Ich habe in den Logfiles von OpenWRT immer wieder Fehler, die auf IPv6 zurück zu führen sind. Ich habe es in der FritzBox einfach deaktiviert und in OpenWRT ignoriert.
Bei der Recherche bin ich auf den heise Artikel von 2022 gestoßen:
Ich denke nicht, dass sich da etwas grundlegendes geändert hat. Ich bin da bisher etwas skeptisch, vor allem weil ich nicht verstehe, was im Hintergrund passiert.
Was ich raus gelesen habe ist die Tatsache, daß sich jedes Gerät über die v6 Adresse eindeutig über einen längeren Zeitraum identifizieren läßt. Auf den ersten Blick ist das für mich unerwünscht. Wie verhält sich das, wenn man einen VPN (Anbieter) benutzt und eine v6 Adresse hat? Beim Mobiltelefon kann man das nicht abschalten, da hat man immer eine v6 Adresse.
Ich tendiere mittlerweile dazu das einzuschalten, aber dann eben auch richtig zu konfigurieren. Kann mir jemand sagen, auf was ich bei OpenWRT achten muß?
Also eigentlich 2 Baustellen, einmal Mobilfunk und einmal DSL.
Das einzige Problem in dem verlinkten Artikel sind Geräte, die weiterhin EUI-64 nutzen. Das betrifft keines der großen Betriebssysteme, sondern eben vor allem eingebettete Systeme wie IoT-Geräte, Smart TVs usw. Einmal durch alle Geräte mit Internetverbindung im Haushalt gehen und schauen, ob die IPv6 gegen Ende ein fe:ff enthält.
Das zugrundeliegende Problem funktioniert aber nicht nur mit EUI-64 IPv6 Adressen, sondern CDNs können Clients auch auf andere Wege langzeitig verfolgen, z.B weil clientseitige langlebige Identifier wie die Advertising ID in jedem üblichen iOS oder Android Gerät regelmäßig übersendet werden. Durch dieses Gerät könnte auch ein Heimnetz mit wechselnden IPv6 oder IPv4 Adressen verfolgt werden (wobei ein Carrier Grade NAT mehrere Haushalte hinter eine oder sogar mehrere wechselnde IPv4 steckt, diese Verbindung also schwerer macht). Der Weg über EUI-64 IPv6s ist mächtiger, da der „Identifier“ für alle zu lesen ist. Dennoch würde ich diesen Angriff eher als akademisch einstufen.
VPNs sind davon gar nicht betroffen, da sie IPv6 wie IPv4 fleißig NATen. Übrigens kannst auch du dein Heim-IPv6 NATen, was die technische Realisierung und damit Anonymitätsvorstellungen sehr nah an IPv4 ran bringt.
Bei Mobilfinkclients funktioniert die Adressvergabe mal wieder ganz anders, sodass du dir keine Gedanken über das Problem in dem Link oder überhaupt ein Problem mit IP-Adressen machen musst.
Ich habe leider keine Erfahrung mit OpenWRT, aber ein Standardsetup von IPv6 sollte zunächst ausreichen. Für das lokale Netz brauchst du gar kein DHCPv6, SLAAC reicht völlig aus.
Und noch zur Unterstützung von IPv6 allgemein: Mancher meiner selbstgehosteten Dienste sind IPv6-only aus einem ganz einfachen Grund: Ich bekomme von meinem ISP keine öffentliche IPv4. Ohne IPv6 wird dieses globale Problem nicht gelöst werden können sondern sorgt nur für mehr Zentralisierung bei CDNs und Ungleichheit (da IPv4s ein hart endliches Produkt mit steigenden Preisen sind). Und sie machen Netzwerken wieder simpler, da man kein NAT verwenden muss. IPv6 ist unausweichlich, es ist nur eine Frage der Zeit.
In diesem Sinne danke, dass du dich nun damit beschäftigen möchtest.
Auf der anderen Seite hat IPv6 den Vorteil, daß man nicht NATen muss. Das wird auch immer als größter Vorteil angepriesen. D.h. für mein Vertändnis, dass ohne NAT die IPv6 vom jeweiligen Gerät bei z.B. einer https Anfrage erkennbar sein muss. Und damit wäre man ja wieder eindeutig identifizierbar. Kann mir bitte jemand erklären, was ich anstellen kann (oder was bereits getan wird), um das zu unterbinden?
Das Standardsetup von OpenWRT habe ich schon gesehen. Ehrlich gesagt fehlt mir die Zeit mich durch die ganze Konfiguration (inkl. Firewall) durchzubeißen. Bin ja auch noch Audofriemler und auf der Hebebühne steht immer irgend ein Pflegefall.
Selbst @kuketzblog läßt IPv6 bisher außen vor. Vielleicht mal eine Anregung für einen Artikel?
„6over4“ funktioniert ähnlich wie „6to4“. Bei „6over4“ wird eine IPv6-Adresse in der Form „fe80::{IPv4-Adresse}“ gebildet. Dabei wird die IPv4-Adresse in hexadezimaler Schreibweise verwendet. Das IPv6-Paket mit der link-lokalen Adresse wird anschließend in IPv4 eingebettet und über ein IPv4-Multicast-Netzwerk übertragen.
Dieses Tunneling-Verfahren kommt allerdings wegen Durchsatz- und Sicherheitsproblemen nicht so häufig zum Einsatz. Die einfacheren und praktikableren Tunnelingverfahren „6in4“ und „6to4“ sind viel mehr verbreitet als „6over4“.
Das ist dann wohl der „problematische“ Teil, um den man einen Bogen machen sollte.
Im Bereich >Heimnetz>Netzwerk>Netzwerkeinstellungen befinden sich einige Dinge die ich noch nicht zuordenen kann und ich weiß nicht, ob da etwas für den Betrieb mit dem OpenWRT Router dahinter geändert werden muss. Für IPv4 muss auch die Route rein - für IPv6? … ich werde bei nächster Gelegenheit weiter lesen. Vielleicht kann schon jemand etwas dazu sagen.
Ja, das hat eine direkte Adressierbarkeit so an sich. Wenn das ein Problem für dich ist, kannst du NAT oder ein VPN nutzen. NATs sind halt lästig für jede Art von Peer to Peer Kommunikation, z.B. Vieotelefonie. Das ist ein Fall von „wasch mich, aber mach mich nicht nass.“
In deinem ursprünglichen Post ging es um „einen längeren Zeitraum“ identifizierbar zu sein. Das wird bei IPv6 verhindert durch Temporäre Adressen. Zum Beispiel bei Linux kann man mit sysctl net/ipv6/conf/all/temp_prefered_lft die Lebensdauer einer Adresse einstellen. Wenn du das auf eine Stunde kürzt, kann über die IP-Adresse kein Tracking länger als eine Stunde stattfinden (und so lange habe ich gerne mal Browsertabs offen, die weiterhin Cookies für zumindest die Dauer einer Sitzung speichern).
Also kuketz-blog.de und kuketz-forum.de haben IPv6, inzwischen hat auch Mike daheim IPv6 (daher der verlinkte Artikel).
Du weißt schon, dass der ursächliche Fehler hier das „Finger davon lassen“ war? Eben gerade durch die Unterstützung von IPv6 in der Firewall wäre das nicht passiert. Den Kopf in den Sand stecken bringt dich hier nicht voran.
Das nutzt soweit ich weiß kein Gerät und keine Software. Heutzutage bekommen die meisten Menschen hierzulande natives IPv6, kein Tunnel vonnöten. Und wenn einmal natives IPv6 vorhanden ist, kommt auch keine Software auf die Idee, zusätzlich einen Tunnel zu nutzen.
Darfst du in einem versteckten Menü Prefix Delegation fürs Heimnetz aktivieren. Damit kann ein Router (OpenWRT) hinter der FritzBox einen eigenen IPv6 Präfix bekommen. Vielleicht muss auch eine Route für IPv6 rein, das weiß ich aber nicht.