- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,149
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Ich bin bei dem Versuch, etwas mit den IPv6-Einstellungen meines VF/KD-Anschlusses zu experimentieren, auf ein Phänomen gestoßen, welches ich bedenklich finde - davon gleich mehr.
Ausgangspunkt war das Problem, daß ich keinen IPv6-Präfix an eine 7490 (im LAN1-Router-Mode) hinter einer (eigenen) 6490 delegieren lassen kann. Ich erhalte zwar von VF/KD zusätzlich zur IPv6-Adresse für die FRITZ!Box 6490 noch einen IPv6-Präfix ... aber einen mit einer /64-Maske.
Mit diesem gelingt es offenbar einer 7490 (beide Boxen verwenden 06.83) nicht, sich einen eigenen gültigen Präfix zu verschaffen. Das würde auch mit dem korrelieren, was bei AVM in der Knowledge-Base hinterlegt ist: https://avm.de/service/fritzbox/fri...ow/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/
[ Schon diese Seite zu finden, ist ein kleines Abenteuer - erst recht, weil gerade die AVM-eigene Suche wohl auch noch defekt ist. ]
RFC 3769 sagt dazu allerdings (Punkt 3.1):
Jedenfalls habe ich mir damit den Versuch mit einem delegierten IPv6-Präfix (bei meinem VF/KD-Anschluß, das heißt nicht, daß es bei einer Maske < 64 für den Präfix nicht funktionieren würde) erst einmal abgeschminkt ... allerdings bin ich eben bei diesen Tests auf ein anderes Phänomen gestoßen.
Am 14. Mai 2017 (02:36 Uhr) wurde von VF/KD offenbar die "native" IPv6-Unterstützung für den Anschluß aktiviert ... zuvor hatte die 6490 immer auf 6to4 "zurückgeschaltet" (auch noch um 02:32 Uhr, als die letzte Änderung der IPv4-Adresse und damit bei 6to4 natürlich auch der IPv6-Adresse erfolgte) - hier würde ich einfach vermuten, daß das an der - bis zu diesem Zeitpunkt - fehlenden Reaktion auf DHCPv6-Anfragen seitens des CMTS/KNB-Netzes lag (obwohl IPv6 zuvor ja schon in der Konfigurationsdatei freigeschaltet war).
Jedenfalls gibt es seit diesem Tag nun eine IPv6-Adresse aus dem Bereich 2a02:8109:8000/17 und auch einen Präfix (aber eben mit /64, vielleicht würde man auch mehr als einen solchen Präfix kriegen, aber das versucht die FRITZ!Box meines Erachtens gar nicht erst), der in einen solchen Bereich (oder sogar in /18) passen würde.
Eines gibt es seitdem allerdings nicht mehr ... Privatsphäre und Datenschutz. Selbst wenn man nämlich "alles richtig macht" (und die FRITZ!Box macht das beim Drücken auf "Neu verbinden" eigentlich, wie man mit einem Paketmitschnitt leicht feststellen kann), erhält man hier (bzw. erhalte ich hier) von Vodafone immer wieder dieselben Adressen (und auch denselben Präfix, auch wenn ich den ohnehin nicht wirklich nutzen kann).
Es mag ja für einige durchaus wünschenswert sein, wenn die IP-Adressen auch "langzeitstabil" sind - aber wenn selbst bei expliziter Freigabe einer IPv6-Adresse und der Anforderung einer neuen immer wieder derselbe Wert zugewiesen wird (bei IPv4 klappt das aber problemlos, es betrifft in meinem Falle nur IPv6), dann wird der KNB-Kunde (zumindest bei VF/KD und an Anschlüssen, die sich genauso verhalten wie meiner) allzu leicht identifizierbar im Internet.
Da hilft es dann auch nicht mehr, wenn man auf seinen Geräten im LAN die "privacy extensions" aktiviert und damit den Mechanismus nutzt, der genau bei IPv6 das eineindeutige Identifizieren eines Endpunkts verhindern soll (ohne die PE könnte man auch anhand der unteren 64 Bit einer IPv6-Adresse einen bestimmten Client verfolgen).
Es gab mal im Zuge der Diskussionen bei der Einführung von IPv6 und im Kontext von dabei auftauchenden Datenschutzbedenken (es gibt keine Notwendigkeit für wirklich "dynamische" Zuordnungen mehr) die Ansage, daß die Provider das ihrerseits garantieren würden, indem sie bei einer dynamischen Vergabe der oberen Bits bleiben würden.
Nun mag man zu diesen "Anonymisierungen" stehen wie man will (es gab ja auch (vereinzelte) Stimmen, die dafür waren, daß jeder "seine" (unveränderliche) IPv6-Adresse erhalten sollte) ... aber in Zeiten von "big data" braucht es neben der Information, daß ein Provider diese Adressen praktisch "statisch" vergibt, nur noch wenige Handgriffe, um den einzelnen Nutzer (bzw. zumindest den gemeinsam genutzten Anschluß) zu identifizieren.
Das geht zwar auch mit IPv4 (seit langem und immer noch), aber da wirkt (auch bei VF/KD) ja wenigstens, wenn der Kunde seinen "Wunsch" nach einer neuen Adresse kundtut. Es kann ja nicht so schwer sein, auf ein explizites "RELEASE" hin die Daten des Kunden "zu vernichten" und ihm damit beim nächsten Request auch wirklich einen neuen Präfix zuzuweisen. Das ist ja deutlich etwas anderes als die "Erneuerung" ... da gibt es dieses "RELEASE" nicht.
Ach so ... falls sich sonst noch jemand über die "merkwürdige" Anzeige der Gültigkeitsdauer hinter den IPv6-Adressen im GUI wundern sollte: Das sind jeweils "valid lifetime" und "prefered lifetime" aus den entsprechenden DHCPv6-Antworten und beide Werte geben die "Restlaufzeit" an. Weil "prefered" i.d.R. kleiner als "valid" ist, ergibt das auch diese "krude" Darstellung, wo der größere Wert "vorne" steht in dem, was die meisten Leute wohl als Darstellung eines Bruches ansehen würden (x von y).
Da sich die Gültigkeit ja für beide Werte gleich schnell verringert (für eine Zeitdilatation bewegt sich die FRITZ!Box deutlich zu langsam und selbst dann wohl immer noch als Ganzes, mithin bleibt es für beide Werte gleich), wäre vermutlich ohnehin eine Anzeige eines einzelnen Wertes (mit der ursprünglichen Lease-Dauer (prefered) als Bezugsgröße) ausreichend (ggf. mit der Differenz zwischen "prefered" und "valid", die sich ja auch nicht mehr ändert innerhalb der Lease-Lifetime) ... dann könnte man das Überschreiten der "prefered lifetime" (aus welchem Grund auch immer, das kann eigentlich nur eine ausbleibende Antwort des Servers sein) auch mit einem negativen Wert im "Zähler" des Bruchs darstellen.
Ausgangspunkt war das Problem, daß ich keinen IPv6-Präfix an eine 7490 (im LAN1-Router-Mode) hinter einer (eigenen) 6490 delegieren lassen kann. Ich erhalte zwar von VF/KD zusätzlich zur IPv6-Adresse für die FRITZ!Box 6490 noch einen IPv6-Präfix ... aber einen mit einer /64-Maske.
Mit diesem gelingt es offenbar einer 7490 (beide Boxen verwenden 06.83) nicht, sich einen eigenen gültigen Präfix zu verschaffen. Das würde auch mit dem korrelieren, was bei AVM in der Knowledge-Base hinterlegt ist: https://avm.de/service/fritzbox/fri...ow/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/
[ Schon diese Seite zu finden, ist ein kleines Abenteuer - erst recht, weil gerade die AVM-eigene Suche wohl auch noch defekt ist. ]
avm.de schrieb:Die FRITZ!Box muss beim Herstellen der Internetverbindung ein IPv6-Präfix größer 64bit (z.B. /60 oder /56) erhalten.
RFC 3769 sagt dazu allerdings (Punkt 3.1):
Jedoch nur "should" und mich interessiert auch gar nicht wirklich, wer hier "Schuld" trägt - es geht halt nicht ... nochmal deutlich: nur nach meiner Erfahrung und auf eine Analyse des Netzwerkverkehrs zwischen 6490 und 7490 habe ich keine Lust.The prefix delegation mechanism should allow for delegation of prefixes of lengths between /48 and /64, inclusively. Other lengths should also be supported. The mechanism should allow for delegation of more than one prefix to the customer.
Jedenfalls habe ich mir damit den Versuch mit einem delegierten IPv6-Präfix (bei meinem VF/KD-Anschluß, das heißt nicht, daß es bei einer Maske < 64 für den Präfix nicht funktionieren würde) erst einmal abgeschminkt ... allerdings bin ich eben bei diesen Tests auf ein anderes Phänomen gestoßen.
Am 14. Mai 2017 (02:36 Uhr) wurde von VF/KD offenbar die "native" IPv6-Unterstützung für den Anschluß aktiviert ... zuvor hatte die 6490 immer auf 6to4 "zurückgeschaltet" (auch noch um 02:32 Uhr, als die letzte Änderung der IPv4-Adresse und damit bei 6to4 natürlich auch der IPv6-Adresse erfolgte) - hier würde ich einfach vermuten, daß das an der - bis zu diesem Zeitpunkt - fehlenden Reaktion auf DHCPv6-Anfragen seitens des CMTS/KNB-Netzes lag (obwohl IPv6 zuvor ja schon in der Konfigurationsdatei freigeschaltet war).
