ipv6 address leak

[captaincode]

Wenn ich mit meinem Debian Laptop am Unitymedia (IPv6 only) Anschluss meiner Eltern hänge und per VPN über die Fritzbox zu meinem heimischen Telekom (IPv4) Anschluss connecte, ergibt sich folgendes Szenario:
- Meine IPv4 Adresse ist die des Telekom Anschlusses
- Meine IPv6 Adresse ist jedoch weiterhin die IPv6 des Unitymedia Anschlusses

Das ist natürlich recht unbefriedigend, ich hätte am liebsten genau wie wenn ich von zu Hause aus surfe garkeine IPv6 Adresse. Welcher Weg würde eine effektive Lösung bieten? Das einzige was mir einfällt wäre eine Remote Desktop Verbindung auf einen PC im Netzwerk und dann auf diesem PC arbeiten. Aber das ist natürlich mehr als umständlich.

alternative Notlösung: an der Fritzbox IPv6 aktivieren und so zumindest eine Telekom IPv6 Adresse erhalten?

Freue mich auf eure Tipps, Danke!

[TomL]

Wenn ich mit meinem Debian Laptop am Unitymedia (IPv6 only) Anschluss meiner Eltern hänge und per VPN über die Fritzbox zu meinem heimischen Telekom (IPv4) Anschluss connecte, ergibt sich folgendes Szenario:
- Meine IPv4 Adresse ist die des Telekom Anschlusses
- Meine IPv6 Adresse ist jedoch weiterhin die IPv6 des Unitymedia Anschlusses

Das kann eigentlich nicht sein... wenn Du über den Router Deiner Eltern verbunden bist, bekommt Dein Laptop einen IPv6-ISP-Prefix über das Router-Advertisement des Routers und bildet vermutlich damit und mit Verwendung seiner MAC-Adresse die globale IPv6-Adresse (...wenn die PE deaktiviert sind). Zusätzlich bekommt der Laptop vom Router wohl auch noch eine lokale IPv4 aus dessen DHCP-Range. Wenn diese IP jetzt die gleiche wie zuhause wäre, dann ist das eher ein Zufall, soll heissen, zufällig verwenden beide Router das gleiche Standard-Netz 192.168.* gemäß der üblichen Voreinstellung. Da es bei einem reinen IPv6-Account aber kein IPv4-NAT gibt, ist die IPV4 nur eine lokale Adresse innerhalb des LANs, mit der Du nicht "raus" kommst.

Das ist natürlich recht unbefriedigend, ich hätte am liebsten genau wie wenn ich von zu Hause aus surfe garkeine IPv6 Adresse.

Das wird imho wohl nicht gehen, eben weil der Unitymedia-Anschluss DS-Lite ist, also ein Anschluss, der gar kein IPv4 kann.

alternative Notlösung: an der Fritzbox IPv6 aktivieren und so zumindest eine Telekom IPv6 Adresse erhalten?

Keine Ahnung, wie das mit VPN funktioniert... aber was IPv6 angeht, da verstehe ich sowieso nicht, warum man das deaktivieren sollte.

[mludwig]

Der Tunnel zu deinem Netz zu Hause transportiert ausschließlich IPv4, also wird IPv4-Verkehr ins Internet über den VPN zu deinem Heimischen Anschluss und dort ins Internet geroutet. Im Internet erscheint also die öffentliche IP des heimischen Anschlusses. Da IPv6 nicht durch den Tunnel geht, wird er direkt bei deien Eltern ins Internet geroutet.

In diesem Fall wäre es wohl einfacher, auf deinem Laptop im "Ausland" IPv6 zu deaktivieren. Alternativ müsste ein Tunnel geschaffen werden, der auch IPv6 tunnelt. Ob eine Fritzbox das kann weiß ich nicht.

[mat6937]

Wenn ich mit meinem Debian Laptop am Unitymedia (IPv6 only) Anschluss meiner Eltern hänge und per VPN über die Fritzbox zu meinem heimischen Telekom (IPv4) Anschluss connecte, ...

Was für eine VPN-Verbindung ist das? Mit welcher Software? IPv6 only, wird der UM-Anschluss nicht sein. Da wird IPv4 per DS-lite möglich sein. Mach mal von einem Gerät _deiner Eltern_, z. B. einen v4-traceroute zu einer IP-Adresse im Internet. Z. B.:

Code: Alles auswählen

mtr -4nr -c 2 -i 2 9.9.9.9

(oder gleichwertig).

[TomL]

Da wird IPv4 per DS-lite möglich sein. Mach mal von einem Gerät _deiner Eltern_, z. B. einen v4-traceroute zu einer IP-Adresse im Internet.

Bei UM und DS-Lite gibt es imho keine eigene WAN-IPv4... sondern nur eine private, die nicht aus dem Internet erreicht werden kann. Das ist eine ge'share'te IPv4, für die UM ein Masquerading durchführt. Das Problem ist, diese IPv4 kann durchaus gleichzeitig von mehreren Kunden verwendet werden... da man sie aber nicht von außen erreichen kann und weil UM die Pakete maskiert, ist das wohl kein Problem... anderes gesagt, raus geht (IPv4 in IPv6-Tunnel), rein geht nicht. So hat mir das mal die UM-Technik erklärt... und das war dann ein Grund für mich, dort kein Kunde zu werden.

[mat6937]

Bei UM und DS-Lite gibt es imho keine eigene WAN-IPv4... sondern nur eine private, ...

Ja, ich weiß wie das bei UM ist, denn ich bin UM-Kunde. Ein DS-lite-Anschluss ist kein IPv6-only-Anschluss. VPN (über das Internet) geht auch von einem DS-lite-Anschluss zu einem nativen IPv4-Anschluss.

[TomL]

Ach ja, klar...sorry... ich war in Gedanken wieder auf dem umgekehrten Weg.

[captaincode]

Vielen Dank für eure Antworten.

Also wenn ich am Laptop IPv6 deaktiviere ändert dies am Sachverhalt leider nichts.

Das Traceroute Ergebnis wenn ich am UM Anschluss hänge:

Code: Alles auswählen

HOST: debook             Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.1.1                0.0%     2    1.7   2.9   1.7   4.1   1.4
  2.|-- 81.210.166.6               0.0%     2   14.3  16.6  14.3  19.0   3.3
  3.|-- 81.210.166.5               0.0%     2   22.3  19.3  16.3  22.3   4.1
  4.|-- 84.116.197.42              0.0%     2   21.6  25.2  21.6  28.8   5.0
  5.|-- 84.116.134.6               0.0%     2   20.4  20.8  20.4  21.1   0.0
  6.|-- 80.81.194.42               0.0%     2   46.3  32.9  19.5  46.3  18.9
  7.|-- 9.9.9.9                    0.0%     2   20.5  18.6  16.7  20.5   2.6

Und zum Vergleich wenn ich per VPN zum Telekom Anschluss verbunden bin:

Code: Alles auswählen

HOST: debook           Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 9.9.9.9                    0.0%     2   21.7  20.9  20.0  21.7   1.0

Die VPN Verbindung baue ich per vpnc über den network-manager auf.

PS: Mit IPv6 only wollte ich ausdrücken das es kein richtiger Dual Stack Anschluss ist sondern nur ein DS-LITE Anschluss. Nach meinem Verständnis kann dieser Anschlusstyp keine direkte IPv4 Verbindung ins Inet aufbauen sondern nur über AFTR Gateways

[mat6937]

Also wenn ich am Laptop IPv6 deaktiviere ändert dies am Sachverhalt leider nichts.

Ich denke schon, dass sich da was am "Sachverhalt" ändert. Siehe z. B. mit und ohne aktiviertem IPv6 auf deinem Laptop, die Ausgaben von:

Code: Alles auswählen

ping6 -c 3 2620:0:ccc::2
mtr -6nr -c 2 -i 2 2620:0:ccc::2
dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2
ip a | grep -i inet6
ip -6 r
ip n s

[captaincode]

Ah, da war ich etwas voreilig. Es reicht wohl nicht IPv6 nur im Network-Manager zu deaktivieren

Dieses Workaround funktioniert also, hat dann aber den Nachteil das ich an meinem Laptop immer IPv6 deaktiviert habe. Sofern jemanden noch eine andere Lösung einfällt teste ich diese gerne, ansonsten bis hierhin schon einmal vielen Dank.

PS: Falls sich jemand fragt warum ich dies als Nachteil empfinde. Dadurch wird mein Traffic an einem IPv6 Anschluss ja komplett über die langsamen AFTR Gateways geleitet und nicht nur eine evtl. aktive VPN Verbindung...

[mat6937]

... warum ich dies als Nachteil empfinde. Dadurch wird mein Traffic an einem IPv6 Anschluss ja komplett über die langsamen AFTR Gateways geleitet und nicht nur eine evtl. aktive VPN Verbindung...

Ist das so? ... dass das AFTR-Gateway der Flaschenhals ist? Teste bzw. vergleiche mal mit:

Code: Alles auswählen

wget -6 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz

und

Code: Alles auswählen

wget -4 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz

[habakug]

Hallo,

ja, das ist so.

Code: Alles auswählen

$ wget -6 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz
/dev/null           100%[===================>] 153,59M  22,6MB/s    in 7,1s
$ wget -4 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz
/dev/null           100%[===================>] 153,59M  1,53MB/s    in 1m 40s 

Das IPv4 geht über Kalifornien, IPv6 (hier KD) direkt zu netcologne.

Gruss, habakug

[mat6937]

Das IPv4 geht über Kalifornien,

Hast Du DS-lite bei KD? Ist das natives IPv4 oder IPv4 mit DS-lite (AFTR-gateway), das bei dir über Kalifornien geht?

BTW: Der TE müsste mit dem (zusätzlichen/parallelen) nativen IPv6 (von UM) doch zufrieden sein, denn ich denke das wird schneller sein als sein IPv4 über VPN.

EDIT:

Hier mit nativem IPv4 am 50Mbit/s-Anschluss:

Code: Alles auswählen

:~ $ wget -4 -c -O /dev/null http://mirror.netcologne.de/gentoo/distfiles/Apache_OpenOffice_4.1.4_Linux_x86-64_install-rpm_en-US.tar.gz

/dev/null                      100%[====================================================>] 153.59M  6.45MB/s   in 24s

[captaincode]

Also ich habe es jetzt einmal getestet, der "Umweg" macht bei mir objektiv ca 10% aus, subjektiv nicht zu bermerken. Damit kann ich leben -> Problem gelöst.

Vielen Dank an alle.

[ingo2]

Habe den Thread gerade erst gesehen, kann dir aber meine erprobte Lösung nbur empfehlen.
Die benutzte ich grundsätzlich auf portablen Geräten mit VPN, um IPv6 bei VPN-Nutzung abzuschalten. Das ist sonst natürlich ein toller Bypass und macht den Sinn/die Sicherheit das VPN zunichte:

Script erstellen:
/etc/NetworkManager/dispatcher.d/02noipv6onvpn

Code: Alles auswählen

#!/bin/sh -e
# Script to disable IPv6 during VPN-connections
# Place in /etc/NetworkManager/dispatcher.d/
if [ "$2" = "vpn-up" ]; then
   echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
fi
if [ "$2" = "vpn-down" ]; then
   echo 0 > /proc/sys/net/ipv6/conf/all/disable_ipv6
fi

Die Anregung dazu habe ich übrigens aus der man page http://linux.die.net/man/8/networkmanager

EDIT:
Damit verbinde ich mich dann, wenn ich an fremden Anschlüssen/Hotspots eingelogt bin, mit Zuhause und aller Verkehr läuft sicher über meinen Heimatanschluß. Sogar Telefonieren mit Linphone geht dann unter Nutzung meiner heimischen Festnetz-Flat-Rate.
Testen kann man das schön auf dieser Site: http://whatismyv6.com/

EDIT2:
Wenn du zuhause IPv6 nutzt, brauchst du keine Angst vor Tracking, .. zu haben, schalte einfach die "privacy extensions" ein, die sind dafür:
Systemweit:
Konfigurationsdatei erstellen /etc/sysctl.d/10-ipv6-privacy.conf

Code: Alles auswählen

net.ipv6.conf.all.use_tempaddr = 2		#alle Interfaces
net.ipv6.conf.default.use_tempaddr = 2		#up at boot time

Separat je Verbindung in der entsprechenden Verbindungskonfiguration:
/etc/NetworkManager/system-connections/<deine SSID bzw. Name>

Code: Alles auswählen

[ipv6]
method=ignore
ip6-privacy=2

So, jetzt ist es überkomplett

[bluestar]

Eigentlich müsste es reichen, wenn du auf dem Router deiner Eltern IPv6 für‘s LAN deaktivierst. Ob das mit Unity-Routerhardware möglich ist, kann ich dir jedoch nicht sagen.

Alternativ blockiere mit ip6tables sämtlichen V6-Verkehr mit dem Start der VPN-Verbindung.