getrübte Freude über den Glasfaser Ausbau mangels öffentlicher IP v4 WAN Adresse

  • Bei IPv6 gibt es im Gegensatz zu IPv4 einen erheblich größeren Bereich verfügbarer Adressen

    Ist mir bewusst. 128bit im Gegensatz zu 32bit bei IPv4

    Folglich kann man damit auch deutlich großzügiger sein, und ist nicht auf Hilfsmittel wie NAT und PAT angewiesen

    Danke...das war schon ausreichen und ist genau das, was ich wissen wollte. Es gibt also kein NAT. Somit muss ich meine Geräte selbst schützen und kann das keinem zentralem Gerät überlassen. Es sei denn, ich setze einen intenen VPN Server auf.

    Wenn du IPv6 im LAN aktiv hast, wirst du feststellen, dass du an deinem Client höchstwahrscheinlich mehrere IPv6-Adressen aktiv hast. Sicherlich eine Link-Local die mit fe80:.. anfängt, sowie 2 oder mehr aus dem öffentlichen Adressbereich.

    In dem Fall tatsächlich nur eine öffentlcihe.


    Weil es genug Adressen gibt und NAT damit einfach nicht mehr nötig ist

    Verstehe ich. Mag ich nur nicht, da NAT auch ein Sicherheits-Feature war und auch für deine Privatsphäre gesorgt hat.

    Der Unterschied ist mir bewusst.
    Dein Beispiel eines VPN-Zugangs in ein Netz ohne Portweiterleitung funktioniert nur, wenn der VPN-Server auf dem Router läuft.
    Der VPN-Server kann aber durchaus auch auf einem anderen Client im Netzwerk laufen.
    In meinem Beispiel hatte ich das so vorausgesetzt, um die Unterschiede zwischen IPv4 und IPv6 besser hervorheben zu können.

    Ja, ich glaube wir haben an vielen Stellen das gleiche gemeint und ich vielleicht ein wenig Dinge anders interpretiert bzw. wir aneinander vorbei geredet ;). Wie immer...an einem Tisch mit nem Bier wäre vieles einfacher :D ;)


    Der VPN-Server kann aber durchaus auch auf einem anderen Client im Netzwerk laufen.

    Dazu nochmal explizit....ja, das wäre eine denkbare Lösung um ein VPN über ein zentrales Gerät zu gewährleisten. Da muss ich mir nochmal ein wenig Gedanken machen. Zumindest könnte ich das wenigstens über IPv6 von extern erreichen, was bei einem CGN mit IPv4 nicht mehr geht.


    Nein, das ist nicht richtig
    Auch mit einer Portweiterleitung zu einem VPN-Server kann ich Zugriff auf das komplette Subnetz erhalten. Das ist dann Einstellungssache des VPN-Servers.

    Deswegen hatte ich:

    Ich hoffe, ich konnte es jetzt deutlich machen, was ich möchte. Ansonsten erleuchtet mich bitte, wie ich mit einer Portweiterleitung gegen einen Port eines einzelnen Gerätes mich auch gegen andere Geräte verbinden kann, wenn das Gerät keine VPN Server bereit stellt?

    geschrieben. Wenn das einzelne Gerät ein VPN Server ist, dann ist es klar, dass das geht. Somit hast du in dem Fall natürlich Recht, dass es im weitesten Sinne ein VPN irgendwo eine Portweiterleitung haben muss, damit es funktioniert. Es steht und fällt mit dem Gerät, was ich dahinter ansprechen möchte.

    Ich kann mich auch gegen einen Rechner verbinden und veschiedene SOCKS Proxies auf machen oder mich über Jump-Hosts durch das komplette Netzwerk tunneln. Alles kein Thema. Nur ein wenig umständlich :D ;)

  • Es gibt also kein NAT.

    Zumindest ist das standardmäßig nicht vorgesehen. wie @te36 ja auch schon geschrieben hatte kann man das dennoch abbilden wenn man denn möchte.

    Somit muss ich meine Geräte selbst schützen und kann das keinem zentralem Gerät überlassen.

    Die Firewall spielt bei IPv6 eine deutlich gewichtigere Rolle als noch bei IPv4. Ich denke das kann man definitiv so sagen.
    Die Netzwerksicherheit würde ich aber nicht von Client-Seite aus aufziehen, sondern sehe hier eher den Router mit seiner integrierten Firewall als zentrales Gerät.

