Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Problemlose Alternative zur Fritzbox mit mehr als 2 logischen Netzen gesucht
NAT ist nur für ipv4 relevant. Für ipv6 - wenn Du es denn im Heimnetz einsetzen will...die Diskussion hatten wir weiter oben - gilt, in allen Szenarien, dass Du ne ipv6 Firewall im Router bzw. auf jedem Endgerät brauchst.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Genau, die gemachten Aussagen sind für IPv4, denn dort ist NAT quasi zwingend Voraussetzung.
Bei IPv6 gibt es kein NAT mehr (eigentlich schon, aber eben komplett anders, daher vereinfacht) daher ist jeder lokale Teilnehmer direkt erreichbar.
Das ist ein Vorteil, aber auch ein Nachteil, weil man die eingebaute Abschottung vom IPv4 NAT nicht mehr hat. Daher muss man bei IPv6 quasi für jeden Client einzeln Security herstellen.
Am einfachsten wäre es natürlich, wenn der Router das nachbildet, was NAT bei IPv4 macht. Und das eben die Funktion, dass Verbindungsaufbauten von außen initiiert nicht durchgelassen werden, siehe oben. Das hat den "Nachteil", dass die Teilnehmer dann nicht mehr alle von außen erreichbar sind.
Und diese Funktion ist mit einer "alles von außen nach innen = deny" Firewallrule vergleichbar.
Aus diesem Grund muss man InternetSEC bei IPv6 neu denken. Das ist aber auch keine Raketenwissenschaft. Wichtig ist erstmal, dass man die Unterschiede IPv4 und IPv6 für den Bereich verständen hat, damit man sensibilisiert ist.
Es ist technisch weiterhin möglich und wird von mir mit einer pfSense auch praktiziert, es ist aber verpönt. Und ich rede nicht von NPt oder ähnlichem, sondern vom klassischen Port-Forwarding und Source NAT.
Korrekt, ich hatte hier allerdings mal eine Anleitung gepostet gehabt, wie es doch noch ging. Die ist hier aber seit meiner ungerechtfertigten Verbannung nicht mehr zu finden.
Gar nicht. Meine Aussage war ja, dass man Geräte voneinander abschotten kann. Und das geht halt mit so einem 30 EUR-Switch in einem flachen Netzwerk rein über die Ports: Alle Ports dürfen z.B. auf die Fritte zugreifen, aber Port 3-5 nicht auf Port 7-8, etc.
Beitrag automatisch zusammengeführt:
Und weil es sich hier an diversen Stellen missverständlich liest, auch die Fritte hat sehr wohl eine IPv6 Firewall. Sie macht die Firewall halt nur für die Netze, für die sie selbst zuständig ist. Etwas anderes kann man auch nicht erwarten. Wenn ich nun delegierte Präfixe an weitere Router hinter der Fritzbox weiterleite, dann haben diese sich selbst um die Firewall zu kümmern, so sollte es auch sein, würde ich meinen.
Gar nicht. Meine Aussage war ja, dass man Geräte voneinander abschotten kann. Und das geht halt mit so einem 30 EUR-Switch in einem flachen Netzwerk rein über die Ports: Alle Ports dürfen z.B. auf die Fritte zugreifen, aber Port 3-5 nicht auf Port 7-8, etc.
Wie verhinderst du die Kommunikation von Port 3 auf Port 7, die den Umweg über die L2 Verbindung zur FB nimmt? Die L2 Verbindung zur FB kennt keine VLANs.
Mit der FB verbindest du die "Zone" Port 3-5 mit der "Zone" Port 7-8.
Also ja, über den 30EUR Switch sind die getrennt, aber über den Switch der FB sind sie wieder zusammen.
Und weil es sich hier an diversen Stellen missverständlich liest, auch die Fritte hat sehr wohl eine IPv6 Firewall. Sie macht die Firewall halt nur für die Netze, für die sie selbst zuständig ist. Etwas anderes kann man auch nicht erwarten. Wenn ich nun delegierte Präfixe an weitere Router hinter der Fritzbox weiterleite, dann haben diese sich selbst um die Firewall zu kümmern, so sollte es auch sein, würde ich meinen.
