Android und SLAAC - Ständige Änderung der IPv6

[the other]

Moinsen,
auch auf die Gefahr, dass ich micht jetzt als Vollhonk oute (kann ich gut):
ich habe hier Zb die Androids in einem eigenen VLAN (weil eben Androids ).
Ich habe als default (wie üblich) deny all für das AndroidVLAN Interface.
Davor erlaube ich denen manches (da dann mit Allow Source AndroidVLANnet), dann dürfen die das (egal welche IP). Anderes verbiete ich, ebenfalls für das gesamte AndoidVLANnet). Dann kommt am Ende die Allow Regel für die gewünschten Internetports (oder meinetwegen Alle).

Warum also nicht:
Allow Source: feste ULA IP ---Destination:XYZ-----Port:xyz
und direkt darunter
Deny Source: Präfix der ULA (dieses wird ja unter der opensense RA Maske fix gemacht)------Destination usw.
?

Warum für das ULA Präfix (das bleibt ja fix) kein Alias anlegen: manches ist dann komplett verboten, da ja das Präfix geblockt wird, anderes dann für die FESTE ULA erlaubt (womit es für die mit PrivacyExtensions ja geblockt bleibt).

Oder hab ich hier einen kapitalen Denkfehler?

 

[tiermutter]

Wenn alles geblockt und nur nach Bedarf für die fixe ULA erlaubt wird, mag das gehen (dennoch schmutzig, da uU erstmal auf ein denied gewartet wird, bevor es mit fer fixen ULA versucht wird, außerdem muss die Firewall dann ständig Dinge blocken, um sie anschließend zu erlauben... Alles unnötiger traffic und Arbeitslast).
Die Geräte im WLAN sollen aber frei kummunizieren können, bei Bedarf verbiete ich. Ich würde hier also keine deny any Politik fahren, das wäre mir viel zu aufwändig, vor allem nur für den Quark den Android/Samsung da macht.

 

[the other]

Moinsen,
tja, ganz generell bin ich da voll bei dir!
Aus meiner Sicht gibt es derzeit zwei Probleme bzw. Hindernisse bzw. Stolpersteine, an denen die Umsetzung von IPv6 krankt:

zum einen an den sich doch immer wieder mal ändernden Präfixen der GUAs, denn so ist es schwer, für diese Firewallregeln zu nutzen und die Geräte einfach nur mit eben dieser einen festen IPv6 zu bedienen.

zum anderen an der Diskrepanz, dass manche Geräte mit DHCPv6 umgehen können, andere (Google) aber nicht und dann auch noch aus DATENSCHUTZ (ausgerechnet google, lol) diese PrivacyExtension-Variante einbringen, die sich NICHT deaktivieren lässt außer man rootet das Gerät, was wiederum Google nicht will. Also SLAAC mit zwei ULAs...Damit sind dann ebenfalls keine Client-bezogenen Regeln möglich, da sich ja der HOST Teil der IPv6 immer ändert und die Geräte ja diesen in der PE Variante im default nutzen.

Mir fällt das hier zb auf, wenn ich nur die (feste, ohne PE Pseudoanonymisierung) IPv6 als ULA freigebe: ich komme damit nicht weiter, denn genutzt wird eben die dynamische mit PE (heute so morgen anders...). Ansonsten muss ich eben das gesamte Subnetz erlauben / sperren.

Ist es bei Apple smartphones möglich, dies zu konfigurieren (Frage an die Apple Menschen)? Also bei den IPv6 die Privacy Extensions zu deaktivieren (jaja, auf eigene Gefahr, blabla...als ob die Schnüffler heutzutage nur auf die IP angewiesen wären)... ?

 

[tiermutter]

Eigentlich sollten die PE ja mit "MAC des Telefon verwenden" deaktiviert sein... Nur dass zumindest hier trotzdem eine weitere ULA mit PE bleibt... In den Entwicklereinstellungen habe ich nur eine Option gefunden (deaktiviert) womit die IP bei Verwendung der PE noch öfter (bei jedem Verbinden mit dem Netzwerk) geändert werden soll... Bleibt die Frage ob das Bug oder Feature ist

 

[the other]

Moinsen,
es wäre insgesamt schön, wenn wenigstens auszusuchen wäre:
ja, gerne mit PE aber bitte NUR für die GUA. Die ULA bitte fix per MAC und gut (ist ja eh nur für intern bzw. nicht via Internet routbar)...aber nein.


Das geht aber AFAIK auch nicht für ubuntu: da ist auch nur ganz mit oder ganz ohne. Oder ich habs noch nicht herausgefunden...(mit traurigen Augen in die Runde blick*)

 

[the other]

Moinsen,
Grins...du könntest ja auch einfach für jedes Android Gerät ein eigenes VLAN aufmachen, jedes mit eigenem Subnetpräfix. Dann kannst du die Zugriffe daran ablesen und Regeln erstellen.
Aber viel Spaß beim Konfigurieren der Firewall...
Es bleibt unpraktisch und auch unbefriedigend. Andererseits weigere ich mich einfach, für eine feste IP mehr Geld für deutlich langsamere Geschwindigkeit zu zahlen...
Tja, keep calm and wait for capitalism to roll over and die.