- Anzeige -

IPv6 und Synology

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: IPv6 und Synology

Beitragvon SpaceRat » 12.02.2014, 11:49

Titus hat geschrieben:
Knifte hat geschrieben:Hier sind es insbesondere die mobilen Endgeräte, die meist nur über IPv4 angebunden werden.

Naja, gibt ja auch noch genug Provider, die sich v6 verwehren.

An einem stationären Privatkundenanschluß mit IPv4-only, also z.B. DSL- oder Bestandskunden-Kabel-Internet, ist es aber in aller Regel kein Problem, IPv6 über einen Tunnel zu realisieren.

AVM hat einen Marktanteil von weit über 50%, d.h. da brauchen die meisten Nutzer wirklich nur eben IPv6 einschalten, an neuen Telekom-AllIP-Anschlüssen war's das (Die Telekom schaltet AllIP mit Dual Stack), an Vodafone-Anschlüssen würde ein 6rd-Tunnel automatisch gefunden werden und der Rest trägt eben einen SixXS- oder "Hurricane Electric/Tunnelbroker"-Tunnel ein, das sind 5 Minuten Aufwand.

Knifte hat zwar keinen AVM-Router, aber auch sein Asus-Router kann IPv6, besagter Knopfdruck würde bei ihm zumindest bei der Telekom reichen, 6rd kann er vielleicht nicht, aber auch er kann einen "Hurricane Electric"-Tunnel nutzen und tut das auch. Sollte auch nur 5 Minuten kosten, vielleicht 10. Das Gleiche gilt dann analog für aktuelle D-Link-Router ...

Im Großen und Ganzen sind hier also die wenigsten Probleme zu erwarten.

Die mobilen Endgeräte hat er also wohl deshalb erwähnt, weil hier - neben dem Internet am Arbeitsplatz - die Probleme am größten sind:
Für Apple-Kram gibt es keine einfache Lösung, für Windows Phones ist mir auch keine bekannt, nur gerootete Androiden lösen das Problem einfach und effizient.


Titus hat geschrieben:Wenn ich das richtig verstanden habe, gibt es zwei Wege. Grundsätzlich müssen die Geräte aus dem Heimnetz nach außen gebracht werden.

Korrekt und zwar per IPv6.

Titus hat geschrieben:Anschließend kann man, wenn man will, die kryptische URL über z. B. afraid.org loswerden.

Die kryptische URL ist ein AVM-Schmankerl:
AVMs MyFritz! dient einfach als DynDNS für IPv6, nur daß eben die Hostnames nicht so schön kurz sind wie bei den üblichen DynDNS-Anbietern, wo sie z.B. "titus.mooo.com", "titus.dyndns-at-home.com" o.ä. lauten würden. Dafür funktioniert es aber automagisch und ohne extra Tools auf jedem Gerät installieren zu müssen, das über einen IPv6-DynDNS-Host verfügen soll.
Und den einzigen Nachteil, also den kryptischen Hostname, kann man problemlos über einen kürzeren und wartungsfreien (d.h. einmal angelegt muß man ihn nie wieder anfassen) CNAME z.B. von freedns.afraid.org beseitigen ...

Wer keine Fritz!Box und damit kein MyFritz! hat, muß auf klassische Weise DynDNS-Updates machen, d.h. dann eben auf jedem Gerät, das einen DynDNS-Host kriegen soll muß erst inadyn-mt o.ä. installiert, regelmäßig auf IP-Wechsel geprüft und dann der DynDNS-Host aktualisiert werden.
Das geht auch, ist aber ungleich aufwendiger als die MyFritz!-Lösung.

Titus hat geschrieben:Dann sind die Geräte, so sie das selber können, von außen über v6 erreichbar.

Richtig. Wobei so ein DynDNS-Host dabei genau wie bei IPv4 einfach nur eine Erleichterung darstellt. Auch ohne den DynDNS-Host könnte man direkt über die IPv6-Adresse auf die Geräte zugreifen. Aber wer will sich IP-Adressen merken, vor allem, wenn sich diese gelegentlich ändern?

Titus hat geschrieben:Um sie auch aus v4-Netzen, z. B. Mobilnetzen, erreichen zu können, gibt's dann wohl zwei Wege:
- über einen 6to4-Tunnel z. B. über sixxs (darüber habe ich schon meine Fritzbox vom Android-Smartphone erreicht)
- oder eine feste v4-Adresse bei z. B. feste-ip.net einrichten (so weit bin ich leider noch nicht, da ich meine Geräte derzeit nicht mal über die kryptische URL erreiche)

Korrekt beschrieben.
Wobei eben in beiden Fällen Dein Heimnetz über IPv6 erreicht wird, nur daß in zweiterem Fall feste-ip.net diesen Teil für Dich übernimmt, selber aber auch per IPv4 erreicht werden kann.