Jedenfalls gibt es seit diesem Tag nun eine IPv6-Adresse aus dem Bereich 2a02:8109:8000/17 und auch einen Präfix (aber eben mit /64, vielleicht würde man auch mehr als einen solchen Präfix kriegen, aber das versucht die FRITZ!Box meines Erachtens gar nicht erst), der in einen solchen Bereich (oder sogar in /18) passen würde.
Eines gibt es seitdem allerdings nicht mehr ... Privatsphäre und Datenschutz. Selbst wenn man nämlich "alles richtig macht" (und die FRITZ!Box macht das beim Drücken auf "Neu verbinden" eigentlich, wie man mit einem Paketmitschnitt leicht feststellen kann), erhält man hier (bzw. erhalte ich hier) von Vodafone immer wieder dieselben Adressen (und auch denselben Präfix, auch wenn ich den ohnehin nicht wirklich nutzen kann).
Es mag ja für einige durchaus wünschenswert sein, wenn die IP-Adressen auch "langzeitstabil" sind - aber wenn selbst bei expliziter Freigabe einer IPv6-Adresse und der Anforderung einer neuen immer wieder derselbe Wert zugewiesen wird (bei IPv4 klappt das aber problemlos, es betrifft in meinem Falle nur IPv6), dann wird der KNB-Kunde (zumindest bei VF/KD und an Anschlüssen, die sich genauso verhalten wie meiner) allzu leicht identifizierbar im Internet.
Da hilft es dann auch nicht mehr, wenn man auf seinen Geräten im LAN die "privacy extensions" aktiviert und damit den Mechanismus nutzt, der genau bei IPv6 das eineindeutige Identifizieren eines Endpunkts verhindern soll (ohne die PE könnte man auch anhand der unteren 64 Bit einer IPv6-Adresse einen bestimmten Client verfolgen).
Es gab mal im Zuge der Diskussionen bei der Einführung von IPv6 und im Kontext von dabei auftauchenden Datenschutzbedenken (es gibt keine Notwendigkeit für wirklich "dynamische" Zuordnungen mehr) die Ansage, daß die Provider das ihrerseits garantieren würden, indem sie bei einer dynamischen Vergabe der oberen Bits bleiben würden.
Nun mag man zu diesen "Anonymisierungen" stehen wie man will (es gab ja auch (vereinzelte) Stimmen, die dafür waren, daß jeder "seine" (unveränderliche) IPv6-Adresse erhalten sollte) ... aber in Zeiten von "big data" braucht es neben der Information, daß ein Provider diese Adressen praktisch "statisch" vergibt, nur noch wenige Handgriffe, um den einzelnen Nutzer (bzw. zumindest den gemeinsam genutzten Anschluß) zu identifizieren.
Das geht zwar auch mit IPv4 (seit langem und immer noch), aber da wirkt (auch bei VF/KD) ja wenigstens, wenn der Kunde seinen "Wunsch" nach einer neuen Adresse kundtut. Es kann ja nicht so schwer sein, auf ein explizites "RELEASE" hin die Daten des Kunden "zu vernichten" und ihm damit beim nächsten Request auch wirklich einen neuen Präfix zuzuweisen. Das ist ja deutlich etwas anderes als die "Erneuerung" ... da gibt es dieses "RELEASE" nicht.
Ach so ... falls sich sonst noch jemand über die "merkwürdige" Anzeige der Gültigkeitsdauer hinter den IPv6-Adressen im GUI wundern sollte: Das sind jeweils "valid lifetime" und "prefered lifetime" aus den entsprechenden DHCPv6-Antworten und beide Werte geben die "Restlaufzeit" an. Weil "prefered" i.d.R. kleiner als "valid" ist, ergibt das auch diese "krude" Darstellung, wo der größere Wert "vorne" steht in dem, was die meisten Leute wohl als Darstellung eines Bruches ansehen würden (x von y).
Da sich die Gültigkeit ja für beide Werte gleich schnell verringert (für eine Zeitdilatation bewegt sich die FRITZ!Box deutlich zu langsam und selbst dann wohl immer noch als Ganzes, mithin bleibt es für beide Werte gleich), wäre vermutlich ohnehin eine Anzeige eines einzelnen Wertes (mit der ursprünglichen Lease-Dauer (prefered) als Bezugsgröße) ausreichend (ggf. mit der Differenz zwischen "prefered" und "valid", die sich ja auch nicht mehr ändert innerhalb der Lease-Lifetime) ... dann könnte man das Überschreiten der "prefered lifetime" (aus welchem Grund auch immer, das kann eigentlich nur eine ausbleibende Antwort des Servers sein) auch mit einem negativen Wert im "Zähler" des Bruchs darstellen.
Zuletzt bearbeitet: