IPv6 Netze fe80: versus fd00: & wie kann man die LAN Adressen scannen?

[FritzS]

Im LAN ist der Router so konfiguriert, dass er auch IPv6 fd00: Adressen permanent vergibt.
Mit ifconfig sehe ich dass z.B. en0 sowohl
inet6 fe80: .....
inet6 fd00: .....
inet6 2001: ..... (das offizielle Netz vom Provider)
zugeteilt bekommt.
IP Scan App zeigt mir nur die IPv6 fe80: .... Adressen an, die man aber mit
ping6 nicht pingen kann, kommt die Fehlermeldung 'ping6: sendmsg: No route to host'
Nur die eigene IPv6 Adresse lässt sich am Mac pingen.

Leider zeigt IP Scan die zugewiesene IPv6 Adresse fb00: ... nicht an.
Wie kann ich mein LAN Netz nach den zugewiesenen inet6 fd00: ..... und inet6 2001: ..... Adressen scannen?
Klar inet6 2001: ..... dieses Netz ändert sich öfters.

....

Nachtrag

IPv6-Facts: Was ist eine fe80-Adresse für IPv6? - IPv6-Handbuch.DE

IPv6 Kurs Teil 2: Stabile IPv6-Adressen im lokalen Netzwerk | Robert Arnolds Blog

 

[Wuchtbrumme]

zugeteilt bekommt.

da wird nichts zugeteilt

IP Scan App zeigt mir nur die IPv6 fe80: .... Adressen an, die man aber mit
ping6 nicht pingen kann, kommt die Fehlermeldung 'ping6: sendmsg: No route to host'

Du versuchst, nicht-routable IP-Adressen zu routen

 

[FritzS]

da wird nichts zugeteilt

Warum nicht (im weiteren Sinne) zugeteilt?
fe80: .... besteht aus fe:80 und der Mac Adresse des jeweiligen Netz Ports

fd00: ..... wird von der Fritz!Box zugeteilt

IPv6 Kurs Teil 2: Stabile IPv6-Adressen im lokalen Netzwerk | Robert Arnolds Blog

.......

Um lokal ein festes IPv6-Präfix zu haben bietet die FritzBox die Möglichkeit, zusätzlich zur öffentlichen IPv6 die angeschlossenen Rechner mit einem IPv6-Subnetz zu versorgen, das immer gleich ist und nicht ins Internet geroutet wird. Dazu muss auf der Web-Oberfläche der Fritzbox unter „/Internet/Zugangsdaten/IPv6“ im Abschnitt „Unique Local Addresses“ die Option „Unique Local Addresses (ULA) immer zuweisen“ wählen, dann erhalten alle ipv6 Rechner immer eine FD00:z:MAC-Adresse.

........

Du versuchst, nicht-routable IP-Adressen zu routen

Warum routen? Ich pinge bei fe80: ..... ja nur an was die App IP Scan.app auch findet

Nachtrag:
Wenn bei der von der App IP Scan.app gefundenen fe80: .... Adresse fe80: durch fd00: ersetzt funktioniert ping.
Das mit der Ergänzung durch die Hardware/Mac Adresse funktioniert zumindest am Mac nicht, bei der Fritz!Box, den Drucker, etc. passts.

 

[Wuchtbrumme]

Warum nicht (im weiteren Sinne) zugeteilt?

weil sofern Du nicht dhcpv6 aufgesetzt hast, Stateless Address Autoconfiguration (SLAAC) zur Anwendung kommt

fd00: ..... wird von der Fritz!Box zugeteilt

ULA, das mag sein

fe80:

das ist link-lokal.
Wie genau versuchst Du, zu "pingen"?
Ich habe das gerade mit meinem MBP und dem Mini nachgestellt

ping6  fe80::1442:aec8:xxxx:xxxx%en0
PING6(56=40+8+8 bytes) fe80::1042:84bc:xxxx:xxxx%en0 --> fe80::1442:aec8:xxxx:xxxx%en0
16 bytes from fe80::1442:aec8:xxxx:xxxx%en0, icmp_seq=0 hlim=255 time=16.081 ms

 

[FritzS]

Ich pinge fe80: im lokalen Netz - MacMini, Drucker, Smartphone, fd4040 (dient als WLAN Access Point) hängen alle am selben Switch - zur fb gehts etwas weiter per ETH Kabel auch direkt an dessen LAN Ports.

