Eigener NAT bei Kabelanschluss mit IPv6?

[jusaca]

Einer unserer Dozenten an der Uni hat erzählt, dass die Kabelnetzbetreiber wie Unitymedia bei ihren IPv6-Anschlüssen den NAT zu sich gelegt haben und das Netzwerk somit ab dem ISP offen liegt.
Hat sich darum hier mal jemand gekümmert, also beispielsweise einen zweiten Router hinter den Unitymedia-Ding geklemmt? Und wie sinnvoll ist das so? Ich bin grad nämlich wirklich am überlegen, ob ich mir noch eine günstige Fritzbox oder so zwischen den Kabel-Router und mein Heimnetzwerk schalte...

Grüße
jusaca

 

[arvan]

Du meinst das dein Heimnetzwerk von andere Kabel As erreichbar ist?
Das ging früher mit den alten Modems, die direkt per DHCP an der CMTS ohne Firewall waren.
Die "Modems" heute sind eigentlich schon eher "Router"

 

[Lawnmower]

Das erledigt sich doch sowiso per 1. August 2016 wenn das Gesetz gegen den Router Zwang in Kraft tritt - dann kann man sich da irgendwas hinstellen wo man auch 100% die Kontrolle darüber hat und sich sicherer über die tatsächliche Config sein kann. Bei mir ist auch ein Modem (bzw es ist ja eine Bridge) dran, aber selbst wenn es ein Router vom Anbieter wäre, würde ich trotzdem noch selbst ein Router oder eine Firewall dahinterklemmen weil man nie sicher sein kann was und wann die an der Config rumschrauben die ggf eine Gefahr für das heimische Netz bedeuten kann.

 

[PongLenis]

Ich glaube nicht, dass mit dem Routerzwang auch DSlite verschwindet. Leider.

Aber bei DSL hab ich ja eh höheren Upload.

 

[Lawnmower]

Das wird sicherlich nicht verschwinden, diesbezüglich ändert sich ja nichts und wird ja nicht durch die bisherigen Router verursacht.
Aber wenn man schon mal nicht mehr zu den oft grottigen Zwangsteilen gezwungen wird, ist das schon mal eine ordentliche Verbesserung.

Von dem her könnte der TE abwarten bis August (und bis dahin alles so lassen wie es ist) und sich dann ein Router gemäss Bedürfnissen zulegen , installieren und das Teil vom Provider auf den Müll werfen oder zurückschicken. Das einzige was mir noch nicht klar ist, ob weiterhin ein Modem/Bridge vom Anbieter gestellt wird oder ob man dann selbst so ein Teil bzw ein Router mit integrierten Kabelmodem kaufen muss.

 

[strex]

Ich glaube nicht, dass mit dem Routerzwang auch DSlite verschwindet. Leider.

DSlite wird nicht verschwinden. Wo sollen denn die IPv4 Adressen herkommen, wenn man keine mehr von der Ripe bekommt. Da wird nichts abnehmen, sondern weiter zu nehmen. Wer IPv4 will kann sich ja Subnetze leasen oder kaufen von Zwischenhändlern. Der eine oder andere Anbieter wird die sicher im Business Tarif für extra Geld announcen und routen. Wem das zu teuer ist, mietet sich für paar Euro den Monat ein vServer und eine extra IP und routet über den gesamten Traffic per VPN zum vServer.

 

[jusaca]

Mir ging es eigentlich nur darum, dass das port forwarding bei mir im Router geschieht, sodass nach außen nur eine IP-Adresse zu sehen ist.

 

[brainDotExe]

Nach außen sichtbar ist weiterhin nur eine IPv4 Adresse, da die IPv4 Anfragen ja doppelt genattet werden.
Es wird bei dir im Router genattet und beim Provider nochmal.
Bei IPv6 Anfragen ist die IPv6 Adresse des Gerätes bei dir im Heimnetz sichtbar, da es bei IPv6 kein NAT gibt.
NAT ist bei IPv6 nicht vorgesehen.

Damit von außen niemand auf deine Geräte per IPv6 zugreifen kann, läuft in der Regel auf deinem Router eine IPv6 Firewall.

 

[KnowSlayes]

Ich würde ja gerne Helfen, aber ich verstehe die Aussage noch nicht von deinem Dozenten!
Was ist damit gemeint, das Netzwerk somit ab dem ISP offen liegt???

Ändert am NAT am Modem nichts wenn du noch ein FritzBox dran hängst. Kannst halt NAT - NAT machen. Den Vorteil erkenne ich noch nicht.

 

[jusaca]

Ok, das ist ja sonderbar. Ich kenne mich mit Netzwerktechnik nicht so gut aus, daher kann ich nur wiedergeben, was uns der Dozent erzählt hat:
Bei IPv4 sehe man nach außen nur eine IP-Adresse und dann Ports, über die meine Geräte erreichbar sind.
Bei IPv6 sei jedes Gerät nach außen hin mit eigener IP-Adresse sichtbar und somit ansprechbar.
Ein zusätzlicher Router dazwischen mit eigenem NAT, an dem dann alle Geräte angeschlossen sind, solle das Problem beheben.

Wenn dem nicht so ist, dann weiß ich auch nicht...

 

[Lawnmower]

Was Du suchst ist eine reine Firewall (das geht mit IPv4 oder/und IPv6). Du kannst damit alle nicht benötigten Ports schliessen (bzw gar nicht erst aufmachen) und den Zugang so in dein LAN absichern.
Ein Router brauchst Du wenn der IP Bereich sich im Internet von deinem im LAN unterscheidet (bisher meistens bei IPv4 der Fall, bei IPv6 eben nicht mehr).

 

[KnowSlayes]

Ok, das ist ja sonderbar. Ich kenne mich mit Netzwerktechnik nicht so gut aus, daher kann ich nur wiedergeben, was uns der Dozent erzählt hat:
Bei IPv4 sehe man nach außen nur eine IP-Adresse und dann Ports, über die meine Geräte erreichbar sind.
Bei IPv6 sei jedes Gerät nach außen hin mit eigener IP-Adresse sichtbar und somit ansprechbar.
Ein zusätzlicher Router dazwischen mit eigenem NAT, an dem dann alle Geräte angeschlossen sind, solle das Problem beheben.
Wenn dem nicht so ist, dann weiß ich auch nicht...

Jetzt verstehe ich glaube ich, was gemeint ist.
Aber bei IPv6 werde ich ja auch mein Netzwerk mit privaten IPv6 machen die dann per NAT im öffentlichen IPv6 übersetzt werden.
Wahrscheinlicher ist eher ein IPv4 Privates Netzwerk mit NAT zum öffentlichen IPv6.

Was dein Dozent vergisst, das geht ja auch mit IPv4 das ich die Rechner direkt sehen von aussen. Ich kann ja mein Rechner mit X öffentlichen IPv4 Adressen versehen. Die verstehen sich dann untereinader und sind von aussen erreichbar.

Also wenn du deinen Rechner eine IPv4 Adresse gibst und dein öffentlichen IP von v6 brauchst ändert eine zusätzliche Fritzbox nichts am Konstrukt.