PDA

Bekijk Volledige Versie : Dual stack IPv6 probleem



Yourwebhoster
11/02/13, 08:06
Als ik op een dual stack lijn zit dan pakt Chrome en firefox random (of volgens een algoritme) IPv4 of IPv6. Bepaalde systemen zijn IP based en zodra ik van IP adres verander moet ik opnieuw inloggen. Heeft iemand hier een oplossing voor? Ik kan bij Chrome niks vinden om IPv6 te "forceren".

Ik werk met OS X 10.8.2.

NederHost
11/02/13, 08:47
In oudere versies van OS X zat een bug in de resolver waardoor AAAA-records geen voorkeur hadden boven A-records. Tegenwoordig implementeert Apple schijnbaar RFC 6555 (Happy Eyeballs) waardoor IPv6 niet perse de voorkeur krijgt boven IPv4. Voor zover ik weet is dit gedrag niet te veranderen in OS X of in de browsers (je zou hooguit IPv4 kunnen forceren door IPv6 uit te schakelen op OS-niveau of in Chrome).

Overigens krijg je, zelfs als je erin slaagt IPv6 te forceren, ook te maken met IPv6 privacy extensions. Hiermee krijg je regelmatig een nieuw IPv6-adres waardoor je sessie ook niet meer 'geldig' zal zijn. Oplossingen voor dat probleem zijn het binden van een sessie aan een heel netwerk (dus de heel /64, niet perse veilig afhankelijk van het netwerk waar je op zit) of, op de clientkant, het uitschakelen van privacy extensions:

sudo sysctl -w net.inet6.ip6.use_tempaddr=0

Yourwebhoster
11/02/13, 09:17
In oudere versies van OS X zat een bug in de resolver waardoor AAAA-records geen voorkeur hadden boven A-records. Tegenwoordig implementeert Apple schijnbaar RFC 6555 (Happy Eyeballs) waardoor IPv6 niet perse de voorkeur krijgt boven IPv4. Voor zover ik weet is dit gedrag niet te veranderen in OS X of in de browsers (je zou hooguit IPv4 kunnen forceren door IPv6 uit te schakelen op OS-niveau of in Chrome).

Dat is even een tegenvaller:(



Overigens krijg je, zelfs als je erin slaagt IPv6 te forceren, ook te maken met IPv6 privacy extensions. Hiermee krijg je regelmatig een nieuw IPv6-adres waardoor je sessie ook niet meer 'geldig' zal zijn. Oplossingen voor dat probleem zijn het binden van een sessie aan een heel netwerk (dus de heel /64, niet perse veilig afhankelijk van het netwerk waar je op zit) of, op de clientkant, het uitschakelen van privacy extensions:

sudo sysctl -w net.inet6.ip6.use_tempaddr=0
Ik heb reeds een static IP ingesteld om dit te voorkomen, maar de bovenstaande commando lost dit dus ook op?

Exsilia
11/02/13, 11:21
Dat sysctl commando zorgt dat de machine geen "willekeurig" IPv6-adres pakt.

Normaal gesproken krijg je een IPv6 adres dat onder andere bestaat uit je MAC adres. Dat heeft enige risico's als het op privacy aan komt. Omdat een MAC-adres redelijk uniek is, zou je een computer kunnen herkennen aan zijn MAC adres dat "verborgen" zit in het IPv6 adres. Dus, als jij op een universiteit Interet met je laptop zal het MAC-deel van je IPv6-adres identiek zijn aan het MAC-deel van je IPv6-adres dat je op een andere locatie krijgt. Zo kan bv. Google zien dat je achter dezelfde laptop zit ookal zit je op een compleet andere locatie.

Om dat te voorkomen is er een optie Privacy Extensions. Dat randomiseert dat MAC-gedeelte van het IPv6-adres (je daadwerkelijke MAC wijzigt niet).

Als je nu al een static IP hebt geconfigureerd dan hoef je die sysctl niet uit te voeren. Dat is alleen voor dynamische IPs (IPv6 RA's / DHCPv6)

Yourwebhoster
11/02/13, 11:24
Voorkeur heeft voor dynamisch ivm meerdere werkplekken/locaties met IPv6. Echter gebruik ik op de andere locaties niet de applicaties icm de ip based logins. Toch bedankt voor je uitleg:)