Beste manier om een homeserver een vast IPv6 adres te geven?

Hoe krijgt je router een adres? Static? Of via DHCP/pd?

Ziggo werkt met pd.

Nu kan ik dat in de router doen (Set Static voor het huidige adres) of ik kan een manual IPv6 adres aanmaken.

Zetten van iets als een static lease op de router is "IPv4 denken" toepassen op IPv6.
Manueel kan en is een prima oplossing, aleen wel relatief arbeidsintensief.

IPv6 auto configuratie, in vorm van SLAAC, werkt van nature al met een vast adres. Die techniek heet EUI64. De eerste vier "octetten" of subset daar van, de linker helft van het IPv6 adres komt van je netwerk assignment en die krijg je van de provider (jouw stukje netwerk in IPv6 space). En het rechter deel van je adres is het deel van de host en dat is waar jij invloed op kunt uitoefenen.
SLAAC in EUI64 mode genereert dat rechterdeel op basis van het MAC adres van de netwerkadapter. Daar komt altijd hetzelfde adres uit zolang de netwerkadapter (of de MAC) hetzelfde blijft. Privacy-technisch heeft dat echter gevolgen en daarom zijn er aanvullingen gemaakt zoals de Privacy Extensions. Die staan op menig OS standaard aan, om goede reden. Maar die zorgen er voor dat je naast of in plaats van dat statisch adres tijdelijke pseudo-random adressen krijgt op je apparaat. Prima voor een client, maar minder voor een server.

Voor een server kies je daarom of voor manueel configureren van het adres of uitschakelen van die privacy extensions en kiezen voor SLAAC in EUI64 mode. Fijne van kiezen voor EUI64 is dat andere aspecten van de SLAAC (stateless address auto configuration) keurig blijven werken, zoals local addresses en router advertisements. Kan wel eens handig zijn.

Je geeft helaas niet aan welk OS je server gebruikt. Maar ga na of je IPv6 address configuration mode op 'eui64' kunt zetten. Of schakel de privacy extensions uit. Hoe verschilt per OS

Ultraman schreef op donderdag 30 juni 2022 @ 00:36:
[...]

Die staan op menig OS standaard aan, om goede reden.

Even ter verduidelijking: die reden heeft te maken met het kunnen volgen van een (mobiel) apparaat die met meerdere netwerken verbindt. Dat is dus uitermate relevant bij mobieltjes en laptops, maar totaal niet bij een server die continu in zelfde netwerk hangt. Dus je kunt veiling de privacy extensions uitzetten hier, mochten ze aan staan.

Even een site step.
Bedenk wel dat als je IPV6 gaat gebruiken, je geen NAT meer hebt en potentieel iedereen vanaf het internet bij al je devices kan komen.

NAT functioneert min of meer als een "Deny ALL" firewall voor alles vanaf het internet en die functionaliteit ben je met IPV6 kwijt.
Verstandig is om dus die NAT functie te vervangen door een firewall met een "Deny All" rule vanaf het internet.

Gelukkig kan OpenWrt dat maar je moet dat wel zelf configureren.

martdj schreef op donderdag 30 juni 2022 @ 09:54:
[...]

@Ben(V) Daar ben ik me bewust van. Standaard staat in de firewall op OpenWRT WAN - LAN dicht. Ik zal daar echter wel wat moeten gaan doen, want poort 443 moet natuurlijk wel door. Ik moet nog uitzoeken wat ik daar precies moet instellen

Let op dat v4 en v6 firewalls geheel los van elkaar staan, dus het moet expliciet ook op v6 volledig dicht staan met deny-all.

Toevallig gisteren met exact zelfde bezig geweest op m'n Mikrotik router. IPv6 geactiveerd en geconstateerd dat hoewel er een default deny-all rule in de firewall zit met v6 bij Mikrotik, je die alleen krijgt na factory reset, niet bij installatie pakket. Dus handmatig moeten doen.

OpenWRT is andere koek dan MIkrotik, maar beide zijn onder motorkap exact zelfde Linux firewall, dus het controleren waard.

Verder zul je die WAN-LAN block uit moeten zetten en een rule moeten maken dat verkeer naar poort 443 doorlaat en daarachter een "Deny All" rule opnemen.

De rules van een firewall worden van boven naar beneden afgewerkt dus zo'n "DENY ALL" rule als laatste is je vangnet om alles wat je niet zelf expliciet doorlaat tegen te houden.

@Ben(V) De default firewall in openwrt voor ipv6 is niet deny-all met connection tracking?
Dat is riskant...

Ik heb geen kennis van OpenWrt, maar bedoel je te zeggen dat de default van OpenWrt niet zoals @martdj zegt het blokkeren van al Wan-Lan verkeer is?

martdj schreef op donderdag 30 juni 2022 @ 10:06:
Ik zie in mijn serverconfiguratie de volgende regels staan:
net.ipv6.conf.all.use_tempaddr = 0
net.ipv6.conf.br0.use_tempaddr = 0
net.ipv6.conf.default.use_tempaddr = 0
Volgens mij betekent dat, dat de privacy extensions standaard uitstaan en dat mijn IPv6 adressen al constant zijn.

Ik heb 5 inet adressen:
2 die beginnen met fd64
1 die begint met fe80
2 die beginnen met mijn Prefix (2001:1C00 etc).
Ik neem aan dat ik zowel binnen mijn lan als vanaf internet naar de laatsten moet routeren. Ik vraag me wel af wat het verschil is. 1 eindigt op :6778/64. De andere op ::c3e/128

Je gaat hier eigenlijk al meteen allerlei tunables in. Maar nergens zie ik eui64 gekozen worden.

Op CentOS 8 Stream verkrijg je default je networking via NetworkManager. De connectieprofielen hebben de optie addr-gen-mode. Die op eui64 zetten. Herverbinden van die connectie en je zou een voorspelbaar IPv6 adres moeten hebben. Daarna zou je met tunables eventueel nog zaken uit kunnen zetten naar behoefte.

martdj schreef op donderdag 30 juni 2022 @ 12:17:
Ik denk dat jullie gelijk hebben. Ik kan op afstand mijn server pingen via zijn IPv6 adres. Dat had ik niet verwacht

Dat is ping. Die is standaard allowed in de regel Allow-ICMPv6-Forward. De TCP- en UDP poorten zijn standaard dicht.

dion_b schreef op donderdag 30 juni 2022 @ 01:16:
Even ter verduidelijking: die reden heeft te maken met het kunnen volgen van een (mobiel) apparaat die met meerdere netwerken verbindt. Dat is dus uitermate relevant bij mobieltjes en laptops, maar totaal niet bij een server die continu in zelfde netwerk hangt. Dus je kunt veiling de privacy extensions uitzetten hier, mochten ze aan staan.

Niet helemaal waar, bewijst dit paper:

"we notice that a single device at home that encodes its MAC address into the IPv6 address can be utilized as a tracking identifier for the entire end-user prefix—even if other devices use IPv6 privacy extensions"

Dat gezegd hebbende, veel OS'en kunnen een EUI64-gebaseerd adres nemen en daarnaast privacy extensions-adressen gebruiken voor uitgaande connecties; mogelijk kan je Synology dat ook. Is mDNS geen optie? smb://synology.local./ ?

LanTao schreef op donderdag 30 juni 2022 @ 22:29:
[...]

Niet helemaal waar, bewijst dit paper:

"we notice that a single device at home that encodes its MAC address into the IPv6 address can be utilized as a tracking identifier for the entire end-user prefix—even if other devices use IPv6 privacy extensions"

Mwoeah, de auteurs gaan ervan uit dat de ISP regelmatige prefix rotation toe zou passen om privacy te borgen. Dat is exact wat gebruikers niet willen en naar mijn weten ook niet (in NL) gebeurt - een v6 prefix is even dynamisch als een publiek v4 adres vanuit ISP: bij werkzaamheden of na langdurige (>lease time) downtime kan het veranderen, maar verder blijft het stabiel. Dan is verschil wel/geen EUI64 MAC-based adres irrelevant, die vorm van tracking kan hoe dan ook plaatsvinden als er geen prefix rotation plaats vindt.

Dat gezegd hebbende, veel OS'en kunnen een EUI64-gebaseerd adres nemen en daarnaast privacy extensions-adressen gebruiken voor uitgaande connecties; mogelijk kan je Synology dat ook. Is mDNS geen optie? smb://synology.local./ ?

Sterker nog, dat is meestal de regel. Mijn (zelfbouw, Ubuntu) Linux server doet het in ieder geval out-of-the-box: MAC-based EUI64 en privacy-adressen ernaast. Als je MAC-based gebruikt voor binnenkomende verbindingen.

dion_b schreef op donderdag 30 juni 2022 @ 22:40:
Mwoeah, de auteurs gaan ervan uit dat de ISP regelmatige prefix rotation toe zou passen om privacy te borgen. Dat is exact wat gebruikers niet willen en naar mijn weten ook niet (in NL) gebeurt - een v6 prefix is even dynamisch als een publiek v4 adres vanuit ISP: bij werkzaamheden of na langdurige (>lease time) downtime kan het veranderen, maar verder blijft het stabiel.

Dat klopt, in de afgelopen twee decennia heb ik thuis drie keer v6-adressen gekregen: de eerste keer als experimentele tunnelservice van XS4ALL, daarna native van XS4ALL, en nu native van KPN.

Ik heb het nagevraagd bij een inwoner van onze oosterburen; Deutsche Telekom geeft je een andere /56 telkens als je je CPE herstart; van KabelDeutschland/Vodafone krijg je zelfs elke 24 uur een andere /62, hoewel mogelijk niet in al hun servicegebieden. Dus er zijn grote verschillen tussen landen.

Bovendien eist de "data protection officer" van de meeste Duitse deelstaten dat vanwege de privacy IP-adressen elke 24 uur veranderen; Deutsche Telekom stelt dat hun CPE's elke dag een andere /64 assignen uit de /56 die je van ze krijgt om aan die voorwaarde te voldoen.