Fragen zu IPv6

Seit einiger Zeit bin ich nun zwangsweise auf IPv6 umgestellt. Immer dann, wenn ich meinen Anschluss nicht benötige, stelle ich den Router auch aus - schon allein um Strom zu sparen.

Früher war es so, dass ich dadurch jeden Tag eine neue IPv4 bekommen habe und eine Abfrage über “wieistmeineip” immer nur die IP des Routers angezeigt hat. Ich fühlte mich relativ sicher.

Seit IPv6 ist es aber so, dass sich zwar die IPv4 jeden Tag ändert, die IPv6 aber dieselbe bleibt. Andere Geräte am Router haben eine andere IPv6, was darauf schließen lässt, dass jedes Endgerät nun seit der Umstellung direkt im Internet hängt und leider auch gehackt werden kann. Das macht die interne Firewall des Routers unnütz.

Kann ich nicht, so wie vorher auch, nur mit der IP des Routers im Internet sein? Also IPv6 nur für den Router und interne IPv4 für die Endgeräte. Geht das irgendwie?

Eigentlich sollte dir dein Provider jeden Tag eine neue IP geben, wenn er es nicht tut (auch nach Neu-Connecten nicht?) kannst du selbst dagegen nichts machen, außer bei deinem Provider nach zu fragen ob er das ändern kann. Laut Wikipedia gibt es in Deutschland eine Leitlinie dass die IPv6-Adressen aus Datenschutzgründen täglich erneuert werden sollten, aber bindend ist es wohl nicht.

Was die verschiedenen Adressen je Gerät angeht hast du das richtig beobachtet. Der Adressraum ist so groß, dass das alte Krücken-Konstrukt (das viele Probleme gebracht hat), genannt NAT, nicht mehr nötig ist. NAT war dafür zuständig dass dein Router deinen Geräten das Gefühl geben könnte, jeder hätte eine IPv4, obwohl sich eigentlich alle eine einzige teilten. Bei IPv6 bekommst du einen ganzen Adressraum vom Provider zugeteilt. Es wird sozusagen nur die erste Hälfte der IPv6 vom Provider festgelegt, die zweite Hälfte kannst du quasi selbst bestimmen, je Gerät. Es gibt allerdings bestimmte Vorgaben nach denen die Geräte sich ihre IP selbst aus der MAC-Adresse zusammenpuzzeln. Es sollte aber trotzdem alles durch deinen Router laufen (nur halt ohne NAT), und die Firewall trotzdem funktionieren (also z.B. bestimmte Ports gesperrt sein usw)

Alles nur so wie ich es verstanden habe, ich nutze selbst noch kein IPv6 :wink: Wenn du tiefer in die Materie einsteigen willst: Chaos Radio Express zum Thema

Hallo,

wie Tilman schon beschrieben hat, ändert sich für dich relativ wenig. Die Art des Routens ist einfach anders. Bei IPv4 hast du sogenanntes NAT gehabt, dass es mehreren Geräten ermöglicht über eine IP ins Internet zu gehen. Das ist allerdings eine Hilfskrücke, die sehr viele Probleme mit sich gebracht hat. Es hatte dafür den Vorteil, dass eine Art Firewall vorhanden war. Mit IPv6 ist das etwas anders. Da wird nun ordentlich geroutet, jedes Gerät hat seine eigene IP-Adresse. Das wird in Zukunft eine Menge erleichtern. Die Daten gehen natürlich weiterhin über deinen Router. Nur bist du jetzt eben auf seine Firewall mehr angewiesen.
Die feste IP-Adresse gab es quasi schon immer bei Kabelnetzbetreibern, auch bei IPv4. Das hat jedoch nicht dazu geführt, dass die unsicherer gelebt haben. Du solltest dir also Sorgen um deine Sicherheit machen, ja. Aber genauso viel, wie vorher auch.
Ob du wieder NAT für die IPv6 nutzen kannst, weiß ich nicht. Ich empfehle es jedenfalls nicht und rate dir ab.

MfG

Also ich bin bei KD und hatte vorher halt wirklich jeden Tag eine andere IP. Immer, wenn mein Router - das Kabelmodem - ein paar Stunden keinen Strom hatte.

In dem Router kann ich, so wie auch zuvor, die angeschlossenen Geräte und deren lokale IPs sehen. Aber wie auch bereits gesagt, hat sich das durch IPv6 nach außen hin ja geändert. Erst dachte ich, dass das Teil ja vielleicht nur nach außen hin eine IPv6 anzeigt, die mit meinem Endgerät nix zu tun hat, doch dem ist nicht so.

Ich frage mich gerade, was es wohl technisch bedeutet, wenn ich meiner Netzwerkkarte (oder auch nur dem Browser) das IPv6 untersage, also dort nur IPv6 zulasse. Das geht ja und nach außen hin wird nur die IPv4 erkannt. Die Frage ist nur, ob das dann nach Abschaltung von IPv4 überhaupt noch möglich ist.

Ich will doch nur, dass mein dämlicher Router auch weiterhin als Endgerät fungiert und die Daten dann intern an den jeweiligen Rechner leitet. Ging vorher doch auch. :frowning:

Hallo,

achso, ja. Nach Abschaltung verlierst du deine IP bei KD, das stimmt. KD hat nicht die typische Zwangstrennung, wie oft bei DSL.
Wenn du jetzt IPv6 ausschaltest am Rechner, ist er nur noch über v4 erreichbar. Wie das dann ist, wenn v6 abgeschaltet wird, weiß ich nicht. Wahrscheinlich geht es weiterhin.
Warum willst du so dringend NAT? Der Router leitet bei beiden die Daten an deinen PC weiter.

MfG

Erstmal muss man ein paar Dinge unterscheiden:

Wie bereits beschrieben wurde, ist NAT (Network Adress Translation), das Protokoll, dass dafür sorgt, dass der Router unter der vom Provider vergebenen IP vom Internet erreichbar ist und die Sachen in das interen Heimnetz weiterleitet.

NAT hat mit der dynamischen IP-Vergabe des Providers aber nichts zu tun. Man kann NAT mit dynamischer IP und mit statischer IP haben. Die dynamische IP-Vergabe hat für die Sicherheit auch keinerlei Auswirkungen. (Ausser es will einer explizit dir ans Leder, aber auch dann ist das nur eine sehr sehr kleine zusätzliche Hürde)

Wie ebenfalls bereits gesagt: Bei IPv6 werden keine IP-Adressen mehr vergeben, sonder gleich ein ganzes Subnet. Die Zuweisung eines solchen Subnets kann vom Provider auch dynamisch sein. Der Provider kann einem also immer das selbe Subnet geben oder bei jeder Einwahl ein anderes. Die Endgeräte basteln sich selbst eine sogenannte link-lokale IPv6. Dann fragen sie beim Router nach dem Netz. Durch das Zusammenfügen von Netz+linklokaler IP hat dann jedes Gerät seine eigene IPv6.

NAT bei IPv6 gibt es nicht. (So simpel ist das)

Das heisst aber nicht das die Firewall in deinem Router nutzlos ist. Du musst einfach die Firewall in deinem Router so konfigurieren, dass sie Verbindungsanfragen von ausser generell nicht weiterleitet. Damit hast du dann von der Sicherheit her die selbe Situation wie bei NAT.

Was passiert, wenn du bei einem deiner Endgeräte IPv6 abstellst, kommt darauf an, was für einen Anschluss du hast. Wenn du einen reinen IPv6 Anschluss hast, dann kommst du mit diesen Gerät nicht mehr ins Internet.

Theoretisch könntest du einen deiner Rechner als 4to6-Relay machen und bei deinen anderen Rechner IPv6 abschalten. Du müsstest es dann so konfigurieren, dass die IP4 Rechner das Relay als Gateway benutzen und das Relay packt dann die IPv4 Packete in IPv6 Packete und leitet die dann über den Router ins Internet.
Das ist dann mordskompliziert und bringt nix :slight_smile: Denn wie gesagt, wenn Router-Firewall so eingestellt ist, dass sie Verbindungsanfragen aus dem Internet zurückweist, ist es von der Sicherheit wie bei NAT.

Wenn du dann mit einem deiner Rechner doch vom Internet aus erreichbar sein willst, musst du dann im Router Ausnahmen eintragen.

Du müsstest dich allerdings mal informieren, wie es mit der Firewall bei deinem Router aussieht. Soweit ich weiss, gibt es noch einige Router-Modelle, die noch nicht alles korrekt machen.

Das hast du wirklich gut erklärt. :slight_smile: Und das mit der statischen/dynamischen IP wusste ich sogar ein Stück weit.

Mich wundert es halt nur, dass die IPv4 noch immer dynamisch ist, sobald ich eine Weile vom Netz getrennt war und dann wieder rein gehe, die IPv6 hingegen immer schon dieselbe ist, also statisch.

Ich habe das mal mit einkaufen gehen verglichen. IPv4 über NAT ist, wenn meine Freundin einkaufen geht und mir dann das Zeug Zuhause übergibt. Von außen sieht man nur, dass sie es sich holt, aber was sie damit macht, wissen nur die, die es betrifft. IPv6 ist, wenn ich neben meiner Freundin mit einkaufen gehe und direkt sage, was ich will. Jeder weiß dann, dass sie das für mich in den Wagen legt.

Na so in etwa zumindest.

Zum Thema Sicherheit: Ist der Nutzer mit IPv6 denn dann nicht komplett gläsern? Wenn sich meine IPv6 nicht ändern sollte, also statisch bleibt, dann kann man über mich (meinen Rechner) doch einfach ein Profil anlegen und nachschauen, wann ich wo eingeloggt war, gesurft habe usw. Als das über NAT ging, wusste man ja nur, dass ein bestimmter Anschluss irgendwo war, egal wie viele Leute z.B. über WLAN darüber im Netz waren.

Du unterschätzt die ganze Sache etwas. Auch bei IPv4 und NAT wurden über dich Profile angelegt. Das ist ja die Datenschutzkatastrophe. Du bist mit IPv6 genauso gläsern, wie ohne. Die Sache ist auch eigentlich kein IPv4-IPv6 Problem, sondern ein “Problem” des Adresswechsels. Den kann man mit v4 genauso gut realisieren. Dort wurde aber, u.a. wegen des Adressmangels, anders vorgegangen.
Wenn du wirklich einiger Maßen ungläsern sein möchtest, musst du sämtliche Cookies ausschalten, mit Tor surfen und z.B. per Ghostery nur entsprechende Verbindungen zulassen.

Das du bei IPv4 fast immer dynamische IPs kriegst, liegt einfach daran, dass die IPv4 Adressen inzwischen verdammt knapp geworden sind. Man kann es sich kaum leisten, eine IPv4 Adresse „brach“ liegen zu lassen, nur weil du grade offline bist.

Bei IPv6 hast man soviele Adressen, das man dir immer die selbe geben kann.

Das Thema des gläsernen Benutzer ist eigentlich streng genommen kein Sicherheitsproblem :slight_smile: Aber es stimmt, dadurch dass die IP immer gleich bleibt, könnte man dich viel leichter verfolgen. Das ist auch den Entwicklern aufgefallen, deswegen haben sie die „Privacy Extensions“ entwickelt. Dabei verwenden die Geräte temporäre zufällige Host-IPs (Die Netzwerk-Adresse muss immer gleich bleiben, sonst geht das Routing nicht), die sie immer wieder wechseln. Dadurch kann man weiterhin das Netzwerk verfolgen, aber das Verfolgen eines einzelnen Gerätes ist auf den Zeitraum zwischen 2 IP-Wechseln beschränkt.
In (Desktop-)Windows sind ab XP die „Privacy Extensions“ standartmässig aktiviert. Ansonsten kann man sich hier informieren: http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1204783.html

Aber wie hans_wurst schrieb, Über Cookies, Flash-Cookies usw kannst du weiterhin verfolgt werden.

Das hat ja leider alles nichts mit fernsehkritik.tv oder massengeschmack.tv zu tun. Die IPv6-Einführung ist noch immer ein Drama:

Bei den großen Kabelnetzbetreibern (welche sich großer Beliebtheit erfreuen) gibt es nur noch IPv6 während alle IPv4 Pakete durch große NAT-Kisten (Carrier Grade NAT) müssen. Die Probleme die dabei auftreten sind noch weitaus größer als die welche der heimische Router fabriziert. Aber bei diesen Unternehmen ist noch nicht einmal deren eigene Homepage über IPv6 zu erreichen.

Wann werden fernsehkritik.tv & massengeschmack.tv denn einen AAAA-Record haben?
Ist die Zahl der Server nicht recht überschaubar und könnte man denen sich einfach auch eine IPv6 Adresse geben?

Laut des IPv6 Sonderheftes des Heiseverlages werden große Onlinehändler erst dann IPv6 einführen wenn in der Vorweihnachtszeit der Umsatz einbricht weil die CGNs der Provider überlastet sind - vielleicht etwas spät für einen inzwischen 15 Jahre alten Standard.