IPv6 Verständnisfrage

Started by pleibling, March 13, 2024, 01:37:48 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3 4
User actions
March 18, 2024, 08:59:35 PM #15
Stimmt ja, müssen intern die /64 nutzen, ist ja das entsprechende Subnetz.

Der NGINX ist eins der gesamten Module von der Mailcow (kompletter Mailserver).

Ok, dann werde ich statt der Floating eben die Regeln einzeln erstellen.

Danke für deine Unterstützung :).
March 20, 2024, 12:59:24 PM #16
ich verstehe das geheule nicht "Buhu ich habe nur ein /64-netz bekommen ..."

Mal ganz ehrlich, macht euch mal klar was ein /64er Adressrahmen in Menge tatsächlich bedeutet!

Man kann super damit auskommen und auch die eine GW-Adresse die der Provider sich da nimmt, wird kaum einem ernsthafte schmerzen verursachen.

https://de.wikipedia.org/wiki/IPv6

"Adressaufbau von IPv6
IPv6-Adressen sind 128 Bit lang (IPv4: 32 Bit). Die ersten 64 Bit bilden das sogenannte Präfix, die letzten 64 Bit bilden bis auf Sonderfälle einen für die Netzwerkschnittstelle (englisch network interface) eindeutigen Interface-Identifier. Eine Netzwerkschnittstelle kann unter mehreren IP-Adressen erreichbar sein; in der Regel ist sie dies mittels ihrer link-lokalen Adresse und einer global eindeutigen Adresse. Derselbe Interface-Identifier kann damit Teil mehrerer IPv6-Adressen sein, welche mit verschiedenen Präfixen auf dieselbe Netzwerkschnittstelle gebunden sind. Insbesondere gilt dies auch für Präfixe möglicherweise unterschiedlicher Internetanbieter; dies vereinfacht Multihoming-Verfahren.

Da die Erzeugung des Interface-Identifiers aus der global eindeutigen MAC-Adresse die Nachverfolgung von Benutzern ermöglicht, wurden die Privacy-Extensions (PEX, RFC 4941[16]) entwickelt, um diese permanente Kopplung der Benutzeridentität an die IPv6-Adressen aufzuheben. Indem der Interface-Identifier zufällig generiert und regelmäßig gewechselt wird, soll ein Teil der Anonymität von IPv4 wiederhergestellt werden.

Da im Privatbereich in der IPv6-Adresse aber sowohl der Interface-Identifier als auch das Präfix allein recht sicher auf einen Nutzer schließen lassen können, ist aus Datenschutzgründen in Verbindung mit den Privacy Extensions ein vom Provider dynamisch zugewiesenes, z. B. täglich wechselndes Präfix wünschenswert. (Mit einer statischen Adresszuteilung geht in der Regel insbesondere ein Eintrag in der öffentlichen Whois-Datenbank einher.) Dabei ist es wie oben beschrieben grundsätzlich möglich, auf derselben Netzwerkschnittstelle sowohl IPv6-Adressen aus dynamischen als auch aus fest zugewiesenen Präfixen parallel zu verwenden. In Deutschland hat der Deutsche IPv6-Rat Datenschutzleitlinien formuliert, die auch eine dynamische Zuweisung von IPv6-Präfixen vorsehen.[17]"

Also freut euch doch wenn Ihr einen festen Präfix mir 2^64 Adressen bekommt.

Denjenigen der das schafft die sinnvoll auf zu brauchen, ohne einen Cloud-Service zu betreiben, dem geb ich gern einen Kaffee aus.

 
VMW / PMX / PFS / OPS
March 20, 2024, 01:16:23 PM #17
@trixter Es geht doch nicht um die Anzahl der Adressen, sondern die der Subnetze sowie um die Art des Routings. Jedes (V)LAN benötigt prinzipbedingt ein eigenes /64. Hast Du z. B. ein "Standard-Netz", ein Gäste-Netz, eine DMZ und ein VPN-Interface für Road Warriors, dann benötigst Du schon 4x /64, also ein /62.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
March 20, 2024, 01:25:46 PM #18
... oder anders gesagt:
Wenn Du nur ein /64 bekommst, dann kann die Sense IPv6 nur an ihrem WAN vollumfänglich nutzen, das / die LAN / anderen Subnetze können keine GUA beziehen und daher nur ULA mit NAT nutzen, womit diese Geräte dann auch nicht direkt aus dem WAN erreichbar gemacht werden können (falls man sowas vor hat).
i am not an expert... just trying to help...
March 20, 2024, 01:45:01 PM #19
Quote from: tiermutter on March 20, 2024, 01:25:46 PM
... oder anders gesagt:
Wenn Du nur ein /64 bekommst, dann kann die Sense IPv6 nur an ihrem WAN vollumfänglich nutzen, das / die LAN / anderen Subnetze können keine GUA beziehen und daher nur ULA mit NAT nutzen, womit diese Geräte dann auch nicht direkt aus dem WAN erreichbar gemacht werden können (falls man sowas vor hat).

Ich rate dazu, ULA zu vergessen, da ULA erst nach IPv4 kommt und damit funktional nutzlos ist.

Ein /64 vom Provider zu bekommen, bedeutet ganz einfach, IPv6 nicht nutzen zu können (außer im Kontext Fritzbox und nur 1 Netz).
March 20, 2024, 01:51:40 PM #20
Deshalb wollen ja auch alle was besseres als ein /64  :P
i am not an expert... just trying to help...
March 20, 2024, 02:27:50 PM #21
Die Empfehlungen vom RIPE sind da eindeutig. Endkunden, selbst Endverbraucher, sollten mindestens ein /56 oder sogar ein /48 bekommen. Wenn Provider das nicht raffen, dann haben sie IPv6 nicht verstanden. Die Telekom liefert mit jedem Anschluss ein /56, bei Business-Anschlüssen statisch. Und so teuer sind die nicht mal, für Freelancer z.B. auf jeden Fall erschwinglich.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 20, 2024, 04:10:50 PM #22
Quote from: tiermutter on March 20, 2024, 01:25:46 PM
... oder anders gesagt:
womit diese Geräte dann auch nicht direkt aus dem WAN erreichbar gemacht werden können (falls man sowas vor hat).

Also wollt ihr ernsthaft euren Smarten Kühlschrank plain ins Internet stellen - damit jeder sehen kann, dass eure Milch abgelaufen ist ?

Schön wenn einem die Jungs aus Russland dann neue bestellen und per Ransomware die Rechnung schicken.

VMW / PMX / PFS / OPS
March 20, 2024, 04:23:27 PM #23
Dafür ist doch eine Firewall vor dem Kühlschrank. Natürlich sind die Adressen aus dem Internet nicht erreichbar. Dazu braucht man aber kein NAT.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 20, 2024, 05:38:21 PM #24
Es geht ja nicht darum dass man seinen Kühlschrank oder anderen Schrott im WAN exponieren möchte, da reicht ja schon ein kleiner service den man bereitstellen will, und wenn es nur eine nextcloud Instanz ist damit Freunde und Familie ohne VPN auf Fotos zugreifen können. Gibt ja etliche sinnvolle Szenarien...
i am not an expert... just trying to help...
March 20, 2024, 10:36:12 PM #25 Last Edit: March 20, 2024, 10:43:31 PM by pleibling
So, bin mal wieder ein wenig zum testen gekommen - ich habe nun erst mal ein Testserver aufgesetzt, da meine "Mailcow" schon produktiv ist (migriere von Sophos zur OPNsense und von Exchange Online zur Mailcow).

Denn neuen Netzwerkplan habe ich mal angehangen, weitere Konfigurationen der OPNsense und des Testsystems habe ich ebenfalls angehangen.

Der Status ist, das ich nun von Extern über einen Online Ping6 das WAN Interface (2a00:f70:abcd:135:246) erfolgreich pingen kann.

Intern kann ich schon vom Testsystem (2a00:f70:abcd:70::77) erfolgreich zum LAN Interface ping (2a00:f70:abcd:70:246) pingen. Jedoch weder von intern nach extern und umgekehrt.

Ich vermute mal, das es nicht an den Firewallregeln liegt - sondern eher das das Routing (Gateways?) noch nicht richtig funktioniert.

Details habe ich Screenshots angehangen, vielleicht könntet ihr mir ein wenig weiterhelfen - danke vielmals für eure Unterstützung :).
March 20, 2024, 10:37:24 PM #26
Firewall Teil 1
March 20, 2024, 10:37:52 PM #27
Firewall Teil 2
March 20, 2024, 10:38:38 PM #28
Firewall Teil 3
March 20, 2024, 10:39:10 PM #29
Firewall Teil 4
Print
Go Up Pages 1 2 3 4
User actions