IPv6 – ist es sicher, es einfach zu aktivieren? Wie macht man es richtig?

WMDK

WMDK

Legende
Thread Starter
Mitglied seit
04.12.2003
Beiträge
3.950
Ort
NRW (Münsterland)
Hey Leute :)

Ich habe eine Frage zum Thema IPv6. Oder besser gesagt... ein paar Fragen :d

Fangen wir mal an...
Ich habe nun seit heute Glasfaser von "Deutsche Glasfaser" und nutze eine Fritzbox 7490 als Router. Die Verbindung klappt auch soweit, Internet läuft, alles schnell, alles gut.

ABER jetzt hat die Fritzbox mit dem DG-Profil von sich aus einfach IPv6 aktiviert und plötzlich hatten einige meiner Netzwerkgeräte auch zusätzlich IPv6 Adressen. Jetzt habe ich von einem Freund gehört, dass alle V6 Adressen global direkt erreichbar sind, sprich kein NAT mehr statt findet. Bedeutet das nun, dass alle meine Hosts von der Fritzbox mal eben als quasi-DMZ ins Netz gestellt werden? Das wäre mal mega dreist, denn ich würde gerne weiterhin entscheiden ob ich was nach außen freigebe. Bisher war z.B. VPN von aussen erreichbar und nur VPN. Wenn jetzt alle Geräte fröhlich im Netz stehen und die Fritzbox auch nichts mehr filtert, wäre das ja der Gau.

Also wie verhält es sich mit den Rechnern im Netzwerk, die dann auch IPv6 Adressen haben. Wie ist euer Sicherheitskonzept?


Zweitens...
Bisher konnte ich ganz easy via DynDNS von außen eine VPN Verbindung in lokale Netz herstellen. Das geht nun nicht mehr, denn die IPv4, die von der Fritzbox ausgelesen wird ist nicht die reale Adresse sondern nur die des Hausübergangspunktes wenn ich das richtig verstanden habe. Aber auch mit der IP, die wasistmeineip.de anzeigt funktionieren Portweiterleitungen im v4 Adressbereich nicht. Wie mache ich es am besten und sichersten, dass ich wieder VPN Access habe?


Drittens...
Ich überlege, ob es Sinn macht, ein reines Firewall / Filtersystem hinter die Fritzbox zu hängen, mit welchem ich den Zugriff optimal überwachen und verwalten kann. Welche Softwarelösungen könnt ihr empfehlen und vor allem, auch welcher Hardware kann man das kostengünstig realisieren?

Danke schonmal!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Du kannst beruhigt sein. Die Fritzbox enthält eine Firewall. Um von außen erreichbar zu sein, musst du Rechner und Protokolle explizit freigegeben.
Dyndns gibt es auch für IPv6. Da du jedem Rechner eine eigene Adresse geben kannst bzw. musst, empfehle ich dir dich mit myfritz auseinanderzusetzen.
Eine Firewall hinter der Fritzbox ist nur in wenigen bestimmten Konfigurationen sinnvoll, im Normalfall aber überflüssiger Overkill.
 
WMDK schrieb:
Jetzt habe ich von einem Freund gehört, dass alle V6 Adressen global direkt erreichbar sind, sprich kein NAT mehr statt findet. Bedeutet das nun, dass alle meine Hosts von der Fritzbox mal eben als quasi-DMZ ins Netz gestellt werden? Das wäre mal mega dreist, denn ich würde gerne weiterhin entscheiden ob ich was nach außen freigebe. Bisher war z.B. VPN von aussen erreichbar und nur VPN. Wenn jetzt alle Geräte fröhlich im Netz stehen und die Fritzbox auch nichts mehr filtert, wäre das ja der Gau.
Zum Vergrößern anklicken....

Im ernst ? der hat keine ahnung. Bei meinem VDSL Anschluss (1und1) läuft z.B über einen DS-Lite Tunnel.

Les dich mal hier ein:
Sicherheitsmechanismen von IPv6 - DsiN-Blog | Der IT-Sicherheitsblog für den Mittelstand
Was ist der Unterschied zwischen IPv6- und IPv4-Adressen? Contunda erklärt!

Mit MyFritz kannst du ganz locker auf deine Fritzbox aus der Ferne zugreifen, und selbst VPN zugriff via IPv6 geht

Fernzugriff ins Heimnetzwerk trotz DS-Lite - so geht's - PC Magazin

Einfach mal googlen ;).
 
"und selbst VPN zugriff via IPv6 geht"

geht mit der Fritz.box definitiv nicht. Man muss schon auch das Richtige googlen.
Man kann aber hinter der Fritzbox beliebige VPN betreiben,z.B. openvpn
 
Hi,

um es mal einfach auszudrücken. Ja, mit IPv6 hat jedes deiner Devices eine theoretisch Public im Internet erreichbare IP. Durch aber die entsprechende Firewall in der Fritzbox kommen Anfragen aus dem Internet aber nicht bei den Geräten an.

Idr ist es sogar so, dass die MAC Adresse ( Feste Hardware Adresse deiner Netzwerkkarte ) in die IPv6 Adresse eingebaut wird. Somit ist dein Rechner im Internet eindeutig identifizierbar ( was z.B. für Webtracking missbraucht werden könnte ) Um das Problem zu lösen gibt es die sogenannte Privacy Extension. Diese packt in die IPv6 Adresse eben nicht mehr die MAC, sondern ändert periodisch den hinteren Teil der Adresse.



Zu 2.: Das hört sich für mich an, als hättest du einen Anschluss im DS-Lite Format. Das heißt soviel wie: Du hast bekommst public IPv6 Adressen und teilst dir deine IPv4 Adresse mit mehreren anderen Kunden. Daher ist auch kein Portforwarding oder VPN mehr möglich.

Die einzige mir bekannten Möglichkeiten sind hier entweder VPN über IPv6 oder du musst von dir Zuhause einen VPN Tunnel zu einem Server ( z.B: ein vServer ) aufbauen. Wenn du entsprechend unterwegs bist, kannst du z.B: ein VPN zum Server aufbauen und darüber zu dir nachhause. ( Wenn du jedoch keine Ahnung von der Materie hast, ist das ein schier unmögliches unterfangen )

Zu 3.: Ich hinterfrage mal den Sinn und Zeck nicht... Aber prinzipiell tuts ein Raspberry mit ner 2. USB Netzwerkkarte und iptables. Alternativ pfsense mit entsprechender Hardware ( z.b. ausgedienter alter PC)
 
Vielen Dank :) Das hilft mir schonmal weiter. Dann werde ich mal ein bisschen mit IPv6 auf Tuchfühlung gehen :)
 
Solange die Standorte von denen du zugreifen willst nicht in der Steinzeit stecken geblieben sind und noch kein IPv6 haben kannst du dein VPN wunderbar über IPv6 aufbauen und darin Tunneln was du willst.
 
Anmelden, um zu antworten.

Ähnliche Themen

Kuzorra
Stehe auf dem Schlauch - Routing zwischen 2 (oder 3?) Fritzboxen - Wireguard von extern ?
Antworten
10
Aufrufe
947
Kuzorra
Kuzorra
M
[Ungelöst] CGNAT ohne IPv6, Linux-VPS vorhanden
Antworten
15
Aufrufe
2K
DieserBen
D
Crosser71
Deutsche Glasfaser - nach Wartungsarbeiten nur noch Störungen
Antworten
29
Aufrufe
2K
Crosser71
Crosser71
S
Problem + Lösung: Teamspeak3 Server - keine Verbindung von außen
Antworten
0
Aufrufe
216
Sky7677
S
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh