Connectbox / IPv6 / FTP- Server

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Benutzeravatar
sasch
Kabelneuling
Beiträge: 20
Registriert: 22.06.2009, 20:32
Wohnort: Paderborn
Kontaktdaten:

Connectbox / IPv6 / FTP- Server

Beitrag von sasch » 16.09.2016, 08:44

Hallo,

folgendes Szenario:

Connectbox (DS-Lite, WLAN aus, Telefon nicht angeschlossen) im Keller --> LAN PLC Verbindung in die Wohnung, eine Apple Airport Extreme Basistation als Bridge (oben) als WLAN AP / Switch

Im Keller ist an LAN 2 der Connectbox ein FTP Server (Zyxel NSA-325v2) angeschlossen.

Von IPv4 habe ich mich schon verabschiedet, also alles auf IPv6 umgestellt.

Problem:
Wenn die IPv6 Firewall eingeschaltet ist, komme ich von aussen nicht auf den FTP. Schalte ich sie aus, klappt es (vorausgesetzt man hat die IPv6 Adresse richtig eingegeben :p)!

Allerdings habe ich nirgens eine Möglichkeit gefunden die FW zu konfigurieren. --> Das ist doch nicht euer ERNST Unitymedia, oder?!
Aussgeschaltet lassen wäre ja nicht das Thema wenn die Box einen Bridge- Modus hätte, aber da ich die Routingfunktion der Connectbox in DE nicht ausschalten kann, müsste ich ja doppeltes NAT machen wenn ich eine Firewall / 2. Router hinterschalten würde - inakzeptabel.

Ich hoffe jemand hat eine Idee, wie das laufen könnte... Business Anschluss steht mir leider nicht mehr zu, da ich Aufgrund von Festanstellung --> Geschäftsaufgabe :p ... Außerdem brauche ich IPv4 eigentlich nicht...
Just make sure you don't fall into a temporal causality loop!
Irgendwas mit 120.000

Benutzeravatar
Andreas1969
Network Operation Center
Beiträge: 6738
Registriert: 05.03.2015, 07:50
Wohnort: Unitymedia NRW

Re: Connectbox / IPv6 / FTP- Server

Beitrag von Andreas1969 » 16.09.2016, 09:31

sasch hat geschrieben:Business Anschluss steht mir leider nicht mehr zu, da ich Aufgrund von Festanstellung --> Geschäftsaufgabe ...
Den bekommst Du aber auch als Privatperson.
Mir wollen die den Business Anschluss jedes mal
aufquatschen, wenn ich mich beschwere.

Gruß Andreas
Denken gehört zu den schwersten Dingen, die man tun kann. Vielleicht ist das der Grund, warum es so Wenige tun. :kratz:
Bild
Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach. :D

tq1199
Glasfaserstrecke
Beiträge: 1680
Registriert: 07.02.2014, 09:05

Re: Connectbox / IPv6 / FTP- Server

Beitrag von tq1199 » 16.09.2016, 10:34

sasch hat geschrieben: Problem:
Wenn die IPv6 Firewall eingeschaltet ist, komme ich von aussen nicht auf den FTP. Schalte ich sie aus, klappt es (vorausgesetzt man hat die IPv6 Adresse richtig eingegeben :p)!

Allerdings habe ich nirgens eine Möglichkeit gefunden die FW zu konfigurieren. --> Das ist doch nicht euer ERNST Unitymedia, oder?!
Warum ist das ein Problem für dich? Dein Gerät mit FTP, hat eine öffentliche IPv6-Adresse und ist aus dem Internet direkt erreichbar. Im Zeitalter von IPv6 wird auf dem Router keine "Firewall" mehr benötigt.

Oder was willst Du mit einer "konfigurierbaren IPv6-Firewall" auf deinem Router/Modem", schützen?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
sasch
Kabelneuling
Beiträge: 20
Registriert: 22.06.2009, 20:32
Wohnort: Paderborn
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von sasch » 16.09.2016, 11:02

Naja,

wie oben schon geschrieben ist ja in der Wohnung ein WLAN Accespoint + Switch im Bridgemodus. Dort melden sich Smartpones Laptops PCs etc. an. Die haben dann zumindest teilweise eine öffentlich erreichbare IPv6 Adresse...

Oder verstehe ich hier was falsch?

Aus Performance Gründen möchte ich kein "extra" Subnetz und möchte kein doppeltes NAT machen...


Angenommen ich könnte auf Office Internet 50 wechseln, kann die Fritzbox dann auch Router sein, oder ist die dann generell als Bridge konfiguiert, und man braucht einen Router dahinter? - Was wiederrum ungünstig wäre, da ja im Keller das NAS Laufwerk als FTP steht... und der Router erst oben in der Wohnung...
Just make sure you don't fall into a temporal causality loop!
Irgendwas mit 120.000

tq1199
Glasfaserstrecke
Beiträge: 1680
Registriert: 07.02.2014, 09:05

Re: Connectbox / IPv6 / FTP- Server

Beitrag von tq1199 » 16.09.2016, 11:16

sasch hat geschrieben: wie oben schon geschrieben ist ja in der Wohnung ein WLAN Accespoint + Switch im Bridgemodus. Dort melden sich Smartpones Laptops PCs etc. an. Die haben dann zumindest teilweise eine öffentlich erreichbare IPv6 Adresse...

Oder verstehe ich hier was falsch?
Ob die anderen Geräte (auch ) eine öffentliche IPv6-Adresse haben, ist von deren Konfiguration abhängig.
Auch wenn diese Geräte eine öffentliche IPv6-Adresse hätten, sind diese nur dann aus dem Internet erreichbar, wenn basierend auf der Interface-ID dieser Geräte, eine IPv6-Freigabe konfiguriert/eingerichtet ist.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
sasch
Kabelneuling
Beiträge: 20
Registriert: 22.06.2009, 20:32
Wohnort: Paderborn
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von sasch » 16.09.2016, 12:31

[/quote]...eine IPv6-Freigabe konfiguriert/eingerichtet ist.[/quote]

Kannst Du mir etwas mehr darüber sagen?

Besteht denn nicht, das einige Geräte einfach falsch konfiguriert sind. Und wo richtet man diese Freigaben ein? In der ConnectBox? Für das NAS habe ich jedenfalls keine eingerichtet... oder passiert das über UPnP?

Ich hab irgendwie bedenken die FW einfach aus zu lassen... :confused:
Just make sure you don't fall into a temporal causality loop!
Irgendwas mit 120.000

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 16.09.2016, 12:45

sasch hat geschrieben: Wenn die IPv6 Firewall eingeschaltet ist, komme ich von aussen nicht auf den FTP. Schalte ich sie aus, klappt es (vorausgesetzt man hat die IPv6 Adresse richtig eingegeben :p)!

Allerdings habe ich nirgens eine Möglichkeit gefunden die FW zu konfigurieren. --> Das ist doch nicht euer ERNST Unitymedia, oder?!
Beim TC7200 gab es tatsächlich nur zwei Möglichkeiten: "Firewall an" und "Firewall aus". Bei "Firewall an" wurden alle (IPv6-) Verbindungen von Außen geblockt.

Von der ConnectBox habe ich aber bereits Screenshots von einer Firewall-Einstellung gesehen. Dort konnte man ziemlich genau einstellen, was man will.

Falls dein Rechner allerdings keine feste IPv6-Adresse hat (wahrscheinlich), musst du einen bestimmten Port (z.B. 21) für alle Rechner freischalten. Oder du müsstest dir ein Programm schreiben, das einen Webzugriff auf die ConnectBox simuliert und die Firewall-Einstellungen bei einer Änderung der IPv6-Adresse automatisch anpasst.

In folgendem Thread habe ich einem anderen User ein paar Fragen dazu beantwortet:

http://unitymedia-helpdesk.de/forum/vie ... w=previous

Dort ist auch der Screenshot.
sasch hat geschrieben: müsste ich ja doppeltes NAT machen wenn ich eine Firewall / 2. Router hinterschalten würde - inakzeptabel.
Das würde kaum was bringen: Wenn du einen "marktüblichen" Router verwendest, hättest du hinter dem 2. Router kein IPv6 mehr, sondern nur noch IPv4, was an einem DS-Lite-Anschluss alles andere als günstig ist.
Andreas1969 hat geschrieben: Den bekommst Du aber auch als Privatperson.
Mir wollen die den Business Anschluss jedes mal aufquatschen, wenn ich mich beschwere.
... würde allerdings nur dann was bringen, wenn "sasch" KEIN IPv6 benötigt, da man bei UM IPv6 NUR zusammen mit einem Privatkundenanschluss bekommt.
tq1199 hat geschrieben: Warum ist das ein Problem für dich? Dein Gerät mit FTP, hat eine öffentliche IPv6-Adresse und ist aus dem Internet direkt erreichbar.
... wegen der Firewall. Siehe unten.
tq1199 hat geschrieben: Im Zeitalter von IPv6 wird auf dem Router keine "Firewall" mehr benötigt.
Wie kommst du auf diese Idee?

Gegen Ende meines Studiums (um 2003) war es üblich, keinen Router zu verwenden, sondern den PC direkt mit dem Modem ins Internet zu verbinden. Entsprechend hatte der PC eine globale IP-Adresse und war wie bei IPv6 von jedem anderen Internet-Anschluss aus direkt ansprechbar.

Damals hat irgendwer herausgefunden, dass man zu Rechnern mit dem damals meistbenutzten Betriebssystem (TM) ein bestimmtes IP-Paket schicken kann, daraufhin eine TCP-Verbindung aufbauen und einen Virus installieren...

...was dann auch von irgendwem gemacht wurde. Es wurden massenhaft Rechner infiziert!

Zwischen IPv4 und IPv6 gibt es an dieser Stelle keinen Unterschied: Mit Firewall ist der Rechner gegen solche Angriffe geschützt, ohne Firewall nicht.

tq1199
Glasfaserstrecke
Beiträge: 1680
Registriert: 07.02.2014, 09:05

Re: Connectbox / IPv6 / FTP- Server

Beitrag von tq1199 » 16.09.2016, 14:05

MartinDJR hat geschrieben:
tq1199 hat geschrieben: Warum ist das ein Problem für dich? Dein Gerät mit FTP, hat eine öffentliche IPv6-Adresse und ist aus dem Internet direkt erreichbar.
... wegen der Firewall. Siehe unten.
tq1199 hat geschrieben: Im Zeitalter von IPv6 wird auf dem Router keine "Firewall" mehr benötigt.
Wie kommst du auf diese Idee?

Gegen Ende meines Studiums (um 2003) war es üblich, keinen Router zu verwenden, sondern den PC direkt mit dem Modem ins Internet zu verbinden. Entsprechend hatte der PC eine globale IP-Adresse und war wie bei IPv6 von jedem anderen Internet-Anschluss aus direkt ansprechbar.

Damals hat irgendwer herausgefunden, dass man zu Rechnern mit dem damals meistbenutzten Betriebssystem (TM) ein bestimmtes IP-Paket schicken kann, daraufhin eine TCP-Verbindung aufbauen und einen Virus installieren...

...was dann auch von irgendwem gemacht wurde. Es wurden massenhaft Rechner infiziert!

Zwischen IPv4 und IPv6 gibt es an dieser Stelle keinen Unterschied: Mit Firewall ist der Rechner gegen solche Angriffe geschützt, ohne Firewall nicht.
Dann solltest Du mal "Firewall" definieren, denn ein Router ist keine Firewall. Und ich behaupte jetzt mal, dass mein Server oder mein PC, den ich direkt in das Internet stelle, besser abgesichert als ein (Zwangs)router auf dessen Firmware ich überhaupt keinen Einfluss habe bzw. den ich auch nur bedingt konfigurieren kann.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
sasch
Kabelneuling
Beiträge: 20
Registriert: 22.06.2009, 20:32
Wohnort: Paderborn
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von sasch » 16.09.2016, 14:37

... hmm und was machen wir jetzt?

es geht mir ja noch nicht mal so um meine Geräte... die könnte ich ja entsprechend konfigurieren... Aber meinen Gästen möchte ich sicher nicht eine potentielle Gefahr anbieten... ob und wie gut der Schutz von den UM Geräten gegeben ist, sei mal dahingestellt. Aber ich denke die Firewall einfach so ausgeschaltet zu lassen ist (zumindest wenn das tatsächlich genauso wie bei IPv4 einzusätzen ist) grob fahrlässig. Es wäre meiner Ansicht nach schon das mindestest, was man als Anschlussinhaber beachten sollte.
Just make sure you don't fall into a temporal causality loop!
Irgendwas mit 120.000

tq1199
Glasfaserstrecke
Beiträge: 1680
Registriert: 07.02.2014, 09:05

Re: Connectbox / IPv6 / FTP- Server

Beitrag von tq1199 » 16.09.2016, 14:49

sasch hat geschrieben:... Aber meinen Gästen möchte ich sicher nicht eine potentielle Gefahr anbieten...
BTW: Wie schützen deine Gäste ihre Geräte (Tablets, Smartphones, etc.) wenn sie damit z. B. in einem öffentlichen (freien) WLAN unterwegs sind?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
sasch
Kabelneuling
Beiträge: 20
Registriert: 22.06.2009, 20:32
Wohnort: Paderborn
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von sasch » 16.09.2016, 14:58

tq1199 hat geschrieben:
sasch hat geschrieben:... Aber meinen Gästen möchte ich sicher nicht eine potentielle Gefahr anbieten...
BTW: Wie schützen deine Gäste ihre Geräte (Tablets, Smartphones, etc.) wenn sie damit z. B. in einem öffentlichen (freien) WLAN unterwegs sind?
Ich vermute je nach Bildungsstand, und Gottvertrauen wenig bis gar nicht.... die verlassen sich dann schon mal gerne auf den Anbieter des freien WLANs bzw. den Hersteller ihrer DV Ausstattung... - so nach dem Motto "wird schon nix passieren" oder "eben mal kurz nur..."
Just make sure you don't fall into a temporal causality loop!
Irgendwas mit 120.000

tq1199
Glasfaserstrecke
Beiträge: 1680
Registriert: 07.02.2014, 09:05

Re: Connectbox / IPv6 / FTP- Server

Beitrag von tq1199 » 16.09.2016, 15:21

sasch hat geschrieben:..., und Gottvertrauen wenig bis gar nicht....
OK, aber dann würde ich an deiner Stelle, Geräte die so ungeschützt unterwegs waren, nicht in mein (W)LAN/VPN lassen. :zwinker:
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von SpaceRat » 18.09.2016, 07:55

tq1199 hat geschrieben:Dann solltest Du mal "Firewall" definieren, denn ein Router ist keine Firewall.
Das ist - wenn wir von Haarspaltereien absehen - natürlich völliger Käse.

Ein Router beinhaltet tatsächlich nicht zwangsläufig auch eine Firewall und im Profi-Segment (Also wo die Teile ins 19"-Rack geschraubt werden ...) ist eine Trennung tatsächlich üblich.

Im Consumer-Bereich hingegen beinhaltet jeder auch nur rudimentär funktionsfähige Router auch eine Firewall-Funktionalität, mindestens in dem Maße, daß eingehende Pakete nur als Antworten auf ausgehende Pakete zugelassen sind.
Sieht man ja daran, daß selbst die Elektronikschrott-Geräte Drecknikotzlor DK7200, Übel Evil und DisconnectBox soviel können.

Ist der Router darüber hinaus sogar "annähernd anständig", dann kann er auch einzelne Ports für neue eingehende Verbindungen auf einzelnen IPv6-Zieladressen freigeben.
Das nutzt einem wohl nur begrenzt etwas, denn da vorgesehen war, bei IPv6 auch dem Blödsinn mit den dynamischen IPs ein Ende zu machen, können fast alle Router diese Freigaben nur für vollständig eingegebene IPv6-Adressen konfigurieren. Diese dürfen sich also nicht ändern, das tun sie aber in Deutschland ...

Es gibt drei Router-Hersteller/Firmware-Hersteller, bei denen es dafür eine programmatische Lösung gibt:
  • AVM
    Hier werden die Freigaben immer nur anhand des Suffixes/Host-Teils der IPv6 eingerichtet und passen sich dem gerade aktuellen dynamischen Präfix automagisch an.
  • ZyXEL/Hitron
    Hier können IPv6-Freigaben optional so eingerichtet werden, daß sie sich verändernden Präfixen automatisch "folgen".
  • OpenWrt/LEDE
    Per se können diese Firmwares IPv6-Freigaben auch nur für komplette und damit feste IPv6-Adressen.
    Aber da man hierbei Herr im Hause bleibt, kann man das Umschreiben der ip6tables per Script lösen.
    Nicht schön und feierlich, aber es geht ...

tq1199 hat geschrieben:Und ich behaupte jetzt mal, dass mein Server oder mein PC, den ich direkt in das Internet stelle, besser abgesichert als ein (Zwangs)router auf dessen Firmware ich überhaupt keinen Einfluss habe bzw. den ich auch nur bedingt konfigurieren kann.
Mit Verlaub, aber das ist Schwachfug sonder Gleichen.
Als man noch genau einen PC direkt ans DSL-Modem gehängt hat, hätte man tatsächlich noch alle Dienste abschalten können, die im Internet nix verloren haben.
Wo nichts ist/kein Dienst lauscht, braucht man natürlich auch keine Firewall, um etwas zu blocken.

Aber:
Schaltet man an einem der UM-Schrottrouter in seiner Verzweiflung die IPv6-Firewall ganz ab, dann hängen ja i.d.R. immer noch mehrere Geräte dahinter, die sowas wie ein LAN/Heimnetz bilden.
Natürlich könnte man alle diese Rechner wie in den 90ern einzeln verrammeln, aber das tut ja in der wahren Welt keiner¹. Man will ja im LAN auf seinen Sat-Receiver, sein NAS, usw. zugreifen können.
Und die Absicherung im Sinne von "Halte Port 445 offen, aber erlaube nur die Clients a, b und c aus dem Heimnetz, aber nicht die Angreifer 1 bis 9 Milliarden aus dem Internet" ist nix für Laien und Hobby-ITler.

  1. Ich weiß, daß Ausnahmen die Regel bestätigen.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

F-orced-customer
Übergeordneter Verstärkerpunkt
Beiträge: 997
Registriert: 11.09.2012, 12:54

Re: Connectbox / IPv6 / FTP- Server

Beitrag von F-orced-customer » 18.09.2016, 09:35

tq1199 hat geschrieben: Im Zeitalter von IPv6 wird auf dem Router keine "Firewall" mehr benötigt.
:D

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 18.09.2016, 09:50

SpaceRat hat geschrieben:die Elektronikschrott-Geräte ... DisconnectBox
Eine Zwischenfrage mal:

Über den TC7200 und vor allem den uBee habe ich bereits genügend Beschwerden gelesen, über die ConnectBox noch keine.

Ist die ConnectBox nun ein brauchbarer Router oder nicht?

Immerhin hat die ConnectBox meines Wissens sogar eine relativ frei konfigurierbare Firewall...
SpaceRat hat geschrieben: Hier werden die Freigaben immer nur anhand des Suffixes/Host-Teils der IPv6 eingerichtet
Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von SpaceRat » 18.09.2016, 10:01

MartinDJR hat geschrieben:Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...
Was großartig anderes ist das Suffix ja nicht:

Solange keine Bullshit Extensions ("Privacy" Extensions) verwendet werden gilt:
MAC (48) -> Mittig ff:fe rein und dann in 4er-Blocks geschrieben, siebtes Bit von links invertieren => modified EUI-64 = Host-Suffix.

Und eingeben muß man die ja bei der Fritz!Box auch nicht, man wählt einfach aus der Drop-Down-Liste der bekannten Rechner aus.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 18.09.2016, 11:48

SpaceRat hat geschrieben:
MartinDJR hat geschrieben:Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...
Was großartig anderes ist das Suffix ja nicht:
Ich weiß nicht, was Du gegen PE hast, aber ich fände das auch eine gute Idee.

Leider wird die Ziel-MAC innerhalb der Xtables noch nicht zur Verfügung stehen. Man könnte vielleicht kurz im ARP/Neighbor Cache gucken, aber gerade für unbekannte neue Verbindungen klappt das ja nicht :(

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 18.09.2016, 19:59

addicted hat geschrieben: Leider wird die Ziel-MAC innerhalb der Xtables noch nicht zur Verfügung stehen. Man könnte vielleicht kurz im ARP/Neighbor Cache gucken, aber gerade für unbekannte neue Verbindungen klappt das ja nicht :(
Wenn der Router ein IP-Paket (egal ob IPv4 oder IPv6) an den PC/Server/... weiterleiten muss (also bei allen eingehenden Paketen), muss er ja sowieso erst einmal die zugehörige MAC-Adresse (per ARP oder eben Neighbor Discovery) abfragen, wenn er sie noch nicht kennt.

Bevor das IP-Paket an den Rechner weitergeschickt wird, kennt der Router die MAC-Adresse.

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 18.09.2016, 20:48

Die Firewall ist fertig bevor die MAC ermittelt wird. In Kombination mit ebtables könnte es aber evtl. einen Weg geben.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 19.09.2016, 08:34

addicted hat geschrieben:Die Firewall ist fertig bevor die MAC ermittelt wird. In Kombination mit ebtables könnte es aber evtl. einen Weg geben.
Bei aktuellen Routern ist die Firewall fertig, bevor die MAC ermittelt wird.

Es gibt aber keinen mir ersichtlichen technischen Grund, warum man keine Router bauen können sollte, bei der die Firewall Pakete auch noch nach der Ermittlung der MAC-Adresse blocken kann.

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 19.09.2016, 23:48

Performance ist ein Grund, der zumindest mir ersichtlich ist.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 20.09.2016, 10:19

addicted hat geschrieben:Performance ist ein Grund, der zumindest mir ersichtlich ist.
Ich habe mir mal durchgedacht, wie eine derartige Firewall funktionieren würde:

Der Grund "Höhere Performance" (bzw. "Geringerer Speicher- und Rechenzeitbedarf") würde sogar eher für MAC-basierte Firewall-Regeln als dagegen sprechen.

Datendurchsatz und Latenzzeiten wären in beiden Fällen gleich.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von SpaceRat » 20.09.2016, 10:25

Ein Problem könnte werden, daß MAC-Adressen leider nur theoretisch eindeutig sind.

Bei diversem China-Tand haben alle Exemplare dieselbe MAC, was für richtig Spaß im Netzwerk sorgt, sobald zwei davon im Netz sind.
Dabei ist "China-Tand" schon weit gefaßt, z.B. gehören da auch bestimmte Receiver der eigentlich renommierten Marke "Topfield" dazu.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 20.09.2016, 19:18

SpaceRat hat geschrieben:Ein Problem könnte werden, daß MAC-Adressen leider nur theoretisch eindeutig sind.

Bei diversem China-Tand haben alle Exemplare dieselbe MAC, ...
Innerhalb eines lokalen Netzwerkes müssen alle Geräte eine eindeutige MAC-Adresse haben. Zur Not muss man diese manuell einstellen (was übrigens sogar laut Norm erlaubt ist...).

Tatsächlich würde das Ganze nicht funktionieren (auch mit eindeutigen MAC-Adressen nicht), wenn man hinter dem Router noch einen zweiten Router hat. Da die meisten billigen Router aber wohl sowieso kein Prefix Delegation haben, dürfte das eher ein theoretisches Problem sein.

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 20.09.2016, 23:26

Das Problem ist, dass die Ziel-MAC nicht Teil des Paketes ist, welches Du beurteilen willst. Du musst diese Info dazu holen. Und das geht noch nicht mal in allen Fällen.

Man filtert ja auch nicht basierend auf den DNS-Namen.

Antworten

Wer ist online?

Mitglieder in diesem Forum: Conan179, lupus, MaFL, MaXX, perryair, PeterZwegat, rv112, Samsungstory und 20 Gäste