Connectbox / IPv6 / FTP- Server

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Benutzeravatar
sasch
Kabelneuling
Beiträge: 20
Registriert: 22.06.2009, 20:32
Wohnort: Paderborn
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von sasch » 16.09.2016, 14:58

tq1199 hat geschrieben:
sasch hat geschrieben:... Aber meinen Gästen möchte ich sicher nicht eine potentielle Gefahr anbieten...
BTW: Wie schützen deine Gäste ihre Geräte (Tablets, Smartphones, etc.) wenn sie damit z. B. in einem öffentlichen (freien) WLAN unterwegs sind?
Ich vermute je nach Bildungsstand, und Gottvertrauen wenig bis gar nicht.... die verlassen sich dann schon mal gerne auf den Anbieter des freien WLANs bzw. den Hersteller ihrer DV Ausstattung... - so nach dem Motto "wird schon nix passieren" oder "eben mal kurz nur..."
Just make sure you don't fall into a temporal causality loop!
Irgendwas mit 120.000

tq1199
Glasfaserstrecke
Beiträge: 1680
Registriert: 07.02.2014, 09:05

Re: Connectbox / IPv6 / FTP- Server

Beitrag von tq1199 » 16.09.2016, 15:21

sasch hat geschrieben:..., und Gottvertrauen wenig bis gar nicht....
OK, aber dann würde ich an deiner Stelle, Geräte die so ungeschützt unterwegs waren, nicht in mein (W)LAN/VPN lassen. :zwinker:
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von SpaceRat » 18.09.2016, 07:55

tq1199 hat geschrieben:Dann solltest Du mal "Firewall" definieren, denn ein Router ist keine Firewall.
Das ist - wenn wir von Haarspaltereien absehen - natürlich völliger Käse.

Ein Router beinhaltet tatsächlich nicht zwangsläufig auch eine Firewall und im Profi-Segment (Also wo die Teile ins 19"-Rack geschraubt werden ...) ist eine Trennung tatsächlich üblich.

Im Consumer-Bereich hingegen beinhaltet jeder auch nur rudimentär funktionsfähige Router auch eine Firewall-Funktionalität, mindestens in dem Maße, daß eingehende Pakete nur als Antworten auf ausgehende Pakete zugelassen sind.
Sieht man ja daran, daß selbst die Elektronikschrott-Geräte Drecknikotzlor DK7200, Übel Evil und DisconnectBox soviel können.

Ist der Router darüber hinaus sogar "annähernd anständig", dann kann er auch einzelne Ports für neue eingehende Verbindungen auf einzelnen IPv6-Zieladressen freigeben.
Das nutzt einem wohl nur begrenzt etwas, denn da vorgesehen war, bei IPv6 auch dem Blödsinn mit den dynamischen IPs ein Ende zu machen, können fast alle Router diese Freigaben nur für vollständig eingegebene IPv6-Adressen konfigurieren. Diese dürfen sich also nicht ändern, das tun sie aber in Deutschland ...

Es gibt drei Router-Hersteller/Firmware-Hersteller, bei denen es dafür eine programmatische Lösung gibt:
  • AVM
    Hier werden die Freigaben immer nur anhand des Suffixes/Host-Teils der IPv6 eingerichtet und passen sich dem gerade aktuellen dynamischen Präfix automagisch an.
  • ZyXEL/Hitron
    Hier können IPv6-Freigaben optional so eingerichtet werden, daß sie sich verändernden Präfixen automatisch "folgen".
  • OpenWrt/LEDE
    Per se können diese Firmwares IPv6-Freigaben auch nur für komplette und damit feste IPv6-Adressen.
    Aber da man hierbei Herr im Hause bleibt, kann man das Umschreiben der ip6tables per Script lösen.
    Nicht schön und feierlich, aber es geht ...

tq1199 hat geschrieben:Und ich behaupte jetzt mal, dass mein Server oder mein PC, den ich direkt in das Internet stelle, besser abgesichert als ein (Zwangs)router auf dessen Firmware ich überhaupt keinen Einfluss habe bzw. den ich auch nur bedingt konfigurieren kann.
Mit Verlaub, aber das ist Schwachfug sonder Gleichen.
Als man noch genau einen PC direkt ans DSL-Modem gehängt hat, hätte man tatsächlich noch alle Dienste abschalten können, die im Internet nix verloren haben.
Wo nichts ist/kein Dienst lauscht, braucht man natürlich auch keine Firewall, um etwas zu blocken.

Aber:
Schaltet man an einem der UM-Schrottrouter in seiner Verzweiflung die IPv6-Firewall ganz ab, dann hängen ja i.d.R. immer noch mehrere Geräte dahinter, die sowas wie ein LAN/Heimnetz bilden.
Natürlich könnte man alle diese Rechner wie in den 90ern einzeln verrammeln, aber das tut ja in der wahren Welt keiner¹. Man will ja im LAN auf seinen Sat-Receiver, sein NAS, usw. zugreifen können.
Und die Absicherung im Sinne von "Halte Port 445 offen, aber erlaube nur die Clients a, b und c aus dem Heimnetz, aber nicht die Angreifer 1 bis 9 Milliarden aus dem Internet" ist nix für Laien und Hobby-ITler.

  1. Ich weiß, daß Ausnahmen die Regel bestätigen.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

F-orced-customer
Übergeordneter Verstärkerpunkt
Beiträge: 997
Registriert: 11.09.2012, 12:54

Re: Connectbox / IPv6 / FTP- Server

Beitrag von F-orced-customer » 18.09.2016, 09:35

tq1199 hat geschrieben: Im Zeitalter von IPv6 wird auf dem Router keine "Firewall" mehr benötigt.
:D

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 18.09.2016, 09:50

SpaceRat hat geschrieben:die Elektronikschrott-Geräte ... DisconnectBox
Eine Zwischenfrage mal:

Über den TC7200 und vor allem den uBee habe ich bereits genügend Beschwerden gelesen, über die ConnectBox noch keine.

Ist die ConnectBox nun ein brauchbarer Router oder nicht?

Immerhin hat die ConnectBox meines Wissens sogar eine relativ frei konfigurierbare Firewall...
SpaceRat hat geschrieben: Hier werden die Freigaben immer nur anhand des Suffixes/Host-Teils der IPv6 eingerichtet
Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von SpaceRat » 18.09.2016, 10:01

MartinDJR hat geschrieben:Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...
Was großartig anderes ist das Suffix ja nicht:

Solange keine Bullshit Extensions ("Privacy" Extensions) verwendet werden gilt:
MAC (48) -> Mittig ff:fe rein und dann in 4er-Blocks geschrieben, siebtes Bit von links invertieren => modified EUI-64 = Host-Suffix.

Und eingeben muß man die ja bei der Fritz!Box auch nicht, man wählt einfach aus der Drop-Down-Liste der bekannten Rechner aus.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 18.09.2016, 11:48

SpaceRat hat geschrieben:
MartinDJR hat geschrieben:Ich frage mich, warum es keine Firewalls gibt, bei denen man anstatt der IPv6-Adresse die MAC-Adresse des Zielgerätes angeben kann...
Was großartig anderes ist das Suffix ja nicht:
Ich weiß nicht, was Du gegen PE hast, aber ich fände das auch eine gute Idee.

Leider wird die Ziel-MAC innerhalb der Xtables noch nicht zur Verfügung stehen. Man könnte vielleicht kurz im ARP/Neighbor Cache gucken, aber gerade für unbekannte neue Verbindungen klappt das ja nicht :(

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 18.09.2016, 19:59

addicted hat geschrieben: Leider wird die Ziel-MAC innerhalb der Xtables noch nicht zur Verfügung stehen. Man könnte vielleicht kurz im ARP/Neighbor Cache gucken, aber gerade für unbekannte neue Verbindungen klappt das ja nicht :(
Wenn der Router ein IP-Paket (egal ob IPv4 oder IPv6) an den PC/Server/... weiterleiten muss (also bei allen eingehenden Paketen), muss er ja sowieso erst einmal die zugehörige MAC-Adresse (per ARP oder eben Neighbor Discovery) abfragen, wenn er sie noch nicht kennt.

Bevor das IP-Paket an den Rechner weitergeschickt wird, kennt der Router die MAC-Adresse.

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 18.09.2016, 20:48

Die Firewall ist fertig bevor die MAC ermittelt wird. In Kombination mit ebtables könnte es aber evtl. einen Weg geben.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 19.09.2016, 08:34

addicted hat geschrieben:Die Firewall ist fertig bevor die MAC ermittelt wird. In Kombination mit ebtables könnte es aber evtl. einen Weg geben.
Bei aktuellen Routern ist die Firewall fertig, bevor die MAC ermittelt wird.

Es gibt aber keinen mir ersichtlichen technischen Grund, warum man keine Router bauen können sollte, bei der die Firewall Pakete auch noch nach der Ermittlung der MAC-Adresse blocken kann.

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 19.09.2016, 23:48

Performance ist ein Grund, der zumindest mir ersichtlich ist.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 20.09.2016, 10:19

addicted hat geschrieben:Performance ist ein Grund, der zumindest mir ersichtlich ist.
Ich habe mir mal durchgedacht, wie eine derartige Firewall funktionieren würde:

Der Grund "Höhere Performance" (bzw. "Geringerer Speicher- und Rechenzeitbedarf") würde sogar eher für MAC-basierte Firewall-Regeln als dagegen sprechen.

Datendurchsatz und Latenzzeiten wären in beiden Fällen gleich.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Connectbox / IPv6 / FTP- Server

Beitrag von SpaceRat » 20.09.2016, 10:25

Ein Problem könnte werden, daß MAC-Adressen leider nur theoretisch eindeutig sind.

Bei diversem China-Tand haben alle Exemplare dieselbe MAC, was für richtig Spaß im Netzwerk sorgt, sobald zwei davon im Netz sind.
Dabei ist "China-Tand" schon weit gefaßt, z.B. gehören da auch bestimmte Receiver der eigentlich renommierten Marke "Topfield" dazu.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 20.09.2016, 19:18

SpaceRat hat geschrieben:Ein Problem könnte werden, daß MAC-Adressen leider nur theoretisch eindeutig sind.

Bei diversem China-Tand haben alle Exemplare dieselbe MAC, ...
Innerhalb eines lokalen Netzwerkes müssen alle Geräte eine eindeutige MAC-Adresse haben. Zur Not muss man diese manuell einstellen (was übrigens sogar laut Norm erlaubt ist...).

Tatsächlich würde das Ganze nicht funktionieren (auch mit eindeutigen MAC-Adressen nicht), wenn man hinter dem Router noch einen zweiten Router hat. Da die meisten billigen Router aber wohl sowieso kein Prefix Delegation haben, dürfte das eher ein theoretisches Problem sein.

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 20.09.2016, 23:26

Das Problem ist, dass die Ziel-MAC nicht Teil des Paketes ist, welches Du beurteilen willst. Du musst diese Info dazu holen. Und das geht noch nicht mal in allen Fällen.

Man filtert ja auch nicht basierend auf den DNS-Namen.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 629
Registriert: 22.12.2015, 15:53

Re: Connectbox / IPv6 / FTP- Server

Beitrag von MartinDJR » 21.09.2016, 09:23

addicted hat geschrieben:Und das geht noch nicht mal in allen Fällen.
Wie gesagt: Wenn das Paket über einen zweiten Router müsste, würde es nicht gehen.

Das ist bei IPv6 und Routern ohne Prefix-Delegation aber egal, da hinter dem Router kein weiterer Router angeschlossen werden kann.

In allen anderen Fällen muss der Router sowieso die MAC-Adresse des Zielgerätes abfragen, um das Paket überhaupt weiterleiten zu können. Der Router kennt die Information "MAC-Adresse des Zielgeräts" also sowieso.

Bei einer Portweiterleitung (IPv4) auf eine bestimmte MAC-Adresse sähe es schon wieder anders aus. Aber auch das würde funktionieren, wenn der Rechner zuvor mit dem Router (z.B. für DHCP) Daten ausgetauscht hat.
addicted hat geschrieben:Man filtert ja auch nicht basierend auf den DNS-Namen.
... nur, dass es einen gewaltigen Unterschied gibt:

Eine DNS-Anfrage kostet Zeit und müsste beim "normalen" Routing nicht gemacht werden.

Die MAC-Adresse muss vom Router sowieso ermittelt werden.

addicted
Kabelkopfstation
Beiträge: 3764
Registriert: 15.03.2010, 02:35

Re: Connectbox / IPv6 / FTP- Server

Beitrag von addicted » 21.09.2016, 22:21

Da sind eine Menge Voraussetzungen in Deinem Gedankengang.

Möglicht wäre es natürlich, keine Frage.
Ich vermute aber stark, dass es deshalb noch niemand produktiv ausgerollt hat, weil es entweder nicht wie gewünscht funktoniert oder dann doch die Nachteile den Vorteilen in den wenigen möglichen Einsatzszenarien überwiegen.

Antworten

Wer ist online?

Mitglieder in diesem Forum: Conan179, lupus, MaFL, MaXX, perryair, PeterZwegat, rv112, Samsungstory und 19 Gäste