Die beiden Wege unterscheiden sich also gar nicht so gewaltig:
Beim Tunnel baut das Endgerät eine Verbindung über IPv4 zu einem Tunnelanbieter auf und über diese IPv4-Verbindung wird dann IPv6-Traffic getunnelt, so daß das Endgerät danach direkt selber mit IPv6-Hosts reden kann.
Bei feste-ip.net wird eine Verbindung über IPv4 zu feste-ip.net aufgebaut, die tunneln dann aber eben keinen IPv6-Traffic zwischen sich und dem Endgerät, sondern leiten den IPv4-Traffic nur in Abhängigkeit vom verwendeten und vorkonfigurierten Port an das gewünschte Gerät zuhause weiter.

Beide Lösungen haben Vor- und Nachteile:
Die erste ist umfassender. Hat man ein Endgerät einmal mit IPv6 versorgt, dann kann man danach beliebige Dienste und Server - also nicht nur seine eigenen, sondern z.B. auch die vom Bekannten/Verwandten/... - über IPv6 nutzen. Der Nachteil ist, daß das nicht auf jedem Endgerät so einfach geht, aber immerhin auf den gängigsten mobilen, also Android.

Die zweite stellt keine Ansprüche an das Endgerät/Startnetz, weil zwischen diesem und feste-ip.net weiter das alte IPv4 verwendet wird, das funktioniert also auch mit einem Apple-Notsosmartphone, Windows Phone oder auch an Arbeitsplätzen in Firmen mit kompetenzunbelasteter IT. Dafür funktioniert es auf der anderen Seite nur mit solchen Diensten, die man entsprechend vorbereitet (= bei feste-ip.net eingerichtet) hat und die Anzahl dieser Dienste bestimmt den Preis ...
D.h. ich kann dann z.B. mein heimisches NAS auch über IPv4 erreichen, aber nicht das vom Cousin usw., es sei denn, ich richte für den auch einen entsprechenden Dienst ein und bezahle dafür ...

Meine Präferenz ist klar:
Wann immer möglich, würde ich das Startnetz IPv6-tauglich machen, da das eh die natürliche Entwicklung ist. D.h. mit voranschreitender Zeit wird man das in immer weniger Startnetzen machen müssen (d.h. man kann den Tunnel dort ab- und auf natives IPv6 umschalten), aber immer mehr Zielnetze nur per IPv6 erreichen können.
Einschränkung dabei ist natürlich, daß die Anzahl der Startnetze beherrschbar ist, also z.B. eine knappe Handvoll eigener Smartphones/Tablets und eine ebenso große Anzahl von Heimnetzen bei Bekannten/Verwandten. Mehr wird man wohl kaum leisten können/wollen.

Die Alternative ist rückwärtsgewandt: Sie funktioniert zwar einwandfrei für die konfigurierten Dienste, aber je mehr Anschlüsse auf DS-lite geschaltet werden (M-Net, Unitymedia, KabelBW, Kabel Deutschland, Glasfaser Deutschland und bei NetCologne ist es abzusehen, daß die es auch irgendwann tun werden müssen), desto größer wird die Wahrscheinlichkeit, daß ich auch auf fremde Dienste/Server per IPv6 zugreifen können will/muß, für die man wohl kaum jeweils eine feste-ip.net-Weiterleitung aus eigener Tasche bezahlen will ..
Die Daseinsberechtigung dieses Dienstes liegt also für meine Begriffe in solchen Diensten, die für mich ultimativ wichtig sind (z.B.: Ich will vom Arbeitsplatz unbedingt auf meine Unterlagen auf dem NAS zuhause zugreifen können), bei gleichzeitiger Unmöglichkeit, dies über einen 6in4-Tunnel zu tun (Firmen-IT spielt nicht mit).
Außerdem macht es Sinn, wenn ich aus einer kaum beherrschbaren Menge an Startnetzen (A la ständig wechselnde Internet-Cafes, Arbeitsplätze bei wechselnden Kunden, ...) auf das IPv6-/DS-lite-Zielnetz zugreifen können will/muß.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: IPv6 und Synology

Beitragvon Titus » 12.02.2014, 12:01

Ich hätt's besser nicht ausdrücken können. Hätte ich wirklich nicht :hirnbump:

Aber ich bin froh, dass ich so langsam, ganz langsaaaaam anfange, das zu kapieren. :kratz:

Nochmals vielen Dank für deine Mühe und Gedul hier und an anderer Stelle :super:

Ich habe auch was gelernt: Unitymedia ist doof, weil sie nur DS lite anbieten. Die meisten anderen Anbieter sind noch doofer, weil sie sich IPv6 fast komplett verweigern.

"kompetenzunbelastet" würde ich übrigens zum Wort des Jahres wählen :D
Titus
Kabelneuling
 
Beiträge: 48
Registriert: 29.01.2013, 10:56

Re: IPv6 und Synology

Beitragvon SpaceRat » 12.02.2014, 12:18

gregorrot hat geschrieben:OK, vielen lieben Dank. Ich wollte nur wissen, ob es überhaupt ein Licht am Ende des Tunnels gibt, bevor ich mich in den ipv6-Irrgarten begebe. Aber da ich auf den Zugang durch mobile Endgeräte notfalls verzichten kann, sollte es grundsätzlich die Möglichkeit geben, von einem privaten Linux-Rechner aus auf meine Synology DS zuzugreifen, richtig?

Richtig und zwar problemlos.

gregorrot hat geschrieben:Ich muss "nur" ipv6 verstehen lernen und direkt über ipv6 ansprechen. ...

