IPv6 mit NAT möglich?

[Sykehouse]

Um genau zu sein verteilt nicht mal der Router die IPv6 Adressen, er teilt nur das erhaltene Präfix den Client-Geräten mit, diese geben sich dann selber eine, respektive meist mehrere IPs. Der Begriff "stateless" bedeutet, dass eben niemand Buch führt und die Adressvergabe steuert, wie es ein IPv4-DHCP Server tut. Von dem kriegt der ISP auch gar nichts mit. Wenn dieser also wissen will, was für IPv6 Adressen in deinem Netz aktiv sind, dann muss er deinen Internettraffic mitschneiden und analysieren. Falls dein ISP das tut, dann ist nicht IPv6 dein Problem...

 

[Bob.Dig]

Na ja die Verbindungen sich als Provider anschauen ist ja nicht das selbe wie den ganzen Traffic mitzuschneiden...

 

[luky37]

Der Provider teilt deinem Router via DHCP Prefix Delegation den IPv6 *prefix* mit. Anhand diesem Prefix verteilt dein Router dann via SLAAC oder auch DHCPv6 (non-PD) die IPv6 Adressen.

Na ja die Verbindungen sich als Provider anschauen ist ja nicht das selbe wie den ganzen Traffic mitzuschneiden...

Verbindungen anschauen ist genauso einfach/schwierig/billig/teuer wie in den header der Packete reinzuschauen. Dein Vergleich ist sinnloss weil "Traffic mitschneiden" eine schwammige Definition ist. Wenn du damit meinst das ein Typ den ganzen Tag durch die Verbindungslogs deiner Verbindung scrollt dann ist das genauso unwahrscheinlich unter IPv4 wie unter IPv6.

Du kannst dir sicher sein dass der Provider genug Angriffsfläche bei IPv4 hat, die sich durch IPv6 Nutzung nicht viel verändert.

 

[Bob.Dig]

@luky37:
Traffic mitschneiden kam ja von Sykehouse und mir ist die Definition davon eigentlich klar. Du pickst Dir jetzt irgendwelche Sachen ohne Kontext raus oder erklärst Sachen die schon erklärt wurden. Das hilft hier jetzt nicht wirklich.

Ich möchte als Home-User Privacy, wechselnde IPs, eine DDNS-Adresse mit LE-Zertifikat für verschiedene Server hinter meinem Router und habe den Eindruck, ich bin deutlich besser mit IPv4 aufgehoben.

Und auch wenn diese stateless-Vergabe von IPs, wie von Sykehouse beschrieben, interessant ist, so ändert das nicht wirklich genug in meinem Sinne. Und dank Vorratsdatenspeicherung ist der ISP vermutlich verpflichtet die IPs zu loggen. Und selbst wenn er es nicht ist, wird er es vermute ich trotzdem tun und hat damit ein genaues Bild, wie viele Geräte ich betreibe.

 

[TheCadillacMan]

Und auch wenn diese stateless-Vergabe von IPs, wie von Sykehouse beschrieben, interessant ist, so ändert das nicht wirklich genug in meinem Sinne.

Der eigentliche Datenschutzmechanismus sind die Privacy Extensions wodurch die Geräte periodisch zufällig gewählte Adressen verwenden.

Und selbst wenn er es nicht ist, wird er es vermute ich trotzdem tun und hat damit ein genaues Bild, wie viele Geräte ich betreibe.

@luky37 will sagen, dass das Herausfinden der Anzahl der Geräte in deinem Heimnetz für den ISP mit IPv4 auch nicht viel schwerer ist als mit IPv6.
Selbst wenn deinen ISP das interessieren würde (der Nutzen der Information für den ISP erschließt sich mir nicht ganz) und er es nicht schon einfacher herausgefunden hat (z. B. über aktives TR-069) stellt PAT auch keine große Hürde dar.

 

[Bob.Dig]

Warum nicht? Ihr sagt das beide aber eine Erklärung dazu gebt ihr nicht. Die IPs laufen doch quasi durch, also absolut keine Schwierigkeit und mit NAT soll es quasi genauso einfach sein? Glaub ich nicht, wenn keiner von euch sagt wie das gemacht wird/würde.

Ergänzung (10. Oktober 2018)

Der eigentliche Datenschutzmechanismus sind die Privacy Extensions wodurch die Geräte periodisch zufällig gewählte Adressen verwenden.

Bringt mir nicht wirklich was wenn alle meine Geräte 24/7 online sind gegenüber dem ISP. Nicht falsch verstehen, ich finde die Privacy Extensions gut, aber NAT (und wechselnde IPv4s) sind noch besser was das betrifft.

Ergänzung (10. Oktober 2018)

Letztlich geht es mir nur darum ob ich bis jetzt was verpasst habe und das scheint mir nicht der Fall. Leute mit anderen Ansprüchen können natürlich auch eine andere Meinung dazu haben. Aber falls diese Leute nicht verstehen, warum nicht jeder auf den Zug aufspringen mag, dann ist hier u.U. eine Erklärung zu finden, was ja auch FaDam Reaktion zeigt.

 

[brainDotExe]

Bringt mir nicht wirklich was wenn alle meine Geräte 24/7 online sind gegenüber dem ISP. Nicht falsch verstehen, ich finde die Privacy Extensions gut, aber NAT (und wechselnde IPv4s) sind noch besser was das betrifft.

Dein IPv6 Subnetz wechselt ja auch bei der Neueinwahl.
Außerdem wechseln die Clients durch die Privacy Extensions regelmäßig die IPv6 Adressen.
https://www.elektronik-kompendium.de/sites/net/1601271.htm

Der Provider müsste, um zu erkennen wie viele Geräte sich bei dir im Heimnetz befinden, protokollieren welche IPv6 Adressen zeitgleich ausgehenden Traffic verursachen. Das ist natürlich sehr ungenau, wegen dem zeitlichen Aspekt. Wenn schon ein Gerät nicht sendet, ist es ungenau.

Und dank Vorratsdatenspeicherung ist der ISP vermutlich verpflichtet die IPs zu loggen. Und selbst wenn er es nicht ist, wird er es vermute ich trotzdem tun und hat damit ein genaues Bild, wie viele Geräte ich betreibe.

In der Regel wird der Provider protokollieren, welche IPv4 Adresse und welches IPv6 Subnetz er dir für welchen Zeitraum zugeteilt hat.
Mehr ist nicht notwendig.
Um zu erkennen wie viele Geräte du hast, müsste er wie schon gesagt die Verbindungen über einen längeren Zeitraum protokollieren.
Das macht aber keinen Sinn, da es gesetzlich nicht gefordert ist und nur unnötig Speicherplatz verbraucht.

 

[lokon]

Dein IPv6 Subnetz wechselt ja auch bei der Neueinwahl.

Der "Client", der im Home-Router läuft kann vom Provider auch neue Subnetze/Prefixe anfordern während der alte noch gültig sein könnte -- hängt eben vom Provider ab.
Es gibt die standardisierte Prefix-Delegation DHCP-PD.
Somit können verschiedene Netze mit jeweils eigenem Router hinter dem Haupt-Router/Firewall hängen und bekommen immernoch public IPv6.

Bei öffentlichen IPv6 gibt es Privacy Extension und DHCPv6 Einstellungen, die eine Verfolgbarkeit erschweren können und im lokalen Lan kann die vom Router verteilte Private IPv6 genutzt werden
Siehe Linux iproute2 man .
Aktuell sind hier 6 Private IPv6, 7 öffentliche IPv6, 1 Link Local IPv6 auf einem Netzwerkinterface an einem normalen "Consumer" Router mit OpenWrt und IPv6 Tunnel.

Bei den öffentlichen zB: 1x "statische IPv6" , 1x von DHCPv6, 1x IPv6 nicht Privacy mit Hardware MAC als Bestandteil und der Rest ist von den Privacy-Extensions.

Die Frage ist "nur" noch welche Absende-IP das Programm jeweils nutzt, und ob es überhaupt einstellbar ist.
Alle ~10Minuten einen IPv6 Wechsel im Chatprogramm bereitet eher Probleme, als wenn der Browser alle 10Minuten eine andere IPv6 nutzt.

 

[Sykehouse]

@Bob.Dig Du erklärst ja auch nicht, was am Tracken von IPv6 Adressen einfacher sein soll, das ist auch bloss eine Annahme deinerseits. Wenn man Traffic anschaut, dann braucht man in der Regel Tools wie tcpdump oder Wireshark und die schneiden nunmal alles mit, nicht bloss Source und Destination IP. Ob man dann konkret auch den Inhalt der Verbindung speichert und auswertet oder nur deren Header, ist dann eine andere Frage. Du hast übrigens auch noch nicht erläutert, warum dein ISP mitzählen soll, wie viele Geräte du in deinem Netz verwendest. Was soll der davon haben? Du solltest grundsätzlich davon ausgehen, dass kommerziell operierende Firmen nur Geld ausgeben für Dinge, die ihnen auch konkret etwas nützen. Ich sehe da erstmal keinen konkreten Nutzen von, dies zu wissen, und falls ich als Firma daran interessiert sein sollte, das Verhalten meiner Kunden zu kennen, dann sind wir wieder beim Punkt oben, dann scheide ich doch alles mit, was ich kann, nicht bloss ein Schnipsel mit zweifelhaftem Nutzen.

Mir scheint dein Unbehagen eher aus Unkenntnis zu stammen, wenn ich mir deine Aussagen zu deinen Serverdiensten weiter oben anschaue. Falls dir IPv6 nicht geheuer ist, dann lass es deaktiviert, kein Problem, du musst deswegen keine Bedrohungsszenarien konstruieren um dies zu rechtfertigen.

 

[Bob.Dig]

Also ich kann in meinem Router auch einstellen, dass er loggen soll, z.B. die IP Verbindungen. Dafür muss ich nicht den ganzen Traffic mitschneiden... Nennt sich glaube ich Verbindungsdaten.

Aber danke allen die sich beteiligt haben, hier ist jetzt wohl alles gesagt.

 

[FaDam]

@Bob.Dig Du erklärst ja auch nicht, was am Tracken von IPv6 Adressen einfacher sein soll, das ist auch bloss eine Annahme deinerseits. .

Im Prinzip hat Bob schon recht.
Seiten die dynamisch Code erzeugen, können dann jedem Nutzer andere Inhalte anzeigen.

Ein Beispiel.
Der Provider gibt einen Pool von 16 Adressen an X.
Weitere 16 Adressen zu Y.
X Besucht eine Nachrichtenseite, da die Adresse aus dem Pool ist bekommt er andere Nachrichten angezeigt als Y.
Bisher braucht das metadaten oder Cookies z.B. für "angepasste" Preise auf Webseiten das vom Browser übertragene BS. Metadaten kann man per AddOn ändern, die v6IP verrät mich aber sofort bei jeder Seite.

 

[Bagbag]

Mit X und Y meinst du unterschiedliche Personen? Dann hat X bei IPv4 halt nur eine, so wie Y auch nur eine (andere) IPv4 hat. Lässt sich genauso unterscheiden.

 

[FaDam]

Mit X und Y meinst du unterschiedliche Personen? Dann hat X bei IPv4 halt nur eine, so wie Y auch nur eine (andere) IPv4 hat. Lässt sich genauso unterscheiden.

Ja für maximal 24h
Den IPv6 Pool behalte ich ewig

 

[brainDotExe]

Ein Beispiel.
Der Provider gibt einen Pool von 16 Adressen an X.
Weitere 16 Adressen zu Y.
X Besucht eine Nachrichtenseite, da die Adresse aus dem Pool ist bekommt er andere Nachrichten angezeigt als Y.
...
Metadaten kann man per AddOn ändern, die v6IP verrät mich aber sofort bei jeder Seite.

Und was ist dabei der große Unterschied zu IPv4?
Nur das dieses Verhalten jetzt auch pro Rechner angewendet werden kann, was aber durch Privacy Extensions keinen Sinn macht.

Edit: Ah, jetzt verstehe ich was du meinst.
Aber bei den gängigen Privatkundentarifen behält man das IPv6 Subnetz nicht ewig.
Bei der Telekom maximal 180 Tage.
Wenn man will, bei jeder Neueinwahl ein anderes.

 

[FaDam]

Klar macht es Sinn allen Europäern einen IPv6 Pool zu geben und Sie für US Seiten so noch einfacher zu sperren.

 

[brainDotExe]

Ist bei IPv4 nicht anders.
https://en.wikipedia.org/wiki/List_.../8_blocks_to_the_Regional_Internet_Registries

Btw. das hat nichts mit den Protokollen zu tun. Das ist ihr (Amerikanern) "gutes" Recht. Die sind nicht verpflichtet ihre Webseiten und Dienste allen anzubieten.

 

[luky37]

Grundsätzlich ist alles gesagt, nur eine Antwort zur Frage von lokon:

Die Frage ist "nur" noch welche Absende-IP das Programm jeweils nutzt, und ob es überhaupt einstellbar ist.

Entweder die Anwendung spezifiziert die Absende-IP (in den meisten Fällen ist das nicht der Fall, sicherlich nicht in Browsern).

Alle ~10Minuten einen IPv6 Wechsel im Chatprogramm bereitet eher Probleme

Nein. Es wird nicht die IP gewechselt. Es kommt eine neue IP dazu, die zur default IP wird. Heißt nicht dass die alten temporäre IP adressen sofort entfernt werden müssen, ansonsten würde es in der Tat zu Problemen kommen, bei TCP sessions die länger dauern.

 

[lokon]

Nein. Es wird nicht die IP gewechselt. Es kommt eine neue 4941IP dazu, die zur default IP wird. Heißt nicht dass die alten temporäre IP adressen sofort entfernt werden müssen, ansonsten würde es in der Tat zu Problemen kommen, bei TCP sessions die länger dauern.

Ja -- die alten IPs werden behalten und lt. RFC "irgendwann" entsorgt. "Future Work" sagt RFC4941
Beim Ausprobieren von ein paar Konfigurationen sieht man bei Bieringer ob die Adresse Random ist: "Interface Identifier" / EUI64_SCOPE

 

[luky37]

Nachdem der Timer für die Gültigkeit der IP abgeloffen ist, muss die IP entfernt werden. Das ist nicht "Future Work", sondern muss implementiert sein, ansonsten wären nach wenigen Wochen Uptime hunderte IP Addressen konfiguriert...

"Future Work" ist die automatische und sofortige Entfernung temporäre Adressen die nicht in Benutzung sind, OBWOHL sie noch länger gültig wären.