IPV6 und Kontrolle übers LAN // HILFE !
Ausnahmsweise mal keine (Über-)Lebenshilfe, sondern ein Hilferuf!
Da hier zwei Kids rumlaufen, hab ich gern die Kontrolle wann und wie das Netz benutzt wird. Bisher (zu v4-Zeiten) hat der Squid gute Dienste geleistet. Mit ipv6 ist das nicht mehr so. Da beisse ich mir nämlich die Zähne aus.
Doch von vorn: Hier im Netz läuft ein radvd (Router Advertising Daemon), der ein sixxs-Prefix im LAN Announced. Der (zwangs-)proxy biegt alle ausgehenden ipv4-Port-80 Anfragen transparent auf den Squid-Port um, und handlet den Kram dann per ACL. v4 gibt es statisch über einen DHCP, und für Gäste ist eine Range vergeben.
Seit v6 schnappen sich die Endgeräte irgendeine v6-Adresse (bei ios7 kann man ja bekanntlich die privacy-extensions nicht mehr ausschalten) und vorbei ist es mit der Kontrolle (vom DNS mal ganz abgesehen). Eine Lösung muss her. Bisher ausprobiert habe ich folgendes:
- auth_param im Squid angeknipst. Resultat erschütternd:
- Android und Proxys … Hahaha (wenn, nur “gerooted”) !!! Android und Proxy-Auth – HEUL! Tut überhaupt nicht.
- ios und Proxys – Nett / ios und Proxy-Auth – Neee, da taktet ein Autoblinker stabiler. Geht nicht 🙁
- OSX: Siehe ios.
- acl based on arp (acl arp)
- Bei v4 schick – bei v6 gibts Neighbourdiscovery und kein arp mehr. Dummerweise scheint noch niemand ND in irgendeiner Squid-Version als acl implementiert zu haben 🙁
- ACLs auf V6-IP-Basis
- Aufgrund der Privacy-Extensions unbenutzbar
Noch nicht ausprobiert (weil so demotiviert von den o.g. zwei Punkten – und tlw. auch zu aufwendig):
- Getrennte “Netze” mit getrennten IPv6-Prefixen um die ACLs auf Netzebene auszurollen:
- Aufwändig !! Trennbar nur über VLANs, extra SSIDs an jedem WLAN-AP … und überhaupt
- DHCPv6
- will man sowas?
- RADIUS
- Kanonen / Spatzen und so. Neee
- 802.1X
- Interessanter Ansatz. Aber da fliegen auch wieder die IOS-Devices raus. Ferner gilt das selbe wie bei radius.
Vorschläge sind mehr als willkommen. Derzeit hab ich auf der LAN-Seite des Proxies v6 wieder ausgeschaltet und arbeite mit den o.g. ARP-Filtern. Tut zumindest einigermassen. An so einem iphone lässt sich die macaddy nicht so einfach ändern.
Erm, eigentlich scheinen mir VLANs (aka getrennte SSIDs) der einzige Weg zu sein – wie man es auch dreht und wendet, baut alles andere schlicht darauf auf, daß die MAC-Adressen nicht manipulierbar sind.
(Der Zwangsproxy macht mir auch ganz leichtes Bauchkringeln.)
Naja, ganz abgedichtet bekommt man es nur mit managebaren Switches (durchgehend) und VLANs. Den Tod mit der Mac-Adresse muss ich in Kauf nehmen.
Den Zwangsproxy erledigt bei v4 ein simples redirect. Bei v6 benötigt es da entweder ein TPROXY oder aber alles nach aussen dicht machen, und dann den Proxy halt eintragen. (Letzteres mach ich hier – funktioniert prima).
Ich scheu mich etwas vor der VLAN-Taktik, wenn ich ehrlich bin. Hab zwar als AP’s nur openwrts im Einsatz, wird aber trotzdem tricky.
Stichwort Bridging Firewall?
http://shorewall.net/bridge-Shorewall-perl.html
http://www.it-blog.net/artikel/141-Bridge-Firewall-mit-IPv4-und-IPv6-unter-Ubuntu-10.04-LTS.html
Gibt da sowas, das nennt sich Pädagogik. Damit kann man bei Kindern etwas erreichen, das man als Medienkompetenz bezeichnet und braucht keinen Überwachungsapparat der ohnehin früher oder später umgangen wird. Noch dazu würde es etwas schützen, auf das auch Kinder ein Recht haben, nämlich Privatsphäre.
Lieber Toredo, will ich sehen, wie Du es schaffst, per Pädagogik und Medienkompetenz, irgendwelchen GamingApps abzugewöhnen, dass sie alle Nasen lang auf Tracking-Dienste zugreifen. Ferner möchte ich ebenfalls erklärt bekommen, wie Du unliebsame VPNs die sich auch auf einem Smartphone einschleichen könnnen per Sozialkompetenz verhinderst.
Bin gespannt.