IPv4 / IPv6 - Verwirrung, wann was notwendig

Hallo zusammen,

  • Danke für das Projekt - super Sache!
  • Raspberry pi 3 b+ mit Raspbian Stretch Lite
  • Pi Hole + konfiguriert (Details ggf. später mehr)
  • Fritzbox 7490

IPv4 auf dem PC wird gefiltert, ca. 10% der Anfragen werden derzeit geblockt. Also scheint es zu funktionieren. Andere Geräte habe ich noch nicht getestet - gestriger Zeitmangel. Auch die Logs habe ich noch nicht näher betrachtet.

Bin gerade auf der Arbeit und suche nach weiteren Informationen bezgl. Filterlisten und stieß dabei auch auf die Thematik IPv4 / IPv6. Je mehr ich lese umso mehr durcheinander, teils auch unsicher, werde ich :smiley:.

Grundsätzlich:
Wann muss ich IPv6 im Pi Hole konfigurieren und wann eben nicht?

Ausgangslage:

Fritzbox 7490

  • DHCP Server IPv4 eingeschaltet, dort dabei DNS auf den Pi-Hole
  • DHCP Server IPv6 deaktiviert
  • ob die Box selbst für´s www von der Telekom IPv6 zugewiesen bekommt (inkl. Präfix, täglich wechselnd, was man so liest) weiß ich hier auf der Arbeit gerade nicht. Ob dort ebenfalls DNS hinterlegt sind ebenfalls gerade nicht.

Eigentlich dachte ich bisher, dass bei dieser Konfig alle meine internen Geräte eine IPv4 Adresse zugewiesen bekomme, auch nur darüber kommunizieren und daher das Filtern eben zuverlässig und immer funktioniert, weil ja DNS IPv4 auf Pi Hole umgeleitet wird.

Was mich durch die ganze Threads-Leserei unsicher macht, weil oft die Rede ist "kommt drauf an, wie die Box beim DSL Anbieter angebunden ist".

a)
Wenn die Box selbst für´s www nun eine IPv6 erhält, intern aber nur DHCP-Server v4 aktiviert ist - kann ich mich darauf verlassen, dass jedes interne Gerät auch nur eine IPv4 erhält und auch nur darüber kommuniziert?

b)
Gibt es Ads, die sich über diese IPv4 Konfig hinwegsetzen und doch IPv6 absetzen können - gerade wenn die Box selbst mit IPv6 ans www angebunden ist?

c)
Setzen sich Browser über diese Konfig hinweg und setzen IPv6 Anfragen ab?

d)
Was passiert mit IPv6 Anfragen bei einer solchen Konfig (wenn es die überhaupt bei dieser Konfig geben kann), werden die dann von der Box bzw. dem DSL Anbieter aufgelöst, weil der Pi Hole ja nicht dazu konfiguriert wurde?

Ergänzend
Im Pi Hole habe ich

eine statische IP Adresse im 198.168.n.n Netz vergeben.

/etc/dhcpcd.conf

interface ean3455343.........
static ip_address=192.168.n.n
static routers=192.168..n.n. (Fritz box)
static domain_name_servers=192.168.n.n (bin gerade unsicher Pi-Hole oder digitalcourage eingetragen)
#static IPv6 auskommentiert

WLAN und Bluetooth deaktiviert
/boot/config.txt

  • dtoverlay=pi3-disable-bt
  • dtoverlay=pi3-disable-wifi

Lieben Dank für Infos!

Schönen Gruß
Jens

So, bin nun zuhause und schaue in die Web-Oberfläche. Inzwischen ist die Blockquote bei 20%. Obwohl keiner zuhause war sehr interessant.

Ich bin etwas verwundert:

a)
Unter Settings/System hat Pi-Hole doch eine
Pi-hole IPv6 address: 2003:....:......

Woher bezieht sie diese?

Wie eingangs erwähnt, habe ich eine statische IPv4 konfiguriert (/etc/dhcpcd.conf)

b)
Im Dashboard unter Query Types sind fast 50% AAAA (IPv6) gelistet?

Wie eingangs erwähnt dachte ich, ich habe gar keine IPv6 Konfig

c)
Unter Top Permitted Domains findet sich " wpad.fritz.box"
Was ist das - wpad?

d)
Bei der FritzBox -> Zugangsdaten ->

Reiter "Internetzugang"
-- ist die Telekom konfiguriert

Reiter "IPv6"
-- ist "IPv6-Unterstützung aktiv" angehakt
-- ist unter "IPv6 Anbindung" = "Native IPv4 Anbindung verwenden" gesetzt
-- ist unter "Verbindungseinstellungen" = "DHCPv6 Rapid Commit verwenden" angehakt

Reiter "DNS-Server"
-- ist unter "DNSv4-Server" = "Vom Internetanbieter zugewiesene DNSv4-Server verwenden (empfohlen)" gesetzt
-- ist unter "DNSv6-Server" = "Vom Internetanbieter zugewiesene DNSv6-Server verwenden (empfohlen)" gesetzt

Frage: Ist das so korrekt, da ich (wie eingangs erwähnt) im DHCP-Server der FritzBox ja den DNS-Server (PiHole) mitgebe?

e)
Wenn ich "www.iplocation.net" besuche, wird mir eine IPv4 angezeigt (die ich nach außen hin haben soll)

Wenn ich "www.myip.com" besuche, wird mir

  • eine "2003:....."-Adresse angezeigt.
  • ebenso ein Host mit "p2003....dip0.t-ipconnect.de"

Wiederum eine andere "2003....dip0.t-ipconnect.de" wird mir gestern als eine der Top Clients im Pi-Hole angezeigt ?

Wie ist das zu werten / verstehen ?

Auch wenn im Allgemeinen eine gewisse Abneigung gegenüber IPV6 besteht, versuche ich dennoch dir das mal zu erklären. Ich selbst bin nämlich ein Freund von moderner Technik und nutze IPV6 auch normal am Telekom Anschluß.
Generell funktioniert ipv6 anders als ipv4. Es gibt zwar DHCPv6, aber generell gilt bei einer Fritzbox: ist ipv6 angeschaltet (was du aktiv hast), bekommt ein Client auch eine ipv6 Adresse und ohne entsprechende Konfiguration wird am pihole vorbei gearbeitet (es wird also nur teilweise geblockt)

Kurz bzgl. IPV6
fe80: sind Adressen, die jedes Gerät mit ipv6 immer hat, sind eine Art lokale Adressen, routen nicht im Internet
fd00::... Sind Adressen, die ähnlich wie die 192.x Adressen bei IPv4 im LAN Bereich genutzt werden sollen (heißen ULA), routen nur im LAN, nicht im Internet
2003:: sind globale Adressen, die auch ins Internet routen (daher auch bei wieistmeineip.de und Co zu sehen sind)
Und um dem ganzen die Krone aufzusetzen, haben die letzten beiden Adressenräume auf den Clients oft privacy extensions aktiv, sprich die Adressen ändert sich regelmäßig. Somit kann ein Client gerne mal 5 ipv6 Adressen haben.

Zu deinen Fragen:
A) wenn die ipv6 Unterstützung aktiv ist und dein Provider es unterstützt (Telekom: Ja) bekommen alle Geräte eine IPv6 Adresse im globalen Adressraum (zb 2003::...)
b) und c) wenn dein Client ipv6 nutzt, kann das durchaus passieren.
d) wenn nicht anders konfiguriert, wird eine Verbindung über ipv6 an den Provider DNS (konfiguriert in der Fritzbox) genutzt

So, was kann man jetzt machen - entweder in der Fritzbox Ipv6 Unterstützung aus (dann gibts komplett kein ipv6 mehr, dann geht alles über ipv4 - bin ich zwecks Zukunft und Interesse kein Freund von) oder entsprechend einrichten.

Was is zu tun?

  • in der Fritzbox unter Heimnetz und IPv6 "ULA immer zuweisen anmachen". "DNSv6 über Router Advertisment bekannt machen" aktivieren. Dort die fd00 des Raspberry eintragen (der bekommt mit der Einstellung in der FB eine solche Adresse). Wichtig: sollten es mehrere sein, die der Raspberry im fd00 Bereich bekommen hat, die nutzen, welche der MAC Adresse ähnlich ist.
  • DHCPv6 aus und den DNS zuweisen

Auf dem Raspberry:

  • in der setupvars.conf die fd00 Ipv6 Adresse eintragen (wie oben die der MAC Adresse der LAN Schnittstelle am ähnlichsten ist)
  • abschließend pihole -g eingeben.

Ergebnis:
IPV4: gewohnt über DHCP der Fritzbox, der in den DHCP Einstellungen als Lokalen DNS die IP des Raspberry hat, oder eben DHCP des Raspberry
IPV6: Fritzbox verteilt 2003: und fd00: Adresse an die Clients und gibt DNS IPv6 Adresse des Raspberry weiter. Dadurch wird auch über ipv6 der pihole als DNS Server genutzt

So ich hoffe das war halbwegs verständlich, sonst gerne fragen. :slight_smile:

5 Likes

Erst mal Danke für die ausführliche Antwort und gerne komme ich auf´s Angebot zurück weiter zu fragen, da mich die Thematik inzwischen interessiert.

Heute Morgen habe ich noch kurz in die iPads geschaut. Haben beide jeweils zwei IPv6 Adressen zusätzlich zur IPv4. Damit ist das was ich bisher dachte komplett über den Haufen geworfen. Wäre mir nie aufgefallen, wenn ich mich nicht mir dem Hole beschäftigt hätte.

Mit der aktuellen FritzBox Konfiguration (wie eingangs beschrieben) haben alle meine Endgeräte eine oder mehrere IPv6 Adressen (zusätzlich zu den IPv4).

Und zwar in der Tat im globalen Adressraum 2003..... .

Beim ergänzenden Lesen fand ich diesen Artikel hilfreich:
https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/014/hilfe_ipv6_introduction

Wie schon erwähnt hat das Hole auch eine 2003... IPv6-Adresse. Diese hatte ich wohl auch in der FritzBox hinterlegt. Und zwar dort, wo man DHCPv6 eigentlich konfiguriert und was ich ja abgeschaltet habe.

Dies scheint aber zu greifen, was dann auch die knapp 50% AAAA Requests erklärt, die das Hole ja protokolliert/in der Statistik anzeigt.

Ich fasse zusammen:

IPv4 kommt über den konfigurierten DHCP-Server der FritzBox, der dort hinterlegte DNS (auf Pi-Hole) wird darüber mitgegeben, passt. In diesem Verfahren kann ich auch statisch zum internen Netz passende IPs in den End-Geräten hinterlegen.

IPv6 Adressen werden mit der bisherigen Konfiguration der FritzBox über die Telekom vergeben. Hier kann ich auch nichts statisch irgendwo hinterlegen, die End-Geräte erhalten diese automatisch: Präfix (Anbieter - Telekom nutzt 2003....) und Geräte-MacAdresse.

Soweit ok.

Unklar ist mir jetzt, was man am besten tun sollte:

a)
Alles so lassen, es scheint ja zu funktionieren mit den 2003...er Adressen der Endgeräte und dem Hole als DNS.

Aber sind 2003..er Adressen sinnvoll, da diese ja global sind?

  • sind diese von außen erreichbar? Ich kenne mich mit Firewalls jetzt nicht wirklich aus. Wenn regelt vermutlich die FritzBox die Zugriffe von außen?

Was ist hier

  • der Vorteil (Echte Ende zu Ende Verschlüsselung?)
  • der Nachteil (Geräte von außen erreichbar und somit angreifbar?)

b)
Oder sollte man intern eben doch selbst erzeugte Adressen verwenden, die dann auch wiederum statisch irgendwo hinterlegt werden können?

Was ist hier der Vorteil / Nachteil?

AVM beschreibt in dem oben verlinkten Artikel:

fd00:... kennzeichnet lokal generierte IPv6-Adressen (Unique Local Addresses - ULA).
IPv6-Adressen mit diesem Präfix können nicht für die Internetkommunikation, sondern nur innerhalb eines lokalen Netzwerks verwendet werden

fe80:... kennzeichnet sogenannte link-lokale IPv6-Adressen (Link Local Addresses), die nur innerhalb eines Netzwerksegments verwendet werden können

  • sind das dann selbst generierte, die von außen her nicht erreichbar sind und wieder ähnlich NAT übersetzt werden?
  • bleiben die statisch und ich kann sie fest hinterlegen?

c)
Mir graut´s vor IPv6 :sweat_smile:: denn eigentlich wollte ich mich auch noch mit VLANs beschäftigen, da sämtlich IoT-Geräte aus dem Heimnetz verbannt werden sollen.

Hier belese ich mich auch gerade und habe bereits Layer-2 Switches besorgt. Jetzt fehlt noch ein Multi-Lan-Router bzw. Layer 3 Switch. Ich brauche mindestens 4 Netzsegmente, sprich eigene IP-Bereiche und wie soll´s auch anderes sein, nicht alle sollen miteinander sprechen dürfen aber jeder den DNS und den Drucker verwenden.

Wie verhält es sich da. Ich war bis jetzt auf der Schiene: im Multi-LAN-Router oder Layer3 Switch eben DHCP-Server für die VLANs zu konfigurieren. Eigentlich dachte ich da auch an IPv4. Sprich das alle Endgeräte eigentlich IPv4 Adressen haben.

Bekommen die dann durch den IPv6 der Fritzbox dann doch wieder IPv6-Adressen?

Ich sag es ja, je mehr man liest umso unsicherer wird man. Scheint noch ein langer weg für mich :slight_smile:

Okay viele Fragen, mal schauen ob ich diese beantwortet bekomme :wink:
Die 2003:: Adressen sind an sich nicht in der Fritzbox definiert, sondern das ist Teil des IPv6 Prefixes, den der Provider dir zugeteilt hat. Bei der Internet-Verbindung bekommt man vom Provider meist - anders als bei IPv4 - nicht eine einzelne IP, sondern ein /64-Bereich zugewiesen. Eine IP krallt sich der Router, der Rest wird im Haus verteilt.
Problem: Bei einer Verbindungstrennung wird dir vom Provider ein neuer Prefix zugewiesen. Sprich die Konfiguration funktioniert im Moment, aber spätestens bei einer Trennung würde dein PiHole mit 2003:: IP eine neue IP bekommen, die im Pihole neu aktiviert werden muss , in der FB das angepasst werden muss etc. Jetzt kann man natürlich irgendwie herum scripten, damit der pihole eine neue einpflegt etc., aber das is auch wieder umständlich.

Zu a) Ja sie wären global erreichbar, allerdings dient eine Fritzbox hier als Firewall, sprich als Default lässt er keine Verbindung von außen zu. Die 2003:: Adressen auf den Geräten zu haben ist natürlich notwendig (sind hätte man ja keine IPv6 Verbindung in die große weite Welt), aber als statischer Zugriffspunkt aus dem LAN heraus aufgrund des genannten Wechselproblems eher ungünstig.......

Zu b) ... und genau dafür sind dann die ULA Adressen da. Theoretisch klappt es auch mit den LLA Adressen (selbst getestet), aber schöner und auch das, was empfohlen wird, sind eben die Zuweisung von ULA Adressen. Denn diese sind unabhängig von einem Provider-Prefix, der sich häufiger wechselt (zumindest bei der Telekom), sondern hängen an der Fritzbox. Dadurch dass man in der FB auch feste Adressen definieren kann, genau perfekt für den Zweck hier :slight_smile:
Sowohl ULA als auch LLA sind weder von außen erreichen noch werden diese per NAT o.ä. geroutet. Die Adressen sind nicht nicht internetfähig, sprich ein Gerät NUR mit einer ULA oder LLA kann nicht ins Internet. Die ULA dient wie bereits erwähnt dafür das IPv4 Konstrukt 192.168.x abzubilden. Soll heißen: Ein fd00 Prefix wird durch den Router im internen Netz verteilt, ist statisch und dadurch perfekt für das heimische LAN.

VLANs - huiuiui, ein Thema für sich.
Generell hat deine Fritzbox von VLANs keine Ahnung (fast richtig, Gastzugang is so ein Thema für sich).
Würdest du im internen Netz einen VLAN Switch haben, müsstest du definieren wo in welchem VLAN die Geräte anzutreffen sind. Da wir hier von einer FB reden, würde das bedeutet: Dein internes Netz der Fritzbox packst du in ein VLAN. In diesem VLAN würde dann sowohl der DHCP Server der FB greifen sowie die IPv6 Adressen wie oben definiert.
In einem anderen VLAN "sieht" er dann das Ganze nicht, sprich da kannst du entsprechend DHCP Server, die IPv4 only sind und nur in diesem Netz greifen, definieren.

Aber wir schweifen vom Pihole etwas ab :wink: Aktiviert in der FB ULA, trag die ULA, die der pihole bekommen hat, als DNSv6 in der FB ein, aktivier die ULA im pihole entsprechend und der Teil läuft zumindest als Werbeblocker :slight_smile:

*puh sehr viel Theorie grad :smiley:

Super, Danke Dir!

So werde ich es vorerst machen.
Nebenbei werde ich mich weiter in die IPv6 Konfigurationen einlesen.

Sehr gut! Das werte ich durchaus positiv. Leider ist die Meinung meist "IPv6? Brauch ich nicht, macht Ärger, schalte es aus"
Klar ich denke noch braucht man es nicht wirklich, aber ich empfinde es sinnvoller sich damit auseinander zusetzen als es stumpf auszumachen.
Und so unbeherrschbar ist das Thema nu auch nicht :slight_smile:

Beim weiteren Lesen bezgl. IPv6 habe ich einen klaren Vorteil für mich entdeckt:

Spielekonsolen und Multiplayer und mit IPv6 eben kein lästiges (mögliches) NAT-Typ Problem mehr :smile:. Vorausgesetzt echter DualStack, (bzw. echtes IPv6) sonst hat man wieder andere Probleme.

Wo es bei mir gerade noch hakt ist, vielleicht hast Du da noch eine Erklärung für:

Wenn ich es so konfiguriere wie von Dir geschildert, und so interpretiere wie ich es auf anderen Seiten noch lese, erhalten die Geräte dennoch von meinem ISP (Telekom) 2003er Adressen - oder?.

Sprich ein Netzwerkinterface hat dann mehrere IPv6 Adressen. Mehrere 2003er und eine UAL oder LLA.

Beispiel:
2003:1..... global
2003:2..... global
fe80:..... lokal

Woher weiß ich dann, mit welcher tatsächlich kommuniziert wird?

Weiteres Beispiel:

Browser soll Seite laden:

  • DNS-Auflösung über "fe80" intern an Pi-Hole
  • Rest über "2003" global nach außen

Oder wie? Wer regelt das, wer stellt so was sicher?

Also wer stell dann sicher das die DNS Auflösung am Ende nicht doch über die 2003 und den ISP geht?

Also:
In Heimnetz - IPv6 - DNSv6 über RA aktivieren. Dort trägst du die fe80 oder fd00 des Raspberry ein (je nachdem du ULA angemacht hast oder nicht).
Deine Geräte bekommen dann gesagt: Internet über IPv6 mit 2003 (denn nur die hat ein default Gateway und hat Internet!), für DNS frag die fe80 des Raspberry.

Testen? Guckst du zb am PC was für IPs du bekommen hast. Die DNS vom Provider bekommt der Client ja nicht nicht, schließlich hast du das mit dem Punkt oben ja umgebogen.

Für das Verständnis habe ich mir folgende Skizzierung angefertigt. Stimmt das so?

Das bedeutet bei IPv6 findet kein NAT und eigentlich auch kein Routing mehr statt?

a) siehe Bild

Raspberry hat nun 3 IPv6 Adressen:
2003 global - verstehe ich
fe80:: link
fd00:: global

Warum ist die fd00 global scope?
Woher kommt die fe80?

b)
Die FritzBox zeigt ...

  • Unique Local Address Ihrer FRITZ!Box: fd00::…./64

Ein iPad zeigt...

  • Router: fe80::…… aber ansonsten 100% identisch mit der von FritzBox angezeigten fd00::… !?
  • 2 x 2003:.... - unterschiedliche
  • 2 x fd00::…. - unterschiedliche

Wieso 2 x fd00 ? Das Gerät hat eine MAC-Adresse die komplett anders ausschaut

Nochmal Danke für Infos :blush:

Also das Bild ist zunächst einmal korrekt soweit.

Zu a) global scope deswegen, da die fd00 Adresse von einem anderen Gerät zugewiesen wurde (im Gegensatz zu fe80, die direkt durch die MAC Adresse der Netzwerkkarte bestimmt ist). Die fe80 ist eine lokale Adresse, die jede Netzwerkkarte immer hat (abgeleitet von der MAC Adresse)

Zu b) die fe80 ist lokal und abhängig von der MAC. Die fd00 bei einem Router sieht meist ziemlich genauso aus (die muss ja für die Geräte eindeutig sein, daher also auch fd00 + MAC).
So, bei einem Client gibt es in deiner Konstellation mindestens 3 IPv6 Adressen:
fe80 (linklokal, MAC abgeleitet)
fd00 (unique lokal, MAC abgeleitet)
2003 (global address, durch MAC abgeleitet)
So, aber aus privacy Gründen haben die meisten Geräte noch die privacy extensions an, bedeutet es kommt noch eine Zufall-Komponente dazu. Diese 2003: ist es dann auch, die im Internet mit entfernten Zielen kommuniziert (und bei wieistmeineip.de angezeigt wird). Hintergrund ist, dass du bei einem Verbindungswechsel nicht nur den Prefix wechselst, sondern auch diese Zufall-Komponente. Sonst könntest bei einer aus dem Internet erreichbaren Adresse bei bekanntem Präfix direkt den Client zuordnen (den die MAC ist dann erkennbar).
Daher haben die Clients im Normalfall 5 Adressen. Bei raspbian einfach mal mit "ip addr" schauen ob dort nicht noch andere Adressen stehen.

PS: zugegeben, einfach ist es nicht, aber mit ein bisschen Einsatz zu verstehen :wink:

Super, Danke!
Das habe ich jetzt soweit verstanden. Man muss sich halt ernsthaft damit auseinandersetzen, um es zu verstehen. Ist halt doch anders als IPv4 und daher muss man lernen umzudenken.

Nochmals herzlichen Dank :smile:

Für mich geht es jetzt weiter zu schauen, wie man zuhause IPv6 mit VLANs realisiert ... nächste Baustelle :sweat_smile:

A post was split to a new topic: IPv6 mit FritzBox