% ping6 FE80::46D2:.....
PING6(56=40+8+8 bytes) fe80::10dd:a0f6:.....%en0 --> fe80::46d2:.......
ping6: sendmsg: No route to host
ping6: wrote FE80::46D2:..... 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote FE80::46D2:..... 16 chars, ret=-1

Seltsam:

ifconfig ....
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
    options=50b<RXCSUM,TXCSUM,VLAN_HWTAGGING,AV,CHANNEL_IO>
    ether 14:98:.....
    inet6 fe80::10dd:a0f6:....%en0 prefixlen 64 secured scopeid 0x6
    inet6 fd00::1ca7:9521:..... prefixlen 64 autoconf secured

 

[Wuchtbrumme]

die Frage ist doch eigentlich: pingst Du einen Host, der nicht lokal am selben Switch angeschlossen ist?
Ich würde mangels jeglicher sinnvoller Information vermuten, dass das Gerät, das Du pingst, hinter einem Paketfilter hängt.

 

[FritzS]

NEIN! Es gibt da nichts, nur flaches Home LAN (Netgear 8 Port Giga Switch und die Fritz!Box) - oder funkt etwa Little Snitch drein, aber warum dann nur bei fe80: - bei fd00: funktionierts ja!

Ich werds gelegentlich mit meinen alten Macs probieren.

 

[Wuchtbrumme]

funkt etwa Little Snitch drein, aber warum dann nur bei fe80: - bei fd00: funktionierts ja!

ja, die Frage nach Little Snitch hatte ich auch gerade...
Du bist der Administrator, dementsprechend musst Du solche Software auch entsprechend konfigurieren. Wie oben gepostet, fe80...->fe80... geht prinzipiell, sofern L2 am selben Switch.

 

[Marcel Bresink]

aber warum dann nur bei fe80: - bei fd00: funktionierts ja!

Weil die fe80-Adressen nur für Link-Local-Zwecke, vereinfacht gesagt also für anschlussbezogene Dinge verwendet werden, d.h. um zu Beispiel per IPv6 die unmittelbaren Netzwerk-Nachbarn zu finden, die physisch an einem bestimmten Anschluss (z.B. Ethernet) hängen. Dein Computer könnte mit der fe80-Adresse zum Beispiel einen physischen Nachbarn erreichen, ohne dessen MAC-Adresse kennen zu müssen. Er "merkt" sich aber diese Zieladressen nicht, denn schon für irgendeinen anderen Anschluss (z.B. WLAN) hat diese Adresse keine Bedeutung mehr. Theoretisch dürfte es sogar exakt die gleiche fe80-Adresse für einen Nachbarn an dem einen Anschluss und für einen anderen Nachbarn am einem anderen Anschluss geben.

Wenn Du in einer Standardkonfiguration eine reine fe80-Adresse verwendest, "weiß" Dein Computer nicht, was er mit dieser Adresse anfangen soll, denn sie ergibt nur zusammen mit einem bestimmten lokalen Link einen Sinn.

Für ein Ping musst Du in diesem Fall den Anschlussnamen an die Adresse hinzufügen, so wie es Wuchtbrumme oben gemacht hat, z.B.

ping6 fe80::10dd:a0f6:1234:5678%en0

Nur so ist klar, dass diejenigen fe80-Adressen gemeint sind, die die über en0 erreichbaren Geräte gerade untereinander ausgehandelt haben.

 

[FritzS]

ping6 fe80::10dd:a0f6:1234:5678%en0

Jetzt ist alles klar (ping6 funktioniert auch so) - damit sind fe80: Adressen für ein rein lokales Netz unbrauchbar!
Wenn man nun fe80: durch fd00: ersetzt funktioniert es. Ich habe in der Fritz!Box (die für IPv4 als DHCP fungiert) eingestellt, dass fd00: Adressen dauerhaft vergeben werden (1).

Leider kann man das Tool IP Scanner.app nicht auf die Adressräume fd00: und 2001: erweitern!

Kennt ihr solch einen Netzwerkscanner der seriös und nicht zu teuer ist?
Oder gibt es ein Terminal Kommando dafür?

(1) fd00: .... fix vergeben

Pi-Hole – IPv6 und die Fritz!Box - adminForge

Ihr habt Pi-Hole bereits installiert, DNS Anfragen im IPv4-Netz funktionieren und nun sollen auch IPv6-Adressen in eurem Heimnetz gefiltert werden.

adminforge.de

Unter Heimnetz > Heimnetzübersicht > Netzwerkeinstellungen klickt ihr auf IPv6-Adressen. Im ersten Abschnitt wählt ihr Unique Local Addresses (ULA) immer zuweisen aus ......

 

[Wuchtbrumme]

Jetzt ist alles klar (ping6 funktioniert auch so) - damit sind fe80: Adressen für ein rein lokales Netz unbrauchbar!
Wenn man nun fe80: durch fd00: ersetzt funktioniert es. Ich habe in der Fritz!Box (die für IPv4 als DHCP fungiert) eingestellt, dass fd00: Adressen dauerhaft vergeben werden (1).

Leider kann man das Tool IP Scanner.app nicht auf die Adressräume fd00: und 2001: erweitern!

Kennt ihr solch einen Netzwerkscanner der seriös und nicht zu teuer ist?
Oder gibt es ein Terminal Kommando dafür?

(1) fd00: .... fix vergeben

Pi-Hole – IPv6 und die Fritz!Box - adminForge

Ihr habt Pi-Hole bereits installiert, DNS Anfragen im IPv4-Netz funktionieren und nun sollen auch IPv6-Adressen in eurem Heimnetz gefiltert werden.

adminforge.de

Hi,

ich vermute, dass Du eine Fehlwahrnehmung haben könntest, weiss das aber natürlich nicht sicher. Von mir an der Stelle der Hinweis: IPv6 wurde entwickelt, um lokale Netze mit NAT wie bei IPv4 zu ersetzen. Jeder bekommt ein ganzes Subnet bei Einwahl und kann dieses nutzen, um jeden Rechner weltweit eindeutig DIREKT ansprechen zu können.

 

[FritzS]

@Wuchtbrumme
Da liegst falsch! Ich weiß von der weltweit gültigen IPv6 Adresse für JEDES GERÄT ..... ABER wer will schon mit ALLEM aus dem Internet erreichbar sein? Wer will schon mit einer fixen IPv6 Adresse eindeutig identifizierbar sein? Ich nicht.
Zudem ändern Provider bei privaten Internetzugängen des öfteren das zugeteilte IPv6 Netz.

Außerdem gibt es meines Wissen Mechanismen die offizielle IPv6 Adresse öfters zu ändern (oder eine ganze Schar zuweisen zu lassen?) um eine Zuordnung zu einem Rechner, einer Person zu erschweren - Privacy Extensions (IPv6)
Ich muss das mal über längere Zeit beobachten ob Privacy Extensions (IPv6) auf Monterey 12.5 aktiv ist.
Bzw. gibt es da eine Abfrage ob das aktiv oder aus ist?

Aber für interne Zwecke (z.B. interne Server) sind dauerhaft vergebene 'private' IPv6 Adressen notwendig.

Privacy Extensions (IPv6)
https://www.elektronik-kompendium.de/sites/net/1601271.htm

IPv6: Privacy Extensions einschalten - Automatische IPv6-Konfiguration mit Tarnkappe
https://www.heise.de/ct/artikel/IPv6-Privacy-Extensions-einschalten-1204783.html

mehrere IPv6-Adressen auf einem Gerät? Welche tut was?
https://forum.ubuntuusers.de/topic/mehrere-ipv6-adressen-auf-einem-geraet-welche-/

 

[Marcel Bresink]

damit sind fe80: Adressen für ein rein lokales Netz unbrauchbar!

Äh, wie? Alles, was mit fe80 beginnt, sind Adressen eines vorreservierten Subnetzes, das nur für ganz bestimmte Sonderzwecke gedacht ist. Sie sind vergleichbar mit APIPA-Adressen (169.254.) aus IPv4. Ihre zugewiesene Aufgabe erfüllen die Adressen, und für andere Dinge sollen und dürfen sie nicht verwendet werden.

Ich habe in der Fritz!Box (die für IPv4 als DHCP fungiert) eingestellt, dass fd00: Adressen dauerhaft vergeben werden

fc00 und fd00 (genauer: fc00::/7) sind vorreserviert für ULA-Zwecke. Wenn Du aus irgendeinem Grund private lokale Adressen brauchst, kannst Du die natürlich verwenden.

