temporäre IPv6 Adresse

ghostadmin

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
25.179
Renomée
184
Standort
Dahoam Studios
Ich habe mich mit dieser ganzen IP6 Thematik noch nicht so befasst, in der Fritzbox habe ich folgende Option an:

DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
FRITZ!Box als DNS-Server via DHCPv6 bekannt geben. Teile des vom Internetanbieter zugewiesenen IPv6-Netzes an nachgelagerte Router weitergeben. Geräte im Heimnetzwerk bekommen eine IPv6-Adresse via DHCPv6 zugewiesen.

Ein Windows Client bekommt auch eine temporäre Adresse zugewiesen, nur bei einem Linux Rechner sehe ich nach wie vor Teile der MAC und dort steht:
iface eth0 inet6 dhcp
Mit dhcp statt auto soll ja ein stateful DHCP server angesprochen werden können. Was mache ich falsch?
Die temporäre Adresse soll Bestandteil von IA_TA sein und nicht nur bei SLAAC stateless DHCP.
Glaube in c'T 10/16 müsste das so stehen das die Fritzbox IA_TA bei stateful sendet.
Kann doch nicht sein das man da erst anfangen muss die MAC Adresse zu ändern.
 
Also normalerweise geht das per Standard stateless, also per SLAAC, und ohne DHCP. Da wird nur das Subnet bekannt gegeben, und die Clients sind selbst verantwortlich für die feste (basierend auf MAC) und temporäre (zufällige) Adresse festzulegen.
 
Nur kommt bei Linux keine temporäre Adresse an, eine mit fe80 welche nur intern ist und eine (global) mit dem richtigen Präfix aber mit der MAC drin.

Hier steht das man das erst aktivieren muss:
https://home.regit.org/2011/04/ipv6-privacy/
Aber die Adresse gilt default nur für 1 Tag und man bekommt dann wieder eine neue? Das ist ja auch nicht so toll wenn man NAT benutzt.
 
Ja, Du musst es aktivieren. Siehe auch z.B. hier. Bei IPv6 brauchst Du kein NAT (wenn überhaupt NPT), und für eingehende Verbindungen sollte ehh nicht die Temp-Adresse verwendet werden.
 
In der Fritzbox taucht bei ipv6 Freigaben weder der Windows Host, noch der Linux Host auf (nur ein Android Telefon). Wenn ich den Host manuell eintrage komme ich von aussen nur auf die Fritzbox selbst.

Wenn man für eingehende Verbindungen keine temp. Adresse verwendet dann die statische aber da ist doch dann wieder die Mac drin. Bei Windows ist imho wenigstens die temporäre ständig gleich.

Edit: so wie ich das sehe ist die Adresse bei Linux auch nur lokal weil ff:fe
 
Zuletzt bearbeitet:
Die temporäre Adresse sollte immer anders sein, und ständig geändert werden. Das ist eine "privacy extension", das dient z.B. dazu, dass man Dich im Web nicht anhand Deiner IPv6-Adresse tracken kann. Der Browser sollte die benutzen, und andere Dinge die keine eingehenden Verbindungen brauchen.

Das IPv6-Subnetz wird normalerweise voll von Außen nach Innen geroutet, d.h. jede IPv6-Adresse (die nicht in einem lokalen Subnet ist) ist direkt aus dem Internet erreichbar. Ob die Fritte standardmäßig irgendwas blockiert, weiß ich nicht.
 
Nur wie läuft das dann mit DNS? Wenn sich das ständig ändert und wenn man diverse Dienste freigeben möchte und nicht das gesamte Netzwerk.

Und warum bekomm ich bei Linux nur solche internen ipv6 Adressen?
 
Zuletzt bearbeitet:
Ein fester DNS-Name, und eine feste Freigabe, sollte natürlich nicht für eine temporäre Adresse eingerichtet werden. Deswegen gibt es temporäre und feste Adressen.

Wenn Du auf Deinem System nur IPv6-Adressen aus dem lokalen Subnet bekommst, und nicht dem öffentlichen Subnet welches von Deinem Router advertised wird, dann scheint da auf dem Hobel generell ein Problem vorhanden zu sein.

Sagen wir Dein öffentliches Subnet wäre '2001:effe:fefe:0/64' und der MAC-Anteil Deiner IP-Adresse ':0123:4567:89AB:CDEF'

Dann solltest Du eine lokale IPv6 haben

fe80:0000:0000:0000:0123:4567:89ab:cdef

oder

fd80:0000:0000:0000:0123:4567:89ab:cdef

Und eine öffentliche:

2001:effe:fefe:0000:0123:4567:89ab:cdef

Und dazu eine temporäre, zufällige für ausgehende Verbindungen, z.B.:

2001:effe:fefe:0000:cdef:4567:0123:89ab
 
Zuletzt bearbeitet:
ich habe schon eine Adresse mit 2003 am Anfang wie sie von 1&1 zugewiesen wird d.h. das Präfix passt, aber bei der zweiten Hälfte befindet sich ein ff:fe drin und ich habe gelesen das das nur lokal funktioniert.

schätze mal das kommt daher weil es eine vm unter KVM/QEMU ist und man bei bridging die IP manuell einstellen muss so wie ich es bei ipv4 auch gemacht habe.

was ich auch nicht verstehe das in der Fritzbox einmal in der kompletten ipv6 Adresse beim Präfix 83bf:166 steht und dann steht extra nochmal Präfix: 83c1:6600

Also noch komplizierter hätte man das nicht machen können?
 
Zuletzt bearbeitet:
Was meinst Du mit "zweiter Hälfte"? Rechts vom Subnet kann stehen was will, und es ist eine gültige Adresse. Alles zwischen :0000:0000:0000:0001 und :ffff:ffff:ffff:ffff am Ende sollte erlaubt sein.
 
na die interface id (suffix)

und welche Adresse trägt man überhaupt im DNS ein? Die vom Router oder die vom jeweiligen freizugebenden Gerät?

Und warum hat der Router ein komplett anderes Präfix?
 
Der Router bekommt eine eigene IPv6 vom ISP, über welche dann das Subnet geroutet wird. Die spielt für Dich normalerweise keine Rolle. Im DNS sollte die korrekte öffentliche IPv6, also öffentliches Präfix und der fixe, MAC-basierte, Host-Anteil eingetragen werden.
 
mit öffentliches Präfix meinst du das was man sonst so bei den Geräten im LAN sieht?

interessante Adressen haben ich noch gefunden:
fe80:: (localhost)
fe80::suffix (Host im eigenen Netzwerk)
 
Also langsam wird es mir zu wirr. Vielleicht postest Du einfach mal ein paar vollständigere Beispiele (reicht zum Datenschutz eigentlich wenn man den letzten oder signifikanten Block des Subnets und des Host-Anteils einfach durch xxxx ersetzt, z.b. 2001:4dd0:xxxx:0001:0123:4567:89ab:xxxx ).
 
Also der DNS funktioniert jetzt schon mal von aussen z.B.

Record AAAA 2003:c7:83c1:xxxx:192:168:5:14

Ich habe als Suffix einfach die ip4 Adresse genommen.

Die statische IP hab ich an der VM so konfiguriert:
iface eth0 inet6 static
address 2003:c7:83c1:xxxx:192:168:5:14
netmask 64
gateway fe80::3631:c4ff:fe23:9189


Und was ich auch nicht wusste, der ISP weißt einem ja gleich 2 Präfixe zu, einen für LAN und einen für WAN. Und der LAN Präfix ist dann einfach so aussen erreichbar sofern nicht durch Firewall geblockt.
 
Ja, das sieht doch auf jeden Fall richtig aus. Was die ISPs zuweisen ist allerdings Sache des ISP. Bei der Telekom bekommt man glaube ich nur ein \64.
 
müssten eigentlich immer 2 Präfixe sein sonst wär das Zeug im LAN ja nicht öffentlich erreichbar.

