DDNS IPv6
-
@JeGr Danke. Ich sehe es nicht so dramatisch, weil es handelt sich nur um meine homeserver etc, da will ich jetzt nichts investieren und bin auch nicht vom Fach. Auch scheinen sich die IPv6s eher nicht zu ändern und angewiesen bin ich auch nicht drauf, da ich alles mit IPv4 realisieren kann. Es ist also mehr eine Schönheitssache für mich.
Aber unabhängig davon habe ich vorhin mal kurz gelesen ,was die Unterscheide von DHCP6 und SLAAC wären.
Ist es theoretisch so, dass bei SLAAC der ISP etwas weniger Einsicht in meine Geräte hat? Wenn dem (noch) so ist, wie kann ich SLAAC aktivieren? Einfach nur DHCP6 durch SLAAC ersetzen hat schon mal nicht funktioniert, es gab keine IPv6. -
Danke. Ich sehe es nicht so dramatisch, weil es handelt sich nur um meine homeserver etc, da will ich jetzt nichts investieren und bin auch nicht vom Fach.
Das ist ja kein Invest. Tunnelbroker via he.net ist kostenlos und ein /48er ist da ein Knopfdruck entfernt und sehr schnell und einfach konfigurierbar.
Auch scheinen sich die IPv6s eher nicht zu ändern und angewiesen bin ich auch nicht drauf, da ich alles mit IPv4 realisieren kann. Es ist also mehr eine Schönheitssache für mich.
Sollte tatsächlich heute auch der Fall sein, dass die sich nicht alle Tage, sondern höchstens mal 1-2x im Monat ändern - trotzdem ungünstig wenns mitten am Tag ist und man grad auf dem Dienst ist :/
Ist es theoretisch so, dass bei SLAAC der ISP etwas weniger Einsicht in meine Geräte hat? Wenn dem (noch) so ist, wie kann ich SLAAC aktivieren? Einfach nur DHCP6 durch SLAAC ersetzen hat schon mal nicht funktioniert, es gab keine IPv6.
Das kommt drauf an, was du tust. Im Normalfall gibt ja nicht der Provider den Endgeräten/Serner per DHCP6 die Adresse, sondern deine Box und du bekommst vom ISP nur das Prefix. Ich weiß natürlich aber nicht wie du das aufgesetzt hast.
Bei SLAAC wird (alt) die MAC Adresse bzw. eine ID (neu) verwürfelt und damit der Adresspart (back 64 bits) quasi fest definiert während sich der Prefixpart ändert und ggf. neu vergeben wird. Aus
2001:db8:0123:ad00:1:2:3:4wird dann
2001:db8:4567:e1af:1:2:3:4aber die
::1:2:3:4bleibt konstant. Trotz SLAAC kann sich der Client bei aktivierten privacy extensions aber auch noch temporäre Adressen vergeben, die zusätzlich aufs Interface kommen und bei Verbindungsaufbau genutzt werden. Client geht also mit "random-IP6-1" raus, ist aber über "SLAAC-IP6" trotzdem erreichbar. Nach X Minuten/Stunden wird "random-IP6-1" dann deprecated und wird durch -2 ersetzt, -1 bleibt aber deprecated auf dem Interface sollte noch irgendwelcher Rücktraffic ankommen, damit der nicht ins Leere läuft. Das irritiert viele, warum da mehrere temporary Adressen und fast alle deprecated davon sind.Da die SLAAC Adressen vom Gerät bestimmt werden, hat der DHCP6 nichts damit zu tun. Wenn du das übern ISP vergeben lässt, dann ja, bekommt der ggf. etwas weniger mit. Da die IP6 Geräte bei SLAAC aber nen kurzen Check via Broadcast machen, ob die gewünschte Adresse noch frei ist, könnte das der Provider - wenn du das IP6 Segment nicht hinter der pfSense hast - trotzdem "mitlesen" wenn er wollte. Hängt also wie oben gesagt ganz von deinem Netzaufbau ab, weswegen ich das "ich nutze den Bereich zwischen ProviderBox und pfSense als DMZ", was einige User nutzen, eher kritisch sehe zumal ich der Providerbox - egal welcher - nie vertraue und sie stets versuche als "Internet" bzw. potentiell unsicher zu behandeln.
Daher würde ich einfach einen IP6 Tunnel via he.net machen, statisches Prefix, schön statische IP6 vergeben und mit dem Rest vom ISP einfach "spielen" - aber dann laufen deine Dienste fix unter der statische IP6 und gut. :)
-
Das kommt drauf an, was du tust. Im Normalfall gibt ja nicht der Provider den Endgeräten/Serner per DHCP6 die Adresse, sondern deine Box und du bekommst vom ISP nur das Prefix. Ich weiß natürlich aber nicht wie du das aufgesetzt hast.
Ich hab die Standardeinstellungen in pfSense gelassen und nichts aufgesetzt. Mir ist aber aufgefallen, dass sich der prefix (vermeintlich, weil bin relativ unwissend) von der WAN-Adresse der pfSense von denen der LAN-Devices unterscheidet... Kann ich daraus folgern, dass es bei mir so läuft wie von dir beschrieben? Und würde das dann implizieren, dass der ISP eben keinen genauen Einblick erhält und somit SLAAC keinen "Vorteil" für mich hätte?
"ich nutze den Bereich zwischen ProviderBox und pfSense als DMZ", was einige User nutzen, eher kritisch sehe zumal ich der Providerbox - egal welcher - nie vertraue und sie stets versuche als "Internet" bzw. potentiell unsicher zu behandeln.
Wäre dann mein "Aufbau" (also eigentlich alles OOTB) wie oben Beschrieben jetzt "sicher" oder siehst Du da noch Potential für Verbesserung?
-
von der WAN-Adresse der pfSense von denen der LAN-Devices unterscheidet... Kann ich daraus folgern, dass es bei mir so läuft wie von dir beschrieben? Und würde das dann implizieren, dass der ISP eben keinen genauen Einblick erhält und somit SLAAC keinen "Vorteil" für mich hätte?
Wenn du das Prefix auf WAN abholst und im LAN dann via Track Interface verteilst, dann bekommen Geräte im LAN via DHCP6 auf der pfSense ihre Adresse - oder eben via SLAAC. Normalerweise setzt man beides auf, da SLAAC keine Details wie DNS oder NTP vergeben kann, DHCP6 wird dafür dann gebraucht und gibt die Infos auf Anfrage dann raus. Daher greifen eh meist beide ineinander. Ausnahme sind m.W. Android Geräte, die m.W. leider NUR SLAAC können und denen Google aus bekloppten Gründen kein DHCP6 spendiert hat. Hat man also nur DHCP6 konfiguriert, funktionieren Mobiles nicht.
Wäre dann mein "Aufbau" (also eigentlich alles OOTB) wie oben Beschrieben jetzt "sicher" oder siehst Du da noch Potential für Verbesserung?
schwer zu sagen, da müsstest du etwas detaillierter zu deiner Konfiguration was schreiben, dann kann ich gern was dazu sagen.
-
schwer zu sagen, da müsstest du etwas detaillierter zu deiner Konfiguration was schreiben, dann kann ich gern was dazu sagen.
Da wüsste ich nicht, was ich beschreiben könnte, da wirklich alles default, versuche es aber mal mit einem Screenshot, vielleicht sagt der was aus und diesen bitte nicht quoten, falls ich ihn doch noch weiter zensieren muss.
Habe mal gerade auf meinem Androidphone im heimischen Wifi einen Test gemacht, zumindest da geht IPv6 ohne Probleme, aber ja, die pfSense macht in ihrem eigenen DHCPv6 Server wohl irgendwas (SLAAC? Steht da nicht).
-
OK das ist das Interface, aber wie ist bspw. der DHCP6 Server konfiguriert und wie das Interface selbst? WAN auf DHCP6? LAN auf Track Interface?
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
This post is deleted! -
@JeGr Genau.
Was ich auch nicht verstehe, warum habe ich sowohl in Windows als auch ubuntu zwei globale IPv6 Adressen, welche nicht privacy Extensions sind, wobei die eine im interface identifier sehr viele Nullen enthält, die andere nicht.
Könnte diejenige mit den vielen Nullen von DHCP6-Server der pfSense kommen?
Und die andere wird vom jeweiligen OS selbst generiert oder vom ISP zugewiesen?
-
Kommt drauf an was es für IP6 sind. Wie sind denn die Router Advertisements eingestellt? Assisted? Managed?
-
@JeGr Konnte inzwischen bestätigen, dass die mit den Nullen vom DHCP kamen, eigentlich auch offensichtlich.
