„Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Alle technischen Themen, Fragen und Diskussionen, für die wir kein Spezialforum haben, passen hier rein.
Benutzeravatar
fLoo
WT-Technik
WT-Technik
Beiträge: 91
Registriert: 14. Dez 2016 08:09
Kontaktdaten:

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von fLoo » 10. Jul 2017 13:41

Die Lösung ist einfach, der Kunde soll seine NS-Einträge pflegen, sobald sich sein Subnetz ändert. Sonst gilt: Firmenanschluss buchen. Bei Vodafone ist beispielsweise auch ein Firmenanschluss für statische IPs (v4/v6) notwendig.

GrummelGrumpff
Member
Member
Beiträge: 82
Registriert: 22. Feb 2016 12:56

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von GrummelGrumpff » 10. Jul 2017 23:12

Privatkunden benötigen keine Server zu Hause
Das ist eine gewagte These, schon allein da praktisch jeder Privatkunde einen DHCP-Server zu Hause zu laufen hat.
Sorry hier kann ich Sloyment nur recht geben.
Die möglichkeit das Rechner direkt miteinander kommunizieren ist ein wesentlicher Bestandteil des Internets und zwar von v4 und v6.
Und wenn ich was zu sagen hätte in diesem Land, dann dürften sich reine CGNAT-Anschlüsse nicht "Internet" nennen sondern nur beschränktes Internet oder verkrüppeltes Internet oder so ähnlich.
Ausserderm sollte in der Werbung natürchlich auch die verwendete version des Internets gennant werden müssen:
Also zBsp: "Bei uns erhalten sie: Internet v6 und ein verkrüppelten Internet v4 Anschluss mit einer geschwindigkeit so um 80Mbit/s download und 20Mbit/s upload".
Die WT-Fritzbox höchst selbst bietet die möglichkeit einen Server zu betreiben (zBsp. SIP-Telefonie und FTP-Server).
In der vergangenheit habe ich mal bei einem Portscan festgestellt das die FB sogar mehr Serverdieste anbietet als mir lieb sind.
(irgendein Port aus dem höheren bereich lies sich nicht schliessen).

Um ehrlich zu sagen der Satz "Privatkunden benötigen keine Server zu Hause" aus der Tastatur eines Technikers, entsetzt mich schon ein wenig.


Ich habe früher mit IPv4 „dynamisches“ DNS benutzt. Die Frage ist, ob es funktionierende Lösungen für IPv6 gibt. Dazu wird ziemlich viel Quatsch geschrieben, und ich habe nicht Lust, alle Anbieter durchzuprobieren.

Bedenklich finde ich, dass viele DynDNS-Anbieter per HTTP aktualisiert werden. Das ist unsicher und kann leicht für eine Man-in-the-Middle-Attacke ausgenutzt werden.
Also gibt es welche die kein HTTP(S) nutzen ?
Und was ist daran unsicherer als NTP oder SIP welches auch Verbindungen in das Internet aufbauen ?
Ich verstehe deine Sicherheitsbedenken schon, allerdings halte ich das ganze für ein generelles Problem, die Lösung wäre der Hauptrouter routet,
für jeden Dienst ein Gerät und danze in einer extra Zone.
Mir ist dass ganze allerdings zu aufwending, bin aber dabei dass ganze zu überdenken, da ich als Angreifer bisher nur normale Krimminelle zu fürchten hatte.
Wenn in Zukunft allen möglichen Leuten auch von der Polizei Trojaner untergeschoben werden benötige ich in Zukunft eine bessere Sicherheitsarchitektur.

gut Funktioniert und kostenlos ist:
> mydns.jp
> spdyn.de

Die Listen hier sind schon ein wenig alt:
https://wiki.openwrt.org/doc/howto/ddns.client
um die reinen Daten zu erfahren ist ein blick hierhinein viel sinnvoller:
https://git.lede-project.org/?p=feed/pa ... s/services
Genau. Aber warum sollte der Provider das nicht hinkriegen? Bei Telefonnummern gibt es damit doch auch keine Probleme. Oder hat sich deine schonmal überraschend geändert?
Überaschend und von seiten des Providers aus nicht aber ich habe meine Nummer des öfteren gewechselt, ausserdem habe ich mehrere Nummern und einige sind ziemlich geheim.
Was ist eigendlich Mobile IPv6 nach RFC 6275 würde das helfen das Problem zu beheben ?
Wenn ich es richtig verstanden habe, ist es eine Tunnellösung. Das mobile Gerät ist der eine Endpunkt, und der andere Endpunkt ist ein Router, der zu Hause rumsteht, weil zu Hause ja jeder ein festes Präfix hat, hmm, klar.
Ich dachte auch eher daran das WT dies Implementiert: das private Netz mit fixen IP-Adressen ist dann bei WT und das Heimnetz wird dann wie ein Fremdes Netz gehandhabt.

Mal ganz generell bin ich sowiso dafür das dieses Forum die Geschäftsleitung oder zumindestens die technische Leitung übernimmt.
Ich habe auch zur Kenntnis genommen, dass bei Wilhelm.Tel-Geschäftskunden-Anschlüssen für 8,50 € pro Monat die Option „Statische IP-Adresse“ besteht. Hierzu tun sich jedoch folgende Fragen auf:

1. Warum gibt es diese Option nicht für Privatkunden?
Meiner Meinung ein guter Vorschlag. Man liest in diesem Forum häufiger die Bereitschaft (meiner Meinung nach hohe Summen) für alles mögliche Auszugeben.
Ich weiss nicht weshalb WT dies nicht macht, aber mir fallen gute Gründe sowohl dafür als auch dagegen ein.
Ich habe aber keine jetzt keine Lust darüber zu spekulieren.
zum Bsp Private Subnets welche trotz das sie Privat sind sich via NAT mit dem Internet verbinden können.
Das könnte man auch mit IPv6 implementieren. Aber welchen Sinn hätte das?
1.- damit bei Geräten bei denen das IPv6-suffix aus der MAC hergestellt wurde, diese nicht im Internet verbreiten.
2.- weil ich es einfacher finde wenn jedes Interface nur eine IP hat (auch wenn das nicht der Gedanke von IPv6 ist)
3.- damit ich mein Netz ertmal parallel zu IPv4 Aufbauen kann.
NAT6 ist implementiert und habe ich auch schon genutzt, ist aber eine Bastel Lösung.
Insgesamt überzeugt mich diese Lösung nicht.
Ich würde sagen generell sind wir einfach unterschiedlicher Meinung.
Mein Netz muss mit dem gegebenen klarkommen, es auch noch intern funktionieren wenn das Internet ausfällt bzw auch bei kurzen unterbrechungen und änderungen von Adressen,
ich will nicht auf die Gnade eines Providers angewiesen sein und ein Provider wechsel sollte auch kein problem sein.

