IPV6 Verständnis-Frage / Basics

[aeschma]

Hallo zusammen,

ich habe mich bis jetzt erfolgreich um das Thema (IPV6) gedrückt und will auch um ehrlich zu sein mich weiterhin möglichst wenig mit IPV6 auseinandersetzen. Alle Netze die ich betreue laufen auf IPv4 (sowohl Intern als auch WAN seitig; eine Übersetzung nach IPv6 soll mir schön mein Provider machen) ...

Nun zu meiner Frage/ Beobachtung:
Auf meiner OPNSense ist IPV6 komplett an jedem Interface deaktiviert. Ich habe ein Gerät (IOT mit fast keinem Zugriff) bei welchem ich einen Hostnamen + IPv4 Adresse in Unbound unter Overrides eingetragen habe. Wenn ich die Adresse jedoch von meinem IPhone anpinge (gleiches Netz (via WLAN)) wird der namen in IPv6 aufgelöst und angepingt... Die IPv4 Namensauflösung funktioniert einwandfrei und andere Geräte können ohne Probleme über die IPv4 Adresse (und dem DNS Namen) mit dem IOT Gerät kommunizieren. Wie kann das sein? Tut sich das Gerät selber publizieren (wie mDNS?)? (Zur Info: In den Einstellungen unter WLAN sehe ich bei meinem Iphone nur die ,,richtige" IPv4 Adresse und den richtigen Nameserver ....)

Was ist das Default verhalten der OPNsense wenn IPv6 deaktiviert wurde? (IPv4 Firewall greift ja hier nicht. Wird alles geblockt in andere Netze? Gibt es überhaupt VLAN's und Subnetze bei IPv6?)

Wäre es sinnvoll IPv6 an den OPNSense Interfaces zu aktivieren und einfach alles zu blocken und somit IPv4 zu erzwingen? Meine Angst ist, das ein ,,Schatten-IPv6-Netzwerk" entsteht und Geräte kommunizieren welche nicht sollen, bzw. mein Sicherheitskonzept unterwandert wird ...

[mooh]

Falls die Auflösung zu ULAs gemeint ist, kannst du unbound davon abhalten die vom dhcp übernommenen Adressen zu lernen: Services: Unbound DNS: General: Do not register IPv6 Link-Local addresses

Ohne Angabe der Firewall Regeln und was mit ,,ipv6 deaktiviert" gemeint ist, ist es schwer bessere Hinweise zu geben. Ich nehme an Interfaces: Settings: Allow IPv6 ist nicht gesetzt?

Mir persönlich würde es ohnehin mehr Spaß machen mich in IPv6 einzuarbeiten und es zu nutzen, als die Zeit darauf zu verwenden es zu bekämpfen.

[aeschma]

Hallo mooh,

ja genau Interfaces -> Settings: Allow IPv6 ist nicht gesetzt und in Interfeces -> $Interface: IPv6 Configuration Type ist None bei jedem Interface. In Unbound ist die Option Enable DNS64 Support nicht gesetzt und die von dir erwähnte Option ,, Do not register IPv6 Link-Local addresses" gesetzt.

Entsprechend werden bei mir keine IPv6 Firewallregeln angezeigt (nur IPv4).

Bis jetzt habe ich leider keine guten Erfahrungen mit IPv6 gesammelt und habe noch genug zu lernen / zu Entdecken im ,,alten" IPv4. IPv6 hat bis jetzt meine Setups nur komplizierter gemacht und teilweise sogar zerschossen (Bin aber auch absoluter Laie was IPv6 angeht), weswegen ich mir angewöhnt habe IPv6 immer zu deaktivieren. Meine Angst ist nur das mein doch etwas komplexeres Setup durch IPv6 ad absurdum geführt wird und Sicherheitskonzepte wie z.B. VLAN's nicht ,,greifen".

[bimbar]

IPv6 kommt, Widerstand ist zwecklos.

Ich nehme mal an, das lief via mdns und link-local Adressen.

[KHE]

Guck mal da:
https://de.wikipedia.org/wiki/Neighbor_Discovery_Protocol

[robgnu]

Hallo,
für die, die sich mit IPv6 auseinandersetzen möchten, empfehle ich zum Start folgende Podcastfolge:
https://requestforcomments.de/archives/412

Ich kann es nur empfehlen, sich damit zu beschäftigen. Wer als ITler heute ohne IPv6 ankommt, wird an so vielen Dingen scheitern.

Gruß
Robert

[mooh]

Also wenn unbound (du benutzt doch unbound, oder?) sich nicht mehr um ipv6 Adressen kümmern soll, dann sehe ich nicht woher die Info noch kommen kann. Irgendwelche Caches vielleicht? Auf dem iPhone? Unbound neu gestartet? Ping weiß jedenfalls nichts von mDNS.

Falls Du auf Deinem iPhone sowas wie die HE Network Tools benutzt, kannst Du Dir auch anzeigen lassen, wie die Namensauflösung funktioniert.