Datenschutzfreundliches IPv6 über PPP mit der FritzBox
Ich hatte mich ja schon theoretisch und praktisch zu datenschutzfreundlichem IPv6 im xDSL Bereich geäußert. Was noch fehlt, ist eine Kurzfassung für den Endkundeneinsatz.
An einem DSL-Anschluß wird über PPPoX IPv4 und IPv6 ausgehandelt. Seit der Umstellung auf MPD/FreeBSD funktioniert das durchgängig für alle Kunden.
Für IPv6 wird allerdings nur eine Link-Local-Adresse ermittelt, der Rest erfolgt über DHCPv6.
In diesem Protokoll werden dem Endgerät bis zu drei Prefix-Blöcke an IPv6 Adressen übergeben.
- Ein dynamisch wechselnder Prefix, der bis zu zwei Stunden gültig ist. Er darf aber nur in der ersten Stunde für neue Verbindungsaufbauten genutzt werden. Die Benutzung von Privacy-Extensions sollten die Client-Betriebssysteme können.
- Der dynamisch wechselnde Prefix, der in der vorherigen Stunde ausgeteilt wurde. Alle Verbindungen, die unter diesem Prefix aufgebaut wurden, werden so weiterhin bedient. Es gibt keine Verbindungsabbrüche bei der Prefixrotation.
- Ein statischer Prefix, der manuell für Serveranwendungen genutzt werden darf. Er ist auch nach PPP/DSL-Trennungen immer wieder gleich. Er wird bei automatischer Konfiguration nicht für Neuverbindungen benutzt. Stattdessen sollte man manuell feste Adressen für seine Serverdienste festlegen.
Alle ausgeteilten Prefixe sind jeweils ein /60, so daß die FritzBox für Gastnetz und LAN unterschiedliche Prefixe (/64) austeilen kann. Der Bereich ist auch groß genug, um zwei Fritzboxen zu kaskadieren (dann wird ein /62 weiterverteilt).
Zur Einstellung folgt man der Anleitung von AVM. Die unterstützten Modelle sowie die Details der Einstellung sind der TechNote zu entnehmen. Die Stichworte lauten:
- Native IPv6 Konnektivität
- DHCP-PD (Prefix Delegation)
- Unnummerierter Uplink
Was praktisch instantan auf IPv6 umgestellt wird, ist DNS und NTP (Zeitserver). Beide Einstellungen werden per DHCPv6 verteilt und von der Fritzbox gelernt.
Ebenso schnell erfolgt der Zugriff auf Facebook und Google, sowie verschiedene FreeMailer über IPv6. Deswegen sollte man vor der Nutzung kontrollieren, ob man nicht versehentlich die Privacy-Extensions an den Endgeräten deaktiviert hat.
Die Umstellung von SIP-Telefonie von IPv4 auf IPv6 muß manuell vorgenommen werden. Wer sicher gehen will, wählt "IPv6 only" im SIP-Menü.
Viel Spaß am Gerät.
Konkret ist es aber so, daß´Betriebssysteme für noch aktive genutzte Adressen, die demnächst auslaufen, einen DHCPv6 RENEW schicken. Diese Requests beantworte ich positiv, so daß ein Anschluß ein Prefix auch länger als 2h benutzen kann. Ich habe Anschlüsse, die mehr als vier alte Prefixe parallel in Benutzung halten.
Das ist zugegebenermaßen eine Menge "wenns" in Folge.
Total 2 comments