Aber vor allem möchte ich nicht eines Tages mit 2a02:2028:dead:beaf::/56 angesprochen werden weil diese Nummer fest in meinem Ausweis verankert ist.
(Das währe vermutlich der nächste Schritt nach einem gesetzlichen Anspruch).

vor 15 Jahren hätte ich deinem Vorschlag vieleicht zugestimmt, aber da glaubte ich auch noch an den Rechtsstaat.

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von Sloyment » 20. Jul 2017 01:39

Dirty Harry hat geschrieben:
10. Jul 2017 11:01
Verstehe die Problematik schon und bin davon (rudimentär) selbst betroffen.
Insofern habe ich durchaus Verständnis dafür wenn jemand seinen Unmut über die Situation äußert.

Aber hier sah ich nicht die Bereitschaft Hilfestellung und Lösungsvorschläge anzunehmen
sondern hauptsächlich Ablehnung von "allem" und Lust am auskotzen.
Habe ich vielleicht falsch aufgefasst, kam mir aber so vor.
Das Thema hat zwei Dimensionen – eine „politische“ und eine technische.

Zur „politischen“ Dimension:

Ich finde es ärgerlich, als Kunde vom ISP einen nur eingeschränkt funktionsfähigen Internet-Zugang zu bekommen. Und ich habe den starken Verdacht, dass diese Beschränkungen nicht durch Inkompetenz zustande kommen, sondern volle Absicht sind. Es gibt im Prinzip zwei Wege, wie man dem begegnen kann:

Erstens muss ich als Kunde mir nicht alles gefallen lassen. Für mein monatliches Entgelt erwarte ich einen funktionierenden Internetzugang. Wenn Wilhelm.Tel das nicht leisten kann oder will und sich ein anderer Provider findet, der es besser macht, wird das Geld dorthin fließen; so einfach ist das. Ich bin mit meinem ISP nicht verheiratet. Voraussetzung aber, als Kunde erstmal den Mund aufzumachen. Sowohl dem eigentlichen ISP als auch der Konkurrenz muss klarwerden, was der Kunde wünscht, und dass eine Marktlücke besteht, die gefüllt werden will.

Zweitens sollte der Gesetzgeber in diesem Bereich regulierend tätig werden.

Zur technischen Dimension des Themas:

Diese Thematik ist für das Forum wahrscheinlich interessanter. Hierbei geht es darum, einen Workaround zu finden, d.h. eine Notlösung, durch die die Rechner trotz wechselndem Präfix von aussen erreichbar werden. Die Vorschläge und Möglichkeiten nehme ich ernst und ziehe sie durchaus in Erwägung. Falls ich so klingen sollte, als würde ich alles von vornherein ablehnen, so ist das ein Missverständnis. Es ist allerdings so, dass meine Frustrationstoleranz nicht besonders hoch ist.

Die bisherigen Möglichkeiten im Einzelnen:

1. Tunnel über SixXS: Bis vor kurzem hatte ich einen Aiccu-Tunnel von SixXS laufen und damit einen festen IPv6-Präfix von NetCologne. Leider hat SixXS den Dienst nun eingestellt. Mein Laptop hatte einen eigenen Namen; der Nameserver wiederum steht bei Strato. Das war ein interessantes Setup und lief erstmal ganz gut. Interessant und sinnvoll wäre gewesen, das Tunnel-Ende nicht zum Laptop, sondern zu einem Router zu führen, um mehrere Geräte, d.h. erstmal die Pi und später diverses IoT-Zeug (z.B. Kamera) anzuschließen.

2. Hurricane Electric bietet einen kostenlosen Tunnel an, ebenfalls mit festem Präfix, aber mit 6in4-Protokoll. Ob das funktioniert, konnte ich noch nicht zuendetesten. Wie gesagt, meine Frustrationstoleranz ist nicht sehr hoch. Ich habe gehört, dass manche ISP und manche Router die Protokoll-41-Pakete wegfiltern, so dass 6in4 gar nicht überall möglich ist. Es wäre sinnvoll, den Tunnel gleich über einen Router laufen zu lassen. Die Frage ist, welcher einigermaßen preiswerte Router 6in4 kann, und ob das funktioniert. Im Gegensatz zu Aiccu muss man bei 6in4 über HTTP manuell bescheid geben, wenn die IPv4-Adresse sich ändert. Der DNS-Server von Strato kann weiter zum Einsatz kommen. Gut ist auch, dass man sich das Land aussuchen kann, in das der Tunnel geht (Google muss nicht wissen, in welchem Land ich lebe).

3. DynDNS-Lösungen: Hierfür braucht man einen Nameserver mit besonders niedrigem TTL und eine Möglichkeit, die Adressen per Script über irgendein API zu updaten. Es gibt viele Anbieter, aber sie haben z.T. auch seltsame Beschränkungen. AVM, der FritzBox-Hersteller, bietet z.B. solch einen Dienst an. Die FritzBox erhält dann einen kryptischen Namen, unter dem sie von außen erreichbar ist. Gut, aber was ist mit den restlichen IPv6-Geräten zu Hause? Der DynDNS-Dienst müsste so implementiert sein, dass mit einem einzigen Aufruf der Präfix aller benannten Geräte geändert wird. Ich habe versucht, Bind9 auf meinem V-Server bei Strato zu installieren, d.h. einen eigenen Nameserver aufzusetzen. Bisher hat das nicht geklappt; wie gesagt, meine Frustrationstoleranz ist nicht besonders hoch.

4. Geschäftskunden-Tarif: Auch diesen Vorschlag ziehe ich in Erwägung. Im Moment ist mir das Angebot etwas ZU teuer, aber diese Einschätzung kann sich auch ändern. Mich würde interessieren, in welchen Punkten sich dieser Tarif noch vom herkömmlichen Tarif unterscheidet, abgesehen vom (optionalen) festen Präfix. Unklar ist mir auch, ob der Tarif allen Menschen zur Verfügung steht, oder ob man erst ein Gewerbe anmelden muss.

5. BGP-Anschluss: Dieser Vorschlag war vermutlich ein Scherz? Die Vorstellung, einen provider-unabhängigen Präfix zu bekommen, ist zwar cool, aber wenn das jeder haben wollte, wären die Routing-Tabellen im Netz ziemlich schnell zugemüllt. Außerdem ist die Lösung vermutlich sehr teuer.

6. Mobile IPv6: Dies ist eine Tunnellösung; man benötigt aber einen Endpunkt in einem Netz, das schon festes IPv6 hat. Mir ist nicht bekannt, ob das implementiert ist und funktioniert, und wo man einen solchen Tunnel herbekommt.

7. LISP: Noch irgend so ein Tunnel-Protokoll, mit dem man seine IPv6-Adressen mitnehmen kann. Auch hier ist unklar, wer so einen Tunnel anbietet und wie teuer.

Gruß,
Thomas

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von Sloyment » 20. Jul 2017 01:48

fLoo hat geschrieben:
10. Jul 2017 13:41
Die Lösung ist einfach, der Kunde soll seine NS-Einträge pflegen, sobald sich sein Subnetz ändert.
Das kann man zwar einfach sagen; die Umsetzung finde ich allerdings nicht so einfach.
Sonst gilt: Firmenanschluss buchen. Bei Vodafone ist beispielsweise auch ein Firmenanschluss für statische IPs (v4/v6) notwendig.
Nochmal die Frage: Muss man hierzu ein Gewerbe anmelden, oder kann jeder Mensch „Geschäftskunde“ werden?

Gruß,
Thomas

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von Sloyment » 20. Jul 2017 04:11

GrummelGrumpff hat geschrieben:
10. Jul 2017 23:12
Die möglichkeit das Rechner direkt miteinander kommunizieren ist ein wesentlicher Bestandteil des Internets und zwar von v4 und v6.
Und wenn ich was zu sagen hätte in diesem Land, dann dürften sich reine CGNAT-Anschlüsse nicht "Internet" nennen sondern nur beschränktes Internet oder verkrüppeltes Internet oder so ähnlich.
Es gab eine Petition zum Thema Netzneutralität, die es bis in den Petitionsausschuss des Bundestages geschafft hat. (Video gibts im Netz.) Dort war auch ein Vorschlag, dass sich nicht alles „Internet“ nennen dürfen sollte. Die Entgegnung war, dass in Ländern, in denen die Bezeichnung entsprechend geschützt wird, das Produkt dann „Call and Surf“ oder mit ähnlichem Werbe-Geschwafel bezeichnet werde. Die Regelung sei somit wirkungslos.
Und was ist daran unsicherer als NTP oder SIP welches auch Verbindungen in das Internet aufbauen ?
Wenn ein Angreifer den DNS-Server auf seinen Rechner umbiegt, kann er Daten empfangen, die für dich bestimmt sind, eventuell sogar deine Login-Daten abfischen, um deinen Rechner zu übernehmen.

Bei NTP könnte man dir höchstens eine falsche Uhrzeit unterjubeln; mir ist aber auch nicht klar, wie der Angreifer dazu vorgehen sollte.

Bei SIP kann der Angreifer eventuell deine Gespräche mithören. Das Szenario ist ähnlich wie bei DynDNS.

SIP dient auch nur dazu, trotz wechselnder IP-Adresse und Zwangsrouter-Firewall erreichbar zu sein. Man könnte auch mit einem viel simpleren Protokoll telefonieren.
gut Funktioniert und kostenlos ist:
> mydns.jp
> spdyn.de
Ich habe gerade spdyn ausprobiert. Man kann bis zu fünf Hosts anmelden. (Das ist wenig. Zwei Händis, ein Tablet, ein Laptop und ne Pi sind z.B. schon fünf.) Wenn sich der Präfix ändert, müssen die DNS-Einträge aller Hosts einzeln upgedatet werden. Die FritzBox kann aber meines Wissens nur einen Http- bzw. Https-Aufruf mit ihrer eigenen Adresse rausschicken. Also müssen sich die Geräte selbst ummelden. Da ist aber der Denkfehler. Ich gehe davon aus, dass die meisten Geräte die meiste Zeit im Suspend-Modus schlummern und man sie per Magic-Package aufwecken muss, wenn man was von ihnen will. Während sie pennen, merken sie aber nicht, dass sich ihre Adresse geändert hat, aber dann kann man sie auch nicht mehr wecken von außen. Um dies zu vermeiden, sollte der Update mit einem einzelnen Aufruf erfolgen.
Genau. Aber warum sollte der Provider das nicht hinkriegen? Bei Telefonnummern gibt es damit doch auch keine Probleme. Oder hat sich deine schonmal überraschend geändert?
Überaschend und von seiten des Providers aus nicht
:-D
aber ich habe meine Nummer des öfteren gewechselt, ausserdem habe ich mehrere Nummern und einige sind ziemlich geheim.
Es ist gut, dass die Möglichkeit besteht, seine alte Nummer loszuwerden, wenn man es will.
Was ist eigendlich Mobile IPv6 nach RFC 6275 würde das helfen das Problem zu beheben ?
Wenn ich es richtig verstanden habe, ist es eine Tunnellösung. Das mobile Gerät ist der eine Endpunkt, und der andere Endpunkt ist ein Router, der zu Hause rumsteht, weil zu Hause ja jeder ein festes Präfix hat, hmm, klar.
Ich dachte auch eher daran das WT dies Implementiert: das private Netz mit fixen IP-Adressen ist dann bei WT und das Heimnetz wird dann wie ein Fremdes Netz gehandhabt.
Ein 6in4-Tunnel zu einem anderen Provider wäre eine ähnliche Möglichkeit.
Ich habe auch zur Kenntnis genommen, dass bei Wilhelm.Tel-Geschäftskunden-Anschlüssen für 8,50 € pro Monat die Option „Statische IP-Adresse“ besteht. Hierzu tun sich jedoch folgende Fragen auf:

1. Warum gibt es diese Option nicht für Privatkunden?
Meiner Meinung ein guter Vorschlag. Man liest in diesem Forum häufiger die Bereitschaft (meiner Meinung nach hohe Summen) für alles mögliche Auszugeben.
Ich weiss nicht weshalb WT dies nicht macht, aber mir fallen gute Gründe sowohl dafür als auch dagegen ein.
Was könnte dagegen sprechen?
zum Bsp Private Subnets welche trotz das sie Privat sind sich via NAT mit dem Internet verbinden können.
Das könnte man auch mit IPv6 implementieren. Aber welchen Sinn hätte das?
1.- damit bei Geräten bei denen das IPv6-suffix aus der MAC hergestellt wurde, diese nicht im Internet verbreiten.
Dafür gibts doch Privacy Extensions? Okay, die unterstützt vielleicht nicht jedes Gerät…
2.- weil ich es einfacher finde wenn jedes Interface nur eine IP hat (auch wenn das nicht der Gedanke von IPv6 ist)
3.- damit ich mein Netz ertmal parallel zu IPv4 Aufbauen kann.
???
Insgesamt überzeugt mich diese Lösung nicht.
Ich würde sagen generell sind wir einfach unterschiedlicher Meinung.
Mein Netz muss mit dem gegebenen klarkommen, es auch noch intern funktionieren wenn das Internet ausfällt bzw auch bei kurzen unterbrechungen und änderungen von Adressen,
ich will nicht auf die Gnade eines Providers angewiesen sein und ein Provider wechsel sollte auch kein problem sein.
Das versteh ich nicht. Bei IPv6 gibt es doch auch lokale Adressen. fd00::/8
Aber vor allem möchte ich nicht eines Tages mit 2a02:2028:dead:beaf::/56 angesprochen werden weil diese Nummer fest in meinem Ausweis verankert ist.
(Das währe vermutlich der nächste Schritt nach einem gesetzlichen Anspruch).

vor 15 Jahren hätte ich deinem Vorschlag vieleicht zugestimmt, aber da glaubte ich auch noch an den Rechtsstaat.
Die Annahme, dass jeder IPv6-Präfix einer Person zugeordnet werden könne, ist etwas waghalsig, denn eine Person kann verschiedene Präfixe bei verschiedenen Providern haben; umgekehrt kann aber auch ein Internet-Zugang von einem Mehrgenerationenhaushalt verwendet werden. Gerade im letzteren Fall sollte dabei ein sehr lustiges Persönlichkeitsprofil herauskommen.

Versteh mich bitte nicht falsch; ich finde schon, dass man bei Bedarf seinen Präfix wechseln können sollte. Noch besser wäre, einen festen und einen wechselnden parallel nutzen zu können. Es sollte aber immer die Option geben, einen Präfix dauerhaft zu behalten.

Gruß,
Thomas

GrummelGrumpff
Member
Member
Beiträge: 82
Registriert: 22. Feb 2016 12:56

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von GrummelGrumpff » 23. Jul 2017 14:18

Meiner Meinung ein guter Vorschlag. Man liest in diesem Forum häufiger die Bereitschaft (meiner Meinung nach hohe Summen) für alles mögliche Auszugeben.
Ich weiss nicht weshalb WT dies nicht macht, aber mir fallen gute Gründe sowohl dafür als auch dagegen ein.
Was könnte dagegen sprechen?
Weil jede kleine Veränderung Arbeitszeit und damit Geld kostet und unter Umständen eine Konkurenz zu einem anderem Tarif darstellt.
Bsp: stell dir vor eigendlich benötigen nur 9 Leute eine statische IP, 6 davon benötigen die statische Adresse so sehr das sie ein bussniss Tarif wählen, 2 halten einfach die Füsse still und nur einer wechselt zur Konkurenz.
Wie sinnvoll währe es also da Geld rein zu stecken ?
Andererseits könnte der Bedarf nach statischen Adressen natürlich in der Zukunft massivst steigen dann könnte es sehr sinnvol sein jetzt schon eine Lösung zu entwickeln.
Aber diese Art von diskusion führt zu nichts da niemand hier Kosten oder Bedarf abschätzen kann. Auch glaube ich dass die WT Geschäftsleitung in diesem Fall die leistungsfähigere Glaskugel für den Blick in die Zukunft hat.
Dies ist nunmal ein technisches Forum.
Es gab eine Petition zum Thema Netzneutralität, die es bis in den Petitionsausschuss des Bundestages geschafft hat. (Video gibts im Netz.) Dort war auch ein Vorschlag, dass sich nicht alles „Internet“ nennen dürfen sollte. Die Entgegnung war, dass in Ländern, in denen die Bezeichnung entsprechend geschützt wird, das Produkt dann „Call and Surf“ oder mit ähnlichem Werbe-Geschwafel bezeichnet werde. Die Regelung sei somit wirkungslos.
In der Tat währe der nutzen nur begrenzt, besonders problematisch währe es wenn von den Providern die richtiges Internet anbieten dieses dann nicht Internet genannt wird.
Das ganze ist aber ein Grundsätzliches Problem. Der Spielraum von Gesetzen wird selbstverständlich immer ganz ausgeschöft und jene welche die Gesetze ausgearbeitet haben beschweren sich dann meistens, wenn der Bürger sich nur an die Gesetze hält anstatt entweder gleich das ganze mehr zu durchdenken oder eben nachzubessern.
In diesem Fall müsste richtiges Internet dann auch Internet heissen und beschränktes müsste dann auch beschränkt heissen.
Wenn ein Angreifer den DNS-Server auf seinen Rechner umbiegt, kann er Daten empfangen, die für dich bestimmt sind, eventuell sogar deine Login-Daten abfischen, um deinen Rechner zu übernehmen.

Bei NTP könnte man dir höchstens eine falsche Uhrzeit unterjubeln; mir ist aber auch nicht klar, wie der Angreifer dazu vorgehen sollte.

Bei SIP kann der Angreifer eventuell deine Gespräche mithören. Das Szenario ist ähnlich wie bei DynDNS.

SIP dient auch nur dazu, trotz wechselnder IP-Adresse und Zwangsrouter-Firewall erreichbar zu sein. Man könnte auch mit einem viel simpleren Protokoll telefonieren.
Ich dachte eher daran das auch in Clienten Softwarelücken verborgen sein könnten welche dann ausgenützt werden könnten.
Ansonsten muss man immer damit rechnen das jemand Zugriff auf die Leitung hat und alles mitschneiden kann, daher sollten Logindaten natürlich immer verschlüsselt sein.
Im einfachsten Fall könnte zum Bsp. mein Nachbar unter mir Zugriff auf die Leitung haben.
Ich weiss nicht ob es das nicht sogar in den AGBs steht früher war das jedenfalls drin.
Ich greif daher nur über OpenVPN auf mein Heimnetz zu.

2.- weil ich es einfacher finde wenn jedes Interface nur eine IP hat (auch wenn das nicht der Gedanke von IPv6 ist)
3.- damit ich mein Netz ertmal parallel zu IPv4 Aufbauen kann.
???
2 - Bsp. mein Interface hat gleich 3 globale IPv6 Adressen eine stateless Adresse (wie sie normalerweise regulär zugewiesen werden) eine mit Privacy Extensions und eine Statefull zugewiesene.
woher weiss ich welche verwendet wird ?
3 - Ich hab mal durchgezählt ich habe 6 private Netzwerke und 11 Interfaces.
einige davon sind OpenVPN tunnel und soweit ich weiss funktioniert nur eine recht beschränkte statische Address vergabe.
Ausserdem läuft IPv6 nur nebenbei, und solange ich IPv4 noch brauche will ich nicht komplett umdenken.
Das versteh ich nicht. Bei IPv6 gibt es doch auch lokale Adressen. fd00::/8
Is mir schon klar. Nur doof wenn der Rechner umbedingt immer ueber die globale Adresse alles verschicken will.
Und auch wenn das wohl eher eine Fehlkonfiguration ist, bei einem Providerwechsel zu einem ISP der keine statischen Adressen anbietet hilft dir das auch nicht.
Die Annahme, dass jeder IPv6-Präfix einer Person zugeordnet werden könne, ist etwas waghalsig, denn eine Person kann verschiedene Präfixe bei verschiedenen Providern haben; umgekehrt kann aber auch ein Internet-Zugang von einem Mehrgenerationenhaushalt verwendet werden. Gerade im letzteren Fall sollte dabei ein sehr lustiges Persönlichkeitsprofil herauskommen.

Versteh mich bitte nicht falsch; ich finde schon, dass man bei Bedarf seinen Präfix wechseln können sollte. Noch besser wäre, einen festen und einen wechselnden parallel nutzen zu können. Es sollte aber immer die Option geben, einen Präfix dauerhaft zu behalten.
Brauch man nicht man legt einfach ein Gruppenprofil an und richtige Namen brauch man auch nicht da man ja was viel besseres hat nähmlich dieses nicht wechselbare IPv6-Prefix.
Ausserdem trifft Mehrpersonenhaushalt auf die meisten nicht unbedingt zu ich würde fast eher sagen das der 2-Personenhaushalt am häufigsten anzutreffen ist.
Und neben dem Anlegen von Profilen was wohl auch jetzt schon sehr gut funktioniert fürchte ich vor allem Sperren.
"Man wird zum Bsp. Angebote leichter lemitieren können, zum Bsp. sie haben heute schon 3 Filme heruntergeladen kommen sie Morgen wieder oder Zahlen sie hier ..."
Aber wirklich schlimm ist es wenn Angebote eben lebensnotwendig sind und diese intransparent lemitiert werden.
Zum Bsp. das bestimmte Leute eben wesendlich schlechtere Konditionen angezeigt bekommen.
Also zBsp. Geringverdiener bei der Bank nur sehr schlechte Konditionen oder Menschen die von Beruf Anwalt oder Lehrer sind bekommen auf Wohnungs-such-portalen keine Wonungen angezeigt.

Nerv ist vieleicht auch das richtige Wort welches du für die Überschrift gewählt hast, es in der Tat viel einfacher mit statischen IP-Adressen zu arbeiten als mit DNS,
Aber wenn ich nur die Wahl zwischen statisch oder dynamisch habe, bin ich lieber nur von dynamischen Adressen genervt als dass oben genannte Horrorzenario zu akzeptieren.

GrummelGrumpff
Member
Member
Beiträge: 82
Registriert: 22. Feb 2016 12:56

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von GrummelGrumpff » 23. Jul 2017 14:21

Ich habe gerade spdyn ausprobiert. Man kann bis zu fünf Hosts anmelden. (Das ist wenig. Zwei Händis, ein Tablet, ein Laptop und ne Pi sind z.B. schon fünf.) Wenn sich der Präfix ändert, müssen die DNS-Einträge aller Hosts einzeln upgedatet werden. Die FritzBox kann aber meines Wissens nur einen Http- bzw. Https-Aufruf mit ihrer eigenen Adresse rausschicken. Also müssen sich die Geräte selbst ummelden. Da ist aber der Denkfehler. Ich gehe davon aus, dass die meisten Geräte die meiste Zeit im Suspend-Modus schlummern und man sie per Magic-Package aufwecken muss, wenn man was von ihnen will. Während sie pennen, merken sie aber nicht, dass sich ihre Adresse geändert hat, aber dann kann man sie auch nicht mehr wecken von außen. Um dies zu vermeiden, sollte der Update mit einem einzelnen Aufruf erfolgen.
Ich muss zugeben das dein Zenario durchaus etwas komplexer ist als nur ein Router oder ein paar laufende Geräte mit DDNS zu Adressieren.
Allerdings treten im Prinzip alle Probleme die man DDNS hat doch auch bei normalem DNS auf, oder kannst du mal erklären wie du das Problem mit DNS löst ?
Erst die direkte Verwendung von IPv6-Adressen würde alles vereinfachen.

Ich habe auch keine getestete Lösung für das Problem da ich (vermutlich) gar kein Gerät besitze, welches ich mit WOL Aufwecken könnte.
Daher habe ich monentan nicht den Bedarf da Arbeit rein zu stecken, Interressant finde ich das ganze dennoch.
<offtopic>funktioniert bei einem Raspberry-Pi eigendlich WOL ?</offtopic>
Ausserdem habe ich mal eine Verständnissfrage dazu:
WOL funktioniert doch eigendlich nur im gleichen Netzwerk auf der Sicherungsschicht oder mit Broadcast Adressen da ein abgeschaltetes Gerät überhaupt gar keine IP-Adresse hat.
Oder irre ich mich da ?
Kann man eigendlich einfach Broadcast Packete an ein entferntes Netz schicken ?

Hier mal ein paar mögliche Überlegungen und Vorschläge wie man das ganze hinbekommen könnte:
1. die Fuschlösung)
- man registriert sich bei mehreren DDNS-Anbietern um mehr Adressen zu bekommen mydns.jp bietet meines Wissens auch mehr Adressen.
- die Broadcast-Adresse wird an den DDNS Server übermittelt.
- Die Geräte dann erst aufwecken anschliessend holen sie sich die Adressen selbst.

2. die proffesionelle Lösung)
- man richtet eine Delegierung via NS Resource Record zu einem eigenem DNS Server ein welcher auf dem eigenen Router läuft.
- also zBsp: mein-fort-knox.mydns.jp währe dann meine eigene DNS Zone und die Anfrage zu der Adresse: kamera026.mein-fort-knox.mydns.jp wird dann an meinen Server geleitet.
- natürlich müsste es dann auch eine Brodcast-Adresse geben mit der Alle Geräte aufgeweckt werden.
> dass ganze währe wohl sehr komplex man brauch einen DDNS-Provider der dass unterstützt (spdns.de=nein / mydns.jp=möglicherweise siehe DELEGATION / ddnss.de=noch nicht getestestet aber laut beschreibung ja)
> man muss einen Weg finden seinen eigenen DNS Server updaten.
> Ich habe zu wenig Erfahrung mit DNS aber dass ganze birgt wohl auch einiges an Sicherheitsrisiken.
zum Bsp. benötigt man einen Weg das nur im lokalem Netz auf Anfragen welche ausserhalb der Eigenen Zone liegt geantwortet wird.
Anfragen von Ausserhalb sollten aber nur beantwortet werden wenn sie sich an die eigenen Zone richten.
Vieleicht kann ja mal jemand der sich etwas mehr damit ausskennt ein paar Stichwörter nennen und vieleicht ein paar tips was man unbedingt nicht machen sollte.

3. die Umgehung des Problems)
- Ich würde wohl das ganze Problem Umgehen in dem Ich ein VPN nutze und im prinzip das eigene Netz erst gar nicht verlasse.
mit VPN lassen sich sowieso viele Probleme lösen und ist daher mein Favorit.
- Adresse des VPN-Servers wird natürlich mit DDNS zugewiesen.

w.joost
Neuling
Neuling
Beiträge: 2
Registriert: 8. Nov 2016 13:27

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von w.joost » 26. Jul 2017 21:06

Das Problem mit den dynamischen IP-Adressen hatte ich bei WillyTel von Anfang an. Ich habe dafür einen Tunnel bei Portunity gebucht. Damit bekomme ich eine feste IPv4-Adresse und ein festes IPv6-Netz. Läuft u.a. auch mit openvpn. Es gibt auch einen IPv6-Endpunkt, so dass man sich nicht durch ein evtl. vorhandenes NAT kämpfen muss.

Das war jetzt hoffentlich nicht zu viel Werbung :oops: .

Generell wäre ein Angebot von Wilhelm.tel / Willy.Tel einem eine feste Adresse auch ohne Geschäftskundentarif zuzuweisen nicht verkehrt. Die ein oder andere Wallbox zum Laden von Elektroautos gebraucht nämlich auch eine feste IP-Adresse, wenn sie per OCPP angebunden werden soll. Wobei dafür die Verfügbarkeit des Internetanschlusses natürlich auch noch deutlich besser werden müsste. Und damit meine ich nicht ein SLA sondern tatsächliche Verfügbarkeit.

Gruß
Wolfram

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von Sloyment » 4. Aug 2017 02:24

WilhelmTel hat mir inzwischen geantwortet, dass die dynamischen IPv6-Adressen Absicht seien, um Serverbetrieb zu verhindern, gefolgt von ein paar Anmerkungen, warum auch aus technischer Sicht die Bereitstellung von festem IPv6 angeblich zu schwierig sei. :roll: Das Thema ist für mich vorerst abgeschlossen, da es mir nicht zielführend erscheint, gegen diese Haltung anzudiskutieren.

Interessant wäre noch, ob irgendein Anbieter einen Tunnel über LISP (Locator/Identifier Separation Protocol) anbietet – und ob das an einem WT-Internetzugang vernünftig funktioninert.

cybershadow
Member
Member
Beiträge: 21
Registriert: 26. Jul 2017 22:48

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von cybershadow » 16. Aug 2017 01:22

Die aktuelle Fritz-Firmware bringt i.V.m. MyFritz alles mit, was man braucht. Externe DynDNS-Anbieter, Tunnel und anderer Kram sind für die allermeisten Anwendungsfälle überflüssig.

Vorweggeschickt: Wilhelm.tel verbietet die gewerbliche Nutzung und das Betreiben von Servern und "größeren Netzwerken" an Privatkundenanschlüssen in den AGB. Ob es möglich ist, das Betreiben von Servern per AGB auszuschließen, und was konkret ein "Server" im Sinne dieser AGB ist, darüber sollen sich ggf. die Gelehrten der Rechtswissenschaften streiten, hier soll es lediglich um die technische Machbarkeit gehen.

Mein Beispiel: Ich möchte die Möglichkeit haben, auf meine private NextCloud über das Internet zuzugreifen. Das funktioniert natürlich analog auch mit NAS, IP-Kameras und anderem smarten Kram. Mein Internetzugang wird über einen willy.tel FTTB-Anschluss und VDSL2 mit einer Fritz Box 7490 hergestellt. willy.tel hat mir Dual Stack mit öffentlicher IPv4 geschaltet.

Vorgehen wie folgt:
  1. Auf geeigneter Hardware Linux-Server mit NextCloud aufsetzen und dem Rechner einen sinnvollen Hostnamen verpassen (!). (In meinem Fall: Das aktuelle NextCloud-OVA auf den ESXi-Server schmeißen, Hostname ist "nextcloud")
  2. Ein MyFRITZ!-Konto erstellen und die Fritzbox dort anmelden.
  3. Sollte "Internetzugriff auf die FRITZ!Box über HTTPS" gewünscht sein, unter Internet->Freigaben->FRITZ!Box-Dienste den TCP-Port für HTTPS ändern, z.B. auf 8443.
  4. Unter Heimnetz->Heimnetzübersicht bei dem neu eingerichteten Gerät (zu finden über den in Schritt 1 vergebenen Hostnamen) die Option "Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen" aktivieren.
  5. Das "Gerät für Freigaben hinzufügen" unter Internet->Freigaben->Portfreigaben. Das Gerät taucht dort ebenfalls unter dem in Schritt 1 vergebenen Hostnamen auf. Die IPv6 Interface-ID sollte automatisch korrekt vergeben werden.
  6. Auf derselben Seite eine "Neue Freigabe" vom Typ MyFRITZ!-Freigabe mit der Anwendung HTTPS-Server anlegen. Speichern & aktivieren.
  7. Unter Heimnetz->Heimnetzübersicht->Netzwerkeinstellungen bei "DNS-Rebind-Schutz" Domainnamen-Ausnahmen für den Hostnamen, den vollständigen myfritz.net-Domainnamen und ggf. den CNAME-Domainnamen (s.u.) des Geräts eintragen, sonst kann man aus dem LAN nicht auf die Nextcloud zugreifen.
Die Freigabe sieht jetzt folgendermaßen aus:
myfritzfreigabe.png
myfritzfreigabe.png (28.01 KiB) 1144 mal betrachtet
MyFRITZ vergibt also automatisch eine Subdomain für das Gerät unter der eignenen MyFRITZ!-Subdomain und weist ihr die korrekte globale IPv6-Adresse zu:
nslookup.PNG
nslookup.PNG (10.61 KiB) 1144 mal betrachtet

Optional:

Wenn man eine eigene Domain hat, kann man eine Subdomain anlegen und per CNAME-RR auf die myfritz-Adresse verweisen, also z.B.:

Code: Alles auswählen

cloud.example.com. IN CNAME nextcloud.​z7gz3xxxxxxxxxxx.​myfritz.​net.
Außerdem kann man sich über LetsEncrypt ein SSL-Zertifikat besorgen, das sowohl den myfritz-, als auch den CNAME-Namen umfasst.

Fertig. Die nextCloud ist jetzt über IPv6 (an jedem Anschluss) und IPv4 (wenn am Anschluss eine öffentliche IPv4 zur verfügung steht) erreichbar, die Fritzbox sorgt selbstständig dafür, dass die Adresse aktuell bleibt.

Ergänzung/Disclaimer:
Geräte gleich welcher Art ans Internet anzubinden kann u.U. zu Sicherheisproblemen führen, angemessene Schutzmaßnahmen sind erforderlich. Dieser Beitrag stellt eine allgemeine Information dar, keine Anleitung. Ich bin nicht dafür veranwortlich, wenn jemand Euer Netzwerk knackt.

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von Sloyment » 17. Aug 2017 17:15

Hi cybershadow,
vielen Dank für die Ausführungen zum hauseigenen DynDNS der FritzBox.

Wenn ich dich richtig verstanden habe, übernimmt die FritzBox den Hostnamen des Gerätes und erzeugt automatisch eine Subdomain, wenn man MyFritz aktiviert hat. Das funktioniert bei mir nicht, was möglicherweise daran liegt, dass du eine 7490 hast und ich eine 7390.

Mein Laptop hat den Hostnamen „c64“. Die FritzBox erkennt dies irgendwie (ja wie eigentlich?) und zeigt den Namen an verschiedenen Stellen im Webinterface an. Im Heimnetz ist der Rechner unter „c64.fritz.box“ zu erreichen, allerdings nur über IPv4, nicht über IPv6; d.h. es existiert kein AAAA-Eintrag für „c64.fritz.box“.

Ich habe einen MyFritz-Account erstellt, und „████████████████.myfritz.net“ zeigt jetzt auf die FritzBox. Bei IPv4 leitet die FritzBox fast alle Ports an den exposed Host weiter, bei IPv6 ist über diese Adresse nur die FritzBox zu erreichen. Nach deiner Anleitung müsste die FritzBox automatisch einen AAAA-Eintrag für „c64.████████████████.myfritz.net“ anlegen, der auf die öffentliche IPv6-Adresse meines Laptops zeigt. Das passiert aber nicht, und ich finde auch keinen Menüpunkt, über den man das manuell setzen kann. Vielleicht sollte ich mal eine Mail an AVM schicken.

- - - - -
Vorweggeschickt: Wilhelm.tel verbietet die gewerbliche Nutzung und das Betreiben von Servern und "größeren Netzwerken" an Privatkundenanschlüssen in den AGB. Ob es möglich ist, das Betreiben von Servern per AGB auszuschließen, und was konkret ein "Server" im Sinne dieser AGB ist, darüber sollen sich ggf. die Gelehrten der Rechtswissenschaften streiten, hier soll es lediglich um die technische Machbarkeit gehen.
Darüber mache ich mir wenig Sorgen.

1. Die Klausel macht technisch gar keinen Sinn. Bei einem Internetzugang geht es darum, auf OSI-Layer 3 IP-Pakete zu versenden und zu empfangen. Das nackte Internet-Protokoll definiert keine Clients und Server, sondern nur gleichberechtigte Peers. Das mag bei einem BTX-Zugang oder anderen reinen Layer-7-Geschichten etwas anders aussehen. Die AGB hat vermutlich irgendein Business-Honk ausgearbeitet, der keine Ahnung von Technik hat.

2. Man kann auch nicht davon ausgehen, dass Server im allumfassenden Sinne gemeint sind, denn sonst wäre auch der Betrieb der FritzBox verboten, so viel Server-Funktionalität, wie die bereitstellt. Lustigerweise arbeitet auch am PC die Drucker- (CUPS) und die Bildschirmausgabe (Xorg) nach dem Client-Server-Prinzip. Ich gehe also davon aus, dass das alles nicht gemeint ist, und zerbreche mir nicht bei jeder Software, die ich installiere, und jedem Gerät, das ich anschließe, den Kopf, ob es ein „Server“ sein könnte.

3. Sollte ich tatsächlich mal einen Server betreiben, der unter die AGB-Klausel fällt, könnte WilhelmTel das nur unter Verletzung des Fernmeldegeheimnisses mittels Deep-Packet-Inspection nachweisen. Sollte ich also einmal einen bösen Brief oder gar eine Kündigung von WilhelmTel erhalten, wäre ich ein paar Sekunden später sofort beim Rechtsanwalt, und der zieht ihnen dann die Eier lang.

4. Als ich an meiner Haustür den Vertrag mit WilhelmTel geschlossen habe, hat mich Stanislav Alexandopović (oder wie der hieß) nicht auf die AGB-Klausel aufmerksam gemacht. Ich war vorher bei HanseNet, und da gab es so eine Klausel nicht. Wie ich inzwischen recherchiert habe, haben die meisten anderen ISPs ebenfalls so eine Klausel nicht. Daher gehe ich davon aus, dass die Klausel nicht Bestandteil des Vertrages geworden ist:
Bestimmungen in Allgemeinen Geschäftsbedingungen, die nach den Umständen, insbesondere nach dem äußeren Erscheinungsbild des Vertrags, so ungewöhnlich sind, dass der Vertragspartner des Verwenders mit ihnen nicht zu rechnen braucht, werden nicht Vertragsbestandteil.
(§ 305c (1) BGB – „Überraschende und mehrdeutige Klauseln“)

Um das Thema AGB hier nicht weiterführen zu müssen, konstruiere ich jetzt ein Fallbeispiel, in dem es eindeutig nicht um den Betrieb eines Server geht: Person X (nicht WilhelmTel-Kunde) betreibt einen NFS-Server, auf den ich als Client(!) zugreifen möchte. Ich brauche eine feste Adresse, um mich zu identifizieren; das ist bei NFS halt so.

cybershadow
Member
Member
Beiträge: 21
Registriert: 26. Jul 2017 22:48

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von cybershadow » 18. Aug 2017 01:10

Das geht definitiv auch mit der 7390: https://avm.de/service/fritzbox/fritzbo ... inrichten/

Schritt 5 bis 7 durchgeführt? Eventuell vorhandene Portfreigaben löschen und als MyFRITZ!-Freigaben neu anlegen!
Sloyment hat geschrieben:
17. Aug 2017 17:15
Im Heimnetz ist der Rechner unter „c64.fritz.box“ zu erreichen, allerdings nur über IPv4, nicht über IPv6; d.h. es existiert kein AAAA-Eintrag für „c64.fritz.box“.
Das ist der DNS-Rebind-Schutz. Ausnahmen eintragen, dann geht's.

Sloyment
Member
Member
Beiträge: 17
Registriert: 16. Jun 2017 08:05

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von Sloyment » 18. Aug 2017 18:50

„1. Auf geeigneter Hardware Linux-Server mit NextCloud aufsetzen und dem Rechner einen sinnvollen Hostnamen verpassen (!).“

→ Ein Linux-Rechner mit sinnvollem Hostnamen („c64“) ist vorhanden. NextCloud hab ich erstmal nicht installiert.

„2. Ein MyFRITZ!-Konto erstellen und die Fritzbox dort anmelden.“

→ Das Konto existiert bereits, und die FritzBox ist angemeldet.

„3. Sollte "Internetzugriff auf die FRITZ!Box über HTTPS" gewünscht sein, unter Internet->Freigaben->FRITZ!Box-Dienste den TCP-Port für HTTPS ändern, z.B. auf 8443.“

→ Der Port wurde bei der MyFritz!-Anmeldung bereits auf 41843 festgelegt, sollte also keinen Konflikt verursachen. Einen Port-Konflikt kann es aber eh nur bei IPv4 geben, und mich interessiert nur IPv6.

„4. Unter Heimnetz->Heimnetzübersicht bei dem neu eingerichteten Gerät (zu finden über den in Schritt 1 vergebenen Hostnamen) die Option "Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen" aktivieren.“

→ Das Häkchen wurde auch schonmal gesetzt. Für IPv6 sollte es aber auch eigentlich egal sein. Die Privacy-Extensions sind am Rechner nicht aktiviert.

„5. Das "Gerät für Freigaben hinzufügen" unter Internet->Freigaben->Portfreigaben. Das Gerät taucht dort ebenfalls unter dem in Schritt 1 vergebenen Hostnamen auf. Die IPv6 Interface-ID sollte automatisch korrekt vergeben werden.“

→ Ich habe die alte Freigabe (Exposed Host) gelöscht und nach deiner Anleitung eine neue angelegt. Bis hier hin läuft alles nach Plan.

„6. Auf derselben Seite eine "Neue Freigabe" vom Typ MyFRITZ!-Freigabe mit der Anwendung HTTPS-Server anlegen. Speichern & aktivieren.“

→ Im Feld „Adresse“ steht erstmal nichts, und man kann auch nichts eintragen. Nach einem „OK“ passiert mal gar nichts, mal wird eine Adresse ohne Subdomain erzeugt… Okay, nach 100 Versuchen und einigen Neustarts hat es dann doch funktioniert. Wenn man die Freigabe anlegt, darf der Rechner nicht Exposed Host sein. Später kann man die Häkchen aber irgendwann wieder setzen. Insgesamt sehr abenteuerlich. Nach einem Neu-Verbinden dauert es eine Weile, bis die Subdomain wiederkommt, was sehr verwirrt.

„7. Unter Heimnetz->Heimnetzübersicht->Netzwerkeinstellungen bei "DNS-Rebind-Schutz" Domainnamen-Ausnahmen für den Hostnamen, den vollständigen myfritz.net-Domainnamen und ggf. den CNAME-Domainnamen (s.u.) des Geräts eintragen, sonst kann man aus dem LAN nicht auf die Nextcloud zugreifen.“

→ Nicht nötig. Der Rebind-Schutz der FritzBox „schützt“ nicht vor myfritz.net, warum auch immer.

- - - - -

Okay, es funktioniert jetzt erstmal. Etwas blöd ist, dass die Subdomain zusätzlich zu ihrem AAAA-Eintrag auch einen A-Eintrag hat, der auf die FritzBox zeigt.

Der Trick mit CNAME funktioniert auch wunderbar; allerdings könnte ich mir, wenn ich eh schon einen eigenen Nameserver laufen lasse, auch gleich mein eigenes DynDNS zusammenbasteln. Hmm…

Als nächstes werd ich mal versuchen, ob ich den Rechner vom Internet aus mittels Magic-Packet aufwecken kann. :-)

Gruß,
Thomas

Benutzeravatar
MVillage68
Member
Member
Beiträge: 43
Registriert: 5. Jun 2017 12:34
Wohnort: HH Bergedorf

Re: „Dynamischer“ IPv6-Präfix – nerv nerv nerv!

Beitrag von MVillage68 » 4. Sep 2017 19:10

Vielleicht von Interesse wie das OpenWRT / LEDE momentan löst?

Die Dienste von DHCP WAN / LAN, UPNP, RA-Server laufen an einem Messagebus. Im LAN konfiguriert man seine Dienste nur mit dem Suffix, der Router fügt dies mit dem aktuellen Prefix zusammen. Ändert sich der Prefix, oder ein UPNP Endgerät will einen offenen Port, dann aktualisiert sich die komplette Runde bis hin zu einem Updater für einen DynDNS V6 Dienst.

Aber der allgemeine Support für IPv6 ist ein Jammertal. Über 2017er NAS Geräte deren Webserver nicht an IPv6 läuft, Test-Apps fürs Handy die augenblicklich crashen wenn man IPv6 benutzt, Router Betriebssysteme die IPv6 als "Ferner liefen" unterstützen ist die komplette Geisterbahn dabei. Schrottige Implementationen in Gamekonsolen die aktuelles PCP IGD2 Pinholing nicht anfordern können. Ja sogar ein Entwickler der vergessen hat wie sein Programm IPv6 macht, weil er das vor 3 Jahren programmiert hat und bisher niemand danach gefragt hat.

Was hier wirklich läuft ist der Prefixwechsel :D

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder