Eigener DNS bei einer IPv6 Konfiguration

[meyergru]

Das wird bei der Verschleierung der IPv6 kaum helfen, wenn die ersten 64 Bits der nach außen sichtbaren IPv6 immer die selben sind.

Trotzdem kaufe ich das Privacy-Argument nicht wirklich, weil die IP schon länger nicht mehr das entscheidende Kriterium ist, beispielsweise eine spezifische Browser-Instanz zu identifizieren, siehe hier (Mobile Device ID) oder hier (Browser fingerprinting), von Cookies mal ganz zu schweigen. Schließlich ist die IPv4 ja auch meist volatil.

Ich stimme @Maurice zu, ich hätte trotz Privacy-Erwägungen lieber feste IPs - insbesondere bei IPv6.

[n3]

Welchen Vorteil siehst du bei einer festen IP?

[Patrick M. Hausen]

Du kannst deine internen Interfaces alle statisch konfigurieren, Router Advertisments/SLAAC anknipsen und es wird einfach magisch alles funktionieren ohne weitere Verrenkungen.

Genau so ist IPv6 gedacht. Den Erfindern kam nicht im Traum in den Sinn, dass jemand ein Prefix auf einer Leitung periodisch durchrotieren würde. Es ist einfach komplett blödsinnig.

Wenn man sich die frühe Literatur über IPng wie das damals noch hieß durchliest, dann war ein automatischer Prefixwechsel natürlich geplant. Aber in den Beispielszenarien findet man dann z.B. den Wechsel von Internet-Anbieter A zu Internet-Anbieter B. Man hängt beide Uplink-Router parallel ins Netz, wobei man dem neuen eine niedrigere Priorität gibt. Wenn die ersten Tests gut aussehen, vertauscht man die Prioritäten. Am nächsten Tag schaltet man den alten Router ab. Dazu ist das gedacht ... nicht dazu, dass der ISP dir alle 24h ein neues Prefix rein drückt.

Grüße
Patrick

[meyergru]

Richtig.

Beispielsweise kann man mit dynamischen IPv6 nur sehr schwer DNS-Eintragungen machen - dazu braucht es ja bekannte IPs. Meist wird dann empfohlen, für den internen DNS ULAs zu verwenden, was aber wiederum bei Dual Stack nicht funktioniert, weil die IPv4 höher priorisiert werden als ULA IPv6, wie bereits dargestellt.

Die Identifizierbarkeit eines Clients (z.B. in Firewall-Logs) anhand der IPv6 könnte man mittels DHCPv6 auch leicht erreichen. Ist mit dynamischen IPv6 de facto ausgeschlossen, weil die Leases mit DHCPv6 ggf. zu lange gültig wären. Das ist ja der Grund, wieso ich im IPv6 HowTo SLAAC-only vorschlage. Nur geht damit wieder keine DNS-Registrierung und die IPs sind quasi zufällig.

Selbst Firewall-Regeln für IPv6 kann man nur mit zwei Tricks machen: Entweder dynamische IPv6 Aliases, die auf bekannten EUI-64 basieren (was wie bereits diskutiert bei Windows, IOS und Android nur mit speziellen Einstellungen geht, wenn man SLAAC macht) oder, man macht Firewall-Regeln für IPv6 auf Basis der MAC...

Von Docker mit IPv6 und dynamischen Präfixen ganz zu schweigen. Wer mal versucht hat, mit Uptime Kuma eine IPv6 zu überwachen, weiß, was ich meine: geht nur per Proxy.

Alles blöde Ausweichlösungen, um nicht vorhandene statische Präfixe irgendwie zu umschiffen - und funktionieren tut es nur sehr bedingt. Mit statischen IPv6-Präfixen und DHCPv6 wäre das alles kein Problem. Dann rückt - bis auf LAN-Serverdienste (die DS-fähig sein sollten) und eine notwendige Brückenlösung für IPv4 im Internet - sogar IPv6-only im LAN in Reichweite.