expertenaustausch > at.* > at.internet.breitband

David Seppi (13.11.2014, 14:15)
Hallo allerseits!

Mittlerweile hats mich erwischt: Heute wurde mein UPC-Anschluß von
nativem IPv4 auf IPv6 mit DS-Lite umgestellt. Ich kann zwar von daheim
aus weiterhin IP4-Adressen erreichen, bekomme aber selbst keine
eindeutige mehr zugewiesen, sondern muß die mit anderen teilen.
Dadurch sind meine Geräte von außen (port forwarding) nicht mehr per IP4
erreichbar, was sehr ärgerlich ist, da ich weder auf mein NAS, noch auf
meinen RPi zugreifen kann.
Kann man das irgendwie umgehen?

Außerdem:
Mein Router-Modem erhält zwar von UPC einen IP6-Adreßraum und vergibt
auch brav IP6-Adressen aus diesem Adreßraum an die Clients weiter,
man kann jedoch diese Adressen nicht von außen erreichen. Vermutlich
funkt da irgendeine Firewall unterwegs dazwischen. Ich kann meine Geräte
also nicht einmal aus IP6-fähigen Netzen erreichen.

Hat jemand ähnliche Probleme und die vielleicht schon irgendwie gelöst?

XPost ai.provider & ai.breitband, fup2 ai.breitband
Johann Mayerwieser (13.11.2014, 14:58)
Am Thu, 13 Nov 2014 12:15:52 +0000 schrieb David Seppi:

> Mein Router-Modem erhält zwar von UPC einen IP6-Adreßraum und vergibt
> auch brav IP6-Adressen aus diesem Adreßraum an die Clients weiter,
> man kann jedoch diese Adressen nicht von außen erreichen. Vermutlich
> funkt da irgendeine Firewall unterwegs dazwischen. Ich kann meine Geräte
> also nicht einmal aus IP6-fähigen Netzen erreichen.


vermutlerich hat das ncihts mit Firewall zu tun

David Seppi (13.11.2014, 15:53)
Johann Mayerwieser schrieb:
> Am Thu, 13 Nov 2014 12:15:52 +0000 schrieb David Seppi:
> vermutlerich hat das ncihts mit Firewall zu tun
>


Der Artikel beschreibt nur warum das mit IPv4 nicht geht.
Mit IPv6 sollte aber eigentlich alles klappen?
christian mock (13.11.2014, 17:37)
David Seppi <dseppi> wrote:

>>

> Der Artikel beschreibt nur warum das mit IPv4 nicht geht.
> Mit IPv6 sollte aber eigentlich alles klappen?


seh ich auch so. wennst mir eine v6-adresse + erreichbarseinsolltenden
port zukommen läßt, kann ich ja mal tracen, wo das SYN versumpft...

cm.
David Seppi (14.11.2014, 00:34)
christian mock schrieb:

> seh ich auch so. wennst mir eine v6-adresse + erreichbarseinsolltenden
> port zukommen läßt, kann ich ja mal tracen, wo das SYN versumpft...


Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
Router, die sich deaktivieren ließ.
David Seppi (14.11.2014, 00:51)
Ingrid:

> Außerdem:
> Mein Router-Modem erhält zwar von UPC einen IP6-Adreßraum und vergibt
> auch brav IP6-Adressen aus diesem Adreßraum an die Clients weiter,


Leider passiert ersteres dynamisch. Man kann zwar seinen Clients
Adressen aus dem zugeteilten Raum statisch vergeben, der Router bekommt
aber nach Neustart einen neuen IPv6-Adreßbereich zugewiesen.
Nicht gerade ideal.
Robert Waldner (14.11.2014, 13:33)
David Seppi <dseppi> wrote:
> Ingrid:
> Leider passiert ersteres dynamisch. Man kann zwar seinen Clients
> Adressen aus dem zugeteilten Raum statisch vergeben, der Router bekommt
> aber nach Neustart einen neuen IPv6-Adreßbereich zugewiesen.
> Nicht gerade ideal.


