IPv6 mit NAT möglich?

[Bob.Dig]

Mein ISP stellt mir beide IPv* zur Verfügung aber ich habe bisher v6 im Router hinter dem Kabel-Modem deaktiviert. Der Grund ist, dass ich nicht möchte, dass mein Provider sehen kann wie viele Geräte ich in meinem Netz habe und auch sonst gefällt mir die Idee nicht, dass jeder Rechner seine eigene IP-Adresse im Netz hat auch wenn die Privacy Extensions aktiviert sind und eine IPv6 Firewall im Router vorhanden ist. Hoffe ich liege bis hier hin richtig, bin ja kein Experte.

Was mir aber gefallen würde: NAT mit IPv6, genauso wie mit IPv4 schon. Ist das möglich?

 

[rony12]

grundsätzlich sollte das möglich sein.

Aber dann verwende doch weiterhin IPv4, wenn du NAT verwenden möchtest.
Der Vorteil von IPv6 ist eben, das jedes Gerät eine eineindeutige IP Adresse erhalten kann

 

[brainDotExe]

IPv6 wurde mit dem Ziel entwickelt das NAT/PAT unnötig zu machen.
NAT/PAT ist eine Krücke um IPv4 weiterleben zu lassen.

Btw. die Idee hinter dem ganzen Internet war, dass jeder Rechner eine eigene IP Adresse hat.

 

[Bob.Dig]

IPv6 ist die Zukunft und wer weiß, wie viele PCs bald nur mit v6 zu erreichen sind (z.B. p2p), daher meine Frage ob es da eine Möglichkeit gibt quasi auch nur eine einzige IPv6 Adresse mittels NAT zu nutzen.

 

[brainDotExe]

Was du suchst wäre NAT mit PAT bei IPv6.
Bei IPv6 unterstützt das meines Wissens nach keiner der gängigen Consumer Router.
Auch bei den professionellen Routern wird es schwierig, da es überhaupt nicht vorgesehen ist.

Edit: Man könnte sich mit Linux (uns Linux basierten Routern) was basteln:
https://mirrors.bieringer.de/Linux+IPv6-HOWTO/nat-netfilter6..html

 

[Bagbag]

Also mit OPNsense ist das ohne Probleme möglich.

 

[Bob.Dig]

Was du suchst wäre NAT mit PAT bei IPv6.
Bei IPv6 unterstützt das meines Wissens nach keiner der gängigen Consumer Router.
Auch bei den professionellen Routern wird es schwierig, da es überhaupt nicht vorgesehen ist.

Von diesen Tunneln hier das das zufällig keiner? Bin echt ahnungslos.

 

[Sykehouse]

Es gibt NAT für IPv6, aber eben kaum Gründe dafür, es zu verwenden.

 

[Bob.Dig]

Also mit OPNsense ist das ohne Probleme möglich.

Interessant, dass es also Möglichkeiten gibt.

 

[MADman_One]

NAT ist bei IPv6 offiziell nicht vorgesehen, es wurden aber wohl trotzdem schon einzelne NAT Lösungen auch für IPv6 gebastelt soweit ich weiss, diese wirst Du aber mit ziemlicher Sicherheit nicht in SOHO Produkten finden, da musst Du dann mit Komponenten wie OPNSense oder NFNAT66 selbst rumbasteln. Es gibt immer jemanden der eine Katze gegen den Strich bürsten will, daher findet man eigentlich immer OpenSource Lösungen auch für spezielle Anforderungen
Mir wäre das alles die Mühe jedenfalls nicht wert, ich arbeite bereits mit IPv6, und Privacy Extensions sowie eine IPv6 Firewall reicht mir da für meine Zwecke sicherheitstechnisch völlig aus.

Die Sicherheit von IPv6 ist auch schon per Design höher als bei IPv4 wenn es richtig implementiert wird (was leider mangels Erfahrung zugegebenermaßen oft noch nicht der Fall ist). NAT ist außerdem kein Sicherheitsfeature, es hat lediglich Merkmale die die Sicherheit etwas erhöhen können, ist aber nicht gegen Hacks oder andere Angriffe abgesichert soweit ich weiss, daher packt man eben trotzdem eine Firewall oder ein ALG dazu.

Aber wenn Du das unbedingt haben willst, dann kannst Du vielleicht mit den genannten OpenSource Tools rumbasteln, möglicherweise kannst Du damit die von Dir gewünschte Lösung realisieren.

 

[Bob.Dig]

Das wär mir zu hoch. Ich werde also einfach IPv6 weiterhin deaktivieren.

 

[FaDam]

Heißt das, mein O2 Router vergibt gar keine private IPv6 Adresse an meine Geräte sondern O2 selbst vergibt eine IPv6 an mein iPhone?

Ich hatte das so verstanden das es auch bei IPv6 Private Adressbereiche gibt.
Mein Router bekommt eine öffentlich IPv6 Adresse + Mein Router vergibt eine private IPv6 == NAT

 

[Bagbag]

Das Stichwort hier ist SLAAC.

 

[rony12]

Heißt das, mein O2 Router vergibt gar keine private IPv6 Adresse an meine Geräte sondern O2 selbst vergibt eine IPv6 an mein iPhone?

Ich hatte das so verstanden das es auch bei IPv6 Private Adressbereiche gibt.
Mein Router bekommt eine öffentlich IPv6 Adresse + Mein Router vergibt eine private IPv6 == NAT

Wenn dein "router" und dein provider es richtig konfiguriert haben, bekommst du einen ganzen adressblock (bereich) und dein Router kennt diesen bereich und vergibt deinen geräten eine Adresse - also öffentliche adressen.

 

[FaDam]

Wow, Slaac ist ja kompliziert. Kein Wunder das alle an IPv4 hängen.
Ich würde hier local Scope vorziehen, O2 braucht nicht zu wissen wie viele Geräte bei mir aktiv sind.
Überhaupt will ich gar nicht das alle "meine" Geräte aus dem Netz erreichbar sind. Wenn ich das will, mach ich PortForwarding.

Einen ganzen Block? Da werden gleich wieder Adressen verschwendet, für den einen ist der Block zu viel, der andere nutzt nur 1 Adresse aus diesem.

Mal sehen ob ich raus bekomme was die O2 Homebox2 da macht.

 

[luky37]

Site-local IPv6 Adressen können nicht im Internet benutzt werden, nur global Unicast Adressen können benutzt werden.

IPv6 ist nicht IPv4 mit einem längeren Adressbereich, es handelt sich um ein neues Protokoll, das mit den alten Limitation endlich aufräumt.

IPv4 Privacy oder NAT Konzepte auf IPv6 anwenden zu wollen ist nicht sinnvoll, ich rate euch stark das gar nicht erst zu versuchen.

O2 braucht nicht zu wissen wie viele Geräte bei mir aktiv sind.

Dein Provider kann durch passive fingerprinting wahrscheinlich sowieso die Geräte in deinem LAN feststellen, wenn er das wollen würde (unter IPv4). Bei IPv6 mit zuschneiden, wie viele private IPv6 Adressen Verkehr machen ist ungefähr gleich aufwendig und nur wenig fehleranfälliger wie ersteres.

Das bei IPv4 alles sauber versteckt ist, ist genauso eine Illusion wie die das bei IPv6 auf einmal alle Scheunentore offenstehen.


Zu versuchen IPv4 Konzepte wie PAT auf IPv6 anzuwenden wird für alle möglichen Probleme sorgen.

 

[FaDam]

Hm, ja.

Ich mache es Bob gleich. Der Router kann von mir aus IPv6 bekommen. Mein Heimnetz möchte ich steuern. Keine Globalen IPs.

Danke Bob, für den Fingerzeig.
Danke Leute für die Erklärung.

 

[TheCadillacMan]

Überhaupt will ich gar nicht das alle "meine" Geräte aus dem Netz erreichbar sind. Wenn ich das will, mach ich PortForwarding.

Sind sie auch nicht, weil der Router eine IPv6-Firewall hat. Externen Zugriff auf ein Gerät musst du dort erst freigeben.

Einen ganzen Block? Da werden gleich wieder Adressen verschwendet, für den einen ist der Block zu viel, der andere nutzt nur 1 Adresse aus diesem.

Die Anzahl der Internet-Geräte steigt auch in Privathaushalten und auch mit Blick auf IoT ist IPv6 darauf ausgelegt. 2^128 Adressen werden so schnell nicht ausgehen.

IPv6 ist nicht IPv4 mit einem längeren Adressbereich, es handelt sich um ein neues Protokoll, das mit den alten Limitation endlich aufräumt.

Stimmt, wobei das Konzept jedem Internet eindeutige Adressen zuzuweisen auch bei IPv4 vorgesehen war und auch praktiziert wurde bis die Adressen ausgingen.
Techniken wie PAT wurden zur Umgehung der Adressknappheit und nicht als Sicherheitskonzept eingeführt. Über lange Zeit gab es kein PAT.
Wenn man so will, ist durch den größeren Adressbereich IPv6 eine Art "Rückbesinnung auf alte Werte" in Verbindung mit neuen Techniken (NDP, SLAAC, Privacy Extensions etc.)

 

[Bob.Dig]

Dein Provider kann durch passive fingerprinting wahrscheinlich sowieso die Geräte in deinem LAN feststellen, wenn er das wollen würde (unter IPv4). Bei IPv6 mit zuschneiden, wie viele private IPv6 Adressen Verkehr machen ist ungefähr gleich aufwendig und nur wenig fehleranfälliger wie ersteres.

Könntest du letzteres und ggf. auch ersteres näher erläutern? Wer teilt denn in meinem Falle, Kabelmodem und eigener Router, die WAN-IPv6 Adressen zu, ausschließlich und zu 100% (nur) mein Router? Und selbst wenn er das macht, sobald die Geräte online gehen, müsste der ISP diese ganzen IP-Adressen doch sehen und abschätzen können, z.B. wie viele Geräte ich im Betrieb habe und warum sollte das für ihn schwierig sein?
Lerne ja gerne dazu.

 

[brainDotExe]

Dein Router bekommt ein IPv6 Subnetz vom Provider zugewiesen. Adressen aus diesem Prefix verteilt er im Heimnetz an die Geräte.
Durch Privacy Extensions wechseln diese schon mal, bzw. einem Gerät können natürlich auch mehrere Adressen zugewiesen werden.

Im Schnitt sollten so mehr Adressen nach außen kommunizieren als Geräte in deinem Netzwerk vorhanden sind.