Einzigartige IPv6 EUI-64 Adresse erzeugen (bookworm)

wd9895 · March 1, 2025, 6:27pm

Die EUI-64 IPv6 Adresse wird mit Hilfe der Mac-Adresse des PIs erzeugt.
Erkennbar an fd00::xxxx:xxff:fexx:xxxx

Vorteil für den Pi:
Keine wechselnde oder mehrfache fd00 oder fd28 Adresse
Keine "nur" local link fe80 Adresse

Wie geht das ?
Terminal öffnen (putty), einloggen:
Datei erzeugen, da nicht vorhanden
sudo nano /etc/NetworkManager/conf.d/ipv6.conf

[connection]
ipv6.ip6-privacy=0
ipv6.addr-gen-mode=0

Speichern und Pi rebooten
Check der Adresse mit ifconfig

Neue IPv6 im Router beim DNSv6 und im Router Advertisement (RFC 5006) eintragen.
Ein Reboot des Routers ist nicht erforderlich (bei mir Fritzbox 7590, 8.02).
Die EUI-64 Adresse ist sofort verfügbar.

Bucking_Horn · March 1, 2025, 7:04pm

EUI64 enthalten die MAC-Adresse der Netzwerkschnittstelle des Geräts und erlauben dadurch Rückschlüsse auf die verwendete Hardware.

Daher sind hier prinzipiell Interface IDs (IIDs) nach RFC7217 zu bevorzugen, die ebenfalls stabil sind, solange sich das Präfix nicht ändert (was bei ULA-Adressen nur passiert, wenn man das selbst im Router umkonfiguriert).

Da außerdem die Parameter in der angegebenen Datei generell auf alle IPv6-Adressen wirken, wären auch die GUAs hiervon betroffen.
Für GUAs ist eine Verwendung von temporären IIDs nach RFC8981 nach wie vor zum Schutz der Privatsphäre sinnvoll, um die bei einer festen IID vorhandene Nachverfolgbarkeit zu verhindern, wenn man im Internet unterwegs ist.
Temporäre Adressen werden dabei zusätzlich zu den festen Adressen vergeben.

Eine bessere Wahl wäre demnach

[connection]
ipv6.ip6-privacy=2
ipv6.addr-gen-mode=stable-privacy

Mehr Infos zu NetworkManager-Parametern findet sich z.B. in nm-settings-nmcli: NetworkManager Reference Manual.

Zur Überprüfung würde ich ip -6 address verwenden, wodurch ausschließlich IPv6-Adressen angezeigt werden, ggf. beschränkt auf ein bestimmtes Interface mit z.B. ip -6 address show dev eth0.

wd9895 · March 1, 2025, 9:13pm

Danke !

Guter Tipp. Die Privacy war mir bewusst, aber zum Thema gibt es recht wenige verständliche Hinweise im Netz.

IPv6 ist für viele Anwender immer noch eine ziemliche Freakshow.

wd9895 · March 1, 2025, 9:22pm

Nachtrag: Wieder 2 fd00 Adressen. Alles andere sind 2001: Adressen die global sind. Eine fe80 Adresse als local link.

inet6 fd00::xyz /64 scope global temporary dynamic
valid_lft 7200sec preferred_lft 3600sec
inet6 fd00::yxz /64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 7200sec preferred_lft 3600sec

Ich teste mal die zweite, die scheint richtig zu sein und bleibt bei einem Reboot identisch.

Bucking_Horn · March 1, 2025, 10:09pm

temporary sind die errähnten temporären Adressen nach RFC8981, deren Erzeugung und Verwendung in NM durch ipv6.ip6-privacy gesteuert wird.

mngtmpaddr sind hier die gemäß RFC7217 erzeugten Adressen, deren Erzeugung in NM durch ipv6.addr-gen-mode=stable-privacy veranlasst wird.

wd9895 · March 1, 2025, 10:23pm

Danke dir.
Mich hatte auf dem ersten Blick das Wort dynamic etwas irritiert.

Läuft soweit. Auch nach ein paar Reboots ist die Adresse identisch. Wie erwartet.

wd9895 · March 4, 2025, 11:04am

Moin Bucking_Horn,

im Dashboard bei Top-Clients (total) sehe ich nun immer mal wieder unzugeordnete, unbenannte fd00 Adressen, die temporär sind - wie oben beschrieben, hat jeder Client 2 fd00 Adressen.
Kann ich das Top Client Ranking irgendwie bereinigen ? Helfen Einträge in der /etc/hosts Datei?

Danke dir.

Bucking_Horn · March 4, 2025, 11:26am

Clients entscheiden autonom anhand der IPv6 prefix policies ihres jeweiligen Betriebssystems, über welche ihrer IPv6-Adressen sie mit einer gegebenen IPv6-Zieladresse kommunizieren.
Das lässt sich durch Pi-hole nicht beeinflussen.

Eventuell kann man die IPv6 prefix policies auf dem jeweiligen Gerät gezielt manipulieren, jedoch müsste man das manuell auf jedem Gerät anpassen, und bei IoT-Geräten dürfte diese Möglichkeit generell nicht zugänglich sein.

Für bessere Übersichtlichkeit im Dashboard würde ich den Router so konfigurieren, dass er ausschließlich die IPv4-Adresse Deines Pi-hole-Rechners als DNS-Server verteilt.
Das geht natürlich nur bei Routern, die das unterstützen, siehe z.B. (Proxmox) DNS Probleme nach Stromausfall - #4 by Bucking_Horn für Fritzboxen oder IPv6 DNS configuration on ZTE H6645P - #7 by Deltwin für ein ZTE-Modell.

wd9895 · March 4, 2025, 11:33am

Ja, die Lösung per IPv4 kenne ich, das funktoniert auch.
Ich wundere mich nur noch, dass das alles so funktioniert .... zum Glück ist es nur das Pihole Ranking, wo manchmal etwas seltsames auftaucht.

Und zum Mond fliegen wir zum Glück nicht.

D-A-N-K-E

system · March 25, 2025, 11:34am

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.