Auch richtig.
Als größtes Problem sehe ich im Moment, daß die Leute eher zu kompliziert denken. D.h. sie übernehmen komplizierte Denkmuster von IPv4 und stehen sich damit selber im Weg.
IPv6 funktioniert an sich nicht anders als IPv4 auch, nur daß es bei IPv6 genug Adressen gibt, um wirklich alle Geräte direkt ansprechen zu können.

Beispiel:
Du hast einen NAS mit der lokalen IPv4-Adresse 192.168.0.10, extern hast Du momentan die IPv4-Adresse 170.123.45.67 (Und nur die ist aus dem Internet erreichbar). Wenn Du nun den NAS per IPv4 erreichen willst, dann mußt Du ja erst einmal dem Rechner, der die öffentliche IPv4 hat (Also dem Router), mitteilen, daß Traffic z.B. auf Port 443 ans NAS gehen soll (Portweiterleitung). Schließt Du einen zweiten NAS an (lokal 192.168.0.11), dann wird's noch komplizierter: Da der Port 443 schon verheizt ist, mußt Du diesmal einen anderen Port weiterleiten, also z.B. 444.
Extern erreichst Du also NAS1 über 170.123.45.67:443, NAS2 über 170.123.45.67:444, während intern NAS1 aber die 192.168.0.10:443 ist und NAS2 die 192.168.0.11:443 ...
Anpingen kannst Du extern
ping 170.123.45.67
keinen davon, denn die Pings beantwortet ja der Router, der eigentlicher Besitzer der IPv4-Adresse 170.123.45.67 ist ...

In Wirklichkeit ist das doch verwirrend und so gedacht war es ursprünglich auch nicht ...


Selbe Situation mit IPv6:
Der Router erhält das Präfix (Subnet) 2a02:908:abcd:ff00::/57, er selber schnappt sich das erste Subnet daraus, also 2a02:908:abcd:ff00::/64. Dieses Subnet teilt er im LAN mit und die Geräte bestimmen sich daraus ihre IPv6-Adresse:
NAS1 die 2a02:908:abcd:ff00:290:9bff:fe27:18da und NAS2 die 2a02:908:abcd:ff00:290:9bff:fe38:54b9. Diese Adressen sind lang und kaum zu merken, das war es dann aber auch mit den Problemen.
NAS1 ist jetzt nämlich von überall unter 2a02:908:abcd:ff00:290:9bff:fe27:18da zu erreichen und NAS2 entsprechend von überall unter 2a02:908:abcd:ff00:290:9bff:fe38:54b9.
Wenn Du NAS2 anpingst (Egal ob aus Timbuktu oder aus dem Heimnetz!)
ping [2a02:908:abcd:ff00:290:9bff:fe38:54b9]
dann antwortet auch wirklich NAS2 und nicht NAS1, der Router oder sonstwer.
Greifst Du auf [2a02:908:abcd:ff00:290:9bff:fe27:18da]:443 zu, dann ist sicher, daß da NAS1 reagiert und nicht NAS2, wie es passieren würde, wenn Du bei dem NAT-Geraffel mal versehentlich die Ports verwechselst.

Ein künstlich gemachtes Problem ist das dynamische Präfix, denn nach x Tagen wird Dir Unitymedia ein anderes Präfix zuteilen, also z.B. 2a02:908:ab90:ff00::, womit auch alle Geräte auf einmal neue Adressen kriegen ...
Das ist aber kein Problem von IPv6, denn gedacht war das so auch nicht. Dieses Problem verdanken wir unseren deutschen "Datenschutz"-Spinnern.
Die NSA oder einen Abmahnanwalt juckt das dynamische Präfix nicht, die lassen sich einfach von Unitymedia mitteilen, welcher Kunde hinter dem Präfix steckt, für die steht da also effektiv gar kein ständig wechselndes Präfix sondern immer nur gregorrot::/64 ...

gregorrot hat geschrieben:brauche ich dafür dann noch einen zusätzlichen (besseren) Router als den TC7200?

Du kannst das TC7200 leider nicht durch einen eigenen Router ersetzen/ergänzen, weil das TC7200 weder Bridge-Modus noch Prefix Delegation beherrscht.
Einzige Alternative wäre also die Fritz!Box 6360, die Du kriegst, wenn Du "Telefon Komfort" für 5 EUR/mtl. dazubuchst.

Durch den eingebauten IPv6-fähigen DynDNS-Dienst "MyFritz!" macht IPv6 damit mehr Spaß (Du mußt nicht selber auf jedem Gerät einzeln dafür sorgen, daß irgendwelche IPv6-fähige DynDNS-Dienste mit den wechselnden IPs aktualisiert werden, das macht die Box für Dich) und ist sicherer (Das TC7200 hat keine IPv6-Firewall, bzw. Du mußt sie komplett abschalten, sobald Du auf irgendwas zugreifen können willst. Einzelne Geräte oder gar Ports in der IPv6-Firewall freizugeben funktioniert beim TC7200 nicht, es heißt immer "alles oder gar nichts").
Prinzipiell funktioniert es aber auch mit dem TC7200.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: IPv6 und Synology

Beitragvon SpaceRat » 12.02.2014, 13:57

Titus hat geschrieben:Nochmals vielen Dank für deine Mühe und Gedul hier und an anderer Stelle :super:

Bitte bitte.

Titus hat geschrieben:Ich habe auch was gelernt: Unitymedia ist doof, weil sie nur DS lite anbieten. Die meisten anderen Anbieter sind noch doofer, weil sie sich IPv6 fast komplett verweigern.

Nun, sagen wir es so:
DS-lite ist auch doof, aber das geringste realisierbare Übel.

Wenn ich es mir aussuchen könnte, dann hätte ich auch ein echtes statisches IPv4-Subnetz /24 und natives IPv6 mit einem statischen /40er Präfix, also Dual-Stack deluxe.
Das reicht dann, um zumindest 254 Geräten eine jeweils eigene öffentliche IPv4-Adresse zuzuweisen, also um auch bei IPv4 ohne das NAT-Gemurkse auszukommen. Denselben 254 Geräten plus einigen Milliarden weiteren könnte ich damit auch eine IPv6-Adresse geben, so daß vorerst alle meine Geräte von überall unter festen IPv4- und IPv6-Adressen erreichbar wären. DynDNS-Geraffel ade.
Jetzt war das Leben aber noch nie ein Streichelzoo und IPv4-Subnetze kriegst Du als Privatkunde nun einmal nicht, mit dem IPv4-NAT hat man also zu leben gelernt. An statische IPs kommt man schon eher, kostet aber auch direkt oder indirekt extra, also haben wir uns auch an DynDNS gewöhnt.

Und weil das Leben eben kein Wunschkonzert ist, betrachten wir einmal nur die realistischen Optionen:

  • Dual Stack - in Deutschland also i.d.R. eine dynamische, öffentlich erreichbare IPv4-Adresse und ein IPv6-Subnet mit - ebenfalls in Deutschland i.d.R. dynamischem - Prefix
    Sicherlich das Optimum und seit Jahren durch aufgeklärte Kunden bei den Providern eingefordert.
    Hierbei kann man in Ruhe migrieren, d.h. IPv6 nutzen wo es geht, wobei man aber auch noch IPv4 mit seinem NAT-Gemurkse als Fallback hat.

    Man ist eingehend wie ausgehend sowohl per IPv4 als auch per IPv6 angebunden.

    Diese Option ist zwar das Optimum, aber leider eben nicht mehr immer zu realisieren. Wachsende Provider wie Unitymedia, KabelBW, M-Net, Glasfaser Deutschland, usw. erhalten keine zusätzlichen IPv4-Adressen mehr, die sie bräuchten, um allen Kunden eine solche zur Verfügung zu stellen.

    Leider nutzen aber auch zu wenige Kunden, die diese Option noch haben, dieses Geschenk, inkl. derer, die selber schon DS-lite genießen durften, also z.B. KabelBW-Kunden nach der Umstellung auf IPv4.
    Da gilt dann wieder die Drei-Affen-Mentalität "nichts hören, nichts sehen, nichts sagen". Am besten wird noch gefragt, ob man jetzt nicht auf dem Rechner das IPv6-Protokoll deaktivieren kann ...

    Tatsache ist aber: Das Netz wird in den nächsten Jahren auf IPv6 migrieren müssen, d.h. dem, dem jetzt noch DS-lite erspart geblieben ist, sollte das zumindest Beweis genug sein, daß es jetzt eigentlich schon 5 nach 12 ist, um damit anzufangen sich mit IPv6 zu beschäftigen.
    Auch die, an denen der Kelch DS-lite jetzt noch vorbeigezogen ist, werden kurz- oder mittelfristig wieder damit konfrontiert werden, entweder indem sie doch wieder DS-lite kriegen oder aber indem sie einen IPv6-/DS-lite-Server erreichen können wollen oder gar müssen.
  • DS-lite oder auch "Dual Stack lite", also ein IPv6-Subnet mit - i.d.R. dynamischem - Prefix, für IPv4 allerdings nur eine nicht öffentlich erreichbare IPv4 aus einem CGN-Pool (CGN = Carrier Grade NAT)
    Dies ist aus technischer Sicht die zweitbeste Option.

    Der einzige Unterschied zu "Dual Stack" ist eben, daß man von außen nicht mehr unter "seiner" IPv4-Adresse erreicht werden kann, da es eben nicht mehr die IPv4 des Kundenanschlusses ist, sondern einer ganzen Gruppe von Kunden, die sich diese wiederum per NAT teilen müssen.

    Ausgehend kann man aber das gesamte Internet erreichen, egal ob per IPv4 oder IPv6 und auch eingehend ist man zumindest über IPv6 erreichbar.

