Hallo zusammen,

ich verteile testweise mittels LANCOM Router im LAN IPv6 Adressen an die Clients (Mac OS X, Windows 7 und 8.1), und zwar per SLAAC wie stateful DHCPv6. Nun sind auf diesen OS ja die Privacy Extensions (http://de.wikipedia.org/wiki/IPv6#Adressaufbau_von_IPv6) standardmäßig aktiv, sprich: die Clients generieren sich in regelmäßigen Abständen einen neuen zufälligen Interface Identifier (den Host-Teil der IP-Adresse) neu statt diesen als EUI-64 aus der MAC-Adresse zu generieren (http://de.wikipedia.org/wiki/EUI-64).

Mein Problem ist nun, dass ich keinerlei Firewall Regeln für diese Clients bzw. genauer gesagt für ihren Zugriff über IPv6 auf das Internet definieren kann, weil sich deren IP-Adresse ja ständig ändert. Bisher ist mir dazu auch keine Lösung eingefallen. Klar, man könnte die Privacy Extensions abschalten, aber damit raubt man den Nutzern ein wichtiges Feature und macht sie gläsern. Oder man schaltet SLAAC ab und erzwingt DHCPv6, aber nicht jeder Client (z.B. Nicht-PCs wie WLAN APs oder Switches) verstehen stateful DHCPv6.

Weiß jemand Rat?

Vielen Dank vorab

Du nimmst die falsche IPv6-Adresse. Du musst für eingehenden Datenverkehr die öffentliche IPv6-Adresse nutzen. Die nutzt zwar auch die Privacy-Extension, aber diese ändert sich nicht in einem konfigurierten Intervall oder bei jedem Windows-Reboot wie bei der temporären IPv6-Adresse.

In der Fritzbox (als Beispiel) werden bei der IPv6-Freigabe deshalb nur die Interface-IDs aller Geräte von den öffentlichen IPv6-Adressen angeboten, nicht von den temporären IPv6-Adressen.

Ich hoffe, das beantwortet deine Frage. Ich bin jetzt auch kein großer IPv6-Experte. Ich selber nutze nur SLAAC. DHCPv6 nutze ich nur für DNS-Adressen. Das ist der Standard-Modus von Fritzboxen und zumindest für den Heimgebrauch auch völlig ausreichend.


EDIT:
Oh, ich sehe gerade, dass dein Text fast eine Woche alt ist. Vermutlich hat sich dein Problem schon erledigt?!

Hi! Nein, mein Problem ist leider noch nicht gelöst. Mir geht es ausschließlich um ausgehenden IPv6-Traffic. Ich würde z.B. gerne den Internetzugang aus dem LAN auf bestimmte Zeiten begrenzen. Das ist mit einer objektorientierten Firewall ja kein Problem.

Nur leider nutzen die Clients halt für den Internetzugang die temporärer IPv6-Adresse. Und anders als bei IPv4, wo man ja die MAC-Adresse nutzen kann um einen Client eindeutig zu identifizieren, kann ich dies unter IPv6 bei aktivierten Privacy Extensions so nicht (oder jedenfalls ist mir dazu noch nichts eingefallen).

Achso, bei Firewall dachte ich an eingehenden Verkehr.

Also bei der Fritzbox (sorry wenn ich immer darauf beziehe) geschieht die Filterung usw. über MAC-Adressen. IPv6 hat doch dafür das "Neighbor Discovery Protocol", das ist das IPv4-ARP in der IPv6-Welt.

Wie du das aber jetzt praktisch umsetzt, dass kann ich dir nicht sagen, da endet schon mein Wissen.