DDNS IPv6



  • Ist eigentlich ein Doppelpost im englischsprachigen Bereich, aber ich fürchte, ich kriege eh nirgends eine Antwort.

    Ich habe daheim mehrere "Server" laufen und dieses mal IPv6 nicht in pfSense deaktiviert... also Dual-Stack.
    Wie bekomme ich nun meine Server auch über DDNS in Verbindung mit IPv6 erreichbar? IPv4 mit NAT und DDNS ist kein Problem, ich mache DDNS bei Cloudflare, aber wie das selbe mit IPv6 ohne NAT machen?

    Und welche IPv6 überhaupt nehmen, da sind mehrere zur Auswahl, neben link-local und temporary, die natürlich nicht in Frage kommen auch zwei, die ähnlich aussehen, eine enthält aber ne Menge Nullen.


  • LAYER 8 Moderator

    Moin,

    Ich habe daheim mehrere "Server" laufen und dieses mal IPv6 nicht in pfSense deaktiviert... also Dual-Stack.

    Nur weil nicht deaktiviert heißt ja nicht automatisch Dual-Stack ;)
    Wie hast du IPv6 denn konfiguriert?

    Wie bekomme ich nun meine Server auch über DDNS in Verbindung mit IPv6 erreichbar? IPv4 mit NAT und DDNS ist kein Problem, ich mache DDNS bei Cloudflare, aber wie das selbe mit IPv6 ohne NAT machen?

    Hängt von der Antwort eins drüber ab. Wie ist denn IPv6 auf dem/den Interfaces konfiguriert? Track Interface? Und wie holen sich die Server die Adresse?



  • @JeGr Hatte schon ne heftige Diskussion im englischen Bereich, aber recht ergebnislos.
    Also Momentan ist DHCP6 eingestellt und Track Interface

    und auch per IPv6 erreichbar, nur wie automatisiere ich ggf. die IP-Updates.


  • LAYER 8 Moderator

    Ah. Das ist natürlich ungünstig. Je nach Server würde es funktionieren über den Cloudflare API Key die aktuelle IPv6 vom Server zu pushen. CF hat ja recht geringe TTLs so dass das innerhalb von Minuten funktioniert. Je nach Service und Möglichkeit ist das aber "unbefriedigend" gerade wenn man nicht weiß wann das Prefix Change kommt und wann ggf. die Server sich dann aktualisieren.

    In dem Fall würde ich gar nicht lange rumspielen mit DHCP6 und mir statt dessen einfach einen Tunnel von he.net holen, auf der pfSense einrichten (am besten gleich mit /48er Prefix gebucht) und dann schönes sauberes statisches IPv6 vergeben. Theoretisch könnte man sogar beide Prefix Bereiche (den dynamischen und statischen) parallel auflegen, dass der Server via statischer IP6 erreichbar ist aber mit dem dynamischen Prefix vom DHCP6 auch von sich aus rausgehen kann (für Updates o.ä.). Wäre durchaus denkbar.

    Was anderes war glaube ich ein DynDNS Dienst, der für alle IPv6 Adressen immer nur einmal das Prefix geändert hat. Hat sich also das Prefix beim ISP geändert, musste man nur ein Update machen und alle Adressen hatten das neue Prefix - ich weiß aber nicht obs den Dienst noch gibt oder was ähnliches irgendwo. Ist praktisch, da die IP6 bei DHCP6 ja berechnet wird und dann bleibt (also die /64 Adressbits ggü der /64 Prefixbits) - wenn dann die Server alle im gleichen Segment stehen könnte man somit auf einen Rutsch alle updaten.



  • @JeGr Danke. Ich sehe es nicht so dramatisch, weil es handelt sich nur um meine homeserver etc, da will ich jetzt nichts investieren und bin auch nicht vom Fach. Auch scheinen sich die IPv6s eher nicht zu ändern und angewiesen bin ich auch nicht drauf, da ich alles mit IPv4 realisieren kann. Es ist also mehr eine Schönheitssache für mich.

    Aber unabhängig davon habe ich vorhin mal kurz gelesen ,was die Unterscheide von DHCP6 und SLAAC wären.
    Ist es theoretisch so, dass bei SLAAC der ISP etwas weniger Einsicht in meine Geräte hat? Wenn dem (noch) so ist, wie kann ich SLAAC aktivieren? Einfach nur DHCP6 durch SLAAC ersetzen hat schon mal nicht funktioniert, es gab keine IPv6.