Was ich heute von Kollegen gehoert hab, kann man durchaus beim Support
anrufen, sudern und bekommt dann doch wieder IPv4 (dafuer halt kein v6,
weil volles Dual-Stack scheint dort nicht moeglich zu sein).

YMMV.

cheers,
&rw
Walter H. (15.11.2014, 22:38)
On 13.11.2014 23:34, David Seppi wrote:
> christian mock schrieb:
>> seh ich auch so. wennst mir eine v6-adresse + erreichbarseinsolltenden
>> port zukommen läßt, kann ich ja mal tracen, wo das SYN versumpft...

> Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
> Router, die sich deaktivieren ließ. Du deaktivierst wirklich diese Firewall?


Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
IPv6-Netz offen angreifbar sind ...
David Seppi (16.11.2014, 02:06)
Walter H. schrieb:

> On 13.11.2014 23:34, David Seppi wrote: [...]
>> Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
>> Router, die sich deaktivieren ließ.

> Du deaktivierst wirklich diese Firewall?


Natürlich. Firewalls, die nur global "ein" und "aus" kennen, sind
vielleicht für Orthonormalbenutzer brauchbar, ansonsten aber Schrott.

> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
> IPv6-Netz offen angreifbar sind ...


Nur in der Standardkonfiguration. Das läßt sich leicht vermeiden, indem
man das WLAN deaktiviert und einen dedizierten WLAN-Router anschließt,
der nur IPv4 routet. Damit sind dann nur die Geräte, die direkt am
Kabelmodem-Router angeschlossen sind, von außen erreichbar. Diese
*sollen* auch erreichbar sein, das ist ja der Sinn der Übung.
Mit aktivierter Firewall werden Serverdienste unmöglich, sofern man
nicht mit VPN herumhampelt.
René Schuster (16.11.2014, 10:16)
On 2014-11-15 23:38, Walter H. wrote:

> Du deaktivierst wirklich diese Firewall?
> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
> IPv6-Netz offen angreifbar sind ...


Und wenn nicht, sind sie nicht erreichbar, was den Vorteil einer
Internetanbindung in gewisser Weise negiert. Desperate times call for
desperate measures...
Bernd Petrovitsch (16.11.2014, 14:54)
On Sun, 16 Nov 2014 00:06:57 +0000, David Seppi wrote:
> Walter H. schrieb:
> [...]
> Natürlich. Firewalls, die nur global "ein" und "aus" kennen, sind
> vielleicht für Orthonormalbenutzer brauchbar, ansonsten aber Schrott.


Die sind idR auch für Otto Normalnutzer Schrott - schon weil jede
"Firewall", die man nicht selber unter Kontrolle hat, kein Security-Device
sein kann.
Außer, Du vertraust zu 100% - in diesem Fall - UPC ...

Und mit global "ein" und "aus" braucht "man" eigentlich eine
(Detail-)Erklärung (so auf Port-Ebene), was bei "ein" alles erlaubt
ist .....

>> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
>> IPv6-Netz offen angreifbar sind ...

> Nur in der Standardkonfiguration. Das läßt sich leicht vermeiden, indem
> man das WLAN deaktiviert und einen dedizierten WLAN-Router anschließt,


Einen fremd-kontrollierten WLAN-Access-Point in der eigenen Wohnung?
Wollen wir nur hoffen, daß man den wirklich daktivieren kann oder ...

Bernd
David Seppi (16.11.2014, 15:02)
Bernd Petrovitsch schrieb:

> Einen fremd-kontrollierten WLAN-Access-Point in der eigenen Wohnung?
> Wollen wir nur hoffen, daß man den wirklich daktivieren kann oder ...


Wieso sollte das nicht funktionieren? Sind die UPC-Modems so br0ken?
Bernd Petrovitsch (17.11.2014, 03:05)
On Sun, 16 Nov 2014 13:02:36 +0000, David Seppi wrote:
> Bernd Petrovitsch schrieb:
>> Einen fremd-kontrollierten WLAN-Access-Point in der eigenen Wohnung?
>> Wollen wir nur hoffen, daß man den wirklich daktivieren kann oder ...

> Wieso sollte das nicht funktionieren? Sind die UPC-Modems so br0ken?


Naja, ich kann da was anhakeln, daß das WLAN deaktiviert (wenn man
dem User-Interface glauben will).

Zum einen hindert UPC kaum etwas dran, daß einfach wieder zu
aktivieren (wie es unlängst bei der Umstellung auf IPV6 passiert
ist).

Zum anderen, könnte das auch nur das Broadcasten der ESSID
deaktivieren (sowie jegliches sonstiges Senden), aber ansonsten
alles mitlesen, das am Layer 0 vorbeikommt.

Wobei "UPC" oben ja auch nicht unbedingt "UPC" als solches sein
muß, sondern jede Organisation, die Einfluß auf die
Kabelmodem-Firmare nehmen kann.

Bernd
David Seppi (17.11.2014, 17:19)
Bernd Petrovitsch schrieb:

> Naja, ich kann da was anhakeln, daß das WLAN deaktiviert (wenn man
> dem User-Interface glauben will).
> Zum einen hindert UPC kaum etwas dran, daß einfach wieder zu
> aktivieren (wie es unlängst bei der Umstellung auf IPV6 passiert
> ist).


Was haben die davon?

> Zum anderen, könnte das auch nur das Broadcasten der ESSID
> deaktivieren (sowie jegliches sonstiges Senden), aber ansonsten
> alles mitlesen, das am Layer 0 vorbeikommt.
> Wobei "UPC" oben ja auch nicht unbedingt "UPC" als solches sein
> muß, sondern jede Organisation, die Einfluß auf die
> Kabelmodem-Firmare nehmen kann.


Das gilt aber für jeden käuflich erhältlichen WLAN-Router.
Ansonsten sehe ich keinen Sinn verschlüsselte Kommunikation mitzulesen.
Clemens Zauner (12.12.2014, 18:29)
Walter H. <Walter.H-Nntp> wrote:
>> Danke, hat sich erübrigt. Das Problem war eine aktive IPv6-Firewall im
>> Router, die sich deaktivieren ließ.

> Du deaktivierst wirklich diese Firewall?
> Dir ist schon bewußt, daß damit alle Geräte bei Dir zu Hause aus dem
> IPv6-Netz offen angreifbar sind ...


Wirklich jetzt?

Wenn dein v6 sprechendes System sowohl a) solche Schwächen hat und dann
b) nicht von Haus aus eine Option 'von aussen geht nix' anbietet, dann
schmeiss es *bitte* weiter.

Jedes Windows >= VISTA $irgendwas stolpert da nicht darüber (ich gebs
zu, ich habs nur mit dem 7er selbst getestet, aber mir wurde von jemanden,
der mit Windows sein Geld verdient versichert, dass es mit VISTA auch so i
sei).

Ja, die UPC 'IPv6-Einführung' ist in der Umsetzung ziemlich schwach.
Da hätten sie lieber gar nix gemacht. Weil so wie das daherkommt
ist auch nix mit prefix-delegation auf eine dahinterliegende Firewall
(oder ich war zu blöd dafür). Wurde dann halt transparent bridgend
stateful (wollte ich eh schon immer mal probieren).

Zur allgemeinen Beruhigung: zur Zeit ist das definiv noch kein
aktiv verwendeter Angriffsvektor. Zumindest habe ich - im gegensatz
zu v4-Portforward versenkete 'Serverdienste' noch keine Einbrüche
in der Richtung gesehen. Da kommt sicher was, irgendwann. Diverse
billig-NASe u.gdl.m werden da schon entsprechende übel ausgeliefert
werden.

Ähnliche Themen