Interessant wäre auch wie lange der Präfix gleich bleibt, habe irgendwo gelesen das der quasi dem Gerät zugewiesen wird. Ansonsten wird die ddns Updaterei etwas uferlos wenn man das immer auf dem Host machen muss der freigegeben wird.
 
also die fixe Adresse und Freigabe ging solange bis der Provider den Präfix (NLA ID) geändert hat.

Hier sieht man den Aufbau:
https://www.microsoft.com/resources...ddocs/en-us/sag_ip_v6_imp_addr3.mspx?mfr=true

Der Präfix vom ISP ist bei mir (Telekom basiert) 56Bit lang, der Rest (8bit) ist SLA ID und in der Fritzbox auf 00 gesetzt. Das heisst in diesem 8bit kann man sich Subnetze auswählen.

Edit:
https://wiki.ubuntuusers.de/IPv6/Privacy_Extensions/
http://mirrors.deepspace6.net/Linux+IPv6-HOWTO/x1092.html

nachdem ich das eingetragen hatte, gab es dann endlich eine temporäre globale Adresse unter Linux:
net.ipv6.conf.all.use_tempaddr=2
net.ipv6.conf.default.use_tempaddr=2
net.ipv6.conf.eth0.use_tempaddr=2 (explizit mit eth0, sonst funktionierte es nicht trotz der oberen 2 Zeilen)

zwischen:
iface eth0 inet6 dhcp
iface eth0 inet6 auto (SLAAC)

fällt mir eigentlich kein Unterschied auf obwohl in der Fritzbox bei DHCP v6 alles an ist.
Dann ist in der Fritzbox wohl nur mac basiertes SLAAC enthalten. Das geht auch wenn man den DHCPv6 dort abschaltet. Wenn man den dort anmacht dann wird nur zusätzlich ein ipv6 DNS verteilt. Die Option IA_NA (non temporary address) bewirkt bei mir auch keinen Unterschied.

Für Freigaben ist die temporäre Adresse allerdings nicht geeignet da sie nach jedem Reboot anders ist.

Und stateful DHCP macht wohl nur Sinn wenn man vom ISP einen fixen Präfix bekommt. Oder gibts stateful DHCP Server die den Präfix automatisch erkennen und in der Config anpassen? Dann könnte man Reservations benutzen und müsste für Freigaben nicht seine mac basierte IP verwenden.

Das ist die lifetime der temporären und der mac basierten globalen Adresse:
valid_lft 7166sec preferred_lft 1617sec

Die temporäre Adresse ist zu dem Zeitpunkt direkt nach Reboot grade mal 7166s gültig und nach 1617s wird für ausgehende Verbindungen bereits die mac basierte Adresse verwendet (welche sich dann ebenfalls ändern soll). Warum ist das so und derart kurz? Warum überhaupt auf die mac basierte umschalten?

In der Config stehen auch ganz andere Zeiten:
net.ipv6.conf.eth0.temp_prefered_lft = 86400
net.ipv6.conf.eth0.temp_valid_lft = 604800

Bis mir dann aufgefallen ist, in der Fritzbox steht beim Präfix:
Gültigkeit: 14064/1464s
Die Gültigkeit ist genauso kurz wie bei der temporären Adresse.
Allerdings scheint es bestimmte mechanismen zu geben die die Gültigkeit auf einmal verlängern, aber welche? So war der Präfix glaube ca. 2 Wochen gültig und ich glaube durch einen Router Reset gab es einen neuen Präfix.
siehe: https://telekomhilft.telekom.de/t5/...alte-ich-ein-statisches-IPv6-Netz/td-p/128920
Also wenn der Router "zu lange" offline ist gibts einen neuen Präfix oder spätestens nach 6 Monaten.

Gibt es ohne statisches Präfix vom ISP überhaupt eine Möglichkeit Freigaben zu machen ohne Teile seiner MAC zu verraten?
 
Zuletzt bearbeitet:
Zurück
Oben Unten