    An einer Lösung für eingehende IPv4-Verbindungen wird übrigens auch gearbeitet. Sie nennt sich PCP (Port Control Protocol) und würde es dem Kunden erlauben, Ports im CGN des Providers auf den eigenen Router zu lenken und somit auch wieder per IPv4 freigeben zu können.
    Wie das funktionieren soll (PCP ist noch nicht fertig definiert) weiß ich nicht, denn immerhin kann jeder Port auf einer einzelnen Adresse nur ein einziges Mal verwendet und damit weitergeleitet werden, es muß also ein Handling für den Fall geben, daß mehrere Kunden gerne denselben Port nutzen möchten. Wenn's übel kommt, wird der dynamisch ausgehandelt, müßte also mit einem ähnlichen Mechanismus nach außen hin kommuniziert werden wie jetzt schon die dynamische IPv4-Adresse per DynDNS.
    PCP wird also aller Voraussicht nach kaum mehr werden als eine letzte Gnadenfrist während der unumgänglichen Migration auf IPv6.

    Daß erst jetzt und auch überhaupt an PCP gearbeitet wird ist ja auch schon nur der verschleppten Migration zu verdanken, denn wenn wir vor einigen Jahren schon alle Dual Stack gehabt hätten, würde DS lite jetzt weit weniger Leute erschrecken, da sie ja genug Zeit gehabt hätten, für den Zugriff von außen auf IPv6 umzustellen.
  • IPv6-only mit/ohne NAT64
    Bei dieser Anbindung erhält man gar keine IPv4-Adresse mehr.

    IPv4-Server und Dienste sind nur noch per NAT64 erreichbar, indem IPv4-Adressen in eine spezielle IPv6-Adresse im Subnet 64:ff9b::/64 umgeformt werden. Aus 172.168.10.5 würde z.B. 64:ff9b::172.168.10.5 bzw. 64:ff9b::aca8:0a05 (Das ist dieselbe Adresse, nur daß 172.168.10.5 hexadezimal geschrieben wurde).
    Im Netzwerk muß sich dafür auch ein NAT64-Router befinden, welcher über IPv4-Anbindung verfügt (Also z.B. beim Provider). Dieser nimmt dann alle Pakete für Zieladressen aus dem Bereich 64:ff9b::/64 an und leitet sie per IPv4 an den wieder aus der Adresse rausgedröselten IPv4-Host weiter.

    Das ganze ergänzt man dann um einen DNS64-Server:
    Ein DNS64-Server löst wie ein ganz normaler DNS-Server Hostnames in AAAA-Records (IPv6-Adressen) auf, wenn der angefragte Host einen solchen hat. Abweichend von einem normalen DNS wird er für einen Host der nur einen A-Record hat (Also nur eine IPv4-Adresse) aber nicht diesen zurückgeben, sondern einen AAAA-Record mit der oben beschriebenen speziellen Adresse 64:ff9b::<IPv4>.

    Prinzipiell ist das eine supersaubere Lösung, denn damit kann das Netzwerk komplett auf IPv6 umgestellt und IPv4 sogar abgeschaltet werden.
    Praktisch gibt es aber das Problem, daß das natürlich nur für Programme funktioniert, die überhaupt IPv6 können. eMule z.B. kann gar kein IPv6, würde also überhaupt nicht mehr verbinden können.
    Es behebt also nur das Problem fehlender IPv6-Konnektivität eines Zielhosts, aber nicht das Problem fehlenden IPv6-Supports in der Anwendung.

    Bei einem "normalen" Internet-Anschluß ist das nicht wirklich gangbar, denn dafür gibt es derzeit noch zu viele Programme und Dienste, die nur mit IPv4 arbeiten. D.h. man müßte eine NAT64-Umsetzung in den Kundenrouter implementieren, so daß dessen Heimnetz lokal weiterhin IPv4 zur Verfügung hat. Damit wäre aber gegenüber einem CGN nichts gewonnen.

    Enthusiasten "beschränken" sich aber gerne selber auf NAT64, denn wenn mit NAT64 alles funktioniert hat man die Garantie, daß das LAN perfekt mit IPv6 funktioniert (Denn etwas anders steht ja nicht zur Verfügung).
    Auch in einem Firmennetzwerk kann NAT64 Sinn machen, da die zu verwendenden Anwendungen überschaubar und beeinflußbar sind. Dadurch, daß im Intranet auch nicht mehr mit zwei Adressfamilien hantiert werden muß, kann der administrative Aufwand sogar sinken.

    Ohne NAT64 hätte so ein IPv6-Netzwerk schlichtweg gar keine Möglichkeit mehr, mit IPv4-only-Hosts zu "reden".
  • IPv4-only mit öffentlich erreichbarer IPv4-Adresse
    Aus technischer Sicht ist dies die zweitschlechteste Lösung, weil nur mit einem Teil des Internets kommuniziert werden kann, nämlich nur mit dem, der noch IPv4 kann, nicht aber z.B. mit IPv6-only- oder DS-lite-angebundenen Hosts.
    Im Feld wird das nur noch nicht als so schlimm empfunden, weil der überwiegende Teil des Internets eben noch per IPv4 erreicht werden kann.
    In Wirklichkeit sind aber die Probleme der DS-lite-Kunden eigentlich die Probleme der IPv4-only-Kunden!

    Was diesen Anschluß aber praktisch aufwertet ist die Tatsache, daß man ihn ganz einfach durch Einrichten eines 6in4-, 6rd- oder 6to4-Tunnels zum Dual-Stack-Anschluß aufwerten kann.
  • IPv4-only mit CGN (Carrier Grade NAT)
    Dies ist die denkbar schlechteste aller Lösungen.

