# [erledigt] IPV6 Privacy Extensions,doch ein großer Nachteil?

## boospy

Hallo Leute,

habe jetzt bei meinem Gentoo die Privacy Extensions eingeschaltet. Dann bin ich draufgekommen das ich auf sämtliche Firewalls, und Mysqldatenbanken nicht mehr drauf komme. Jetzt verstand ich auch, warum ich bei den Ubuntus immer solche Probleme hatte. 

Da nach aussen ja eine andere IP genutzt wird, als die reale öffentliche, wo dann z.B. diese Adresse als trustet in einen MYSQL oder Firewall eingetragen ist. 

Meine Frage: Ist das so, geht das dann nicht mehr mit der Privacy Extensions oder gibt es dafür eine Option? Vermutlich nicht, sonst hätte es wohl keinen Sinn.

lg

boospyLast edited by boospy on Wed Aug 27, 2014 10:19 pm; edited 1 time in total

----------

## misterjack

nun ja, du hast ein nutztungsverhalten, welches sich vom otto-normal-surfer unterscheidet, daraus ergeben sich für dich nachteile.

entweder du gibts bei den diensten dein komplettes subnet frei oder verzichtest eben auf privacy extensions

----------

## py-ro

Oder sagst deinem System, dass es beim Zugriff auf die genannten Server eine bestimmte IP-Adresse als Quelle nimmt.

----------

## ChrisJumper

 *boospy wrote:*   

> wo dann z.B. diese Adresse als trustet in einen MYSQL oder Firewall eingetragen ist.

 

Das würde ich generell überdenken. Wenn man so etwas intern macht und dem eigenen Loopback traut kann ich das ja noch verstehen. Aber bei dem aktuellen Netzwerk-Problemen durch Byod und wo jedes Mobiltelefon schon ein zusätzliches Internet Gateway in dein Netzwerk schmuggeln kann würde ich eine IP-Addressen basierte Firewall Regel sofort verwerfen und schauen wie sich das anders nutzen lässt.

Notfalls mit Tunnel arbeiten und nach Autorisierung und dann Intern mit dieser Methode. Wobei je nach Anwendungsfall ja auch die Datenbankperformance darunter leiden kann.

----------

## boospy

Hallo Leute,

vielen Dank für eure Antworten, so was in der Art hatte ich mir schon gedacht. Aber ok.

 *py-ro wrote:*   

> Oder sagst deinem System, dass es beim Zugriff auf die genannten Server eine bestimmte IP-Adresse als Quelle nimmt.

 

wie meinst du das, ich muss zugeben das ich nicht wusste das dies auch geht, kannst du mir event, ne Starthilfe geben.

Danke und lg

BTW: @ChrisJumper: ich teste jetzt zusätzlich zu den normalen Firewallregeln auch gerade von Fortigate die Device basierenden Regeln. Da kann man dann halt Dinge in eine Schachtel werfen. Also z.B. alle Android, alle Windows, kann man auch customizen....

----------

## ChrisJumper

Also ich gebe zu das ich mir diese Option vorstellen kann: Benutze eine bestimmte IP für einen Dienst/Protokoll/Thread. Mit Opensource fallen mir aber nur Lösungen ein die in die Applikation gehackt werden, wo die IP fest angegeben wird.

Alternativ stehen dem noch ziemlich fiese Firewall Regeln über so etwas wie: Wenn von der MAC Adresse ein Paket mit dieser Zieladresse vorbei kommt, tausche die Absenderadresse gegen folgende aus. Andersherum bei eintreffenden Paketen.

Das blöde ist aber doch scheinbar das IPv6 eben KEIN NAT haben will. Was ich ja auch verstehen kann.

Es gibt da andere Möglichkeiten, wenn ich nicht falsch liege ist das eben eine Unicast Verbindung, bin aber auch nicht sicher ob das lediglich 1 Hop impliziert, oder auch mehrere Hops haben darf. OK, laut einer MS Seite darf es über mehrere Hops gehen und hier ist auch keine Verschlüsslung gemeint. Verwirrt mich trotzdem und ich denke nicht das sich das privat nutzen lässt, weil RIPE wohl die Adressräume vergibt und man das nicht einfach so Nutzen sollte.

boospy, es ist jetzt mit Kanonen auf Spatzen geschossen aber halt ein Tunnel erledigt ja auch diese Variante. Ich dachte auch noch an einen Netzwerksocket mit der festen IPv6/Mac Adresse.

Ich habe aktuell selber noch nicht verstanden wer im IPv6 Netzwerk garantiert das keine Adress-Kollision vorliegt. Ich dachte immer der radvd, aber es müsste wohl auch berücksichtigt werden wenn der Admin der Netzwerkkarte eine feste Adresse aus dem Pool zuweist.

Im Grunde wäre es ja ganz einfach wenn der root oder Nutzer, einer Bestimmten Applikation sagen könnte: Nutze diese Adresse. Mich verwirrt das es da kein Tool für gibt. Natürlich kann man ein Device Alias verwenden (eth0:0).. aber sowohl die Programme sind darauf ausgelegt das der Netzwerklayer Abstrakt genutzt wird, als auch der Kernel/Netzwerkstack hat doch eine automatische Last-Verteilung integriert. Informationen wie man jetzt eine bestimmte Adresse da herausnehmen kann, OHNE diese komplett in einen anderen Routingbereich/Subnet zu legen ist mir aktuell noch Schleierhaft.

Jede dieser Ideen erscheint mir irgendwie seltsam. Gibt es denn keinen Deamon der so etwas macht? Oder haben die ganzen Virtuellen Netzwerk-Technologien dieses Bedürfnis überflüssig gemacht. Wer braucht schon VLAN wenn man es mit VPN machen kann..?

Teilweise für die Programm-Ebene erscheint es noch einfacher einen Socket zu Programmieren und den zu nutzen.

----------

## py-ro

```
ip route add $TARGET/64 via $GW src $SRCIPv6
```

Relativ einfach, gilt aber für alle Verbindungen zu diesem Ziel.

@ChrisJumper 

Für ausgehende Verbindungen spielt die SRC IP eigentlich sehr sehr selten eine Rolle, feste IP-Adressen dienen ja eher dazu das man diese Maschine von woanders erreicht. Übrigens kümmert sich der Rechner selber darum, dass er keine IP belegt die schon vergeben ist, der radvd z.B. ist quasi komplett passiv, der sagt nur das Prefix nehmen und den Router, der weiß nicht wer was hat, deswegen Stateless Autoconfiguration. Wenn du statefull willst, musst wieder DHCPv6 nehmen, kann man übrigens auch mischen.

Bye

Py

----------

## boospy

Ok, ich verstehe. Ich werde wohl auf diese Extension verzichten. Und ja, is wohl ganz sicher für den Otto normal Verbraucher gedacht. Macht wohl direkt in der IT nicht viel Sinn. Und ausserdem, bei IPV4 hatte ich das auch nie, und hat auch gepasst.

Danke und lg

boospy

----------

## ChrisJumper

Die Situation ist aber anders als bei IPv4.

Zum einen hat man da die IP Adresse vom Provider die sich mal ändern kann. Dann gab es da noch NAT, somit wurden die Adressen der Geräte hinter dem Router quasi verschleiert.

Bei IPv6 sollte man aber die Privacy Extension schon aktivieren weil alle deine Geräte OHNE diese Aktivierung quasi die selbe MAC-ADRESSE mit einem andern Präfix bekommen egal von wo aus sie sich einloggen. Demnach würde ich sie bei verschiedenen Geräten trotzdem aktivieren. Aber man muss sich genau überlegen wo das Sinn macht.

Stell dir einfach Vor dein Handy hat je nach Land in dem du dich befindest eine andere Vorwahl mehr nicht. Eventuell kommt jemand auf die Idee zu probieren ob diese IP-Adresse mit dem Präfix sich woanders meldet. Also als versucht jemand dein Handy in jedem Land mit einer andren Vorwahl zu erreichen. Dann sind Portscans wieder möglich. Zuvor war es ja seltsam bezüglich der theoretischen Adressraumgröße.

Bezüglich Serveranwendungen ist das was anderes. Aber sowohl für das Interne Netz das nach draußen Kommuniziert als auch Geräte die sich bevorzugt in verschiedenen Netzen anmelden sollte man das schon setzen.

Grüße

Chris

----------

