Fragen zu IPv6 in der Fritzbox

meyergru

Neuer User
Mitglied seit
11 Sep 2005
Beiträge
163
Punkte für Reaktionen
3
Punkte
18
Ich habe jetzt mal das neue IPv6-Feature der aktuellen Labor-Firmwares ausprobiert.
Vorausgeschickt: IPv6 läuft bei mir grundsätzlich. Bei der Telekom wird auch eine dynamische IPv6-Adresse vergeben (vermutlich die IPv4-to-IPv6-Adresse mit Präfix 2002).

Ich dachte eigentlich schon, verstanden zu haben, worum es geht, aber nun fällt mir auf, dass es bestimmte Dinge gibt, die nicht so funktionieren, wie ich es erwartet hätte:

Die Fritzbox verteilt IPv6-Adressen aus drei Scopes an die Clients: Link-Local, Unique Local und Global. Bei allen dreien orientiert sich normalerweise die Interface-ID (niederwertige 64 Bits) an der MAC der Netzwerkkarte des Clients, zumeist an der EUI-64 festgemacht.

Das bedeutet, man könnte die MAC aus der IP-Adresse herauslesen, weil die Interface-ID einer Netzwerkkarte mit der MAC 01:02:03:04:05:06 z.B. 2102:03fe:ff05:0506 wäre. Da bei der Fritzbox die Interface-ID für alle Scopes gleich belegt wird, meldet sich der Client mit genau dieser Adresse im IPv6-Internet. Damit kann man alles mögliche über den Client erfahren. Außerdem ist die Interface-ID bei jedem Verbindungsaufbau die selbe, so dass es ein Leichtes wäre, ihn zu identifizieren (auch ohne Cookies o.ä.).

Nun war dieses Problem kurz nach EInführung von IPv6 bekannt und es gibt zur Behebung den RFC 4941, mit dem man das Berechnungsverfahren der Interface-ID mehr oder weniger "zufällig" gestalten kann.

Das hilft aber nur bedingt, wie ich leider feststellen musste:

1. Unter Linux wird das Verfahren standardmäßig nicht angewendet, es sei denn, man macht:
"sysctl -w net.ipv6.conf.eth0.use_tempaddr=2"

2. Unter Windows 7 wird es per Default gemacht (kann per "netsh interface ipv6 set global randomizeidentifiers=disabled" geändert werden). Die Adresse scheint dabei persistent zu bleiben, nachdem sie einmal festgelegt wurde.

Wenn die Interface-ID "zufällig" gewählt wird, ist schon ein Schritt getan, weil man die MAC nicht mehr sehen kann.

Wird sie dann aber wie bei Windows 7 nicht immer wieder gewechselt, bleibt die Identifizierbarkeit eines einzelnen Users/Endgeräts trotzdem erhalten.

Und selbst ein ständiger Wechsel bringt ein Problem mit sich: Man will über IPv6 ja gerade Dienste nach außen öffnen. Wie soll man das bei ständig geänderten Adressen denn tun? Die IPv6-Portfreigabe der Fritzbox würde bei sich ändernden Adressen gar nicht mehr funktionieren, denn dort muss man die Interface-ID ja gerade angeben.

Ein weiteres Problem liegt darin, dass die üblichen Dyndns-Anbieter noch keine IPv6-Auflösung unterstützen, so dass man die volle IPv6-Adresse inklusive den höherwertigen 64 Bit des ISP eintippen müsste. Dazu müssten die Anbieter ja auch mindestens die Übermittlung von Interface-IDs zulassen, weil anders als bei IPv4 ja nicht mehr alle Geräte die selbe IP verwenden.


Was bräuchte man?


Ich würde mir wünschen, dass ich analog wie beim DHCP der Fritzbox auch DHCPv6 konfigurieren könnte. Damit könnte man doch den Endgeräten mittels der MAC eine Interface-ID (und auch einen lokalen DNS-Namen, das fehlt m.W. nach auch noch) fest zuordnen, z.B. so:

MAC 01:02:03:04:05:06 = Link-local fe80::111 = Global 2002:5089:6721::111 = DNS lokal "serverbox"

In Zweifelsfall sollte das zusätzlich zur vom Endgerät gewählten Link-Local-Adresse geschehen (schließlich kann ein Interface mehrere IPv6-Adressen haben, sogar im selben Subnetz). Nun könnte man sagen, dass das mit der ULA (Präfix z.B. fd00) bei der Fritzbox schon heute ginge, allerdings wird für die Absenderadresse leider immer die globale Adresse genommen und an die ULA kann man auch keine Port-Forwards einrichten. AVM könnte als Absenderadresse ja auch eine willkürliche feste Interface-ID verwenden, z.B. 0000:0000:0000:1234, wobei NAT bei IPv6 so seine Tücken hat und man eher darauf verzichten sollte.

Aus der (konstanten) Interface-ID 111 meines Rechners mag eine Website im Internet schließen, was sie will. Die IPv6-Portfreigabe wäre mit den vorhandenen Mitteln möglich. Das Internet-DNS-Problem löst sich dann spätestens mit der Verfügbarkeit von festen IPv6-Adressen oder wenn die Dyndns-Provider nachziehen.


Oder habe ich etwas Offensichtliches übersehen und meine Anforderungen lassen sich schon heute erfüllen? Zur Erinnerung:

- Keine Herausgabe der MAC in der Interface-ID
- Keine Identifizierbarkeit anhand einer immer wiederkehrenden 64-Bit-Interface-ID (es sei denn, sie sei offensichtlich absichtlich gewählt und kommt somit hundertfach vor).
- Erreichbarkeit interner Endgeräte von aussen per einstellbarem Port-Forwarding
- Dynamischer DNS mit IPv6 als Übergangslösung bis zur Vergabe von festen IPv6-Adressen
- Auflösung von internen, fest zuordnungsfähigen DNS-Namen zur IPv6-Adresse
 
Dann nimm doch das gut bewährte IPv4
dann ist das interne Netz vom Internet getrennt,nur die IP des Routers ist von außen sichtbar.

Sinn des IPv6 ist doch, das alle Netzwerkadressen im privaten Netz vom Internet aus sichtbar sind (so habe ich es verstanden)
Somit kann dann jeder von außen eine Verbindung auf alle deine internen IPv6-Geräte aufbauen. (Und wenn's nur ne IP gesteuerte Steckdose ist, die Dir jemand von außen schaltet)

Deshalb ist IPv4 mir intern lieber und auch einfacher.
Und wenn man es braucht kann man immer noch Ports nach außen freigeben.
 
Was ich mir wünsche:

1. "Sichtbar" im Sinn von ansprechbar: ja (wenn ich es will, d.h. selektiv)
2. "Sichtbar" im Sinn von analysierbar (z.B. Rückschluß auf die MAC): lieber nicht
3. "Sichtbar" im Sinn von identifizierbar (z.B. Tracking per Interface-ID): lieber nicht

Wobei 1 selektiv in der Fritzbox gesteuert werden kann, aber derzeit mangels statischer Adressen und fehlender Dyndns-Unterstützung per DNS nicht addressierbar ist.

Punkt 2 dagegen muss pro Endgerät sichergestellt werden (das sollte besser die Fritzbox per DHCPv6 erzwingen).

Punkt 3 dito.

Die Ports wären bei IPv6 mehrfach belegbar (mit mehreren IPs), das kann hilfreich sein.

Meine Anmerkungen waren nur als Anregungen zu verstehen, wo m.E. die derzeitige IPv6-Implementierung von AVM noch Lücken hat bzw. gleichzeitig als Frage, falls jemand dafür schon heute eine Lösung kennt, jedoch nicht als IPv6-Loblied. Meine Anforderungen lassen sich heute ohne weiteres mit IPv4 erfüllen.

Es lässt sich aber nicht wegdisktutieren, dass IPv6 kommen wird - ich kenne z.B. jemand, dessen Provider (http://www.uo-net.de) wegen der IPv4-Knappheit heute nur RFC1918-Adressen an die Kunden herausgibt und NAT macht. Diese funktionalen Einschränkungen fallen dann mit IPv6 weg, nur müssen dazu eben noch Voraussetzungen geschaffen werden, um die von mir aufgezeigten Probleme zu lösen.
 
Wenn Du keine Rückschlüsse von IP auf MAC willst, kannst Du IPv6 Adressen auch fest zuweisen oder DHCPv6 verwenden. NAT macht bei IPv6 wenig Sinn. Vorteil ist ja gerade dass es ohne geht, da mit dem Präfix des Providers die Adressen öffentlich sind. Das erübrigt auch DynDNS.
 
Wenn Du keine Rückschlüsse von IP auf MAC willst, kannst Du IPv6 Adressen auch fest zuweisen

Kann ich, aber nicht mit der Fritzbox, das müsste ich auf jedem Endgerät lokal tun. Und lokal zugewiesene Adressen helfen mir nichts, weil zumindest bei dynamisch zugewiesener WAN-IPV6 die Endgeräte den temporär zugewiesenen 64er Netzpräfix nicht kennen - deshalb müsste die Fritzbox das machen, tut es aber bislang nicht.

oder DHCPv6 verwenden.

Dito. Die Fritzbox bietet es nicht an, ein anderer DHCPv6-Server im Lan kennt den WAN-Netzpräfix nicht. Wieder verloren.

NAT macht bei IPv6 wenig Sinn. Vorteil ist ja gerade dass es ohne geht, da mit dem Präfix des Providers die Adressen öffentlich sind.

Richtig. NAT macht wenig Sinn, die Adressen kann man ja bei Bedarf veröffentlichen. Es würde nur das obige Problem beseitigen, dann könnte man nämlich einen beliebigen Netzpräfix intern verwenden und die Fritzbox setzt das auf den aktuellen WAN-Präfix um.

Das erübrigt auch DynDNS.

Aber dann brauche ich für die Erreichbarkeit entweder statische IPv6-Adressen, damit ich sie in einen DNS fest eintragen kann. Sonst kann ich die Dinger nicht finden (wer tippt schon gerne 128-Bit-IPv6-Adressen?).

Oder: bei den aktuell bei den meisten Providern nur verfügbaren dynamischen IPv6-Adressen eben doch so etwas wie DynDNS, aber den dann mit IPv6-Unterstützung (hat m.W. keiner).

Und auch das letztere müsste die Fritzbox unterstützen (was sie nicht tut), denn sonst müsste jedes einzelne Endgerät seinen Namen selbst im DynDNS eintragen. Da auf der Fritzbox die "geöffneten" Geräte ja bekannt sind (wegen der notwendigen Firewall-Einstellungen) wäre es am einfachsten, wenn Name und Adresse von dort vorgegeben werden.


Bei IPv4 versteht sich die Fritzbox doch auch als die zentrale Instanz für interne (und externe) Namensauflösung, Firewall-Regeln und IP-Zuweisung. Wieso dann bei IPv6 nicht?

Allerdings gebe ich zu, dass viele der von mir angeführten Probleme daher rühren, dass die meisten Provider noch keine statischen IPv6 zuweisen (angesichts der Datenschutzthematik werden die Kunden das eventuell aber auch gar nicht wollen). Selbst mit statischen Adressen sollte man aber zumindest im LAN die (wegen Datenschutz: beliebige) Adress- und Namensvergabe mit der Fritzbox machen können.
 
Ich bin natürlich von einem fest zugewiesenem subnet ausgegangen, alles andere ist Spielerei.

jo
 
Ich bin natürlich von einem fest zugewiesenem subnet ausgegangen, alles andere ist Spielerei.

Klar ist das Spielerei, aber mehr geht aktuell ja bei der Telekom noch nicht. Und wie gesagt, auch mit einem festen Subnetz wäre in der Fritzbox noch nicht alles Gold (kein interner DNS, keine steuerbare Vergabe der IPs).

Zudem zweifele ich daran, dass fest zugewiesene Subnetze für ISP-Endkunden so kommen werden:

1. Fällt dann die Unterscheidung zwischen Firmenkunde und Endkunde weitgehend weg (angesichts der hohen verfügbaren Bandbreiten für Endkunden ließe sich der Zugang dann hervorragend auch für Serverbetrieb nutzen). Deswegen werden es die ISPs nicht wollen.

2. Mit festen IPs brauchen wir über Anonymisierung der Interface-ID nicht mehr nachdenken - die 64Bit Netz-Id lassen eine Identifizierung ja auch zu. Deswegen werden es die Endkunden nicht wollen (siehe auch hier).
 
Zuletzt bearbeitet:
IP Adresse bzw. Netz zuweisen

Mit Freude habe ich festgestellt, dass die FritzBox 7390 endlich auch IPv6 beherrscht. Daraufhin habe ich auf meinem Linux-Server aiccu und radvd deaktiviert, Fritz Box Sixxs aktiviert und konnte mit vielen Geräten problemlos mit IPv6 arbeiten.
Nur die Geräte mit fester IP funktionierten nicht mehr, da die Fritz Box aus dem 48er Netz (das ich bei Sixxs habe) einfach das Netz 0000 nimmt und bereitstellt. Um nicht zig DNS Einträge etc korrigieren zu müssen, kann ich der FritzBox beibringen ein anderes Netz zu nutzen und evtl. auch eine andere/feste Adresse zuweisen?
 
meine Güte, ich lerne gerade ipv6. Da gibt es ja schon so einiges, was es an neuen Möglichkeiten der Konfiguration gibt.