Das ist genau der Punkt auf den ich hinaus will. Macht man wieder NAT und terminiert IPv6 von der FB, dann hat man es wie bei der IPv4.
Das ist aber, wie gesagt, keine Firewall, sondern liegt an der Eigenheit des NAT. Das der Verkehr nicht durchgeht hat nichts mit einer Firewall zu tun, denn die FB hat keine, sondern damit, dass NAT eben so funktioniert, wie es funktioniert.
Also nein, die FB macht kein firewalling, genauso wenig wie jeder andere NAT-Router.
Das hat auch nicht mit Missverständlichkeit zu tun, sondern mit Technologieverständnis.
Eine Firewall vergleicht das ankommende externe Paket, ob es dazu einen Firewalleintrag findet und falls OK, lässt es das durch. Bei NAT hingegen wird geschaut, ob es für den Port einen Porteintrag in der (eigentlich PAT) NAT Tabelle gibt und falls ja, leitet es das weiter. Ergo ist beim NAT keine Firewall involviert. Kleiner, aber feiner und wesentlicher Unterschied.
Warum sollte denn ein Umweg gegangen werden? An einer Fritzbox ist das so gar nicht möglich. Es wird nur über über das Gateway gegangen, wenn das Ziel außerhalb des eigenen Netzes ist. Aber das weißt Du sicher viel besser als ich. Ok, vielleicht durch ein bestehendes NAT am WAN, müsste man dann beachten. Hier würde aber vermutlich wieder die Kindersicherung greifen, die ich ebenfalls erwähnte.
Das ist genau der Punkt auf den ich hinaus will. Macht man wieder NAT und terminiert IPv6 von der FB, dann hat man es wie bei der IPv4.
Das ist aber, wie gesagt, keine Firewall, sondern liegt an der Eigenheit des NAT.
Die Fritzbox macht aber kein NAT für IPv6. Das ist auch an folgendem Screenshot abzuleiten. Würde sie Port-Forwarding machen, dann könntest Du auch dort den Port wechseln:
Die Fritzbox macht die Firewall für ihr LAN und damit den Präfix, auf diesem LAN. Mehr muss sie auch nicht machen.
Hat die Plackerei mit der Sense doch zu was geführt... 😅
Das ist ein Irrtum, den ich nicht zum ersten mal lese. Die Fritzbox, so wie wohl alle NAT-Router, die eine IPv6 Unterstützung haben, haben auch eine Firewall. Diese wurde und wird aber mit dem Port-Dialog abgehandelt und es gibt keine eigenständige Firewall-Konfiguration. Dieser Umstand führte wohl zu dem Gerücht, die Geräte hätten keine Firewall. Wie es mit sehr alten Geräten aussieht, kann ich aber nicht sagen.
Das ist leider nicht so einfach. In der schönen Theorie gibt es Prefix Delegation, in der Praxis gibt es Provider, die nur /64er-Netze zuteilen und damit hat man ab dem zweiten Hop gar kein IPv6 mehr. Oder man betreibt klassisches Port Mapping wie bei IPv4, was dann ja "verpönt" ist. Bei mir habe ich es mittels IPv6-Bridging gelöst.
Fazit: IPv6 ist noch frickeliger als IPv4. Was bei IPv4 mit (unschönen) Doppel- und Dreifach-NAT einfach läuft, ist bei IPv6 irres Gefrickel.
Das ist leider nicht so einfach. In der schönen Theorie gibt es Prefix Delegation, in der Praxis gibt es Provider, die nur /64er-Netze zuteilen und damit hat man ab dem zweiten Hop gar kein IPv6 mehr.
Wie meinst du das, ab welchem 2. Hop?
Ich kann doch auch ein /64 über Transfernetze weiterleiten und in einem 2. Router (das ist dein 2. Hop?!) dann nochmal aufdröseln.
Das setzt natürlich voraus, dass man auch Router hat und eben keine Fritzbox...
Aber ich seh schon, ich werden mir mal einen 2. Router schnappen müssen und mal mit dem Internetneuland etwas ausgiebiger spielen.
/64er kann man nicht mehr weiter unterteilen, das sieht der IPv6-Standard nicht vor. Deshalb sagt RIPE ja in den Vergaberichtlinien klar, daß vom ISP mindestens /56 (besser /48) zugeteilt werden muß, aber das interessiert in der Praxis dann wiederum keinen. Die 3GPP zum Beispiel die Standards im Mobilfunkbereich verwaltet, hat einfach /64 als Standardzuteilung gesetzt und hält sich damit nicht an die geltenden IPv6-Standards.
Wenn dein erster Hop vom ISP ein /64 zugewiesesen bekommt, dann bekommt der zweite eine (!) IPv6-Adresse daraus, der zweite Router selbst hat kein Präfix mehr, woraus er IPv6-Adressen vergeben kann. IPv4-Doppel-NAT geht natürlich problemlos.
/64er kann man nicht mehr weiter unterteilen, das sieht der IPv6-Standard nicht vor. Deshalb sagt RIPE ja in den Vergaberichtlinien klar, daß vom ISP mindestens /56 (besser /48) zugeteilt werden muß, aber das interessiert in der Praxis dann wiederum keinen. Die 3GPP zum Beispiel die Standards im Mobilfunkbereich verwaltet, hat einfach /64 als Standardzuteilung gesetzt und hält sich damit nicht an die geltenden IPv6-Standards.
Wenn dein erster Hop vom ISP ein /64 zugewiesesen bekommt, dann bekommt der zweite eine (!) IPv6-Adresse daraus, der zweite Router selbst hat kein Präfix mehr, woraus er IPv6-Adressen vergeben kann. IPv4-Doppel-NAT geht natürlich problemlos.
Gehen tut das schon, du kannst 1 zu 1 das erhaltene Prefix weiter Downstream delegieren, allerdings sind in dem Fall IP Kollisionen möglich weshalb man es NICHT machen sollte und man könnte natürlich einen nicht so flexiblen Router haben der dann einfach nö mach ich nicht sagt (OpenWRT hat damit z.B. kein Problem). Das Problem in den meisten Fällen ist eher das die Schrottbüchsen von den ISPs überhaupt keine Prefix Delegation können und dann sieht es schlecht aus.
Das Problem in den meisten Fällen ist eher das die Schrottbüchsen von den ISPs überhaupt keine Prefix Delegation können und dann sieht es schlecht aus.
Die Schrottbüchsen müssen nicht von den ISPs kommen. Kennst du ein Smartphone oder ein anderes Mobilfunk-CPE, das Prefix Delegation kann? Und gerade im Mobilfunk ist IPv6 ja wegen CGNAT ein entscheidendes Thema. Am IPv4-only-DSL-Anschluß ist das weniger interessant.
Die Schrottbüchsen müssen nicht von den ISPs kommen. Kennst du ein Smartphone oder ein anderes Mobilfunk-CPE, das Prefix Delegation kann? Und gerade im Mobilfunk ist IPv6 ja wegen CGNAT ein entscheidendes Thema. Am IPv4-only-DSL-Anschluß ist das weniger interessant.
Du steckst den Mobilfunk Stick in deinen OpenWRT Router und boom du hast einen Router mit Mobilfunk Uplink der Prefix Delegation kann.
Datenschutzhinweis für Youtube
An dieser Stelle möchten wir Ihnen ein Youtube-Video zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Youtube setzt durch das Einbinden und Abspielen Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf den Play-Button. Das Video wird anschließend geladen und danach abgespielt.
/64er kann man nicht mehr weiter unterteilen, das sieht der IPv6-Standard nicht vor. Deshalb sagt RIPE ja in den Vergaberichtlinien klar, daß vom ISP mindestens /56 (besser /48) zugeteilt werden muß, aber das interessiert in der Praxis dann wiederum keinen. Die 3GPP zum Beispiel die Standards im Mobilfunkbereich verwaltet, hat einfach /64 als Standardzuteilung gesetzt und hält sich damit nicht an die geltenden IPv6-Standards.
Wenn dein erster Hop vom ISP ein /64 zugewiesesen bekommt, dann bekommt der zweite eine (!) IPv6-Adresse daraus, der zweite Router selbst hat kein Präfix mehr, woraus er IPv6-Adressen vergeben kann. IPv4-Doppel-NAT geht natürlich problemlos.
Natürlich kann man die weiter unterteilen, nur bricht man damit SLAAC. Ein DHCPv6 only verwaltetes Netz hat damit keine Probleme.
