DMZ und IPv6

Alpengreis · ‎27.06.2014

Hallo zusammen,

ich habe seit kurzem die Internet-Box (V2) in Verwendung.

Nun habe ich eine Frage zu [Experten-Einstellungen, Netzwerk, DMZ]:

Quasi als Vorfrage:

Wenn ich später mal ein Gerät am Router anschliesse, das eine IPv6-Adresse besitzen kann - bekommt dieses Gerät dann eine dynamische (temporäre) IPv6 Adresse via 6rd (später evtl. nativ) (die gleiche wie die öffentliche auf dem Router) oder wird eine nicht routingfähige lokale Subnetz-Adresse zugeteilt?

Und kann ich so ein Gerät dann mit der Aktivierung von DMZ direkt aus dem Extranet (Internet) ansprechbar machen?

Oder ist DMZ für IPv6 irrelevant, weil sowieso sichtbar/zugänglich aus dem Internet (keine NAT) (bei entsprechender IPv6-Firewall-Einstellung?

Leider kann ich es nicht selber testen, weil ich (noch) kein solches Gerät besitze. Trotzdem aber würde mich diese Frage brennend interessieren!

Laut Swisscom Hotline soll das so funktionierten wie mit IPv4 auch. Trotz Nachfrage beim Supporter, ob er da ganz sicher sei - was er bejahte, war ICH immer noch nicht überzeugt - weil er irgendwie unsicher wirkte im Gespräch. Falls er hier mitlesen sollte und ich daneben liegen sollte mit meinem Gefühl, SORRY!

Es mag auch sein, dass ich da noch gewaltig was nicht verstanden habe. IPv6 ist keine einfache Sache mit all den Technlogien wie nativ, Tunneling/Übergangssmechanismen wie 6rd, Teredo, 6to4 oder ISATAP und so weiter ...

Bitte um Hilfe und danke schon mal im Voraus bestens für allfällige Antworten!

Ein gutes und schönes Weekend!

Alpengreis

PowerMac · ‎14.07.2014

@Alpengreis schrieb:

Hallo zusammen,

ich habe seit kurzem die Internet-Box (V2) in Verwendung.

Nun habe ich eine Frage zu [Experten-Einstellungen, Netzwerk, DMZ]:

Quasi als Vorfrage:

Wenn ich später mal ein Gerät am Router anschliesse, das eine IPv6-Adresse besitzen kann - bekommt dieses Gerät dann eine dynamische (temporäre) IPv6 Adresse via 6rd (später evtl. nativ) (die gleiche wie die öffentliche auf dem Router) oder wird eine nicht routingfähige lokale Subnetz-Adresse zugeteilt?

Dieses Gerät wird eine dynamische, temporäre IPv6-Adresse erhalten. Diese ist aus dem 6rd-Präfix des Routers abgeleitet, was aber im LAN erst mal nicht so sehr interessiert. Diese Adresse ist global routingfähig und eine vollwertige, "öffentliche" IPv6.

Etwas technischer: Die Internetbox errechnet sich aus der per DHCP zugewiesenen IPv4 und den 6rd-Parametern ein IPv6-Präfix fürs LAN. Auf dem LAN-Interface werden dann Router Advertisements an alle Netzwerkteilnehmer im Segment verschickt (sog. Broadcast), aus denen jedes angeschlossene Gerät sich selbst eine global routingfähige IPv6 aussuchen kann.

Die IPv6-Adressen bleiben so lange gültig, wie die öffentliche IPv4 der Internetbox die gleiche ist (dh. kann mit etwas Glück über Monate gleich bleiben).

Und kann ich so ein Gerät dann mit der Aktivierung von DMZ direkt aus dem Extranet (Internet) ansprechbar machen?

Ja, aber bezogen auf IPv6 nicht wegen der DMZ-Funktion. Diese bezieht sich ausschliesslich auf IPv4.

Oder ist DMZ für IPv6 irrelevant, weil sowieso sichtbar/zugänglich aus dem Internet (keine NAT) (bei entsprechender IPv6-Firewall-Einstellung?

Ganz genau so ist es.

Leider kann ich es nicht selber testen, weil ich (noch) kein solches Gerät besitze. Trotzdem aber würde mich diese Frage brennend interessieren!

Ähem... oben hast du geschrieben, dass du seit kurzem die IBv2 in Verwendung hast?

[...]

Es mag auch sein, dass ich da noch gewaltig was nicht verstanden habe. IPv6 ist keine einfache Sache mit all den Technlogien wie nativ, Tunneling/Übergangssmechanismen wie 6rd, Teredo, 6to4 oder ISATAP und so weiter ...

Naja, es gibt tatsächlich einen ganzen Cheib voll neuer Technologien im Zusammenhang mit IPv6. Leider dient das meiste davon dazu, den alten IPv4-Wein in die neuen IPv6-Schläuche zu kriegen. Statt gleich von Anfang an einfach natives IPv6 zu verwenden.

Auch ich finde den ganzen 6rd-Hack nicht grad wahnsinnig elegant. Aber immerhin ist die IPv6-Funktion der Swisscom-Router die Sache echt DAU-tauglich geworden. Nicht zuletzt dadurch ist die Schweiz zu einem IPv6-Vorreiterland geworden.

have you tried turning it off and on again?

akai · ‎28.06.2014

Bekommst nativ IpPv6.
Ist eine simple Session drop Maschine.
Max. alle Session raus ok. von aussen aufbauen geht nicht.
Kannst es ja mal Testen von aussen die Maschine zu Pingen z.b. Aber selbst bei offenem Scheunen Tor, viel Spass beim simplen Portscanning bei 2^128 Moeglichkeiten... Unser ganzes Universum hat zwischen 2^66 und 2^80 Atome. Nur so als groessen Angabe.

XT · ‎28.06.2014

eher 10^66 bis 10^80

was meinst du mit nativ IPv6?

Alpengreis · ‎28.06.2014

@akai

Verbindung von aussen eingehend aufbauen geht selbst dann nicht, wenn die IPv6 Firewall deaktiviert würde auf der Internet-Box?

Alpengreis · ‎14.07.2014

Wäre schon echt froh, wenn hier noch jemand auf das Thema "DMZ und IPv6" eingehen könnte ...

Gruss

Alpengreis

PowerMac · ‎14.07.2014

@Alpengreis schrieb:

Hallo zusammen,

ich habe seit kurzem die Internet-Box (V2) in Verwendung.

Nun habe ich eine Frage zu [Experten-Einstellungen, Netzwerk, DMZ]:

Quasi als Vorfrage:

Wenn ich später mal ein Gerät am Router anschliesse, das eine IPv6-Adresse besitzen kann - bekommt dieses Gerät dann eine dynamische (temporäre) IPv6 Adresse via 6rd (später evtl. nativ) (die gleiche wie die öffentliche auf dem Router) oder wird eine nicht routingfähige lokale Subnetz-Adresse zugeteilt?

Dieses Gerät wird eine dynamische, temporäre IPv6-Adresse erhalten. Diese ist aus dem 6rd-Präfix des Routers abgeleitet, was aber im LAN erst mal nicht so sehr interessiert. Diese Adresse ist global routingfähig und eine vollwertige, "öffentliche" IPv6.

Etwas technischer: Die Internetbox errechnet sich aus der per DHCP zugewiesenen IPv4 und den 6rd-Parametern ein IPv6-Präfix fürs LAN. Auf dem LAN-Interface werden dann Router Advertisements an alle Netzwerkteilnehmer im Segment verschickt (sog. Broadcast), aus denen jedes angeschlossene Gerät sich selbst eine global routingfähige IPv6 aussuchen kann.

Die IPv6-Adressen bleiben so lange gültig, wie die öffentliche IPv4 der Internetbox die gleiche ist (dh. kann mit etwas Glück über Monate gleich bleiben).

Und kann ich so ein Gerät dann mit der Aktivierung von DMZ direkt aus dem Extranet (Internet) ansprechbar machen?

Ja, aber bezogen auf IPv6 nicht wegen der DMZ-Funktion. Diese bezieht sich ausschliesslich auf IPv4.

Oder ist DMZ für IPv6 irrelevant, weil sowieso sichtbar/zugänglich aus dem Internet (keine NAT) (bei entsprechender IPv6-Firewall-Einstellung?

Ganz genau so ist es.

Leider kann ich es nicht selber testen, weil ich (noch) kein solches Gerät besitze. Trotzdem aber würde mich diese Frage brennend interessieren!

Ähem... oben hast du geschrieben, dass du seit kurzem die IBv2 in Verwendung hast?

[...]

Es mag auch sein, dass ich da noch gewaltig was nicht verstanden habe. IPv6 ist keine einfache Sache mit all den Technlogien wie nativ, Tunneling/Übergangssmechanismen wie 6rd, Teredo, 6to4 oder ISATAP und so weiter ...

Naja, es gibt tatsächlich einen ganzen Cheib voll neuer Technologien im Zusammenhang mit IPv6. Leider dient das meiste davon dazu, den alten IPv4-Wein in die neuen IPv6-Schläuche zu kriegen. Statt gleich von Anfang an einfach natives IPv6 zu verwenden.

Auch ich finde den ganzen 6rd-Hack nicht grad wahnsinnig elegant. Aber immerhin ist die IPv6-Funktion der Swisscom-Router die Sache echt DAU-tauglich geworden. Nicht zuletzt dadurch ist die Schweiz zu einem IPv6-Vorreiterland geworden.

have you tried turning it off and on again?

Alpengreis · ‎16.07.2014

@PowerMac schrieb:
@Alpengreis schrieb:
Hallo zusammen,

ich habe seit kurzem die Internet-Box (V2) in Verwendung.

Nun habe ich eine Frage zu [Experten-Einstellungen, Netzwerk, DMZ]:

Quasi als Vorfrage:

Wenn ich später mal ein Gerät am Router anschliesse, das eine IPv6-Adresse besitzen kann - bekommt dieses Gerät dann eine dynamische (temporäre) IPv6 Adresse via 6rd (später evtl. nativ) (die gleiche wie die öffentliche auf dem Router) oder wird eine nicht routingfähige lokale Subnetz-Adresse zugeteilt?
Dieses Gerät wird eine dynamische, temporäre IPv6-Adresse erhalten. Diese ist aus dem 6rd-Präfix des Routers abgeleitet, was aber im LAN erst mal nicht so sehr interessiert. Diese Adresse ist global routingfähig und eine vollwertige, "öffentliche" IPv6.
Etwas technischer: Die Internetbox errechnet sich aus der per DHCP zugewiesenen IPv4 und den 6rd-Parametern ein IPv6-Präfix fürs LAN. Auf dem LAN-Interface werden dann Router Advertisements an alle Netzwerkteilnehmer im Segment verschickt (sog. Broadcast), aus denen jedes angeschlossene Gerät sich selbst eine global routingfähige IPv6 aussuchen kann.
Die IPv6-Adressen bleiben so lange gültig, wie die öffentliche IPv4 der Internetbox die gleiche ist (dh. kann mit etwas Glück über Monate gleich bleiben).

Danke für die ausführliche Erklärung!

Und kann ich so ein Gerät dann mit der Aktivierung von DMZ direkt aus dem Extranet (Internet) ansprechbar machen?
Ja, aber bezogen auf IPv6 nicht wegen der DMZ-Funktion. Diese bezieht sich ausschliesslich auf IPv4.

Genau das wollte ich wissen - die Hotline sagte mir nämlich, dass sich das auch auf IPv6 bezieht ("sonst würden sie dort kaum so eine Funktion einbauen an dieser Stelle, wenn das nicht auch für IPv6 gelten sollte" oder so ähnlich war die Aussage)!

Leider kann ich es nicht selber testen, weil ich (noch) kein solches Gerät besitze. Trotzdem aber würde mich diese Frage brennend interessieren!
Ähem... oben hast du geschrieben, dass du seit kurzem die IBv2 in Verwendung hast?

Ich meinte hier, dass ich noch kein IPv6-fähiges Endgerät besitze, das ich hinter dem Router auf Erreichbarkeit aus dem Internet testen könnte.

Jedenfalls danke ich dir recht herzlich für deinen Beitrag - hat mir echt weitergeholfen!

Wünsche dir eine gute Zeit!

MfG
Alpengreis

DMZ und IPv6

Benutzer, die für diese Nachricht Likes vergeben haben

HILFREICHSTE ANTWORT1

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben

Benutzer, die für diese Nachricht Likes vergeben haben