IPv6 Privacy Extensions

Status
Für weitere Antworten geschlossen.

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
133
Punkte für Reaktionen
1
Punkte
16
Hallo zusammen,

bin derzeit am Basteln einer Pi-hole-Lösung für mein internes Netzwerk. In diesem Zusammenhang befasse ich mich mal wieder mit der Thematik IPv6.
Bei meinen anderen Pis habe ich festgestellt, dass der Local Identifier mittels Privacy Extensions for Stateless Address Autoconfiguration in IPv6 zufällig und dynamisch ermittelt wird.
Auf der NAS hingegen wird dieser Local Identifier aus der Mac-Adresse generiert. Lediglich in der Mitte werden die Bytes ff:fe eingefügt, was dazu führt, dass dieser immer gleich bleibt und somit auch nach aussen hin kommuniziert wird.

Wie geht ihr mit diesem Thema um?
Gibt es eine Möglichkeit mit Bordmitteln "Privacy Extensions for Stateless Address Autoconfiguration" im DSM zu aktivieren, wie es bei anderen OS (bei mir testweise Debian Stretch) teilweise schon üblich ist?

Danke für eure Rückmeldungen.

Gruss
Frank
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.594
Punkte für Reaktionen
1.173
Punkte
254
Ich befasse mich zwar bisher nur am Rande mit ipv6, aber so weit ich weiß sind Privacy Extensions bei Servern eher unüblich bzw nicht erwünscht und in DSM auch nicht aktivierbar (so weit ich weiß). Es wäre ja schlichtweg ein riesen Nachteil, wenn deine DS dynamische IP's bekäme. Wie würdest du damit einen vernünftigen Fernzugriff realisieren?
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
1.948
Punkte für Reaktionen
556
Punkte
134
Es geht schon, allerdings nur mit manuellem Eingriff. Du müsstest die sysctl.conf anpassen.
Siehe z.B. diesen Artikel, der mir geholfen hat: Link

@c0smo: Die temporären Adressen werden vom BS, in diesem Falle DSM, für jede neue Verbindung erstellt. Es geht also in erster Linie um ausgehende Verbindungen Der Empfänger antwortet dann auch auf diese Adresse, wenn erforderlich.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.594
Punkte für Reaktionen
1.173
Punkte
254
Mir entzieht sich der Sinn und Zweck auf einem Server Privacy Extensions zu aktivieren. Man handelt sich damit nur Probleme ein, die durch wechselnde Interface Identifier entstehen. Ausserdem ist der Hauptaspekt Privacy Extensions zu aktivieren, nämlich die Anonymität im Netz zu gewährleisten, bei einem Server nahezu irrelevant. Bei Handys, PC's und allen anderen Geräten die sich im Netz bewegen ist das anders. Hier ist der "Trackingschutz" durchaus sinnvoll.
Im übrigen sind in den neuesten OS Versionen aller Betriebssysteme (Windows, Mac, Android, etc) die Privacy Extensions als Standard aktiviert. Ausgeschlossen sind die Serverversionen!

Ergänzend zu deinem Link, die Erweiterung, die dort nicht bedacht wurde und das ganze "fast" unbrauchbar macht. Allerdings weiß ich nicht ob davon auch DSM betroffen ist.

https://www.comconsult-research.de/ipv6-privacy-extensions/

Und noch ein bischen Bettlektüre, für die interessierten von euch ;)

https://www.elektronik-kompendium.de/sites/net/1601271.htm
 

Frank73

Benutzer
Mitglied seit
29. Jan 2018
Beiträge
133
Punkte für Reaktionen
1
Punkte
16
Vielen Dank euch beiden für eure Einschätzung und die Links. Habe mich heute mal noch etwas mehr in diese Thematik eingelesen und auch im Netz (mit unterschiedlichen Teilnetzen) getestet.
Wenn man mit IPv4 aufgewachsen ist, ist das Konstrukt IPv6 einerseits schon interessant, aber teilweise doch noch ein Buch mit 7 Siegeln :confused:
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.594
Punkte für Reaktionen
1.173
Punkte
254
Vor allem ein Buch das noch nicht zu Ende geschrieben wurde. Solange ipv4 im täglichen Gebrauch noch so präsent ist, braucht man sich als Privatanwender noch nicht viel Gedanken machen. Ausnahmen gibt es immer und werden sich mit Sicherheit auch häufen, dennoch ist der Umstieg in ein weltweites ipv6 Netz noch in weiter Ferne. Andere Länder sind mit Sicherheit schon weiter, Deutschland hinkt mal wieder hinterher. Ich für meinen Teil bin froh darüber, andererseits muss ich mir das Wissen darüber trotzdem aneignen, wenn auch vorerst nur aus beruflichen Gründen.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
1.948
Punkte für Reaktionen
556
Punkte
134
Vor allem ein Buch das noch nicht zu Ende geschrieben wurde.

Naja, immerhin ist das Buch schon seit über 15 Jahren auf dem Markt. Es ist bisher nur von zuwenigen gelesen worden.

Und es müssen sich immer mehr Privatanwender damit auseinander setzen, siehe DS-Lite. Immer mehr Provider vergeben in erster Linie IPv6 und tunneln IPv4 darüber.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat