M1 und IPv6

pc-bastler

pc-bastler

Aktives Mitglied
Thread Starter
Dabei seit
15.06.2005
Beiträge
3.596
Reaktionspunkte
605
Hi,

ich habe ein Problem mit dem Mac mini M1 und IPv6:

Bei einem Neustart ändern sich jedesmal BEIDE IPv6-Adressen, sowohl die "feste" als auch die "privacy". Letztere sollte sich ja immer ändern, aber erstere nicht. Alle anderen (Intel-Macs, Catalina und Big Sur) verhalten sich so, wie ich es erwarte, nur der M1 tanzt aus der Reihe.

Die V6-Adressvergabe steht bei allen Rechnern auf ""Automatisch", als Router/DHCP-Server kommt ein Ubiquity USG zum Einsatz.
 
So ganz verstehe ich nicht, was du mit "fester" und "privacy" IPv6 meinst und wofür du eine statische IPv6 benötigst.

Wenn dein Provider das Prefix wechselt, dann hast du halt eine neue IPv6. Da kannst du nichts dagegen machen. Insofern musst du in diesem Fall, wenn du den Mini von außen via IPv6 erreichen, dir letzendlich DynDNS für IPv6 einrichten. Und sollte dein Provider das Prefix nie wechseln (gibt's da einen?) dann wird das sicher der Mac tun. Ich wüsste nicht, wie man macOS so konfiguriert, dass er einen statischen Host-Teil verwendet.

Für Verbindungem im LAN kannst du zwar über ULAs das Prefix vorgeben, aber da wechselt sicherlich der Host-Teil der IPv6. Ich kann mir im LAN auch bis auf einen Fall (den Mini als DNS-Server zu betreiben) keine Anwendung denken, mit der du zwingend eine statische IPv6 benötigst. Mit Bonjour kriegst du doch die IP deines Minis immer aufgelöst.
 
.
 
lisanet schrieb:
So ganz verstehe ich nicht, was du mit "fester" und "privacy" IPv6 meinst und wofür du eine statische IPv6 benötigst.
Zum Vergrößern anklicken....
Mein Provider gibt mir ein /56-Netz, das verteilt mein Router in /64-Subnetzen. Eines davon nutze ich für meine Macs in der Wohnung (neben anderen Subnetzen für Hobbykeller, Gäste, ...). Hierdran hängt mein Mac mini.
Am Nameserver meiner Synology (den ich für mein LAN nutze) habe ich sowohl die v4- als auch die (fixen) v6-Adressen eingetragen, bei meinem DNS-Provider im Internet nur die v6-Adressen. Am Router habe ich div. FW-Regeln eingerichtet, so dass ich von aussen auf bestimmte Geräte per IPv6 zugreifen kann. Weiterhin nutze ich intern Pings auf meine Geräte (auf die Namen, wie sich das gehört) für diverse Automationen. Da hier IPv6 vor IPv4 geht läuft der Ping nach Adresswechsel dann natürlich in Leere.

Und das ist nur ein Auszug wofür ich eine statische IPv6 benötige...

Das mit dem Subnetwechsel vom Provider etc ist mir schon klar, aber dann würden die anderen Macs ja die gleichen Probleme zeigen.

Bonjour fällt von daher schon aus, da ich verschiedene Subnets betreibe.

BTW: Vodafone hat mir den Präfix bislang erst einmal gewechselt... und das war als ich von DS-Lite auf Dual Stack umgestellt wurde, seitdem habe ich das 56'er Netz.
 
hhmm, für deine jetzige Konfiguration bist du tatsächlich auf statische IPs angewiesen. Allerdings würde ich mein LAN so nicht aufbauen.

Klar ist es eine schöne Spielwiese, wenn du verschiedene Subnetze einrichtest und im LAN einen DNS-Server hast. Aber genau das ist der Grund für dein Problem. Ich würde das mit den Subnetzen komplett aufgeben. Und ein LAN-only DNS-Server ist auch nur Pflegeaufwand ohne echten Nutzen. Jeder Router mit DHCP erlaubt dir doch, jedes Gerät in deinem LAN anzusprechen. Und die Geräte, die tatsächlich keinen Hostnamen bekannt geben, sind schon echt selten. Und bei bonjour-fähigen Clients hast du eh keine Probleme.

Ergebnis wäre dann, dass dir der Wechsel des Host-Teils einer IPv6 nichts mehr ausmacht.

Inwieweit du darauf angewiesen bist, von außen auf dein Netz via IPv6 zuzugreifen, musst du beurteilen. Ich würde auch hier den Weg via DynDNS für die IPv6 gehen. Gut, ich habe dafür einen Hoster, der mir erlaubt eigene DNS Records zu erstellen, da geht das dann natürlich.

Aber zurück zu deiner Frage: nein ich weiß nicht, wie man ein statische IPv6 erzwingen kann.
 
lisanet schrieb:
Klar ist es eine schöne Spielwiese, wenn du verschiedene Subnetze einrichtest und im LAN einen DNS-Server hast. Aber genau das ist der Grund für dein Problem. Ich würde das mit den Subnetzen komplett aufgeben. Und ein LAN-only DNS-Server ist auch nur Pflegeaufwand ohne echten Nutzen. Jeder Router mit DHCP erlaubt dir doch, jedes Gerät in deinem LAN anzusprechen. Und die Geräte, die tatsächlich keinen Hostnamen bekannt geben, sind schon echt selten. Und bei bonjour-fähigen Clients hast du eh keine Probleme.
Zum Vergrößern anklicken....
Ich bin eher auf dem umgekehrten Weg, nämlich in die Microsegmentierung. Das liegt daran, dass ich, besonders im Hobbykeller-Netz häufig mit ungepatchten und/oder älteren Betriebssystemen arbeite und hier eine entspr. Sicherheit zwischen meinen "Prod"-Geräten und meinen "Spiel"-Geräten haben möchte... zukünftig ggf. auch noch zwischen den "Spiel"-Geräten. Von der Sicherheit bei IoT-Geräten will ich jetzt nicht anfangen... Daher habe ich mich bewusst für eine Segmentierung entschieden.
Kleine Info am Rande: die Intelmacs haben sogar den Host-Teil ihrer IPv6-Adresse übernommen als ich sie in ein anderes v6-Subnet geschubst habe...

Der DNS-Server ist notwendig, da ich bei Router-integrierten DNS-Implementierungen (und Bonjour) leider keine Eingriffsmöglichkeiten habe und z.B. Aliases setzen kann, die ich benötige. Hier laufen auf Raspis zum Teil 6-7 Websites, die per Hostheader unterschieden werden.
 
Ich will dir deine Subnetze ja nicht ausreden, aber auf den Raspis kannst du deine vielen Websites mit unterschiedlichen Hostnamen auch recht einfach via Bonjour, sprich avahi relalisieren. Kopiere einfach die *.service Datei für den websserver-Dienst und trage im name-Tag nicht %h, sondern den Namen selbst ein, den du haben willst. Das kannst du auch mehrmals machen.

Und wenn du so Bedenken über IoT-Geräte hast, dass darüber jemand von außen deine anderen Geräte im LAN angreifen kann und du mit Subnetzen anfängst, würde ich mir eher überlegen, ob ich die jeweiligen IoT-Geräte überhaupt kaufe, oder ob es nicht Lösungen gibt, die ohne Serververbindung ins Internet auskommen. Die verbleibenden Zugriffsnotwendigkeiten zum Nachsehen, steuern und konfigurieren würde ich bei solchen Sicherheitsbedenken dann, wenn überhaupt von remote, via VPN durchführen.

Aber ich sehe schon, die willst das halt einfach mit Subnetzen realisieren.

Falls du eine Lösung für den Host-Teil der IPv6 des Macs findest, würde ich mich freuen, wenn du die Sache hier postest.

Edit:
Da du ja so gerne bastelst, hier Infos von Apple zu Bonjour und u.a. auch zu Multicast-Bonjour über Subnetzgrenzen hinweg ;)
https://support.apple.com/de-de/guide/deployment-reference-macos/apd0401947ff/web
 
So, ich konnte das jetzt weiter eingrenzen:

Eine "fehlerhafte" IPv6 (oder gar keine) gibt es genau dann, wenn ich den Mini einschalte. Wenn ich den Mini danach neu starte, bekommt er seine permanente IP. Das ist natürlich von daher nervig, als dass mein USB-Hub nach einem Neustart sowohl vom Strom als auch von Rechner getrennt werden will und ich dafür jedesmal unter den Schreibtisch kriechen muss.

Da ich ja noch in den 90 Tagen bin, werde ich da mal bei Apple einen Anruf anfordern...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten