Dual-Stack-Trennung beim Surfen möglich?

[Trotzkid]

Hallo

Ist es irgendwie möglich bei einem Dual-Stack-Anschluss zB Telekom-VDSL (und damit nicht Dual-Stack-Lite) die öffentliche IPv4 von der öffentlichen IPv6 so zu separieren, dass ein Webdienst wie zB https://www.whatismyip.com/ nur eine aber nicht beide IPs sehen kann?

Es ist klar, dass damit - falls es überhaupt möglich ist - keine Anonymität gibt.

Ein Anwendungszweck wäre zB das Verwenden der IPv6-Adresse nur für zB WireGuard oder ähnliches, so das diese Adresse im üblichen Surfverhalten bei den Webdiensten nicht bekannt ist.

 

[NDiIPP]

[…] dass ein Webdienst wie zB […] nur eine aber nicht beide IPs sehen kann?

Ja. Am einfachsten bspw. indem man IPv4 oder IPv6 (je nachdem was man eben nicht haben möchte) im jeweils verwendeten Client einfach (temporär) deaktiviert.

 

[Trotzkid]

Am einfachsten bspw. indem man IPv4 oder IPv6 … im jeweils verwendeten Client einfach (temporär) deaktiviert.

Geht das auch in der FRITZ!Box zB 7490 damit ich das für alle Clients zentral verwalten kann?

Und würde das bedeuten, dass beim Einschalten von IPv6 für WireGuard ich davor IPv4 händisch deaktivieren muss?

Das erscheint mir umständlich.

Ich habe auf eine automatisierte, Dienste abhängige Lösung gehofft - vielleicht via eines auf der FRITZ!box laufenden DNS-Resolvers. In der Art, dass alles außer WireGuard immer IPv4 nutzt.

 

[NDiIPP]

Geht das auch in der FRITZ!Box zB 7490 damit ich das für alle Clients zentral verwalten kann?

Nein. Das muss auf dem jeweiligen Client eingestellt werden.

Das erscheint mir umständlich.

Es ist nur eine Möglichkeit. Je nach verwendeter Software kann man dort ggf. in der Konfiguration auch die jeweilige (ausschließliche) Verwendung eine Protokolls festlegen. Bei WG bspw. in der Config-Datei (indem man bspw. für die Gegenstelle ausschließlich deren IPv4 oder IPv6 Adresse verwendet).

[…] - vielleicht via eines auf der FRITZ!box laufenden DNS-Resolvers. In der Art, dass alles außer WireGuard immer IPv4 nutzt.

Ein eigener DNS kann ggf. natürlich auch entspr. angepasste Antworten liefern. Bspw. wenn man dnsmasq, bind, PiHole usw. als lokalen DNS verwendet.

In der Art, dass alles außer WireGuard immer IPv4 nutzt.

Das kann ein DNS allerdings nicht bieten, der löst nur Namen auf, für Protokolle interessiert der sich relativ wenig. Ein DNS kann also für einen entspr. Hostname (ggf. angepasste) Informationen liefern.

 

[Trotzkid]

Das kann ein DNS allerdings nicht bieten, der löst nur Namen auf, für Protokolle interessiert der sich relativ wenig. Ein DNS kann also für einen entspr. Hostname (ggf. angepasste) Informationen liefern.

Ok, dann aber vielleicht eine Firewall auf OPNSense-Basis?

 

[Peter_Lehmann]

Hallo @Trotzkid!

Was die technische Machbarkeit (bzw. deren Grenzen) betrifft, hat ja @NDiIPP bereits eine sehr gute und IMHO umfassende Antwort gegeben.
Seit ich deine Frage gelesen habe, versuche ich darauf zu kommen, was du letztendlich mit dieser etwas ungewöhnlichen Methode bezwecken und dir soviel Mühe machen willst.
Ja, ich weiß, dass es immer noch Menschen gibt, die an eine Anonymität im Internet glauben. Leider ist dies ein bewährter Irrglaube, welcher in erster Linie kommerziellen VPN-Anbietern nutzt und von denen gern als Werbeargument gebracht wird. Ich kann mich sogar noch daran erinnern, dass wir vor gut 20 Jahren hier in diesem Forum mal einen Typen hatten, der die Firmware seines Routers so modifizieren wollte, dass sein Router jede Minute vom Provider eine andere IP bekommen soll. Ich glaube, wir konnten ihm den Unsinn seines Wunsches nicht klarmachen.

Ich bin froh und glücklich, dass ich es geschafft habe, dass alle meine vielen Geräte in den 9 von mir per eigenem WireGuard-Netz verbundenen Netzen im vollständigen Dualstack laufen. Alle Geräte haben eine IP aus beiden Protokollen (ich nutze einen einzigen DDNS-Account von dynv6.com für alle diese Geräte) und ich kann in den Logs sehen, dass zwar fast immer eine (IMHO "bessere") IPv6 genutzt wird, mitunter aber auch eine (IMHO veraltete) IPv4 zur Anwendung kommt. Warum auch immer dieser Wechsel - ich habe das nie herausgefunden.

Aber egal, was für eine IP meine Geräte nach außen vorzeigen, zumindest mein Internet-Provider und alle genutzten externen Dienste kennen und loggen diese - egal, was so mancher von denen uns weismachen will. Auch wenn ich keinesfalls zur Fraktion der "Ich_habe_doch_nichts_zu_verbergen"-Menschen gehöre (mein Job hatte viele Jahre mal etwas mit IT-Sicherheit in Hochsicherheitsnetzen zu tun) weiß ich von dieser Sachlage und kann damit leben. Nennt man eben die "Einsicht in die Notwendigkeit".

Aber vielleicht kannst du mir dennoch eine gute Argumentation für deinen Wunsch liefern. Ich bin zwar schon recht alt, aber immer noch sehr wissbegierig und leide auch noch nicht am Altersstarrsinn.

vy 73 de Peter
BTW: Grüße nach Dresden

 

[Bugs Bunny]

Ein Anwendungszweck wäre zB das Verwenden der IPv6-Adresse nur für zB WireGuard oder ähnliches, so das diese Adresse im üblichen Surfverhalten bei den Webdiensten nicht bekannt ist.

Es wird nicht nur per IP gestalked, hast du das im hinterkopf bzw auch dagegen maßnahmen ergriffen zb pihole etc?
"Übliche Webdienste" kannst du dann auch nur ohne Anmeldung nutzen, das sollte auch klar sein...

 

[klp55tsch]

... ich kann in den Logs sehen, dass zwar fast immer eine (IMHO "bessere") IPv6 genutzt wird, mitunter aber auch eine (IMHO veraltete) IPv4 zur Anwendung kommt. Warum auch immer dieser Wechsel - ich habe das nie herausgefunden.

BTW: Der Wechsel wird durch "Happy Eyeballs" verursacht:

... makes dual-stack applications (those that understand both IPv4 and IPv6) more responsive to users by attempting to connect using both IPv4 and IPv6 at the same time (preferring IPv6), ...

Quelle: https://en.wikipedia.org/wiki/Happy_Eyeballs

 

[Peter_Lehmann]

Hallo @klp55tsch!

Danke für deinen Hinweis.
Mir ist lediglich aufgefallen, dass die Verbindungen zwischen meinen eigenen externen WireGuard-Routern (siehe Signatur) ab und an und sehr selten mal über eine IPv4 aufgebaut werden. Und das, obwohl diese immer über beide Protokolle erreichbar sind.
Das ist also ein klein wenig anders, als wenn ich irgendeine Webseite aufrufe und es dann mit beiden Protokollen versucht wird und hier nur eine IPv4 vorhanden ist. Ich finde diesen Algorithmus wunderbar!
Aber für mich ist wichtig, dass diese Verbindungen immer stabil stehen, und ich habe mich deshalb nie intensiv darum gekümmert. Aber es kann schon sehr wohl möglich sein, dass just in dem Moment eines neuen Handshakes gerade eine abgelaufene IPv6 erneuert wird und dann schnell die IPv4 genutzt wird.
Ich monitore mein doch für private Verhältnisse schon recht großes Netz mit immerhin 9 WireGuard-"Servern" (ich nenne sie hier mal bewusst so ...) und etlichen durchlaufenden Geräten wie NAS, AdGuard, piholes und weiteren, indem ich dafür meinen HomeAssistant "missbrauche". So kann ich auch im Nachhinein sehr exakt feststellen, wenn mal eines der Geräte down sein sollte oder gewesen ist. Und ich sehe eben auch einen Wechsel des IP-Protokolls und selbstverständlich auch die gemessene rtt.

Aber jetzt sind wir doch mächtig ins [OT] gerutscht und ich möchte mich bei @Trotzkid entschuldigen, dass ich seinen Thread gekapert habe.

vy 73 de Peter