IPV6 und die Auswirkungen


#1

Daher das „optional“. Standardmäßig ist das nicht der Fall, wenn das von einem verwendete Betriebssystem IPV6 korrekt implementiert hat.


#2

Erm. »Standardmäßig« hat ein Gerät bei v6 erst einmal seine EUI-64-Adresse im /64-Prefix. Und mit der ist es im Grunde präfixneutral aufzuspüren. Konkret: weiß ich einmal Deine MAC-Adresse, könnte ich prinzipiell per dauerndem ping6 in jedes Freifunk-Netz gucken, wo »Du« (Dein Gerät) gerade bist.

In die Richtung kannst Du »privacy extenden« wie Du willst — solange Dein Gerät nicht – standardwidrig – die »Hardwareadresse« laufend ändert, bist Du prinzipiel »wiederfindbar«. (Ja, das ist etwas creepy.)


#3

Das ist korrekt, skaliert aber nicht, weil standardmäßig die Zufallsadresse für ausgehende Verbindungen verwendet wird.


#4

ping6 waere dann ja aber eher eine eingehende Verbindung.
Was meinst Du mit “skaliert nicht”?


#5

Ich hab da grad n kleines Verständnisproblem. Irgendwie wird davon ausgegangen das die Media Access Control Addresse weltweit einmalig ist. Das würde das Wachstum des Internets auf die Fünfundsechzigtausendfache Größe des heutigen IP4 Netzes begrenzen. Naja, zum Glück habe ich ja noch einige alte Netzwerkkarten rumliegen die standardmäßig keine MAC Addresse haben. Ja, das sind exakt die 100 MBit Karten die früher in DHCP gesteuerten Netzen immer Ärger gemacht haben.


#6

In verschiedenen Subnetzen kann/koennte ja die gleiche MAC-Adresse problemlos mehrfach vorkommen und Subnetze gibt es ja reichlich.

Dann muss das OS eben eine erfinden, Vorteile seh ich fuer solchen Elektroschrott keinen, das geht ja auch problemlos mit neuen Karten und die sind schneller.


#7

Dass du die alle händisch sammeln musst. Automatisiert in Serverlogs taucht die nicht auf, weil dort die zufällige verwendet wird. Und man kann die statische meine ich auch abschalten.


#8

Ja, das sollte so sein. Zwei identische MAC-Adressen in einem LAN sind … unvorteilhaft.

Äh? Also, AFAIK werden MAC-Adressen prinzipiell als einzigartig vergeben; relevant ist das allerdings nur per LAN-Segment, und außer Freifunkern baut, AFAICS, heute kein Mensch bei Verstand mehr Layer-2-Netze mit über hundert Geräten.

Prämisse: »weiß ich einmal Deine MAC-Adresse«; ob Du mit einer »privacy«-Adresse rausgehst, oder auch nicht: wenn ich den EUI64-Teil kenne, könnte ich Dich wiederfinden. Relativ utopisch aufgrund des marginal größeren Adressbereichs bei v6, zugegeben …


#9

Da hast Du die Rechnung ohne die Firewall gemacht - die ist mit dem Ende von NAT bei IPv6 wieder so richtig wichtig.


#10

Also gut, wo wir schonmal rausgefunden haben wie wir uns im IPv6 Netz wiederfinden können wie wäre es wenn man dann auch generell irgendwelche Dienste zur Verfügung stellt. Zumindest der obligatorische Engine X sollte doch wohl drin sein, eventuell mit Etherpad oder ähnlichem dahinter.

Das Ende von Netzwerkaddressenumsetzung wegen IPv6 ? Nunja man brauch es ja jetzt nicht mehr aber das hindert mich natürlich nicht daran damit irgendwelchen Unsinn anzustellen. Zuvor aber probier ich aus was man MitM Proxy so alles anstellen kann.


#11

Wuesste jetzt im Moment niemanden, der Dich davon abhalten wuerde oder willst Du das in Auftrag geben?

Ja, tut das und mach Dir auch gleich Gedanken darueber, ob es clever ist in einem oeffentlichen Forum Vergehen gegen §202 des Strafgesetzbuches anzudeuten.

Und wenn Du der Durchblicker bist, koenntest Du zu NAT66 gleich mal einen Thread aufmachen und erklaeren, wie Du das nutzen wllst, ich versteh das naemlich nicht.


#12

Ganz so der Durchblicker bin ich leider noch nicht aber wir kommen um IP6 woch nicht drumherum. Im Netz von Nord werden zur Zeit noch nichtöffentliche Addressen verwendet was sich wohl beizeiten ändern wird. Im Heimnetz Gibt es Addressen vom Provider die im primären Segment verfügbar sind. Weitergabe eines Subnetzes in ein weiteres Segment klappt ohne Eingriffe nicht. Zu Testzwecken habe ich da dann auch private Addressen in den Subnetzen. Nachdem ich erfahren habe das NAT eben doch in Richtung IP6 weiterentwickelt wurde hab ich mir das auch mal angeschaut. Auf Unbound und den Man in the Middle Proxy bin ich erst vor einiger Zeit gestoßen. Im Testsegment habe ich seitdem keine Fehlermeldungen mehr wegen abgelaufener oder ungültiger Zertifikate. Das funktioniert natürlich nur wenn man aktiv ein Zertifikat nachinstalliert. Die Zeiten wo man einfach mal den Netzwerkverkehr umleitet ohne das die beteiligten Clients dich mit Fragen bombardieren sind eigentlich vorbei.

Aber eigentlich geht es ja um Szenarien im Freifunk. Auf meinem Notebook läuft natürlich ein Engine X und dahinter ein EP Lite. Ab und zu is das ziemlich nützlich. Vor einiger Zeit wollte jemand eine Suchmaschine für das Freifunknetz basteln die solche Dienste indiziert. Im Freifunknetz betriebene subversive Foren oder Portale haben eventuell auch ihren Reiz. Hier könnte MitM den Dienst mit HTTPS nachrüsten, muss ja nicht jeder alles mitlesen können.

Das schöne an Freifunk ist einfach das es ein riesiger Switch ist wo alle dran hängen. Jeder innerhalb des jeweiligen Freifunknetzes kann jeden anderen in demselben Netz erreichen. NAT Traversal brauch man zum Glück nicht. Das bringt doch sicher einige Ideen ans Tageslicht die im normalen Internet wo noch nicht überall IP6 gesprochen wird noch nicht zuverlässig funktionieren.

Ich bin mir sicher das Freifunk mehr sein kann als ein für den Nutzer kostenloser Internethotspot.