    Ich kenne jetzt die USG nicht im Detail, aber bei einer OPNsense z.B. ist per default erst einmal alles dicht und man kann absolut Zugriffe vollkommen granular über Regeln festlegen.
    Auch die interne Adresszuweisung. Hatte jetzt tatsächlich noch keinen Fall den ich damit nicht umsetzen konnte.

    Es sei denn, ich setze einen intenen VPN Server auf.

    Wenn ich deinen Gedankengang jetzt richtig verstehe würde ein interner VPN dir bzgl. dem Mehr an Sicherheit durch NAT intern nur dann etwas bringen, wenn die internen Clients ihren ausgehenden Traffic über den VPN tunneln und damit quasi ein NAT erzwungen wird.
    Das wäre aber einfacher über entsprechende Einstellungen am Router zu bewerkstelligen.

    In dem Fall tatsächlich nur eine öffentlcihe.

    Das ist natürlich sehr ärgerlich!
    Es wäre gerade im Hinblick auf die schier unendliche Anzahl an verfügbaren Adressen wirklich wünschenswert, wenn alle Provider ihren Kunden sowohl eine WAN-IPv6-Adresse, als auch einen IPv6-Präfix zuweisen würden. Wahlweise statisch oder dynamisch. Das würde so vieles einfacher machen.
    Ich meine mich daran zu erinnern, irgendwo auch gelesen zu haben, dass das eigentlich seitens der IANA so in den 1995 erlassenen Richtlinien so vorgegeben wurde.

    Wie immer...an einem Tisch mit nem Bier wäre vieles einfacher

    Da stimme ich dir voll und ganz gut [az]
    Aber wir kommen schon klar hier [ad]

  • Wenn ich deinen Gedankengang jetzt richtig verstehe würde ein interner VPN dir bzgl. dem Mehr an Sicherheit durch NAT intern nur dann etwas bringen, wenn die internen Clients ihren ausgehenden Traffic über den VPN tunneln und damit quasi ein NAT erzwungen wird.

    Jaein. Nicht ganz.

    Natürlich ist mein Gedankengang, dass ein NAT ein wenig was an Sicherheit und Privasphäre bringt. Für mich war aber an dieser Stelle viel wichtiger, dass ich ein Gerät habe, welches meine VPN Verbindung entgegen nimmt und ich von dort aus alle Geräte in meinem Netzwerk ansprechen kann.


    Das ist natürlich sehr ärgerlich!

    Ich habe einen 56er Präfix bei mir einetragen. Nur sagtest du ja, dass ich mehr ale eine öffentliche IPv6 am Interface angezeigt bekommen soll. Und das ist nicht der Fall.

  • Für mich war aber an dieser Stelle viel wichtiger, dass ich ein Gerät habe, welches meine VPN Verbindung entgegen nimmt und ich von dort aus alle Geräte in meinem Netzwerk ansprechen kann.

    Dann brauchst du an sich ja nichts anderes wie einen VPN-Server. Entweder direkt auf dem USG (ich kenn den Funktionsumfang des Gerätes hier leider nicht), oder auf einem anderen Gerät im Netzwerk für das du eingehende Anfragen an den VPN-Server dann in der USG freigibst.
    Ich habe den VPN-Server direkt auf der OPNsense aktiv, was es mir deutlich leichter macht die Zugriffe über VPN ins Netzwerk oder auch in meine verschiedenen Subnetze granular zu reglementieren.

    Ich habe einen 56er Präfix bei mir einetragen. Nur sagtest du ja, dass ich mehr ale eine öffentliche IPv6 am Interface angezeigt bekommen soll. Und das ist nicht der Fall.

    Du hast also eien 56er Präfix von deinem Provider? Ich hatte Dich jetzt so verstanden, dass du vom Provider nur eine einzige Adresse erhalten hast.

    Mit einem 56er-Präfix stehen dir eigentlich alle Möglichkeiten offen. Dein Router nimmt den vom Provider entgegen und kann die Adressen aus dessen Bereich nach deinen Vorgaben an die Clients delegieren.
    Wenn du am Client nur eine öffentliche IPv6 angezeigt bekommst, würde ich darauf tippen, dass dein Router die Adressen mittels SLAAC zuweist und am Client die PrivacyExtensions nicht aktiv sind.
    Wenn du die PrivacyExtensions aktivierst und z.B. noch DHCPv6 am Router, hättest du schon 3 öffentliche IPv6-Adressen am Client.

  • offtopic :

    @psychofaktory , vllt hast du mal eine Idee zur Umgehung folgendes Problemes :

    Ich nutze Openvpn über ein tap device, also Layer 2, erreichbar nur über IPV6 von extern.
    Das ganze funktioniert aber nur wenn vorm starten des Tunnels auf den Clients der automatische Bezug einer IPV6 für das TAP Device untersagt wird.
    Unter Windows z.b bei den Adapter Einstellungen den haken bei v6 rausnehme, oder unter Linux net.ipv6.conf.tapxyz.disable_ipv6 = 1.

    Geht das vllt geschickter mit einem Pusch / pull ?
    Ich hab viel gesucht, mich mittlerweile damit abgefunden .

  • @DeBaschdi

    Tricky..
    Aber ich würde das auch hier wieder eher von infrastruktureller Seite aus aufziehen als von den Clients aus.

    Woher bekommen denn die Clients die IPv6-Adresse?
    Ich schätze mal der Router weißt die Adresse zu.
    Unter OPNsense würde ich das wohl so lösen, dass an der Schnittstelle an der die betreffenden Clients hängen IPv6 über ein Skript erst aktiviert wird wenn der Tunnel gestartet ist.
    Ist jetzt zwar nur Theorie, aber ich denke das sollte so funktionieren.
    Eine elegantere Lösung fällt mir zumindest jetzt auf die Schnelle nicht ein.

  • @psychofaktory ich pausiere das an der Stelle mal, da ich bis nächsten Montag erstmal nicht an meinen Geräten sitze. Ich glaube das macht wenig Sinn da weiter drüber zu sprechen, wenn ich keine 100% validen Aussagen machen kann. Vielleicht telefonieren wir auch mal. Ich glaube das würde manches erleichtern.

    Ich melde mich hierzu aber spätestens nächsten Montag nochmal.

  • Vllt kann ich da unterstützen,
    Ich bin mit DG und fester (dynamischer) IPV6 für Unraid only unterwegs, nutze allerdings einen Glasfaser Router von der Frizbox (5530),

    Siehe @Alphaspike Beitrag getrübte Freude über den Glasfaser Ausbau mangels öffentlicher IP v4 WAN Adresse
    (Ihm hatte ich da auch unterstützt)

    VPN funktioniert mindestens mit openvpn :)

    So, nun muss ich auch mal fragen, hier geht auch im nächsten Jahr der Ausbau los. Zumindest wie wohl überall mit den 40% müssen sich melden…

    Und ich habe jetzt das ganze Thema Gelsen, u d kaum was verstanden [ag]

    Kann denn einer das mal für Dummys erklären?

    Was ich jetzt nutze: Fritz VPN um auf das Netzwerk zuzugreifen, geht aber nur, wenn man draußen nicht einen VPN Sperre erlebt. Wie in meinem letzten Hotel [ac]
    Und ich nutze MyFritz.
    => Hab gesehen, dass gibt es nur bei der größeren 5590, von DG erhält man die 5530.

    Was mir reicht, plus Sicherheit ohne Zuviel Programmieren?

    => Emby Server von außen erreichbar
    => UnRaid Server erreichbar


    Dann vorhanden Hardware
    PC‘s , Shield, Raspi mit LMS, TV Geräte, AVR, Logitech Radio

    Wie kann ich erkennen, ob die mit IPv6 umgehen können?

    OK am PC ist je in den Netzwerkeinstellungen zu sehen, aber der Rest?


    Zu dem Angebot von DG würde mich eben reizen, dass sie einem die 1990€ Anschlussgebühr im EFH schenken, wenn man bis zum 22.12.2022 einen Vertrag abschließt. Sowas reizt [af] natürlich

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

  • Dann werde ich mal an der Info Veranstaltung teilnehmen, und hören was da tatsächlich sein wird.
    Muss man an den Clients oben etwas anders einstellen, oder alle auf automatische IP lassen, und die feste in der Fritte eintragen?

    Spoiler anzeigen

    Client: Nvidia Shield 2019 Pro Kodi 20.1, AVR Sony STR-DN 1080, Nubert NuBox Series 5.1, LG TV 55SM8600 Nanocell
    Musik über Pi4 mit Picore 8 und LMS am AVR.
    Gästezimmer:Shield TV 2017 Kodi 20.1
    Server: unRaid; Fractal Des. Define 7;Asrock B365M PROF-4, Intel i3-8100, 16GB RAM und 20TB Platten,
    Arbeitstier: DeepSilence 4, AX370M, AMD Ryzen 5 2600X; 8GB RAM, Samsung M2 970EVO 500GB, RX560 Grafik

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!