UniFi Netzwerk - IPv6 aktivieren sinnvoll?

Kann ja erst seit relativ kurzer Zeit mitreden (UDM-Pro), aber ich habe IPv6 seit Anfang an aktiviert und keine Probleme.

Zitat von jensche

• Läuft IPv6 bei euch stabil im Alltag?
• Wie handhabt ihr die Firewall-Regeln bei mehreren VLANs?
• Gibt es konkrete Vorteile, die ihr wirklich im Alltag merkt?
• Nutzt ihr WireGuard oder Site-to-Site-Verbindungen über IPv6?
• Würdet ihr IPv6 heute für private oder kleine Business-Netzwerke empfehlen?

Der Reihe nach:

• Ja, absolut. In meinem Kernnetz läuft Pi-Hole mit IPv4 und IPv6 sowie Unbound als Resolver im Hyper Local Mode. Habe kein Problem damit.
  In meinem IoT VLAN habe ich auf meinem Proxmox eine separate Instanz von AdGuard Home laufen, auch mit Unbound. In meinem IoT Netz habe ich IPv6 bewusst deaktiviert und nutze nur IPv4.
• Bei den Standard (Built-In) Regeln gehe ich davon aus, dass die für IPv4 als auch v6 gelten. Für die individuellen Regeln kannst ja und bzw. oder wählen. Ich habe grundsätzlich alle Regeln für beide aktiviert.
• Nicht wirklich, wobei es oft heißt, dass manche Seite (z.B. YouTube) IPv6 mittlerweile bevorzugt nehmen und deshalb eventuell auch etwas schneller reagieren (Stichwort Latenz). Würde sagen, dass man das im Alltag nicht merkt/braucht. Ob es mittlerweile Winkel im Internet gibt, die man ohne IPv6 nicht erreicht glaube ich nicht... d.h. wo man mit IPv4 only nicht weiter kommt.
• S2S VPN habe ich zur FRTIZ!Box 5590 Fiber mit IPsec, allerdings IPv4 only.
  WireGuard VPN mit den Clients scheint nur über IPv4 zu funktionieren. Wenn ich mit meinem iPhone unterwegs bin und WireGuard VPN zur Dream Machine aktiv ist, dann bekomme ich keine IPv6 Verbindung.
• Kann ich nicht eindeutig sagen. Für mich privat ist IPv6 keine zwingende Voraussetzung, allerdings ist es die Zukunft und ich möchte nicht darauf verzichte. Zum Glück habe ich dank Telekom Dual Stack die Wahl, manche haben mit DSlite garkeine Wahl und müssen IPv6 nehmen.

Zitat von senderversteller

Zum Glück habe ich dank Telekom Dual Stack die Wahl, manche haben mit DSlite garkeine Wahl und müssen IPv6 nehmen.

Aber die Telekom (oder andere Anbieter) haben doch mit lokalen Netzwerk zuhause nichts zu tun?

Nachtrag/Vorschlag: Wie wäre es, wenn wir uns mal auf einen virtuellen UniFi "Stammtisch" zum Erfahrungsaustausch (z.B. per Facetime) treffen? Einige Mitglieder hier sind ja im Ubiquity Universum unterwegs. Hatte schon mal eine Session mit djiwondee das hat Spaß gemacht.

PS: Ggf. mal den Threadtitel konkretisieren, z.B. "UniFi Gateways IPv6 aktivieren sinnvoll?" Andy

Zitat von Andy

Aber die Telekom (oder andere Anbieter) haben doch mit lokalen Netzwerk zuhause nichts zu tun?

Ja, das ist schon richtig. Aber wenn man grundsätzlich mit IPv6 nicht zurecht kommt oder nicht warm wird, hat man keine Chance drum rum zu kommen, wenn der ISP nur eine v6 Adresse zuweist.

Zitat von senderversteller

Wie wäre es, wenn wir uns mal auf einen virtuellen UniFi "Stammtisch" zum Erfahrungsaustausch (z.B. per Facetime) treffen?

Da ich noch immer nichts gekauft und weiter geplant habe - würde ich mir das aber mal ansehen.

Dein Angebot, es mir live vor Ort anzusehen, steht ja noch. Muss nur noch den Tag finden, der passt.

Zitat von jensche

Danke für eure Erfahrungen und Einschätzungen

Kommt halt drauf an, was Du erreichen willst. Aber grundsätzlich würde ich sagen: für ein typisches Heimnetz eher optional als notwendig. Bei mir gibt es wenig Clients (bspw. Apple-Geräte), die IPV6 überhaupt beherrschen.

Daher ist bei mir IPv6 auf meiner UDM Pro aktuell auch nicht aktiv konfiguriert. Will sagen, habe nichts spezifisch dazu eingestellt – ich hab bewusst darauf verzichtet, weil mein internes Netz komplett auf IPv4 (192.168.x.x) läuft und ich da keine Notwendigkeit gesehen hab, das umzustellen.

