Jump to content

Interface Identifier IPv6


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ich beschäftige mich seit kurzem Intensiv mit der Praxis von IPv6.

Dabei ist aktuell eine, wie ich dachte leichte Frage, offen geblieben.

Aber scheinbar ist es nicht so einfach...

 

Ich möchte gerne wissen wie man im Zweifel bei einer bestehenden Installation von Windows 7/8/8.1 die IPv6 Adresse die Automatisch generiert wird ändern. Es wird der 64bit Teil der Adresse in der Regel ja aus der MAC Adresse gebildet, mit der Privacy Extension wird dafür eine Zufallszahl verwendet, und auch eine Temporäre Adresse gebildet. Ich möchte nun aber teils aus Interesse und teils zum Testen jedoch wissen wie man den Hostteil in einer Installation ändern würde.

 

Ich meinte vor Jahren mal gelesen zu haben das ein Teil dafür in der Registry steht.

Ich meine allerdings nicht die Werte die für DHCPv6 verwendet werden...

 

Ich hoffe das war soweit verständlich... und es gibt eine Lösung.

 

Gruß

rep

Link zu diesem Kommentar

Danke schon mal für Deine Antwort, aber...

 

... dann hat man ja auch keine Vorteile durch SLAAC, wie beispielsweise die durchaus Sinnvolle Privacy Extionsion die für ausgehende Verbindungen eine Temporäre Adresse generiert. Ich hatte zwar auch gedacht das die Privacy Extension auch mit manuellen Adressen funktioniert, aber das scheint nicht so zu sein. Zumal auch viele andere Dinge von SLAAC Sinnvoll sind und ich auch darauf aufbauen möchte.Man muss doch diese "Zufallszahl" irgendwo ändern können.

Link zu diesem Kommentar

Es widerspricht sich nur auf den ersten Blick.

 

Es wird einmalig, das erste mal nach der Installation eine Zufallszahl/Wert generiert aus dem Anstelle de MAC-Adresse der 64bit Hostteil der IPv6 Adresse generiert wird. Das ist dann aber immer so, egal welches Netz man nutzt, wie oft sich das auch wechselt, daran erkennt man einen PC wieder. Diese Zufallszahl ist entstanden, weil man nicht wollte das der Hersteller einer Netzwerkkarte, oder gar des Komplettsystems erkannt wird. Zur vermeidung der Wiedererkennung auf Webseiten (als Beispiel) ist dann zusätzlich noch eine weitere Temporäre Adresse die wirklich jedes Mal zufällig erstellt wird. Diese wird dann für ausgehende Verbindungen verwendet.

 

Wenn man Linux VMware Server hat, dann sieht man Beispielsweise an der IPv6 Adresse das es ein VMware Gast-System ist. Ob das schön oder nicht so schön ist, sollte gar nicht Gegenstand der Diskussion sein, das also nur kurz zur Ausführung.

 

Meine Frage ist nun wie ich "einmal", wenn es nötig werden könnte, einem PC, Server oder anderem Dienst trotz SLAAC Nutzung eine andere Adresse geben kann, so dass er für Leute die diese Adresse kennen nicht mehr erreichbar/wiedererkennbar ist. Das würde dann im Fall der Fälle nur einmal bei Bedarf passieren. Momentan geht es aber überhaupt nicht, es sei denn man schaltet für den Server/PC SLAAC aus und macht alles per Hand, was meiner Meinung nach unschön ist. Ich teste auch gerade mit einem Tunnel von HURRICANE, wenn wir offizielle Adressen vom Provider bekommen müsste ich sonst alles per Hand anfassen. Sind es Dynamische Adressen der Telekom, geht es gar nicht mehr... denn wenn sich das Netz immer ändern, kann ich es schlecht per Hand jedes Mal ändern :)

 

 

Gruß

rep

Link zu diesem Kommentar

Besten Dank für die Einführung, mir ist das alles schon klar. PE's sollten eigentlich eine Lifetime haben, von daher ist deine Frage ohne das "einmal" obsolet. Ich glaub bei W2K3 Server sind die allerdings deaktiviert, kenne die Werte bei Windows nicht so gut. 

Eventuell kannst du mit nem Batchsciprt PE de- und wieder aktivieren um eine neue Adresse zu forcieren, einfach mal testen:

 

C:\Users\X>netsh interface ipv6 set privacy /?
 
Syntax: set privacy [[state=]enabled|disabled] [[maxdadattempts=]<Ganze Zahl>]
              [[maxvalidlifetime=]<Ganze Zahl>]
              [[maxpreferredlifetime=]<Ganze Zahl>]
              [[regeneratetime=]<Ganze Zahl>]
              [[maxrandomtime=]<Ganze Zahl>]
              [[store=]active|persistent]
 
Parameter:
 
       Tag                    Wert
       state                - Gibt an, ob temporäre Adressen aktiviert sind.
       maxdadattempts       - Mehrere Versuche zur Adressermittlung.
                              Der Standardwert ist 5.
       maxvalidlifetime     - Maximale Gültigkeitsdauer für
                              temporäre Adressen.  Der Standardwert ist 7d
                              (sieben Tage).
       maxpreferredlifetime - Maximale Gültigkeitsdauer in Sekunden, während
                              der temporäre Adressen bevorzugt werden. Der
                              Standardwert ist 1d (ein Tag).
       regeneratetime       - Zeit in Sekunden, bevor eine temporäre Adresse
                              verworfen und eine neue Adresse erstellt wird.
                              Der Standardwert ist 5s (fünf Sekunden).
       maxrandomtime        - Obere Grenze, die zur Berechnung
                              eines Zufallswertes für die Verzögerungszeit
                              beim Starten verwendet wird. Der Standardwert
                              ist 10m (zehn Minuten).
       store                - Einer der folgenden Werte:
                              active: Die Änderung besteht nur bis zum
                              nächsten Neustart.
                              persistent: Die Änderung ist beständig
                             (Standardwert).
Link zu diesem Kommentar

Mir ist es auch klar das es eine Lifetime gibt, wenn die Abgelaufen ist (wobei die bei jedem empfangenen Router Advertisement wieder neu beginnt) löscht er die Adresse. Wenn also der Router der die Router Advertisements versendet aus ist, oder diese Route nicht mehr verteilt, verfallen die Adressen. Das geht auch. Aber wenn ein neues Router Advertisement auch mit neuer Netzadresse kommt, ist der Hostteil der Adresse ja immer wieder gleich. Die Temporären Adressen die ausgehend genutzt werden sind dabei nicht das Problem, denn die Adresse die eingehend verwendet werden kann, um die geht es mir.

 

Wir malen mal eben ein Scenario (Einstellungen vom TCP-Stack sind Standard)

 

Ein Router sendet nun Router Advertisements mit dem Netz 2001:db8:1234:1234::\64, was einen Windows 7 Computer dazu nötigt sind eine IPv6 Adresse zu generieren. Diese sehen dann Standardmäßig Beispilesweise so aus

 

Öffentlich Verworfen 3m8s     0s       2001:db8:1234:1234:cb53:f538:13fe:6ee8
Temporär   Verworfen 3m8s     0s       2001:db8:1234:1234:fc16:9666:aa42:3ec8
Andere     Bevorzugt infinite infinite fe80::cb53:f538:13fe:6ee8%11

 

Dabei ist der Hostteil "cb53:f538:13fe:6ee8" nicht aus der MAC-Adresse abgeleitet, aber sowohl bei der LLA, also auch bei der ULA identisch. Die Temporäre Adresse, die die auch sich immer wechselt und ausgehend verwendet wird, ist absolut Zufällig. Das zeichnet ja nun auch die Privacy Extension aus. Ich würde aber gerne den Hostteil der Öffentlichen Adresse änden, also die auf die auch reagiert wird wenn man von außen Verbindungen aufbauen möchte.

 

Da also der Router immer Online ist und auch zyklisch die Router Advertisements sendet, wird die Gültigkeitsdauer nie erreicht, was ja auch gut so ist, denn sonst würden die Adressen auch ausgehend nicht mehr verwendet werden und man könnte kein IPv6 nutzen. Wenn ich nun ein anderes Prefix verteile: 2001:db8:5678:5678::\64, dann wären die Adressen wie folgt.

 

 

Öffentlich Verworfen 3m8s     0s       2001:db8:5678:5678:cb53:f538:13fe:6ee8
Temporär   Verworfen 3m8s     0s       2001:db8:5678:5678:fc16:9666:aa42:3ec8
Andere     Bevorzugt infinite infinite fe80::cb53:f538:13fe:6ee8%11

 


Der Hostteil ist dabei aber immer noch identisch... nämlich "cb53:f538:13fe:6ee8"

bearbeitet von rep
Link zu diesem Kommentar

Ok, jetzt hab ich geschallt worauf du hinaus willst. :) Ohne Scripting wird da nicht viel möglich sein, dafür sind meine Kenntnisse in Windows auch nicht tief genug. 

Prinzipiell würdest du ja gern die Funktion von PE für eine Problemlösung verwenden welche nicht dem Grundgedanken entspricht, jedenfalls nicht meinem Empfinden von Privatsphäre im Serverbereich. 

Link zu diesem Kommentar

Jetzt muss ich mal konkret fragen was du mit "PE" meinst... 

Das es ohne tiefere eingriffe nicht geht und auch nicht jeden Monat die IP-Adresse geändert wird, sollte nun mittlerweile klar sein. Mich stört halt nur das es überhaupt nicht geht, also nicht unter Verwendung von SLAAC.

 

Daher meine Annahme, es gibt einen Wert in der Registry, der dafür verantwortlich ist. Meinetwegen auch eine Funktion in netsh.exe.

Wenn diese also jemand kennt... gerne... 

 

Die ID für den WSUS, eine ID für den DHCPv6 und andere Dinge kann man ja auch ändern (Auch nur mit "Skripting")

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...