IPv6 im lokalen Netzwerk (LAN)

Barungar

Well-known member
Hallo zusammen,

ich werde versuchen mich verständlich auszudrücken. Bitte aber um Nachsicht, wenn mir das nicht immer und direkt gelingt. Aber ich beisse nicht und es darf gerne nachgefragt werden. Die ersten drei Abschnitte können auch gerne übersprungen werden, da sie heute kaum noch von Relevanz sind. Auch, da ich mir sonst die Finger wundtippe, werde ich die ganze Geschichte in Teilen veröffentichen. Aber keine Sorge, ich habe nicht vor einen allzu langen zeitlichen Abstand entstehen zu lassen.

Steigen wir also erst einmal vorsichtig ein.


Warum überhaupt IPv6 im lokalen Netzwerk?
Ich habe im Jahr 2010 aus reiner Neugier bzw. aus Spaß an der Freude mit diesem Thema angefangen. Schon seit längerem hatte ich immer wieder mal was davon gehört, dass IPv6 die "Rettung für die knappen IPv4-Adressen" sei. Man habe bei diesem IPv6 einen Adressraum von 128 Bits im Gegensatz zu den lächerlichen 32 Bits bei IPv4, damit hätten wir für die nächsten Dekaden mehr als genug IPs usw. Außerdem sei das IPv6 die Zukunft der IP-basierten Netze. Meine Neugier war geweckt. :cool:


Der erste Schritt
Angefangen habe ich in dem ich meinen Windows XP-Rechnern erstmal IPv6 beigebracht habe. Ich glaube (da bin ich mir aber nicht mehr ganz sicher), dass das IPv6 seiner Zeit noch nicht zum standardmäßig aktiven Umfang einer Windows-Installation gehörte und man es noch über die "zusätzliche Features" im Windows Installer nachträglich aktivieren musste. Jetzt war da also eine weitere "lustige" Adresse an meiner Netzwerkkarte. Es handelte sich, wie ich damals aber noch nicht so genau wusste, um die LLA, die der IP-Stack mittels des EUI64-Verfahrens auf Basis seiner MAC-Adresse selbst bestimmt hatte und der ein festes Präfix (fe80::/10 ist hierfür reserviert) hinzugefügt wurde.

LLA - Was ist das?
Die LLA ist die link local address oder auf Deutsch die verbindungslokale Adresse. IPv6 ist im Gegensatz zum IPv4 bereits im Designprozess darauf ausgelegt worden, dass es sich fast von selbst in einen funktionsfähigen Zustand bringt. Eigentlich eine tolle Sache, die es Anwendern und Geräten vereinfacht ins Netz zu kommen und die es so seit dem veralteten IPX/SPX-Protokoll nicht mehr gab. Aber in meiner Wahrnehmung wird dieses Feature auch kaum gewürdigt.​

EUI64 - Was ist das?
Das EUI64 ist ein Verfahren, mit dem man standardisiert aus einer 48 Bit MAC einen 64 Bit Wert bestimmen kann, der im Fall von IPv6 als sogenannter Host-Anteil verwendet wird. Der Host-Anteil wiederum ist der Teil einer IPv6-Adresse, der genau das Gerät innerhalb eines IPv6-Subnetzes bestimmt und ist fix mit 64 Bit definiert.​
Mit der MAC 00-22-44-66-88-aa würde wie folgt verfahren: Trennen in 00-22-44 und 66-88-aa, zwischen beiden Hälften wird ff-fe einfügen. Damit erhält man 00-22-44-ff-fe-66-88-aa und ist fast fertig, denn nun wird noch von den ersten 8 Bits des neuen 64 Bit-Wertes das sogenannte signifikante siebte Bit invertiert. Da ein Bit entweder 1 oder 0 sein kann, bedeutet invertieren in diesem Fall aus 1 mach 0 oder aus 0 mach 1. Der fertig Hostanteil lautet nun: 02-22-44-ff-fe-66-88-aa.​
Und somit kennen wir nun auch die LLA dieses fiktiven Gerätes es ist: fe80::0222:44ff:fe66:88aa​

Diese verbindungslokale Adresse (LLA) funktioniert zwar nur in der Broadcast Domäne, das ist der Bereich in einem Netzwerk, der noch ohne Routing über einen Rundruf (broadcast) erreichbar ist. Das Routing ist dabei das, was ein Router für uns macht. Konkret nämlich das Weiterleiten bzw. Weitervermitteln von Datenpaketen aus einem Subnetz in ein anderes Subnetz. Es ist nämlich auf Grund des Designs von TCP/IP nicht möglich über Subnetzgrenzen hinweg direkt zu kommunizieren. Aber im direkten Vergleich zu IPv4-Geräten sind eine handvoll IPv6-Geräte somit ohne weitere Hilfe bzw. Konfiguration sofort kommunikationsfähig, wenn man sie einfach nur an einem Switch einsteckt.

Dieser erste Schritt ist heute nicht mehr notwendig, da alle modernen Betriebssystem mit aktivem IPv6 ausgeliefert werden.


Der zweite Schritt
Um nun mit IPv6 auch in die weite Welt zu gelangen, brauchte ich aber mehr als nur verbindungslokale Adressen (LLA) für mein Netzwerk. Als nächstes machte ich mich also auf die Suche, danach wie ich an eine IPv6-Anbindung für mein Netzwerk komme konnte. Im Jahr 2010 waren die meisten Internet-Provider für Heim- und Privatanwender aber noch nicht in der Laune oder Lage das an einem 08/15-DSL-Anschluss anzubieten. Um es an dieser Stelle abzukürzen, ich fand einen Weg und war bald schon stolzer Besitzer meines ersten statischen /48-IPv6-Subnetzes.

Die Zuteilung des Netzes hatte ich per Email beantragt und mir war damals die Kinnlade runtergefallen, als ich die Mailantwort erhielt, dass mir ein /48-Subnetz zugeteilt wurde. Wenn ich ehrlich bin hatte ich mit einem /64-Subnetz gerechnet, hatte aber in meiner Anfrage keine konkrete Größe angegeben. Eigentlich nur, dass ich mich für IPv6 interessiere und das "ausprobieren" wollte. Das ganze war kostenlos!

Da die Firma AVM für den Heimanwendermarkt schon damals recht fortschrittlich war, gab es bereits damals IPv6-Features in der FritzBox 7390. So gelang es mir mit Hilfe der FritzBox schließlich mein IPv6-Subnetz über meinem IPv4-DSL-Anschluss zu leiten. (Für die Experten es wurde mittels 6in4 getunnelt.)

Dieser zweite Schritt ist heute nicht mehr notwendig, da eigentlich alle Internet-Provider mittlerweile öffentliche IPv6 + IPv4 ausliefern, in einigen Fällen sogar schon keine "richtigen, öffentlichen" IPv4 mehr. (Aber das ist eine vollkommen andere Geschichte.)


Der dritte Schritt
Mein IPv6-Subnetz war nun auf der FritzBox angekommen. Und dort ging die Konfiguration weiter. Es wurde die "Verteilung" der IPv6-Adressen eingestellt. DNS-Server mit IPv6-Adressen hatte ich damals noch gar nicht ins Auge gefasst und auch DHCPv6 hatte ich noch nicht in Erwägung gezogen.

Die Verteilung der IPv6-Adressen erfolgte über den RADVD, den Router Advertisement Demon oder auf Deutsch den Router Inserat Dämonen, der FritzBox. Dieses kleine Ding versendet (auch heute noch bei IPv6-Netzen) alle paar Sekunden eine Mitteilung an die in einer Broadcast Domäne (hatten wir schonmal, siehe oben) erreichbaren Geräte und teilt ihnen mit, dass er ein Router sei und ihnen die IPv6-Präfixe XY anbieten kann. Ein IPv6-Gerät, das solch eine Mitteilung erhält, merkt sich die Adresse des Routers und bindet, falls es noch keine IPv6-Adresse aus dem Bereich des bekanntgegebenen Präfixes hat, eine solche IPv6, die es auf Basis der bereits erwähnten EUI64 erzeugt, an seine Netzwerkkarte. Das erfolgt diesmal als bekanntgegebenes Präfix + EUI64.

