it-swarm.com.de

Mehrere Geräte mit einem IPv6 ins Internet?

Ich möchte mehrere Geräte (im LAN) über eine einzige öffentliche IPv6-Adresse mit dem Internet verbinden.

Leider habe ich keinen guten Weg gefunden, dies zu tun. Die einzige Idee, die ich hatte, war, alles vom PF/OPNsense über OpenVPN auf einen Raspberry Pi oder ähnliches vor dem Sense zu tunneln und dann mit dem IPv6 vom Pi ins Internet zu gehen.

Das geplante Setup wäre Internet (WAN) - Fritzbox (LAN1) - PFSense/OPNsense (mit WAN Schnittstelle) - LAN2

Gibt es noch andere Möglichkeiten? Die VPN-Lösung ist nicht wirklich schön.

Warum? Das Zuweisen einer eigenen öffentlichen IP-Adresse für jedes (private) Gerät (auch mit Datenschutzerweiterung) vereinfacht die Nachverfolgung. Darüber hinaus verfügen einige Geräte nicht über eine Datenschutzerweiterung oder sind nicht aktiv.

5
Hannes

IPv6 wurde entwickelt, um dies nicht zu tun. Der Versuch eines IPv4-Stils NAT mit IPv6 wird die Dinge kaputt machen. Trotzdem bin ich mir ziemlich sicher, dass Sie dies tun können NAT IPv6 mit Linux iptables, also ist es nicht unmöglich. Aber ich würde dringend empfehlen, es nicht zu tun.

36
Sander Steffann

IPv6 hat keinen NAT Standard wie IPv4. Es gibt einen EXPERIMENMTAL RFC für Eins-zu-Eins NAT (eine externe Adresse für jede interne Adresse) in IPv6, verbietet jedoch ausdrücklich, was Sie tun möchten (ich habe es unten hervorgehoben):

6. Ein Hinweis zur Portzuordnung

NAPT44-Geräte überschreiben nicht nur IP-Adressen, wenn Datagramme weitergeleitet werden, sondern überschreiben auch die Quellportnummer im ausgehenden Verkehr und die Zielportnummer im eingehenden Verkehr. Dieser Mechanismus wird als "Port-Mapping" bezeichnet.

Der Hauptvorteil der Portzuordnung besteht darin, dass mehrere Computer eine einzige IPv4-Adresse gemeinsam nutzen können. Eine große Anzahl interner IPv4-Adressen (normalerweise aus einem der privaten Adressräume [RFC1918]) kann einer einzelnen externen, global routbaren IPv4-Adresse zugeordnet werden, wobei die lokale Portnummer verwendet wird, um zu identifizieren, welcher interne Knoten jedes eingehende Datagramm empfangen soll. Dieses Adressverstärkungsmerkmal ist derzeit im Allgemeinen nicht als Notwendigkeit vorgesehen.

Da für die Portzuordnung ein Teil des Transportschicht-Headers neu geschrieben werden muss, müssen NAPT44-Geräte alle von ihnen weitergeleiteten Transportprotokolle kennen, wodurch die Entwicklung neuer und verbesserter Transportprotokolle behindert und die Verwendung der IPSec-Verschlüsselung verhindert wird. Das Ändern des Transportschicht-Headers ist nicht mit Sicherheitsmechanismen kompatibel, die die gesamte IP-Nutzlast verschlüsseln, und beschränkt den NAPT44 auf die Weiterleitung von Transportschichten, die schwache Prüfsummenalgorithmen verwenden, die in Routern leicht neu berechnet werden können.

Da die Änderung der Transportschicht-Header erhebliche Nachteile mit sich bringt und die Verwendung der Portzuordnung in IPv6 nur sehr wenig oder gar keinen Nutzen bringt, DÜRFEN NPTv6-Übersetzer, die dieser Spezifikation entsprechen, NICHT Port-Mapping durchführen.

Außerdem werden Sie feststellen, dass NAT einige IPv6-Funktionen unterbricht.

IPv6 verfügt über zahlreiche Adressen, sodass Sie NAPT nicht wie bei IPv4 verwenden müssen. NAPT unter IPv4 unterbricht das IP-Paradigma, bei dem jedem Host eine eindeutige Adresse zugewiesen wird, sodass die Verbindungen von Ende zu Ende erfolgen und keine mittleren Geräte den Status der Verbindungen beibehalten müssen. IPv6 stellt das IP-Paradigma wieder her und erlaubt andere Protokolle als TCP, UDP und ICMP * und behebt Anwendungen und Protokolle auf Anwendungsebene, die von NAPT beschädigt werden.

Möglicherweise verstehen Sie das Tracking und die Funktion von Privacy Extensions falsch. Tatsache ist, dass die Verfolgung, die Privacy Extensions verhindert, darin besteht, ein Gerät zu verfolgen, wenn es mit verschiedenen Netzwerken verbunden ist, eine neue Adresse in jedem verbundenen Netzwerk zu erhalten und nicht die Dienste zu verfolgen, die das Gerät im Internet verwendet. Wenn Sie nur das ursprüngliche SLAAC verwenden, verfügt ein Gerät immer über dieselbe IID (Interface Identifier) ​​auf derselben Schnittstelle und kann unabhängig vom Netzwerk, an das das Gerät angeschlossen war, korreliert werden, indem Sie es beim Verschieben vom Netzwerk zum verfolgen Netzwerk. Dies spielt keine Rolle, wenn das Gerät nur in einem einzelnen Netzwerk vorhanden ist. Sie müssen keine Bewegung verfolgen. Wenn Sie das Gerät in andere Netzwerke verschieben und das Gerät keine Datenschutzerweiterungen unterstützt, können Sie nachverfolgt werden. Ich würde jedoch auch argumentieren, dass die Gerätesoftware so alt ist, dass sie mit Sicherheitsproblemen behaftet ist.

Wenn das Gerät nur eine Verbindung zu einem einzelnen Netzwerk herstellt, besteht kein Tracking-Risiko. Sie können auch DHCPv6 zum Zuweisen von Adressen verwenden oder manuell eine Adresse zuweisen, anstatt SLAAC zu verwenden, das eine Kennung wie eine MAC-Adresse verwendet.


* RFC 3022, traditioneller IP-Netzwerkadressübersetzer (traditionelles NAT) erklärt IPv4-NAT, einschließlich NAPT in Abschnitt 2.2:

Andere Sitzungen als TCP-, UDP- und ICMP-Abfragetypen sind von lokalen Knoten, die von einem NAPT-Router bedient werden, einfach nicht zulässig.

20
Ron Maupin

IPv6-Adressen sind nicht die leistungsstärkste Methode zum Verfolgen. Der DNS-Verkehr zeigt an, wohin Sie im Internet gehen. Auf Desktop- und Mobilgeräten folgen Anzeigen- und Social-Tracking-Kennungen den Benutzern über Geräte und IPs hinweg.

IPv6-Adressen können häufig geändert werden, wobei nur das gemeinsame Präfix für Ihre Site übrig bleibt, nicht der Host. Erwägen Sie auf Geräten ohne Datenschutzerweiterungen, etwas Ähnliches selbst zu implementieren. Generieren Sie zufällige Host-IDs und weisen Sie diese statisch als IP-Adresse in Ihrem Präfix zu.

Verkehr verschlüsseln. Verwenden Sie TLS für alle Anwendungen.

Verwenden Sie bei Bedarf sichere Overlays, um Netzwerke zu übertragen, denen Sie nicht vertrauen.

Vermeiden Sie NAT. Jedes Gerät kann aus Milliarden von IPs auswählen. Warum sollten Sie die End-to-End-Konnektivität durch Trennen durch eine IP-Adresse unterbrechen?

8
John Mahowald

Wie andere angemerkt haben, gibt es viele Möglichkeiten , wie Ihre Geräte verfolgt werden . Selbst wenn Sie Tausende (statt nur Dutzende) von ihnen hätten und sie alle auf derselben IP-Adresse abbilden würden, würde dies keinen großen Unterschied machen.

Siehe zum Beispiel https://panopticlick.eff.org/ , wenn Sie es selbst ausprobieren möchten, und klicken Sie auf "Vollständige Ergebnisse anzeigen". Versuchen Sie es mit verschiedenen Geräten, ändern Sie sogar Ihre IP über VPN oder einen Neustart des Routers. Es ist entsetzlich. Selbst mit einem datenschutzgeschützten Browser (der kaum auf allen Ihren Geräten verfügbar ist) und einem Neustart des Routers nach jeder Verbindung, sodass sich Ihre IP-Adresse (hoffentlich) ändert, sind Ihre Geräte immer noch recht gut identifiziert.

Stellen Sie sich nun vor, Sie haben es mit skrupellosen Trackern zu tun (von denen die meisten problematisch sind), die Zugriff auf viel mehr Informationen haben werden, und der Tatsache, dass die meisten Ihrer Zugriffe von einer IP (oder einem IPv6-Bereich) stammen werden. macht keinen Unterschied).

Die Verwendung von NAT-ing zur Verbesserung der Privatsphäre ermöglicht "Ich möchte ein nasses Handtuch um den Auspuff meines Dieselautos legen, damit es seine Umweltverschmutzung verringert". Hilft einfach nicht messbar.

Wenn Sie sich nicht für End-to-End-Konnektivität interessieren, sollten Sie sich überhaupt nicht mit IPv6 beschäftigen. Es ist sehr wahrscheinlich, dass Ihre Geräte unter einfachem IPv4 einwandfrei funktionieren NAT für den Rest ihrer Lebensdauer).

Wenn Sie jedoch weiterhin darauf bestehen , dass alle ausgehenden Verbindungen von einer IPv6-Adresse stammen, sollten Sie dies tun, indem Sie das Routing deaktivieren und den Proxy installieren Software stattdessen. Es gibt ein generisches SOCKS-Proxy-Protokoll, aber für HTTP sollten Sie besser datenschutzverbessernde Proxys wie Privoxy verwenden. Sie können Privoxys Upstream außerdem mit Tor-Netzwerk verknüpfen, um von der Änderung der IP-Quelladressen zu profitieren. Wenn Sie keine Proxys verwenden können, ist VPN der beste und am wenigsten hässliche Weg.

Das könnte tatsächlich ein wenig zum Schutz der Privatsphäre beitragen, obwohl Sie für bessere Ergebnisse heutzutage Javascript vollständig deaktivieren (oder zumindest Block Origin und NoScript in sichereren Modi installieren müssten und konfigurieren Sie sie schmerzhaft Site-by-Site-basiert) auf allen Ihren Geräten (und deaktivieren Sie natürlich Horror wie Flash und andere Browser-Plugins!)

7
Matija Nalis

Wenn Sie ungewöhnliche/verpönte Dinge tun möchten, ist die Verwendung einer vordefinierten "Router-Distribution" als Edge-Router wahrscheinlich nicht der beste Weg. Weiteres pfsense basiert auf freebsd pf, das "eins zu viele" ipv6 NAT nicht unterstützt.

Wenn Sie ein bis viele ipv6 NAT) ausführen möchten, würde ich vorschlagen, eine neuere Version einer generischen Linux-Distribution als Edge-Router zu verwenden. Linux hat in 3.9.0 Unterstützung für ipv6 nat hinzugefügt und verwendet diese Im Grunde genommen so einfach wie das IPv4-Gegenstück, z. B. "ip6tables -A POSTROUING -t nat -o -j MASQUERADE".

5
Peter Green

Adressierung Ihres Problems, über eine IPv6-Adresse verfolgt zu werden: Es besteht die Möglichkeit, temporäre Adressen zu verwenden. Ich weiß das nur aus der Theorie, aber ich denke, das muss das Standard-Setup sein.

https://tools.ietf.org/html/rfc4941

auch: https://tools.ietf.org/html/rfc7721

1
Nigel Nop

Sie können IPv6 NAT) problemlos mit jedem ausreichend modernen iptables-unterstützenden Router zwischen dem Netzwerk, in dem Sie sich verstecken, und dem Netzwerk, in dem Sie die einzelne IP-Adresse haben, ausführen. In der Praxis werden mehrere Computer dahinter gestellt ein Gateway im cjdns IPv6-Overlay-Netzwerk, wie dokumentiert hier .

Angenommen, Sie haben eine IPv6-Weiterleitung in Ihrem Kernel eingerichtet und Ihr Router ist bereits so eingerichtet, dass er sich auf dem Pfad zwischen den beiden Netzwerken befindet. Die iptables-Regeln sehen folgendermaßen aus:

ip6tables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
ip6tables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Hier, eth0 ist die Schnittstelle in dem Netzwerk, das Sie verstecken, und tun0 ist die Schnittstelle mit der IP-Adresse, hinter der alles angezeigt werden soll.

Beachten Sie, dass Sie mit dieser Art von NAT alle eingehenden Verbindungen oder Datenverkehr vermasseln, die nicht Teil einer eingerichteten Sitzung sind. Pakete, die an die "echten" IPv6-Adressen der internen Computer adressiert sind, werden dies tun kommen in Ordnung, aber die Antworten werden NAT-bearbeitet und scheinen von einer anderen Adresse zu stammen. Nur Sitzungen, die hinter dem NAT] initiiert wurden, funktionieren ordnungsgemäß. Möglicherweise möchten Sie Firewall-Regeln hinzufügen, um eingehende Nachrichten zu blockieren Datenverkehr, der nicht mit einer Sitzung zusammenhängt, die der NAT kennt).

1
interfect