[Fli4l_dev] Erfahrungen mit SSH und IPv6?

Christoph Schulz fli4l at kristov.de
So Aug 14 13:03:44 CEST 2016 

Hallo!

Am Sun, 14 Aug 2016 12:26:56 +0200 schrieb K. Dreier:

> Christoph Schulz schrieb am Sa, 13 August 2016 17:00
>> Aber wenn du deinen Zielrechner nicht einmal anPINGen kannst, dann kann
>> natürlich auch SSH scheitern.
> 
> Für die Nachwelt: das macht Sinn. Und stimmt doch nicht - ob man es
> glaubt oder nicht. Ich kann nach wie vor _nicht_ den Rechner und/oder
> dessen Router via ping6 anpingen (for the record: Router ist einer von
> UPC mit einem Modem im DS-Lite Modus). Aber: SSH auf den remote client
> hinter dem Modem funktioniert, wenn ich die IPv6-Adresse des remote
> clients in Putty verwende (erneut for the record: ohne irgendwelche
> eckigen Klammern und/oder %SCHNITTSTELLE, CIDR usw).

Deswegen schrieb ich "kann". Natürlich kann es sein, dass ICMPv6-Echo-
Anfragen nicht weitergeleitet werden, SSH-Pakete aber schon. Letztlich 
liegt es an den diversen Paketfiltern, die auf dem Weg liegen. Hier 
werden vermutlich Ängste geschürt, dass man mit Hilfe von Echo-Paketen 
Denial-of-Service-Attacken fahren könnte. Dagegen gibt es jedoch 
Hilfsmittel, wie sie z.B. auch der fli4l einsetzt. Generell ICMPv6-Echos 
zu verbieten halte ich für eine schlechte Idee, weil die Möglichkeiten 
der Netzwerk-Diagnose dadurch stark eingeschränkt werden.

> Allerdings: übermütig wie ich war, wollte ich direkt mal einen
> SOCKS-Proxy testen - das ging schief. Mit anderen Worten: ich kann zwar
> mit Putty mit dynmischer Port-Allokation (also Dxxxx) eine v6-Verbindung
> aufbauen, aber wenn ich im Browser diesen dynamischen Port als Proxy
> setze, dann gibt es einen "404" bzw. "does not work". Bin nicht gänzlich
> überrascht, da ich mir vorstellen kann, daß der Browser hier mit dem
> IPv4-IPv6-Mix reichlich Mühe bekommt in dieser Hinsicht. Hat das schon
> mal jemand versucht und, viel interessanter, zum Laufen gebracht?

Ich habe es nicht ausprobiert. Generell sollten aber IPv4/IPv6-
Transitionen via SOCKS gehen, siehe z.B. RFC 3089 (https://tools.ietf.org/
html/rfc3089), wo genau dieses Anwendungsszenario beschrieben wird. 
Vielleicht hat ja nur PuTTY Probleme mit IPv6? Schon mal unter Linux 
OpenSSH als SOCKS-Proxy ausprobiert?


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]

Mehr Informationen über die Mailingliste Fli4l_dev