Dieser dritte Schritt ist heute kaum noch notwendig, da alle modernen Heim-Router mit aktivem IPv6 ausgeliefert werden.


Ich hoffe, dieser erste Teil hat Euch gefallen und vielleicht schon geholfen. Gerne bin ich für Anregung oder Feedback offen.
 
Zuletzt bearbeitet:
Moin Barungar, hab gerade interessiert deinen Post über IPv6 gelesen, den du vor einem guten Jahr verfasst hast.
Ich hab mich jetzt aus der Not heraus mit dem Thema beschäftigt und schnell gemerkt das die Thematik schon "etwas" komplexer ist als noch bei IPv4.

Derzeit werkel ich daran herum IPv6 in meinem Netzwerk zu nutzen - allerdings wie schon gesagt aus der Not heraus.
Deutsche Glasfaser möchte mir auch nach vielem Bitten partout keine öffentliche IPv4 zuteilen - Das wird natürlich wie üblich mit der "Knappheit" begründet. Nein, auch nicht gegen Aufpreis. Statt dessen könne ich ja statt 50 Euro den Business-Tarif für 120 Euro nehmen, da ist dann die v4 doch möglich ;). Man kann sich zwar für ein paar Euro im Monat Drittanbieter das Routing auf den eigenen Router hinbiegen lassen aber das ist für mich auch nur ne Murkslösung mit neuen Limitationen.

Also IPv6 !

Bisher habe ich die Erkenntnis gewonnen das in einer Zeit in der IPv6 eben noch nicht der vorherrschende Standard ist den alle Netzwerke quasi ausschließlich nutzen, Problematiken bestehen, wie wenn z.B. Server von außen ganz bockig "reine" IPv4 Verbindungen zu mir aufbauen wollen. Da jedoch mein Mobilfunkanbieter, so wie auch die meisten anderen mittlerweile IPv6 sprechen ist hier der Zugriff von unterwegs zumindest kein Problem. Anders sieht es schon wieder bei Hotel-oder Bahn-Hotspots aus, die laufen überwiegen gerne nur mit IPv4 - weil es ja bequemer ist. Damit muss ich dann wohl leben.

Kaum damit leben kann ich aber mit der Tatsache dass ich nach dem Wechsel von meinem alten "Kuper-Internet" ( und noch mit öffentlicher IPv4 ) nicht mehr ohne weiteres von außen in mein Netzwerk gelange. Na klar, hier schalten wir jetzt IPv6 dazu und ruckzuck "wireguarden" wir uns wieder nach Hause. Nur gibt es da ja noch so einige Fallstricke mit denen ich noch nicht recht umzugehen weis.

Ich habe ein Pihole als DNS-Filter hinter einer Fritzbox laufen, derzeit erst mal nur mit v4 Adresse (genauso wie alle anderen Netzwerkgeräte). Wenn ich es richtig verstanden habe schaltet sich beim aktivieren von IPv6 im Router ein DHCPv6 Server dazu der, nach einem mir nicht bekannten Schema, allen Geräten zusätzlich eine IPv6 zuweist. Unterlaufen die Geräte dann nicht den auf dem Router eingetragenen DNS-Server (das Pihole auf nem raspi) ?

Nach dem Aufschalten der IPv6 "Unterstützung" im Router hatte ich meine Probleme erkennen zu könne ob Geräte die DNS Anfragen per IPv6 stellen auch sicher nur mein Pihole fragen und nicht den mir vom Provider zugeteilten IPv6 DNS Server. Die vergebenen IPv6 der Geräte werden leider nicht so transparent aufgelistet wie bei IPv4.
Und zu guter Letzt werden mir im Terminal bei einer IP Abfrage des Raspi-Pihole gleich 3 IPv6 gelistet. Ich kann in der Fritzbox eine IPv6 in dem Punkt "eigener IPv6 DNS Server" eingeben, wüste aber jetzt nicht sicher welche das ist.
Die gesamten Einstellungen bzgl. IPv6 sind recht Umfangreich so das ich nicht wirklich sicher bin welche für "Dual Stack Lite" die richtigen sind.