Leider kann man das Tool IP Scanner.app nicht auf die Adressräume fd00: und 2001: erweitern!

IPv6-Adressen zu scannen, ergibt nicht viel Sinn. Was genau willst Du denn mit dem Ergebnis machen?
Jeder Netzwerkanschluss verwendet üblicherweise mindestens 4 IPv6-Adressen für verschiedene Einsatzzwecke, bestimmte davon sind dazu ausgelegt, sich gemäß RFC 4941 aus Datenschutzgründen ständig zu ändern.

"Blindes" Scannen eines kompletten "/16"-Adressraums ist sowieso unmöglich. Wenn Du "2001:" als einen Adressraum ansiehst, enthält dieser 5.192.296.858.534.827.628.530.496.329.220.096 Adressen. Selbst mit einem schnellen Netz würdest Du Trillionen Jahre brauchen, um die zu scannen.

Nachtrag: Dein neuer Beitrag wurde offenbar zeitgleich mit diesem Beitrag gepostet.

Außerdem gibt es meines Wissen Mechanismen die offizielle IPv6 Adresse öfters zu ändern (oder eine ganze Schar zuweisen zu lassen?)

Da hört man mehrere Missverständisse heraus:

Es immer der Normalfall, dass ein Anschluss "ganz viele" IPv6-Adressen hat. Für link-lokale Zwecke, für ULA-Zwecke, für geschützte Anfragen an das Internet und zum Erbringen von öffentlichen Diensten für das Internet, werden jeweils andere Adressen verwendet. Es gibt ja genug davon.

Ich muss das mal über längere Zeit beobachten ob Privacy Extensions (IPv6) auf Monterey 12.5 aktiv ist.

Das ist schon seit vielen, vielen Jahren Standard. Wenn ich mich richtig erinnere, ist es seit Mac OS X 10.7 Lion grundsätzlich eingeschaltet.

 

[FritzS]

......
Nachtrag - dazu gefunden:

IPv6 Privacy Extensions aktivieren https://ifreaky.net/ipv6-privacy-extensions-aktivieren/

Mit dem folgenden Befehl ist es via Terminal machbar:
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
Allerdings muss dieser Befehl nach jedem Reboot wiederholt werden.

Aber trifft das noch für Monterey zu?

Äh, wie? Alles, was mit fe80 beginnt, sind Adressen eines vorreservierten Subnetzes, das nur für ganz bestimmte Sonderzwecke gedacht ist. Sie sind vergleichbar mit APIPA-Adressen (169.254.) aus IPv4. Ihre zugewiesene Aufgabe erfüllen die Adressen, und für andere Dinge sollen und dürfen sie nicht verwendet werden.

fc00 und fd00 (genauer: fc00::/7) sind vorreserviert für ULA-Zwecke. Wenn Du aus irgendeinem Grund private lokale Adressen brauchst, kannst Du die natürlich verwenden.

IPv6-Adressen zu scannen, ergibt nicht viel Sinn. Was genau willst Du denn mit dem Ergebnis machen?
Jeder Netzwerkanschluss verwendet üblicherweise mindestens 4 IPv6-Adressen für verschiedene Einsatzzwecke, bestimmte davon sind dazu ausgelegt, sich gemäß RFC 4941 aus Datenschutzgründen ständig zu ändern.

"Blindes" Scannen eines kompletten "/16"-Adressraums ist sowieso unmöglich. Wenn Du "2001:" als einen Adressraum ansiehst, enthält dieser 5.192.296.858.534.827.628.530.496.329.220.096 Adressen. Selbst mit einem schnellen Netz würdest Du Trillionen Jahre brauchen, um die zu scannen.

UND wie macht das nun das Tool IP Scanner? Vermutlich zuerst mit ARP und/oder IPv4 Abfrage/Scan ......
Ich will nur von einigen Maschinen (vielleicht demnächst ein Raspi als DNSSEC & Pi-Hole) die fixe interne IPv6 Adresse haben um diese bei anderen Geräten eintragen zu können.

fd00: wird von der Fritz Box per default vorgegeben - und zwar für ULA Zwecke - ich habe ULA in der Fritz Box nicht aktiviert. Nur einmal probeweise, dann kam ich nicht ins Internet, sofort wieder deaktiviert. Wollt mich nicht genau damit befassen warum.

Hier (eben gefunden) wirds eh genau beschrieben.
IPv6-Address-Scopes (Gültigkeitsbereiche)
https://www.elektronik-kompendium.de/sites/net/2107111.htm

 

[Marcel Bresink]

Ich will nur von einigen Maschinen (vielleicht demnächst ein Raspi als DNSSEC & Pi-Hole) die fixe interne IPv6 Adresse haben um diese bei anderen Geräten eintragen zu können.

Der Betrieb eines eigenen DNS-Servers kann in der Tat ein sinnvoller Grund sein, auch bei bestehender Internet-Verbindung ULA-Adressen vergeben zu lassen und die ULA-Adresse dieses Servers zu notieren.

Aber "die" feste interne Adresse gibt es bei IPv6 nicht. Wie gesagt verwendet jeder Anschluss ein Sammelsurium aus "auf ewig" festen, für längere Zeit festen, und garantiert nicht für längere Zeit festen Adressen. Um die ULA-Adresse des Servers z.B. auf en0 zu ermitteln, meldest Du Dich bei dem Server an und gibst "ifconfig en0" ein. In der Liste der Adressen suchst Du dann die, die mit "fd" beginnt.

 

[Insulaner]

Hmm,

ich hab mich mit IPv6 längere Zeit nicht mehr beschäftigt.

Aber vor langer langer Zeit die Standardiesierung mal gelernt.
War in Projekten der Standadisierung von IPv6 in den 90ern am Rande involviert.

Man bekommt eigentlich einen IPv6-Raum (einen Prefix) zugewiesen, bei dem dann am Ende die Hardware-Adresse die Eindeutigkeit in der IPv6-Domäne (die man zugewiesen bekommen hat) die Endpunkte eindeutig addressierbar machen.

Das sollte soweit ich mich erinnere eine eindeutige Adresse sein.

Hat sich das in der Praxis nun komplett geändert?

 

[Wuchtbrumme]

Man bekommt eigentlich einen IPv6-Raum (einen Prefix) zugewiesen, bei dem dann am Ende die Hardware-Adresse die Eindeutigkeit in der IPv6-Domäne (die man zugewiesen bekommen hat) die Endpunkte eindeutig addressierbar machen.

Das sollte soweit ich mich erinnere eine eindeutige Adresse sein.

Hat sich das in der Praxis nun komplett geändert?

nein und ja

 

[Marcel Bresink]

Man bekommt eigentlich einen IPv6-Raum (einen Prefix) zugewiesen, bei dem dann am Ende die Hardware-Adresse die Eindeutigkeit in der IPv6-Domäne (die man zugewiesen bekommen hat) die Endpunkte eindeutig addressierbar machen.
Das sollte soweit ich mich erinnere eine eindeutige Adresse sein.

Für den Verwendungszweck, dass auf dieser Netzwerkschnittelle ein dauerhafter Dienst für das Internet angeboten wird, gilt das immer noch.

Für alle anderen Verwendungszwecke wird dieses Verfahren nicht mehr verwendet. Aus der Tatsache, dass sich die Adresse nicht ändert und die Hardware-Adresse abgelesen werden kann, ergeben sich nämlich Datenschutz- und Sicherheitsprobleme. Außerdem hätten die Internet-Provider dann das Vermarktungsproblem, dass Privatleute zu Privattarifen Dienste im Internet anbieten könnten, die sich nicht mehr von denen teurer Profitarife unterscheiden.

Da es genug IPv6-Adressen gibt, erhält jede Schnittstelle nun mehrere IPv6-Adressen und diese werden für unterschiedliche Zwecke eingesetzt. Anfragen ans Internet werden beispielsweise mit einer Adresse gesendet, die sich absichtlich regelmäßig in unvorhersagbarer Weise ändert. Dadurch kann der Computer anonymisiert werden.

 

[FritzS]

Was günstiges WEB Server Hosting betrifft - bisher konnte der Server nur mittels der per Browser mit gelieferten URL unterscheiden, welches WEB da eigentlich gemeint ist. Jetzt ist es durch die Vielzahl der IPv6 Adressen kein Problem und kein wirklicher Kostenfaktor jedem WEB-Space auch eine eigene IPv6 zuzuweisen und diese im DNS eintragen.

 

[Scotch]

Und was hat das mit IPv6 zu tun? Das funktioniert mit IPv4 ja nun nicht anders. Man spart lediglich den Reverse Proxy, wenn man NAT benutzt.