Hallo, ich habe Schwierigkeiten damit, die im Internet aufgelisteten IPv6-Adresstypen zu unterscheiden mangels praktischen Bezug. Es geht um folgende Adresstypen: Link-Local-Unicast Unique-Local Unicast Global Unicast Ich nehme an, dass meine Fritzbox zuhause eine Global Unicast Adresse vom ISP (z. B. Telekom) zugewiesen bekommt. Ausgehend von dieser Adresse könnte ich jetzt mein Heimnetzwerk weiter segmentieren und jedem Teilnehmer ebenfalls eine weltweit eindeutige IPv6 Adresse zuweisen? Das würde ja bedeuten, dass meine Server von außen erreichbar wären. Unique-Local-Unicast-Adressen bilden meiner Auffassung nach das Prinzip der privaten IP-Adressen ab. Hier wäre NAT erforderlich. Mit Link-Local-Unicast-Adressen kann ich nichts anfangen. Sie sollen zur Autokonfiguration dienen, wenn das Gerät an keine Adresse gebunden ist. Die Adressen werden auf der Basis der MAC-Adresse gebildet (Stichwort EUI-64). Wann und wozu braucht man das? Danke!
Bei mir ist das so: Meine Box bekommt ein Globales /56 Subnetz zugewiesen. Das teilt sie in mindestens 2 /64 Netze: - Internes LAN - Gäste-WLAN und vergibt je 1 IP an die Geräte, die eine anfordern. Routing findet über die GUA der Box statt (nicht über Link-Lokale, wie das oft gehandhabt wird). Link-Lokale Adressen (FE80::) gibt es bei jedem Gerät immer, unabhängig von allem anderen, weil die Geräte diese selber Konfigurieren. ULA-Adressen verteilt die Box nur, wenn man das will, z.B. weil man in seinem Heimnetz gern statische IPs verwenden würde. Die GUA-Adressen sind ja, da sich das Prefix ändert, bei jeder Einwahl anders.
LL Adressen können für viele Dinge verwendet werden: 1.) Es besteht auf dem Link eine IPv6 Verbindung mit allen anderen Geräten an diesem Link, ohne irgendwelche Konfiguration. 2.) Man damit - Autokonfiguration von GUA und ULA - Routing machen., z.B. ist fe80::1 ein gutes Standardgateway, wenn man an diesem die LLA passend konfiguriert. Hauptsächlicher Nachteil ist, dass LLA halt nur für diesen Link gelten, d.h. im Extremfall kann die WLAN-Karte die selbe LLA haben wie die Ethernet-Karte und jeder Router/Gateway schmeißt die Pakete weg, wenn sie über Link-Grenzen hinaus transportiert werden sollen. Damit gehen auch so Dinge wie DNS nicht, d.h. mein-nas.fritz.box darf nicht auf eine LLA zeigen.. ULAs sind meist weitestgehend sinnfrei. Sie dienen dazu, dass man statische IP-Adressen/Netze konfigurieren kann, die nicht ins Internet geroutet werden (Verwaltungsnetze, interene Netze) wenn man keine statischen Globalen Adressen hat. Der Internet-Router/Gateway schmeißt die ebenfalls weg, interne Router normalerweise nicht. Internes DNS ist machbar. Im Heim-Kontext: Mit ULAs kannst du Gerät A, z.B. einem NAS eine Adresse geben (mein-nas.fritz.box), die immer gleich ist - egal was du von deinem Provider gerade für Subnetze bekommst. Praktisch spielt das aber kaum eine Rolle, da die Box DNS ohnehin automatisch korrekt macht wenn sich mal das Prefix ändert und DNS bei IPv6 ohnehin das mittel der Wahl ist: Der Benutzer ist angehalten, es zu verwenden und nicht stupide IPv6-Adressen zu tippen.
Was die "von außen erreichbar" Geschichte angeht: 1.) Prinzipiell "ja", deine Geräte sind von außen erreichbar (mit globalen, routingfähigen IPv6 Adressen ausgestattet). 2.) Das ist kein Problem. Warum? Was man unter "privaten Adressen" bei IPv4 versteht war nie als Sicherheitsfunktion gedacht und erfüllt diesen Zweck auch nicht. Ein Router/Gateway macht genau das, was sein Name besagt: Er leitet Pakete weiter. Ob das nun private Adressen sind oder nicht kann ihm prinzipiell egal sein, ein Router ist nur eine stupide Vermittlungsstelle. Gute Router leiten private Adressen nicht ins Internet weiter, das ist aber eher eine Frage der Erziehung und nicht der Möglichkeit/Funktion. Das Einzige was die Geräte im internen Netz vor dem bösen Internet schützt ist eine Firewall - das ist auch bei IPv4 schon so. Und oftmals sitzt die halt auf deinem Router oben drauf, z.B. bei der Fritz!Box. Die Aufgabe der Firewall ist es, Pakete wegzuwerfen/abzuweisen, die du nicht willst. Und genau das macht die Firewall auf der Box bei IPv6: Sie wirft standardmäßig alle Pakete weg, die für globale IPv6-Adressen hinter der Box gedacht sind - es sei denn du erzeugst Ausnahmen für Geräte, die aus dem Internet erreichbar sein sollen. Insofern ändert sich in der Praxis nichts: Deine Geräte haben öffentliche Adressen, sind aber trotzdem nicht erreichbar, da durch eine Firewall geschützt.
Torben S. schrieb: > Ich nehme an, dass meine Fritzbox zuhause eine Global Unicast Adresse > vom ISP (z. B. Telekom) zugewiesen bekommt. Ausgehend von dieser Adresse > könnte ich jetzt mein Heimnetzwerk weiter segmentieren und jedem > Teilnehmer ebenfalls eine weltweit eindeutige IPv6 Adresse zuweisen? Ich selber habe keine IPv6-Provider, ich verwende IPv6 nur im Labornetz der Firma. Daher genieße die folgenden Informationen mit Vorsicht. Soweit ich weiß setzt die FB auf SLAAC (Stateless Address Autoconfiguration). Die FB sendet Router Advertisements. Die Router Advertisements enthalten Prefix-Informationen. Eine oder mehrere Prefix-Informationen kann für Auto-Konfiguration markiert sein. Der Rest ist dann Sache der einzelnen Hosts im LAN. Jeder Rechner würfelt für sich nach SLAAC, neben der Link-Local, eine Global-Adresse, basierend auf dem Prefix, aus. > Das > würde ja bedeuten, dass meine Server von außen erreichbar wären. Ja, und an diesem Punkt kommt es auf die Firewall in deinem Router an. Von AVM habe ich nur spärliche Informationen gesehen was die zur IPv6 Sicherheit machen. Es oll dafür eine Firewall in FBs geben. Für manche FBs findet man dazu Hinweise in der Online-Doku "IPv6-Freigabe", Wissensdokument #845. Bei andere, zum Beispiel 7490, steht nichts speziell zu IPv6. Ich erinnere mich auch dunkel, dass es mindestens einen SOHO Routerhersteller (nicht AVM) gab, der klar sagte sie machen gar nichts. So sei eben IPv6. Macht dein Router nichts, dann "darfst" du jeden einzelnen Rechner im LAN absichern. Viel Spaß bei Dingen wie IoT-Gimmicks oder seit zehn Jahren nicht upgedateten Betriebssystemen. > Unique-Local-Unicast-Adressen bilden meiner Auffassung nach das Prinzip > der privaten IP-Adressen ab. Hier wäre NAT erforderlich. Er hat NAT gesagt! Steinigt ihn! Im Ernst, sag das NAT-Wort nicht zu laut unter IPv6 Fanboys. Die drehen durch. NAT ist für IPv6-Fanboys der Inbegriff des Bösen. NAT ist der Sündenbock mit dem immer die Notwendigkeit auf IPv6 zu wechseln begründet wurde. > Mit Link-Local-Unicast-Adressen kann ich nichts anfangen. Sie sollen zur > Autokonfiguration dienen, wenn das Gerät an keine Adresse gebunden ist. > Die Adressen werden auf der Basis der MAC-Adresse gebildet (Stichwort > EUI-64). Wann und wozu braucht man das? Damit der ganze Scheiß in Schwung kommt. Die Rechner geben sich selbst eine IPv6 Adresse im LAN, ohne einzeln konfiguriert werden zu müssen, ohne Dinge wie ein zentrales DHCP. Sogar ohne Router.
Hannes J. schrieb: > NAT ist der Sündenbock mit dem immer die > Notwendigkeit auf IPv6 zu wechseln begründet wurde. Die IPv4 Adressen sind auch mit NAT bereits ein wenig knapp.
Hannes J. schrieb: > Er hat NAT gesagt! Steinigt ihn! Im Ernst, sag das NAT-Wort nicht zu > laut unter IPv6 Fanboys. Die drehen durch. NAT ist für IPv6-Fanboys der > Inbegriff des Bösen. NAT ist der Sündenbock mit dem immer die > Notwendigkeit auf IPv6 zu wechseln begründet wurde. NAT ist auch bei IPv6 keine Sünde. Auch dort kann man NAT machen. Es ist nur nicht notwendig. Einen Sicherheitsvorteil bietet NAT nicht. Weder in IPv4 noch in IPv6. In IPv4 ist es lediglich nicht möglich, ein durchgehendes Routing bis zum Endgerät zu erstellen. Der Grund ist, dass alle die gleichen private Adressen verwenden und die Gegenstelle diese nicht ansprechen kann. Daher muss man sich im IPv4 nicht darum kümmern. Sperrt der Router alle Verbindungen vom WAN-Interface an das LAN, ist das identisch mit NAT in IPv4. Alle Router sollten das in ihrer Grundeinstellung so machen (ohne spezielle Regeln alles sperren). Wenn man wirklich Pakete weiterreichen möchte, muss das explizit so eingestellt werden. Aus dem LAN ins WAN sieht das eventuell anders aus. In Heimgeräten wird normalerweise alles durchgelassen. In professionellen Geräte, wird auch hier alles gesperrt, was nicht explizit zugelassen ist. Der einzige Vorteil von NAT (IPv4 und IPv6) ist, dass die Geräte hinter dem Gateway nicht zu unterscheiden und zu zählen sind. Alles geht mit der selben IP nach draußen. Das geht auch mit IPv6. NAT macht es einem übrigens extrem schwer, wenn man Audio- oder Videodaten durchreichen will. Bei einer routingfähigen Adresse sind alle Ports des Zielsystems direkt erreichbar. Mit NAT werden dafür als Krücke zusätzliche Geräte im WAN benötigt, die als Relay dienen. Nicht alle möchten diesen Geräten ihre Sprachdaten übereignen. @TO: Dir kann es egal sein, welche IPs Deine Geräte bekommen. Wenn Du segmentieren willst, kannst Du es machen. Du kannst den Geräten beliebig viele IPs zuweisen. Geräte im LAN sollten auch bei IPv6 standardmäßig von Außen nicht erreichbar sein. Lediglich wenn vom LAN ins WAN eine Verbindung aufgebaut wird, könnte das Gateway hier eine Ausnahme machen. Dann aber nur für Verbindungen, die von der Gegenstelle kommen. Ob das bei Deinem Router so ist, musst Du selber herausfinden. Global = die Rechner können direkt von Außen erreichbar gemacht werden. Local = die Rechner bekommen (bzw würfelt sich selber einen aus) einen privaten Präfix und können nicht von Außen erreichbar gemacht werden (außer Du machst NAT). Link-Local = im Prinzip eine erweiterte MAC-Adresse die sich wie eine lokale IP auswirkt (auch hier kann NAT gemacht werden). Wenn Du feste IPs brauchst, verwendest Du die Link-Local-Adressen. Die ändern sich nur, wenn sich die MAC ändert. Oder Du vergibst zusätzlich eine lokale IP mittels DHCP. Der globale Präfix wird im Privatbereich bei jedem Neuaufbau der DSL-Verbindung neu vergeben. Hiermit kannst Du keine feste IP hinbekommen.
Christian H. schrieb: > Der einzige Vorteil von NAT (IPv4 und IPv6) ist, dass die Geräte hinter > dem Gateway nicht zu unterscheiden und zu zählen sind Recht dünner Boden aus dem die Aussage gestellt ist. Nimmst Du ein wenig Timestamp, aus dem IP Header die IPID (ggf mit den Fragment Flags und Fragment Offset) aus dem TCP den Quell Port und die Sequenzenummer. ggf noch SYN/ACK Flags/Bestätigungen ab in die Tabelle ein wenig sortieren und schon weis die P**no Seite das in der WG nur Drei PC sind die 12 Streams gleichzeitig abnuddeln... Oder Google, oder eine andere für böse befundene Entität..
Hallo, meine Frage hatte ich zwar schon vor ein paar Monaten gestellt, allerdings bin ich erst jetzt dazu gekommen, mir alles gründlich durchzulesen. Danke an dieser Stelle für eure Hilfe. Link-Local-Adressen können nicht im Internet geroutet werden. Möchte der Host ins Internet, muss er sich mittels SLAAC eine Global Unicast Adresse erzeugen. Wenn SLAAC keine Option ist, besteht nur die Möglichkeit mittels NAT eine Verbindung ins Internet aufzubauen, richtig?
Torben S. schrieb: > Wenn SLAAC keine Option ist, besteht nur die Möglichkeit mittels NAT > eine Verbindung ins Internet aufzubauen, richtig? Nein. SLAAC und NAT haben erstmal nichts miteinander zu tun. SLAAC dient nur der Adressvergabe und dem Bereitstellen von Routing- und DNS Informationen. So wie man es bei IPv4 mit DHCP macht. Du kannst übrigens auch bei v6 noch DHCP machen. Ist allerdings eher unüblich. Du kannst die IP Adressen, Router und DNS Server auch manuell konfigurieren. Dann brauchst du kein SLAAC. Verabschiede dich am besten erstmal von dem NAT Gedanken. Es gibt zwar Dinge wie NPT und die können in bestimmten Situationen auch notwendig sein. Allerdings werden sie für dich erstmal eher Probleme schaffen.
Misst, ich habe die Frage falsch gestellt. Clients, die ausschließlich über eine Link-Local-Adresse verfügen, können grundsätzlich keine Verbindung zum WAN aufbauen, da die Link-Local-Adressen schlicht nicht geroutet werden. Wenn Sie aber doch Zugriff auf Ressourcen im WAN haben möchten, kann man das z. B. mit NAT realisieren. Andere Option wäre SLAAC, bei dem die Clients eine Global-Unicast-Adresse bekommen. Geht das als korrekt durch?
Hans schrieb: > Du kannst übrigens > auch bei v6 noch DHCP machen. Ist allerdings eher unüblich. DHCPv6 ist beispielsweise von Bedeutung, wenn man ins Heimnetz einen weiteren Router stellt, der darüber automatisch vom Access-Router aus dem zugewiesenen /56 Adressraum einen /62 Adressraum erhält.
:
Bearbeitet durch User
Torben S. schrieb: > Clients, die ausschließlich über eine Link-Local-Adresse verfügen, > können grundsätzlich keine Verbindung zum WAN aufbauen, da die > Link-Local-Adressen schlicht nicht geroutet werden. Richtig. > Wenn Sie aber doch Zugriff auf Ressourcen im WAN haben möchten, kann man > das z. B. mit NAT realisieren. Oder per Proxy. Ist aber beides dafür ungebräuchlich... > Andere Option wäre SLAAC, bei dem die Clients eine > Global-Unicast-Adresse bekommen. ...während üblicherweise hier angesetzt wird. Dafür ist das da.
Bei der Beobachtung existierender IPv6 Netze wird dir vielleicht auffallen, dass Geräte optional mehrere globale IPv6 Adressen aus dem gleichen Netz verwenden können. Eine davon ändert sich im Betrieb nicht und ist dafür vorgesehen, ggf von anderen Geräten als Service angesprochen zu werden, lokal oder per WAN. Eine andere ebenfalls globale Adresse ändert sich in regelmässigen Abständen, um die Verwendung als eindeutiges Identifizierungsmerkmal von Clients zu behindern. Übergangsweise kann es auch mehrere gleichzeitig geben, die aktuelle Adresse und vorherige. Diese Adresse wird für ausgehenden Traffic genutzt. Privacy Extensions.
Christian H. schrieb: > Der globale Präfix wird im Privatbereich > bei jedem Neuaufbau der DSL-Verbindung neu vergeben. Hiermit kannst Du > keine feste IP hinbekommen. Bei Anbindung per TV-Kabel war schon in reinen IPv4 Zeiten keine tägliche Neuvergabe üblich, und auch der IPv6 Präfix ändert sich erfahrungsgemäss erst bei signifikanten Änderungen der Netzstruktur des Providers oder bei Neueinrichtung des Routers.
Torben S. schrieb: > Wenn SLAAC keine Option ist, besteht nur die Möglichkeit mittels NAT > eine Verbindung ins Internet aufzubauen, richtig? NAT ist in IPv6 zwar möglich, ist aber normalerweise nicht notwendig, und daher üblicherweise nicht genutzt.
:
Bearbeitet durch User
Torben S. schrieb: > Wenn Sie aber doch Zugriff auf Ressourcen im WAN haben möchten, kann man > das z. B. mit NAT realisieren. Praktisch nein. NAT für IPv6 gilt als des Teufels und wird daher vermieden. IPv6 Gurus bekommen einen Herzinfarkt wenn du die drei Buchstaben erwähnst. > Andere Option wäre SLAAC, bei dem die Clients eine > Global-Unicast-Adresse bekommen. > Geht das als korrekt durch? Du vereinfachst zu stark. SLAAC ist die von den IPv6-Mächtigen als bevorzugt bestimmte Methode wie ein Host zu einer globale IP-Adresse kommen kann. Es ist aber nicht die einzige. Als anderes Beispiel wurde ja breites DHCPv6 genannt. Auch bekommt bei SLAAC der Host nicht die globale Adresse. Er bastelt sie sich selber. Er merkt sich den globalen Prefix aus einem Router-Advertisement vom Router oder fragt den Router nach dem globalen Prefix (fragt nach einem Router-Advertisement). Damit würfelt sich der Host selber eine globale Adresse mittels vorgegebener Algorithmen aus. Z.B., wenn die Privacy Extensions aus sind, indem er den Prefix mit seiner MAC-Adresse verknüpft. Der Host testet dann noch, ob die von ihm ausgewürfelte globale Adresse bereist benutzt wird. Wenn ja dann ist Kacke.
Wenn ich euch richtig verstanden habe, dann liegt der Frage, wie ein Client mit Link-Local-Adresse Zugriff auf Ressourcen bekommt, die sich im WAN befinden, ein falscher Grundgedanke zugrunde, weil Link-Local-Adressen wie obn schon gesagt, nicht geroutet werden können. Sie dienen dann zwar der Autokonfiguration, aber welchen Zweck hat sonst eine solche Adresse?
Torben S. schrieb: > Sie dienen dann zwar der Autokonfiguration, aber welchen Zweck hat sonst > eine solche Adresse? Das alleine reicht doch schon. Allgemein kann man damit rein netzinterne Verwaltungskommunikation von vorneherein in Layer 3 (IP) ausdrücken.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Torben S. schrieb: >> Sie dienen dann zwar der Autokonfiguration, aber welchen Zweck hat sonst >> eine solche Adresse? > > Das alleine reicht doch schon. > ja, durchaus. Was NAT betrifft: Ist es nicht so, dass DSL-Router von normalen Endverbrauchern für gewöhnlich NAT-Router sind, egal ob ich vom ISP eine IPv4 oder IPv6-Adresse vom ISP zugeweisen bekommen habe?
Torben S. schrieb: > Was NAT betrifft: Ist es nicht so, dass DSL-Router von normalen > Endverbrauchern für gewöhnlich NAT-Router sind, egal ob ich vom ISP eine > IPv4 oder IPv6-Adresse vom ISP zugeweisen bekommen habe? Beitrag "Re: IPv6-Adresstypen" Nur für IPv4 wird NAT genutzt. Für IPv6 wird dem Access-Router vom Provider ein global gültiger /56 Adressraum für lokale Nutzung zugewiesen. Daraus sucht sich mein Kabel-Router fürs direkt angeschlossene Netz ein /64 Netz aus (und ggf ein zweites als Gastnetz) und vergibt den Rest bei Bedarf per DHCPv6 an lokal angeschlossene weitere Router. Dadurch kommt auch ein komplexes lokales Netz mit etlichen Routern in IPv6 völlig ohne NAT aus, während man in bei einem IPv4 Heimnetz mit zweitem lokalem Router gleich doppeltes NAT fährt: einmal im lokalen Router und nochmal im Access-Router. Bei Verbindungen via IPv6 erscheint also die Client-Adresse so wie sie ist beim Server. Die Seite https://www.whatismyip.com/de zeigt IPv4 und IPv6 Adressen, wie sie bei diesem Server ankommen. Die IPv4 ist bei Dual Stack die externe vom Access Router, bei Dual Stack lite die vom CG-NAT System beim Provider. Die IPv6 hingegen ist die Adresse des PCs oder Handys, mit dem der Webzugriff erfolgte.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Nur für IPv4 wird NAT genutzt. Du darfst auch in IPv6 NAT machen und alles hinter einer IP verstecken. Kann manchmal sinnvoll sein, ist im Allgemeinen aber nicht notwendig.
Wichtig ist beim Lernen von IPv6, dass man immer an eine Sache denkt: Bei IPv6 hat eine Netzwerkschnittstelle (so gut) wie immer mehrere Adressen. Das ist ein entscheidender Unterschied zu IPv4. Dort gibt's "die eine IPv4-Adresse" der Netzwerkschnittstelle. Bei IPv6 ist das anders. Dort hat man praktische immer mehrere Adressen pro Schnittstelle. Ein herkömmliches, modernes Betriebssystem an einem handelsüblichen Endverbraucher-DSL-Router hat praktische immer drei IPv6-Adressen: 1.) Link-Local-Unicast-Adresse, fest abgeleitet aus der MAC, nur für das lokale Netz, wird nicht geroutet. 2.) Global-Unicast-Adresse, fest abgeleitet aus der MAC. 3.) Global-Unicast-Adresse, zufällig gewürfelt, wechselt das Betriebssystem alle paar Stunden (Tag). Der DSL-Router lässt natürlich, genau wie bei IPv4, keine Verbindungen von außen auf die Teilnehmer zu, es sei denn, man konfiguriert ihn entsprechend. Würde man nun noch einen zweiten Router in das lokale Netz bringen, z.B. von einem zweiten Internetanschluss, würde (praktisch) jeder Teilnehmer 5 IPv6-Adressen haben. (...bei handelsüblichen Routern, typischen Betriebssysteme, etc. Natürlich kann man Teilnehmer und Router beliebig anders konfigurieren...)
Einer schrieb: > Würde man nun noch einen zweiten Router in das lokale Netz bringen, z.B. > von einem zweiten Internetanschluss, würde (praktisch) jeder Teilnehmer > 5 IPv6-Adressen haben. Kannst das näher ausführen?
Sinngemäß gilt das natürlich auch für Unique-Local-Anycast-Adressen, die sehr wohl sinnvoll sind. Nämlich genau dann, wenn Du Server im Heimnetz per IPv6 betreiben willst, z.B. NAS, und das auch funktionieren soll, wenn dein Internetprovider gerade offline ist und Dir keine Global-Unicast-Adressen zur Verfügung stellt. Man hat dann praktisch entweder 3 IPv6-Adressen pro Gerät (Link-Local und 2 ULA), wenn das Internet offline ist, und 5 IPv6-Adressen, wenn das Internet online ist (Link-Local, 2 ULA, und 2 GU-Adressen).
(prx) A. K. schrieb: > Kannst das näher ausführen? Ganz einfach, der zweite Router annonciert seinen Prefix. Daraus generieren sich alle Teilnehmer typischerweise wieder 2 Adressen. Einmal eine feste aus der MAC, und einmal eine zufällige Adresse die regelmäßig wechselt. Und über die Router-Announcements kann sogar die Priorität festgelegt werden, welche Router verwendet werden sollen. Haben beide Router die gleiche Priorität, wechseln die Clients automatisch, wenn einer ausfällt (per NDP).
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.