IPv6: Hostnamen auflösen? RA vs. DHCPv6? Masquerading?

  • Ich bastle seit ein paar Tagen an einem Router mit Arch Linux ARM. Der Versuchsaufbau hängt im Moment hinter der Fritzbox, soll diese aber in nächster Zeit vollständig ersetzen.


    Ich benutze dafür Shoreline Firewall und DNSMasq
    Das funktioniert für IPv4 auch sehr gut.


    Unabhängig davon, dass mir die Telekom kein IPv6 Prefix zuweist, wollte ich mich trotzdem mal damit beschäftigen. Irgendwie kommt mir das ganze aber noch nicht so richtig ausgereift vor.
    Viele Dinge sind nicht endgültig geklärt.


    Das fängt mit NAT/Masquerading an. Eigentlich braucht man es nicht, trotzdem gibt es im Internet viele Meinungen, die einem erklären, dass Masquerading auch bei IPv6 unerlässlich ist.


    Dann wäre da das Chaos mit DHCPv6 und Router Advertising. Kurze Recherche zeigt, dass Android kein DHCPv6 kann und ich finde das Konzept von RA auch spannend.
    Mein DNSMasq bekomme ich darüber wohl mit RDNSS an die Hosts verteilt.
    Wie ich allerdings dem DNSMasq die Hostnamen mitgeteilt bekomme, verstehe ich nicht.


    Es gibt zwar eine ra-names Option, die geht aber einen Umweg über IPv4 und versucht dann über die MAC Adresse auf die IPv6 IP zu schließen.
    Das geht mit Windows grundsätzlich schief und auf allen anderen Geräten, an denen die Privacy Extensions aktiv sind ebenfalls. Und wenn kein IPv4 Netz mehr betrieben wird ist das auch nicht mehr möglich.



    Ich bräuchte mal jemanden, der etwas Ordnung in mein Chaos bringt. Im Internet widerspricht sich irgendwie alles.
    Vielen Dank


    Gruß
    Christopher

  • Eigentlich braucht man es nicht, trotzdem gibt es im Internet viele Meinungen, die einem erklären, dass Masquerading auch bei IPv6 unerlässlich ist.


    Aha.


    Ich bräuchte mal jemanden, der etwas Ordnung in mein Chaos bringt. Im Internet widerspricht sich irgendwie alles.


    Mit Deinem Worten:


    Hätte hier ja mit mehr Reaktionen gerechnet.


    überlasse ich das Feld (momentan) den "Anderen". ;-)


    Albert

  • Als letzten Strohhalm sozusagen habe ich den DHCP im DNSMasq deaktiviert und stattdessen den dhcpd von ISC aktiviert.
    Dieser soll die Hostnamen an eine BIND9 Instanz weiterleiten können (RFC 2136).


    Soweit bin ich aber gar nicht gekommen. Im lease-File für IPv4 stehen wieder die Hostnamen drin.
    Im Lease-File für IPv6 stehen nur Server DUIDs, aber keine Hostnamen.


    So wie es aussieht hat hier im VDR-Portal keine eine Ahnung von IPv6. Da werde ich mir wohl mal ein anderes Forum suchen müssen.

  • Hi,


    damit Du nicht verzweifelst, NAT und Konsorten braucht es bei IPv6 nicht. War ein Krücke für ipv4 und aus irgendwelchen Gründen halten es manche für ein Sicherheitsfeature ist es aber nicht und war es nie. Es gibt NAt für IPv6 aber das ist ein schlimmes Elend und man will das nicht.


    Und eigentlich will man auch kein DHCPv6 da RA das schön elegant macht, aber kann mit Windows Systemen im Netz manchmal hilfreich sein weil die die privacy extensions anders machen als Unix Kisten und dnsmasq das address guessing dann nicht hinbekommt.



    In der dnsmasq config willst Du sowas wie hier:



    Kann gerade nicht testen, aber ich glaube was Du suchst ist primär der Eintrag ra-names der die hostnamen in den dnsmasq dns einträgt.


    bye
    Sven


    Link: Richtig fragen

  • Quote

    ra-names enables a mode which gives DNS names to dual-stack hosts which do SLAAC for IPv6. Dnsmasq uses the host's IPv4 lease to derive the name, network segment and MAC address and assumes that the host will also have an IPv6 address calculated using the SLAAC algorithm, on the same network segment. The address is pinged, and if a reply is received, an AAAA record is added to the DNS for this IPv6 address. Note that this is only happens for directly-connected networks, (not one doing DHCP via a relay) and it will not work if a host is using privacy extensions. ra-names can be combined with ra-stateless and slaac.


    Danke erstmal, dass überhaupt jemand antwortet.


    Leider ist das genau das, was ich oben schon geschrieben habe.
    ra-names tut etwas in der Art. Das funktioniert aber mit Windows grundsätzlich nicht und mit allen anderen Systemen nur, wenn Privacy Extensions nicht aktiviert ist.
    Außerdem ist ein IPv4 Lease vorausgesetzt. Was ist, wenn ich kein IPv4 mehr betreiben möchte?


