International Forums > German - Deutsch

OpenVPN und IPv6 Gedanken und Unverständnis

(1/3) > >>

theq86:
Hallo,

ich würde OpenVPN gern zusätzlich über IPv6 verfügbar machen. Hat damit jemand Erfahrungen? Speziell interessiert mich: Wie bekomme ich Zugriff auf mein LAN vom VPN Client aus?

Bei IPv4 puppig einfach: Die Option Lokales IPv4-Netzwerk benutzen.

Bei IPv6 ergeben sich aber meiner Meinung nach Schwierigkeiten. Dazu muss ich sagen, dass meine IPv6 Konfiguration folgende ist:

WAN (via PPPoE): DHCPv6

--- Code: ---Nur einen IPv6-Präfix anfordern: Ja
DHCPv6 Prefix Delegation Größe: 56
Sende einen IPv6-Präfixhinweis: Ja
Sende SOLICIT direkt: Ja
IPv4-Verbindung verwenden: Ja

--- End code ---

LAN: Schnittstelle aufzeichen

--- Code: ---Schnittstelle: WAN
IPv6 Präfix ID: 0

--- End code ---

An erster Stelle eine Nebenfrage: Wozu dient genau die Präfix ID?

Jetzt zum Problem das ich denktechnisch habe:

Alle meine IPv6 Clients beziehen eine global unicast und werden über den radvd der sense konfiguriert. Da ich bei jeder Einwahl vom Provider ein neues Präfix bekomme, müsste ich den VPN Server ja jedes mal neu konfigurieren.
Wobei das ja mMn. auch sinnlos wäre, weil ich mich durch global unicasts eh direkt mit jedem meiner Rechner ohne eine VPN Verbindung connecten kann, wenn ich die entsprechenden Rules habe.

Sinn würde es machen, wenn mein LAN manuell mit unique local konfiguriert wäre. Ich wüsste sofort, welches Netz ich bei OpenVPN eintragen müsste. Ich würde dann auch den radvd oder DHCPv6 einrichten, dass es meinen Clients Adressen in meinem unique local Netz zuweist. Dann hätte ich aber gewissermaßen nix anderes als IPv4 und müsste ja dann von meinem unique local Netz auf eine unique global Adresse natten, wenn die Clients ins Internet sollen?

Eine Möglichkeit, radvd und DHCPv6 mit nem tracked Interface zu konfigurieren gibt es ja nicht. Da brauche ich statische IPs. Außerdem kann ich einem Interface auch nicht gleichzeitig ne statische unique local UND eine unique global Adresse geben, oder? Das alles verwirrt mich etwas.

Wie würdet ihr das ganze einrichten?

JeGr:
Das wird IMHO nicht wirklich sauber/gut funktioniere bzw. umsetzbar sein. Deine Konfiguration sagt schon aus, dass du kein statisches v6 Prefix im LAN hast, sondern eines, dass du via Tracking vom WAN zugewiesen bekommst, was wiederum vom Provider (oder einem vorgeschalteten Router) weiterverteilt wurde und sich im dümmsten Fall täglich aber mindestens sporadisch wechselt.

Da OpenVPN nicht wirklich eine Konfiguration kennt (zumindest soweit ich gerade weiß), dass es das Prefix einfach so ersetzt, müsste es statisch konfiguriert werden. Sobald sich also dein WAN Prefix ändert und der Provider es "aus tollen Gründen" rotiert, klappt dein VPN nicht mehr.

> An erster Stelle eine Nebenfrage: Wozu dient genau die Präfix ID?

Das hängt mit deiner WAN Konfiguration zusammen. Du bekommst via WAN und PPPoE eine IPv6 zugewiesen und zusätzlich ein /56er Prefix für dein(e) LAN(s). Da das Prefix - dank toller Providerlogik - dynamisch ist, kannst du es intern nicht fest konfigurieren. Somit hast du 256 (FF) verschiedene /64er Prefixe für dich, die aber dynamisch sind. Bei jeder neuen Einwahl wird also dein WAN ein ggf. neues /56er Prefix bekommen. Via Track Interface kann sich jetzt das LAN selbst eines der 256 Prefixe /64 zuweisen. Die ID 0 heißt, er soll das "nullte" nehmen.

Sagen wir mal du bekommst bei der Einwahl 2001:DB8:dead:de00::/56 zugewiesen, dann hast du 2001:DB8:dead:de00:: bis 2001:DB8:dead:deff:: zur Verfügung. Prefix ID 0 nimmt also 2001:DB8:dead:de00::/64 für das LAN, ID 1 wäre 2001:DB8:dead:de01:: usw.

Hast du mehrere Interfaces mit Tracking muss da dann natürlich jeweils ein anderes Prefix ran. :)

> Wie würdet ihr das ganze einrichten?

Dem Provider seinem dynamischen Mist ein High-5 geben. Ins Gesicht. Mit einem Stuhl.
Im Ernst, dieser ganze dynamische Drecksmist ist der Grund, warum niemand ordentlich mit v6 arbeiten kann (auf Clientseite) ohne sich 3x den Kopf anzubohren. Vieles (alles), wofür man v6 primär gebaut und gepusht hat, wird damit auf den Kopf gestellt und vernichtet. Es sollte kein NAT mehr geben - dank dynamischer Vergabe kann aber niemand ordentliche Prefixe konfigurieren. Mobile-IPv6 solle lustige Sachen ermöglichen - wie denn aber, wenn sich bei Verlassen des Home-Netzes ständig das Prefix für seine IP6 ändert.

Mir kommen zwei Möglichkeiten in den Sinn. Beide sind nicht optimal:

1) IPv6 Tunnel (trotz nativem DualStack) von bspw. he.net und ein statisches v6 Prefix /64 oder /48. Dann kann man alles konfigurieren wie es sich gehört und es passt.

2) intern ULAs verwenden (und brav randomisieren: http://www.hznet.de/tools/generate-rfc4193-addr ) und dann ggf. via NPt von extern auf intern Mappen, womit wir indirekt wieder bei (sowas ähnlichem wie) NAT Grütze wären, aber solang den Herren der Carrier "too big to fail" niemand mal ins Genick tritt, dass dieser Zwangstrennungs- und angebliche Privacy-Quatsch mit rotierenden IPs/IP6-Prefixen Humbug ist, wird sich da wohl in absehbarer Zeit kaum was ändern :(

Auch wenns performance-technisch nicht so schön ist, halte ich aber 1) für die saubere(re) Lösung. Trotzdem sollten Geräte in der Lage sein, sowohl link-local fe80:: als auch ULAs als auch globale IPv6 Adressen zu tragen, so war das zumindest ursprünglich konzipiert.

theq86:
Ich gebe zu, dass der rotierende Präfix schon Grütze machen kann. Allerdings muss man aber auch ganz ehrlich sagen, dass allein der Präfix bei einem Internetanschluss zumindest den Haushalt eindeutig identifiziert, wenn der nicht randomisiert ist.
Desweiteren gehen feste IPs/Präfixe leider mit einem Whois Eintrag beim RIPE einher.
Also für Mutter, Oma usw. finde ich es schon ok, wenn sie das Präfix rotieren.

Leider bietet mein Anbieter auch auf Nachfrage kein festes Präfix, was etwas schade ist. Aber man will wohl sowas den Businesskunden teuer verkaufen.

Auf das ganze NAT Geschmarre oder NPT hab ich auch keine Lust. Also werde ich wohl IPv6 nutzen wozu man es geschaffen hat - Direkt Ende zu Ende.

JeGr:
> Allerdings muss man aber auch ganz ehrlich sagen, dass allein der Präfix bei einem Internetanschluss zumindest den Haushalt eindeutig identifiziert, wenn der nicht randomisiert ist.

Natürlich ist es eindeutig zu identifizieren - aber über den Provider. Der vergibt die IPs und Prefixe und entsprechend hat er auch die Whois Einträge. Man ist zwar per RIPE dazu angehalten, die Prefixe etc. einzutragen, allerdings auch nur wenn es über ein bestimmtes Kontingent hinaus geht. RIPE selbst hält die Provider dazu an, den Kunden /60 oder /56 zu vergeben. Nicht dynamisch. Und dazu müsste auch niemand WHOIS Einträge machen. Kann, muss aber nicht. Auch einzelne IP4 müssen nicht eingetragen werden, Subnetze à la /29 oder größer dann schon. Somit ist es einfach nur aus alter eingefahrener Sicht so. Unter der Hand hat mir einer der T-Com Techniker damals bei VDSL und Co schon gesagt, dass der ganze Zwangstrennungs-Schund (und überhaupt PPPoE) nur 2 Gründe hat. a) will man nicht, dass die Kunden (einfach) Sachen bei sich selbst hosten - das sollen sie gefälligst in der tollen Magenta Cloud machen! Und zum Zweiten sind intern ganze Abrechnungsstrukturen und Abteilungen auf dem ganzen PPP Kram gebaut, teils handgestrickt, die man nicht anfassen will. Also werden alte Strukturen einfach beibehalten, weil man es sich einfach macht. Gründe wie Privacy und Datenschutz sind vorgeschoben: der Einzige, der konkret die IP/Prefix zu Kundenzuweiseung hat ist der Provider. Und der muss - sofern nicht abrechnungstechnisch benötigt (was sie nicht werden) die Daten löschen. Somit hat man die Nachverfolgbarkeit nur dann, wenn man quasi ständig den Verkehr abhören würde und schaut, wo sich IP X einloggt. Ja, dann hat man diese Nachverfolgbarkeit. Aber: Heute ist das eh relativ egal. Wer sich Analysesysteme hinter Webseiten oder SEO Tools anschaut wird eh schon sehen, dass man auch mit rotierender IP/Prefixen heute recht gut bestimmen kann, wer wer ist im Internet. Da spielt die IP immer weniger eine Rolle als dass man Leute anhand von Klickpfaden, Verhalten, Cookies und anderer Datenspuren identifiziert. Und das geht oftmals sogar leichter als eine IP, für die man ggf. nen Richter und eine Anzeige braucht.

Sicher hätte das Vor- und Nachteile. Aber gerade bei IP6 und den darauf aufbauenden Mechanismen hat keiner damals damit gerechnet, dass die Prefixe im Ringelrein durchgerudert werden. SLAAC und Autokonfiguration, Route Announcements etc. brauchen Zeit. Und nach jedem Prefix Change dann Netzverlust zu haben, weil sich die IP6 Geräte nicht mehr finden und alle eine Zeit lang brauchen, das neue Prefix zu bekommen... das ist einfach ein Totalschaden. Wer sich heute anonym austoben will, klickt sich meist eh schnell ein VPN zusammen, den anderen wie der Mutter/Oma wärs sicher auch recht wurscht, ob ihre IP statisch ist oder nicht - die machen eh kaum was, was auffällig wäre.  :)

theq86:
Ja, was die ISPs da teilweise veranstalten ist schon unverständlich. Mein ISP hat vor kurzem viele Umstellungen vogenommen. Von heut auf morgen hatten plötzlich 90% der Kunden DS-Lite statt Full DualStack.

Navigation

[0] Message Index

[#] Next page