  • LAYER 8 Moderator

    @Bob-Dig said in DDNS IPv6:

    Danke. Ich sehe es nicht so dramatisch, weil es handelt sich nur um meine homeserver etc, da will ich jetzt nichts investieren und bin auch nicht vom Fach.

    Das ist ja kein Invest. Tunnelbroker via he.net ist kostenlos und ein /48er ist da ein Knopfdruck entfernt und sehr schnell und einfach konfigurierbar.

    Auch scheinen sich die IPv6s eher nicht zu ändern und angewiesen bin ich auch nicht drauf, da ich alles mit IPv4 realisieren kann. Es ist also mehr eine Schönheitssache für mich.

    Sollte tatsächlich heute auch der Fall sein, dass die sich nicht alle Tage, sondern höchstens mal 1-2x im Monat ändern - trotzdem ungünstig wenns mitten am Tag ist und man grad auf dem Dienst ist :/

    Ist es theoretisch so, dass bei SLAAC der ISP etwas weniger Einsicht in meine Geräte hat? Wenn dem (noch) so ist, wie kann ich SLAAC aktivieren? Einfach nur DHCP6 durch SLAAC ersetzen hat schon mal nicht funktioniert, es gab keine IPv6.

    Das kommt drauf an, was du tust. Im Normalfall gibt ja nicht der Provider den Endgeräten/Serner per DHCP6 die Adresse, sondern deine Box und du bekommst vom ISP nur das Prefix. Ich weiß natürlich aber nicht wie du das aufgesetzt hast.

    Bei SLAAC wird (alt) die MAC Adresse bzw. eine ID (neu) verwürfelt und damit der Adresspart (back 64 bits) quasi fest definiert während sich der Prefixpart ändert und ggf. neu vergeben wird. Aus

    2001:db8:0123:ad00:1:2:3:4
    

    wird dann

    2001:db8:4567:e1af:1:2:3:4
    

    aber die ::1:2:3:4 bleibt konstant. Trotz SLAAC kann sich der Client bei aktivierten privacy extensions aber auch noch temporäre Adressen vergeben, die zusätzlich aufs Interface kommen und bei Verbindungsaufbau genutzt werden. Client geht also mit "random-IP6-1" raus, ist aber über "SLAAC-IP6" trotzdem erreichbar. Nach X Minuten/Stunden wird "random-IP6-1" dann deprecated und wird durch -2 ersetzt, -1 bleibt aber deprecated auf dem Interface sollte noch irgendwelcher Rücktraffic ankommen, damit der nicht ins Leere läuft. Das irritiert viele, warum da mehrere temporary Adressen und fast alle deprecated davon sind.

    Da die SLAAC Adressen vom Gerät bestimmt werden, hat der DHCP6 nichts damit zu tun. Wenn du das übern ISP vergeben lässt, dann ja, bekommt der ggf. etwas weniger mit. Da die IP6 Geräte bei SLAAC aber nen kurzen Check via Broadcast machen, ob die gewünschte Adresse noch frei ist, könnte das der Provider - wenn du das IP6 Segment nicht hinter der pfSense hast - trotzdem "mitlesen" wenn er wollte. Hängt also wie oben gesagt ganz von deinem Netzaufbau ab, weswegen ich das "ich nutze den Bereich zwischen ProviderBox und pfSense als DMZ", was einige User nutzen, eher kritisch sehe zumal ich der Providerbox - egal welcher - nie vertraue und sie stets versuche als "Internet" bzw. potentiell unsicher zu behandeln.

    Daher würde ich einfach einen IP6 Tunnel via he.net machen, statisches Prefix, schön statische IP6 vergeben und mit dem Rest vom ISP einfach "spielen" - aber dann laufen deine Dienste fix unter der statische IP6 und gut. :)



  • @JeGr said in DDNS IPv6:

    Das kommt drauf an, was du tust. Im Normalfall gibt ja nicht der Provider den Endgeräten/Serner per DHCP6 die Adresse, sondern deine Box und du bekommst vom ISP nur das Prefix. Ich weiß natürlich aber nicht wie du das aufgesetzt hast.