    Edit: Um es vielleicht etwas klarer ausdrücken. Wenn kein lokales IPv4 Netz betrieben wird, wie bekommen die Clients die Hostnamen und IPs der anderen Geräte im Netzwerk genannt? So, dass ich wieder mit "ping beliebiegerHostname" eine Antwort bekommen kann.

  • Na ja von ipv6 only sind wir ausserhalb von Laborumgebungen glaube ich noch ein paar Jahre entfernt. Hab mal in meinen Bookmarks gesucht vielleicht hilft das hier weiter. Muss mal sehen ob ich heute abend zeit hab dann guck ich nochmal genauer. Das Problem stellt sich hier nicht da ich einen Windows DNS laufen habe und die Windows clients die Host Namen da registrieren, die Linux Büchsen haben alle feste Adressen ohne privacy extensions. Von daher ist das alles geschmeidig hier...aber ich sehe Dein Problem.


    bye
    Sven


    Link: Richtig fragen

  • Ach ja und das IWF dresden hat sich selber einen dhcp gebaut der das angeblich alles kann...


    dhcpy6d comes with the following features:


    * identifies clients by MAC address, DUID or hostname
    * generates addresses randomly, by MAC address, by range or by given ID
    * filters clients by MAC, DUID or hostname
    * assigns multiple addresses per client
    * allows one to organize clients in different classes
    * stores leases in MySQL or SQLite database
    * client information can be retrieved from database or textfile
    * dynamically updates DNS (Bind)
    * supports rapid commit
    * listens on multiple interfaces


    Link: Richtig fragen

  • Wenn kein lokales IPv4 Netz betrieben wird...


    Wie kontaktierst du dann IPv4-only-Dienste im Internet?


    IPv6 würde ich auch gerne verstehen, insbesondere, da ich seit ein paar Monaten auch endlich den passenden Anschluss habe. Aber irgendwie ist das total kompliziert. IPv4 war irgendwie verständlicher. :)


    Lars.

  • Hi Lars,


    ist es nicht, man ist nur ipv4 so sehr gewohnt das man gerne in diverse Fallen tappt. :D


    Die Vorteile überwiegen deutlich z.B.:
    - Das Prefix ändert sich und man hat das Netzwerk stateless am laufen -> boom alle hosts bekommen/generieren die neue Adresse in Sekunden und es sind alles öffentliche Adressen
    - Oder das Elend mit NAT und portforwarding...nicht mehr notwendig. Soll ein Host aus dem Internet erreichbar sein öffnet man die Firewall entsprechend und fertig.


    Das Problem ist das wir alle mit dem NATing und den privaten Adressen daran gewöhnt sind nur auf unser Netz zu gucken und das Internet nach dem Router ist die Wolke. Mit ipv6 wird deutlich das unsere Rechner eben auch Teil der Wolke sind...sind sie im Prinzip auch bei ipv4 aber es wird immer so getan als ob der Router eine klare Grenze wäre. IP Telefonie oder VPN oder ftp ist mit NAT ein riesiger Schmerz, mit öffentlichen Adressen nur eine Frage die Firewall ordentlich zu konfigurieren, kein NAT Traversal oder andere Hilfskonstrukte die Schwächen von anderen Hilfskonstrukten umschiffen.


    Als Einstimmung zum Thema kann ich diesen Podcast empfehlen.


    bye
    Sven


    Link: Richtig fragen

  • mini73 : Da das erstmal nur ein "Gedankenexperiment" ist, habe ich die einfach nicht beachtet.


    Aber man könnte für diese Dienste einen NAT64 betreiben. Das wäre dann eine Kombination aus Tayga und Totd


    Edit: Mein Grundlagenwissen zu IPv6 stammt aus dieser Youtube-Playlist: https://www.youtube.com/playli…7df23GcgGJ-nPbPnIm01M9eEm
    Nur wie man hier im Thread eben sieht, habe ich scheinbar ziemlich schnell die falschen Fragen gestellt :P

  • Hi,


    darauf wird es irgendwann rauslaufen und zwar im großen Stil. Wir sehen es ja schon in den Mobilfunknetzen. Da wird fleißig carrier grade nat eingesetzt u.a. auch weil die Adressen aus sind. O.k. nicht bei der Telekom, die haben genug, aber alle anderen haben jetzt schon Probleme. Oder in den Kabelnetzen. Da bekommst Du als Privatkunde teilweise schon IPv6 und nur kaputtes IPv4 weil die erst sehr spät in das Interdingens eingestiegen sind. Oder wenn man mal so guckt, vor ein paar Jahren haben feste IP Adressen bei den Providern manchmal nur einmalig was gekostet oder wenn dann ein paar Euro im Monat. Neulich gesehen, bei UnityMedia wollen sie für 4 IPv4 adressen 25€ pro Monat bei Geschäftskunden.


    Wenn man irgendwas beruflich mit IT zu tun hat ist es längst Zeit sich mit ipv6 auseinander zu setzen. Apple schreibt es mittlerweile bei der APP entwicklung schon vor und da wird in der nahen Zukunft noch mehr kommen.


    bye
    Sven


    Link: Richtig fragen

  • Sorry fürs hijacken des Threads. Ich habe so absolut keine Ahnung von dem Thema. Habe mal bei meine Fritzbox ipv6 angeschaltet und jetzt haben alle meine Rechner 5 ipv6 Addressen, hätte denn eine nicht gereicht?


