alle privaten IP-Bereiche RFC4291

Es gibt 29 Antworten in diesem Thema, welches 2.026 mal aufgerufen wurde. Der letzte Beitrag () ist von Naichbindas.

    Hallo


    Kann mir jemand sagen was hier eigentlich das richtige ist.

    habe jetzt schon mehrere Videos daz angesehen und ein wenig rum gelesen, aber ganz schlau bin ich da durch auch noch nicht geworden


    Der Standard "alle privaten IP-Bereiche RFC4291" , was muss da genau rein?

    Wenn ich das richtig verstanden habe ist das ja dieser Bereich "fe80::/10" , oder ist das falsch?


    Im Internet habe ich noch dazu "FF02::1 und FF02::2", die dürften aber nix mit dem privaten Bereich zu tun haben oder doch?

    Wer kann da mal ein wenig Licht ins dunkel bringen?


    Vielen Dank.


    mfg






    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Danke

    Ich glaube das heist sogar richtig RFC4193 oder?

    Ja irgendwas habe ich das auch gefunden mittlerweile.

    Welche Schreibweise ist da die richtige, entweder so: fc00::/7 oder fc00::7?

    Ich glaube aber beides ist richtig.


    Einen Vorteil hatt es, das es dort nur Unique Local Adressen gibt und nicht Klasse A, B oder C Netz.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    Im Internet habe ich noch dazu "FF02::1 und FF02::2", die dürften aber nix mit dem privaten Bereich zu tun haben oder doch?

    Das sind Multicast Adressen. Alle was MIT „FF“ anfängt ist Multicast.

    Das „02“ steht für den Gültigskeitsbereich, in dem Fall Link Locale Adressen

    ::1 sind dann ALLE Ipv6 Clients und ::2 nur die Router.


    Wichtige Adressen da Multicast bei IPv6 die Entsprechung von Broadcast bei

    Ipv4 übernimmt. Darüber kann z.B ein Client Autonfig betrieben sich ne IP

    geben und seinen Router kennenlernen


    IPv6 – Wikipedia

    ist ne relativ gute Seite um einen Einstieg in die Addressierung zu bekommen ohne

    sich mit Fachformulierungen in den RFCs rumschlagen zu müssen.

    Hallo


    gierig Danke. Wie IPv6 ungefair funktioniert habe ich ja weitesgehend begriffen.

    Das vorherige was ich mit maxim.webster besprochen habe ist das hier:


    Das konnte ich klären.

    Aber was ich noch nicht ganz verstehe ist:

    Wie auf deisem Bild zu erkennen ist ja die Aussage das,

    die fe80 zum Äqivalent zu dem Ipv4 Apipa Adressen stehen. Also wenn keine Ip Adressvergabe automatisch funktioniert.

    Wieso vergibt die UDM-Pro dann hier eine solche Adresse die mit fe80 anfängt?

    Ich weiss das es verbindungslokale Adresse heist, die sich auch zum Teil aus der MAC zusammen setzt.

    Aber irgendwie steht das bei mir im Wiedersrpuch mit dem was ich weiss oder denke zu wissen.

    Denn die verbindungslokale Adresse wird ja selbst vergeben wie das Apipa bei IPv4 auch macht also ist das richtig wie auf dem Bild.

    Aber hier müsste doch eine Gatway Adresse in Form als IPv6 stehen und keine Apipa Adresse oder doch.

    Oder denke ich da wieder zu kompliziert?

    Genaus weiss ich was eine "Linklokale (verbindungslokale) IPv6-Adresse", eine "Globale IPv6-Adresse" und eine "Temporäre IPv6-Adresse" ist, und wie sich das zusammen verhält.

    Alles kein Problem soweit. Aber ich habe festgestellt das dann auf einmal Endgeräte im netzwerk teilweise 4 bis 5 Ipv6 Adressen bekommen haben, welche ist dann die richtige und einige garkeine und wieder einige haben nur die verbindungslokale bekommen und andere wieder nur die verbindungslokale sowie die globale IPv6 Adresse.

    Genauso ist mir schleierhaft, mein NAS hatt mehrere LAN Schnittstellen. Alle bekommen verbindungslokale und Globale Adressen, aber leider nur eine auch die ins Internet geht also eine Temporäre Ipv6. Eigentlich ist das doch auch nicht richtig.

    Der Hintergrund ist ffolgender das ich genre IPv6 Firewallregeln schreiben würde aber das scheint wohl eher ein sinnloses Unterfangen zu sein, weil irgendwie da durch zu blicken ist ein wenig schwierig wenn sich das ganze nicht so verhält wie erwartet.

    Danke.

    Mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    DoPe Das denke ich auch schon fast, will aber noch nicht so ganz aufgeben.

    Laut meinen Prvider, die Technik habe ich ein DHCPv6 angeblich aber sicher war er sich auch nicht, ich denke eher es ist ein SLAAC.

    Aber ich habe es im WAN Anschluss auch so eingestellt.


    Im Netzwerk habe ich dann diese Einstellung.

    Aber egal welche Einstellung ich auch wähle, selbst bei Slaac, ändert sich as GAteway-IP/Subnetz nicht, und in desem IPv6 Bereich scheinen auch weiterhin die Endgeräte ihre IP zu beziehen.

    Aber wenn ich das richtig sehe kann man Statische IPv6 Adressen nur in den Engeräten selbst vergeben, und nicht in der UDM Pro oder sonst wo.

    Schöner wäre es andersrum.

    Ich weiss auch das IPv6 anders funktioniert und man eigentlich ein Teil eines Netzwerkes ist was ausserhalb meines Wirkungsbereiches liegt.

    Ber irgendwie muss das doch trotzdem gehen das mann wenigsten die Grundregeln irgendwie einrichten kann wie etablierte Verbindungen und InterVALN auf IP6 Ebene zu unterbinden und das Webinterface des Gateway für Endgeräte zu sperren.

    Das Prinzip habe ich verstanden nur noch nicht klar welche der Adressen dafür genau zu verwenden sind.

    Denn es heist ja bei Unifi kann erstmal alles mit jedem reden und man muss es sperren und nicht wie bei den anderen umgekehrt.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    Der Hintergrund ist ffolgender das ich genre IPv6 Firewallregeln schreiben würde aber das scheint wohl eher ein sinnloses Unterfangen zu sein, weil irgendwie da durch zu blicken ist ein wenig schwierig wenn sich das ganze nicht so verhält wie erwartet.

    Ja das ist solange du kein Statisches Prefix von deinem Provider hast ein Völlig sinnloses unterfangen da

    du ALLE regeln bei einer Änderung (Neustart, Zwangstrennung) immer ändern müsstest.



    aber so LONG:

    FE80::/10 werden immer und überall vergeben. Jede Netzwerkkarte, genauer jedes Interfaces

    hat eine. Ob Router, PC oder dein Kühlschrank. Üblicherweise halt Automatisch und nicht

    manual vergeben. Basierend auf der LinkLocal Adresse kann dann über Multicast

    nach einem router gefragt werden der dann ein Global (also eine „Öffentliche“) Präfix

    zurückgibt woraus sich das Interface dann ne zwei „Öffentliche“ IP bauen kann.

    (oder über DHCP was zugewiesen bekommt)


    Sieh es als eine art Basis Adresse an die auch nur lokal ist, denn nach draußen

    gereutet wird sie Üblicherweise nicht. (wohl aber als gateway genutzt)


    Stichwort viele IP auf einem Gerät:

    Glückwunsch, dein Client beherrscht die Privency Extension. Da der Client Teil der

    IPv6 bei Stateless aus der MAC Generiert wird haben sich irgendwann mal alle

    geschämt und gesagt das ist nicht „Privat“ genug. Also werde angefangen

    die einmal am tag (oder alle 6 Stunden) dir ne neue IP zu geben.

    DIE NEUE wird dann verwendet um neue Verbidungen aufzubauen und

    die alte ist noch solange gültig wie da kram drüber läuft.


    Auf meinen MAC habe ich immer so 2-3 IPv6 Adressen.

    Unifi zeigt mit für den MAC gerne 5-6 Adresse an..da dauert das Aktualisieren und Rauschmeißen

    wohl etwas länger.

    Ah noch nen schwank aus meinen Unifi IPv6 wissen:


    Wenn du im WAN Interface dein IPv6 Prefix Beziehst:


    SLAAC: Du bekommst deinen prefix, das WAN interface (PPP0 bei PPPoE einwahl, oder EtHx)

    bekommt dann KEINE IPv6, es wird dann nur eine FE80:: in der WAN Übersicht angezeigt.

    Das Routing geht trotzdem und Clients bekommen trotzdem eine Echte Ipv6.


    da scheint sich was getan zu haben mit einem der letzen Updates. Ich bekomme nun auch

    mit SLAC eine reale /64 fürs WAN interface.



    DCHP: das Wan interface bekommt ne Öffentliche Ipv6 die nicht unbedingt was zu

    tun hat mit dem Prefix das zu bekommst.


    Stellst du von SLAC auf DHCP um (telekom bietet beides an) hast du auch erstmal für nen tag

    ne FE80:: und 2003:: Adresse auf dem WAN interface.


    Generell und das machen glaub ich auch alle Proivder:

    Du bekommst für das WAN interface eine IPv6 (ne /64) die auch eigentlich nur

    dafür sein soll. PLUS ein Prefix zum verteilen im Netzwerk (halt üblich ein /56 bei privaten Anschlüssen)



    Und wen du nun noch verwirrter bist... Willkommen :smiling_face:



    Achso:

    Unifi und Ipv6 ist so ne sahen aber andere sind kein Deut besser.

    das Große Problem oder Glück ist halt das deine Clients ne Echte IP haben

    ohne NAT und CO sie sich aber halt alle X tage ändert weil der Provider dir kein festes Netzt

    gibt.

    Einmal editiert, zuletzt von gierig ()

    gierig Danke.

    ohmann der Kopf raucht. :winking_face_with_tongue:

    Lach ich verstehe aber so einigermaßen wohin der Hase läuft.

    Wie ich schon sagte das nicht mal der Techniker von meinen Provider richtig weiss was die anbieten. Dabei gibt es doch nich so viel ausser Slaac, Static oder Dhcp.

    Damit fängt es ja schon an.

    Aber zum Thema Präfix. Ist das denn nicht so das ich immer das selbe 56er Präfix habe das es statig ist oder meinst du dasm als Präfix aus den Netzwerk selbst.

    Also das der Provider mir heute als Beispiel ein Netzwerk ABCD und dort ein 56 Präfix anbietet und morgen aus dem DCBA Netz wieder ein 56er.

    Das müsste ich mal beobachten das ganze aber ich glaube tatsächlich das sich das Netzwerk in dem Sinne nicht ändert sondern immer das selbe ist.


    Ja zum Thema Sicherheit weiss ich auch das die Link lokale Adresse eine FE und der MAC ist die vom Gerät vergeben wird. Dann bekomme ich wenn verfügbar eine Ipv6 Adresse als eine globale IPV6 die auch aus der MAC mit besteht. Aber dieses ist eigentlich echte IPV6 Adresse aus dem Netzwerk und wird nicht ins Internet geroutet. Erst die temporäre ist dann hinterder Hostanteil ein andere zufällig generiert, damit man privat und unerkannt bleibt.

    Das ist wie bei IPv4 genauso Apipa Adresse - private Ipv4 Adresse - öffentliche IPv4 Adresse ins Internet.

    Das ist auch alles kein Thema.

    das schlimme ist halt nur so das bei IPv6 eigentlich jedes Endgerät so einen Weg auf baut und nicht alles nach aussen eine öffentliche IP.

    Aber wenn ich das richtig verstehe geht es mir doch dann immer noch um die Link lokale IPv6 Adresse die sich ja eigentlich nicht verändert oder doch?

    Denn das ist doch die private Adresse die nur im Netzwerk ist und sein soll.


    Mit der kann man doch Firewallregeln aufbauen oder sind die dann wirkungslos?


    Zum Thema "Privency Extension" zumindestens können die Laptops, PC´s und Mobilen Geräte das wohl so, soweit ich das überblicken kann.

    Ob Drucker darunter fallen, glaube ich eher weniger.

    Ok das mit den 4 oder 5 Adressen anzeigen, wenn du das auch hast und du meinst das es ein Aktuallisierungsfehler ist, dann macht es einen Sinn. ich dachte es sei ein Fehler in der Config aber woher sollte dann sonst die Adresse kommen weil die Fritte ist alles auf aus.

    Ich war halt davon Ausgegangen laut dem Kenntnissstand das es maximal drei Adressen geben dürft und nicht vier oder fünf. daher war ich etwas da drüber erstaunt.

    Zitat von gierig

    Du bekommst für das WAN interface eine IPv6 (ne /64) die auch eigentlich nur

    dafür sein soll. PLUS ein Prefix zum verteilen im Netzwerk (halt üblich ein /56 bei privaten Anschlüssen)



    Und wen du nun noch verwirrter bist... Willkommen :smiling_face:

    Ja in der Fritte haben ich einen /64 er und einen /56 zum verteilen.

    Ich glaube aber weniger das die UDM Pro dan auch ein IPv6 hatt.

    Ipv4 habe ich soweit ich weiss zwei.

    muss ich dann die Fritte auch als DNS Server im Netzwerk belassen, nicht als DHCP.?


    Zu guter letzt, zu dem hier nochmal.

    24947-pasted-from-clipboard-png

    Das macht doch nur sinn wenn ich dann im Endgerät eine feste IPv6 Adresse vergeben will. Die UDM Pro kann das ja nicht.

    Schöner wäre das auch wenn ich zu einer Static IPv4 Adresse auch gleich dort die static IPv6 Adresse eintragen könnte.

    Und im Endgerät ist dann alles auf DHCP.


    Schlusswort. Ach wäre die Welt so schön, wenn es die Provider einen einfacher machen würden. Wie war das noch mal?

    Zig Trillionen Adressen bietet IPv6? Dann sollte es doch ein leichtes sein ein entsprechendes Präfix zu bekommen womit man ein eigens privates Ipv6 Netzwerk betreiben kann und daruaf dann die Regeln zu erstellt. Aber die sind echt geizig, ein kumpel soll sogar einen Buissnees Anschluss von ast 90 euro nehmen damit er IPv6 bekommt.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    Schlusswort. Ach wäre die Welt so schön, wenn es die Provider einen einfacher machen würden. Wie war das noch mal

    Die deutschen Provider haben zig Jahre IPv6 ignoriert und haben es bis heute nicht verstanden.
    Ich hab mal versucht, bei Vodafone wg. einer statischen IPv6 + statischen IPv6-Prefix Infos zu bekommen, ob das möglich ist als Privatkunden.

    Fazit: Ich hätte auch die Verkäuferin beim Bäcker fragen können, die hätte vermutlich mehr Ahnung davon gehabt.

    Ich persönlich finde IPv6 irgendwie auch völlig ungelungen. Zuviel Automatismus und Varianten. Überall wird irgendwas, irgendwie implementiert ... Provider, Router, Clients (je nach verwendetem OS).


    Ich sag mal, gut das man es nicht unbedingt benötigt.

    IPv6 ist schon gut, aber an der Umsetzung bei den Provider usw. hapert es gewaltig.


    Warum schaffen es die Provider nicht, einem Kunden statische IPv6-Adressen/Prefixe zu geben ? In anderen Ländern ist das überhaupt kein Problem.

    Zumal beim Kabelinternet die v4 / v6-Adressen eh lange Zeit statisch bleiben, bis man mal den Router längere Zeit stromlos macht. - wäre also nur kleiner Schritt für den Provider und massive Erleichterung für den Kunden.

