On Wednesday 13 June 2012 15:52:07 Heiko Schlittermann wrote:
Konrad Rosenbaum konrad@silmor.de (Mi 13 Jun 2012 14:51:34 CEST):
ULA ist übrigens nicht nur "vorraussichtlich" nicht global erreichbar. Wenn ein ISP das durchläßt dann hat er einen fatalen Fehler gemacht.
Ich meine es derart, daß es kein verläßliches Ding ist, sich auf die ULA zu verlassen und dann zu meinen, man ist nicht erreichbar. Ähnlich, wie auf NAT sich keine Sicherheit aufbauen läßt.
Stimmt auffallend. Als Client kannst Du nie wissen bis wo hin eine Nachricht mit ULA-Absender/-Empfänger gehen kann. Die Reichweite definiert der Netzwerk- Admin. ULA ist ja explizit so gebaut dass es (mit hoher Wahrscheinlichkeit) problemlos möglich ist zwei ULA-Netze zusammenzuschalten ohne neu nummerieren zu müssen (z.B. nachdem zwei Firmen fusioniert sind).
Und zusätzlich kann ja auch dem DHCP-Server niemand verbieten, die Adresse zusätzlich auch als AAAA in der Domain der aktuellen Site einzutragen. Für den PTR-Records ist der DHCP-Betreiber aber sehr wahrscheinlich in jedem Falle zuständig.
Und woher soll der DHCPv6-Server wissen wo der PTR hinzeigen soll? Angenommen ich bin in einem Fremdnetz und bekomme per DHCP eine Adresse zugewiesen, dann schicke ich meinem DNS-Server zu Hause einen AAAA mit Adresse und meinem normalen Heim-FQDN. Der DHCPv6-Server kennt aber nur meine Adresse, meine MAC und meine DUID - er hat keine Chance einen sinnvollen PTR zu konstruieren.
Dein DHCPv6-Client kann(!) dem DHCPv6-Server seinen fqdn mitteilen. (Option fqdn.fqdn in der Konfiguration des ISC DHCP-Clients.)
Hmm. Stimmt auch. Hatte ich nicht beachtet, weil meine eigene DHCPv6- Implementation das nicht kann (die kann eigentlich nur PD und minimales IA).
Wahrscheinlicher ist sogar dass ich im Fremdnetz nur SLAAC und kein DHCP mache - wenn der Router also nicht aktiv alle ICMP-Nachrichten mitsnifft, dann hat er keine Ahnung wer ich bin (RS/RA tauscht nur die Net-ID aus, die Host-ID ist erst in der DAD zu sehen - man weiß ja nicht ob ich die EUI-64 oder Privacy Extension benutze).
Wenn Du nur SLAAC machst, dann steht es Dir frei, Dir einen AAAA-Record irgendwo einzutragen, und der Admin des Netzes, wo Du bist, hat eben Pech.
Bei DHCP genauso. Die FQDN-Option würde ich nur setzen, wenn ich mir etwas davon verspreche - falls sich das in 10 Jahren als Mechanismus für PTR-Records durchsetzen sollte, dann vielleicht...
Im Augenblick sehe ich sowieso nur zwei vollkommen legitime Anwendungsfälle für DHCPv6: Prefix Delegation vom ISP zum Kunden und PD innerhalb eines großen Firmennetzes. Alles andere ist "Spielerei", da Net-ID (und damit dynamische Adressierung) und DNS-Server bereits per SLAAC kommen - die Arbeit mit DHCP im LAN kann ich mir also sparen.
Das Sniffen wird ihm nichts nutzen, da Du in den ICMPv6-Messages Deinen Hostnamen/FQDN nicht verraten wirst.
Stimmt.
ICMPv6-Node-Info wird von Linuxen nicht nativ unterstützt, es gibt wohl einen Daemon, aber ob der installiert ist?
Bei mir bestimmt nicht. So aus Neugier: fällt Dir irgendwas ein wo man NI tatsächlich einsetzen will? Mir nicht.
Konrad