    Gerald


    HP Proliant MicroServer Gen8, Xeon E3-1230, 12 GB RAM, 3xWD red 2TB im RAID 5, 2xSundtek MediaTV Home DVB-C/T, L4M TWIN-C/T, Ubuntu Server 14.04.1, Plex Media Server
    Samsung UE55H6470

  • Noe, eine reicht nicht. wikipedia
    * link local
    * multicast(s)
    und dann werden die Adressen auch dynamisch getauscht und die alte "bleibt noch ein bisschen da".


    M.E. hoerenswerter Podcast dazu: CRE


    uwe


    edit: zweite URL ohne Text

    server: yavdr trusty testing, 2 * L5420, 32GB, 64TB RAID6 an OctopusNet (DVBS2- 8 ) + minisatip@dsi400 (DVBS2- 4 )
    frontends: kodi und xine

  • Hi,


    das ist durchaus normal.


    1. Eine link local fe80:: adresse, ist nur für Kommunikation im Netzwerk Segment
    2. eine uniqe local address fd:: , ist so ähnlich wie wie die privaten ipv4 Adressen z.B. 192.168.0.0/24
    3. eine öffentliche vom provider prefix und der mac adresse abgeleitet
    4. mindestens eine vom provider prefix abgteleitet und gewürfelte extension.


    Wenn Du eine Verbindung auf einer Adresse die mit privacy extension erzeugt wurde offen hast bleibt diese solange bestehen bis die Verbindung geschlossen wird.


    5. Für neue Verbindungen wird dann nach abgelaufenen Zeitraum eine neue Adresse ausgewürfelt und benutzt.


    Können auch noch mehr werden, macht aber nichts.


    bye
    Sven


    Link: Richtig fragen

  • Die Grundbegriffe hab ich irgendwann mal verstanden, d.h. dann aber auch, dass man ein IPv6 Netz ohne DNS eigentlich nicht ernsthaft betreiben kann, oder? Man muss ja schon ein wenig raten, welche der Adressen man von außen benutzen kann.


    Lars

  • Also ich weiß, dass die Telekom "Router Advertisements" verschickt. Da sollten die DNS-Infos eigentlich mit drin stehen.
    Und um von außen drauf zu kommen muss man auch nicht raten. Wenn ich das richtig verstanden habe, kommt man von außen auf alle IPs außer die Link Local Address und den optionalen Unique Local Addresses
    Oder anders ausgedrückt, alle IPs die mit dem vom Provider zugewiesenen Prefix anfangen, sind von außen verfügbar. (Wenn die Firewall das zulässt)


    Im aufgeräumtesten Fall hat man ja auch nur 2 IPs. Auch wenn man SLAAC und DHCPv6 parallel betreiben kann, würde ich mich für eines der beiden Systeme entscheiden.


    Den Grund für Unique Local Adresses habe ich auch noch nicht verstanden. Man müsste doch über die Link Local Address im lokalen Netzwerk sprechen können. Ich teste das mal.
    Edit: OK. Direkt mit einer Link Local Address sprechen ist nicht möglich. Die ist also nur für die Kommunikation zum Router hin. Also zum IP anmelden (SLAAC) und/oder zum IP abfragen (DHCPv6)

  • Wenn ich das richtig verstanden habe, kommt man von außen auf alle IPs


    Wenn man sie weiß.


    Ich sehe gerade, dass mir meine Fritzbox zwar ihre IPv6-Adresse per E-Mail mitteilt, die passt aber nicht zum zugeteilten Präfix.
    Das meinte ich, dass man nun irgendwo einen (dyn)DNS betreiben muss, damit man seine eigenen Adressen erfährt. Wäre ja auch zu einfach gewesen, wenn ich nur den vorderen Teil hätte austauschen müssen... :)


    Lars.
    P.S.: Ich bin bei 1&1, ist vermutlich aber auch ein Telekom-Anschluss irgendwie.

  • Naja. Würde einem die Telekom einen festen Prefix geben, müsste man den nur in eine beliebige Domain als AAAA-Record eintragen.
    Aber die Telekom kommt ja mal wieder auf dumme Ideen und vergibt den Prefix bei jedem Reconnect neu.


    Merken von IPs ist bei IPv6 vorbei. Da man sowieso schon den Prefix hat. Und der ist schwer zu merken.


    Kürzest mögliche IP wäre dann in etwa sowas 1234:abcd:5678::1. Mit dem Unterschied, dass man vom Provider selten bis niemals einen so einfach merkbaren Prefix bekommt.


    Ich werde die Tage mal bei der Telekom anrufen, dass ich auch mal einen IPv6 Prefix bekomme. Wenn man nur lokal mit IPv6 basteln kann, macht das irgendwie nur halb so viel Spaß

  • Mir würde es schon reichen, wenn die Fritzbox den zugeteilten Präfix in die E-Mail schreibt. Das müsste doch eigentlich machbar sein.


    Lars.