    Dann könnte ich problemlos IPv6-Adresse im Netzwerk nutzen z.b. für Server.

    Brauchen - da würde ich mich nicht mehr drauf rausreden. Neue Smarthome-Protokolle nutzen IPv6, z.b. Matter. Auf der Internetseite wird IPv6 auch immer mehr zum Standart, weil es eben keine IPv4-Adressen mehr gibt und CG-NAT eine Schrottlösung ist - war vor 10 Jahre schon, da mussten wir das schon nutzen.

    Zitat von Naichbindas

    Aber zum Thema Präfix. Ist das denn nicht so das ich immer das selbe 56er Präfix habe das es statig ist oder meinst du dasm als Präfix aus den Netzwerk selbst.

    Nein

    du bekommst wenn dein Provider


    ein /64 Prefix


    2003:dd:1fff:2ea::/64

    Sprich von 2003:00dd:1fff:02ea:0000:0000:0000:0000 - 2003:00dd:1fff:02ea:ffff:ffff:ffff:ffff

    da sind 18 Trillionen IP NUR für dein WAN interface. Das Interface wird sich

    sich selber eine IP generieren.

    Das ist die IP die dann auch be Unifi im WAN angezeigt wird-.

    Die ist einzig und alleine für das WAN interface und ändert sich bei jeder Einwahl.



    Zusätzlich bekommt du ein /56

    2003:dd:1f02:cc00::/56

    2003:00dd:1f02:cc00:0000:0000:0000:0000 - 2003:00dd:1f02:ccff:ffff:ffff:ffff:ffff

    was dann 2^72 Adressen sind. Dieses Prefix ändert sich ebenfalls bei jeder neueinwahl.

    Das Perfid ist dann dafür dann um Clients hinter dem Router mit IP zu versorgen.

    Üblich (und das was UNIFI auch macht) ist das /56 in /64 große Happen zu verteilen

    Damit kannst du dann 256 VLAN mit einem eignen Bereich Versorgen.


    Unifi nimmt also das erste /64 gibt sich auf dem gateway Interface die „1“ und verteielt

    den Rest dann munter weiter:

    z.B hat BR0 (vlan 1, das default)

    2003:dd:1f02:cc00::1/64


    Bei DCHP bekommt halt jeder client ne Adresse von DHCP bei SLAAC

    baut es sich der client selber aus Prefix und MAC zusammen.


    Zitat von Naichbindas

    das schlimme ist halt nur so das bei IPv6 eigentlich jedes Endgerät so einen Weg auf baut und nicht alles nach aussen eine öffentliche IP.

    Das ist das Gute daran! Jedes gerät hat eine eigne IP und kann ne vollständige durchgehende Vereisung mit seinem

    ziel aufbauen. Das ist so gewollt und gewünscht. Kein NAT kein Hickhack mit Protokollen wie SIP die

    die IP Infomationen im Protokoll haben und Verwirrung stiften wenn der RTP Steam and die falsche Adresse gesendet wird (wobei die meisten Anbieter VOIP ausschließlich über IPv64 machen)


    Zitat von Naichbindas

    Aber wenn ich das richtig verstehe geht es mir doch dann immer noch um die Link lokale IPv6 Adresse die sich ja eigentlich nicht verändert oder doch?

    Puhhh DAS ist eine gute frage. Eigentlich nicht, sie wird eh nicht Geroutet und setzte sich aus der MAC zusammen

    Also sofern gleiche MAC dann gleiche Link Lokale. Aber keine Ahnung wie das bei den Geräten ausieht

    die gerne mal ihre Mac Würfeln...


    mein Macbook hat grade:

    inet6 fe80::48e:84b5:7bb9:4bc5%en0 prefixlen 64 secured scopeid 0x6

    Das passt nicht zur der MAC und das "secured„ deutet auch eher auf „ne ich denk mir da was aus“


    Zitat von Naichbindas

    Ich war halt davon Ausgegangen laut dem Kenntnissstand das es maximal drei Adressen geben dürft und nicht vier oder fünf. daher war ich etwas da drüber erstaunt.

    Hat mich anfangs auch gewurmt und gewundert, aber per design darf ein IPv6 Viele viele Viele IP gleichzeitig habe

    gierig thx, so langsam nimmst du mir die Lust dazu das Thema durch zu arbeiten, lach.

    Scherz beiseite.

    Das ganze ist sehr undurchsichtig, mit IPv6.

    Was soll ich sagen mein Handy hatt sogar gleich 12 IPv6 Adressen.

    Selbst da streikt dann doch mein Verständniss.

    Und dabei hatt sich das Handy nicht mal aus dem WLAN Bereich herraus bewegt und wurde heute fast garnicht gebraucht.

    Mir ist jetzt aber aufgefallen das bei meinem PC nach ein paar Tagen IPv6 Testbetrieb die Adresse bis jetzt immer gleich bleibt.


    2axx:xxxx:xxxx:xxxx::5dd

    Das ist dann glaube die Ipv6 Adresse aus dem Pool der UDM Pro

    dann die,

    fe80::xxxx:xxxx:xxxx:xxxx

    das ist dann ja die Linklokale Adresse,

    und die einzige die sich öfters ändert ist dann die:

    2axx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

    Das wird dann wohl die Adresse ins Internet sein.

    Aber das beim Handy ist schon krass

    Das Handy meiner Frau hatt 7 Ipv6 Adressen und mein anderes Handy hatt nicht mal eine fe80 Adresse bekommen, aber eine lange IPv6 nach draussen.

    Da ist irgendwie kein durchsehen oder irgendwie ein Standard zu erkennen oder sonstwas.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Lol du musst es ja echt übertreiben lach.

    Aber mal erlich wer soll da noch den Überblick behalten.

    Ich meine bei den 28 kannst dir eine Aussuchen welchee die richtige ist.....

    Du kannst dann nur wie bei einem PC in den Netzwerkeinstellungen oder bei einem Gerät mit Webinterface dann sehen welche tatsächlich aktuell ist.

    Aber wo wir mal bei dem Thema sind.

    Diese Adresse:

    ?thumbnail=1

    Die ist doch fest und ist dann das Gateway der UDM Pro, wie es bei IPv4 dann 192.168.1.1, 192.168.2.1 oder192.168.3.1 und so weiter wäre oder ?

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Zitat von Naichbindas

    ber mal erlich wer soll da noch den Überblick behalten.

    Grinst, für irgendwas müssen Netzwerk Admins ja ihr Geld bekommen :smiling_face:


    Zitat von Naichbindas

    Die ist doch fest und ist dann das Gateway der UDM Pro

    Ja, nein, Vielleicht. eine LinkLocale wird üblicherweise aus der MAC des Interfaces gebildet.

    Technisch ist das Interface auf der UDM aber ein Virtuelles um genauer zu sein ein

    „Bridge“ interface auf den die IP gebunden ist . Die Ports der UDM

    sind dann Mitglied dieser Bridge (siehe Ausgabe von "brctl show“,

    (eth8-10 sind die WAN und SFP Ports + Switch0.x für den 8 Port Switch passendes VLAN)


    Dardurch das die Bridge interface erstmal virtuell sind, haben die keine Statische feste MAC

    mein Test VLAN50 hat z.B: "fe80::ac89:91ff:fe35:bac" was als MAC "AE-89-91-35-0B-AC"

    das „E“ an zweiter Stelle sagt schon aus das das Local BIT (2,6,A oder E) gesetzte ist.

    Damit ist die MAC „Private“ der Ist sieht auch gewürfelt aus.

    Proof.... nach einen Reboot das VLAN50 dann auch

    "fe80::b01e:ecff:fe2a:3346" was dann eine MAC B2-1E-EC-2A-33-46 entsprechen würde.


    Also nein das ist nicht statisch und ändert sich ggf. nach einem reboot.


    PS:

    Direkt nach dem robot mein Unfi das das iPad nur noch 1 Ipv6 hat.