Fritzbox - IPv6 Interface-ID "Verständnisfrage"

[Joerg62]

Guten Tag , ich hab eine kleine frage.

Bezüglich der Interface ID , die in meiner Fritzbox vergeben wird.

Du musst Regestriert sein, um das angehängte Bild zusehen.

Ich glaube das die Interface ID falsch ist,

Darum die frage, wie bekomme ich raus welche ich hier eintragen muss ?

Hier müsste doch die IPv6 Präfix vom Raspberry PI rein oder ?

Wieso ist die falsch , mein PI hat eine andere .

Ändern kann man die auch in der Fritzbox.

Genau deswegen frage ich hier mal nett nach.

Danke schön für eure Hilfe.

 

[Picobot]

Die Interface-ID ist abhängig davon, ob die IPv6 Adresse des Gerätes nach EUI-64 generiert ( also aus der MAC-ID berechnet ) oder zufällig erzeugt wurde. Hier sieht es aus, als ob EUI-64 nicht genutzt wurde. Eine aus der MAC-ID generierte Interface-ID müßte, sofern der Rechner im Internet eben das richtige ausgespuckt hat, ba:27:eb:ff:fe:64:aa:05 lauten.

Jetzt weiß ich nicht, ob der Raspi eine grafische Öberfläche zur Konfiguration des Netzwerkes nutzt, oder ob das nur über die Kommandozeile gemacht wird. Bei meinem Desktop-Xubuntu brauche ich lediglich im Networkmanager einen Haken setzen, um die Generierung per EUI-64 ein- oder auszuschalten. Ohne GUI geht es irgendwie über die Kommandozeile oder durch Änderung einer conf-Dateie ( dhcpd.conf ? ) aber da muß jemand anderes was zu sagen.

 

[Joerg62]

Das wer ja interessant , wie ich das einschalten könnte bei meinem PI.

Als Image für meinen PI nutze ich Stretch


Generierung per EUI-64


So wie ich das lese bei Google mit der suchfunktion.
Ist im Debian Stretch IPv6 schon aktiviert von vorne rein.

Mit diesem Befehl wird mir die IPv6 angezeigt.

ip addr show | grep inet6

inet6 2003:xx:xxx:f00:40ad:ae79:70a3:5ca1
inet6 fe80::xxxx:xx08:e957:7975

Aber die IPv6 Präfix in der Fritzbox, ist eine andere halt.

 

[Picobot]

Eventuell hilft dir dann diese Seite weiter ?

Sie müssen registriert sein, um Links zu sehen.

Dort steht, wie man die "privacy extension" abschalten kann, uim eine von der MAC-ID abgeleitete IPv6 Interface-ID zu erhalten. Bei Bedarf kann ich auch gerne mal ausführlicher erläutern, was es mit EUI-64 und privacy extensions auf sich hat, aber dafür findet man auch Quellen im Netz.

 

[Joerg62]

Picobot : Eine kleine erklärung , oder ein link dazu wer Super.

Reicht es nicht , wenn ich die Interface ID des PI , anpasse in der Fritzbox ?

Oder soll ich an der dhcp.conf , das wirklich ändern ?

Aktuell ist diese noch leer bei mir.

Danke für die Hilfe und die Antworten !

 

[Picobot]

Erstmal zum Vergleich, die Daten stammen von einem Xubuntu PC. Dieser ist so konfiguriert, daß der feste IPv6-Suffix ( und somit die Interface-ID ) von der MAC-ID abgeleitet werden soll, aber für ausgehende Verbindung zusätzlich temporäre IPv6 Suffices erzeugt werden sollen.

nanobot@Aladin:~$ ip addr show | grep inet6
inet6 ::1/128 scope host
inet6 fd00::c80:71df:d479:6d85/64 scope global temporary dynamic
inet6 fd00::922b:34ff:fe38:2b89/64 scope global dynamic mngtmpaddr noprefixroute
inet6 xxxx:xxxx:408a:4600:c80:71df:d479:6d85/64 scope global temporary dynamic
inet6 xxxx:xxxx:408a:4600:922b:34ff:fe38:2b89/64 scope global dynamic mngtmpaddr noprefixroute
inet6 fe80::922b:34ff:fe38:2b89/64 scope link noprefixroute

Fangen wir mal mit den Adressen auf, die mit fd00 beginnen: Die werden nur bei mir erzeugt, weil ich meiner Fritz!Box gesagt habe, daß sie dies tun soll, auch wenn die Internetverbindung steht. Normalerweise werden diese Adressen nur vergeben, wenn das Internet offline ist. Die erste Adresse ist temporär, die zweite ist fest.

Interessant sind die Adressen darunter:

Die erste Adresse mit xxxx:xxx ist eine temporäre Adresse mit einem zufällig erzeugten Suffix, welche für ausgehende Verbindungen verwendet wird und deren Suffix sich alle paar Stunden ändert. Man sieht dies an dem Zusatz "temporary".
Die zweite mit xxxx ist die feste Adresse, deren Suffix aus der MAC-ID Adresse generiert wurde. Die feste Adresse wird aber grundsätzlich nur für eingehenden Verbindungen benutzt. Für ausgehende Verbindungen wird dagegen nur die temporäre Adresse verwendet. Und der Suffix der "festen" Adresse ist identisch mit der Interface-ID, welche auf der Fritzbox angezeigt wrd, also 922b:34ff:fe38:2b89 (wodurch jetzt jeder, der es wissen will recherchieren kann, daß ich ein Gigabyte Board verwende;-)

Nun kann ich dir leider insoweit nicht helfen, als daß bei Xubuntu diese Einstellungen per GUI mit dem Networkmanager gemacht werden, welcher andere Konfigurationsdateien nutzt als das Raspian.

Zum Vergleich könntest du aber evt. noch einen zweiten Screenshot deiner Fritz!Box anfertigen, aber von "Heimnetz / Netzwerk" und dort dann bei dem Raspi auf Bearbeiten ( den Stift ) klicken. Dort erscheinen dann alle IPv6 Adressen, welche die Box kennt, ggf. vorher den Prefix xxxxen. Auf diese Art und Weise kann ich dann zumindestens nachvollziehen, wie der Raspi konfiguriert ist. Ich gehe mal davon aus daß es den Zweck erfüllen sollte, wenn man die "SLAAC" Einstellung in der /etc/dhcpcd.conf auf "slaac hwaddr" ändert und einmal rebootet. Dann sollte auf der Fritz.box eigentlich auch die korrekte, aus der MAC-ID abgeleitete Interface-ID erscheinen

 

[Joerg62]

Hier das Bild , und danke für deine Hilfe.

Du musst Regestriert sein, um das angehängte Bild zusehen.

Habe nun im PI folgendes gemacht.

Eingabe via Telnet : sudo nano /etc/dhcpcd.conf

Hier suchen wir die Zeile, die mit "slaac" beginnt. Hier ändern wir die Zeile in

slaac private

wenn Privacy Extensions aktiv sein soll, oder


slaac hwaddr

wenn Privacy Extensions inaktiv sein soll.

Anschließend speichern und schließen: Strg + O, Return, Strg + X.

sudo reboot

 

[Picobot]

So, also auf die Schnelle erkenne ich, daß die Interface-ID nicht aus der MAC-ID generiert wurde und daß die "privacy extensions", also die Erzeugung zusätzlicher temporärer Adressen, offenbar nicht aktiv ist.

Jetzt frage ich mal anders herum: Da du ursprünglich nach der Interface-ID und Portfreigaben fragtest, nehme ich an, du möchtest, daß dein Raspi aus dem Internet mit einer festen IPv6 Adresse erreichbar ist, du also eingehende Verbindungen nutzen willst ? Oder soll der Raspi auch von sich aus per IPv6 ins Internet gehen ?

Ich frage aus folgenden Grunde: Wenn du nur eingehende Verbinsungen nutzen willst, spricht nichts dagegen auf feste IPv6 mit EUI64 zu wechseln, und dies macht dann sofern ich es googlen konnte, die Änderung in der /etc/dhcpcd.conf auf "slaac hwaddr"

 

[Joerg62]

Ja genau , ich möchte das mein PI mit meiner IPv4 und meiner IPv6 Adresse aus dem Internet erreichbar ist.
Als DYNDNS Provider nutze ich dyndns.org

Möchte also nachher xxx.dyndns.org erreichbar sein von der ipv4 oder ipv6 halt.

Soll ich die änderungen am System vornehmen ? mit slaac hwaddr ?


Aktuell lasse ich meine Fritzbox über dyndns.org updaten , habe manuell die IPv6 vom PI eingetragen damit es funktioniert.

Problem sobald meine IP gewechselt wird , falls die IPv6 sich ändert ? Muss das erst noch beobachten alles.

Aber ich will dafür alles einrichten halt damit das funktioniert.

 

[Picobot]

Wenn es nur um die eigehenden Verbindungen geht, sollte slaac hwaddr reichen.

Ich habe eben noch einmal im Netz weiter gelesen:

Sie müssen registriert sein, um Links zu sehen.

beschreibt, wie man dafür sorgt, daß es einen festen, aus der MAC-ID abgeleiteten Suffix gibt. Dies ist die SLAAC Einstellung.

Sie müssen registriert sein, um Links zu sehen.

beschreibt wie man bewirkt, daß für ausgehende Verbindungen eine temporäre zufällige Adresse verwendet wird, damit man im Netz nicht so leicht identifiziert und wieder erkannt werden kann. Darauf kommt es dir aber, wenn ich es richtig verstanden habe, gar nicht an. Dies sibnd die Einstellungen in /etc/sysctl.conf
net.ipv6.conf.default.use_tempaddr = 2
net.ipv6.conf.all.use_tempaddr = 2

Wenn du die Änderung auf SLAAC hwaddr gemacht hast, kann es sein, daß es eine Weile dauert, bis die Fritz!Box diese Änderung mitbekommt. Ungeachtet dessen kannst du direkt auf dem Raspi mit ip addr show | grep inet6 prüfen, ob es geklappt hat. Denn wenn ja, dann sind in den IPv6 Adressen Teile der MAC-ID sichtbar, was jetzt ja nicht der Fall ist.

 

[Joerg62]

Macht das den jetzt sinn, dies zu tun.

Hört sich ja dann alles nicht mehr, so sicher an oder ?

Oder wer es besser , wenn ich ddns oder inadyn auf dem PI installiere.

Dann müsste ich das Update über die Fritzbox deaktivieren. Aber das müsste ja dann , auch gehen oder ?
Dann brauch ich die config nicht zu machen mit "slaac hwaddr" oder doch ?

Will nur das beste nachher so das es funktioniert.^^

Danke für deine Hilfe.

 

[Picobot]

Man muß bezüglich der Generierung von IPv6 Adressen zwischen zwei Aspekten unterscheiden, welche beide mit Privatsphäre zu tun haben:

Zum einen geht es um eingehende Verbindungen, welche zum Beispiel mit Hilfe von dyndns Anbietern ( bei mir freedns.afraid.org Achtung Reklame ;-) realisiert werden. Wenn man die IPv6 Adresse aus der MAC-ID generieren lässt, dann kann man hierdurch die Hardware des Servers eindeutig identifizieren. Anhand des Suffix 922b:34ff:fe38:2b89 kann man ausrechnen, daß die MAC-ID meines PCs 90:2b:34:38:2b:89 lautet und es sich mithin um den Hersteller Gigabyte handelt. Darüber hinaus liese sich theoretisch auch nachprüfen, daß es sich um das Mainboard meines Rechners, und nicht um daß meiner Frau, welche ebenfalls ein Gigabyte Board hat, handelt. Um dies festzustellen, benötigt man aber physischen Zugriff auf unsere beiden PCs, und den hat ja nur jemand, der mich sowieso kennt und z.B. zu Besuch ist. Desweiteren haben nur solche Leute die Möglichkeit, über dyndns an die IPv6-Adresse und somit auf die MAC-ID zu kömmen, denen ich meine Dyndns Adresse mitgeteilt habe. Daher sehe ich darin eine eher kleine Beinträchtigung der Privatsphäre.

Anders ist es bei ausgehenden Verbindungen: Wenn ich mit einer IPv6-Adresse, deren Suffix aus der MAC-ID generiert wurde im Netz surfe, bin ich anhand es unveränderlichen Suffix leicht trackbar, denn jede MAC-ID ist ja eindeutig einem bestimmten Gerät zugeordnet. Und somit wäre es zum Beispiel relativ leicht für Webseitenbetreiber, mich mit personalisierter Werbung zu nerven.
Daher verwende ich für ausgehende Verbindungen temporäre IPv6 Adressen, welche sich alle paar Stunden ändern, während ich für eingehende Verbindungern mit festem Suffix arbeite.

Die Verwendung von temporären Suffices für abgehende Verbindungen hat aber auch einen Nachteil bezüglich dyndns: Wenn man die Update-URL für den dyndns Anbieter, zum Beispiel per ddns, einfach nur so aufruft, bekommt der, weil es ja eine ausgehende Verbindung ist, die temporäre IPv6-Adresse mitgeteilt, welche aber nur wenige Stunden gültig ist und bei der die Freigabe der Fritz!Box nicht greift. Man muß also die Update-URL manuell zusammen bauen, damit dem dyndns Anbieter die IPv6-Adresse mit dem festen Suffix mitgeteilt wird.

Daher ist für deinen Fall ( nur eigehende Verbindungen gewollt ) die einfachste Lösung: SLAAC auf hwaddr ( was noch nicht der Fall ist ) und temporäre Adressen aus ( was offenbar schon der Fall ist ).

Und auf der Fritz!Box kannst du die IPv6-Adresse des Paspi ohnehin nicht so einfach updaten: Die Box übermittelt ja dann Ihre eigene IPv6 an dyndns und nicht die des Raspi. Das muß, wenn man nicht besondere Tricks anwenden will, auf dem Raspi mit einem dyndns Clienten gemacht werden.

 

[Joerg62]

Ist es egal ob ddns oder inadyn dafür ?

Gibts da ne leichte anleitung für dydndns.org ?

Würde das gerne Anwenden !

 

[Picobot]

Wie das bei dyndns.org geht müßte ich erst googlen. Ich bin schon vor Jahren, als dyndns kostenpflichtig wurde, zu freedns gewechselt Wenn ich mich richtig erinnere, war die Update-URL dort
http://{username}:{password}@members.dyndns.org/nic/update?hostname={yourhostname}&myip={ipaddress}&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG
wobei man bei ipaddress entweder eine IPv4 oder eine IPv6 oder beides durch Komma getrennt angeben kann.

Aber mach doch einen Schritt nach dem anderen: Zuerst mußt du den Raspi ( und die Fritz!Box ) dazu bringen, daß zumindestens eine deiner IPv6 Adressen auf ba:27:eb:ff:fe:64:aa:05 endet und die FB auch diese Interface-ID anzeigt.

 

[Joerg62]

OKAY hab es nun gemacht :smile:

IPv6 vom Raspberry PI lautet nun

root@raspberrypi ~ > ip addr show | grep inet6

inet6 xxx:xx:xxx:f00:ba27:ebff:fe64:aa05
inet6 xxxx::xxxx:ebff:fe64:aa05

Das hab ich also nun erledigt.

DANKE dir ^^

Nun der kommt der teil mit ddns oder inadyn , was würdest du nehmen ?

Mir empfehlen bzw. wie geht es weiter ?