Bedeutet die Aussage das es bei IPv6 kein NAT gibt das die Geräte per IPv6 Zugriff ungeschützt hinter dem Router erreichbar sind ?
Fragen über Fragen...

Ach ja, war so einfach mit IPv4 :)
 
Zuletzt bearbeitet von einem Moderator:
Moinsen,
wenn du in der Fritzbox IPv6 aktivierst, dann erhalten deine Geräte die benötigten IPv6 Adressen:
- eine global gültige (GUA) für den Verkehr im "Internet" (andere werden nicht geroutet)
- eine locale link Adresse (LLA) für den Verkehr intern zwischen den Geräten in einem Netzteil
- eine lokale (wenn so in der Fritzbox aktiviert) für das Routing zwischen Netzsegmenten (ULA)

Dazu gibt es dann noch weitere, die ähnlich aussehen, sich aber regelmäßig ändern: die sogenannten Privacy Extensions.
Deshalb ist es auch normal, dass du plötzlich mehr als nur eine einzige IP Adresse sehen kannst.
LLA und GUA werden eigentlich IMMER vergeben, die ULAs nicht unbedingt...


Es ist auch durchaus möglich, dass du zwar (weil es der ISP ja so vorgibt) fürs externe IPv6 nutzt, intern aber weiter mit IPv4 arbeitest...
Also: alle Geräte behalten ihre internen (privaten) IPv4 und sind im LAN auch darüber erreichbar.
Dann wäre die Einbindung vom Pihole eigentlich unverändert:

Client setzt DNS Anfrage ab---------------> Pihole bekommt die Anfrage und filtert--------------> Pihole sendet die Anfrage an die Fritzbox weiter (gefiltert)--------------> die Fritzbox sendet das dann an den v6 DNS Server vom ISP (oder den, den du eingetragen hast in der Fritzbox)....

Um von außen auf dein LAN zu kommen (etwa per VPN) wirst du allerdings dann auch eine IPv6 benötigen. Klappt im Mobilfunk idR gut, kann (wie du ja selber schreibst) in öffentlichen WLANs aber schon scheitern. Das stimmt.

Nutze gerne auch die Suchfunktion im Forum, denn hier gibt es (auch und gerade von @Barungar) diverse gute Beiträge zum Thema...!
:)
 
Ich habe ein Pihole als DNS-Filter hinter einer Fritzbox laufen, derzeit erst mal nur mit v4 Adresse (genauso wie alle anderen Netzwerkgeräte). Wenn ich es richtig verstanden habe schaltet sich beim aktivieren von IPv6 im Router ein DHCPv6 Server dazu der, nach einem mir nicht bekannten Schema, allen Geräten zusätzlich eine IPv6 zuweist. Unterlaufen die Geräte dann nicht den auf dem Router eingetragenen DNS-Server (das Pihole auf nem raspi) ?
Genau so, wie Du der FritzBox sagst welchen IPv4 DNS-Server sie per DHCPv4 verteilen soll, kannst Du der FritzBox auch sagen, welchen IPv6 DNS-Server sie per DHCPv6 und RAdv verteilen soll. (Im IPv6 wird der DNS-Server häufig parallel auf zwei Arten verteilt, weil im Zweifel nicht jedes IPv6-Gerät DHCPv6 macht.)

Wichtig wäre an der Stelle nur, damit das ganz nicht zu kompliziert wird, dass Deine FritzBox dauerhaft ULA verteilt. Anschließend aktivierst Du IPv6 auf der Netzwerkkarte Deines Pihole und hältest dann nach seiner ULA-Adresse ausschau. Diese ULA des Pihole wird dann die IPv6, die die FritzBox als DNS-Server für das IPv6 verteilen soll.


