsste doch sicher auch angepasst werden, oder?
    Wie seht Ihr das? Nutzt ihr IPV6 über Euren Provider? Seht Ihr da Vorteile?



  • @renegade said in Nutzt ihr IPV6?:

    ich nutze seit vielen Jahren PfSense in Verbindung mit einem Vigor 130 Modem und der Telekom.
    Wie seht Ihr das? Nutzt ihr IPV6 über Euren Provider? Seht Ihr da Vorteile?

    Hi,

    meine Konfiguration ähnelt im großen Maße der Deinen und ich habe zurzeit keinen Anlass gesehen IPv6 zu aktivieren - im Gegenteil: habe bei mehreren Maschinen in meinem Netzwerk die IPv6-Fähigkeit deaktiviert. Langfristig wird man sich aber Wohl oder Übel damit beschäftigen müssen ... ;-)

    Schönen Tach,
    fireodo



  • Natürlich nutze ich IPv6, da es das aktuelle Internetprotokoll ist. Leider gibt es mit pfSense und dynamischen Prefixen jedoch Probleme beim Dual WAN, weshalb ich es nur auf meinem WAN1 nutze und die Backupleitung zwar IPv6 aktiv hat, aber das Gateway nicht nutzt.


  • LAYER 8 Moderator

    @renegade said in Nutzt ihr IPV6?:

    Wie seht Ihr das?

    Anders. Man muss sich so oder so Gedanken um v6 machen und lernen, damit umzugehen. Da wird's Zeit. Das einfach immer weiter rauszublocken verschiebt nur unnötig den Zeitpunkt sich damit auseinanderzusetzen.
    Warum ist das auch böse? pfBNG kann problemlos v6 Listen reinholen. Was ist daran anders als mit v4? Es ist eben ein weiterer Regeleintrag.
    Firewall Regeln muss man immer im Griff haben. Das Einzige was man da aber überlegen muss ist, was man freigibt und was nicht. Nicht einen Deut anders, als bei IPv4. Wo ist also das Problem? Eingehend erstmal nichts, ausgehend wie man möchte. Wenn man intern mit Globalen Adressen arbeitet, muss man sich nur bewusst sein, dass die technisch erreichbar wären, wenn nicht auf dem WAN "block any" aktiv ist! Somit ist das auch nicht weniger oder mehr sicher als mit IPv4 und dem ollen NAT was keiner will.

    Nutzt ihr IPV6 über Euren Provider?

    Sowohl Provider als auch Tunnel wegen statischem Prefix. Leider verhunzt das ganze dynamische Prefix Schlonzzeugs den Sinn und Nutzen von v6 ziemlich :/

    Seht Ihr da Vorteile?

    Natürlich. Als RIPE Member sehen wir die v4 Statistiken und Nutzungen. Es gibt schlichtweg eben keine Adressen/-blöcke mehr. Es ist ein einziges Geschachere, wer noch wo von wem wieviele Adressen abluchsen kann oder wer aus alten Tagen noch auf riesigen Beständen sitzt. Ändert aber nichts daran, dass der v4 Adressraum - zumindest in Europa - eigentlich durch ist. Und mit den ganzen neuen Anschlüssen und DS-Lite bzw. CGNs sehen wir gerade im Hosting ein ganz neues Problem: In Überlast Zeiten sind dann plötzlich Dienste und Seiten nicht mehr erreichbar. Warum? Weil die CGNs überlastet sind (weil Hardware Geld kostet) und die Dienste kein v6 haben. Mehr v6 Nutzung bei Providern und Benutzern zwingt endlich auch die faulsten Hoster und Dienstanbieter, endlich ihren Hintern hochzubekommen und ihren Kram v6 fähig zu machen. Wie viele Toolkits und Entwicklungswerkzeuge sowie Hoster heute immer noch nicht v6 fähig sind, ist eigentlich ein Trauerspiel. Und gerade bspw. im Mobilfunk ist das ebenso ein Thema. Immer mehr mobile Geräte, keine IP4 mehr möglich, dann CGN etc. und man wundert sich warum die Seite nicht lädt. DNS Check: gnampf, v4 only. Und dann wundert man sich, wenn nichts lädt. Da muss sich endlich jeder an die Nase packen, damit es nicht auf ewig ein stumpf-dummes Henne-Ei-Schuldzuschieb-Problem wird.


  • Rebel Alliance

    Klinke mich hier mal ein.

    Möchte mich gerne mit IPv6 beschäftigen, indem ich langsam anfange und z.B. das Gäste-WLAN im reinen IPv6 laufen lassen möchte. Die Gäste haben ein eigenes Netzwerksegment, daher sehe ich das recht entspannt.
    Nutze ein Non Business VDSL Zugang der DTAG mit Dual Stack inkl dynamischen Präfix.

    Da stehen noch fragen im Raum wie: Wie wird das gehändelt mit dem CP auf der Sense, oder die DNS Abfrage, ohne NAT?

    WAN und das Gästenetzwerk hatten schon eine IPv6 Adresse, habe es, bedingt durch den permanent 5 sekündigen Restart vom Resolver, wieder zurückgebaut.

    Ziel ist es, komplett auf IPv6 zu gehen.

    Mike


  • LAYER 8 Moderator

    @mike69 said in Nutzt ihr IPV6?:

    Da stehen noch fragen im Raum wie: Wie wird das gehändelt mit dem CP auf der Sense, oder die DNS Abfrage, ohne NAT?

    CP kann ich gerade nicht sagen, aber was hat "ohne NAT" mit DNS Abfrage o.ä. zu tun? Oder was meinst du damit? :)

    Ziel ist es, komplett auf IPv6 zu gehen.

    Tatsächlich könnte das noch schwierig werden, leider aus mehreren Gründen. Wie z.B. dass es leider aktuell keinen NAT64 Proxy gibt auf der pfSense, mit dem man Anfragen an v4 aus einem v6-only Netz umbauen kann. Weil es eben leider etliche faule kleine Anbieter gibt, die immer noch 199x auf der Uhr haben und bei denen IPv6 mit "Kann man das Essen?" beantwortet wird ;) Daher ist das wirklich schwierig, aber ich will demnächst auch mal mit einem internen IPv6 only Netz testen, allerdings eben nur für interne Dienste o.ä. und mit bspw. HAProxy auf der pfSense als 4to6 Helper. Sowas wie bspw. einen Webserver intern v6 only zu machen. Oder DNS. Und dann kommen natürlich diese unsäglich dynamischen v6 Prefixe noch ins Spiel... nerv Hierfür hoffe ich noch auf eine NPt Ergänzung o.ä. damit man intern ein LUA Netz (fdXY...) konfigurieren kann und von außen (wie bei MultiWAN v6) dann einfach die entsprechenden ausgehenden NPt Einstellungen definiert (bspw. Mappe Prefix FDxy:xyza:...::/64 ausgehend auf 2001:xyza...) damit die Sachen auch erreichbar sind. Oder eben über v6 Tunnelprovider - leider.


  • Rebel Alliance

    @JeGr said in Nutzt ihr IPV6?:

    CP kann ich gerade nicht sagen, aber was hat "ohne NAT" mit DNS Abfrage o.ä. zu tun? Oder was meinst du damit? :)

    "ohne NAT" bezog sich auf beides, DNS und CP. :)

    DNS lauscht auf Port 53 und CP auf Port 8000 oder 8001? Wie läuft das bei IPv6?
    Cloudflare nutzt als DNS Server die IPv6 2606:4700:4700::1111, wie bekomme ich heraus, welche Dienste unter einer IPv6 Adresse laufen? Hat jeder Dienst eine eigene IP Adresse?

    Ja, mach mal dein internes IPv6 Netz. :)
    Bleibst du da in deinem ::/56 Präfix vom ISP, oder nutzt du die Link-Local-Adressen fe80::/64?

    Mal sehen. wann es soweit ist, alle Ressoucen in IPv6 zunutzen... :)


  • LAYER 8 Moderator

    @mike69 said in Nutzt ihr IPV6?:

    DNS lauscht auf Port 53 und CP auf Port 8000 oder 8001? Wie läuft das bei IPv6?

    Genauso, warum sollte sich daran etwas ändern? Ports bleiben Ports ;)

    Cloudflare nutzt als DNS Server die IPv6 2606:4700:4700::1111, wie bekomme ich heraus, welche Dienste unter einer IPv6 Adresse laufen? Hat jeder Dienst eine eigene IP Adresse?

    Nö, auf die IP hört genau der gleiche Kram, wie auf die 1.1.1.1. Sprich wenn du die IP6 direkt im Browser aufmachst, kommt genau wie bei der 1.1.1.1 die gleiche Infoseite.

    Siehe https://[2606:4700:4700::1111]/

    Man kann nun natürlich hergehen - dank genügend IP6 Adress Pool Größe - und wirklich Dienste auf eigene IP6 Adressen binden. Macht ggf. sogar Sinn, da dann Fehler in Regelkonfigurationen (Port any statt Port 53 bspw.) weniger Impact haben, wenn auf dem Zielsystem auch wirklich die Dienste alle sauber auf eigene IP6s gebunden sind. OB du das aber tust und in welchem Ausmaß, liegt völlig an dir. Du kannst genauso wie bislang auch alles auf der gleichen Adresse laufen lassen. Manchmal hast du da auch gar keine andere Chance, da du bspw. bei vServern o.ä. eh nur eine IP6 bekommst.

    Ja, mach mal dein internes IPv6 Netz. :)

    Ich hab ja schon welche, aber noch kein v6 only ;) Muss aber erstmal noch zusehen, wie ich fd:: ULA Netz und GUA Netze gleichzeitig auf die Kiste bekomme - oder Prefix Translation konfiguriere. Braucht Zeit sich da mal den Kopf zu machen.

    Bleibst du da in deinem ::/56 Präfix vom ISP, oder nutzt du die Link-Local-Adressen fe80::/64?

    Da ich kein MultiWAN habe, theoretisch beide, allerdings habe ich auch noch ein /64 und ein /48 via Tunnelbroker, somit könnte ich ggf. auch NPt mal antesten. Zumindest auf der statischen Seite, die UM dynamischen Prefixe sind da eher nervig für.



  • @mike69 said in Nutzt ihr IPV6?:

    Adresse?
    Ja, mach mal dein internes IPv6 Netz. :)
    Bleibst du da in deinem ::/56 Präfix vom ISP, oder nutzt du die Link-Local-Adressen fe80::/64?

    Ich nutze lokal den ISP Prefix.
    Bei IPV4 arbeite ich mit DHCP und IP Zuweisungen auf Mac adressen. Der DNS kann diese Hosts auflösen. Bekomme ich das auch mit den ISP IPV6 hin?


  • Rebel Alliance

    @JeGr said in Nutzt ihr IPV6?:

    Genauso, warum sollte sich daran etwas ändern? Ports bleiben Ports ;)

    Also werden wir die Portfreigaben nicht los....
    Gerade gesehen, es gibt noch Seiten, welche keine IPv6 haben wie die OFDB.

    Muss auch erstmal rausfinden, warum der Resolver laufend stirbt, sobald ich eine IPv6 vom Provider bekomme.



  • So, meine Frage konnte ich selber lösen. Für static mappings RA auf assisted stellen und man nutzt SLAAC für's Routing in's Internet und kann den DHCP noch für lokale Auflösung nutzen.

    Was mich wurmt: Auf meinem iPhone geht nun kein Netflix mehr. Sobald ich IPV6 nutze sagt mir die App, ich hätte kein Internet mehr.
    Daher habe ich erstmal das RA wieder deaktiviert.



  • @renegade Ist ein bekanntes Problem, die Netflix App auf dem iPhone/iPad funktioniert seit ein paar Monaten nicht mehr mit aktivierten IPv6.
    https://forum.netgate.com/topic/147282/netflix-app-auf-apple-ipad-iphone/3


  • Rebel Alliance

    Also wird das IPv6 Projekt erst mal ad acta gelegt. Netflix und Co sind lebenswichtig in der Family.


  • LAYER 8 Moderator

    @mike69 said in Nutzt ihr IPV6?:

    Also werden wir die Portfreigaben nicht los....

    Was haben die mit allem zu tun? Webserver laufen trotzdem auf Port 443. Woran die IP technisch gebunden sind, ist doch erstmal Latte ;) Warum sollte mit IPv6 dann plötzlich sich alle Technik ändern und nur noch mit IPs funktionieren? Die wollte auch niemand loswerden.

    @mike69 said in Nutzt ihr IPV6?:

    Gerade gesehen, es gibt noch Seiten, welche keine IPv6 haben wie die OFDB.

    Leider ja. Dafür wäre dann ein lokaler NAT64 Gateway sehr praktisch, der quasi das umgekehrte Prinzip zu DS-Lite macht.

    @mike69 said in Nutzt ihr IPV6?:

    Also wird das IPv6 Projekt erst mal ad acta gelegt. Netflix und Co sind lebenswichtig in der Family.

    Da gehts ja um iPhone/iPad? Das ein Grund?

    @renegade said in Nutzt ihr IPV6?:

    Für static mappings RA auf assisted stellen und man nutzt SLAAC für's Routing in's Internet und kann den DHCP noch für lokale Auflösung nutzen.

    Jap, leider ist genau das ein Problem, wenn sich Prefixe (häufiger) ändern, denn dann muss sich der RA erst im Netz verbreiten, alle Geräte ein neues Prefix adaptieren und dann neue Temp Adressen nutzen. Kommt so ein Wechsel zur Tageszeit, kanns dann schonmal sein, dass man kurzzeitig seine anderen Geräte nicht mehr erreicht, je nachdem wer wie schnell die IP6 geändert hat. Nervig :/


  • Rebel Alliance

    Was soll ich sagen, war bis vor kurzem felsenfest davon überzeugt, dass das ganze geNATte und die Portfreigaben durch den grösseren Adressraum entfällt, quasi das die Ports in die IP verschwinden. Bis vor kurzem war ich genau dieser Meinung. 😕

    @mike69 said in Nutzt ihr IPV6?:

    Also wird das IPv6 Projekt erst mal ad acta gelegt. Netflix und Co sind lebenswichtig in der Family.

    Da gehts ja um iPhone/iPad? Das ein Grund?

    Nicht der Grund, einer von Vielen.

    @JeGr said in Nutzt ihr IPV6?:

    Jap, leider ist genau das ein Problem, wenn sich Prefixe (häufiger) ändern, denn dann muss sich der RA erst im Netz verbreiten, alle Geräte ein neues Prefix adaptieren und dann neue Temp Adressen nutzen. Kommt so ein Wechsel zur Tageszeit, kanns dann schonmal sein, dass man kurzzeitig seine anderen Geräte nicht mehr erreicht, je nachdem wer wie schnell die IP6 geändert hat. Nervig :/

    Hier ist noch ein Grund. Ist das ändern der Präfixe sicherheitsrelevant? Ich weiss, ist nur nervig und nicht kriegsentscheidend. Nur, wenn sich die Präfixe ändern, wie verhält es sich mit den Regeln? Irgendwie werde ich nicht warm mit der Sache. Nochmal bisschen schlau lesen...

    mike


  • LAYER 8 Moderator

    @mike69 said in Nutzt ihr IPV6?:

    Hier ist noch ein Grund. Ist das ändern der Präfixe sicherheitsrelevant? Ich weiss, ist nur nervig und nicht kriegsentscheidend. Nur, wenn sich die Präfixe ändern, wie verhält es sich mit den Regeln? Irgendwie werde ich nicht warm mit der Sache. Nochmal bisschen schlau lesen...

    Für den Schwachsinn kann IPv6 nichts. Da muss man sich bei den gleichen Typen beschwehren, die uns auch Zwangstrennung und schnell wechselnde dynamische IPv4s eingebrockt hatten. Die kamen auf die tolle Idee mit den dynamischen Prefixen. Und ja das ist großer Mist. Da kann aber wie gesagt v6 nix für.



  • Wenn ich RA auf "unmanaged" setze und der router also den Prefix vom Provider an die Geräte weiter gibt, kann ich irgendwo sehen, welche IP ein Gerät erhalten hat vom Provider ohne im Gerät selber nachzusehen?



  • @renegade Unter Diagnose / NDP-Tabelle siehst du alle vergebenen IPv6 Adressen.


Log in to reply