Bridge Firewall LAN/Wan

[Boba Fett]

Schon klar.

-und- eine "temporäre" IPv6, damit nicht jeder mittracken kann, welches Gerät genau die Daten abgerufen hat.

Und wo kommt diese temporäre IPv6 her? Wenn sich jedes Endgerät diese selbst auswürfeln würde, könnte es zu Adresskollisionen kommen. Also muss diese auch entweder wieder der Router zentral DHCP-ähnlich verwalten, oder die kommen alle direkt vom VF-DHCP. Wenn das war mit "Privacy" zu tun haben soll, sollte sie eigentlich von meinem Router kommen, denn wenn VF das macht, dann kann ja auch VF zumindest wieder jedes einzelne Gerät anhand der "temporären" IPv6 identifizieren.

BTW: Auch Mac-Adressen kann man ändern.

[Elmoare]

Um dann nochmal auf die alte Konfiguration (mit Switch an KD Bridge) zurückzukommen...

Also obwohl mehrere öffentliche IPv6 Adressen verteilt werden...

Hätte dann trotzdem nicht funktioniert Bzw nur mit 1 Gerät funktioniert oder?

[reneromann]

Schon klar.

-und- eine "temporäre" IPv6, damit nicht jeder mittracken kann, welches Gerät genau die Daten abgerufen hat.

Und wo kommt diese temporäre IPv6 her? Wenn sich jedes Endgerät diese selbst auswürfeln würde, könnte es zu Adresskollisionen kommen. Also muss diese auch entweder wieder der Router zentral DHCP-ähnlich verwalten, oder die kommen alle direkt vom VF-DHCP. Wenn das war mit "Privacy" zu tun haben soll, sollte sie eigentlich von meinem Router kommen, denn wenn VF das macht, dann kann ja auch VF zumindest wieder jedes einzelne Gerät anhand der "temporären" IPv6 identifizieren.

BTW: Auch Mac-Adressen kann man ändern.

Die "temporäre" IPv6 wird vom Gerät selbst ausgewürfelt - und ja, da kann es (theoretisch) zu Kollisionen kommen. Lies dir einfach die Spezifikation zu den IPv6 "Privacy Extensions" durch, dann merkst du, dass es selbst für dein Szenario entsprechende Fallbacks gibt.
Und nein, da wird nichts zentral vom Router vergeben
Und "privat" heißt "Privat", weil sich diese IPv6 wenigstens überhaupt mal ändert - denn die "normale" Hostadresse ändert sich bei SLAAC nicht - und das Präfix vom Provider ja i.d.R. auch nicht...

DHCP ist bei IPv6 "eigentlich" unnötig - die Adress"vergabe" geschieht per SLAAC (Stateless Adress Auto Configuration) in Kombination mit PD (Prefix Delegation).

[robert_s]

Und wie ich schon schrieb: I.d.R. hat ein Gerät am Ende 2 öffentliche IPv6-Adressen - eine "quasistatische" IPv6, die sich nicht ändert, weil der Host-Teil der IPv6 direkt aus der MAC abgeleitet wird -und- eine "temporäre" IPv6,

RFC7217 definiert noch eine dritte Variante: "stable privacy", und die ist im Gnome Network Manager implementiert und z.B. in Ubuntu per Default aktiviert. Die ist "statisch", entspricht aber nicht der MAC-Adresse - kann also für Serverdienste verwendet werden, ohne die MAC-Adresse preis zu geben.

Ansonsten muss man sich mit IPv6 von gewissen "Bequemlichkeiten" verabschieden, welche IPv4/NAT mit sich gebracht hat: DynDNS kann der Router nicht mehr ohne weiteres übernehmen, stattdessen braucht man nun einen Client auf dem jeweiligen Endgerät. Und man kann Portfreigaben nicht mehr einfach von einem Endgerät im LAN auf ein anderes umbiegen.

Wobei ich mich frage, wie das eigentlich die "großen" Serverbetreiber handhaben. Wenn z.B. mal die Serverhardware kaputt geht, konnte man bisher ja einfach das Gerät ersetzen, das letzte Backup einspielen und weiter ging's. Aber mit IPv6 wäre neues Gerät = neue IPv6-Adresse. Dann müsste man die DNS-Einträge ändern, und bis die überall angekommen sind, gehen jeden Menge Anfragen ins Leere - der Server wäre also deutlich länger "offline" als bisher. Wie lösen die das? Indem die MAC-Adresse der defekten Hardware auf die neue geklont wird?

[reneromann]

IPv6 kennt noch immer die Möglichkeit einer statischen Adresse - und die Server in einem Rechenzentrum dürften eher mit statischer Konfiguration arbeiten als mit SLAAC (so wie dort auch nicht auf DHCP für IPv4 gesetzt wird)...