    Der Kunde erhält nur IPv4 und diese IPv4 kann dann nicht einmal mehr von außen erreicht werden.
    Von einem solchen Anschluß läßt sich schon ausgehend nur eine Teilmenge des Internets erreichen und eingehend ist man komplett unerreichbar.

    Das ist die Anschlußart, die man bei UMTS/LTE geboten kriegt ...
    Prinzipiell hätten auch die "Festnetz"-Provider, die sich für DS-lite entschieden haben, diese Möglichkeit - als einzig wirklich realisierbare Alternative zu DS-lite - der Anbindung wählen können!

    Man kann zwar auch bei dieser Anbindung einen Tunnel nutzen - sonst würde der SixXS-Tunnel via androiccu auf dem Android ja auch nicht funktionieren - allerdings ist der Overhead hierbei erheblich größer. Außerdem funktioniert nur eine Teilmenge der Tunnel-Lösungen, da z.B. 6in4 eine öffentlich erreichbare IPv4-Adresse erfordern würde.


Titus hat geschrieben:"kompetenzunbelastet" würde ich übrigens zum Wort des Jahres wählen :D

:D
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: IPv6 und Synology

Beitragvon gregorrot » 12.02.2014, 17:45

SpaceRat hat geschrieben:(Das TC7200 hat keine IPv6-Firewall, bzw. Du mußt sie komplett abschalten, sobald Du auf irgendwas zugreifen können willst. Einzelne Geräte oder gar Ports in der IPv6-Firewall freizugeben funktioniert beim TC7200 nicht, es heißt immer "alles oder gar nichts").
Prinzipiell funktioniert es aber auch mit dem TC7200.


Hmmm... und gibt es eine Möglichkeit, die fehlende Firewall dann softwareseitig zu ersetzen? Vermutlich nicht, oder zumindest nicht vernünftig, oder?

LG GR
gregorrot
Kabelneuling
 
Beiträge: 3
Registriert: 12.02.2014, 09:45

Re: IPv6 und Synology

Beitragvon CapFloor » 12.02.2014, 21:41

Bei Einsatz vom TC7200 gibt es dann "nur noch" die Personal Firewalls, die auf den einzelnen Geräten laufen. Aber eine zentrale Firewall, wie in Routern üblich, gib's nicht mehr (muss ja vollständig abgeschaltet werden im TC7200). In diesem Scenario sind im Prinzip alle IPv6 Geräte "Exposed Hosts" (in IPv4 Terminologie) und müssen selbst für ihre Sicherheit sorgen.

Deshalb ist ja das, was UM mit DSLite und TC7200 liefert praktisch nichts Verwendbares, falls Du vom Internet auf Deine Heimgeräte zugreifen willst: IPv4 geht wegen CGN nicht, IPv6 ist wegen abgeschalteter Firewall im Router TC7200 hoch gefährlich (und deshalb nicht ratsam).
Bild
CapFloor
erfahrener Kabelkunde
 
Beiträge: 52
Registriert: 15.09.2011, 18:44

Re: IPv6 und Synology

Beitragvon unity11 » 13.02.2014, 12:27

Hatte letztes Jahr nach einer Vertragsumstellung das gleiche Problem.. Konnte nicht mehr auf meine Synology von außen zugreifen. Ich wurde ohne es zu wissen ( Januar 2013) auf IPV6 umgestellt. Damals war das alles noch ganz neu.
Habe wochenlang rumgemacht und es nicht zum laufen bekommen ( gut ich bin kein Experte) aber ich habe mich dann wieder auf IPV4 umstellen lassen und alles lief wieder ohne Probleme. Würde also die Möglichkeit sich auf IPV4 umstellen zu lassen bzw. den Vertrag anzupassen auch in Betracht ziehen..
unity11
erfahrener Kabelkunde
 
Beiträge: 61
Registriert: 13.11.2012, 16:11

Re: IPv6 und Synology

Beitragvon SpaceRat » 13.02.2014, 12:38

unity11 hat geschrieben:Hatte letztes Jahr nach einer Vertragsumstellung das gleiche Problem.. Konnte nicht mehr auf meine Synology von außen zugreifen. Ich wurde ohne es zu wissen ( Januar 2013) auf IPV6 umgestellt. Damals war das alles noch ganz neu.
Habe wochenlang rumgemacht und es nicht zum laufen bekommen ( gut ich bin kein Experte) aber ich habe mich dann wieder auf IPV4 umstellen lassen und alles lief wieder ohne Probleme. Würde also die Möglichkeit sich auf IPV4 umstellen zu lassen bzw. den Vertrag anzupassen auch in Betracht ziehen..

Man kann's anscheinend nicht oft genug wiederholen:

Die Option, von DS-lite auf IPv4-only (bei KabelBW gelegentlich sogar Dual Stack) umgestellt zu werden, haben bei Unitymedia nur solche Kunden, die als Bestandskunde zuvor bereits IPv4 hatten, wo es also lediglich im Zuge einer Vertragsänderung "verloren" ging.

"Neukunden" (Und "neu" meint fast alle seit ca. September 2012 ...) kriegen aber von Anfang an DS-lite und bleiben dann auch darauf.
Nur bei KabelBW ist es wohl auch für diese nach wie vor auf dem Kulanzwege möglich, auf IPv4 umgestellt zu werden, wenn man dies entsprechend begründet (Zugriff auf die Heizungssteuerung zuhause nicht möglich, VPN in die Firma gestört, o.ä.).
Berichte von Kunden, mit Verweis auf diesen Kulanzweg "aus triftigem Grund" auch bei Unitymedia auf IPv4 umgestellt worden zu sein, sind rein anekdotisch, das habe ich hier im Forum von genau einer Person gelesen.

Die einzige Möglichkeit für einen Neukunden zuverlässig an IPv4 zu kommen ist ein Business-Vertrag.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: IPv6 und Synology

Beitragvon SpaceRat » 13.02.2014, 13:10

gregorrot hat geschrieben:
SpaceRat hat geschrieben:(Das TC7200 hat keine IPv6-Firewall, bzw. Du mußt sie komplett abschalten, sobald Du auf irgendwas zugreifen können willst. Einzelne Geräte oder gar Ports in der IPv6-Firewall freizugeben funktioniert beim TC7200 nicht, es heißt immer "alles oder gar nichts").
Prinzipiell funktioniert es aber auch mit dem TC7200.

Hmmm... und gibt es eine Möglichkeit, die fehlende Firewall dann softwareseitig zu ersetzen? Vermutlich nicht, oder zumindest nicht vernünftig, oder?

Wenn ich's Dir erklären muß: Nein ;-)

Mit dem entsprechenden Hintergrundwissen, der notwendigen Hardware-Ausstattung, etc. pp. kriegt man sicherlich sogar eine Hardware-Firewall bzw. einen MiniPC mit z.B. pfsense als Ersatz eingerichtet.

Sogenannte "Personal Firewalls", welche aus technischer Sicht abzulehnen sind, können die entstandene Lücke zu einem gewissen Teil füllen. So würde man aber nicht seriös arbeiten, also erst eine Lücke zu reißen, um sie dann mehr schlecht als recht zu flicken.

Du mußt im Heimnetz über den Tellerrand hinausdenken, also über den Desktop-PC hinaus:
Da gibt es unzählige Geräte, die auch als Computer durchgehen, z.B. Enigma2-Receiver, Raspberry Pi, NAS, ...
Und viele davon haben - über das, was Du absichtlich nutzt hinaus - noch jede Menge anderer Dienste offen, z.B. ist auf fast jedem E2-Receiver Telnet mit einem primitiven Standardpasswort offen. Diese Geräte waren schon immer dafür konzipiert, nur aus dem Heimnetz vollständig erreichbar zu sein und bestenfalls selektiv ins Internet freigegeben zu werden.

Bist Du nun - wie man das in alten Zeiten mit dem PC direkt am DSL-Modem war (Damals gab's den größten Nachschub an Homemade-Pr0n) - sogar mit jedem verk*ckten Gerät direkt und ungeschützt mit dem Internet verbunden, ist das ein Sicherheitsdesaster. Du müßtest Geräte, die für Direktverbindungen mit dem Internet gar nicht entwickelt wurden, jeweils einzeln durch Firewalls schützen.

Beispiel:
Du hast einen Enigma2-Receiver, über dessen Sicherheit Du Dir bisher nie Gedanken gemacht hast, da er eh nicht aus dem Internet erreichbar ist. Über IPv6 ist er aber Dank der Schrotthardware von UM auf einmal erreichbar, woran Du überhaupt nicht denkst, weil Du an sich einfach nur den HTTPS-Port Deines NAS nach außen öffnen willst, was völlig legitim ist, dabei aber halt eben die Firewall ganz abschalten mußt.

Während Du mit dem NAS bastelst kann sich nun jeder per Telnet mit diesem Receiver verbinden, die wohlbekannten Standardpasswörter wie root:dreambox oder root:HDMU u.ä. durchprobieren und hat nun Zugriff auf die Konsole eines weitgehend vollwertigen Linux-Rechners. Auf diesem installiert er nun OpenSSH, welches standardmäßig das selbe Standard-Passwort nutzen wird. Verwendet der Angreifer jetzt diesen OpenSSH als SOCKSv5-Server, dann hat er danach Vollzugriff auf alle Rechner im Heimnetz, als ob er seinen eigenen Rechner an Deinen TC7200 gesteckt hätte. Wahlweise kann er sich auch ein OpenVPN einrichten ...

Das DK7200 taugt also nur theoretisch. Praktisch kommt man bei Unitymedia/KabelBW um eine Fritz!Box 6360 nicht herum.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: IPv6 und Synology

Beitragvon SpaceRat » 13.02.2014, 13:54

Ein weiteres Problem von Firewalls an der falschen Stelle ist folgendes:

Normalerweise sitzt eine Firewall an Netzgrenzen, schützt also das gesamte Netz (und verhindert ggf. auch bestimmte Aktivitäten aus dem Netz heraus). Innerhalb des Netzes wiederum gelten ja ganz andere Voraussetzungen.
Bestes Beispiel sind CIFS-Server (Also Fileserver. "Windows-Freigaben" sind CIFS-Server und der Linux-Samba ist ein CIFS-Server-Imitat).
Diese will man nicht aus dem Internet erreichbar haben, aber innerhalb des LAN sehr wohl.

Auch einfache SOHO-Router folgen diesem Prinzip:
Innerhalb des Heimnetzes erlauben sie alles (Genau genommen greifen sie hier gar nicht ein ..), kapseln aber das Heimnetz vom Internet ab, bis man es gezielt freigibt.
Dadurch kann man im heimischen LAN zwischen den Geräten darin ohne Einschränkungen alles mögliche hantieren, inkl. dem eigentlich unsicheren Telnet, und ist trotzdem sicher, da diese Dienste ja eben nur aus dem Heimnetz funktionieren.
Wichtig dabei ist: Ein Angriff von innen heraus kommt im Einsatz-Szenario dieser Router nicht vor. In Firmennetzwerken sieht das anders aus, da wird man auch wollen, daß nicht jede Telefonistin alle Entwicklungsunterlagen einsehen oder den Router umkonfigurieren kann.
Für einen SOHO-Router wie eine Fritz!Box sind aber alle Rechner/Nutzer im LAN vertrauenswürdig, weshalb sie gegen Angriffe von innen kaum geschützt ist, was aber eben keine Lücke ist, sondern einfach eine Einschränkung solcher SOHO-Router. Wer mehr will, muß sich halt einen fetten LANCOM, Juniper, Cisco o.ä. zulegen.

Zum Punkt:
Da die Firewall des Routers an der Netzgrenze liegt, kann ich im Heimnetz arbeiten, ohne an der Firewall rumpfuschen zu müssen. Entferne ich diese Firewall und ersetze sie durch Firewalls an der Netzwerkschnittstelle der einzelnen Geräte, dann muß ich fortan immer zwei Regeln pflegen, nämlich eine, die für Zugriffe aus dem Heimnetz gelten und eine für Zugriffe von außen.
Um besagten CIFS-Server aus dem Internet dicht zu machen, muß ich also bspw. Port 445 komplett sperren, danach aber für die IP-Range meines Heimnetzes freigeben, damit ich vom Heimnetz aus noch drauf komme.

In der Windows-Firewall ist das z.B. in dem standardmäßigen Automatik-Modus gar nicht möglich.
Wenn diese fragt, ob <Neues Programm> das Internet nutzen darf und dabei zwei Checkboxen "in privaten Netzen" und "in öffentlichen Netzen" anbietet, dann meint das eben nicht "aus dem lokalen Subnet" und "andere IP-Bereiche", sondern bezieht sich darauf, wie das Netzwerk von uns eingestuft wurde, mit dem wir verbunden sind.

Das spielt an sich nur auf Notebooks bzw. tragbaren Geräten eine Rolle, denn gemeint ist folgendes:
Unser "Heimnetz" haben wir als privates Netzwerk klassifiziert, in dem nur vertrauenswürdige Rechner/Leute arbeiten. Die erste Regel erlaubt nun <Neuem Programm>, in eben solchen vertrauenswürdigen Netzen erreichbar zu sein.
Nehmen wir das Notebook mit und buchen uns damit an einem WLAN-Hotspot ein, dann befinden wir uns auch innerhalb eines LAN, aber in diesem könnte eben genauso gut der Räuber Hotzenplotz eingeloggt sein. Deshalb ist die zweite Regel - welche <Neues Programm> auch in einem solchen "Fremdnetz" erreichbar machen würde - standardmäßig inaktiv.

Kurz:
Die beiden Standardregeln der Windows-Firewall beziehen sich nicht auf die Quelle des Zugriffs, sondern allein den aktuellen Standort unseres Gerätes, bezogen darauf, ob wir das Netzwerk bei dessen Ersteinrichtung als "privates/eigenes" oder "öffentliches" Netz eingestuft haben.

Bei Verwendung eines TC7200 müßte man nun das eigene Heimnetz trotzdem als öffentliches Netz einstufen, da ohne die Firewall Hinz und Kunz drauf zugreifen kann. Danach müßte man für jeden Dienst, den man im Heimnetz auch weiterhin nutzen will, eine Ausnahmeregel für die eigene IP-Range definieren (Was für IPv6 nahezu unmöglich ist, da sich diese wegen des dynamischen Präfixes ständig ändert, Danke Datenschutzidioten).
Sicher wäre das übrigens immer noch nicht, Stichwort IP-Spoofing.
Gewährleisten kann diese Sicherheit eben nur eine externe Firewall an der Netzgrenze, da diese auch Regeln anhand der Schnittstelle hat und was an der WAN-Schnittstelle ankommt kann eben nie LAN-Traffic sein.

Man kriegt das DK7200 also nur dann wirklich sicher, wenn man einen MiniPC mit zwei Netzwerkschnittstellen und pfSense o.ä. zwischen das DK7200 und das Heimnetz hängt, also
DK7200 -> pfSense -> Switch
und dort dann eine ersatzweise Firewall einrichtet.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot], Exabot [Bot], Google [Bot], Majestic-12 [Bot] und 48 Gäste