Darum ging es @underclocker2k4 in seinem Beitrag übrigens gar nicht. Der erste eigene Hop muss das erhaltene /64 nur über ein - sich vom erhaltenen Prefix unterschiedlichen - Transfernetz weiterleiten.
Das könnten dann z.B. lokale /127 ULA-Adressen sein, oä.
Ich hatte das mal vor 3-4 Jahren getestet, manches ging, manches wollte aber auch nicht, trotz DHCPv6, z.B. mein MuFu Drucker. Also die Kompatibilität ist doch schwer gefährdet, wenn man es versucht. Sollte man gar nicht erst versuchen, dafür gibt es dann halt NPt.
Und Transfernetze können für eine öffentliche Route nicht ULAs sein, aber damit verlasse ich meine Gehaltsstufe und es ist mehr Hörensagen.
Auch wenn es jetzt nicht ganz zurück zum eigentlichen Thema geht, hätte ich nochmals eine Frage für eine Empfehlung.
Ich habe jetzt eine OPNSense als VM eingerichtet und ein wenig gespielt.
Um hier weiter lernen zu können brauche ich einen VLAN fähigen Switch. Hier würden auch nur 4-5 Ports ohne POE oder ähnliches reichen.
Schön wäre es natürlich, wenn man mit dem Switch auch mal testen könnte, ob ich 802.1x mit einem Freeradius Server auf einer Linux VM zum laufen bekomme.
Hat vielleicht hier jemand eine günstige Empfehlung für mich, dass ich ein Gerät zum Spielen habe bei dem ich nicht sofort an Grenzen stoße?
Warum sollte das selbstverständlich sein? Du bist leider schnell mit deinen Behauptungen, liegst dann aber oft doch daneben...
Auch wenn ich hier nicht sicher bin, aber ein öffentliches Routing muss durchgehend öffentlich sein, keine ULAs etc., also genauso wie schon bei IPv4. GeNATet wird bei IPv6 ja nicht. Du brauchst auch für Transfernetze einen gerouteten, öffentlichen Prefix.
Warum sollte das selbstverständlich sein? Du bist leider schnell mit deinen Behauptungen, liegst dann aber oft doch daneben...
Auch wenn ich hier nicht sicher bin, aber ein öffentliches Routing muss durchgehend öffentlich sein, keine ULAs etc., also genauso wie schon bei IPv4. GeNATet wird bei IPv6 ja nicht. Du brauchst auch für Transfernetze einen gerouteten, öffentlichen Prefix.
Router unterscheiden von sich aus nicht, ob es Sinn macht oder richtig ist, ein öffentliches Prefix über eine Transferstrecke mit RC1918-Adresse zu routen. Sie tun es einfach.
Wo lag ich denn mit Behauptungen in Bezug zu Networking Themen daneben ?
Wieso muss ein öffentlich reingeroutetes Netz auch öffentlich geroutet sein?
Das geht schon deshalb nicht, weil kein seriöser Provider mit einer privaten Routingumgebung in konvergierter Art zusammenarbeitet.
Du bekommst ein Netz mit X Adressen und das kannst du in deinen Netz so weiterverarbeiten, wie du das willst. Das kann static, RIP, OSFP, BGP, MPLS oder was auch immer für nen scheiß sein. Das interessiert den IP-Geber (Provider) nicht die Bohne. Wir richten da ja keine neuen Netze intern ein, zumindest keine, die irgendwie extern am Routing teilnehmen sollen.
Und natürlich müssen Transfernetze nicht öffentlich sein. Warum auch? Der Provider hat eine Static Route, die auf den Internetanschluss des Kunden zeigt.
Da wird nix mehr dynamisch. Also muss der auch nichts von irgendwelchen Routingstrukturen nach dem Kundenuplink wissen. Die Route ist statisch, zumindest für die Leasetime. Da kann man auf Kundenseite rumstecken und rerouting machen wie man will, der Provider routet fest.
Es ist ja nicht so, als wenn alle Kunden nur eine IP bekommen würden. Es gibt ja auch Internetaccess mit mehreren IPs, ja, IPv4. Und wenn der 8 IPs bekommt, dann wird der nicht nur 8 Geräte haben, sondern mehr. Und der Kunde macht das so für sich, wie er das für sich richtig erachtet. Und da wird erst erstmal seine 8 IPs ggf. weiterrouten und dann irgendwann NAT machen.
Edit.
Diesen Aufbau kann man auch lokal betreiben. Wer riesige Netze betreibt macht das auch mal ähnlich. Da bildet man riesige Netzcluster und die trennt gerne mal mit ein paar wenigen static routes und fährt dann in diesen Substrukturen dann gerne wieder dynamisches Routing, da man solchen Netze nicht durchgehend mit static routes fährt.
Und dem überlagerten Netz, was diese Netze zur Verfügung stellst, ist es herzlich egal, wie man diese Netze da unten verarbeitet und dynamisch macht und sonst was.
@sch4kal Dann entschuldige mich, nehme alles zurück und behaupte das Gegenteil. Mir fällt auch nicht mehr ein, in welchem Zusammenhang ich das mal anders gehört haben wollte.
poa, nö, wenn das da steht, wird der das wohl können. 802.1x ist an sich ja kein Hexenwerk, muss halt implementiert werden.
Zum Spielen nicht verkehrt. Zyxel wäre persönlich nicht meine Wahl, sind aber durchaus Geräte, die man gerne im Heimbereich verwendet, wie z.B. auch TP-Link. Als normaler 1GBE Switch ist der natürlich überteuert, die bekommt man schon für den Preis eines Dönertellers...
Später dann würde ich schauen, dass man einen mit SFP+ Ports nimmt, dann hat man wenigstens 2-4 highspeed Ports für z.B. Server/NAS.
Um hier weiter lernen zu können brauche ich einen VLAN fähigen Switch. Hier würden auch nur 4-5 Ports ohne POE oder ähnliches reichen.
Schön wäre es natürlich, wenn man mit dem Switch auch mal testen könnte, ob ich 802.1x mit einem Freeradius Server auf einer Linux VM zum laufen bekomme.
Hat vielleicht hier jemand eine günstige Empfehlung für mich, dass ich ein Gerät zum Spielen habe bei dem ich nicht sofort an Grenzen stoße?
Tja, wie üblich kann ich Dir sagen, dass Du zB einen Hex-S auch "nur" als Switch betreiben kannst, wenn Du das willst ;-) Bei MT sind die Ports, ausser manchmal für die Management-Konsole, nicht speziell für LAN/WAN vorbelegt, sondern in der Zuordnung völlig frei wählbar.
Es ist eher ein Armutszeugnis für die meisten deutschen Provider, die immer noch an 24h Disconnects und dynamischer Adressvergabe festhalten. Unsere europäischen Nachbarn handhaben das wesentlich entspannter.
Es ist eher ein Armutszeugnis für die meisten deutschen Provider, die immer noch an 24h Disconnects und dynamischer Adressvergabe festhalten. Unsere europäischen Nachbarn handhaben das wesentlich entspannter.
Ich möchte mich mal an das thema anhängen, da ich vor dem „Big Step“ stehe, die Fritz rauszuwerfen und eine OPNsense in Betrieb nehmen will. Natürlich will ich testen und dann damit Live gehen… wenn da nicht das funktionierende System und, viel schlimmer, mein Weibchen wäre. Kurzum, ich kann nicht mal eben das Internet abstellen und ich teste hier mal sagen. Daher folgende Frage: Wie migriert man am besten?
(Glasfaser)-Modem <> OPNsense <> Switch soll das Endstadium werden. Wenn ich die OPNsense erst hinter die Fritzbox7590 hänge, habe ich doch eigentlich nix gewonnen oder?
Oder wie habt ihr das gemacht?
Doof ist auch, das meine Zeit für zu viele Spielereien eigentlich eher begrenzt ist, aufgrund von Frau und Kind. Daher muss das gut geplant sein.
Glasfaser kann man ggf. auch direkt in einen VLAN-fähigen Switch geben. Am besten scheint mir bei dir aber der lab-Aufbau, die Sense als letztes als exposed host der Fritte. Mag nicht viel Sinn ergeben aber Du störst auch keinen. Und die zeitliche Einarbeitung ist auch nicht zu unterschätzen, abhängig natürlich von den Vorkenntnissen.