    Ich hab die Standardeinstellungen in pfSense gelassen und nichts aufgesetzt. Mir ist aber aufgefallen, dass sich der prefix (vermeintlich, weil bin relativ unwissend) von der WAN-Adresse der pfSense von denen der LAN-Devices unterscheidet... Kann ich daraus folgern, dass es bei mir so läuft wie von dir beschrieben? Und würde das dann implizieren, dass der ISP eben keinen genauen Einblick erhält und somit SLAAC keinen "Vorteil" für mich hätte?

    "ich nutze den Bereich zwischen ProviderBox und pfSense als DMZ", was einige User nutzen, eher kritisch sehe zumal ich der Providerbox - egal welcher - nie vertraue und sie stets versuche als "Internet" bzw. potentiell unsicher zu behandeln.

    Wäre dann mein "Aufbau" (also eigentlich alles OOTB) wie oben Beschrieben jetzt "sicher" oder siehst Du da noch Potential für Verbesserung?


  • LAYER 8 Moderator

    @Bob-Dig said in DDNS IPv6:

    von der WAN-Adresse der pfSense von denen der LAN-Devices unterscheidet... Kann ich daraus folgern, dass es bei mir so läuft wie von dir beschrieben? Und würde das dann implizieren, dass der ISP eben keinen genauen Einblick erhält und somit SLAAC keinen "Vorteil" für mich hätte?

    Wenn du das Prefix auf WAN abholst und im LAN dann via Track Interface verteilst, dann bekommen Geräte im LAN via DHCP6 auf der pfSense ihre Adresse - oder eben via SLAAC. Normalerweise setzt man beides auf, da SLAAC keine Details wie DNS oder NTP vergeben kann, DHCP6 wird dafür dann gebraucht und gibt die Infos auf Anfrage dann raus. Daher greifen eh meist beide ineinander. Ausnahme sind m.W. Android Geräte, die m.W. leider NUR SLAAC können und denen Google aus bekloppten Gründen kein DHCP6 spendiert hat. Hat man also nur DHCP6 konfiguriert, funktionieren Mobiles nicht.

    Wäre dann mein "Aufbau" (also eigentlich alles OOTB) wie oben Beschrieben jetzt "sicher" oder siehst Du da noch Potential für Verbesserung?

    schwer zu sagen, da müsstest du etwas detaillierter zu deiner Konfiguration was schreiben, dann kann ich gern was dazu sagen.



  • @JeGr said in DDNS IPv6:

    schwer zu sagen, da müsstest du etwas detaillierter zu deiner Konfiguration was schreiben, dann kann ich gern was dazu sagen.

    Da wüsste ich nicht, was ich beschreiben könnte, da wirklich alles default, versuche es aber mal mit einem Screenshot, vielleicht sagt der was aus und diesen bitte nicht quoten, falls ich ihn doch noch weiter zensieren muss. 😉

    Habe mal gerade auf meinem Androidphone im heimischen Wifi einen Test gemacht, zumindest da geht IPv6 ohne Probleme, aber ja, die pfSense macht in ihrem eigenen DHCPv6 Server wohl irgendwas (SLAAC? Steht da nicht).


  • LAYER 8 Moderator

    OK das ist das Interface, aber wie ist bspw. der DHCP6 Server konfiguriert und wie das Interface selbst? WAN auf DHCP6? LAN auf Track Interface?



  • This post is deleted!


  • @JeGr Genau.

    Was ich auch nicht verstehe, warum habe ich sowohl in Windows als auch ubuntu zwei globale IPv6 Adressen, welche nicht privacy Extensions sind, wobei die eine im interface identifier sehr viele Nullen enthält, die andere nicht.
    Könnte diejenige mit den vielen Nullen von DHCP6-Server der pfSense kommen?
    Capture2.JPG

    Und die andere wird vom jeweiligen OS selbst generiert oder vom ISP zugewiesen?


  • LAYER 8 Moderator

    Kommt drauf an was es für IP6 sind. Wie sind denn die Router Advertisements eingestellt? Assisted? Managed?



  • @JeGr Konnte inzwischen bestätigen, dass die mit den Nullen vom DHCP kamen, eigentlich auch offensichtlich.


Log in to reply