IPv6-Präfix 4006:: im Heimnetz
Verfasst: 14.12.2014, 13:55
Hallo zusammen,
ich besitze eine Fritz!Box 6490 von KDG. Mir ist neulich aufgefallen, dass alle meine Clients im Heimnetz neben mindestens einer korrekten 2a02::-Adresse auch viele 4006::-Adressen haben, z.B.:
Die Generierung des Präfix scheint folgendem Schema zu folgen:
4006:xxxx:c0a8:yyyy::/64
Wobei xxxx zufällig gewählt wird und yyyy bei mir konstant auf b224 steht. Bei anderen Usern von Unitymedia habe ich allerdings für yyyy auch schon andere Werte gesehen.
Ich habe den "Fehler" schon AVM mitgeteilt. Hier die Antwort:
"Es liegt kein Fehlverhalten der FRITZ!Box 6490 vor.
Die Fritz!Box 6490 invalidiert die nicht aktuellen/ungültigen Präfixe, d.h.
sie setzt diese intern als ungültig um, also mit einer Lebensdauer von 0.
Die Prefixe richten also nichts an.
Wenn die FRITZ!Box erkennt, das ein Klient IPv6-Traffic ins WAN erzeugt und
dessen Präfix nicht mit dem aktuellen LAN-Präfix der Box übereinstimmt,
wird in den nächsten 3 Router Advertisements dieses Präfix invalidiert
(sofern das Flag "OtherPrefixesAllowed = no;" [1] in der Konfig gesetzt ist
(default ist "no") und in diesem Fall der Fall).
Zum Invalidieren eines Präfixes wird dieses normalerweise mit einer
Preferred Lifetime von "0" im RA (Router Advertisement) gesendet.
Die LAN-Klienten erzeugen aus diesem Präfix eine weitere IPv6 Adresse.
(vergleichbar mit der fd00::/64)
ABER: Blind übernehmen die IPv6-Klienten die "0"-Lifetimes im RA nicht!
Wenn diese eine 0sek./0sek. (valid/preferred) erhalten, machen die
IPv6-Klienten daraus trotzdem 7200s/0s.
Wenn die Valid-Lifetime der Adresse abgelaufen ist (7200sek), verschwindet
sie aus der Liste. Sendet der LAN-Klient weiterhin mit dem ungültigen
Präfix fängt das Spiel erneut an und die Valid-Lifetime des ungültigen
Präfixes wird erneut auf 2 Stunden gesetzt (für alle Klienten).
Weil es bei Windows Vista ein Problem gab, wenn man die Valid-Lifetime mit
"0" gesendet hatte, dass der Klient u.U. keine IPv6 Konnektivität mit einem
gültigen Präfix hatte, sendet FRITZ!Box 7200/0.Aus diesem Grund sendet
FRITZ!box zum Klient nicht 0/0, sondern 7200/0.
Bei Windows kann mit "netsh int ipv6 show addr" die Lifetime einer jeden
Adresse ansehen."
Zusammenfassend passiert wohl folgendes:
Das sollte erstmal nicht so schlimm sein, da eine deprecated Adresse, also eine Adresse die nicht mehr preferred ist, für ausgehende Verbindungen nicht mehr genutzt werden darf.
Das Problem: Das ganze wiederholt sich ständig, da wohl der unbekannte Client sich andauernd neue Präfixe zuteilt.
Hat jemand ebenfalls dieses Problem? Ich bin mit meinem Latein am Ende. Wie finde ich heraus, welcher Client dafür verantwortlich ist? Dankenswerter Weise hat KDG bei der 6490 auch die Capture-Webseite gesperrt. Zumindest komme ich unter fritz.box/capture.lua nicht mehr auf die Webseite...
Marc
ich besitze eine Fritz!Box 6490 von KDG. Mir ist neulich aufgefallen, dass alle meine Clients im Heimnetz neben mindestens einer korrekten 2a02::-Adresse auch viele 4006::-Adressen haben, z.B.:
Code: Alles auswählen
inet6 4006:a500:c0a8:b224:211:32ff:fe31:3645/64 scope global deprecated dynamic
valid_lft 5396sec preferred_lft 0sec
inet6 4006:316e:c0a8:b224:211:32ff:fe31:3645/64 scope global deprecated dynamic
valid_lft 5384sec preferred_lft 0sec
inet6 4006:a004:c0a8:b224:211:32ff:fe31:3645/64 scope global deprecated dynamic
valid_lft 4761sec preferred_lft 0sec
inet6 4006:5010:c0a8:b224:211:32ff:fe31:3645/64 scope global deprecated dynamic
valid_lft 2277sec preferred_lft 0sec
inet6 4006:22f2:c0a8:b224:211:32ff:fe31:3645/64 scope global deprecated dynamic
valid_lft 1257sec preferred_lft 0sec
inet6 4006:5bb4:c0a8:b224:211:32ff:fe31:3645/64 scope global deprecated dynamic
valid_lft 5sec preferred_lft 0sec4006:xxxx:c0a8:yyyy::/64
Wobei xxxx zufällig gewählt wird und yyyy bei mir konstant auf b224 steht. Bei anderen Usern von Unitymedia habe ich allerdings für yyyy auch schon andere Werte gesehen.
Ich habe den "Fehler" schon AVM mitgeteilt. Hier die Antwort:
"Es liegt kein Fehlverhalten der FRITZ!Box 6490 vor.
Die Fritz!Box 6490 invalidiert die nicht aktuellen/ungültigen Präfixe, d.h.
sie setzt diese intern als ungültig um, also mit einer Lebensdauer von 0.
Die Prefixe richten also nichts an.
Wenn die FRITZ!Box erkennt, das ein Klient IPv6-Traffic ins WAN erzeugt und
dessen Präfix nicht mit dem aktuellen LAN-Präfix der Box übereinstimmt,
wird in den nächsten 3 Router Advertisements dieses Präfix invalidiert
(sofern das Flag "OtherPrefixesAllowed = no;" [1] in der Konfig gesetzt ist
(default ist "no") und in diesem Fall der Fall).
Zum Invalidieren eines Präfixes wird dieses normalerweise mit einer
Preferred Lifetime von "0" im RA (Router Advertisement) gesendet.
Die LAN-Klienten erzeugen aus diesem Präfix eine weitere IPv6 Adresse.
(vergleichbar mit der fd00::/64)
ABER: Blind übernehmen die IPv6-Klienten die "0"-Lifetimes im RA nicht!
Wenn diese eine 0sek./0sek. (valid/preferred) erhalten, machen die
IPv6-Klienten daraus trotzdem 7200s/0s.
Wenn die Valid-Lifetime der Adresse abgelaufen ist (7200sek), verschwindet
sie aus der Liste. Sendet der LAN-Klient weiterhin mit dem ungültigen
Präfix fängt das Spiel erneut an und die Valid-Lifetime des ungültigen
Präfixes wird erneut auf 2 Stunden gesetzt (für alle Klienten).
Weil es bei Windows Vista ein Problem gab, wenn man die Valid-Lifetime mit
"0" gesendet hatte, dass der Klient u.U. keine IPv6 Konnektivität mit einem
gültigen Präfix hatte, sendet FRITZ!Box 7200/0.Aus diesem Grund sendet
FRITZ!box zum Klient nicht 0/0, sondern 7200/0.
Bei Windows kann mit "netsh int ipv6 show addr" die Lifetime einer jeden
Adresse ansehen."
Zusammenfassend passiert wohl folgendes:
- Ein unbekannter Client im Heimnetz versucht mit einem (selbst gewählten) 4006er-Präfix ins Internet zu gelangen.
- Die Fritz!Box erkennt, dass der Präfix in dem Heimnetz nicht zulässig ist.
- Die Fritz!Box schickt in den nächsten 3 Router Advertisments genau diesen Präfix mit einer Preferred Lifetime von 0 und einer Valid Lifetime von 7200 Sekunden ins Heimnetz. Dies ist fast(*) genau das vorgehen um eine Präfix im Heimnetz zu invalidieren.
- Alle Clients tragen diesen Präfix mit der Preferred Lifetime von 0 und der Valid Lifetime von 7200 in ihre Adresstabellen ein und generieren sich daraus wie üblich (aus der MAC-Adresse oder zufällig) eine eigene IPv6-Adresse.
- Diese Adresse bleibt 7200 Sekunden (2 Stunden) mit dem Hinweis "deprecated" auf den jeweiligen Clients bestehen.
Das sollte erstmal nicht so schlimm sein, da eine deprecated Adresse, also eine Adresse die nicht mehr preferred ist, für ausgehende Verbindungen nicht mehr genutzt werden darf.
Das Problem: Das ganze wiederholt sich ständig, da wohl der unbekannte Client sich andauernd neue Präfixe zuteilt.
Hat jemand ebenfalls dieses Problem? Ich bin mit meinem Latein am Ende. Wie finde ich heraus, welcher Client dafür verantwortlich ist? Dankenswerter Weise hat KDG bei der 6490 auch die Capture-Webseite gesperrt. Zumindest komme ich unter fritz.box/capture.lua nicht mehr auf die Webseite...
Marc