Also, für den IPv4-Kenner wäre die von meyergru gewünschte Lösung sicher am einfachsten.
Aber ich vermute, dass es auch anders und mit den vorhandenen Mitteln geht.

Erstens kann man die FritzBox den angeschlossenen Rechnern eine lokale ipv6 zu teilen, aus dem Bereich fd00::/64, das entspricht den 192.168.0.0/16 Adressen in ipv4. Damit hat man lokal feste ipv6 Adressen.
Damit man lokal feste ipv6-Adressen zur Verfügung hat, muss man an der FritzBox folgendes Einstellen:
Wenn man in der FritzBox unter /Internet/Zugangsdaten/IPv6 im Abschnitt "Unique Local Addresses" die Option "Unique Local Addresses (ULA) immer zuweisen" wählt, dann erhalten alle ipv6 Rechner immer eine fd:0:x:x:x:MAC-Adresse. x.x.x kann man dabei frei wählen. Auf diese Weise erhalten alle Rechner eine zusätzliche feste IP, die unabhängig von den öffentlichen IPv6s funktioniert. Ich habe das genutzt, um auf dem Web-Server (apache) den Zugriff auf das lokale Netzwerk zu beschränken (allow from fd00:x:x:x::/64 deny from all).

Zweitens bekommen alle Rechner dabei zusätzlich eine öffentliche Ipv6, die bei einem 6to4-Tunnel immer mit 2002 beginnt.

Drittens generiert Windows in regelmäßgen Abständen neue zufällige ipv6-Adressen, sog. temporäre Adressen (anzuzeigen mit "ipv6 if"), die immer das gleiche Präfix, aber einen unterschiedlichen Interface-Teil haben. Mit "netsh interface ipv6 show privacy" kann man sich die Einstellungen dazu anzeigen lassen und mit "set" statt "show" setzen.

Das tut soweit. Allerdings muss ich Windows noch beibringen,

a) bei externer kommunikation die öffentliche IP zu verwenden (die, die it 2002 anfängt). Bei mir verwendet es leider die lokale, die mit fd00 anfängt und die nicht routebar ist.

b) beim surfen die temporäre IPv6 zu verwenden.

Ich bastele da gerade mit "Default Address Selection for IPv6" bzw. "prefix policy" herum. So richtig kappiert habe ich das leider noch nicht, aber ich bin überzeugt, dass es geht :)

Wenn das alles klappt, dann fehlt allerdings noch, dass die Fritzbox die lokalen IPv6 auch per DNS verteilt. Sie müsste dafür, genau wie meyergru schon geschrieben hat, einen Dynamic DNS-Server haben, der nicht zu verwechseln ist mit den bekannten dyndns-Diensten. Ein Dynamic DNS-Server lernt die Namen und ips im (lokalen) Netzwerk über ein dafür vorgesehenes IPv6-Protokoll. Also anders als bei DHCP teilen die Ipv6 Clients ihren Namen und IP-Adresse dem Server mit, der sich die Zuordnung merkt und bei Anfragen zu dem Namen herausgibt.

Gruß,
Pfeffer.
 
Zuletzt bearbeitet:
Das tut soweit. Allerdings muss ich Windows noch beibringen,

a) bei externer kommunikation die öffentliche IP zu verwenden (die, die it 2002 anfängt). Bei mir verwendet es leider die lokale, die mit fd00 anfängt und die nicht routebar ist.

b) beim surfen die temporäre IPv6 zu verwenden.

Windows7 macht das von alleine. Nach draussen geht es immer mit der temporären. Sollte bei XP auch schon so sein.

jo
 
mein Hauptproblem ist im Moment, dass Windows mal die interne, die mit FD00 anfängt, und mal die richtige externe (mit 2002 beginnend) verwendet. Mein Windowsrechner hat also 6 Ipv6-Adressen für die eine Netzwerkkarte:
1) Link lokal Fe80:: permanent
2) Link lokal Fe80:: temporär (bin mir grad nicht sicher, ob es die wirklich gibt, sitze grad nicht davor)
3) Unique Local: FD00:: permament
4) Unique Local: FD00:: temporär
5) Aus dem internet erreichbare: 2002:: permanent (nur das Präfix wechselt, wenn die FritzBox eine neue IPv4 bekommt)
6) Aus dem internet erreichbare: 2002:: temporär

Es ist seltsam:
Nach einem "netsh interface ipv6 renew" nimmt er meist die richtige, wenige Minuten später die interne, um externe Ipv6 anzusprechen.

Windows kann auch kaum wissen, welche intern und welche extern ist. Soviel kann ich inwischen sagen: weder die route noch die prefix policy scheinen die Ursache zu sein. Er nimmt mal die eine und mal die andere, ohne dass sich Route oder prefix policy geändert hätten.

Gruß,
Pfeffer.
 
Zuletzt bearbeitet:
Da ist wohl Deine Konfig etwas durcheinandergeraten. Mach mal ein ipv6 uninstall, Neustart und dann wieder ipv6 install. Normal sind pro Interface 3 IPs
IPv6-Adresse. . . . . . . . . . .
Temporäre IPv6-Adresse. . . . . .
Verbindungslokale IPv6-Adresse .
Wobei die beiden ersten den Internetprefix haben, die dritte den lokalen fe80 für Link Local, nur im eigenen Subnetz gültig
fd00 sind Site lokale Adressen die innerhalb eines Unternehmens geroutet werden, deshalb geht der Client auch darüber raus.

jo

Edit: Site local wäre fec0::/10, ist aber nicht mehr aktuell, fc00::/7 (beinhaltet fd00) nennt sich Unique Local Addresses, können aber lokal geroutet werden.
 
uninstall und neu installieren probiere ich gleich aus, danke für den Tipp.

Aber IPv6-Adressen sind alle korrekt so. Ich habe ja extra der FritzBox gesagt, sie soll immer "Unique Local Addresses" verteilen, damit ich im LAN die Rechner über feste, sich nie ändernde IPv6-Adressen ansprechen kann. Aus dem LAN raus kommen die natürlich nicht weit (bzw. eben die Antowrten nicht zurück).

Aber mein Windows XP-Rechner weiß halt nicht, dass die fd00-Adressen nur im LAN funktionieren und scheint mal die und mal die öffentliche zu verwenden.

Gruß,
Pfeffer.
 
Ich bin natürlich von einem fest zugewiesenem subnet ausgegangen, alles andere ist Spielerei.

Kann ich unterschreiben. Und bringt auch nur so merkwürdige und teilweise unerklärliche Effekte wie Pfeffer sie schildert. Um IPv6 zu lernen, brauchst Du ein eigenes IPv6-Subnetz. Bei SixXS gibt's kostenlos ein /48 und auf den IPv6-Seiten bei AVM ne ausführliche Anleitung dazu.

uninstall und neu installieren probiere ich gleich aus, danke für den Tipp.

Fürchte, das wird Dir nicht helfen. Habe an einem Standort einen festen SixXS-Tunnel, da funktioniert alles wie es soll. An zwei anderen noch nen Tunnel über 6to4. Da habe ich ähnliche Merkwürdigkeiten.

Aber IPv6-Adressen sind alle korrekt so. Ich habe ja extra der FritzBox gesagt, sie soll immer "Unique Local Addresses" verteilen, damit ich im LAN die Rechner über feste, sich nie ändernde IPv6-Adressen ansprechen kann. Aus dem LAN raus kommen die natürlich nicht weit (bzw. eben die Antowrten nicht zurück).
Die ULA werden in der empfohlenen Einstellung nur verteilt, wenn es Probleme mit dem IPv6-Tunnel gibt. Was hast Du da eingestellt?

Mein Rat: besorge Dir ein festes Subnet und stelle in Deinem TCP/IP-Stack erst mal alles auf die Default-Werte zurück.

Das von Dir an anderer Stelle erwähnte privacy-Flag ist dazu da, ob die IPv6-Adresse anhand der MAC-Adresse generiert wird oder zufällig. Default ist zufällig und die bessere. Zusätzlich kann man, wie bei IPv4 auch, zusätzlich statische Adressen vergeben.
 
So, jetzt scheint alles so zu laufen, wie ich es mir vorstelle:

1. Mein Rechner bekommt von der FritzBox zwei Präfixe: 2002:: und FD00:: (Ich habe schon zwei mal gesagt, wie man das in der FritzBix einstellt und dass ich das mit Absicht gemacht habe)

2. Für die Kommunikation im LAN wird das FD00-Präfix verwendet, so dass ich im LAN feste IPv6-Adressen habe.

3. Für die externe Kommunikation verwendet Windows alle 15 Minuten eine andere IPv6 :) Ok, die 15 Minuten sind vielleicht übertrieben, aber ich wollte nicht 3 mal 2 Stunden warten, um es zu testen.

Damit das funktioniert habe ich die "prefix policy" wie folgt geändert:
Code:
netsh 
interface 
ipv6
set prefix 2002::/96 20 3
set prefix     ::/96 20 3
set prefix     ::/0  20 3

# Um alle 15 Minuten eine neue ipv6 zu verwenden
set privacy maxpref=15m
commit
Damit das ganze wirklich funktioniert musste ich einmal neu booten.

So ist nun alles wunderbar - das einzige, was fehlt, ist, dass die lokale und stabile IPv6 von der FritzBox per DNS aufgelöst wird (Dynamic DNS).

Ich brauche kein festes Ipv6-Präfix - im Gegenteil, ich will kein festes. Ich will ja nicht bei allen ipv6-Seiten mitteilen, dass ich immernoch derselbe bin.

Ich muss ja sagen, damit scheint kaum jemand sich wirklich auszukennen - und wenn doch behält er sein Wissen für sich. Die einzig guten Informationsquellen, die ich gefunden habe, waren die einschlägigen RFCs (die bei Windows 1:1 umgesetzt zu sein scheinen [bis auf Abwandlungen der Variablennamen]).

Interessiert sich noch jemand für diese Lösung? - Dann mache ich dafür einen eigenen Thread auf und erkläre alles genau.

Gruß,
Pfeffer.
 
Zuletzt bearbeitet:
Ich interessiere mich dafür und lese interessiert mit. IMHO brauchst Du dafür aber keinen eigenen Thread aufzumachen, Deine Lösung beantwortet die eingangs gestellten Fragen ja zumindest teilweise. Sowie ich etwas Zeit habe, mache ich mich mal dran, den Ansatz auszuprobieren, auch mit Linux.
 
Wer stur ist und auf seinen Fehlern beharrt, dem wünsche ich viel Glück.
Ich bin dann hier raus.
 
@smart-gp: Dass das alles mit einem "simplen" statischen IPv6-Setup funktioniert, ist pfeffer und mir klar - Dir war hoffentlich auch klar, dass wir das wissen? Wenn Du damit zufrieden bis, Deine statische IP ins IPv6-Internet hinauszuposaunen, unterscheiden sich Deine Anforderungen offenbar von unseren. Wo wir da auf einem "Fehler" beharren, weiß ich nicht, scheint mir eher ein Verständnisproblem auf Deiner Seite zu sein.

@pfeffer:

Ich habe jetzt endlich nach einigen Mühen unter Linux etwas am Laufen, Windows 7 sträubt sich noch, aber ich komme die nächsten zwei Wochen nicht dazu, weiterzumachen.

Tatsächlich geht es unter Linux auch, wenn man die Privacy Extensions (RFC 3041) richtig konfiguriert, z.B. bei OpenSUSE 11.3 in /etc/sysctl.conf:

Code:
net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.all.temp_valid_lft = 86400
net.ipv6.conf.all.temp_prefered_lft = 3600
net.ipv6.conf.default.use_tempaddr = 2
net.ipv6.conf.default.temp_valid_lft = 86400
net.ipv6.conf.default.temp_prefered_lft = 3600

Vorsicht, man darf die Lifetimes nicht zu kurz wählen (hat mich einige Zeit gefunden, bis ich das gemerkt habe), sonst beschränkt er sich auf die aus den MACs generierten IPs. So aber werden zusätzliche temporäre IPs erzeugt.

Durch den Parameter "use_tempaddr = 2" zieht das System dann bei ausgehenden Verbindungen die temporären Adressen vor. Da die Fritzbox nach außen z.B. bei T-Online den 2002:: Präfix benutzt, sind dann beide Teile der nach außen benutzten IPv6 dynamisch.

Für die Verbindung nach innen kann man entweder die aus der MAC erzeugte Interface-ID oder besser eine weitere, statische IPv6 als Alias für das Interface benutzen, z.B. in der /etc/sysconfig/network/ifcfg-eth0:

Code:
BOOTPROTO='static'
BROADCAST=''
ETHTOOL_OPTIONS=''
IPADDR='192.168.1.33/24'
MTU=''
NAME='RTL8111/8168B PCI Express Gigabit Ethernet controller'
NETMASK=''
NETWORK=''
REMOTE_IPADDR=''
STARTMODE='auto'
USERCONTROL='no'
IPADDR_0='fd00::1:33/64'
LABEL_0='v6'

Die resultierenden IPs sehen dann z.B. wie folgt aus:

Code:
eth0      Link encap:Ethernet  HWaddr 01:02:03:04:05:06
          inet addr:192.168.1.33  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fd00::1:33/64 Scope:Global
          inet6 addr: fd00::5116:f36c:b8eb:8935/64 Scope:Global
          inet6 addr: 2002:4ffe:a3c9:0:5116:f36c:b8eb:8935/64 Scope:Global
          inet6 addr: fd00::0302:03ff:fe04:0506/64 Scope:Global
          inet6 addr: 2002:4ffe:a3c9:0:0302:03ff:fe04:0506/64 Scope:Global
          inet6 addr: fe80::0302:03ff:fe04:0506/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18256 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17946 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:14389406 (13.7 Mb)  TX bytes:2757272 (2.6 Mb)
          Interrupt:31 Base address:0x8000

Der Präfix 2002:4ffe:a3c9:0 war der dynamische von T-Online, die MAC-Interface-ID war 0302:03ff:fe04:0506, die temporäre, zufällige Interface-ID war 5116:f36c:b8eb:8935.

So war bei Zugriffen nach außen nur 2002:4ffe:a3c9:0:5116:f36c:b8eb:8935 sichtbar, beide Teile sind dynamisch wie bei IPv4; Privacy-Ziel erreicht.

Bei der Portfreigabe kann ich aber nur 2002:4ffe:a3c9:0:0302:03ff:fe04:0506 benutzen, wie man oben sieht; Ziel also nicht ganz erreicht. Das liegt daran, dass bei der Autokonfiguration die manuell vergebene ::1:33 nicht verwendet wird und bei den Freigaben somit wirkungslos bleibt. Für den Zugriff von außen wären statische IPv6 wirklich hilfreich - allerdings bitte zusätzlich, liebe Provider!

Nach meinem Urlaub werde ich mit Windows 7 auch noch mal probieren, aktuell klappt das noch nicht.
 
hmm - ok. Dafür fallen mir nur 2 mögliche Lösungen ein:
a) Du müsstest der Netzwerkkarte eine öffentliche IP, die mit 2002 anfängt, zu weisen. Allerdings müsste die sich automatisch ändern, wenn sich das Präfix ändert - das läuft normalerweise über die Autokonfiguration, die es für manuell vergebene IPs natürlich nicht gibt.

b) Du weißt Deiner Netzwerkkarte eine andere MAC-Adresse zu. Das geht mit
ifconfig hw 00:00:01:01:01:01

"00:00:01:01:01:01" natürlich durch die gewünschte MAC ersetzen. Dabei müssen die letzten beiden Bits des 1. Byte immer 0 sein, denn die haben spezielle Bedeutung (Multicast und Local-MAC ...hmm vielleicht sollte das Local-MAC-Bit gesetzt werden?).

c) vielleicht gibt es ja auch die Möglichkeit irgendwo in der ipv6-Config eine Vorgabe zu machen, was als Interface-Teil für die Autokonfiguration verwendet werden soll?

Zu den Mindestzeiten:
Der Standard sieht vor, dass die Lifetimes nicht genau eingehalten werden, sondern per Zufall geändert werden (vermutlich, damit wenn in einem Netzzwerk alle Rechner gleichzeitig gestartet werden, sie nicht alle gleichzeitig die Autokonfiguration starten). Dafür kann man eine Frist einstellen, innerhalb der die zufällige Verzögerung stattfindet. Im Standard ist dafür eine einstellbare Default-Frist von 10 Minuten vorgesehen. Die Lifetime einer IP-Adresse muss größer sein als diese Frist. - Das hat mich auch etwas Zeit gekostet herauszufinden - zumal die deutschen Übersetzungen, die in Windows dafür verwendet werden, zum Teil einfach falsch übersetzt sind - wobei auch die englischen Originale schwerverständlich sind. Allein das RFC ist klar und deutlich.

Gruß,
Pfeffer.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.