UPC IPv6 (DS Lite) und Firewall

Impressum | Werbung

Geizhals » Forum » Netzwerk »

UPC IPv6 (DS Lite) und Firewall (22 Beiträge, 1479 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Das UPC-Gerät kann man im Bridge-Modus schalten, dann kommt am Router dahinter ganz normal der öffentliche IP an. WLAN vom UPC-Device ist dann auch aus; es verhält sich dann wie ein klassisches Chello-Modem.

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

das geht aber nur, wenn das modem im ipv4 modus läuft (ohne ds lite)

Du kannst z.B. am Thomson Router der UPC einstellen, dass V6 Traffic von außen nicht weitergeleitet werden soll. Dann kommt man auch nicht von draußen auf deine Rechner.

Ein/Aus... für alles andere brauchst einen echten IPV6 Router...

so war es mal, mit DS Lite (oder eher DS Schrott) nimma...

Mord, Erpressung & Raub since 800 b.C
f.u
mehr

drücken macht euren virtuellen Penis größer...

Gab es dazu ein Rundschreiben seitens UPC? Ist ja doch eine etwas größere Umstellung, auch wenn Otto-Normal-User von den technischen Änderungen ja kaum etwas mitbekommen wird.

Danke für die Info!

Da wirds Anfang nächsten Jahres wohl bei einigen Kunden das große Erstaunen geben, da ist ja jetzt einiges (Serverbetrieb, etc.) nicht mehr möglich.

Kann man dann überhaupt noch von außerhalb auf das eigene NAS zugreifen?

bekommt man eigentlich eine einzige IPv6 Adresse oder ein /64?

es sind nur MIndestens /64 erlaubt
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Laut meinem Router ist es ein /57.

Habe eine pfsense Firewall auf einer VM (hypervisor) die dual stack unterstuetzt, dafuer aber noch nicht eingerichtet ist. Sind allerdings nur ein paar Klicks in der web GUI.
Nachdem es ja kein NAT mehr gibt (oder geben sollte

) muss jetzt ein echter Router/Firewall den Schutz des Netzwerks aufnehmen. Den UPC Geraeten ist zwar schon bis zu einem gewissen Grad zu vertrauen, aber nur wenn man keine externen Zugriffe braucht. Wie ein anderer User schon geschrieben hat, man kann externe Zugriffe nur ganz erlauben oder ganz verbieten. Auf jeden Fall wuerde ich auch bei allen Geraeten sicherstellen dass die generierte /64 IPv6 nicht die MAC Addresse verwendet... Bei Windows sowieso standard, bei Mac nicht, und bei Linux (Android) bin ich mir jetzt nicht ganz sicher.
Im Fall von Serverbetrieb (Dedicated Game Server, NAS, etc.) waere es sinnvoll eine durchdachte und restriktive ACL zu machen, auch nach innen (also quasi DMZ). Die unterscheidet sich dann kaum von dem design im bisherigen IPv4, ausser dass das Ganze /64 (bis auf evtl. Server) blockiert werden, statt nur der oeffentlichen IP.

Bin im September auf Fiber Power Ultra umgestiegen, die haben mich gleich auf IPv6 umgestellt, und dank glumpert DS Lite waren alle meine Services weg... Kurze Panik, dann gleich angerufen und kurz angedeutet dass mir die teletronic und d-light verlockende Angebote gemacht haben, und schon war ich wieder auf IPv4, allerdings "nur bis Ende des Jahres" laut dem Techniker.

Ich ueberlege schon die ganze Zeit wie ich das machen werde (Medien/NAS Zugriff vom Handy unterwegs - Drei 3G hat nur IPv4), und mir ist echt nur die Loesung gekommen, einen VPS mit echtem Dual Stack (nicht DSLite) anzumieten, der ins IPv6 tunnelt. Alle anderen tunneling Webseiten/Services koennen nur HTTP/S, ich brauch halt anderes Zeug.

lol. von außen geschützt ist er auf jeden Fall, warum ich das so salopp sage:

bei mir wurde umgestellt und von da an waren alle Ports nicht mehr außen erreichbar, obwohl ich sie offen hatte und die Einstellungen insofern nicht verändert worden sind. Das Problem dabei ist die interne Adresse, die vergeben wird. also weg mit der 80.x.x.x und dafür die 10.x.x.x ... toll nicht?

die Rückumstellung hat natürlich wieder das Wochenende gekostet und wieder mal nur Ärger. Seitdem "hängt" meine Verbindung ab und zu obwohl angeblich alles wieder auf den Originalzustand vor der Umstellung umgestellt worden ist.

Was soll man nur tun... Alternativen?
Dagobert Duck, der Geizhals schlechthin

du missverstehst die Anfrage, es geht um den Schutz der v6 Hosts, die haben ja eine offiziell geroutete Adresse. Ohne Firewall davor ist man dann mit den Geräten direkt im Internet
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

die WLAN router von UPC werden ja hoffentlich eine funktionierende ipv6 firewall haben. nicht das ich die jetzt einsetzen würde, aber wenns das schon ausliefern, dann kann man als kunde auch erwarten, dass man den gleichen sicherheitsstandard hat wie mit ipv4. wenn nicht, dann könnens gepflegt kacken gehen.

perverser ist wohl, dass man zumindest bei den deutschen upclern keinen fixen ipv6 block bekommt. somit kann man damit intern auch kein AD oder was auch immer machen.

Welchen Sicherheitsstandrd wie bei ipv4 ?

Das die keine fixe Zuweisung machen ist allerdings merkwürdig, Adressen gibts mehr als genug, da köntne man den Kunden ruhig auch einen Vorteil verschaffen. jaja, jetzt kommen wieder gratis http Sauger aus ihren Löchern, sie wollen a neue IP bei jeder "Einwahl"...1. interessiert das keinen, zahlts halt an account und 2. gibts sowas bei Kabel eh net, da gibts nur leases die ablaufen.

Auf jeden fall wird das mit v6 sicher für viele eine Herausforderung, vor allem wenn UPC ja da wirklich von einen Tag auf den anderen auf DSlite umstellt...da werden etliche gewohnte Dienste nimmer funktionieren
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

na da bin ich mal gespannt ob die das durchziehen.

denn mit ds lite funktioniert xbox live mit der xbox 360 nicht mehr, da die kein ipv6 beherrscht. und somit könnte das internet für viele kunden unbrauchbar werden.

das sieht schon nach weiterer sonderkündigungsmöglichkeit aus.

Mach doch einfach mal einen ipv6 Portscan auf deinen Rechner. Womöglich blockt der UPC Router eingehende Verbindungen per default, dann müsstest du gar nichts machen.

Es kann auch sein das du eingehende Verbindung in Webinterface konfigurieren kannst.

http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php

Windows Firewall ausschalten und einen Scan auf 135/TCP machen, der müsste bei Windows immer offen sein.

Falls eingehene Verbindung wirklich erlaubt sind müsstest du theoretisch aber jedes Gerät, das auf Ports lauscht, per Firewall schützen.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung