IPv6-Nutzung geschützt durch privaten Router überhaupt machb

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

IPv6-Nutzung geschützt durch privaten Router überhaupt machb

Beitrag von Ulimit » 31.05.2015, 12:36

Hallo liebes Forum,

hat es irgendjemand überhaupt schonmal geschafft, sein privates Netzwerk mit einem privaten Router hinter dem TC7200 so zu schützen, daß IPv6 darin möglich ist??

Ich teste gerade, ob ein neuer 3play-Zugang etwas für mich ist. Bislang sieht es nicht so aus, da sich IPv6 anscheinend nicht sicher hinter einem privaten Router betreiben oder erreichen lässt.

Überhaupt lassen sich IPv6-Adressen hinter dem TC7200-Router nur dann von außen erreichen, wenn man die IPv6-Firewall auf dem TC7200 komplett ausschaltet. Dann stehen aber alle direkt angeschlossenen Privatgeräte direkt per IPv6 offen im Internet (sofern sie IPv6-fähig sind, was zunehmend Standard ist) und müssten dann jeweils individuell geschützt werden.

Jeder halbwegs vernünftige Router hat heute auch eine konfigurierbare IPv6-Firewall an Board, die private Geräte dahinter schützen kann. Mit am flexibelsten sind OpenWrt-Router, aber selbst damit gelingt es (mir) nicht, IPv6-fähige PCs dahinter ins Internet zu bringen. Unter zahlreichen Verrenkungen bin ich bestenfalls immer nur soweit gekommen, daß der traceroute6 und ping6 über den OpenWrt-Router bis zum TC7200 gelangte, aber dann nicht mehr darüber hinaus.

Mein Fazit ist daher bis auf Weiteres, daß ich mit dem DS-lite von Unitymedia nichtmal IPv6-Adressen privat geschützt und unter eigener Kontrolle nutzen kann (geschweigedenn noch eine echte öffentliche IPv4-Adresse habe). Dann wäre das Internet endgültig zur Einbahnstrasse verkommen und ich habe ein falsches Produkt. :-(

Oder gibt es irgendwo eine Erfolgsgeschichte, die ich bisher übersehen habe?

LG

Leseratte10
Glasfaserstrecke
Beiträge: 1424
Registriert: 07.03.2013, 15:56

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Leseratte10 » 31.05.2015, 17:05

Du brauchst einen OpenWRT-Router mit neuer Firmware und musst den im Betriebsmodus "IPv6-Relay" betreiben.

Andere Möglichkeiten führen bei DS-Lite zu nix. Sowohl die Firmware des TC7200 als auch die Firmware der 6320,6360,6490 ist, was die IPv6-Firewall angeht, fehlerhaft, sodass es momentan meines Wissens keine andere brauchbare Lösung gibt.

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von hajodele » 31.05.2015, 17:37

Das ist übrigens kein klassisches DS-Lite-Problem. Mit DS (also IPv4 +IPv6) steht man vor dem gleichen Problem.
Hier gibt es eine riesige Diskussion zum Thema: http://www.unitymediakabelbwforum.de/vi ... 53&t=23008
Ein Providerwechsel wegen dieses Themas hilft deshalb nicht weiter.

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 31.05.2015, 18:47

Leseratte10 hat geschrieben:Du brauchst einen OpenWRT-Router mit neuer Firmware und musst den im Betriebsmodus "IPv6-Relay" betreiben.
:-) Genausoweit war ich schon, aber auch mit meinem OpenWrt-Router hinter dem TC7200 ist es bestenfalls zu schaffen, bis zum TC7200 aus meinem LAN per IPv6 zu routen. Ich habe auch noch nicht eine Schilderung im Netz gefunden, die weiter gekommen wäre. Ich habe sowohl mit OpenWRT Chaos Calmer RC1, als auch dem noch aktuellen Barrier Breaker keine Möglichkeit gefunden. Es gibt zur näheren Erläuterung auch nicht einen einzelnen Modus "IPv6-Relay", sondern es sind midestens drei Optionen, die sich in diesem Zusammenhang einzeln einstellen lassen:

Router Advertisement-Service: relay mode
DHCPv6-Service: relay mode
NDP-Proxy: relay mode

Obwohl "relay" nahelegt, daß requests auf dem OpenWrt nur "umgeschlagen" werden und dann vom TC7200 beantwortet werden, führen genau diese Einstellungen auf meinem Client-PC (hinter dem OpenWrt) zu nichts. Globale IPv6-Adressen von Unitymedia sind in dieser Betriebsart auf dem Client-PC dann nicht zu finden.

Vielmehr war der normale 'server mode' des DHCPv6-Servers der erfolgreichere. Damit werden IPv6-Adressen aus dem Bereich von Unitymedia an den Client-PC verteillt und sogar über den OpenWrt hinaus zum TC7200 geroutet. Aber ab dem TC7200 geht es eben nicht weiter :-(.

Ich vermute daher fast schon, daß die verstreuten Hinweise auf die Machbarkeit mit OpenWrt-Routern ein sich selbstverbreitender Mythos sind, da man damit normalerweise fast jedes Routing-Problem hinkriegen kann ;-)
Andere Möglichkeiten führen bei DS-Lite zu nix. Sowohl die Firmware des TC7200 als auch die Firmware der 6320,6360,6490 ist, was die IPv6-Firewall angeht, fehlerhaft, sodass es momentan meines Wissens keine andere brauchbare Lösung gibt.
... das sind zwei wichtige Gesichtspunkte:

* Lässt das DS-lite-Konstrukt von Unitymedia überhaupt IPv6-Adressen hinter nachgeschalteten Routern zu? Waren selbst unsaubere Versuche mit "relay modes" schonmal bei irgendjemand erfolgreich? Oder führt das prinzipiell bei DS-lite "zu nix".

* Ist die Firmware des TC7200 fehlerhaft, daß sie selbst bei deaktivierter "IPv6-Schutzfunktion" nicht transparent IPv6 routet? (Ich habe IPv6 auf dem TC7200 übrigens deaktiviert, damit ich aus dem Internet per ssh auf meinen OpenWrt-Router komme (WAN-seitig).
Zuletzt geändert von Ulimit am 31.05.2015, 19:01, insgesamt 3-mal geändert.

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 31.05.2015, 18:57

hajodele hat geschrieben:Das ist übrigens kein klassisches DS-Lite-Problem. Mit DS (also IPv4 +IPv6) steht man vor dem gleichen Problem.
Hier gibt es eine riesige Diskussion zum Thema: http://www.unitymediakabelbwforum.de/vi ... 53&t=23008
Ein Providerwechsel wegen dieses Themas hilft deshalb nicht weiter.
Mit echtem Dual-Stack aus IPv4 und IPv6 hätte man doch auch echtes Routing, warum sollte man damit nicht eigene IPv6-Adressen aus dem Internet ansprechen und selbst schützen können? Genau das ist doch der Sinn von IPv6? Kannst Du das noch etwas erläutern?
Für mich persönlich wäre es schon ein Kündigungsgrund, wenn ich von einem Provider weder öffentliche IPv6- noch IPv4-Adressen bereitgestellt bekomme, mit denen ich eigenverantwortlich umgehen kann. Genau für diesen Zweck wurden Provider doch irgendwann mal erfunden ;-)

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von hajodele » 31.05.2015, 20:17

Ulimit hat geschrieben:Mit echtem Dual-Stack aus IPv4 und IPv6 hätte man doch auch echtes Routing, warum sollte man damit nicht eigene IPv6-Adressen aus dem Internet ansprechen und selbst schützen können?
Das ist falsch oder unglücklich ausgedrückt: Dualstack bedeutet vollständiges IPv4 und vollständiges IPv6.
Für das IPv6 muss man das IPv4 völlig ignorieren.
Das IPv6 von UM ist genau so öffentlich wie das IPv6 der Telekom.
Beide haben eines gemeinsam: Privacy Extensions, die von den Datenschützern gefordert wird.
Dass man hier aktuell nicht weiterkommt ist wohl am ehesten den Routerherstellern geschuldet.
Das TC7200 ist natürlich dafür so was von nicht geeignet.

Les dich doch einfach mal in dem oben genannten Link ein.

P.S. Mit der Fritzbox 6360 ist mir noch eine halbwegs erfolgreiche Lösung zu RDP unter IPv6 eingefallen: http://www.unitymediakabelbwforum.de/vi ... 90&t=29863

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 31.05.2015, 23:04

hajodele hat geschrieben: Das ist falsch oder unglücklich ausgedrückt: Dualstack bedeutet vollständiges IPv4 und vollständiges IPv6.
Für das IPv6 muss man das IPv4 völlig ignorieren.
Ok, IPv4 hatte ich bewusst schon außen vor gelassen, da es sowieso "unvollständig" ist, und es mir in diesem Thread nur noch darum ging, wie unvollständig IPv6 nun tatsächlich in DS-lite realisiert ist oder nicht. Ich sehe weiterhin keine Möglichkeit, die IPv6-Adressen von Unitymedia hinter einem privat-geschützten Router hinter dem fremden TC7200 zu benutzen.
Das IPv6 von UM ist genau so öffentlich wie das IPv6 der Telekom.
Daß globale IPv6-Adressen bei Unitymedia im Spiel sind, wird doch nicht bestritten, ist bei meinem DS-Lite-Zugang ja auch so. Nützt nur eben nicht viel.
Beide haben eines gemeinsam: Privacy Extensions, die von den Datenschützern gefordert wird.
Dass man hier aktuell nicht weiterkommt ist wohl am ehesten den Routerherstellern geschuldet.
Das TC7200 ist natürlich dafür so was von nicht geeignet.
Da bringst Du allerdings eine weiteren wichtigen Punkt, den ich bisher noch nicht ausreichend berücksichtigt hatte . Auch bei meinem Zugang scheinen sich die IPv6-Prefixe seitens des Providers sporadisch zu ändern, ich war mir dessen nur noch nicht 100%-ig sicher, da die langen IPv6-Adressen nicht ganz so leicht zu erfassen sind. Wenn man keinen festen oder zumindest quasistatischen IPv6-Prefix bei Unitymedia hat, erschwert das eine selbstbestimmte Nutzung von IPv6 ja nochmal mehr. :-/
Les dich doch einfach mal in dem oben genannten Link ein.

P.S. Mit der Fritzbox 6360 ist mir noch eine halbwegs erfolgreiche Lösung zu RDP unter IPv6 eingefallen: http://www.unitymediakabelbwforum.de/vi ... 90&t=29863
Danke, für den Hinweis, nur hatte ich das Lesen bereits im Wesentlichen hinter mir und habe dort eben keine Lösungen, sondern auch nur dieselben ungelösten Probleme vorgefunden. Kann natürlich sein, daß ich was übersehen habe, aber eine Nutzung von IPv6 hinter einem privaten Router (der wiederum hinter einem TC7200) hängt, habe ich nirgendwo dokumentiert gesehen.

LG

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von SpaceRat » 01.06.2015, 17:41

Ulimit hat geschrieben:Wenn man keinen festen oder zumindest quasistatischen IPv6-Prefix bei Unitymedia hat, erschwert das eine selbstbestimmte Nutzung von IPv6 ja nochmal mehr. :-/
Jau, vermutlich haben die meisten Provider diesen Unfug ja auch gerade deshalb so begeistert aufgegriffen: Die angeblichen Datenschützer liefern die Ausrede für andauernde Server-Erschwernis als Steilvorlage, danke.

Für Deinen OpenWrt-Router heißt das, daß Du ein Script laufen lassen müßtest, welches regelmäßig das aktuell verkündete Präfix mit dem letzten Kenntnisstand vergleicht und bei einem Wechsel alle Firewall-Regeln neu schreibt.
Schön, gell?

Ulimit hat geschrieben:Danke, für den Hinweis, nur hatte ich das Lesen bereits im Wesentlichen hinter mir und habe dort eben keine Lösungen, sondern auch nur dieselben ungelösten Probleme vorgefunden. Kann natürlich sein, daß ich was übersehen habe, aber eine Nutzung von IPv6 hinter einem privaten Router (der wiederum hinter einem TC7200) hängt, habe ich nirgendwo dokumentiert gesehen.
Ich hab die Schätzchen sogar schon fertig konfiguriert verkauft :)

Die Abnehmer hatten zwar bisher alle Glasfaser (100 MBit/s symetrisch, optional 200 ... :) ), das ändert aber eigentlich nichts, zum Einrichten und Testen muß ich mir das "DS-lite" bzw. "CGN" ja auch erst simulieren.
Darauf, daß der OpenWrt-Router die Router-Advertisements und NDP-Geschichten durchreicht hat der vorgeschaltete Router ja praktisch keinen Einfluß.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 01.06.2015, 19:15

SpaceRat hat geschrieben: Für Deinen OpenWrt-Router heißt das, daß Du ein Script laufen lassen müßtest, welches regelmäßig das aktuell verkündete Präfix mit dem letzten Kenntnisstand vergleicht und bei einem Wechsel alle Firewall-Regeln neu schreibt.
Schön, gell?
Schöne neue Welt! Allerdings wäre das ständige Nachaktualisieren des IPv6-Netzes ja bereits der zweite Schritt, vor dem ersten. Solange schon mit dem aktuellen IPv6-Prefix keine Router-Kaskade möglich ist, ist alles spätere erstmal zweitrangig.
SpaceRat hat geschrieben: Ich hab die Schätzchen sogar schon fertig konfiguriert verkauft :)
... dann aber mal Butter bei die Fische, welche Release von OpenWrt hattest Du im Einsatz? Welche Relay-Mode Einstellungen hattest Du benutzt? (siehe mindestens die drei relay-Optionen aus meinem letzten Beitrag) ...
SpaceRat hat geschrieben: Die Abnehmer hatten zwar bisher alle Glasfaser (100 MBit/s symetrisch, optional 200 ... :) ), das ändert aber eigentlich nichts, zum Einrichten und Testen muß ich mir das "DS-lite" bzw. "CGN" ja auch erst simulieren.
... aber warte mal, das ist ja leider auch wieder ein anderer Plot, wir sprechen hier doch konkret von TC7200 und DS-lite am Kabel von Unitymedia. DS-lite könnte OpenWrt übrigens auch selber, ist ein wählbares WAN-Protocol. Aber wie ich es verstehe, hat man davon ohne integriertes Kabelmodem in seinem Privat-Router nichts.
SpaceRat hat geschrieben: Darauf, daß der OpenWrt-Router die Router-Advertisements und NDP-Geschichten durchreicht hat der vorgeschaltete Router ja praktisch keinen Einfluß.
Ist daraus zu schließen, daß Du RA und NDP auf relay-mode stehen hattest? Welches Router-Modell wäre auch hilfreich.

LG

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von SpaceRat » 01.06.2015, 21:50

Ulimit hat geschrieben:
SpaceRat hat geschrieben:Für Deinen OpenWrt-Router heißt das, daß Du ein Script laufen lassen müßtest, welches regelmäßig das aktuell verkündete Präfix mit dem letzten Kenntnisstand vergleicht und bei einem Wechsel alle Firewall-Regeln neu schreibt.
Schön, gell?
Schöne neue Welt!
Sag ich doch ;)

Was erwartest Du von Blurmany?
Eigentlich sollten solche Spirenzchen mit IPv6 ihr Ende haben: Genug Adressen für alle = statische Präfixe.

Ulimit hat geschrieben:
SpaceRat hat geschrieben:Ich hab die Schätzchen sogar schon fertig konfiguriert verkauft :)
... dann aber mal Butter bei die Fische, welche Release von OpenWrt hattest Du im Einsatz?
Das aktuellste "unstable", also z.B. "OpenWrt Chaos Calmer r44258".
Ulimit hat geschrieben:Welche Relay-Mode Einstellungen hattest Du benutzt? (siehe mindestens die drei relay-Optionen aus meinem letzten Beitrag) ...
Mal die relevanten Abschnitte zum Vergleichen:

network:

Code: Alles auswählen

config interface 'lan'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.99.1'
        option delegate '0'
        option ip6assign '64'
        option bridge 'true'
        option _orig_ifname 'eth1 wlan0 wlan1 tap0 wlan0 wlan1'
        option _orig_bridge 'true'
        option ifname 'radio0.network1 radio1.network1 eth1 tap0'

...

config interface 'wan'
        option ifname 'eth0'
        option _orig_ifname 'eth0'
        option _orig_bridge 'false'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option gateway '192.168.1.254'
        option dns '8.8.8.8 8.8.4.4'

config interface 'wan6'
        option ifname 'eth0'
        option proto 'dhcpv6'
        option reqaddress 'try'
        option peerdns '0'
        option dns '2001:4860:4860::8888 2001:4860:4860::8844'
        option reqprefix 'no'
Nicht über

Code: Alles auswählen

        option ipaddr '192.168.1.1'
        option gateway '192.168.1.254'
wundern.
Die Genexis-Glasfaser-Router sind halt so vorkonfiguriert, daß der Router am Ende des Subnets, also auf IP 192.168.1.254, liegt.
Das ist natürlich für das Drecknikotzlor DK7200 anzupassen, also z.B. auf

Code: Alles auswählen

        option ipaddr '192.168.1.10'
        option gateway '192.168.1.1'

dhcp:

Code: Alles auswählen

config dnsmasq
        option domainneeded '1'
        option boguspriv '1'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases'
        option resolvfile '/tmp/resolv.conf.auto'
        option authoritative '1'
        list rebind_domain 'lan'

config dhcp 'lan'
        option ra 'relay'
        option dhcpv6 'relay'
        option ndp 'relay'
        option start '100'
        option leasetime '12h'
        option limit '150'
        option interface 'lan'
        option force '1'

...

config odhcpd 'odhcpd'
        option maindhcp '0'
        option leasefile '/tmp/hosts/odhcpd'
        option leasetrigger '/usr/sbin/odhcpd-update'

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'

config dhcp 'wan6'
        option dhcpv6 'relay'
        option ra 'relay'
        option ndp 'relay'
        option master '1'
        option interface 'wan'
        option ignore '1'
        option ra_management '1'
Ach ja:
Das Paket "dnsmasq" habe ich durch "dnsmasq-full" ersetzt.

Hardware: Archer C7

Ulimit hat geschrieben:
SpaceRat hat geschrieben:Die Abnehmer hatten zwar bisher alle Glasfaser (100 MBit/s symetrisch, optional 200 ... :) ), das ändert aber eigentlich nichts, zum Einrichten und Testen muß ich mir das "DS-lite" bzw. "CGN" ja auch erst simulieren.
... aber warte mal, das ist ja leider auch wieder ein anderer Plot, wir sprechen hier doch konkret von TC7200 und DS-lite am Kabel von Unitymedia.
Nicht wirklich anders.
Die Aufgabe ist beide Male, das vom Zwangsrouter angebiederte Subnet mit zu nutzen, statt ein eigenes anzufordern.

Zum Simulieren beim Einrichten klemme ich die Teile z.B. einfach hinter meinen Archer, so daß sie als WAN-IP eine private IPv4 sehen (Wie am Glasfaser-Router oder am TC7200 auch) und das vom Archer advertised Subnet durchreichen müssen.
Dabei spielt es keine Rolle, daß mein Archer eine öffentliche IPv4 als WAN-IPv4 hat und für IPv6 einen SixXS-Tunnel nutzt.

Die einzige Zusatzhürde beim DK7200 ist, daß das Mistding inzwischen auch Präfixe delegiert (Was der OpenWrt-Router natürlich dankbarer annimmt als ein Relay), dieses delegierte Präfix aber von außen nicht erreichbar ist.
Das hat aber nur die Auswirkung, daß an den Glasfaser-Teilen auch "hybrid" funktionieren würde (Fällt dann trotzdem auf relay zurück, da kein Präfix delegiert wird), beim DK7200 aber zwingend "relay" gesetzt werden muß, damit das fehlerhaft delegierte Präfix nicht genutzt wird.

Ulimit hat geschrieben:DS-lite könnte OpenWrt übrigens auch selber, ist ein wählbares WAN-Protocol. Aber wie ich es verstehe, hat man davon ohne integriertes Kabelmodem in seinem Privat-Router nichts.
Prinzipiell würde es durchaus funktionieren.
Mit funktionierender Präfix Delegation durch das TC7200 könnte man so den OpenWrt-Router wirklich die ganze Verbindung selber herstellen lassen.
Habe ich auch schon mal probiert, funktionierte aber nicht. Ich hatte wohl auch nicht viel Zeit.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 02.06.2015, 00:41

Wow, SpaceRat, vielen Dank schonmal! Muß ich allerdings erstmal etwas sacken lassen. Habe jetzt schonmal den neuesten Snapshot von OpenWrt Chaos Calmer auf meinen WR1043NDv1 gemacht und dnsmasq-full (statt default dnsmasq) installiert. Ich hatte zwar die Tage auch schonmal einen Snapshot vom 25. Mai drauf, aber war damit auch gescheitert, wie mit den normalen releases. Eine potentielle Lösung steckt wohl eher in den Parameterwüsten ...

LG

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 02.06.2015, 22:48

Angelehnt an Deine Konfigs, SpaceRat, habe ich mich jetzt durchgewurschtelt und nun ebenfalls ein funktionierendes Setup!
Hinter dem TC7200 habe ich nun einen WR1043NDv1 mit OpenWrt Chaos Calmer 15.05-rc1 (r45695) und dnsmasq-full. IPv4 und IPv6 "Schutz" auf dem TC7200 ist deaktiviert.

Da ich leichte Abwandlungen habe, hier meine essentiellen Konfigs:

Code: Alles auswählen

 /etc/config/network:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd8b:5571:fed8::/48'

config interface 'lan'
        option ifname 'eth0.1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option delegate '0'

config interface 'wan'
        option ifname 'eth0.2'
        option _orig_ifname 'eth0.2'
        option _orig_bridge 'false'
        option proto 'static'
        option netmask '255.255.255.0'
        option gateway '192.168.0.1'
        option dns '8.8.8.8 8.8.4.4'
        option ipaddr '192.168.0.10'

config interface 'wan6'
        option ifname 'eth0.2'
        option _orig_ifname 'eth0.2'
        option _orig_bridge 'false'
        option proto 'dhcpv6'
        option peerdns '0'
        option dns '2001:4860:4860::8888 2001:4860:4860::8844'
        option reqprefix 'no'
        option reqaddress 'none'

config switch                       
        option name 'switch0'       
        option reset '1'                                      
        option enable_vlan '1'
                                    
config switch_vlan                                            
        option device 'switch0'
        option vlan '1'         
        option ports '1 2 3 4 5t'                             
                               
config switch_vlan              
        option device 'switch0'  
        option vlan '2'        
        option ports '0 5t'
-----------------------------------------

/etc/config/dhcp:

config dnsmasq
        option domainneeded '1'
        option boguspriv '1'
        option localise_queries '1'
        option rebind_protection '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases'
        option resolvfile '/tmp/resolv.conf.auto'
        option authoritative '1'
        option rebind_localhost '1'

config dhcp 'lan'
        option interface 'lan'
        option ra 'relay'
        option dhcpv6 'relay'
        option ndp 'relay'
        option start '100'
        option limit '150'
        option leasetime '12h'

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'

config odhcpd 'odhcpd'
        option maindhcp '0'
        option leasefile '/tmp/hosts/odhcpd'
        option leasetrigger '/usr/sbin/odhcpd-update'

config dhcp 'wan6'
        option dhcpv6 'relay'
        option ra 'relay'
        option ndp 'relay'
        option master '1'
        option interface 'wan'
        option ignore '1'
        option ra_management '1'

---------------------------------------
Das Endergebnis von dem ganzen Aufriss sieht nun so aus, daß ich jetzt WAN- und LAN-seitig den gleichen globalen /64 Prefix auf dem OpenWrt-Router und auf dem dahinter angeschlossenen Test-PC habe. Will ich per IPv6 aus dem Internet auf den PC zugreifen, muß ich auf dem OpenWrt eine zusätzliche Firewall-Regel anlegen, die das zulässt. Ich habe das exemplarisch für SSH einmal gemacht und das hat funktioniert.

Ein paar der Abwandlungen sind:
Mein TC7200 hat LAN-seitig 192.168.0.1/24, daher habe ich meine statische Konfig auf dem OpenWrt entsprechend gewählt. -- Mit reqaddress 'none' statt 'try' bekomme ich ein /64 statt eines /128 vom TC7200.

Wichtige Knackpunkte, um die Routerkonfig halbwegs zu verstehen, sind aus meiner (beschränkten) Sicht folgende: Nicht nur auf der LAN-Seite ist DHCPv6 relay mode nötig ( wie ich zuerst dachte), sondern zusätzlich auch auf seiner WAN-Seite. Die verschiedenen Einstelloptionen in den Textfiles und ihre Repräsentanz in der GUI (luci) sind ziemlich verwirrend. Manche Deiner Optionen, SpaceRat, konnte man über die GUI glaube ich gar nicht erreichen. -- In der default-config von dnsmaq-full fehlten Einträge zum odhcpd, welche in der Konfig des "normalen" dnsmasq noch vorhanden waren. -- In der GUI tauchen die deaktivierten DHCPv4 - und aktivierten DHCPv6-Optionen unter 'Interfaces WAN' statt WAN6 auf. Alles wenig intuitiv und verwirrend, aber mit Anstrengung noch halbwegs nachzuvollziehen. Allerdings sind diese relay-modes wohl auch sehr ungebräuchlich, da ist die usability von luci zu verschmerzen.

Grundlegend scheint die Thread-Frage damit erstmal beantwortet zu sein.

Weiteres lässt sich irgendwann mal klären, wie eventuell sporadisch wechselnde Prefixe oder die Entfernung der Google-Server aus obigen Konfigs (falls man das vorzieht).

LG

PS: Diese schrägen /62 tauchen auf dem Client-PC mit obigen Konfigs nun auch nicht mehr auf. Ich vermute mal, das sind diese unerwünscht delegierten Prefixe, von denen Du schriebst.

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 04.06.2015, 19:33

Hello again,

ich habe nochmal ein wenig geschaut, welche Freiheitsgrade man in Richtung Hardware und Software mit dem Relay-Setup noch hat. Dazu habe ich mir jetzt noch einen TP-Link WR1043NDv2 geliehen. Dieser ist das Nachfolgemodell von v1 und hat neben dem schwarzblauen (statt weißen) Gehäuse nun zwei echte Ethernet-Interfaces (statt einem einzigen, welches nur virtuell durch zwei VLANs geteilt ist).

Installiert habe ich darauf diesmal den aktuellen Release Candidate (rc1) von OpenWrt Chaos Calmer, es muß also nicht unbedingt die bleeding-edge Entwicklerversion sein, wie beim letzten Mal. Auch muss man nicht zwingend das Paket dnsmasq-full installieren, es reicht bei mir für die Relay-Funktionalität auch die etwas abgespeckte Paketvariante dnsmasq-dhcpv6.

Minimal "abgeschliffen" habe ich noch die dhcp config, da folgende Option der default ist und daher nicht explizit eingetragen sein muß:

Code: Alles auswählen

option ra_management '1'
(natürlich macht das bewusste Eintragen aber schon Sinn, wenn man die absolute Kontrolle will)

Die relevanten Konfigs für network und dhcp des neuen Router-Modells WR1043NDv2 sehen bei mir jetzt so aus:

Code: Alles auswählen

etc/config/network:
 
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd3b:25c9:2d1c::/48'

config interface 'lan'
        option ifname 'eth1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option delegate '0'

config interface 'wan'
        option ifname 'eth0'
        option _orig_ifname 'eth0'
        option _orig_bridge 'false'
        option proto 'static'
        option ipaddr '192.168.0.11'
        option netmask '255.255.255.0'
        option gateway '192.168.0.1'
        option dns '8.8.8.8 8.8.4.4'

config interface 'wan6'
        option ifname 'eth0'
        option proto 'dhcpv6'
        option reqaddress 'none'
        option reqprefix 'no'
        option peerdns '0'
        option dns '2001:4860:4860::8888 2001:4860:4860::8844'
[...]
---------------------------------------

etc/config/dhcp:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd3b:25c9:2d1c::/48'

config interface 'lan'
        option ifname 'eth1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '64'
        option delegate '0'

config interface 'wan'
        option ifname 'eth0'
        option _orig_ifname 'eth0'
        option _orig_bridge 'false'
        option proto 'static'
        option ipaddr '192.168.0.11'
        option netmask '255.255.255.0'
        option gateway '192.168.0.1'
        option dns '8.8.8.8 8.8.4.4'

config interface 'wan6'
        option ifname 'eth0'
        option proto 'dhcpv6'
        option reqaddress 'none'
        option reqprefix 'no'
        option peerdns '0'
        option dns '2001:4860:4860::8888 2001:4860:4860::8844'

config dhcp 'wan6'
        option interface 'wan'
        option ignore '1'     
        option ra 'relay'
        option dhcpv6 'relay'
        option ndp 'relay'   
        option master '1'
---------------------------------------------
Der vom TC7200 übergebene /64 Prefix ist übrigens seit meinem letzten Beitrag vor 2 Tagen noch der gleiche geblieben. Gibt es Erfahrungswerte, nach welcher Zeitspanne der sich ändert? Oder kann es einem "passieren", daß man einen konstanten IPv6-Prefix von Unitymedia bekommt?

LG

PS: @SpaceRat, Du hattest noch eine Option "list rebind_domain 'lan'" eingetragen -- ist das nur eine individuelle Geschichte in Deinem privaten Netzwerk oder steckt da mehr dahinter?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von SpaceRat » 05.06.2015, 20:20

Ulimit hat geschrieben:Der vom TC7200 übergebene /64 Prefix ist übrigens seit meinem letzten Beitrag vor 2 Tagen noch der gleiche geblieben. Gibt es Erfahrungswerte, nach welcher Zeitspanne der sich ändert? Oder kann es einem "passieren", daß man einen konstanten IPv6-Prefix von Unitymedia bekommt?
Es gibt bestimmt Erfahrungswerte, Du wirst ja auch welche machen :)
Konstant ist es nicht, aber ich glaube es hält schon eine ganze Weile.

Die Änderungen sind auch nicht sofort zu erkennen, da minimal.
Nach dem bißchen Erfahrung daß ich mit IPv6-Adressvergabe bei UM habe würde ich sagen: Dein /56, /57 oder /58 rotiert langsam durch ein übergeordnetes /40 oder kleiner.
Ulimit hat geschrieben:PS: @SpaceRat, Du hattest noch eine Option "list rebind_domain 'lan'" eingetragen -- ist das nur eine individuelle Geschichte in Deinem privaten Netzwerk oder steckt da mehr dahinter?
Eine Rebind-Attacke ist das Versauen eines DNS-Servers mit lokalen IPs als Rückgabewert, d.h. für den externen Server Z würde eine lokale IP zurückgeliefert.
Das kann man dann per Cross-Site-Scripting u.ä. ausnutzen, damit ein Client in Deinem LAN einem externen Server X Daten von einem LAN-internen Server Y zuspielt, während der Client meint, auf besagten externen Server Z zuzugreifen.

Das wird verhindert, indem der DNS-Server/-Proxy im LAN keine internen IPs an Clients zurückmeldet.
Ich bin mir jetzt nicht ganz sicher ob dnsmasq das für seine LAN-Domäne (In dem Beispiel "lan") automatisch ausläßt (Da sind die internen IPs ja gewünscht) oder nicht. Daher der Eintrag des lokalen LANs "lan" in die Liste der rebind domains.
"lan" ist ja bei OpenWrt die Voreinstellung für das, was bei der Fritz!Box "box" bzw. "fritz.box" ist.

Was da übrigens auch noch mit rein muß sind sämtliche DynDNS-Hostnames, die Du so nutzt!

Beispiel:
Du legst einen DynDNS-Host www.ulimit.mooo.com für einen Web-Server in Deinem LAN an und aktualisierst diesen mit dessen aktueller IPv6, beim aktuellen Präfix 2001:db8:dead:beef::/64 z.B. 2001:db8:dead:beef:21:09ff:fe03:1234.
Wenn Du nun diesen Hostname www.ulimit.mooo.com auch aus Deinem LAN heraus aufrufen willst - das ist ja das Schöne an IPv6, daß es keine unterschiedlichen Adressen intern/extern mehr gibt, also alle Hosts weltweit und damit auch im eigenen LAN gültig sind - dann wird dnsmasq die zurückgemeldete IPv6 2001:db8:dead:beef:21:09ff:fe03:1234 je nach Einstellung ebenfalls als Rebind-Angriff werden, da sie im eigenen LAN liegt.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 05.06.2015, 23:04

SpaceRat hat geschrieben: Es gibt bestimmt Erfahrungswerte, Du wirst ja auch welche machen :)
Yep, ich kriege zufällig gerade einen neuen rein :) : mindestens 4 Tage ist das /64 jetzt unverändert. Was mich anfangs irritiert hatte, war das delegierte /62, aber dieser Prefix ist ja jetzt weg.
SpaceRat hat geschrieben: Konstant ist es nicht, aber ich glaube es hält schon eine ganze Weile.
Wer bietet mehr? ;)
SpaceRat hat geschrieben: Eine Rebind-Attacke ist das Versauen eines DNS-Servers mit lokalen IPs als Rückgabewert, d.h. für den externen Server Z würde eine lokale IP zurückgeliefert.
Das kann man dann per Cross-Site-Scripting u.ä. ausnutzen, damit ein Client in Deinem LAN einem externen Server X Daten von einem LAN-internen Server Y zuspielt, während der Client meint, auf besagten externen Server Z zuzugreifen.

Das wird verhindert, indem der DNS-Server/-Proxy im LAN keine internen IPs an Clients zurückmeldet.
Ich bin mir jetzt nicht ganz sicher ob dnsmasq das für seine LAN-Domäne (In dem Beispiel "lan") automatisch ausläßt (Da sind die internen IPs ja gewünscht) oder nicht. Daher der Eintrag des lokalen LANs "lan" in die Liste der rebind domains.
"lan" ist ja bei OpenWrt die Voreinstellung für das, was bei der Fritz!Box "box" bzw. "fritz.box" ist.

Was da übrigens auch noch mit rein muß sind sämtliche DynDNS-Hostnames, die Du so nutzt!

Beispiel:
Du legst einen DynDNS-Host http://www.ulimit.mooo.com für einen Web-Server in Deinem LAN an und aktualisierst diesen mit dessen aktueller IPv6, beim aktuellen Präfix 2001:db8:dead:beef::/64 z.B. 2001:db8:dead:beef:21:09ff:fe03:1234.
Wenn Du nun diesen Hostname http://www.ulimit.mooo.com auch aus Deinem LAN heraus aufrufen willst - das ist ja das Schöne an IPv6, daß es keine unterschiedlichen Adressen intern/extern mehr gibt, also alle Hosts weltweit und damit auch im eigenen LAN gültig sind - dann wird dnsmasq die zurückgemeldete IPv6 2001:db8:dead:beef:21:09ff:fe03:1234 je nach Einstellung ebenfalls als Rebind-Angriff werden, da sie im eigenen LAN liegt.
Sehr gute Erklärungen, vielen Dank, SpaceRat! In der GUI nennt sich die Option 'Domain whitelist' (hab's gerade erst gefunden) und ist kommentiert mit "List of domains to allow RFC1918 responses for". Da die Option per default leer ist, werden erstmal generell keine domains aufgelöst, wenn die gelieferte Adresse aus RFC1918 stammt. Demnach beträfe die Option eigentlich nur die IPv4-Adressen aus:
  • 10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16
... und keine IPv6-Adressen. Ich denke, ich werde das jetzt erstmal so lassen, und keine domain dort "whitelisten" (auch nicht 'lan'). Soltte ich deswegen dann irgendwann auf Probleme stossen, werde ich mich an Deine weisen Worte erinnern (hoffentlich ;) ) und entsprechend handeln.

LG

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von SpaceRat » 05.06.2015, 23:39

Ulimit hat geschrieben:Sehr gute Erklärungen, vielen Dank, SpaceRat! In der GUI nennt sich die Option 'Domain whitelist' (hab's gerade erst gefunden) und ist kommentiert mit "List of domains to allow RFC1918 responses for". Da die Option per default leer ist, werden erstmal generell keine domains aufgelöst, wenn die gelieferte Adresse aus RFC1918 stammt. Demnach beträfe die Option eigentlich nur die IPv4-Adressen aus:
Wenn das Wörtchen "wenn" nicht wäre ... oder in diesem Fall das Wörtchen "eigentlich".

Zumindest die Fritz!Box dehnt den Rebind-Schutz auch auf "IPv6-Adressen die aus dem eigenen LAN stammen" aus.

Und vom Prinzip her hat AVM damit auch Recht:
Angenommen Du hast einen Xampp-Server auf ::affe (Ich mach's mal mit möglichst kurzen Addis, wird mir zu lästig sonst), der auch nur aus dem LAN erreichbar sein soll, also keine Firewall-Regel kriegt. Du hast sogar den Server so abgesichert, daß er nur Anfragen aus dem LAN beantwortet ...

Nun surfst Du aber auf die Seite von jemandem der etwas von diesem Server wissen will, sagen wir auf www.seineseite.de.
Dann kann er dafür sorgen, daß Dein Webbrowser
- erst Deinen Xampp-Server befragt (Darf er ja, er - also der Rechner auf dem Dein Browser läuft - ist ja in Deinem LAN)
und
- die Daten dann per POST an den Web-Server sendet, den Du gerade besuchst,
nur indem er dafür sorgt, daß z.B. images.seineseite.de auf die IPv6 Deines Xampp-Servers aufgelöst wird.

Die Rebind-Problematik besteht also durchaus, auch wenn das Beispiel natürlich etwas konstruiert ist, denn wer sollte einen Web-Server aufsetzen, nur um Deinen Xampp-Server zu befragen, wieso solltest Du ausgerechnet seinen Server besuchen und woher weiß er die IPv6 Deines Xampp-Servers?

Wir können es aber auch deutlich weniger abwegig machen:
Angenommen Du hast einen Enigma2-Receiver, suchst Hilfe beim Einrichten für IPv6 im digital-eliteboard und postest - trottelig wie Du bist - irgendwo die IPv6 Deines Enigma2-Receivers, damit wäre der Punkt woher man die IPv6 hat schonmal geklärt.
Der User "HilfreicherDieb" erklärt Dir dieses jenes und welches und rät Dir, doch mal auf der Seite www.testcam.de irgendeinen Test zur Eingrenzung Deines Problems zu machen.
Irgendwo auf seiner Seite steckt ein Script, welches folgende Adresse nachladen will:

Code: Alles auswählen

http://test1.testcam.de/file?file=/etc/tuxbox/config/oscam/oscam.server
Kenner sehen gleich was er da vorhat, nämlich die Datei mit den CS-Servern von einer E2-Box herunterzuladen, augenscheinlich zwar nicht von Deiner sondern von der Box mit der Adresse test1.testcam.de ...
... aber was passiert wohl, wenn der DNS-Eintrag dafür auf die IPv6 zeigt, die Du vorher trottelig ins Forum gepackt hast?
Richtig, dann lädt Dein Browser eben diese Datei herunter. Ein weiteres Script auf www.testcam.de sorgt dann dafür, daß Du die Datei postwendend dorthin hochlädst ...

Das ist nicht ganz so trivial, aber offensichtlich ist die Menschheit so blöde, daß inzwischen ja sogar Spam-Mails verschickt werden, in denen sich unverhohlen ein Link mit dem Titel "Download Virus" befindet ...

Ergo:
Es macht schon Sinn, den Rebind-Schutz so zu interpretieren, daß auch das lokale IPv6-Subnetz davon erfaßt wird.

Ulimit hat geschrieben:keine domain dort "whitelisten" (auch nicht 'lan').
Das hingegen ist eigentlich schon sinnvoll (Wenn nicht lan oder was auch immer Du für Dein LAN eingestellt hast automatisch freigegeben werden).

Man will ja eigentlich schon, daß man im LAN nicht mit IPs hantieren muß, um auf Gerät X zuzugreifen.
Wenn ich auf meinen Receiver zugreife, dann soll der schon unter

Code: Alles auswählen

http://e2box/
oder wie auch immer er wirklich heißt im LAN erreichbar sein, da jedes Mal 192.168.99.5 eingeben zu müssen wäre ja irgendwie dämlich.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 06.06.2015, 10:48

SpaceRat hat geschrieben: Zumindest die Fritz!Box dehnt den Rebind-Schutz auch auf "IPv6-Adressen die aus dem eigenen LAN stammen" aus.
Um sich Gewissheit zu verschaffen, wird wohl ein echter Test am besten sein. Ich habe Zugriff auf einen externen Nameserver im Internet und könnte dort mal testweise einen Address-Record eintragen, der auf eine IPv6-Adresse in meinem Unitymedia-Netz zeigt. Wenn ich dann von meinem "geschützten" LAN aus auf einen gleichnamigen Webserver in meinem lokalen Netzwerk zugreifen will, dürfte ich für diesen Webserver ja keine Namensauflösung bekommen, wenn eine Rebind-Protection greift.

Das wäre allerdings auch irgendwie blöd, wenn ich meinen eigenen Webserver zuhause nicht genauso ansprechen könnte, wie jeder andere User es vom Internet aus könnte. - Sollte der Webserver jedoch lokal Webseiten über diese aufgelöste IPv6-Adresse ausliefern, dann bestünde eine Anfälligkeit für Rebind-Attacken (wenn ich Dich richtig verstehe).

Mein Test wird allerdings ein oder zwei Tage auf sich warten lassen, da ich eine sehr lange Time-To-Live auf dem DNS habe (bis also Änderungen aktualisiert sind).
SpaceRat hat geschrieben: (Wenn nicht lan oder was auch immer Du für Dein LAN eingestellt hast automatisch freigegeben werden).
Die lokale Domain muß man IMHO nicht nochmal extra "whitelisten". Trage ich z.B. den hostnamen 'alice' mit einer Adresse 192.168.1.50 (RFC1918) in die hosts auf dem OpenWrt-Router ein, kann ich den Namen alice oder auch alice.lan im LAN ohne Probleme auflösen. Maßgeblich sind dafür offenbar die zwei GUI-Optionen:
  • Local server /lan/
    Local domain lan

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 07.06.2015, 22:37

Ulimit hat geschrieben: Um sich Gewissheit zu verschaffen, wird wohl ein echter Test am besten sein.
Der Test zeigt, daß der lokale IPv6-Webserver seine Namesauflösung über den OpenWrt-Router aus dem Internet erhält. Der lokale Browser greift dann über die zurückgemeldete, globale IPv6-Adresse auf den lokalen Webserver zu.

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 22.06.2015, 22:43

Ulimit hat geschrieben: Es gibt zur näheren Erläuterung auch nicht einen einzelnen Modus "IPv6-Relay", sondern es sind midestens drei Optionen, die sich in diesem Zusammenhang einzeln einstellen lassen:

Router Advertisement-Service: relay mode
DHCPv6-Service: relay mode
NDP-Proxy: relay mode
Ich klinke mich hier mal ein, denn ich habe exakt das selbe Problem: ipv6/ds-lite und ein Heimserver, der von außen erreicht werden soll. Zwischen der FB6490 und dem Server hängt ein OpenWRT, der verschiedene Netze bei mir per VLAN trennt. Der WAN des OpenWRT ist dann die FB, und beide Router sind mit einer Funkbrücke verbunden, wobei der OpenWRT als Client im Netz der FB angemeldet ist.

Die OpenWRT-Version ist bei mir 14.07. Wo finde ich die erste der oben genannten 3 Optionen im Menü?

Ich muss gestehen, daß ich mit ip6 noch nicht so viel Erfahrung habe, wie ich gerne hätte. :( Darum wäre ich sehr dankbar, wenn jemand, der sich damit auskennt, eine Anleitung "für dummies" schreiben oder darauf verlinken würde, am besten mit Bildern, wie man das mit der Luci-Oberfläche hinbekommt, oder die entsprechenden Dateien aus /etc/config/ zusammenschreibt, und mit reichlich Kommentaren versieht, so daß man es auch als weniger geübter Netzwerker nachvollziehen kann.

Wichtig wären auch Dinge wie: wo kriege ich diese Netzwerk-ID her, die die FB beim Eintrag der Weiterleitung gerne hätte?

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 23.06.2015, 22:07

Fruchtzwerg hat geschrieben: Die OpenWRT-Version ist bei mir 14.07. Wo finde ich die erste der oben genannten 3 Optionen im Menü?
Zunächst würde ich von 14.07 auf Chaos Calmer (z.B.15.05-rc1) upgraden, gerade die IPv6-Optionen sind dort fortgeschrittener. (Einfach das OpenWrt-Image mit "sysupgrade" im Namen für Dein Router-Modell besorgen und in der GUI/luci drüberbügeln).

Die relay-Optionen beziehen sich auf DHCPv6 und müssen, wie ich schon schrieb, sowohl auf dem äußeren sowie dem inneren Interface des Routers gesetzt werden. Also unter DHCP-Server von LAN und DHCP-Server von WAN/WAN6.
Fruchtzwerg hat geschrieben: Ich muss gestehen, daß ich mit ip6 noch nicht so viel Erfahrung habe, wie ich gerne hätte. :( Darum wäre ich sehr dankbar, wenn jemand, der sich damit auskennt, eine Anleitung "für dummies" schreiben oder darauf verlinken würde, am besten mit Bildern, wie man das mit der Luci-Oberfläche hinbekommt, oder die entsprechenden Dateien aus /etc/config/ zusammenschreibt, und mit reichlich Kommentaren versieht, so daß man es auch als weniger geübter Netzwerker nachvollziehen kann.
... dann würde ich Dir empfehlen, zunächst die von mir bereits erwähnten Pakete in OpenWrt nachzuinstallieren und dann einfach die /etc/config/dhcp und /etc/config/network direkt zu übernehmen, wie sie hier im Thread bereits stehen .... also direkt zu kopieren oder ggf. noch zu editieren, wenn Deine physikalischen Interfaces anders heißen sollten. Von dort aus würde Dir sicher Vieles klarer, weil Du dann sehen würdest, wo die ganzen Optionen in der GUI abgebildet sind. Aber free lunch zu erwarten, dürfte bei der Komplexität des Themas nicht funktionieren (zumindest diesen Thread wirst Du leider vollständig lesen müssen).

Ich muß aber Deine Hoffnungen noch mehr dämpfen. Mit dem Setup kann man zwar geschützt durch seine eigene Firewall IPv6 in- und outgoing betreiben, aber nach einigen Tagen kann sich schonmal die IPv6-Adresse des UM-Zwangsrouters ändern, und dann müsste man entweder mit einem automatischen Skript darauf reagieren oder mit einem DynDNS für IPv6 arbeiten. Letzteres werde ich in nächster Zeit einmal ausprobieren, würde für meine Ansprüche eventuell ausreichen.
Fruchtzwerg hat geschrieben: Wichtig wären auch Dinge wie: wo kriege ich diese Netzwerk-ID her, die die FB beim Eintrag der Weiterleitung gerne hätte?
Dazu kann ich leider nichts sagen, da ich einen TC7200 bekommen habe.

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 24.06.2015, 09:22

Danke für die Antwort. :)

Es gibt zwei Probleme:

1. Für meine TP-Link ist die Version 15 noch nicht verfügbar.
2. Ich habe Geräte im Netzwerk, die definitiv nicht ip6-fähig sind.

Das erste Problem wäre wohl nur eine Frage der Zeit. Was aber mache ich mit den ip4-Geräten? Darunter ist eines, das auch von außen erreichbar sein soll, aber selber nicht das innere Netz erreichen soll. (DMZ) Ich schätze, da habe ich überhaupt keine Chance, oder?

Ulimit
Kabelneuling
Beiträge: 24
Registriert: 31.05.2015, 11:22

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Ulimit » 24.06.2015, 10:17

Fruchtzwerg hat geschrieben: Was aber mache ich mit den ip4-Geräten? Darunter ist eines, das auch von außen erreichbar sein soll, aber selber nicht das innere Netz erreichen soll. (DMZ) Ich schätze, da habe ich überhaupt keine Chance, oder?
Hi, in diesem Thread geht es nur um "IPv6-Nutzung". Wenn Du IPv4-Services betreiben willst, müsstest Du einen eigenen Thread dafür aufmachen. Sicherlich gibt es zur IPv4-Problematik auch schon einige alte Beiträge. Meine persönliche Einschätzung ist, daß man nur mit einer privaten IP (RFC1918) von Unitymedia schlechte Karten hat.

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 24.06.2015, 10:42

Ulimit hat geschrieben:Hi, in diesem Thread geht es nur um "IPv6-Nutzung".
Darum geht es ja auch bei mir. :)

Ich habe ja IPv6 von UM bekommen, und muss jetzt eine Lösung für mein vorhandenes Netzwerk finden, oder der Vertrag widerrufen. Einige meiner/unserer Geräte sind zu IPv6 fähig, einige nicht. Zum Glück sind unter den "unfähigen" die weniger wichtigen Geräte, aber die sind eben trotzdem nicht absolut unwichtig. Die Geräte, die V6 können, könnten evtl einen Teil der Funktionen der anderen Geräte mit übernehmen, aber auch eben nur einen Teil.

Wichtig wäre jetzt erst mal, überhaupt eine Erreichbarkeit von außen für einige der IPv6-Geräte zu schaffen, und diese Erreichbarkeit für alle möglichen Endgeräte im Internet zu gewährleisten, also ohne, daß dort Zusatzprogramme oder Apps installiert werden müssen.

Wenn das schon mal nicht geht, hat sich für mich das Thema Unitymedia sowieso erledigt.

hajodele
Kabelkopfstation
Beiträge: 4819
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von hajodele » 24.06.2015, 10:44

Fruchtzwerg hat geschrieben:Das erste Problem wäre wohl nur eine Frage der Zeit. Was aber mache ich mit den ip4-Geräten?
Vielleicht ist so was das Gegebene: http://www.feste-ip.net/

Fruchtzwerg
Kabelexperte
Beiträge: 112
Registriert: 22.06.2015, 14:08

Re: IPv6-Nutzung geschützt durch privaten Router überhaupt m

Beitrag von Fruchtzwerg » 24.06.2015, 10:46

Ja, danke, das hatte ich schon gesehen. Aber eine weitere Kostenstelle wollte ich nicht aufmachen.

Ich sehe gerade noch mal diesen Satz auf der Seite:
Geräte hinter Ihrem Anschluss sind von IPv4 Geräten nicht mehr erreichbar.
Wenn das stimmt, dann sind alle Mobiltelefone schon mal raus aus dem Rennen, und das hieße dann für mich "Tschüss, Unitymedia!" :traurig:

Antworten

Wer ist online?

Mitglieder in diesem Forum: Conan179 und 6 Gäste