IPv6 - Verteilung von ULA

[Barungar]

Ich meine, es ist nicht die feine Art.. aber man kann, wenn man einen eigenen DNS-Server hat, auch eigene Domänen ausdenken.

Nehmen wir an: Wir sind Erika Mustermann --> unsere Domäne wird .em --> das ist keine der IANA bekannte Domäne. Somit besteht zumindest im Augenblick keinerlei Gefahr. Sollte es diese Domäne irgendwann man geben, dann wäre sie aus dem Netzwerk von Frau Erika Mustermann nicht erreichbar, also auch ein übersichtlicher Schaden.

Das heißt... wir haben dann z.B. pc1.em, pc2.em und nas2.em ... und jetzt sagt mir, dass Deine IP weniger zu tippen ist. @tiermutter

 

[tiermutter]

na, dann nimm doch kurze prägnante Namen... "ds-bkp.domain", "pc1.domain"....

Die IP habe ich mir dann aber doch besser gemerkt (vor allem kenne ich die ja sowieso schon)

und jetzt sagt mir, dass Deine IP weniger zu tippen ist.

Ich teste mal....
pc1.em
nas2.em
10.13.12.5
10.13.12.9
... IP geht mir flotter von der Hand, da fliegen die Finger, zumindest diejenigen die sich überhaupt bewegen müssen nur so über den Nummernblock

Aber klar, das wäre schon eine Möglichkeit und defintiv eine Alternative.

 

[blurrrr]

Hier läuft auch schon seit Ewigkeiten in interner DNS-Server (auf dem NAS, ohne extra Hardware). Ist aber auch nicht so wild, wenn das Teil ausfällt, wollte nur div. Zonen hier lokal haben (falls für wenn und aber), aber im Prinzip kommt das meiste sowieso via Zonentransfer von anderen DNS-Servern (Büro/RZ).

unsere Domäne wird .em --> das ist keine der IANA bekannte Domäne. Somit besteht zumindest im Augenblick keinerlei Gefahr. Sollte es diese Domäne irgendwann man geben, dann wäre sie aus dem Netzwerk von Frau Erika Mustermann nicht erreichbar, also auch ein übersichtlicher Schaden.

Ich sag dazu mal einfach fritz.box (Heise-Artikel)

Je mehr IPs es werden, desto schwieriger wird es, sich sowas auch zu merken. Die DNS-Namen vergibt man ja auch gerne entweder nach Einsatzzweck (file.domain.tld, mail.domain.tld, nas1.domain.tld etc. - also schon genau so, wie es @Barungar gesagt hat), oder nach einem anderweitigen statischen Muster (ggf. unter Einbeziehung von Subdomains, wie server1.berlin.domain.tld, server2.berlin.domain.tld, server1.hamburg.domain.tld). Theoretisch könnte man auch einfach nach Netzen trennen... nas1.lan.domain.tld, rapsi6.lan.domain.tld, nas3.test.domain.tld, nas1.gast.domain.tld... Das ist ja das schöne an DNS... der Phantasie sind (fast) keine Grenzen gesetzt.

Was die Argumentation mit dem Nummernblock angeht... kann ich durchaus nachvollziehen, ABER: Wenn Du kein 2-Finger-Suchsystem benutzt (wovon ich jetzt mal nicht ausgehe), ist auch der rest echt flott weg vom Tisch und auch hier gilt: Übung macht den Meister. Je öfter Du Deine internen Domains schreibst, desto schneller wird's auch gehen. Ich brauche für meine interne domain+tld ca. 1 Sekunde, dazu halt davor noch den Hostnamen (wie lange brauchst Du z.B. für "nas1"?), also ungefähr 2 Sekunden. Wie lange brauchst Du um eine IP auf dem Nummernblock einzugeben? Das sind doch sicherlich auch gut 2 Sekunden... Wenn man es nicht übertreibt (in der Kürze liegt die Würze! ), ist DNS ist schon wirklich klasse und macht auch vieles einfacher (allerdings wird man auch abhängiger davon). Weniger praktisch wäre natürlichsowas hier:

mein-super-neues-nas-nummer-5.beste-subnetz-ever.mein-netz-ist-einfach-nur-geil.total

Da hätte ich persönlich dann auch mal so gar keine Lust drauf... Also einfach nicht übertreiben und dann kann man auch mit DNS leben...

 

[the other]

Moinsen,
kurze Wasserstandsmeldung:
seit IPv6 aktiviert und GUA wie auch ULA vergeben sind ist der Seitenaufbau unter Ubuntu 20.04 LTS mit aktuellem Firefox (für Ubuntu aktuell, also 96.0) zu Beginn des Surfens langsam, mitunter sehr langsam, unabhängig von den besuchten Seiten.

Alles okay dagegen unter
- gleichem PC mit Win10
- Android Clients

Scheint also irgendwie bezogen zu sein auf ubuntu / firefox...ich forsche weiter.

 

[Barungar]

Das müsste man näher untersuchen... im ersten Moment klingt das nach einer DNS Unstimmigkeit.

