Unitymedia IPv6 Client wechselt IP und Port-Freigabe ist statisch?!?!

[Gast37598]

Hallo Männer,

ich habe einen DSLite anschluss und eine Freigabe für einen bestimmten Client aktiviert. Funktioniert alles wunderbar.
Das Gerät hat vom DHCPv6 Server (stateless) eine IP erhalten aber ich frage mich nun was passiert wenn diese IP sich ändert.
z.B. lease abgelaufen oder ich fuchtel am Client rum und er holt sich eine neue Adresse.

Dieser Fall war jetzt und der Client hat eine andere IPv6 Adresse bekommen und somit war die Firewall Regel nicht mehr richtig.
Wie gehe ich hier am besten vor? wie macht ihr das?
Bei IPv4 hätte ich einfach eine statische IP vergeben aber bei IPv6 bin ich mir nicht sicher.

ich vermute die ersten 4 Blöcke der IP sind die Netz-Adresse [xxxx:xxxx:xxxx:xxxx] die immer (hoffentlich) gleich ist.

Irgendwie ist die statische Vergabe von IPv6 am Client schwieriger als erwartet und ich habe gehört, dass unter bestimmten Umständen die ConnectBox die Firewall regeln automatisch anpasst.
Glaube das war wenn sich der Präfix ändert.

Wollte erstmal fragen was hier "bewährte Praxis" ist bevor ich irgendwelche komplizierten Lösungen veranstalte.

Danke für eure Hilfe.

 

[Nurum]

Die Bezeichnung stateless DHCPv6 Server in der Connetbox ist etwas verwirrend, da dann kein DHCPv6 Server aktiv ist, sondern die Adressen über SLAAC verteilt werden.
Das Präfix (erste 64 Bit) werden von Unitymedia vorgegeben, den Rest machen die Clients unter sich aus.
Clients holen sich in der Regel mehrere IPv6 Adressen.
Eine Locallink Adresse die nur im lokalen Netzwerk gültig ist, eine private temporäre Adresse die wechselt und eine statische öffentliche Adresse die anhand der MAC berechnet wird.

Du musst die Geräte anhand statischen Adresse freigeben, so bleiben die letzten 64 Bit der Adresse immer gleich. Die Connectbox passt das Präfix automatisch immer an das an welches du von Unitymedia zugestellt bekommst.

Kurzgesagt, du musst nur die richtige IPv6 Adresse deines Clients freigeben. Die Connectbox passt das beim Präfixwechsel automatisch an.

 

[Gast37598]

Okay ich habe die verstanden und es bei mir geprüft.
Mein Test Windows 7 Rechner hat tatsächlich drei IPv6:
- IPv6-Adresse
- Temporäre IPv6-Adresse
und
- Verbindungslokale IPv6-Adresse

Fragen:
1. bin ich mit der Einstellung "Stateless" für den DHCP6 Server auf der Connectbox für mein Vorhaben gut dabei? Es ist immerhin die Default Einstellung...

2. Wenn ich meinen DynDns Hostnamen von dem besagten Windows 7 Client aktualisiere wird die Temporäre IPv6-Adresse des Clients zum DynDns Dienst übermittelt und eingetragen:
- ich habe gelesen man kann die Temporäre IPv6 deaktivieren. "Set-NetIPv6Protocol -UseTemporaryAddresses Disabled"
- ist das ratsam und zielführend für mein Problem? negative Nebeneffekte? Es wird ja einen Sinn haben.
Übrigens zeigt mir auch die Connectbox für den Windows 7 Client die Temporäre IPv6-Adresse unter "Verbundene Geräte" an...

3. Ich teste aktuell mit dem Windows 7 Rechner (quasi eine Durchführbarkeitsstudie) später will ich das ganze mit Unix realisieren.
- Der Unix Test Rechner läuft auch schon rudimentär und dort zeigt mir "ifconfig" nur zwei IPv6 Adressen an:
-> eine /64 Scope: Global (scheinbar die richtige die wird mir auch in der Connectbox angezeigt)
-> eine /64 Scope: Link (scheinbar das Pendant zur Verbindungslokalen Adresse beim Win7 Client)
-> leider aktualisiert das DynDns Script auf der Unix Maschine nur die IP4 Adresse des DynDns Hostnamen, sonst könnte ich hier behaupten es wäre mit dem Unix schonmal gut.

Da muss ich also noch dran fummeln aber soweit läuft es ganz gut denke ich.
Das einzige was sichergestellt werden musst ist, dass in der Connectbox die IPv6 in der Freigabe und des Clients steht synchron sind.

So genug für heute mache morgen weiter.
Danke !

 

[Nurum]

1. Ja, stateless bzw. SLAAC ist die richtige Einstellung. IPv6 in Android Clients funktioniert nur mit SLAAC. Statefull bzw. DHCPv6 wird nur in Ausnahmefällen benötigt und bringt eher Nachteile mit sich.
2. Die temporäre IPv6 wird im Zuge der Privacy Extensions ausgestellt. Wenn du sie deaktivierst kannst du nicht mehr von diesen Vorteilen profitieren und Webseiten können dich anhand deiner IPv6 bzw. MAC Adresse tracken.
Ich weiß nicht nach welchen Kriterien die Connectbox die IPv6 Adressen ermittelt die sie in der Weboberfläche anzeigt. Teilweise sind die nicht mal aktuell.
Das der Internetraffic standardmäßig über die temporäre IPv6 erfolgt wird dein DDNS Client wahrscheinlich diese nutzen. Vielleicht kann man das im Skipt umstellen.
3. In manchen Linux bzw. Unix Distributionen sind die Privacy Extensions deaktiviert. Kann man aber nicht pauschal sagen. Wenn die hintere Hälfte deiner IPv6 bei Locallink und Globaler IPv6 identisch sind, ist es deaktivert, da bei beiden dieser Teil anhand der MAC Adresse berechnet wird.

 

[boba]

Unter Windows hast du immer eine "feste" ipv6 Adresse, und zwar die, die sich Windows mit SLAAC selbst gibt bzw. die man via dhcpv6 erhält. Die bleibt. Die ändert sich nur, wenn man einen neuen ipv6 Prefix bekommt. Die verwendet man für eingehende Verbindungen. Diese Adresse kann man via ddns registrieren, damit kann man durchgehend auf diese Maschine von remote zugreifen. Zusätzlich würfelt Windows mit den privacy extensions regelmäßig eine neue temporäre ipv6 Adresse aus. Mit dieser Adresse werden ausgehende Verbindungen durchgeführt, damit du nicht anhand deiner IP Adresse getrackt werden kannst. Ddns Clients sollten nicht die temporären ipv6 Adressen, sondern die slaac Adresse registrieren.