Eigener DNS bei einer IPv6 Konfiguration

Started by n3, January 10, 2026, 06:35:01 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3
User actions
January 12, 2026, 08:34:47 AM #30
Das wird bei der Verschleierung der IPv6 kaum helfen, wenn die ersten 64 Bits der nach außen sichtbaren IPv6 immer die selben sind.

Trotzdem kaufe ich das Privacy-Argument nicht wirklich, weil die IP schon länger nicht mehr das entscheidende Kriterium ist, beispielsweise eine spezifische Browser-Instanz zu identifizieren, siehe hier (Mobile Device ID) oder hier (Browser fingerprinting), von Cookies mal ganz zu schweigen. Schließlich ist die IPv4 ja auch meist volatil.

Ich stimme @Maurice zu, ich hätte trotz Privacy-Erwägungen lieber feste IPs - insbesondere bei IPv6.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
January 12, 2026, 08:50:45 PM #31
Welchen Vorteil siehst du bei einer festen IP?
January 12, 2026, 09:15:53 PM #32 Last Edit: January 12, 2026, 10:05:45 PM by Patrick M. Hausen
Du kannst deine internen Interfaces alle statisch konfigurieren, Router Advertisments/SLAAC anknipsen und es wird einfach magisch alles funktionieren ohne weitere Verrenkungen.

Genau so ist IPv6 gedacht. Den Erfindern kam nicht im Traum in den Sinn, dass jemand ein Prefix auf einer Leitung periodisch durchrotieren würde. Es ist einfach komplett blödsinnig.

Wenn man sich die frühe Literatur über IPng wie das damals noch hieß durchliest, dann war ein automatischer Prefixwechsel natürlich geplant. Aber in den Beispielszenarien findet man dann z.B. den Wechsel von Internet-Anbieter A zu Internet-Anbieter B. Man hängt beide Uplink-Router parallel ins Netz, wobei man dem neuen eine niedrigere Priorität gibt. Wenn die ersten Tests gut aussehen, vertauscht man die Prioritäten. Am nächsten Tag schaltet man den alten Router ab. Dazu ist das gedacht ... nicht dazu, dass der ISP dir alle 24h ein neues Prefix rein drückt.

Grüße
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 12, 2026, 09:53:19 PM #33 Last Edit: January 12, 2026, 10:04:58 PM by meyergru
Richtig.

Beispielsweise kann man mit dynamischen IPv6 nur sehr schwer DNS-Eintragungen machen - dazu braucht es ja bekannte IPs. Meist wird dann empfohlen, für den internen DNS ULAs zu verwenden, was aber wiederum bei Dual Stack nicht funktioniert, weil die IPv4 höher priorisiert werden als ULA IPv6, wie bereits dargestellt.

Die Identifizierbarkeit eines Clients (z.B. in Firewall-Logs) anhand der IPv6 könnte man mittels DHCPv6 auch leicht erreichen. Ist mit dynamischen IPv6 de facto ausgeschlossen, weil die Leases mit DHCPv6 ggf. zu lange gültig wären. Das ist ja der Grund, wieso ich im IPv6 HowTo SLAAC-only vorschlage. Nur geht damit wieder keine DNS-Registrierung und die IPs sind quasi zufällig.

Selbst Firewall-Regeln für IPv6 kann man nur mit zwei Tricks machen: Entweder dynamische IPv6 Aliases, die auf bekannten EUI-64 basieren (was wie bereits diskutiert bei Windows, IOS und Android nur mit speziellen Einstellungen geht, wenn man SLAAC macht) oder, man macht Firewall-Regeln für IPv6 auf Basis der MAC...

Von Docker mit IPv6 und dynamischen Präfixen ganz zu schweigen. Wer mal versucht hat, mit Uptime Kuma eine IPv6 zu überwachen, weiß, was ich meine: geht nur per Proxy.

Alles blöde Ausweichlösungen, um nicht vorhandene statische Präfixe irgendwie zu umschiffen - und funktionieren tut es nur sehr bedingt. Mit statischen IPv6-Präfixen und DHCPv6 wäre das alles kein Problem. Dann rückt - bis auf LAN-Serverdienste (die DS-fähig sein sollten) und eine notwendige Brückenlösung für IPv4 im Internet - sogar IPv6-only im LAN in Reichweite.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Today at 02:10:20 PM #34
Quote from: meyergru on January 12, 2026, 09:53:19 PMweil die IPv4 höher priorisiert werden als ULA IPv6, wie bereits dargestellt.

Das war mir bisher tatsächlich neu, danke dafür!
Today at 02:16:39 PM #35
Quote from: s.meier68 on Today at 02:10:20 PM
Quote from: meyergru on January 12, 2026, 09:53:19 PMweil die IPv4 höher priorisiert werden als ULA IPv6, wie bereits dargestellt.

Das war mir bisher tatsächlich neu, danke dafür!

Da gehts aber nur um die DNS Auflösung, wenn ein Name IPv6 GUA, IPV4 und IPv6 ULA hat, dann wird der Name in der Priorität aufgelöst bzw. vom Client in der Priorität benutzt.
Ist aber für DNS Infrastruktur kein Problem, DNS Server werden dem Client per IP mitgeteilt, dementsprechend ist IPv6 ULA zumindest dafür eine valide Lösung.
Today at 03:08:57 PM #36
Dafür bräuchte es überhaupt keine ULA, die LL-Adresse würde ja genauso funktionieren, genauso wie für das Gateway. Mal ganz abgesehen davon, dass der DNS-Server genauso gut per IPv4 genutzt / adressiert werden könnte - aber falls sowohl IPv4 als auch IPv6 angegeben werden, ist die Frage, welcher Server dann genutzt wird, undefiniert. All das gilt für Dual-Stack.

ULAs werden normalerweise nicht wegen der Angabe des DNS-Servers, sondern in dem Bestreben genutzt, bei dynamischen IPv6 Präfixen und gewünschtem weitgehenden Verzicht auf (legacy) IPv4 eine DNS-Eintragung vornehmen zu können - weil das mit den (dynamischen) GUAs eben nicht geht. Meine Bemerkung wies lediglich darauf hin, dass genau das bei Dual-Stack trotzdem nicht funktioniert, weil IPv6 ULAs bei gleichzeitiger Verfügbarkeit von IPv4 für DNS-Einträge aufgrund der geringeren Priorisierung gar nicht genutzt werden (viele denken, IPv6 würde "immer" vorgezogen - dem ist nicht so).

Kurz gesagt: Die Verwendung von ULA wird bei dynamischen IPv6-Präfixen immer als "Lösung" angepriesen, funktioniert aber bei Dual-Stack nicht, sondern nur mit IPv6-only.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Today at 03:14:17 PM #37
Sehe ich genauso :) . Ich benutze auch selbst keine ULAs mehr, IPv4 tuts genausogut.
Print
Go Up Pages 1 2 3
User actions