 

[the other]

Moinsen,
sooo...
was ich bisher mal versucht habe (und es nicht wirklich verstehe):
bisher (mit den DNS Problemen) hatte ich als DNS Server IPv6 die ULA angegeben. Ein nslookup mit der ULA funktioniert nicht.
Gebe ich dagegen die GUA hier an, dann rennt es wie gehabt.

Ich dachte in meiner kindlichen Naivität: ich geb als DNS die pfsense mit ULA an, das wird dann sicherlich gehen. Scheint aber nicht so.
Mit GUA wie gesagt läuft es gewohnt schnell. Nur: ändert sich irgendwann mal der globale Präfix zu Gnaden der t-kom, dann muss ich wieder anpassen...

Vermutlich stehe ich noch an diversen Stellen auf diversen Schläuchen...

 

[blurrrr]

Lauscht der DNS-Dienst denn überhaupt auf der ULA, oder rennt das ganze in einen Timeout? Zudem die Frage, ob ggf. ein "drop" oder "deny" im Weg ist (deny kommt die Antwort für den Client eigentlich sofort, beim drop muss man auf einen Timeout warten).

 

[the other]

Moinsen,
es wird ein timeout...
mit nslookup geht es nur via GUA, kein link-local und kein ULA...

Die ULA ist dabei für die pfsense als Virtuelle IP eingetragen für das Interface....

 

[tiermutter]

Habe ich genau so, DNS ist ULA und per ULA wird da auch angefragt, läuft einwandfrei.
Die Frage ist halt ob der DNS wirklich darauf lauscht, in OPNsense gibt's seit der aktuellen Version eine neue entsprechende Option bei der virtual IP.

 

[the other]

Moinsen,
hm. Hier sehe ich dazu keine Option...vielleicht sehe ich aber auch den Wald vor Bäumen nicht.
unbound lauscht auf allen IFs, diese haben je virtuelle IPs. Die (virtuellen) IPs selber kann ich auch auflösen (es wird dann korrekt angezeigt für fd:: gleich pfsense Interface). Ich kann diese auch pingen (sowohl per IP als auch Name).
Gebe ich dann aber auf dem client ein nslookup via ULA des Interfaces an, geht es zum timeout. Gebe ich da die GUA an läuft es.

 

[the other]

Moinsen,
MEIN GOTT WAS BIN ICH FÜR EIN IDIOT!
So, das war die Weisheit zum Wochenende.
Und damit schreib ich (analog Life of Brian) jetzt die Stadtmauern voll:
EGO STULTUS ASINUS SUM.

Ist natürlich NICHT so zielführend, wenn man versucht auf die ULA per Port 53 zuzugreifen, dabei aber vergisst, dass "This Firewall" in den Regeln aber NICHT die virtuelle IP beinhaltet und somit gar keine ALLOW Regel für den Zugriff auf ULA#53 gesetzt ist.

Eben mal die Regel ergänzt und FLUTSCH...
Ich meld mich jetzt mal ab hier, kauf mir ein Tamagotchi und schau, ob ich wenigstens DAMIT zu recht komme...

 

[blurrrr]

Na hauptsache es läuft jetzt

 

[the other]

Moinsen,
ja, tut es....ich Vollhonk. Den ganzen Morgen / Vormittag versucht und gemacht und getan und dann SOWAS.
Wenn ich heute gearbeitet hätte, wäre zu meiner Heldentat im virtuellen Bereich der analoge Vergleich, dass heute mal kurz alle ihren PCR Abstrich anal statt nasal bekommen hätten...

 

[Barungar]

Gibt es auch schon Tamagotchi die IPv6 unterstützen?!

 

[frosch2]

Bitte helft mir!
Ich habe mich ansatzweise mit IPv6 beschäftigt.
Es geht darum, dass jedes netzwerkfähiges Gerät eine IP erhält, dauerhaft, wenn man möchte.
Als obere Grenze bekomme ich einen Prefix vom Provider.
Darunter kann ich mit den IPs machen was ich will, brauche also kein NAT.
Nun ändert mein Provider den Prefix, dann brauch ich wieder NAT?

 

[blurrrr]

Hey @frosch2,

hier im Thread geht es um eine andere IP (ULA), das ist etwas für den privaten Adressraum und hat erstmal nichts mit den öffentlichen IP-Adressen (GUA) zu tun, welche Du vom Provider beziehst, von daher wäre Dein Anliegen wohl in einem eigenen Thread besser aufgehoben

 

[frosch2]

ULA, GUA was ist das?

 

[tiermutter]

ULA = Unique Local Address = Äquivalent zum privaten v4 Adressbereich (NAT66 erforderlich um damit nach draußen zu sprechen)
GUA = Global Unicast Address = Äquivalent zur öffentlichen v4 (kein NAT erforderlich)

https://www.elektronik-kompendium.de/sites/net/2107111.htm

 

[frosch2]

Danke bis dahin.
NAT66?

 

[tiermutter]

Eigentlich das Äquivalent zu NAT(44), also so wie man es aus v4 kennt...
NAT44 übersetzt private v4 IP in Öffentliche v4 und NAT66 übersetzt v6 ULA in v6 GUA.