Ja doch. Deine Behauptung war aber "PCs hinter einer Fritzbox sind
unsicher", nicht PCs hinter einem Router sind unsicher" wenn sie UPv6
verwenden. Ich zitiere dich mal:

| Der Pc hat ne öffentliche IP und eine FritzBox geht damit genauso
| um wie jeder andere Router auch.

Und diese Behauptung ist fsclah, denn von außen kommt man nur dann durch
die Fritzbox, wenn man das explizit erlaubt. Die /Fritzbox/ als Ganzes
(also die Software, die AVM da zusammengestellt hat) reeagiert eben
nicht wie jeder andere Router. Nur der fürs Routing zuständige Teil geht
mit Pakete genauso um; aber ein anderer Teil der Software verwirft die.
^^^^^^^^ ^^^^^ ^^^^^^^^^^^^^^
^^^^^^^^^^^^^^^
Ach - und was hatte ich da oben geschrieben?
Es ist aber bei Fritzboxen im Auslieferungszustand der Fall. Und darum
ginbgs - dass deine Bahauptung "IPv6 ist unsicher" für Fritzboxen so
nicht zutrifft. Recht hättest du, wenn du schriebest "ein PC mit IPv6
hinter einem selbsgehäkelten IPv6-Roter ohne zusätzliche Maßnahmen ist
ein sScherheitsrisiko"

Man hat schon von Organisationen gehört die unbedingt ein /32 haben
wollen. Also mach dir keine Sorgen, wir werden die Adressen verschwenden
und uns dann wundern.

Gerrit

Es wurden schon /32 von Organisationen gefordert. Mal sehen wann der
erste ein /16 will weil wichtig und so.
Was wäre 'was gescheites'? Muss natürlich auch noch Telefon können.
Glasfasertauglich wäre auch nett weil das schon im Keller liegt.
Mit OpenWRT geht das ziemlich sicher schon... Aber das hat eben nur mein
eigener Router.

Gerrit

Ist OpenWRT.
Da muss man sich erst einmal einen Router besorgen der alle Features
hat. Ich kann hier einen nehmen der nach draußen Ethernet spricht und es
passt.

Wenn ich hier alles mit einem Router erledigen will muss der neben dem
üblichen schon ein paar Dinge können:

- Telefon
- DSL (aktuell in Benutzung)
- Glasfaser (Übergabepunkt im Keller vorhanden)
- DHCP mit statischem Mapping und dynamischem Bereich
- DNS für das interne LAN
- DMZ (aktuell hier via den LAN-Ports am Telekomrouter realisiert, da
hängt dran was ins Netz darf, aber nicht in mein LAN)

Fällt dir da was passendes ein?
Der Fritzbox wirst du da noch ein paar Details mitteilen müssen, denn
die muss ja als Client mit dem Smartphone reden, den eigenen DHCP-Server
abschalten usw.
Ja, aber leider nicht weiter segmentierbar, oder ist ein /96 bei IPv6
möglich? In einem LAN-Segment sind aber mehr als 200 bis 300 Rechner
nicht sinnvoll, man verschwendet also unglaublich viele Adressen.

Gerrit

Ich sehe mich wieder stundenlang in diversen Linuxen rumbasteln, neu
starten, prüfen und frustriert aufgeben, denn das scheint keine einfache
Einstellung mal eben so zu sein.
Ein Provider in Deutschland mit einer technischen Frage oder Bitte zu
belästigen funktioniert eher nicht. BTDT. Oder wie siehst Du eine
Chance, daß in meinem Fall Null-Zwo so was machen würde?
Das ist 'ne Fritzbox (FritzOS < 7). Das sollte als Antwort reichen.

2,5 von 3 Punkten sehe ich als wenig erfolgversprechend.

Eine Erklärung zur Funktionsweise von IPv6 sowie ein vernünftiges
Beispiel für meine lokalen Netze fand ich bis jetzt genausowenig für
mein Niveau. BTW IPv4 wird weiterhin laufen, denn diverse PCs mit MacOS
8.6 und WinXP sowie OS-9 werden weiterhin von hier aus draußen im Netz
mitspielen. Wir sind ja in *.folklore :-)

Gruß, Ralf

Im IPv4 nutzt NAT sehr wohl. Alle haben genau eine öffentliche
IP-Adresse. Die verschiedenen Anwendungen oder Betriebssysteme müssen
aufwendig getrackt werden, also nicht trivial. Und dazu gehört
(kriminelle) Energie.
Die werden hier im Router (in einem internen) "hinter" der Fritzbox
sowieso gesperrt, z.B. Drucker, die heim telefonieren wollen. Kein
Problem mit denen.
Ein Teil davon war mir bekannt, beim Rest lese ich gerade :-)

Zunächst halte ich es für weniger schlimm, wenn draußen im Provider-Netz
abgeschätzt werden kann, wieviele unterschiedliche Netzteilnehmer aus
meinem lokalen Netz draußen mitspielen. Zumal der Provider meist mit
TR-069 den/seinen ersten Router befragen kann und dieser seine
Kenntnisse über alle direkt angeschlossenen Netzgeräte freizügig nach
draußen reicht. Wenn diese Fritzbox zudem DNS- und DHCP-Server spielen
sollte ...

Ich halte es für wichtiger zu verschleiern, welcher interne Rechner was
draußen macht und welche Art von Rechner das ist. Mit TR-069 holt der
"Bösewicht beim Provider"[tm] die (aktiven) MAC-Adressen ab. Et voila,
schon lassen sich Macs, Raspis und andere spezielle Rechnerfamilien
direkt einordnen.

Ich weiß, daß es ein paar Merkmale gibt, die im Netzverkehr draußen
nicht zu verschleiern sind. Manche dagegen habe ich recht zuverlässig im
Griff.

Z.B. läßt sich wohl beim Mitlesen von (S)NTP-Anfragen nicht nur die Zahl
der Rechner hinter dem NAT-Gerät erkennen, sondern ziemlich genau auch
das Merkmal Betriebssystem teils inkl. Version. Abhilfe: lokaler
NTP-Server. Das war einfach :-) Gar keine NTP-Anfragen nach draußen
bekommt man mit seinem lokalen NTP-Server mit DCF77- oder GPS-basierter
Uhr. Da kann einem nicht mal ein Bösewicht im Provider-Netz die ein oder
andere Verschlüsselungsmethode abschalten, indem NTP manipuliert wird.
Das hilft auf jeden Fall. Es ist aber auch keine 100%ige Lösung. Der
Bösewicht im Provider-Netz sieht immer, wohin der Netzverkehr geht,
kennt also den VPN-Provider und somit dessen IP-Adresse(n). Also als
erstem Ziel als neuer Absendeadresse. Und dann gibt's Tor, nur als
Beispiel ... :-) Aber auch das ist nicht 100%ig und hängt stark vom
Anfang und Ende der Kette ab, insbesondere wenn die Betreiber dieser
Server nicht unabhängig voneinander sind. Früher gab's mal Jondym mit
ähnlichem Aufbau und Funktion. Die betonten die Unabhängigkeit der
unterschiedlichen Instanzen. Man mußte ihnen das glauben, obwohl dieser
Dienst teils von deutschen Behörden betrieben wurde.

Die Aufpasser z.B. in China sind dabei extrem gut, die Aufpasser im Iran
hinken meist ein wenig hinterher. Nach allem, was ich so hörte ...

Das Alles ist mit IPv4 überschaubar, aber nicht mehr so sehr mit IPv6.
IPv6 wurde zu einer Zeit entwickelt, als es all diese Fragen in der
Praxis noch nicht gab.
Canvas Fingerprinting ist schon sehr lange ein weiteres Problem. Dafür
hat man NoScript, kann dafür im Gegenzug nicht mehr jede Web-Seite
problemlos anschauen. Z.B. die FAZ liefert schon seit ein paar Jahren
ihre Texte mit Hilfe von Javascript aus. Folge: ich lese keine FAZ mehr.
Vermutlich war das sogar das Ziel bei der FAZ ;-)

Gruß, Ralf