ich habe einen Glasfaseranschluss bei der Telekom Privatkunde (Anschlussdose und Modem) und baue die Verbindung ins Internet über opnsense auf. Soweit funktioniert auch alles mit IPv4. Wobei mir die opnsense bereits eine IPv4 und IPv6 Adresse anzeigt. Diese scheint sich jedoch nicht zu ändern. Rufe ich ipv64 auf, wird mir nur eine andere IPv4 angezeigt. Ich vermute, dass die Telekom hier noch ein NAT hat.
Ich wechsle jetzt auf den Geschäftskundentarif der Telekom und könnte hier auch eine statische IPv4 und IPv6 erhalten. Anfangs fand ich die Idee super, da irgendwie alle ein Problem in den dynamischen Adressen sehen, aber… der Anschluss ist für mein Eigenheim, wo eben auch die Firma gemeldet ist. Aus Datenschutzgründen finde ich eine dynamische Adresse daher gar nicht so verkehrt. Mir geht es nicht um Strafverfolgungsbehörden, sondern darum, dass ein sehr gutes Profil von mir erstellt werden kann, wenn ich eine statische Adresse habe. Zwar gibt es bei IPv6 noch die Privacy Extension, jedoch wird hier nur der Interface Identifier gewechselt. Das Präfix der Telekom bleibt gleich und kann meiner Firma/Haushalt zugeordnet werden. Vor allem, wenn ich die IPv4 als Fallback nutze.
Übersehe ich hier etwas, oder ist meine Annahme richtig, dass eine statische IP Adresse für geschäftliche Zwecke hilfreich ist, da ich auf Services direkt über die IPv6 zugreifen kann. Im privaten Umfeld jedoch eine dynamische Adresse mehr Sinn macht und für das exposen ein reverse proxy die bessere Wahl ist. Brauche ich in dem Fall IPv6, oder kann ich weiterhin in meinem Netzwerk IPv4 nutzen?
Kann gerade nicht einschätzen, welche Konfiguration für mich am Sinnvollsten wäre und aus welchen Gründen.
Im Homelab wird neben HomeAssistant, NodeRed etc. auch demnächst eine Nextcloud und Webseite aufgebaut, welche dann über das Internet verfügbar sein soll.
Grundsätzlich wurden dynamische IPv4 Adressen notwendig, weil die Zahl der Internetnutzer die Zahl der verfügbaren IP Adressen übersteigt.
Um das Problem weiter zu mitigieren, wurde Carrier Grade NAT, kurz CG-NAT, eingeführt.
Das funktioniert so, dass der Provider seinen Kunden keine öffentlichen, sondern private IP Adressen gibt und anschließend NAT macht. So kann er mit einer öffentlichen IP mehrere Kunden gleichzeitig versorgen.
Es ging bei den ganzen Maßnahmen niemals um Datenschutz oder um einen Sicherheitsfaktor. Es ging immer nur darum das Problem einer limitierten Ressource abzumildern.
Gleichzeitig ist durch diese Maßnahmen ein Problem entstanden: Man hat keine festen, öffentlichen Adressen mehr. Das verhindert, dass man von einem Standardanschluss aus Dienste im Internet anbieten kann.
Während man bei dynamischen IP-Adressen noch mit DynDNS Diensten arbeiten kann, um das Problem zu mitigieren, kann man bei CG-NAT nichts tun (außer sich auf dem ein oder anderen Weg eine eigene, öffentliche IP zu besorgen).
Allerdings ist das Problem wechselnder, nicht-öffentlicher Adressen auch nicht für jeden relevant.
Für die meisten Internet-Nutzer ist es völlig unerheblich.
Du musst dir nun zwei Fragen stellen:
Willst du daheim Dienste betreiben, die aus dem Internet verfügbar sein sollen?
Diese Frage hast du bereits mit “ja” beantwortet.
Sollen diese Dienste einem möglichst breiten Publikum zugänglich sein?
Falls ja, wäre es sinnvoll diese sowohl unter einer IPv4 als auch unter einer IPv6 Adresse erreichbar zu machen. Allerdings würde ich dann auch davon abraten die Dienste daheim zu hosten, sondern zu dem Betrieb in einem Rechenzentrum raten.
Falls nein, könntest du dir überlegen, ob es ausreichend ist, wenn die Dienste zum Beispiel nur über eine IPv6 Adresse erreichbar sind.
In dem Spezialfall, dass die Dienste nur dir selbst zugänglich sein sollen, könntest du auch Dennis Cloud Router oder Twingate nutzen oder einen der entsprechenden Dienste zum selbst Hosten auf einem kleinen VPS einrichten und so nur dir einen sicheren privaten Zugang zu deinem heimischen Netz schaffen.
Bezüglich Privatsphäre und Datenschutz: Wechselnde IP Adressen sind schon lange kein zuverlässiger Weg mehr um deine Privatsphäre im Internet zu schützen.
Soweit mir bekannt ändern sich bei der DE Telekom die IP-Adressen nur alle 6 Monate, selbst bei Privatkundenanschlüssen.
EINE statische IPv6-Adresse wird dir nicht viel Nutzen. Was du brauchen würdest wäre ein fester IPv6-Prefix. Üblicherweise bekommt man bei der DE-Telekom /56-Präfixe an Privatkundenanschlüssen. Was bei Geschäftskundentarif möglich ist entzieht sich meiner Kenntnis. Es gibt hier einen Beitrag zur Länge der Präfixe bei den deutschen Providern. Evtl. findest du dort weitere Infos dazu.
Einen IPv6-Prefix bekommst du aber nicht einfach so zugewiesen. Ich habe zwar keinen OPNsense, sondern die pfsense, aber dies bezüglich unterscheiden sich OPNsense und pfsense nicht. Den Präfix muss man anfordern und an die LAN-Segmente delegieren. Das machen die sensen per default nicht von allen.
Was du da nutzt ist Geschmackssache. DIe Privacy-Extension hast du bereits erwähnt, ergeben aber nur bei Client Computern Sinn, nicht bei Servern, die du ja mutmaßlich auch betrieben willst.
Danke für deine verständliche und hilfreiche Antwort!
Ich könnte das Problem aber auch mit DynDNS und einem Reverse Proxy lösen, oder?
Ja, ich könnte auch mit VPN arbeiten, aber gerade wenn man Dateien freigeben will, muss der Service im Internet verfügbar sein. Ich hatte anfangs auch etwas Sorgen, aber wenn ich meine System aktuell halte, sollte das Risiko gering sein.
Definiere breites Publikum. Nextcloud soll erstmal für eine handvoll Personen zur Verfügung stehen. Wenn ich Dokumente teile, dann sind es ein paar mehr, aber denke eher an 20 Personen.
Ich hatte dann in Erwägung gezogen, auch eine Webseite (ggf. Onepager) zu hosten. Hier ist der Personenkreis natürlich viel größer. Neben der neuen Webseite wollte ich ggf. eine weitere Webseite selber hosten. Aber hier kann ich es auch beides extern hosten, wenn es um das Thema Sicherheit geht.
Das wäre natürlich eine Überlegung. Ich habe die nextcloud noch nicht am laufen, aber in Kombi mit der opnsense sollte ich ggf. den eigenen Nutzen relativ gut absichern können und ggf. nur die Freigaben auf IPv4 lenken. Die Frage ist nämlich, wenn ich komplett IPv6 nutze und einen Link Freigabe, sollte auch jeder den Link aufrufen können.
Wie meinst du das? Verstehe nicht genau was und wie es funktionieren soll.
Generell, stellt sich bei mir dann immer noch die Frage, ob ich eher bei einer dynamischen IP Adresse bleiben soll und vermutlich hinter einer CG-NAT, oder auf statische Adressen wechseln soll.
Ja, die großen Anbieter versuchen einem immer zu Tracken und es ist eher ein Katz und Maus Spiel. Ich habe AdGuard etc. bei mir als DNS laufe etc, um auch meine Profilbildung zu erschweren. Mit einer statischen IP Adresse, mach ich den “bösen” Akteuren aber viel einfach, oder nicht? Vielleicht liege ich falsch, aber mein aktuelles Verständnis ist, dass ich mir mit einer statischen IP Adresse keine nennenswerten Vorteile hole, aber Nachteile. Klar, ist die Konfiguration mit einer statischen IP einfacher, aber ich sollte doch mit einem IPv64 und einem Reverse Proxy das selbe Ergebnis erreichen, nur mit mehr Schutz, oder?
Ich meinte die Adressen, die mir opnsense anzeigt. Auf IPv64 ändert sich die Adresse die mir angezeigt wird. Ich gehe daher davon aus, dass ich ein CG-NAT habe, aber ein tracert auf die IP zeigt nur einen hop. Dies spricht ja eigentlich gegen eine CG-NAT. Ich gehe aber trotzdem von CG-NAT aus, weil sobald ich die opnsense neustarte, zeigt mir die opnsense bei wan immer die gleich IPs an, aber auf IPv64 wechselt die IP.
Ist nicht das damit gemeint, also das man bei einer statischen IPv6 eine feste IPv6 Präfix erhält. Die Telekom wirbt auf ihrere Geschäftskundenwebseite explizit mit zwei Tarifen und der Pro Tarif hat eine “Feste-Statische IP-Adresse”. Somit müsste ich eine feste /56 Präfix bekommen und könnte mir meine 5 Subnetze einrichten.
Die Privacy-Extension würde ich nur für das Subnetz aktivieren, wo die Client sind.
Die meine ich auch. DIe OPNsense zeigt dir am WAN die Adressen an, die dir die Telekom gegeben hat. (IPv4 und IPv6). Jedenfalls wenn du VOR der sense keine Router sondern ein Modem hast. Wie
von dir ja auch angegeben wurde. Das ist zumindest so, wenn du alles richtig konfiguriert haben solltest, wovon ich erst einmal ausgehe.
Womit rufst du ipv64 auf? Mit Browser und Notebook, PC und wo genau siehst du nach? Dass die DT-AG CGNAT hat wäre mir neu. Aber CGNAT erkennt man ganz leicht an der IPv4-Adresse aus dem 100.64.0.0/10 Subnetz. Dieses Subnetz ist eigens für CGNAT reserviert
IPv6-Adresse und Präfix unterscheiden sich zumeist. Ob das nun genau so ist wie von dir vermutet musst du bei der DT-AG erfragen.
Hier der aktuelle Präfix-Teil meiner pfsense-WAN-IPv6-Adresse: bbbb:aaaa:7206:d82e
Hier der aktuell zugewiesen IPv6-Päfix der pfsense: bbbb:aaaa:84c6:be00::/56
bbbb:aaaa ist noch identisch (von mir aber abgeändert), danach gibt es dann bereits Unterschiede.
Mit festem IPv6-Präfix bist du dennoch gut wiedererkennbar. Genau wie bei einer festen IPv4-Adresse, wenn nur IPv4 genutzt wird.
Ich rufe die Webseite mit dem Browser auf, aber auch andere Webseiten zeigen die selbe IPv4 Adresse (93.x.x.x) an. Diese unterscheidet sich eben davon, was opnsense anzeigt (62.x.x.x).
Ja, daher die Überlegung doch den normalen Tarif zu nehmen und KEINE statische IP Adresse zu bekommen. Einziger Nachteil wäre doch nur, dass ich dann einen Service wie IPv64 (dyndns) und einen reverse proxy konfigurieren muss, oder? Oder gibt es für mein Szenario Vorteile in einer statischen IPv4/6?
Das Problem dynamischer IPs kannst du mit einem DynDNS Anbieter abmildern.
In dem Moment, in dem sich die IP ändert wirst du eine kleine Downtime haben. Das liegt daran, dass du ein paar Millisekunden brauchst, um automatisiert die neue IP zu hinterlegen, dass DNS einfach sehr stark auf Caching baut und dass DNS-Einträge nicht immer in Echtzeit aktuell gehalten werden.
Einen Reverse Proxy brauchst du nicht zwangsweise.
Für bestimmte Anwendungsfälle kann er aber nützlich sein.
Das löst aber nicht das Problem von CG-NAT.
Wenn du Dateien an Dritte freigeben möchtest, muss der Service verfügbar sein. Flexibler ist es natürlich den Service im öffentlich Internet zugänglich zu machen. Wenn der Kreis derer, die auf diese Dateien zugreifen müssen, jedoch beschränkt und mehr oder weniger fest ist (z.B. 1-2 Mitarbeiter oder Eltern, Partner und 2-3 Freunde), dann wäre ein VPN ebenfalls eine Lösung.
Die kurze Antwort ist: Nein.
Die längere Antwort ist: Die Systeme aktuell zu halten ist zwar absolutes Basic, aber das ist ungefähr so, wie die Haustür zu schließen um sich vor Einbrüchen zu schützen. - Es ist der erste Schritt, aber von einem Schritt hast du noch nicht die Welt umrundet.
Vereinfacht gesagt:
Wenn du deine Nutzer kennst und weißt, dass sie an den Standorten aus, von denen sie auf deine Dienste zugreifen werden, z.B. IPv6 Konnektivität haben, dann reicht es deine Dienste per IPv6 erreichbar zu machen. Das kann z.B. auf Eltern, Partner, 2-3 Freunde zutreffen.
Kennst du deine Nutzer (Kunden/ Fremde) nicht bzw. nicht ausreichend und möchtest generell jegliche Komplikationen vermeiden, dann wäre es hingegen sinnvoller deine Dienste per IPv4 und IPv6 erreichbar zu machen. Ein potentieller Interessent, der deine Webseite nicht aufrufen kann wird Kunde deiner Konkurrenz.
Im Prinzip funktionieren diese Dienste mehr oder weniger immer nach dem gleichen Prinzip. Es gibt einen Server im Internet, der für jeden erreichbar ist. Dieser kann beliebige Teilnehmer miteinander zusammenführen. Entweder “direkt” oder indem er als eine Art Brücke fungiert. Damit lassen sich beispielsweise CG-NAT Situationen lösen aber es lässt sich auch eine Konnektivität zwischen Teilnehmern herstellen, die über Konnektivität mit unterschiedlichen IP-Versionen verfügen.
Das eignet sich natürlich immer nur dann, wenn eine gewisse “interne” Situation vorliegt. Etwa bei deinen Eltern, deinem Partner, deinen Freunden oder vielleicht auch noch “Unternehmens-intern”. Bei größeren Kreisen, etwa Kunden ist das schon nur noch bedingt sinnvoll und natürlich gar nicht, wenn du eine öffentliche Verfügbarkeit deiner Dienste haben möchtest.
Wie geschrieben, wirst du an einigen Stellen mit Einschränkungen oder Krücken arbeiten müssen, wenn du daheim hostest.
Noch nicht erwähnt habe ich eher “Umwelt”-Faktoren:
Rechenzentren verfügen normalerweise über leistungsfähige redundante Internetanbindungen. Wird ein Kabel angebaggert, geht der Betrieb reibungslos weiter. Fällt der Strom aus, kann u.U. für Stunden und Tage problemlos weiter betrieben werden. (Achtung: Es hängt natürlich vom RZ ab. Es gibt Rechenzentren die diese Anforderung erfüllen. Es gibt aber auch Rechenzentren, die diese Anforderung nicht erfüllen.)
Mietest du einen VPS oder einen Cloud-Dienst, dann brauchst du dir keine Gedanken über Hardware zu machen. Geht etwas kaputt, sorgt dein Hoster für Ersatz, du zahlst nichts. Ggf. sind auch georedundante Backups möglich, teilweise sogar inklusive.
Dein Hoster bezieht Strom zu Industriestrompreisen. Das dürfte, wenn du nicht gerade über eine Solaranlage und gutes Wetter verfügst, deutlich günstiger sein, als dein Haushaltsstrompreis.
Gleichzeitig sind die Preise für externes Hosting dermaßen niedrig, dass es sich schon kaum lohnt für zwei drei kleine Dienste eigene Hardware anzuschaffen.
Meine persönliche Meinung dazu:
Wenn du das für dich privat machst, ist es nahezu egal, wofür du dich entscheidest. Wenn du Dienste aus beruflichen Gründen Dritten/ öffentlich verfügbar machst, dann würde ich zu Hosting in einem RZ raten. Das ist einfach ein no-brainer.
Ja und nein. Hast du einen Facebook, Twitter, Google Account? Bist du da eingeloggt - herzlichen Glückwunsch, du bestätigst deine Identität mit jedem Besuch beliebiger Websites, die Facebook, Twitter, Google Inhalte einbinden.
Nutzt du Chrome OS oder den Chrome Browser? Herzlichen Glückwunsch, Google weiß genau, was du machst.
Nutzt du Android …
Nutzt du ein iPhone …
Nutzt du Windows …
Das ließe sich jetzt über tausende Dinge so weiterführen und wir wären immer noch bei den wirklich eindeutigen Identitätsnachweisen. Aber selbst subtilere Hinweise können Aufschluss über deine Identität geben. Browserfingerprinting erstellt digitale Fingerabdrücke rein aus Informationen, die dein Browser bei einem Webrequest so mitsendet. Dagegen kannst du kaum etwas machen (außer mehrere Browser nutzen oder spezielle Plugins, die künstlich den Browser-Fingerprint manipulieren).
Versteh mich nicht falsch, ich bin selbst sehr auf Privatsphäre bedacht, aber eine Maßnahme ist nie ausreichend. In der Regel lohnt es sich nicht sehr viel Energie in eine Maßnahme zu investieren, wenn man an anderer Stelle blind ist.
Generell hast du zwei Anliegen:
eindeutige Erreichbarkeit von Außen
Anonymität gegenüber der Außenwelt
Das widerspricht sich ein bisschen.
Wie bereits gesagt, würde ich aus diversen Gründen nicht daheim hosten, wenn ich Dienste ernsthaft für Dritte verfügbar machen möchte. Das würde natürlich auch deine Sorge wegen einer statischen IP lösen.
Dann kannst du eigentlich kein CGNAT haben und die Ursache für die unterschiedlichen v4-Adressen müsste andere Gründe haben. Gem. RFC 6264 und RFC 6598 teilen Internet-Provider ihren CGNAT-Kunden Adressen aus dem Bereich 100.64.0.0/10 zu. Das ist bei dir offensichtlich nicht der Fall.
Anders wäre das bei DS-Lite. Da gibt es keinen fest vorgegebenen Adressbereich. Aber dann müsstest du ein GIF-Interface als AFTR-Tunnel selbst konfiguriert haben. Also sicher wissen dass du DS-Lite hast. Ansonsten hättest du bei DS-Lite und einer sense direkt hinter einem Modem gar kein IPv4 anliegen.
Ich werde in meinem HomeLab keine Webseiten etc. hosten, sondern hierfür Dienste nutzen. Die nextcloud werde ich erstmal nur über IPv6 exposen und sollte mal jemand damit Probleme haben, dann schaue ich weiter.
Die IP-Adresse würde ich auch vorerst dynamisch lassen. Einen Vorteil sehe ich nicht bzw. die Vorteile überwiegen in meinem Fall nicht die Nachteile.
Valider Punkt, nur habe ich bereits ein HomeLab. Anders wie von einigen vermutet, verbraucht mein System gerade mal 100Watt. Dafür spare ich mir einen Router, der ja auch Geld kostet etc. Aber generell ein Punkt, den man natürlich berücksichtigen muss.
Ich verstehe dich voll und ganz. Ich versuche mein bestmögliches zu tun, um die Privatssphäre zu schützen und eine statische IP würde ja alle Bemühungen zunichte machen.
Laut Telekom habe ich eine öffentliche IP-Adresse. In opnsense sehe ich aber das hier:
Die opnsense kennt kennt beide IPs. Die 93er ist das was ich im Internet sehe und diese Wechselt auch bei einem Reboot etc. Ich verstehe nur nicht, woher die Gateway Adresse kommt.
Die kommt per dhcp vom ISP. In deinen LAN-Segmenten teilste ja den Clients auch per dhcp-Server die LAN-IP der sense als Gateway-Adresse mit. Wenn nicht kämen die ja nicht raus ins WAN
Vergleiche deine Konfiguration mal mit IPv6 for generic DSL dialup. Zitat aus diesem Dokument aus dem OPNsense-Manual:
"This short article shows how to setup IPv6 on a standard DSL connection and how to handover the delegated prefix from your provider in your local LAN.
It’s compatible and tested for but not limited to:
Deutsche Telekom"
Ob du dabei nun ein DSL-Modem oder ein ONT (im Volksmund Glasfaser-Modem genannt) vor der sense hast, ist irrelevant.
Wie ärgerlich. Ich dachte auch, dass die Gateway Adresse die öffentliche IP wäre. Habe jetzt das Dashboad angepasst und lasse mir hier die Interface Adresse anzeigen.
Danke für den Hinweis. In der Tat hatte ich Prefer IPv4 over IPv6 aktiviert. Folgende Option habe ich jedoch nicht aktiviert, da ich die DNS Server selber definiert habe:
Also enable Allow DNS server list to be overridden by DHCP/PPP on WAN at the bottom, so you get the correct DNS servers if you just use IPv4 ones.
Soweit kriege ich nun meine IPv6 und Windows erstellt auch automatisch die temporären IPv6 (Privacy Extension.
Danke für die ganze Hilfe und das Aufbauen vom Verständnis. Ich habe jetzt noch weiter gelesen, damit ich verstehe wieso man kein DHCPv6 verwendet, sondern SLAAC usw. Langsam füllt sich die Wissenslücke IPv6.
Ich stehe jetzt aber von einem ganz anderen Problem… Den Filterwall Regeln Das hat nichts mehr mit dem Thema statisch vs. dynamisch und ist eher ein Fall für das opnsense Forum.
Unter IPv4 habe ich durch das DHCP schön gesehen, welche Client im Netzwerk existieren. Das fehlt ja jetzt bei IPv6. Des Weiteren kann ich durch die Privacy Extension (PE) auch meine Regeln nicht mehr anwenden. Ich habe z.B. mehrere physisch getrennte Netzwerke. Ein Beispiel sind z.b. meine Wallboxen in einem separaten Netz. Hier kann ich mit IPv6 ohne PE arbeiten, aber es dürfen ausschließlich meine Clients (PC und Handy) aus dem LAN auf die Wallboxen zugreifen. Durch die PE kriege ich das ja nicht abgebildet.
Also bei dem was besser ist, DHCPv6 oder SLAAC muss man sehr genau unterscheiden. Ich habe meine pfsense so konfiguriert, dass in dem Netzwerksegment in dem sich meine Server befinden kein SLAAC und erlaubt ist sondern alle IPv6-Adresse per DHCPc6-Server vergeben werden. In den Segmenten für LAN und WLAN hingegen ist nur SLAAC erlaubt, aber kein DHCPc6-Server aktiv. Gesteuert wird das über die Router Advertisements.
Für Server sind SLAAC und die Privacy Extensions total ungeeignet. Daher diese Unterscheidung.
Genau darum brauchst du für die Server eben doch DCHPv6 und kein SLAAC.
Wo ist das Problem? Mach IPv6 vom LAN in das Netz mit den Wallboxen dicht. Dann wird automatisch IPv4 genutzt und alles läuft wie bisher über IPv4-FW-Rules. Eingestellt würde das doch in den FW-Rules des LAN-Segments mit den Wallboxen.
Ja, hatte auch gelesen, dass DHCP eher für ISP gedacht ist und man in seinem Netzwerk dann auf SLAAC setzt. Wollte dann für meine anderen Netzwerke dann auch auf SLAAC setzen, aber Privaxy Extensions deaktivieren. Werde mir dann aber noch DHCP anschauen.
Hm, was hat das mit DHCPv6 und SLAAC zu tun. Ich kann doch SLAAC ohne PE verwenden und kann dann auch entsprechende Regeln setzen, oder?
Dann stellt sich mir die Frage, wieso ich überhaupt IPv6 verwenden sollte?
Aktuell habe ich noch nichts an den FW-Regeln geändert, sodass die Clients nur eine IPv6 bekommen, aber generell nichts über IPv6 gehen sollte. Bisher geht nur DoorBird nicht, wenn ich im (W)LAN bin. Muss mal schauen, woran das liegt…
Du hast doch selbst bereits festgestellt, dass du bei IPv6 und SLAAC deine aktiven Clients nicht in einer Liste der aktiven Leases siehst. Warum ist das so? Weil sich bei SLAAC die Clients die IPv6-Adresse selbst geben und daher denknotwendig deine OPNsense davon nix wissen muss.
Bei einem Client wie Smartphone, Notebook, Desktop ist das auch nicht notwendig und kein Nachteil und zusammen mit dem PE ist es sogar ein Vorteil. Anders ist das eben bei einem Server den man per IPv6 aus dem Internet erreichbar machen will. Für diesen Server braucht es FW-Rules und daher auch einen festen lokalen Teil der IPv6-Adresse (der 64 Bit lange Interface Identifer). Der Networl Prefix hingegen wird in der Regel bei Privatkundenanschlüssen nach der Zwangstrennung wechseln. Da der Interface Identifer aber fix sein sollte, istr jede Art der Anonymisiereng für einen Server sowieso nicht sinvoll und auch nicht gegeben, denn den findet man dann ja so oder so über seinen FQDN.
Somit ist SLAAC für das Netzwerksegment mit solchen Servern nur mit Nachteilen verbunden, während DHCPv6 vorteilhaft ist, denn die sense erkennt die Server über die Zuweisung der IPv6-Adresse genau wie bei IPv4 auch.
Nachtrag: wegen des nach Zwangstrennung wechselnden Network Prefix kann man dann diese FW-Rules nicht direkt auf die IPv6-Adresse setzen, sondern benötigt einen Alias der dem FQDN des Servers entspricht. Diesen nutzt man dann statt der IPv6-Adresse in den FW-Rules.
Hm, dann ist IPv6 vermutlich nichts für mich. Weil DHCPv6 kann ich nicht nutzen, da Android es nicht kann. Prinzipiell würde IPv6 gehen und ich könnte es auch nur für einzelne Netzwerke aktivieren. Da ich das Server aus dem Admin-Netzwerk aber über meinen privaten Client administriere, müsste ich auf PE verzichten.
Entweder verstehe ich etwas nicht, oder das Konzept von IPv6 sieht nicht vor, dass man Clients für private und geschäftliche Zwecke nutzt. Oder man verzichtet eben auf PE.
Und ich verstehe nicht, wie du auf diese schmale Gleis kommst. Oder anders formuliert: Wozu kaufst du dir eine dedizierte Firewall, wenn du dann nur ein einziges LAN-Segment hast? Dann täte es auch eine profane Fritte.
Denn deine Aussage (da Android es nicht kann) ergibt nur dann einen Sinn, wenn du die Server (die du aus dem Internet erreichbar machen willst) und die Android Geräte nicht in getrennten Netzwerksegmenten (also per eigenem Network-Interface oder VLAN’s) separierst.
Diese Separierung in getrennten Netzwerksegmenten ist jedoch dringend zu empfehlen, wenn man Server betreibt. Schon aus Gründen der Systemsicherheit.
Also klär mich mal auf, was du da machst und was nicht.
So ist alles weitere nur noch Stochern im Nebel.
Ich habe schon mehrere Netzwerkinterfaces. Bleiben wir bei LAN und ADMIN. Im ADMIN Netz habe ich meine Server und im LAN normale Clients, wie PC; Handy, Drucker, Fernseher, …
LAN darf nur ins Internet. Es gibt nun einige Clients wie z.B. mein PC, der Zugriff auf das Admin Netzwerk hat, um die Server zu administrieren. Hab keinen jump host.
Wenn ich auf meinem PC, mit dem ich sowohl ins Internet gehe, als auch die Services betreue mit IPv6 PE aktiviere, frage ich mich, wie ich die FW konfigurieren soll, dass mein Client Zugriff auf das ADMIN Netz bekommt.
Was man machen könnte ist, dass ich im LAN Netzwerk zusätzlich zu IPv4 noch IPv6 aktiviere. Die Clients die ins Netz gehen, würden es dann über IPv6 probieren und wenn das nicht geht, über IPv4. Meine Interne Kommunikation würde dann über IPv4 laufe.
Du vermengst hier mehrere Themen miteinander, die aber einzeln betrachtet werden müssten. Zudem kann man natürlich SLAAC und DHCPv6 auch miteinander in einem LAN-Segment kombinieren.
Wenn du keine Rules für IPv6 für den Zugriff aus dem LAN (für normale Clients) in das ADMIN-Netz (mit den Servern) anlegst, dann wird IPv4 benutzt und die Rules für IPv4 werden angewendet.
Der Weg vom LAN Netzwerk ins WAN ist davon unabhängig.
Richtig ist: dort wo du Android-Devices oder auch welche mit Chrome OS betreibst braucht es SLAAC, sonst gibt es nur eine fe80-IPv6 an den Geräten. Weder Android noch Chrome OS haben einen DHCPv6-Client. Daher können die eben kein DHCPv6. Deinem Notebook könntest du aber unabhängig davon mitteilen, dass es kein SLAAC sondern DHCPv6 benutzen soll, um einen IPv6-Adresse zu beziehen. Das geht auch spezifisch für bestimme WLAN’s, also im WLAN Zuhause nimmt das Notebook den DHCPv6-Client, überall sonst SLAAC. Bei meinem Linux Notebooks geht das über Network Manager → IPv6 Einstellungen und dann statt Automatisch umstellen auf Automatisch, nur DHCP. Dann bekommen die Notebooks im WLAN Zuhause eben per DHCPv6 einen festen lokalen Teil der IPv6-Adresse zugewiesen.
Bei anderen OS, etwa denen aus Redmond und Cupertino, wird das sicherlich auch so ähnlich gehen.
Ganz unabhängig davon wie du intern im LAN arbeitest bleiben die Vorteile von IPv6 für Freigaben von Servern für Zugriffe aus dem WAN ja dennoch erhalten → Mit IPv6 bracht es kein NAT und daher (wenn man mehr als einen Server hat der Port 80/443 nutzt) auch keinen Nginx-Proxy o.ä. und alles funktioniert auch bei DS-Lite / CGNat.
Danke für die zusätzliche Erläuterung. Mir stellt sich halt die Frage, wieso ich auf IPv6 gehen sollte. IPv4 funktioniert und ja ich werde einen nginx-proxy brauchen, denn ich mit IPv6 nicht brauchen werde. Den nginx aufzusetzen wirkt aber einfacher, wie auf biegen und brechen irgendwie noch IPv6 zu aktivieren. Ich sehe in meinem Anwendungsfalls keinen Vorteil, sondern eher nur Fallstricke.
Habe mal im LAN IPv6 mit aktiviert und es ging. Ich habe keine Firewallregel angepasst und vielleicht war das der Fehler, aber anschließend gingen einige Sachen nicht sauber. Mal gingen einige Webseiten nicht, Doorbird ging zwar, aber es konnte kein Video übertragen werden etc.
Habe es dann wieder deaktiviert, weil ich die letzte Woche nicht da war. Ich hätte aber erwartet, dass es geht, weil ja IPv4 unangetastet war.
Was mutmaßlich nichts mit IPv6 als solchem zu tun hat, sondern einer nicht angepasste MTU und vor allem MSS. Bei PPPoE sollte die MTU 1492 betragen. Sollte allgemein bekannt sein. Ansonsten kann sie bei Vorgabe 1500 bleiben.
Die MSS wiederum ist von der MTU und zudem davon abhängig ob nur IPv4 oder auch IPv6 verwendet wird und entsprechend zu konfigurieren. Die Fritten (konzipiert für Leute ohne Ahnung) machen das automatisch. Eine pf- oder OPNsense jedoch nicht. Da musst du selbst Hand anlegen.
Meine pfsense gibt dazu folgende Hilfestellung:
If a value is entered in this field, then MSS clamping for TCP connections to the value entered above minus 40 for IPv4 (TCP/IPv4 header size) and minus 60 for IPv6 (TCP/IPv6 header size) will be in effect.
Mit value entered above ist die MTU gemeint. Somit reicht bei PPPoE (MTU 1492) und nur IPv4 eine MSS von 1452, bei IPv6 muss die MSS aber runter auf 1432.
Falsche MTU und in der Folge auch MSS führen immer wieder zu Problemen. Bin da auch schon drüber gestolpert, in meiner Wiregard-Config. Da konnte ich dann trotz erfolgreich aufgebautem Wireguard-Tunnel keine ssh- und https-Verbindungen ins heimische Netz aufbauen.
Das hat nichts mehr mit dem Thema statisch vs. dynamisch und ist eher ein Fall für das