6. Dezember 2012 01:54

Re: Interface Identifier - ernsthaft nachgefragt

seinerenitenz schrieb am 5. Dezember 2012 18:09

> Port. Bei einem IPv4 Router war alles dahinter privat frei definiert
> (z.B. 192.168.1.x/24). Das ist mit IPv6 Vergangenheit. Schön. Wenn
> sich aber die Adressen ständig ändern - WAN-Seite - was bringen mir
> das mit den rein dynamisch verwalteten internen LAN IPs? Angenommen

Nur "privacy", sonst nichts. Weiterhin ändern sich auf der WAN-Seite
nicht die Adressen, sondern nur die Prefixe. Das gilt es zu
unterscheiden.

Effektiv ergibt das dann natuerlich neue Adressen, aber den Provider
interessiert es eben nicht, was Du unter den von ihm ausgegebenen
Prefix-bits so treibst.

In meinem LAN ist es mir zum Beispiel "egal" was mit dem
Provider-Prefix passiert. Das wird einfach auf /64 aufgeblasen und
dann vom Router an die clients durchdelegiert.

Ich habe den Knoten trotzdem feste und "lesbare" Ipv6-Adressen unter
einem ULA-Prefix gegeben.

Die Knoten haben eben mehrere Adressen erzeugt aus mehreren Prefixen.
(LAN, Internet, Linklocal)

> ich möchte meinen eigenen privaten Apache irgend wo laufen haben. Wie
> soll das dann gehen? DynDNS Dienste lassen die auch automatisiert die
> Bindung an IPv6 Adressen zu? Unterstützen das zwischenzeitlich auch
> Router direkt?

Solange Du kein statisches Prefix oder eine global gültige ULA hast,
musst Du weiterhin den Weg über so etwas wie Dyndns gehen.

Die Router unterstützen das m.W.n. noch nicht für ipv6.

> Weitere Frage die sich mir stellt ist - wenn es keine routbaren und
> auch keine segmentierbaren Adressen hinter der (ich nenn es jetzt
> einfach mal so) WAN-Seite (B4) gibt wie soll man sowas wie eine DMZ
> einrichten können oder verschiedene ([Klein]unternehmens)subnetze

Nur wenn der zugeteilte Prefix wirklich 64 bit breit ist, kannst Du
keine routbaren Segmente mehr auf Deiner Seite erstellen. 

Je kleiner er allerdings ist, je mehr Netze kannst Du selbst noch
aufspannen.

> voneinander trennen bzw. nur einige untereinander reden lassen?

Das würde man eh nicht über das Provider-Prefix machen, sondern über
ULAs. Dafür gibt es einen eigenen Prefix-Bereich in IPv6.

Deine IPv6-Knoten müssen grundsätzlich n Prefixes und n Adressen in
ipv6 halten können.

Link local, ULA und die Adresse mit dem dynamischen ProviderPrefix
fallen mir da jetzt mal direkt als Minimum ein.

> Meinetwegen in der Art Boss darf an Buchhaltung aber nicht umgekehrt,
> Lager darf nur ins Internet zum Lieferanten für Bestellung. Solche
> Spielchen hat man in der IPv4 Welt z.T. durch mehrere hintereinander
> geschaltete Router gelöst. Dazu kommt aber der im nächsten Abschnitt
> aufgeführte Punkt.

Würde man auch in ipv6 routen, allerdings zwischen verschiedenen
ULA-Prefixes, die Du selbst vergibst. Du könntest natürlich auch
unter einem (wenn angeboten) statischen Provider-Prefix die Netze
machen. 

Die Idee hierbei ist, dass Du sogar den Provider wechseln kannst, und
dann macht es nur noch "klack-klack-klack" und die Subnetze und Hosts
haben weiterhin den selben Adressteil, nur der Providerprefix hat
sich plötzlich geändert.

Ebenso denkbar.

Oder es macht "klack-klack-klack" und man hat eine Zeit lang zwei
gültige Providerprefixes und irgendwann läuft das alte aus. 

Wo man etwas umdenken muss ist die statische Konfiguration wie es sie
unter ipv4 gibt. IPv6 ist hier "dynamischer" qua design.

> Von AVM weiss ich, dass die in den FritzBoxen von der Außenseite die
> Firewall per Voreinstellung für IPv6 dicht gemacht haben. Lässt sich

Ist weiterhin so. Eingehende Verbindungen werden nicht durchgelassen.

> das für einzelne Hosts für bestimmte Ports wieder öffnen wie bisher?

Das liegt an AVM. Bisher wüsste ich nicht.

> Dann stellt sich aber wieder die Frage nach dem wie, nachdem ja ALLES
> dynamisch ist und kein Geräte mehr mit einer fixen Adresse versehen
> werden. 

Ist es ja nicht. Mit einem statischen Prefix kannst Du auch komplett
statische Adressen erzeugen. 


> Ziemlich verwirrend das.

Anzeige