Vodafone / Kabel Deutschland, IPv6 und der Datenschutz

[PeterPawn]

Ich bin bei dem Versuch, etwas mit den IPv6-Einstellungen meines VF/KD-Anschlusses zu experimentieren, auf ein Phänomen gestoßen, welches ich bedenklich finde - davon gleich mehr.

Ausgangspunkt war das Problem, daß ich keinen IPv6-Präfix an eine 7490 (im LAN1-Router-Mode) hinter einer (eigenen) 6490 delegieren lassen kann. Ich erhalte zwar von VF/KD zusätzlich zur IPv6-Adresse für die FRITZ!Box 6490 noch einen IPv6-Präfix ... aber einen mit einer /64-Maske.

Mit diesem gelingt es offenbar einer 7490 (beide Boxen verwenden 06.83) nicht, sich einen eigenen gültigen Präfix zu verschaffen. Das würde auch mit dem korrelieren, was bei AVM in der Knowledge-Base hinterlegt ist: https://avm.de/service/fritzbox/fri...ow/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/
[ Schon diese Seite zu finden, ist ein kleines Abenteuer - erst recht, weil gerade die AVM-eigene Suche wohl auch noch defekt ist. ]

Die FRITZ!Box muss beim Herstellen der Internetverbindung ein IPv6-Präfix größer 64bit (z.B. /60 oder /56) erhalten.

RFC 3769 sagt dazu allerdings (Punkt 3.1):

The prefix delegation mechanism should allow for delegation of prefixes of lengths between /48 and /64, inclusively. Other lengths should also be supported. The mechanism should allow for delegation of more than one prefix to the customer.

Jedoch nur "should" und mich interessiert auch gar nicht wirklich, wer hier "Schuld" trägt - es geht halt nicht ... nochmal deutlich: nur nach meiner Erfahrung und auf eine Analyse des Netzwerkverkehrs zwischen 6490 und 7490 habe ich keine Lust.

Jedenfalls habe ich mir damit den Versuch mit einem delegierten IPv6-Präfix (bei meinem VF/KD-Anschluß, das heißt nicht, daß es bei einer Maske < 64 für den Präfix nicht funktionieren würde) erst einmal abgeschminkt ... allerdings bin ich eben bei diesen Tests auf ein anderes Phänomen gestoßen.

Am 14. Mai 2017 (02:36 Uhr) wurde von VF/KD offenbar die "native" IPv6-Unterstützung für den Anschluß aktiviert ... zuvor hatte die 6490 immer auf 6to4 "zurückgeschaltet" (auch noch um 02:32 Uhr, als die letzte Änderung der IPv4-Adresse und damit bei 6to4 natürlich auch der IPv6-Adresse erfolgte) - hier würde ich einfach vermuten, daß das an der - bis zu diesem Zeitpunkt - fehlenden Reaktion auf DHCPv6-Anfragen seitens des CMTS/KNB-Netzes lag (obwohl IPv6 zuvor ja schon in der Konfigurationsdatei freigeschaltet war).

Jedenfalls gibt es seit diesem Tag nun eine IPv6-Adresse aus dem Bereich 2a02:8109:8000/17 und auch einen Präfix (aber eben mit /64, vielleicht würde man auch mehr als einen solchen Präfix kriegen, aber das versucht die FRITZ!Box meines Erachtens gar nicht erst), der in einen solchen Bereich (oder sogar in /18) passen würde.

Eines gibt es seitdem allerdings nicht mehr ... Privatsphäre und Datenschutz. Selbst wenn man nämlich "alles richtig macht" (und die FRITZ!Box macht das beim Drücken auf "Neu verbinden" eigentlich, wie man mit einem Paketmitschnitt leicht feststellen kann), erhält man hier (bzw. erhalte ich hier) von Vodafone immer wieder dieselben Adressen (und auch denselben Präfix, auch wenn ich den ohnehin nicht wirklich nutzen kann).

Es mag ja für einige durchaus wünschenswert sein, wenn die IP-Adressen auch "langzeitstabil" sind - aber wenn selbst bei expliziter Freigabe einer IPv6-Adresse und der Anforderung einer neuen immer wieder derselbe Wert zugewiesen wird (bei IPv4 klappt das aber problemlos, es betrifft in meinem Falle nur IPv6), dann wird der KNB-Kunde (zumindest bei VF/KD und an Anschlüssen, die sich genauso verhalten wie meiner) allzu leicht identifizierbar im Internet.

Da hilft es dann auch nicht mehr, wenn man auf seinen Geräten im LAN die "privacy extensions" aktiviert und damit den Mechanismus nutzt, der genau bei IPv6 das eineindeutige Identifizieren eines Endpunkts verhindern soll (ohne die PE könnte man auch anhand der unteren 64 Bit einer IPv6-Adresse einen bestimmten Client verfolgen).

Es gab mal im Zuge der Diskussionen bei der Einführung von IPv6 und im Kontext von dabei auftauchenden Datenschutzbedenken (es gibt keine Notwendigkeit für wirklich "dynamische" Zuordnungen mehr) die Ansage, daß die Provider das ihrerseits garantieren würden, indem sie bei einer dynamischen Vergabe der oberen Bits bleiben würden.

Nun mag man zu diesen "Anonymisierungen" stehen wie man will (es gab ja auch (vereinzelte) Stimmen, die dafür waren, daß jeder "seine" (unveränderliche) IPv6-Adresse erhalten sollte) ... aber in Zeiten von "big data" braucht es neben der Information, daß ein Provider diese Adressen praktisch "statisch" vergibt, nur noch wenige Handgriffe, um den einzelnen Nutzer (bzw. zumindest den gemeinsam genutzten Anschluß) zu identifizieren.

Das geht zwar auch mit IPv4 (seit langem und immer noch), aber da wirkt (auch bei VF/KD) ja wenigstens, wenn der Kunde seinen "Wunsch" nach einer neuen Adresse kundtut. Es kann ja nicht so schwer sein, auf ein explizites "RELEASE" hin die Daten des Kunden "zu vernichten" und ihm damit beim nächsten Request auch wirklich einen neuen Präfix zuzuweisen. Das ist ja deutlich etwas anderes als die "Erneuerung" ... da gibt es dieses "RELEASE" nicht.

Ach so ... falls sich sonst noch jemand über die "merkwürdige" Anzeige der Gültigkeitsdauer hinter den IPv6-Adressen im GUI wundern sollte: Das sind jeweils "valid lifetime" und "prefered lifetime" aus den entsprechenden DHCPv6-Antworten und beide Werte geben die "Restlaufzeit" an. Weil "prefered" i.d.R. kleiner als "valid" ist, ergibt das auch diese "krude" Darstellung, wo der größere Wert "vorne" steht in dem, was die meisten Leute wohl als Darstellung eines Bruches ansehen würden (x von y).

Da sich die Gültigkeit ja für beide Werte gleich schnell verringert (für eine Zeitdilatation bewegt sich die FRITZ!Box deutlich zu langsam und selbst dann wohl immer noch als Ganzes, mithin bleibt es für beide Werte gleich), wäre vermutlich ohnehin eine Anzeige eines einzelnen Wertes (mit der ursprünglichen Lease-Dauer (prefered) als Bezugsgröße) ausreichend (ggf. mit der Differenz zwischen "prefered" und "valid", die sich ja auch nicht mehr ändert innerhalb der Lease-Lifetime) ... dann könnte man das Überschreiten der "prefered lifetime" (aus welchem Grund auch immer, das kann eigentlich nur eine ausbleibende Antwort des Servers sein) auch mit einem negativen Wert im "Zähler" des Bruchs darstellen.

 

[PeterPawn]

Ehrlich? Lückenhaft recherchiert?

Vielleicht ist Dir ja auch aufgefallen, daß ich mich immer explizit auf meinen Anschluß mit meinem Vertrag und dessen Umsetzung bei VF/KD bezogen habe und explizit festgehalten habe, daß es an anderen Anschlüssen anders aussehen könnte?

Ansonsten kann ich mit dem Rest Deiner Vorschläge irgendwie auch nichts so richtig anfangen ... ich bin auch nicht auf der Suche nach der Lösung für mein eigenes "Problem", ich habe über eine "Unregelmäßigkeit" (oder "Merkwürdigkeit") geschrieben, die mir aufgefallen ist.

Zu den Punkten im Einzelnen:

- Kabel abziehen beim Reboot, damit die IPv4 erhalten bleibt

Wieso sollte man/ich das in diesem Kontext (es geht hier ja um die korrekte Reaktion des Providers auf "RELEASE"-Messages im DHCP - egal ob IPv4 oder IPv6) überhaupt wollen? Ziel ist es nicht, dieselbe IP-Adresse (wieder unabhängig davon, ob es IPv4 oder IPv6 ist - wenn ich also nur "IP" schreibe, umfaßt das immer beides, ansonsten gebe ich die Version mit an) erneut zu erhalten, sondern eine andere.

- AVM-VPN, Subnetze und IPv6

Weißt Du an der Stelle etwas, was ich noch nicht entdeckt habe? Du hast das "mal gelesen"? Weißt Du vielleicht noch, wo das war? Irgendwie fehlt mir der komplette Zusammenhang zwischen IPv6 und VPN bei AVM - es wäre für mich vollkommen neu, daß diese beiden Begriffe bei AVM irgendetwas miteinander verbindet.

- "Fritzboxen kommt mit /64 gut aus"

Warum sollte sie das auch nicht (OT: wobei mir "Fritzboxen" auch ganz gut gefällt, ist das das "Herumschlagen" mit der Firmware von AVM?) ... ich schrieb aber auch hier explizit über das Delegieren eines kompletten Präfixes (und habe sogar ein dazu gehörendes RFC oben verlinkt). Was hat das jetzt genau damit zu tun, daß die FRITZ!Box (für sich selbst) mit einer /64-Adresse klarkommt? Meine 6490 verwendet (nur als Anmerkung am Rande) auch den vom KNB delegierten /64-Präfix umgehend für die direkt mit ihr verbundenen (und von ihr per DHCPv6 verwalteten) Clients - es gibt also durchaus einen Unterschied zwischen der IPv6-Adresse der FRITZ!Box und der IPv6-Adresse von LAN-Clients hinter der Box. Das ändert aber auch nichts daran, daß selbst nach einem expliziten "RELEASE" und der Quittung ("status code" im "REPLY", daß "2 lease(s) released" wurden) erneut dieselben IPv6-Adressen zugewiesen werden.

- IPv6-Präfix und Gastnetz

Hier ist das Fehlen eines "größeren" Adressraums dann tatsächlich ein Problem, wenn man den "Gästen" IPv6 zur Verfügung stellen will - deshalb braucht auch niemand mit einem /64-Präfix vom Provider bei der derzeitigen AVM-Firmware (06.83) eine IPv6-Unterstützung im Gastnetz zu erwarten.

Ich habe auch nie behauptet, daß die Vergabe eines /64-Präfixes seitens des Providers so "in Ordnung" wäre. Eine FRITZ!Box, bei der die Möglichkeit eines Gastnetzes ja bekannt ist, genauso wie die Tatsache, daß dafür ein gesondertes IPv6-Subnetz (und zwar eines, das in den ersten 64 Bit der IPv6-Adresse abbildbar ist) benötigt wird, wäre vom Provider ohne Probleme anhand einer "vendor class option" von AVM im DHCP-Request (SOLICIT) zu erkennen. Im Request wird ja auch nur allgemein eine IPv6-Adresse (option 3) und ein delegierbarer Präfix (option 25) ohne Größenangabe angefordert - das ist hier also die Entscheidung des Providers, was in der "ADVERTISE"-Message "angeboten" wird - für eine FRITZ!Box mit vollem Leistungsumfang müßte das mind. eine /63-Maske sein (wobei es sogar sein kann, daß die FRITZ!Box mit /63 auch nicht richtig umgeht, müßte man mal testen). Will man Routerkaskaden verwenden, braucht es einen noch größeren Adressraum.

- "seit Jahren /56-Präfix" vs. "bis 14.05.2017 bei der 6490 nur 6to4, seitdem Dual-Stack (nach automatischer Rekonfiguration zwischen 02:32 und 02:36 Uhr)"

Fällt Dir etwas auf? Du bist ja nun Deinerseits auch nicht so neu, daß Dir nicht bekannt wäre, daß sich unterschiedliche Verträge bei VF/KD auch unterschiedlich "verhalten" und hier geht es zusätzlich noch um vollkommen unterschiedliche Endgeräte und daß diese auf die IP-Konfiguration (für beide Protokolle) genauso einen Einfluß haben, wie die Frage, ob eine FRITZ!Box dem Provider gehört oder nicht, weißt Du auch nicht erst seit gestern.

- "Das muss man halt in der Fritzbox so einstellen."

Wo genau stellt man das (im GUI, bitte fange jetzt nicht an, mir die Möglichkeiten für "interne Einstellungen" zu erklären) eigentlich ein?

- "mac_override" et al

Ich werde den Eindruck nicht los, daß Du Deine Konfiguration (Modem mit FRITZ!Box dahinter, wenn ich mich richtig erinnere und sich das nicht inzwischen geändert hat) mit meiner verwechselst ... ich habe die 6490 am BK-Anschluß und benutze dort das eCM.

- "Hab etwa 2 Wochen Geduld"

Was soll das bringen? Ich kriege schon seit mehr als 8 Wochen bei jeder "Verlängerung" dieselbe Adresse und das passiert auch dann, wenn ich die gar nicht verlängern will, sondern den "Vertrag" (mit dem DHCP-Server) zuvor extra kündige (weil ich eine andere Adresse will). Das hindert VF/KD auch nicht daran, mir in diesen 8 Wochen immer wieder dieselben Adressen zuzuweisen. Soll ich jetzt einfach mal zwei Wochen den Anschluß nicht benutzen, damit ich einen neuen IPv6-Präfix kriege? Wie wäre es denn mit dem Abschluß eines weiteren Vertrages? Dann könnte ich immer einen von den beiden für zwei Wochen stilllegen, damit ich da vielleicht eine neue IPv6-Adresse kriege. Was mache ich aber, wenn ich das gerne in kürzeren Intervallen wechseln würde? Ah ja, mit 7 Verträgen könnte ich schon mal alle zwei Tage wechseln und mit 14 sogar täglich - war also nur eine rhetorische Frage.

------------------------------

Ich wollte nämlich einfach nur einen optionalen Schutz der Privatsphäre (als Vorsorge gegen Tracking) in der Box nachrüsten und über die Emulation von "Neu verbinden" (egal, ob nun intern oder extern - zur Box, nicht zum Anschluß - getriggert) in regelmäßigen Abständen dafür sorgen, daß der Anschluß automatisch neue IP-Adressen erhält - das gibt es bei den DOCSIS-Modellen ja nicht (auch nicht als "Zwangstrennung verlegen") und ohne eine solche Aktion (und ohne Zwangstrennung) behält man bei einigen Providern auch über sehr lange Zeiträume dieselbe IP-Adresse ... aus dem Datenschutz-Blickwinkel nicht ideal. Für IPv4 ist das Ziel ja auch erreichbar ... da macht VF/KD es eben richtig (und ich lasse das Kabel schon aus Prinzip dran).

BTW: Es ist heute zwar etwas aus der Mode gekommen, mit irgendwelchen Share-Hostern zu arbeiten (wobei es m.W. auch das Projekt mit dem Downloader auf der Box noch irgendwo gibt) ... aber auch in diesem Kontext kann eine funktionierende, absichtliche Änderung von dynamisch zugewiesenen IP-Adressen einen Sinn ergeben - wie in vielen anderen Szenarien auch.

-----------------------------

EDIT:
Ich habe noch mal die Protokolle der 6490 vom 14.05.2017 durchgesehen (im E-Mail-Archiv) und am 14.05.2017 um 02:32 Uhr findet sich da die Nachricht, daß das (manuell veranlaßte) Online-Update auf 06.83 erfolgreich war. Das war dann doch keine Aktion seitens des Providers (mein Fehler, daß mir das entfallen war - ich hätte geschworen, daß das Update da schon wieder aus dem Verkehr gezogen war) ... aber der direkte Zusammenhang zwischen der verwendeten FRITZ!OS-Version und der Behandlung von IPv6-Einstellungen wird wahrscheinlicher - wobei ich im Moment auch nicht direkt wüßte, wie der Provider den verwendeten "IPv6-Modus" einer FRITZ!Box (die drei Radiobuttons auf der "IPv6"-Seite) festlegen sollte (über TLVs) - meines Erachtens (nur aus der Erinnerung und ohne Nachschauen) geht da nur "natives IPv6 an oder aus" und selbst für DS-Lite ist das ja erst mal natives IPv6, halt mit gelerntem AFTR-Server.

Daher gehe ich von einer Anpassung der Einstellungen durch das FRITZ!OS (nach dem Update) aus ... daß es solche Anpassungen an sich gibt, ist ja bekannt (hatte ich irgendwo auch mal etwas zu geschrieben, als es um den Wechsel zwischen 06.83 und 06.6x ging); nur der genaue Umfang ist m.W. nicht erforscht.

Und daß solche Anpassungen auch erst nach dem Neustart erfolgen können, versteht sich auch wieder von selbst, wenn man sich den Update-Prozess ansieht, der sich ja auf das Kopieren der Images in die richtigen Partitionen und die Umschaltung beschränkt ... alles andere, was da in der /var/install noch so an Zauberei schon seit Urzeiten enthalten war (bis hin zu Standardeinstellungen für den AB und irgendeine DECT-Spezialität beim Downgrade - "factory-settings non-tffs"), wurde spätestens bei der 06.83 dann auch mal entsorgt.

In den Protokollen finde ich jedenfalls nach dem Update auch kein "Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.", was in zeitlichem Zusammenhang mit dem Wechsel von einem 6to4-Tunnel auf natives IPv6 stehen könnte ... lediglich die manuelle Sicherung der Einstellungen (offline) nach dem Update ist dort vermerkt.

Ich korrigiere also die Story rundherum und nehme den Provider hier aus dem Rennen ... warum das bei einem Update von 06.63 auf 06.83 passierte, weiß ich auch nicht. Meine Spekulation ginge hier in die Richtung, daß es nach einem Update nicht so einfach festzustellen ist, was die Vorgängerversion war (passende Settings (z.B. "version" in "webui") in der "ar7.cfg" gibt es noch nicht so lange) und ich will auch nicht beschwören, daß an dieser Stelle bei mir die Einstellungen auch wirklich zur installierten 06.63 paßten (dazu experimentiere ich zu viel herum). Dann könnte es zumindest plausibel sein, daß die startende 06.83 irgendwelche Einstellungen änderte, um das bei der 06.60 (event. auch bei der 06.61 noch) existierende Problem mit DS bei Vodafone zu korrigieren.

--------------------------------------

Aber das sind eigentlich alles andere Baustellen und mein ursprüngliches Thema hier sollte es ja sein, ob/wie man es auf die Reihe bringen kann, daß man auch mit einer eigenen 6490 an einem VF/KD-Anschluss nicht mehr oder weniger automatisch über Monate mit ein und derselben IP-Adresse unterwegs ist. Während ich das für IPv4 über "Neu verbinden" (oder intern in der Box) problemlos organisieren kann, geht das für IPv6 eben nicht, solange VF/KD immer wieder dieselben Adressen zuweist - selbst über einen Neustart und den damit verbundenen Verbindungsverlust zum CMTS hinaus (was auch nicht direkt mit DHCP für den eRouter zu tun hat).

 

[PeterPawn]

Inzwischen funktioniert allerdings auch bei VF/KD die Bereitstellung eines passenden IPv6-Präfix für lokales Delegieren hinter einer 6490 (Retail).

Aus

21.07.17 13:57:29 IPv6-Präfix wurde erfolgreich aktualisiert. Neues Präfix: 2a02:8109:87c0:cafe::/64
21.07.17 13:57:26 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a02:8109:87c0:cafe::/64
21.07.17 13:57:26 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a02:8109:8000:cafe:...

wurde schon im Januar dann

20.01.18 21:29:49 IPv6-Präfix wurde erfolgreich aktualisiert. Neues Präfix: 2a02:8109:8780:cafe::/62
20.01.18 21:14:49 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a02:8109:8780:cafe::/62
20.01.18 21:14:49 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a02:8109:8000:cafe:...

, womit dann auch das Kaskadieren von FRITZ!Boxen mit IPv6 funktioniert - die wollen ja für's Delegieren eine Maske < 64 sehen.

Ich hatte es nur versäumt, den Thread hier zu aktualisieren ...

==========================================================

An der Leasing-Zeit hat sich - nach meiner Erfahrung - noch nichts geändert und es gibt jedesmal dieselben 64 Bits für die 6490 selbst und auch die 62 Bits für den Präfix zum Delegieren ändern sich nicht wirklich.

Wie das bei gezieltem DHCP-Release inzwischen aussieht (die Box arbeitet immer noch mit 06.83), kann ich gerade nicht testen, weil mir sonst eine wichtige Remote-Sitzung zerschossen wird (in der ich zwar nur auf das Ende einer Aktion warte, aber sehen will ich da trotzdem etwas).