Der wichtige Unterschied wäre wohl, dass sich im internen Netz durch IPv6 erstmal wenig ändert – private Adressen (fc00::/7 oder link-local fe80::) funktionieren ähnlich wie vermutlich in Deinem aktuellen RFC1918-Schema. Spannend wird's eher Richtung WAN / öffentliche Erreichbarkeit. Mit IPv6 bekommt jedes Gerät potenziell eine global routbare Adresse, was NAT überflüssig macht aber, wie Du ja anmerktest, eben auch bedeutet, dass Firewall-Regeln kritisch werden, weil der NAT-"Schutzeffekt" wegfällt. Ich hatte mal "versehentlich" meinen pi-hole DNS-Service öffentlich freigegeben. Ca. 24 Std. später kam eine Email von meinem Provider, ich hätte gefährdete Dienste-Ports offen:

Zitat

Wir wurden vom CERT-Bund auf ein mögliches Sicherheitsproblem aufmerksam gemacht, das von einem an Ihrem Glasfaseranschluss angeschlossenen Endgerät ausgeht. CERT-Bund ist das Computer-Notfallteam (Computer Emergency Response Team) der Bundesverwaltung und fungiert als nationales CERT für Deutschland. Informationen werden automatisiert ausgewertet und anhand der IP-Adressen betroffener Systeme dem jeweils zuständigen Provider zugeordnet. Dieser ist angehalten, seine betroffenen Kunden entsprechend zu informieren.

Offene DNS-Resolver werden täglich zur Durchführung von
DDoS-Reflection/Amplification-Angriffen gegen IT-Systeme Dritter
missbraucht.

Im Anhang senden wir Ihnen eine Liste offener DNS-Resolver in
Ihrem Netzbereich, welche für DDoS-Angriffe missbraucht werden können,
sofern keine Gegenmaßnahmen wie Rate-Limiting implementiert wurden.
Der Zeitstempel (Zeitzone UTC) gibt an, wann der jeweilige offene
DNS-Resolver identifiziert wurde.

Wir möchten Sie bitten zu prüfen, ob die offenen Resolver in Ihrem
Netzbereich beabsichtigt als solche konfiguriert sind und falls ja,
ob entsprechende Schutzmaßnahmen zur Verhinderung des Missbrauchs
der Server für DDoS-Reflection-Angriffe implementiert wurden.

Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.

Weitere Informationen vom CERT zu diesem und anderen Sicherheitsvorfällen finden Sie hier: BSI Sicherheitsvorfälle oder auf Nachfrage beim BSI:

Erreichbarkeit: Montag bis Freitag von 08:00-18:00 Uhr
Telefon: 0800 274 1000 (kostenlos aus dem deutschen Fest- und Mobilfunknetz)
Fax: +49 228 99 10 9582 82 82
E-Mail: service-center@bsi.bund.de

Alles anzeigen

Für ein reines Heimnetz ohne Bedarf an direkter IPv6-Erreichbarkeit von außen würde ich es erstmal nicht anfassen, solange's nicht ein ISP-seitiges Muss ist.

In der Standardeinstellung ist bei Aktivierung von IPv6 in der UDM nicht automatisch jedes Gerät über seine Adresse, bestehend aus globalem Präfix und lokaler Interface Identifier erreichbar/exponiert. Die Firewall blockiert eingehende neue Verbindungen. Auf bestehende Verbindungen darf geantwortet werden.

Bedeutet, dass die Aktivierung erstmal problemlos möglich ist und man keine Angst haben muss, dass plötzlich alles offen steht wie ein Scheunentor. Aber man hat natürlich mehr Fallstricke Firewall Regeln falsch zu machen, weil der systembedingte „NAT Schutz“ von IPv4 bei IPv6 technisch nur über Firewall funktioniert.

Als Vorteile würde ich schon sehen, dass es teilweise schnellere und bevorzugtere Verbindungen herstellt, besonders bei großen CDN Providern gibt, weil moderneres Routing und weniger NAT stattfindet. Je mehr Menschen sich bewusst gegen die Nutzung entscheiden umso länger dauert es, bis IPv6 tatsächlich breit durchsetzt.

Zitat von senderversteller

Je mehr Menschen sich bewusst gegen die Nutzung entscheiden umso länger dauert es, bis IPv6 tatsächlich breit durchsetzt

Ist ein Argument! Wird genau auch damit des Öfteren begründet, dass IPv6 sich nicht dominierend durchsetzt. Wie gesagt, im privaten Heimnetz gibt halt noch Client (IoT/Smarthome Gadjets), die IPv6 Hardware-seitig halt können.

Und dann komme ich und greife auf meine Geräte im Browser mit der IPv4-Adresse zu…

Da die IPv6 wäre ja wie die IBAN 😅.