Sind im Jahr 2023 Anbieter wirklich IPv6-reif?

[tiermutter]

Naja wenn ich meine GUA an das VPN delegieren will, damit ich auch eine GUA im VPN verwenden kann statt ULA, dann bringt mich DNS nicht voran.
Klar könnte ich jetzt problemlos das dynamische Präfix verwenden und nutzen, aber wenn es sich dann doch mal ändert, muss ich aldas entsprechend umstricken...

 

[Barungar]

Den Einwand verstehe ich jetzt gerade nicht, vielleicht stehe ich auf dem Schlauch. Wieso bringt Dich DNS in diesem Fall nicht weiter?

Aber so ein bisschen werden hier halt auch Äpfel mit Birnen verglich - wenn wir mal ehrlich sind, oder?! Heute hast Du auch keine stabilen, öffentlichen IPv4 in Deinem LAN, sondern stabile, private IPv4. Der 1:1-Ersatz sind stabile ULA, die Du parallel zu den dynamischen GUA verwenden kannst.

Und natürlich liefert IPv6 keine 1:1-Lösungen für IPv4-Themen. Da muss man im Zweifel auch die Herangehensweise hinterfragen und sich anpassen bzw. "modernisieren". Klar könnte man jedem seine eineindeutige IPv6-Adresse zuweisen, die sogar über Providergrenzen mit Dir mit wandern würde. Das Konzept gibt es und nennt sich PI-IPv6-Address, also die Provider Independent IPv6 Address, die kann man bei der RIPE beantragen. Dann hast Du ein eigenes stabiles IPv6-Subnetz, egal bei welchem Provider Du bist. Der Fokus ist allerdings eher Businesskunden.

 

[tiermutter]

Wie hilft mir DNS denn dabei eine GUA als Tunneladresse zu verwenden? Sicherlich ist eine ULA hier ähnlich wie die Nutzung von v4, aber v6 braucht hier eigentlich kein NAT, also warum sollte ich mich damit abgeben wenn es theoretisch nicht sein müsste?

 

[Barungar]

Ich verstehe das mit der Tunnel-Adresse erst einmal nicht. Gehen wir mal davon aus, dass Deine Geräte in Deinem LAN eine GUA haben und dort ihre Dienste dran binden. Deine Firewall lässt jedoch aus dem Internet keinen Zugriff auf diese Dienste zu. Die DNS-Einträge Deiner GUA sind aber korrekt. Dann ist es doch lediglich eine Frage des Routings durch den Tunnel, ob der "VPN-Zugriff" auf die an die GUA-gebundenen Dienste geht oder nicht.

Client A im Internet greift auf GUA & SMB-Port des NAS zu... wird geblockt von der Firewall, weil Client A im öffentlichen Internet ist.
Client B in einem anderen LAN, VPN-Verbindung zu Dir, greift über GUA & SMB-Port auf NAS zu... geht durch, weil aus dem VPN erlaubt.

Ich versteh's nicht oder ich stehe auf dem Schlauch. In dem Moment, wo die VPN-Verbindung besteht, hat der Client B für Dein "Heim-Präfix" eine Route (über das VPN), die besser ist als die Standard-Route (durchs öffentliche Internet). Er kommt also bei Dir über das VPN rein und die Firewall lässt ihn.

 

[tiermutter]

Ich nutze VPN nicht nur für sen Zugriff aufs LAN, sondern auch für Internetzugriff mit meinen filtern etc.
Das halt mit ULA Tunneladresse und NAT, weil ich die GUA nicht nachhaltig konfigurieren kann, da mit einem Präfixwechsel alles für die Katz ist. GUA wäre mir aber lieber.

 

[Barungar]

Okay, nun sind wir bei VPN für den Internet-Zugriff. Richtig?
Also das was der 08/15 User unter "VPN" versteht, sowas wie z.B. NordVPN?
Und hier sollen bestimmte Geräte? Oder bestimmte Geräte klassen den Zugriff über VPN nutzen?

 

[tiermutter]

Ne, nix mit Provider wie NordVPN.
Roadwarrior mit selfhosted VPN Server... Roadwarrior verbindet sich (bzw ist stets verbunden) mit dem VPN, der Zugriffs aufs Heimnetz wird ermöglicht und darüber hinaus wird sämtlicher traffic durch das VPN geroutet, wodurch meine IP und DNS Filter angewendet werden.
Für mich geht der Internetzugriff dann aber nur v4 only oder aber über v4 und ULA, nicht aber v4 und GUA, da ich dem Roadwarrior ja keine (nachhaltige) v6 mit meinem Präfix geben kann.

 

[Barungar]

Gut, das kommt auf die Umsetzung an. Mit OpenVPN kann man auch Roadwarrior-VPNs mit dynamischen GUAs machen. Die Implementation in der OPNsense kann es zwar nicht, aber es geht mit OpenVPN. Hier wird, bei einem Präfixwechsel auch das VPN-Subnetz gewechselt und kurz die Verbindung getrennt. Das heißt die Roadwarrior verlieren mal kurz beim Präfixwechsel die Verbindung, können sich dann aber wieder einwählen und haben eine neue (aktuelle) GUA. Das kann z.B. die OpenVPN-Implementation auf OpenWRT.

 

[tiermutter]

Ja da fehlt seitens Sense auch noch was... Ordentliche FW Regeln kann ich dann ja auch nicht erstellen...

 

[Barungar]

Ja da fehlt seitens Sense auch noch was... Ordentliche FW Regeln kann ich dann ja auch nicht erstellen...

Du kannst zumindest mittlerweile dynamische IPv6-Hosts definieren, auf die sich auch Regeln beziehen können.
So lange der Host seinen Hostteil nicht randomisiert (Privacy Extentsions) kannst DU ihn auch bei wechselndem Präfix erkennen.

 

[tiermutter]

Oh fein... Seit wann geht das denn? Darauf wartet die Welt schon lange... Muss mir wohl entgangen sein

 

[UdoAA]

Hmm, mit dem Beitrag hat sich für mich jede Diskussion um IPv6 erledigt.
Da bin ich richtig froh, dass mein LAN noch durchgängig v4 ist und ich eine öffentliche IPv4 von meinem Provider Netcologne bekomme.
Jetzt weiß ich auch, warum ich bei meiner Mutter, die bei der Telekom ist, v6 in der Fritzbox abgeschaltet habe.

Edit: Nebenbei können auch viele IoT Geräte wie z.B. Smart-TVs kein v6.

 

[charly700]

Es gibt halt Leute, die unbedingt alles auf IPv6 haben wollen und eben auch andere die mit v4 zufrieden sind, weil einfach alles was man braucht einwandfrei funktioniert.

Ich muss nicht immer das neueste haben.

 

[Fusion]

"neueste"

Wie oft hast du in den letzten 20 Jahren dein(e) "setz ein was du willst" gewechselt?
So lange gibt es schon IPv6.

Es geht nicht darum das haben zu wollen, sondern sich mit dem Thema zu beschäftigen.
Viele werden ja z.b. mit IPv6 zwangsbeglückt, Bsp DS Lite.
Da hört es dann eben auf zu funktionieren.

 

[Mavalok2]

Wie oft hast du in den letzten 20 Jahren dein(e) "setz ein was du willst" gewechselt?

HiFi-Verstärker: Seit 1989 nicht mehr
CD/DVD-Spieler: Seit 1995 nicht mehr
Monitor (ok einen davon): Seit 2003 nicht mehr
Soll ich weitermachen?

Nichts gegen IPv6. Aber wenn ich keine Möglichkeit dazu habe. Und selbst wenn, extra dafür zahlen wollen tue ich jetzt auch nicht.