Forum: Offtopic Ipv6 Host exposute ganz witzig.


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Philipp K. (philipp_k59)


Lesenswert?

Moin,

Ich habe zufällig zur Einrichtung meines DYNDNS auf einem Vodafone Kabel 
Station Router eine Recht interessante Funktion gefunden, das ganze 
nennt sich "Host Exposure".

Das bedeutet das der Netzwerkteilnehmer im Prinzip über eine Mac-Adresse 
ungefiltert ohne Firewall an eine öffentliche IPv6 Adresse gebunden 
werden kann da die eigene öffentliche ipv6 eine /64 ist.

Komisch das mir die Funktion vorher nie aufgefallen ist.

von Gustl B. (gustl_b)


Lesenswert?

So viele Schreibfehler in so wenig Text, sogar schon im Betreff.

von (prx) A. K. (prx)


Lesenswert?

Gibts bei Fritzens auch, ebenfalls unter "Exposed Host". Bei IPv4 kriegt 
dieser Host per NAT alles, was der Fritz nicht selbst braucht oder was 
Portforwarding hat. Bei IPv6 fällt NAT weg und es geht alles.

Kann man als eine Art Autoinstaller für Parasiten betrachten, wenn man 
nicht sehr genau weiss, was man tut.

: Bearbeitet durch User
von Philipp K. (philipp_k59)


Lesenswert?

Ach sorry.

Das Handy ist mit meinen Wurstfingern immer etwas störrisch, dazu kommt 
dann noch autovervollständigung und die kleine Schrift zum drüber lesen.

Ich gelobe Besserung und schreibe hier nur noch am PC.


Jo, sicherheitstechnisch sollte man natürlich auf Serverniveau sein, ich 
benutze sowieso nur Port 22 für rsync. Da habe ich mich aber auch 
erschrocken als sofort die Apache Default Seite aufblitzte. LOL

von Mario M. (thelonging)


Lesenswert?

Philipp K. schrieb:
> das ganze nennt sich "Host Exposure".

Gibts doch schon "immer". Wurde früher oft fälschlicherweise als DMZ 
bezeichnet.

von Rene K. (xdraconix)


Lesenswert?

Philipp K. schrieb:
> Port 22 für rsync

Und da fällt schon mal die erste Sicherheitsschranke... Port 22 ist für 
SSH und RSYNC läuft über SSH. Das wäre das letzte was ich öffentlich 
zugänglichen machen würde wollen.

von (prx) A. K. (prx)


Lesenswert?

Rene K. schrieb:
> Das wäre das letzte was ich öffentlich
> zugänglichen machen würde wollen.

Man sollte dann natürlich beim Ball bleiben und die Sicherheits-Ticker 
mitlesen. Wie alle Protokolle erwischt es ab und zu auch SSH. Im sshd 
oder der Firewall des Servers kann man dazu noch IP-Einschränkungen 
machen, wenn man das nicht für die ganze Welt öffnen will, sondern nur 
für bestimmte Gegenstellen.

: Bearbeitet durch User
von Kilo S. (kilo_s)


Lesenswert?

(prx) A. K. schrieb:
> Im sshd oder der Firewall des Servers kann man dazu noch
> IP-Einschränkungen machen, wenn man das nicht für die ganze Welt öffnen
> will, sondern nur für bestimmte Gegenstellen.

Rootlogin verbieten usw..

https://www.hosting.de/helpdesk/anleitungen/server/openssh_server/

von Rene K. (xdraconix)


Lesenswert?

Kilo S. schrieb:
> Rootlogin verbieten usw..

Rootlogin ist glücklicherweise ja sowieso im Standard deaktiviert.

von Stefan F. (Gast)


Lesenswert?

Philipp K. schrieb:
> dazu kommt dann noch autovervollständigung

Mich nervt echt, wie oft ich diese faule Ausrede lesen muss. Schalte die 
Funktion aus!

von Philipp K. (philipp_k59)


Lesenswert?

Naja, das ist ja eher das kleine Server 1x1.

Port 22 war nur ein Synonym für einen beliebigen Port und natürlich 
steht es jedem Offen, ob er ein schwieriges Passwort speichert oder 
einen ssh-key benutzt den er ja trotzdem auch Speichern muss. Man kann 
sich auch im Security Wahn mit einem Port Triggering oder einem VPN 
vorweg einwählen da der port garnicht öffentlich ist. Oder halt einfach 
mit ssh-key einloggen, und dann für sudo ein zusätzliches Passwort 
wählen.

Vielleicht installiere ich auch einfach OpenMediavault, das Webinterface 
setze ich auf Port 3333 oder so, nur im lokalen Netzwerk erreichbar.

Dann mache ich einen ssh-key Login als Dynamischen Port Tunnel als Proxy 
für meinen vorkonfigurierten Browser.

Stefan F. schrieb:
> Schalte die
> Funktion aus!

Das habe ich in der Tat schon überlegt, die nervt total wenn man in 
Englisch tippern will.

von (prx) A. K. (prx)


Lesenswert?

Philipp K. schrieb:
> Das habe ich in der Tat schon überlegt, die nervt total wenn man in
> Englisch tippern will.

Man kann manche Autokorrektoren auch zweisprachig einstellen.

von Nik G. (ngou)


Lesenswert?

Wie verbindet man sich denn konkret von außerhalb mit einem Rechner 
innerhalb des LANs, wenn man IPv6 Host Exposure aktiviert hat?

Verweis auf Quelle würde mir schon reichen (Google hat bisher nicht 
geholfen). Danke!

von (prx) A. K. (prx)


Lesenswert?

Man verbindet sich direkt mit der IP-Adresse des internen Geräts. 
Genauso wie dein PC sich mit einem Server im Internet verbindet.

Da kein NAT genutzt wird, ist das eine von aussen adressierbare 
offizielle Adresse. Die Freigabe als exposed host sorgt nur dafür, dass 
sich die Firewall des Routers nicht in den Weg stellt.

: Bearbeitet durch User
von Nik G. (ngou)


Lesenswert?

Unglaublich, das funktioniert tatsächlich.

Habe den Port 22 im Router freigegeben und konnte den Linux-Rechner im 
LAN über eine IPv6-Adresse von außerhalb (Strato-Server) kontaktieren. 
Ganz reingekommen bin ich noch nicht, da ich mit Keys + Passphrase 
arbeite, aber das ist das kleinere Problem.

Das heißt also, mein Internet-Provider Vodafone empfängt 
Internet-Verkehr, der für meine interne IPv6-Adresse bestimmt ist und 
leitet diesen korrekt weiter?
Bin beeindruckt.

Vielen Dank, das hat mir sehr geholfen!

von (prx) A. K. (prx)


Lesenswert?

Eine solche Portfreigabe ist allerdings deutlich weniger drastisch - und 
meist sinnvoller - als ein exposed host.

Bei IPv6 gibt es zwar organisatorisch ein innen und aussen im Netz, 
nicht aber technisch. Du sitzt mit jedem Gerät direkt im Internet. Nur 
die Firewall verhindert (normalerweise) eine Verbindungsaufnahme von 
aussen nach innen.

Bei IPv4 ist das anders, weil aus Mangel an Adressen NAT verwendet 
werden muss. Das verhindert von Haus aus eine Verbindungsaufnahme von 
aussen nach innen.

: Bearbeitet durch User
von Philipp K. (philipp_k59)


Lesenswert?

Man benötigt bei neueren Anschlüssen wohl den Business Tarif, weil ein 
normaler Anschluss wohl ein getunnelter IPV4 ist. (Light)

Bei der Vodafone-Station müsste man dann "only Modem" aktivieren und ein 
besseres Gerät zur Konfiguration als WiFi Router benutzen. (Soweit ich 
das in Foren gelesen habe)

Bzw. sich gleich eine Fritzbox cable kaufen/mieten.

Bei mir hatte es funktioniert, jetzt irgendwie nicht mehr.

Beitrag #7623061 wurde vom Autor gelöscht.
von Nik G. (ngou)


Angehängte Dateien:

Lesenswert?

Ich habe eine ziemlich neue Vodafone Station, wo man die Exposure sehr
einfach einstellen kann, siehe Screenshot.

Das geht in meinem Fall mit einem Privatkundentarif (1000 MBit/s).

Das ssh-Login von einem entfernten Rechner auf die interne IPv6-Adresse 
mit Private Key plus Passphrase funktioniert problemlos.

: Bearbeitet durch User
von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

(prx) A. K. schrieb:
> Bei IPv4 ist das anders, weil aus Mangel an Adressen NAT verwendet
> werden muss.

Technisch nicht notwendig, aber natürlich bei den meisten Heimnetzen so.

Im Prinzip war IPv4 früher™ natürlich auch mal genau so, wie IPv6 jetzt 
wieder ist: ein Host gleich eine IP-Adresse. Wie du schon schreibst, 
Unterscheidung zwischen "außen" und "innen" macht dann lediglich ein 
Firewall.

(OK, IPv6 schweint nun dank "privacy extensions" in die andere Richtung 
herum: ein Host gleich immer wieder eine neue IP-Adresse.)

von (prx) A. K. (prx)


Lesenswert?

Jörg W. schrieb:
> ein Host gleich immer wieder eine neue IP-Adresse.)

Mehrere. Eine ist permanent, oft aus der MAC Adresse abgeleitet.

von (prx) A. K. (prx)


Lesenswert?

Philipp K. schrieb:
> Man benötigt bei neueren Anschlüssen wohl den Business Tarif, weil ein
> normaler Anschluss wohl ein getunnelter IPV4 ist. (Light)

Es geht um IPv6. Da ist dem Kunden ein Prefix zugeordnet, z.B /56. DS 
Lite ist echtes IPv6, nur das IPv4 ist sehr speziell. Um ausschließlich 
IPv6 Dienste anzubieten, ist IPv4 nicht erforderlich.

von (prx) A. K. (prx)


Lesenswert?

Nik G. schrieb:
> Vodafone Station, wo man die Exposure sehr
> einfach einstellen kann, siehe Screenshot.

Ist nicht identisch mit dem, was Fritz darunter versteht. Also 
aufpassen.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

(prx) A. K. schrieb:
>> ein Host gleich immer wieder eine neue IP-Adresse.)
>
> Mehrere. Eine ist permanent, oft aus der MAC Adresse abgeleitet.

Oft auch nicht mal mehr das, und die "Permanenz" kann sich schon auch 
mal ändern, bspw. bei einem OS Upgrade. :-/

von (prx) A. K. (prx)


Lesenswert?

Statische Adressen sind auch in IPv6 nicht polizeilich verboten. :)

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

(prx) A. K. schrieb:
> Nik G. schrieb:
>> Vodafone Station, wo man die Exposure sehr
>> einfach einstellen kann, siehe Screenshot.
>
> Ist nicht identisch mit dem, was Fritz darunter versteht. Also
> aufpassen.

Deutlicher ausgedrückt: Fritz stellt einen exposed host ohne jede 
Einschränkung ins Internet, also mit allen Ports. Obige Vodafone Station 
scheint nur einzelne Ports freizugeben.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Lesenswert?

(prx) A. K. schrieb:
> Statische Adressen sind auch in IPv6 nicht polizeilich verboten. :)

Schon klar, ich benutze ja selbst eine. ;-) Aber bei einem Laptop will 
man ja schon dynamische Zuweisungen haben, damit man ihn hin und her 
tragen kann, aber hätte vielleicht doch gern in einem konkreten Netz 
auch eine halbwegs stabile Adresse, um sich per ssh einloggen zu können. 
Wenn das OS nach dem Upgrade dann die "permanente" Adresse neu 
auswürfelt, ist das irgendwie ärgerlich.

von Oliver S. (phetty)


Lesenswert?

Nik G. schrieb:
> Das heißt also, mein Internet-Provider Vodafone empfängt
> Internet-Verkehr, der für meine interne IPv6-Adresse bestimmt ist und
> leitet diesen korrekt weiter?

Die "interne" IPv6 ist nicht intern sondern eine öffentliche. Sowas wie 
NAT was es noch bei IPv4 gab kann man sich daher sparen.
Man bekommt auch nicht nur eine einzelne IP zugewiesen sondern ein 
ganzes Netz. Bei Vodafone meist ein /59 und das wären dann:
590.295.810.358.705.651.712 
(https://www.netz-der-netze.info/ipv6-matrix/)
IPv6en die du intern verteilen könntest. Müsste also für den Anfang 
erstmal reichen ;-)

Fünfhundertneunzig Trillionen zweihundertfünfundneunzig Billiarden 
achthundertzehn Billionen dreihundertachtundfünfzig Milliarden 
siebenhundertfünfzig Millionen sechshundertfünfzigtausend 
siebenhundertzwölf

von Philipp K. (philipp_k59)


Lesenswert?

Nik G. schrieb:
> Ich habe eine ziemlich neue Vodafone Station, wo man die Exposure sehr
> einfach einstellen kann, siehe Screenshot.

Hier geht es nicht. (Habe Vodafone gefragt) Man bekommt eine IpV6 und 
keine IPV4, man benötigt einen Dual stack anschluss mit dedizierter IPV4 
damit das funktioniert.

In 3 Bundesländern, meines ausgeschlossen kann man einfach den Support 
für Dual stack anrufen.

Das wirklich blöde ist, das man die Funktionen im Router hat und man 
keine Warnung bekommt, aber diese nur im lokalen Netzwerk funktioniert 
:-D

Man bekommt in meinem Bundesland aber eine automatische IPv4 und damit 
Dualstack wenn man die Vodafone Station in den Bridge Modus (nur Modem) 
versetzt, oder eine kabel Fritzbox mit einer speziellen Produktnummer 
nachkauft.

Das ist halt auch noch jeweils nach stand der Technik des Bundeslandes.

: Bearbeitet durch User
von Philipp K. (philipp_k59)


Lesenswert?

Bei mir funktioniert es jetzt doch wie es soll ohne extra Geräte..

ich habe das schonmal ansatzweise ausprobiert und es funktionierte. Dann 
wollte ich die Tage meinen Rock-5b ans Netz bringen und es ging nichts.

Dann habe ich "Anonym" bei Vodafone angefragt und die oben gepostete 
Antworten erhalten.

Vielleicht lag es am Netzwerk, wegen Umzug hatte ich nur WLAN und habe 
heute ein Kabel nachinstalliert, und siehe da -> mein Homeserver ist 
wieder über dyndns erreichbar.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.