ComputerBase Menü
Aktuelles

[IPv6] Fernzugriff per Portfreigabe

Einfach nur ein Windows Rechner mit Atheros Netzwerkkarte. In deren Eigenschaften, ist bei den IPv6 Einstellungen "IPv6 Adressen automatisch beziehen" aktiviert. Diese Einstellunge sollte jedoch keine Auswirkungen auf die Änderung der Interface ID haben.

Ich bin bis jetzt nicht fündig geworden, wieso sich die Interface ID nach neu hergestellter Verbindung ändert....
 
Du hast auch kein HyperV aktiviert auf dem Rechner? Für WSL oder sowas? Weil dann geht Windows hin, und packt das Netzwerkinterface in so "Hyper-V Virtual Ethernet Adapters", und da können sich MACs durchaus ändern.
 
Hyper-V ist nicht aktiviert, ich habe es gerade in den Einstellungen geprüft.

Code: 
FritzBox Online Monitor:
IPv6-Adresse: /64
IPv6-Präfix: /56

Kann es sein, dass Windows zur Berechnung der Interface-Id aus der MAC-Adresse vielleicht nicht das EUI-64 Verfahren verwendet? Wüsste nur nicht, wie ich das prüfen könnte.
 
mnet2023 schrieb:
Kann es sein, dass Windows zur Berechnung der Interface-Id aus der MAC-Adresse vielleicht nicht das EUI-64 Verfahren verwendet?
Zum Vergrößern anklicken....
Das tut es standardmäßig nicht, sonst hätte die Interface-ID in der Fritzbox von Anfang an gepasst. Windows benutzt die sogenannten "RandomizeIdentifiers".
https://www.heise.de/ratgeber/IPv6-Privacy-Extensions-einschalten-1204783.html?seite=2

Die Interface Identifiers werden also nicht aus der MAC abgeleitet, sondern zufällig bestimmt - allerdings statisch für die "normalen" IPs. Nur für die temporären IPs ändern sich die Identifier.
 
Danke für den Artikel.

Code: 
netsh interface ipv6 set global randomizeidentifiers=disabled

Ich deaktiviere mal den RandomizeIdentifiers, mal schauen, ob morgen früh nach der Zwangstrennung die Interface-IDs übereinstimmen.
 
Moin,

die Verbindung hat heute morgen auf Anhieb funktioniert. Ich denke, das sollte es jetzt gewesen sein.

Danke nochmal!
 
  • Gefällt mir
Reaktionen: riversource
Hi,
ich geselle mich mal in diesem Thread dazu, da ich aktuell vor ähnlichen Problemen stehe.

Ich möchte ebenfalls einen Port für einen Host hinter einer FritzBox via IPv6 öffnen (Danke DS-Lite). Klappt aber soweit.
Probleme habe ich eher mit dem bekanntgeben der IP. Bei IPv4 war das bisher eigentlich recht einfach: beliebigen DynDNS Dienst genommen, in der FritzBox beispielsweise Port 1234 auf 192.168.10.20:80 (ist für dieses Beispiel einfach ein Webserver) und dann über die DynDNS-Adresse:1234 drauf zugegriffen.

Für IPv6 klappt das via dynv6.net auch so halb. Die öffentliche IPv6 meiner FritzBox erreiche ich via "dope69.dynv6.net" (Ist nur ein Beispiel), der IPv6-Prefix den die FritzBox kriegt, wird auch an dynv6 mitgeteilt, sodass ich im Webinterface von dynv6 für "webserver.dope69.dynv6.net" nur den Interface Identifier meines "Webservers" den ich freigeben möchte eintragen muss um diese IP öffentlich zu erreichen. Aber ich musste es händisch eintragen. (Ähnlich wie bei mnet2023)

dynv6 bietet scheinbar auch die Möglichkeit den Identifier anhand der MAC zu berechnen, aber Windows generiert das ja komplett zufällig (Mit eingeschalteten Privacy Extensions). Ich hab das auch nachgeprüft an zwei unterschiedlichen IPv6 DSL Anschlüssen mit der selben Netzwerkkarte (gleiche Mac in beiden Netzen):
An Netz 1 bekomme ich den Prefix 2001:: und Windows generiert den Interface Identifier xxxx:xxxx:xxxx:a0c5
An Netz 2 bekomme ich den Prefix 3001:: und Windows generiert den Interface Identifier yyyy:yyyy:yyyy:340a
Scheint wohl aus dem Prefix + MAC berechnet zu werden?!

Meine Internetverbindung hat sich zwar vor über einem Monat das letzte Mal neu verbunden (keine Zwangstrennung nachts) aber ich weiß nicht wie sich das am entfernten Standort verhält bei dem ich das Einrichten will. Nicht so wirklich Lust da ständig die IP nachzupflegen.
Die Privacy Extensions abzuschalten halte ich auch für keine gute Idee, da man dann ja auch bei allen ausgehenden Verbindungen immer die gleiche IP hat, unabhängig vom Netz. (Tracking Gefahr)

Wenn wenigstens die FritzBox die Zuteilung eines Hosts an z.B. xxxx:xxxx:xxxx:a0c5 mitkriegen würde, könnte man ja wenigstens einen DynDNS pro Host hinter der FritzBox updaten, aber die FritzBox kennt die global eindeutigen IPv6s der Hosts gar nicht. So muss ich jedes mal die hinterlegte IP in der FritzBox und im DynDNS Dienst händisch aktualisieren. Oder weiterhin NAT für v6, wäre auch besser als so. (Also einstellen dass Paket an FritzBox-PORTx an Host-PORTy weitergeschickt wird.

Finde ich irgendwie deutlich umständlicher als bei IPv4
 
dope69 schrieb:
Die Privacy Extensions abzuschalten halte ich auch für keine gute Idee, da man dann ja auch bei allen ausgehenden Verbindungen immer die gleiche IP hat, unabhängig vom Netz. (Tracking Gefahr)
Zum Vergrößern anklicken....
Auf einem Server ist das schlicht kein Problem. Da sind PE auch normalerweise nicht aktiviert.
Die eigentlich schlechte Idee ist übrigens, eine Portfreigabe für ein Windows-Gerät einzurichten, das man auch noch zum surfen benutzt. Kann man nur eindringlich vor warnen.

dope69 schrieb:
Wenn wenigstens die FritzBox die Zuteilung eines Hosts an z.B. xxxx:xxxx:xxxx:a0c5 mitkriegen würde, könnte man ja wenigstens einen DynDNS pro Host hinter der FritzBox updaten, aber die FritzBox kennt die global eindeutigen IPv6s der Hosts gar nicht.
Zum Vergrößern anklicken....
Korrekt, weil die mit PE generierten Adressen gar nicht dafür gedacht sind, um einen Zugriff von außen zu ermöglichen. Der Client bestimmt ja z.B. selbst, wie lange diese Adressen gültig ist. Zum Teil hat ein Client sogar mehrere Adressen, weil einige der alten Adressen noch für ausgehende Verbindungen benutzt werden. Es gibt schlicht keinen sinnvollen usecase für wechselnde Adressen bei Servern.

dope69 schrieb:
Oder weiterhin NAT für v6, wäre auch besser als so.
Zum Vergrößern anklicken....
Der ganze Sinn hinter IPv6 ist, dass man die Krücke NAT endlich los wird. Die PEs sind eine sinnvolle Lösung, um das Privatsphäreproblem in den Griff zu bekommen.

Die korrekte Lösung ist einfach, für Server einen festen IPv6-Suffix zu verwenden. Alles andere ist Pfusch. Selbst Windows unterstützt das meines Wissens auch und verwendet für ausgehende Verbindungen eine PE-generierte Adresse, für Dienstefreigaben jedoch eine Adresse mit festem Suffix.
 
dope69 schrieb:
dynv6 bietet scheinbar auch die Möglichkeit den Identifier anhand der MAC zu berechnen, aber Windows generiert das ja komplett zufällig (Mit eingeschalteten Privacy Extensions).
Zum Vergrößern anklicken....
Das sind nicht die Privacy Extensions, das sind die Randomized Identifiers. Die sind unabhängig von den Privacy Extensions. Ich empfehle, den Thread mal komplett zu lesen, das hab ich ausführlich erläutert und auch die entsprechenden Artikel verlinkt, wo beschrieben ist, wie man das ändert.

dope69 schrieb:
Die Privacy Extensions abzuschalten halte ich auch für keine gute Idee, da man dann ja auch bei allen ausgehenden Verbindungen immer die gleiche IP hat, unabhängig vom Netz. (Tracking Gefahr)
Zum Vergrößern anklicken....
Wie gesagt, die Privacy Extensions für die ausgehenden Verbindungen sind unabhängig von den Ramdomized Identifiers für die eingehenden Verbindungen.

dope69 schrieb:
Wenn wenigstens die FritzBox die Zuteilung eines Hosts an z.B. xxxx:xxxx:xxxx:a0c5 mitkriegen würde, könnte man ja wenigstens einen DynDNS pro Host hinter der FritzBox updaten, aber die FritzBox kennt die global eindeutigen IPv6s der Hosts gar nicht.
Zum Vergrößern anklicken....
Richtig. Warum das so ist, hatte ich oben ja auch erklärt.
 
Du hast ja weiter oben geschrieben:
riversource schrieb:
Die Interface Identifiers werden also nicht aus der MAC abgeleitet, sondern zufällig bestimmt - allerdings statisch für die "normalen" IPs. Nur für die temporären IPs ändern sich die Identifier.
Zum Vergrößern anklicken....
Das kann ich so nicht bestätigen. Unter Windows 10 habe ich im gleichen Netzwerk, mit dem gleichen Netzwerkadapter an zwei Tagen zwei unterschiedliche Suffixe. Und auch in zwei unterschiedlichen Netzen am gleichen Netzwerkadapter habe ich zwei unterschiedliche Suffixe.
Wenn ich mittels
Code: 
Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
die Random Identiefier ausschalte, bekomme ich einen Suffix nach EUI-64. Das passt.

Dieses Verhalten von Windows (mit eingeschaltetem RandomizeIdentifiers) macht diese IP Adressen doch total nutzlos? Für ausgehend werden sie nicht benutzt und eingehend kann ich sie auch nicht benutzen, da ich mir nicht sicher sein kann das der Host wirklich immer diese eine IP hat. Da hilft ja nur deaktivieren.

Alos wenn es so wäre, dass dieser Suffix einmalig random erzeugt wird und dann statisch ist, sollte der Suffix ja immer gleich sein? (Netzwerkübergreifend) Enthält dann zwar nicht mehr die MAC Adresse, wäre aber trotzdem immer der Gleiche.

(Und nein ich rede nicht von den temporären IPv6-Adressen)
 
Zuletzt bearbeitet:
dope69 schrieb:
Dieses Verhalten von Windows (mit eingeschaltetem RandomizeIdentifiers) macht diese IP Adressen doch total nutzlos?
Zum Vergrößern anklicken....
Die Host ID ändert sich immer dann, wenn sich das Prefix ändert. Vielleicht denkt Windows, wenn es eh ein anderes Prefix gibt, ist es eine andere Adresse, dann kommt es auf die Interface ID auch nicht mehr an?

Wie gesagt, bei mir ändert sich die Interface ID nicht. Aber ich hab auch ein statisches Prefix.
 
Hab gerade meine Beitrag editiert, hatte falsch geguckt :rolleyes:

Aber in unterschiedlichen Netzen habe ich definitiv unterschiedliche Suffixe.

Ich behalte das mal im Auge ob sich der Suffix im gleichen Netz nochmal ändert.

Die Host ID ändert sich immer dann, wenn sich das Prefix ändert. Vielleicht denkt Windows, wenn es eh ein anderes Prefix gibt, ist es eine andere Adresse, dann kommt es auf die Interface ID auch nicht mehr an?
Zum Vergrößern anklicken....
Auch wieder wahr. Wenn man das Netz wechselt ist das egal. Wenn man aber im gleichen Netz bleibt und die FritzBox bekommt vom Provider ein neues Prefix zugewiesen, wäre es schön wenn der (statische random) Suffix gleich bleibt, weil man dann die Freigabe in der FritzBox nicht anpassen müsste. Ich beobachte das mal.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: riversource
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Fritzbox 7590 AX Wireguard und DS-Lite (Drillisch)
2 3
Antworten
46
Aufrufe
1.567
Black-Angel
B
J
OpenWRT AP Konfiguration hinter VF Station (DNS/IPv6)
Antworten
18
Aufrufe
598
norKoeri
N
R
nur IP v6 erreichbar?
Antworten
18
Aufrufe
808
norKoeri
N
koma
Wireguard Verbindung möglich? Fritzbox A (IPv4) Fritzbox B (IPv6)
2
Antworten
23
Aufrufe
1.717
koma
koma
F
Tp-Link Omada ER605 Router Portfreigabe ipv6
2
Antworten
38
Aufrufe
2.043
flamy
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz