Unitymedia Bridgemode auf Vodafone Station wieder verschwunden

[why_]

Ich wohn in BW und bekomme ein /56, wirst du also wohl falsch mitbekommen haben.

 

[Soldierofoc]

NRW/Hessen war seit jeher /59. BaWü /56. Habe ich auch hier in BaWü aktuell so in Nutzung und läuft einwandfrei

 

[Harry.Hirte]

Bei mir sieht tcpdump überhaupt keine IPv6 Pakete am Interface. Von NDP und RA ist nichts zu sehen.
Ein dhclient -6 läuft ebenfalls ins Leere. Man muß v6 wohl bei VF extra anfordern...

Habe zwar intern IPv6 und per vpn ein /48er Netz von einem anderen Provider, aber IPv6 macht eigentlich nur überall Probleme.

Allein die Zuweisung einer v6 Adresse zu blockieren/kontrollieren ist praktisch unmöglich.

Jemand der in mein Wlan reinkommt (bei WPA2 ja nicht sehr schwierig) kriegt immer eine v6-IP, auch wenn ich die v4 blockiere.
"unknown clients" wie bei dhcp4 gibt's nicht und wenn dhcp6 nicht geht, greift immer noch der radvd und weist per SLAAC irgendeine "zufällige" IP zu.
Für die Zugangskontrolle jedenfalls ein Alptraum.
Clients in den lokalen Nameserver einzupflegen ist ebenfalls beschissen (nur per dhcp).
Bleibt eigentlich nur übrig, IPv6 für fast alles wieder zu blockieren - klasse Lösung...

 

[why_]

Bei mir sieht tcpdump überhaupt keine IPv6 Pakete am Interface. Von NDP und RA ist nichts zu sehen.
Ein dhclient -6 läuft ebenfalls ins Leere. Man muß v6 wohl bei VF extra anfordern...

Hast du von Vodafone vielleicht einfach ein v4 only config file. Dann kommt da auch kein IPv6. Dafür brauchst du ein Dual Stack config file.

Habe zwar intern IPv6 und per vpn ein /48er Netz von einem anderen Provider, aber IPv6 macht eigentlich nur überall Probleme.

Kann ich nicht bestätigen, bei mir löst es sogar relativ viele Probleme.

Allein die Zuweisung einer v6 Adresse zu blockieren/kontrollieren ist praktisch unmöglich.
Jemand der in mein Wlan reinkommt (bei WPA2 ja nicht sehr schwierig) kriegt immer eine v6-IP, auch wenn ich die v4 blockiere.
"unknown clients" wie bei dhcp4 gibt's nicht und wenn dhcp6 nicht geht, greift immer noch der radvd und weist per SLAAC irgendeine "zufällige" IP zu.
Für die Zugangskontrolle jedenfalls ein Alptraum.

Naja mehr als Schlangen Öl ist das auch nicht. Wenn man erst mal drin ist kann man sich auch einfach eine IP von einem schon vorhandenen Client nehmen und den aus dem WLAN kegeln. Will man das richtig machen muss man schon 802.1x fahren und die Clients die CA prüfen. Alles andere ist mehr hoffen als wirklich sicher.

Clients in den lokalen Nameserver einzupflegen ist ebenfalls beschissen (nur per dhcp).

Per DHCPv6 ist das doch genauso wie bei IPv4 und bei SLAAC macht man das via RA.

Bleibt eigentlich nur übrig, IPv6 für fast alles wieder zu blockieren - klasse Lösung...

Das ist keine Lösung ich würde das heutzutage eher als Problem bezeichnen.

 

[maffle]

Jemand der in mein Wlan reinkommt (bei WPA2 ja nicht sehr schwierig)

Was redest du da bitte. WPA2 gilt immer noch als sicher, da kommt niemand rein oder kann irgendwelche Daten abgreifen. Es gibt da nur ein Exploit, unter bestimmten Gegegenheiten, der sehr schwer, praktisch unmöglich ist auszunutzen, um Gewisse Pakete einzuschleusen, womit man nicht viel machen kann. Auslesen von Daten oder den geheimen Schlüssel kann man damit nicht erlangen.

 

[Guybrush]

Danke soweit mal für die Antworten. Also ich hatte die /59 zwischendrin auch mal versucht, aber ohne Erfolg.

Ich muss mir das die Tage einfach nochmal in Ruhe anschauen, vielleicht hab ich was übersehen.

 

[Harry.Hirte]

Kann ich nicht bestätigen, bei mir löst es sogar relativ viele Probleme.

...

naja es geht irgendwie schon, aber es ist halt viel mehr Aufwand als bei v4.
Einen Radius-server für WPA-enterprise hab ich hier sogar, aber die Zertifikate einzupflegen ist auch wieder aufwändig.
Geht das bei Android inzwischen? Oder bei Apple? die machen ja vieles recht eigenwillig.
Noch besser wäre es, per WLAN nur auf einen VPN-Server zu kommen und dann per Zertifikat in's Heimnetz. Beides ist natürlich problematisch bei Gast-Zugängen.

Ich hatte ursprünglich ein /64 Netz und da war es Essig mit meinen subnets. Meiner Meinung nach ein Konstruktionsfehler bei v6, denn 2^64 hosts in einem flachen Netz ist ja wohl ein schlechter Witz.
Ich weiß, das ist aus Hardware-Performancegründen gemacht worden - trotzdem...

Bei mir kommt man fast nur per proxy in's Internet, um z.B. Windows-clients und Android/Apple phone-home zu blockieren. Wenn man nicht aufpaßt geht IPv6 komplett daran vorbei - hatte ich komplett vergessen.

Privacy issues gibt es ebenfalls - gehe ich mit meiner eigenen IPv6 in's Netz, ist klar wer ich bin, da spielen die 2^80 zufälligen host-Möglichkeiten keine Rolle.
Mein VPN-provider bietet allerdings auch IPv6 an, sodaß ich dann mit seiner v6-IP in's Netz gehen kann... Natting is back!

Wird die v6-IP bei Vodafone eigentlich jemals geändert/rotiert?
Anders als bei v4 kann man doch mit den Adressen verschwenderisch umgehen.
Da braucht es keine Vorratsdatenspeicherung mehr. Solange Du bei VF bist hast Du ein eindeutiges IPv6-Netz zugeordnet.

Also von weniger Problemen kann ich daher nicht reden. Es ist deutlich mehr Konfigurationsaufwand.

 

[Harry.Hirte]

Was redest du da bitte. WPA2 gilt immer noch als sicher, da kommt niemand rein oder kann irgendwelche Daten abgreifen. Es gibt da nur ein Exploit, unter bestimmten Gegegenheiten, der sehr schwer, praktisch unmöglich ist auszunutzen, um Gewisse Pakete einzuschleusen, womit man nicht viel machen kann. Auslesen von Daten oder den geheimen Schlüssel kann man damit nicht erlangen.

Ich würde mal "WPA2 crack" googlen - bei Klartext-Passworten ca. 10 Minuten, bei zufälligen PW auch mal 1-2 Tage. Ich ändere mein passwort jedenfalls nicht so häufig, wie es danach erforderlich wäre.

 

[why_]

naja es geht irgendwie schon, aber es ist halt viel mehr Aufwand als bei v4.
Einen Radius-server für WPA-enterprise hab ich hier sogar, aber die Zertifikate einzupflegen ist auch wieder aufwändig.
Geht das bei Android inzwischen? Oder bei Apple? die machen ja vieles recht eigenwillig.

Inzwischen? Das geht bei beiden seit mehr als 10 Jahren wenn ich mich nicht irre.
Noch besser wäre es, per WLAN nur auf einen VPN-Server zu kommen und dann per Zertifikat in's Heimnetz. Beides ist natürlich problematisch bei Gast-Zugängen.

Ich hatte ursprünglich ein /64 Netz und da war es Essig mit meinen subnets. Meiner Meinung nach ein Konstruktionsfehler bei v6, denn 2^64 hosts in einem flachen Netz ist ja wohl ein schlechter Witz.
Ich weiß, das ist aus Hardware-Performancegründen gemacht worden - trotzdem...

Ein Design Fehler ist das nicht, man muss das halt nur nutzen wie es entworfen wurde. Sauber wäre ein /48 pro Vertrag.

Privacy issues gibt es ebenfalls - gehe ich mit meiner eigenen IPv6 in's Netz, ist klar wer ich bin, da spielen die 2^80 zufälligen host-Möglichkeiten keine Rolle.

Ich sehe da kein Unterschied zu IPv4 von der Privacy seite.

Mein VPN-provider bietet allerdings auch IPv6 an, sodaß ich dann mit seiner v6-IP in's Netz gehen kann... Natting is back!

wofür soll man da Natten? Prefix delegation gibt es dafür.

Wird die v6-IP bei Vodafone eigentlich jemals geändert/rotiert?
Anders als bei v4 kann man doch mit den Adressen verschwenderisch umgehen.
Da braucht es keine Vorratsdatenspeicherung mehr. Solange Du bei VF bist hast Du ein eindeutiges IPv6-Netz zugeordnet.

Das IPv6 Prefix ändert sich so häufig wie die IPv4 Adresse also kein unterschied.

Also von weniger Problemen kann ich daher nicht reden. Es ist deutlich mehr Konfigurationsaufwand.

Sehe ich nicht.

 

[Harry.Hirte]

Inzwischen? Das geht bei beiden seit mehr als 10 Jahren wenn ich mich nicht irre.
...

Bei meinem alten Samsung S4 (2013) ging das out of the box nicht ohne weiteres - hab's dann aufgegeben, life's too short.
Bei einem uralten Windows-XP PC (2005 - fast 10 Jahre älter) ging das recht einfach.

Das S4 hat jetzt Andoid-11 (lineage-OS) drauf und dort taucht auch was mit "Install Certificates" auf.
Aber auch mit Android-11 802.1x scheinen noch viele Leute Probleme zu haben. Einfach mal googlen.

...
Ich sehe da kein Unterschied zu IPv4 von der Privacy seite.

Der Unterschied ist, daß kaum ein Privatmensch eine eigene statische IPv4 hat - die kostet .
Eine eigene statische IPv6 hingegen kannst Du kostenlos bekommen, weil IPv6 gepushed werden soll.
Ich hatte meine damals von Portunity - mit kostenlosem vpn-tunnel nutzbar.
Wenn Du die dann auf einen Domain-Namen legst, ist verstecken hinter dem Internet Provider nicht mehr möglich

Aber gut - das ist ein Spezialfall. Wenn VF tatsächlich v6 und v4 gleich behandelt ist das hinfällig.

 

[Guybrush]

Danke soweit mal für die Antworten. Also ich hatte die /59 zwischendrin auch mal versucht, aber ohne Erfolg.

Ich muss mir das die Tage einfach nochmal in Ruhe anschauen, vielleicht hab ich was übersehen.

So am Wochenende habe ich mich dem Thema nochmals gewidmet und habe einen Schritt nach vorne gemacht, aber auch zwei zurück

- Ich hatte die Einstellungen bei Prefix-Delegation /56 belassen
- IPV6 beziehen automatisch über (DHCPv6/SLAAC)
- Im internen Netz übernehme ich vom WAN Port diese IP und mache dann da DHCP alles. Alles erstmal auf Auto und default gestellt.

Es war so
- PC direkt an Modem gehängt, bekam IPV4 und IPV6, Internet war möglich
- Dann Modem an Router, beide geräte neu gestartet.
- mein Router/Firewall hat eine IPV6 Verbindung zum Modem herstellen können, es zeigte mir an "Connected"
- Ich bekam die beiden DNS Server angezeigt
- Und die Gateway Adresse "fe..." (Ist glaube ich die Adresse des WAN Ports)
- Aber KEINE öffentliche IPV6 Adresse..warum auch immer
- Nach ein paar Sekunden ging dann IPV6 "Offline", und dann verschwand auch die DNS Adresse
- Mehrfach auf "connect" geklickt, tut sich nichts
- Dann nach ein paar Versuchen gleiches Spiel: Irgenwann sind die DNS Adressen erscheinen, IPV6 "connected", und nach wenigen Sekunden wieder off

- Später dan (Samstag Nachmittag) einfach nochmal versucht und dann PLÖTZLICH hatte ich eine öffentliche IPV6 Adresse erhalten
- DHCP im Netzerk verteilt IPV6 Adressen
- IPV6 Check online läuft alles gut
- Keine Ahnung, warum es jetzt plötzlich geht...

Dann aber Sonntag auf Montag Nacht, wieder zwei Schritte zrück
- Um 01:00 Uhr hat das Modem evtl. die IPs neu vergeben? Zumindest war mein WAN Port kurz off (laut meinem Log im Router)
- Router hat dann gleich wieder die öffentliche IPV4 bekommen
- Leider aber nicht die IPV6
- Ich habe dann seit Montag alles wie oben wiederholt...
- Neustarts der Geräte, Firmware Upgrade, Ich habe es nie mehr geschafft eine öffentliche IPV6 Adresse zu bekommen

Hat jemand ne Ahnung was fehlt? Ich bin noch etwas neu, was IPV6 angeht, da muss ich noch bissle lernen ich weiß. Aber wenn ich klar weiß wo das Problem hängt, reicht mir das schon.

Gerne kick ich den TP-Link Router auch weg (war je jetzt mein erster Versuch nen Schritt weg von VF Station) und würde mir etwas anderes holen, wenn ich weiß dass das das Problem ist. Auf kurz oder lang will ich vielleicht ne pfSense dran, da will ich mich aber erstmal bissle näher mit beschäftigen.