Und zu guter Letzt werden mir im Terminal bei einer IP Abfrage des Raspi-Pihole gleich 3 IPv6 gelistet.
Drei IPv6 klingt schonmal gut. Es können auch noch mehr sein. Wichtig wäre an der Stelle, dass es eine GA, eine ULA und eine LLA sind. (Global Adress, Unique Local Adress und Link Local Adress) Das erkennst Du mit etwas Übung am Präfix der Adressen. Die LLA immer fe80::0, die ULA fd::0 und die GA die "Dritte". :D

Für den internen DNSv6 dann wie erwähnt ideal die Adresse aus dem fd::0-Netz nehmen.
 
Die LLA immer fe80::0, die ULA fd::0 und die GA die "Dritte"
Super, damit kann ich doch schon mal arbeiten. Klasse seit Ihr hier!
dass Deine FritzBox dauerhaft ULA verteilt.
Ich werde mal sehen welche Einstellung das sicherstellen könnte.
Bedeutet die Aussage das es bei IPv6 kein NAT gibt das die Geräte per IPv6 Zugriff ungeschützt hinter dem Router erreichbar sind ?
Könnte dazu noch jemand was sagen ?:oops:

(Ich gelobe die Suchfunktion zu nutzen, Ich gelobe die Suchfunktion zu nutzen, Ich gelobe...)
 
Könnte dazu noch jemand was sagen ?:oops:
Natürlich gibt es noch NAT (Network-Address-Translation), aber nicht mehr in dem Kontext, welchen Du jetzt vermutlich mit dem IPv4-Hintergrund meinst.

Was ist passiert? Früher sah es so aus:

"private" Client-IP (IPv4) -> Router: Firewall + NAT (WAN-IP) -> Internet

Eingehend brauchte es daher Port-"Weiterleitungen" (Weiterleitung an Ziel + Umschreiben der Ziel-IP(!)). Da v6 jetzt aber sowieso schon mit öffentlichen IPs daher kommt, sieht das nun so aus:

"öffentliche" Client-IP (IPv6) -> Router: Firewall -> Internet

Eingehend brauchst es jetzt Port-"Freigaben" (Paket XY darf an Endgerät ABC). Eigentlich ist es garnicht großartig anders als vorher auch schon, nur, dass diese "Umschreiberei" der IP-Header nicht mehr stattfindet.

Zum besseren Verständnis der Thematik wäre es ggf. hilfreich, wenn man sich mal den Wikipedia-Artikel dazu anschaut. SNAT machen die meisten Router schon von Haus aus, DNAT wäre der typische Fall für eine "Portweiterleitung" - all das, wird bei IPv6 so erstmal nicht mehr benötigt :)
 
Moinsen,
anbei ein screenshot für die Einstellungsmaske der Fritzbox zu den ULAs.
Zu finden unter Heimnetz > Netzwerk > Netzwerkeinstellungen > weitere Einstellungen > IPv6...
ULA_fritzbox.png
 
Frag Dich mal, warum das so ist... 😉 Aber jut, legen wir noch eine Schüppe oben drauf: CGNAT, dann haben wir es aber auch 😁 (CGNAT bzgl. IPv6-Client zu IPv4-Server). Wichtig ist halt zu verstehen, wofür es "steht" und was es "macht", daraus resultiert auch alles weitere.
 
Frag Dich mal, warum das so ist... 😉 Aber jut, legen wir noch eine Schüppe oben drauf: CGNAT, dann haben wir es aber auch 😁 (CGNAT bzgl. IPv6-Client zu IPv4-Server). Wichtig ist halt zu verstehen, wofür es "steht" und was es "macht", daraus resultiert auch alles weitere.

"Es hat signifikante Sicherheits-, Skalierungs- und Zuverlässigkeitsprobleme"

fängt ja gut an...
 
CHATGPT antwortet übrigens auf die Frage:


Sind lokale Netzwerkgeräte über eine IPv6 Verbindung mangels NAT ungeschützt aus dem Internet erreichbar ?


Antwort:

Wenn lokale Netzwerkgeräte über eine IPv6-Verbindung verbunden sind, sind sie aufgrund der Art und Weise, wie IPv6-Adressen zugewiesen werden, möglicherweise aus dem Internet erreichbar. Im Gegensatz zu IPv4, bei dem in den meisten Fällen eine Netzwerkadresseübersetzung (NAT) durchgeführt wird, um Geräte hinter einem Router zu verbergen, ist NAT in IPv6 nicht erforderlich und daher nicht standardmäßig aktiviert.

Jedes Gerät, das über eine öffentliche IPv6-Adresse verfügt, kann direkt aus dem Internet erreicht werden. Wenn also ein Gerät in einem IPv6-Netzwerk eine öffentliche IPv6-Adresse hat, ist es potenziell aus dem Internet erreichbar, wenn keine geeigneten Schutzmaßnahmen getroffen wurden.

Es ist daher wichtig, dass Netzwerkadministratoren geeignete Schutzmaßnahmen ergreifen, um die Sicherheit ihrer Netzwerkgeräte zu gewährleisten, wenn IPv6 eingesetzt wird. Dazu können Firewall-Regeln, Zugriffssteuerungslisten und andere Netzwerksicherheitsmaßnahmen gehören.
 
Moinsen,
ja, das ist theoretisch auch so. Es handelt sich bei IPv6 eben um die Verbindung, die eine end-to-end Verbindung aufbaut. Alles mit NAT macht das anders, es ist eben hier KEINE end-to-end Verbindung (da ja dein Router dazwischen sitzt, daher siehst du ja auch die öffentliche IPv4, die der Anbieter dir zuteilt, in den Protokollen...(laienhaft erklärt, für die Profi-Erklärungen überlasse ich das Feld immer gerne @blurrrr oder auch @Barungar, die sind da wesentlich fundierter in der Materie IPv6 und Netzwerk allgemein, hier eher so der learning-by-doing Typus im Hobbykeller) :)

Jetzt könnte mensch panisch IPv6 wieder ausschalten (OMG, alles direkt erreichbar, WTF...??) :)

Aber:
https://avm.de/service/wissensdaten...0/845_IPv6-Freigaben-in-FRITZ-Box-einrichten/

So einfach ist es dann auch nicht...
ZB: ohne Portfreigabe ist per PING mein Testgerät hinter der Fritzbox nicht anzupingen...und auch nicht erreichbar von außen. Das regelt die Fritzbox...
 
Jedes Gerät, das über eine öffentliche IPv6-Adresse verfügt, kann direkt aus dem Internet erreicht werden. Wenn also ein Gerät in einem IPv6-Netzwerk eine öffentliche IPv6-Adresse hat, ist es potenziell aus dem Internet erreichbar, wenn keine geeigneten Schutzmaßnahmen getroffen wurden.

Es ist daher wichtig, dass Netzwerkadministratoren geeignete Schutzmaßnahmen ergreifen, um die Sicherheit ihrer Netzwerkgeräte zu gewährleisten, wenn IPv6 eingesetzt wird. Dazu können Firewall-Regeln, Zugriffssteuerungslisten und andere Netzwerksicherheitsmaßnahmen gehören.
Und genau das erledigt jeder SOHO-Router schon ganz automatisch für Dich (ausser Du gibst explizit etwas frei) 🙃
 
Moinsen,
wenn du da nicht planlos Dinge freigibst, dein Gerät auf aktuellem Update-Stand ist, keine selbstständigen Freigaben für irgendwelche Geräte erlaubt sind...dann ist das nicht "gefährlicher" als IPv4...
Sowas
https://www.pc-magazin.de/news/fritzbox-ipv6-sicherheitsluecke-update-avm-3198060.html
kann natürlich auch immer mal passieren...aber mit IPv4 ist das Leben ja auch nicht gerade ein Ponyhof...was die Sicherheit und Verantwortung des Users und der Hersteller angeht...
;)
 

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.439
Beiträge
53.748
Mitglieder
5.235
Neuestes Mitglied
MichaelS
Zurück
Oben