Beantwoord

Dynamisch IPv6-adres whitelisten?

  • 29 juli 2016
  • 9 reacties
  • 409 keer bekeken

Voor mijn werk moet ik nogal eens inloggen op een beveiligde cloud-server. Omdat er heel veel privacy-gevoelige informatie op die cloud-server staat, is die beveiligd middels o.a. een IP-whitelist (via ferm op Ubuntu, als je het wilt weten). Daardoor is het op dit moment slechts vanuit één fysieke locatie mogelijk om op die server in te loggen. Nu wil ik daar graag mijn thuislocatie aan toevoegen (zodat ik af en toe vanuit huis kan werken), en daar zit het probleem een beetje.
Onze router geeft dynamische IPv6-adressen uit.. De eerste vier groepen zijn wel altijd gelijk; de laatste vier groepen zijn telkens verschillend. Nu is het niet zo'n probleem om een soort wildcard toe te voegen aan de IP-whitelist op ferm, zo van, telkens als die eerste vier groepen kloppen, sta die verbinding dan toe. Echter, ik wil zeker weten dat in dat geval die vier groepen gelinkt zijn aan dit ene netwerk en aan geen enkel ander netwerk. Het is namelijk echt niet de bedoeling dat er vanuit een andere locatie op de cloud-server wordt ingelogd.

In short: behoort één range van IPv6-adressen (waarvan de eerste helft altijd hetzelfde is, en de laatste helft varieert) bij precies één netwerk, of is het mogelijk dat meerdere routers met dezelfde vier groepen beginnen?
icon

Beste antwoord door wjb 1 augustus 2016, 17:30

Nee, zoals ik al aangaf identificeren de eerste 64bits jouw toegangspunt op Internet, jouw Experia Box dus en daarmee dus geen andere.
Bekijk origineel

9 reacties

Reputatie 7
Het klopt dat de eerste 64 bits van het IPv6 jouw toegangspunt op Internet identificeren, jouw Experia Box dus. De laatste 64 bits duiden een apparaat aan op het netwerk achter jouw Experia Box.

bron.

Je kunt dus zo ongeveer elke kubieke millimeter van jouw woning voorzien van een uniek IP adres, maar dat terzijde.
Ok, maar de vraag die ik stelde was precies andersom. Ik begrijp nu dat de eerste 64 bits altijd gelijk zijn voor elk adres in mijn LAN, maar is het (in theorie) mogelijk dat dezelfde eerste 64 bits ook een ander netwerk identificeren?
Reputatie 7
Nee, zoals ik al aangaf identificeren de eerste 64bits jouw toegangspunt op Internet, jouw Experia Box dus en daarmee dus geen andere.
Reputatie 7
Badge +30
(...)
In short: behoort één range van IPv6-adressen (waarvan de eerste helft altijd hetzelfde is, en de laatste helft varieert) bij precies één netwerk, of is het mogelijk dat meerdere routers met dezelfde vier groepen beginnen?

Het antwoord hier op is dus dat de eerste helft (1e 64-bits) altijd hetzelfde zijn. Deze 64-bits representeren de Network Prefix (bestaande uit de Routing Prefix en het Subnet ID). Dit geeft dus aan waar jij Experiabox zich bevindt. Als jij dus in het netwerk achter de Experiabox zit zal de Global Routing Prefix altijd hetzelfde zijn.

(...) maar is het (in theorie) mogelijk dat dezelfde eerste 64 bits ook een ander netwerk identificeren?
Nee. Dit is nu juist de betekenis van de eerste 64-bits: Het netwerk aangeven waarin de host zich bevind.
Reputatie 2
Bij mij heb ik de volgende commando's in de Command Prompt ingevoerd, sinds ik dit gedaan heb... heb ik continue één en het zelfde IPv6 adres en veranderd deze ( ook na reboot ) dus niet.

code:
netsh interface ipv6 set global randomizeidentifiers=disabled
netsh interface ipv6 set privacy state=disabled

Na invoeren in de Command Prompt (CMD), even een reboot


Nu gebruik ik dan een IPv6 tunnel daar KPN bij mij nog altijd geen IPv6 via de V10 levert, maar toen ik de V9 had (met IPv6) kreeg ik ook éénmalig een IPv6 adres toegekend en veranderde deze ook niet tussentijds. Voordeel is dat je dan niet je complete (of deel van je) subnet hoeft toe te voegen en gewoon het IPv6 adres kunt toevoegen aan de whitelist.

In principe echter, zal je IPv6 subnet niet zo snel veranderen, net als het geval is met IPv4. Het toevoegen van je algehele IPv6/64 subnet kan dus op zich ook niet veel kwaad.
Reputatie 2
Badge
Als het goed is krijg je voor ipv6 b.v. een /48 van kpn. Ander kun je thuis geen routed netwerk aanleggen voor bijvoorbeeld een gast- of kinder/quarantaine-netwerk.
Reputatie 7
Als het goed is krijg je voor ipv6 b.v. een /48 van kpn. Ander kun je thuis geen routed netwerk aanleggen voor bijvoorbeeld een gast- of kinder/quarantaine-netwerk.Nee, de IPv6 aansluiting is een /64 aansluiting.
Reputatie 7
Badge +30
Als het goed is krijg je voor ipv6 b.v. een /48 van kpn. Ander kun je thuis geen routed netwerk aanleggen voor bijvoorbeeld een gast- of kinder/quarantaine-netwerk.Nee, de IPv6 aansluiting is een /64 aansluiting.
Volgensmij krijgt elke aansluiting een /48, maar kan de Experiabox alleen /64 uitdelen.

Iets met Prefix Delegation?
Reputatie 7
Als het goed is krijg je voor ipv6 b.v. een /48 van kpn. Ander kun je thuis geen routed netwerk aanleggen voor bijvoorbeeld een gast- of kinder/quarantaine-netwerk.Nee, de IPv6 aansluiting is een /64 aansluiting.
Volgensmij krijgt elke aansluiting een /48, maar kan de Experiabox alleen /64 uitdelen.

Iets met Prefix Delegation?
Klopt inderdaad, KPN deelt /48 uit en aan de LAN zijde wordt /64 gebruikt voor elk subnet. Je kunt wel 65535 subnets opzetten, ik hoop dat dat voldoende is. :8

Reageer