PS: Just da startet das entfernte System dann ohnehin neu und der soeben ausgeführte Test ("Neu verbinden") ergab, daß es immer wieder dieselben 64 bzw. 62 Bits seitens VF/KD gibt. Damit ist das bei diesem Anbieter bei IPv6 praktisch eine feste Adresse ... mit allen Konsequenzen für die Tracking-Möglichkeiten anhand dieser IPv6. So blöd es auch klingt (weil man ansonsten eigentlich den Übergang zu IPv6 forcieren sollte) ... wer als VF/KD-Kunde (zumindest nach meiner Erfahrung mit meinem Vertrag und das ist ein "ganz normaler") Wert auf Privatsphäre legt, sollte entweder über Onion-Routing auf das Internet zugreifen oder besser auf IPv6 verzichten.

Die Tatsache, daß es da genug "Bits" gibt (i.d.R. so ab 56 für die "Verteilung", ggü. 32 bei einer kompletten IPv4-Adresse), sorgt eben nicht automatisch dafür, daß man nun schwieriger zu tracken wäre als Nutzer (zumindest anhand der IP-Adresse) ... ganz im Gegenteil. Eine größere, theoretische Menge an Adressen nutzt überhaupt nichts, wenn am Ende doch immer wieder dieselbe verwendet wird. Auch die "privacy extensions", die u.a. dafür sorgen, daß beim Internet-Zugriff die letzten 64 Bit einer IPv6-Adresse (eine solche besteht insgesamt aus 128 Bit) regelmäßig gewechselt werden, nutzen hier absolut nichts, wenn ich schon vorher weiß, daß hinter den ersten 64 (oder 62) Bits immer derselbe (Kabel-)Anschluß verborgen ist ... und für welche Adressbereiche das zutreffen könnte (sprich: welche VF/KD "gehören"), kann man auch recht leicht ermitteln;

vidar:~ # whois 2a02:8108::
[...]
inet6num:       2a02:8108::/31
netname:        DE-KABELDEUTSCHLAND
descr:          Kabel Deutschland Vertrieb und Service GmbH
country:        DE
admin-c:        KDG40-RIPE
tech-c:         KDG40-RIPE
status:         AGGREGATED-BY-LIR
assignment-size:56
mnt-by:         MNT-KABELDEUTSCHLAND
created:        2015-06-03T12:29:50Z
last-modified:  2015-06-23T03:13:19Z
source:         RIPE

Man ist also mit einem VF/KD-Anschluß, an dem IPv6-Adressen verwendet werden, sogar für jeden x-beliebigen Server-Betreiber im Internet sehr leicht "wiederzuerkennen" ... dazu braucht der den Provider gar nicht mehr, weil sich diese Adresse eben - zumindest in meinem Falle - gar nicht mehr ändert und ich habe auch keine Möglichkeit gefunden (auch der Anschluß des Routers vom KNB ändert da nichts), diese IPv6-Adressen irgendwie wieder loszuwerden (außer eben durch komplettes Deaktivieren von IPv6).

Das macht dann das Speichern von IP(v6)-Adressen (in das man ja künftig einwilligen soll oder muß, wenn die Übergangsfrist für die DSGVO abgelaufen ist) noch ein wenig heikler, weil hier plötzlich nicht mehr auf die Hilfe Dritter zurückgegriffen werden muß, damit so eine IP-Adresse eben tatsächlich (und vermutlich unwidersprochen) personenbezogen ist.

 

[PeterPawn]

Witzig, Vodafone, durchaus witzig ... wenn man eine etwas krude Ansicht von "Humor" hat.

Am 05.09.2018 hat es VF dann tatsächlich geschafft, meiner 6490 nach einem Synchronisationsverlust nachts um 2:08 Uhr (dauerte bis 02:25 Uhr) auch eine neue IPv6-Adresse zuzuweisen (ich hatte immer noch dieselbe, wie schon am Beginn dieses Threads), das Präfix für Vergabe an Clients war schon zuvor "etwas variabler", so daß nur noch der Router selbst problemlos zu identifizieren ist/war und nicht mehr unbedingt die Clients, solange sie von den "privacy extensions" von IPv6 Gebrauch machen und den hinteren Teil der Adresse regelmäßig wechseln bei ausgehenden Requests. EDIT: Ne, das streichen wir mal besser, das betraf nur die letzten zwei Requests (wo sich auch die IPv6-Adresse des Routers geändert hat) und davor gab es seit Jan. 2018 immer dasselbe IPv6-Präfix mit /62 (was m.W. die FRITZ!Box genau so auch anfordert beim SOLICIT).

Was aber seitdem nicht mehr funktioniert, ist ein Wechsel der IPv4-Adresse (und der betrifft dann nach NAT auch wieder jeden einzelnen IPv4-Client im Netz der Box) ... da kriege ich derzeit immer wieder dieselbe, egal ob ich die durch RELEASE freigebe, die Box neu starte oder was auch immer anstelle.

Wow ... andere Anbieter wollen für so eine statische IPv4-Adresse ja noch zusätzlich Geld sehen - ist das jetzt ein "Bonus-Feature" oder muß ich nach dem Alu-Hut suchen, weil ich so ja viel besser zu identifizieren bin bei jedem (IPv4-)Kontakt mit irgendeiner Webseite und praktisch nur noch per Onion-Routing surfen sollte?

An der Reihenfolge der DHCP-Aktionen gibt es jedenfalls aus meiner Sicht nichts auszusetzen:

und natürlich war der "Wechsel" der IPv6-Adresse für den Router auch eine einmalige Angelegenheit und er bekommt seit dem o.g. Zeitpunkt auch immer wieder dieselbe IPv6-Adresse.

So langsam kann man nur noch mit dem Kopf schütteln ... mal sehen, ob ich auch eine E-Mail-Adresse zur Person von

Dr. Falk Böhm
Datenschutzbeauftragter Vodafone Kabel Deutschland GmbH

Ferdinand-Braun-Platz 1
40549 Düsseldorf

(die Angabe ist der Seite https://www.vodafone.de/media/downloads/datenschutz/index.html entnommen) finden kann.

Vielleicht kann der mir ja erklären, warum sich VF so sehr um den Schutz der Privatsphäre der Kunden sorgt, daß man denen jetzt keine wechselnden IPv4-Adressen mehr zumuten möchte.

So braucht jedenfalls keine Webseite mehr irgendwelche Cookies zu setzen (vielleicht werden wir dadurch die Banner ja wieder los?), um denselben Anschluß über mehr als eine Internet-Präsenz zu verfolgen - gut, das konkrete Gerät hinter einer solchen IPv4 zu kennen, wäre natürlich noch befriedigender für den Tracker.

Es ist zum "aus der Haut fahren" ... zumal AVM hier eigentlich alles richtig macht, was den Ablauf beim DHCP-Protokoll angeht und auch das CM hatte zwischendrin seinen Neustart, das ist also nicht etwa irgendwas aus dem Cache des DHCP-Proxies im eCM.

 

[fesc]

Kann man irgendwo die lease time herausfinden? Wenn ja, mal probieren kurz vor Ende der lease-periode die box ausschalten, danach wieder an ..
Meines Wissens (kann mich taeuschen) wird ja i.a. bei einem Release nicht zwanglaeufig der Eintrag in der lease Datenbank geloescht.

Ich habe uebrigens auch seit dem einen oder anderen Jahr die gleiche v4 Adresse, v6 weiss ich nicht genau, aber auch seit monaten die gleiche). Sogar ein Providerverkauf war dazwischen (jetzt Pyur).
Ich finds gut, und tracking ueber die IP-Adresse/Prefix ist zumindest fuer Werbung nicht sonderlich genau.

Edit:
Interessant uebrigens: http://www.ipv6council.de/documents/leitlinien_ipv6_und_datenschutz.html
Hier heisst es:

5. Für den Benutzer muss je nach Notwendigkeit die Möglichkeit bestehen, sowohl mit statisch vergebenen IPv6 Adressen, d.h. dauerhaft identifizierbar, Transaktionen im Internet durchzuführen, als auch (teil-)anonymisiert und damit nicht (einfach) zurückverfolgbar, z.B. vermittels von dynamisch vergebenen Anteilen im IPv6 Adresspräfix oder vermittels dynamischer neu vergebener Präfixe auf Kundenwunsch z.B. per Knopfdruck, sein. Die jeweilige Entscheidung darüber soll/muss beim Benutzer liegen.

Da VF Mitglied des Deutschen IPv6-Rates ist kann man sie da durchaus drauf festnageln.

Die Frage ist wo besagter "Knopf" sein soll: Beim Provider, oder im router.
Das ganze ueber einen router-neustart (bzw Verbindung neu aufbauen) durzufuehren ist eher unpraktisch und geht ja auch an den Anforderungen vorbei (fehlende Wahlmoeglichkeit).