Als freedom gebruiker van het eerste uur hoop ik hier wat antwoorden en wijze raad te vinden in verband met het volgende.
Ik probeer inzicht te krijgen in het internet verkeer van en naar mijn thuisnetwerk. Ik heb de FB7590 AX een een paar uur packet trace laten maken van wat hij allemaal routeert, en dat probeer ik met Wireshark dan enigszins te analyseren.
Voor ipv4-verkeer is dat redelijk te doen, maar er is meer en meer ipv6 verkeer en daar loop ik eigenlijk tegen een muur op.
Sowieso zijn mijn globale ipv6-adressen niet heel makkelijk te onthouden; ik kan aan zo’n adres niet zien welke device/interface op mijn netwerk het betreft. Om mezelf te helpen heb ik een spreadsheet gemaakt met per device/interface: MAC, IPv4-adres, IPv6 interface-id, IPv6-adresSEN. Bron voor dat spreadsheet is de FB: Mesh/Netwerk en dan de details per ipv4 adres.
Wat blijkt: er is per wifi-interface niet 1 IPv6 “global unicast”-adres, maar ik heb er tot wel 6 gezien. (Link local adressen zijn er soms ook 2). En dan wordt het wel heel lastig.
Mogelijk is het een typisch Apple verschijnsel. We hebben diverse iPads en iPhones, een MacBook Air M1 en een Apple TV 4K die op de Wifi interface allemaal meerdere ipv6 adressen hebben, andere apparaten hebben alleen een local-link en 1 global unicast ipv6-adres.
Vraagjes aan het forum:
Is het inderdaad een Apple dingetje?
Heeft het te maken met privacy-instellingen op die apparaten?
Welke slimme dingen kan ik (in Wireshark?) allemaal doen om het analyseren van de packet-trace te vergemakkelijken?
Dan heb ik nog iets:
Er is een MAC/ipv4-adres combinatie die zo nu en dan opduikt en vrijwel geen verkeer heeft. In 1 trace heb ik wel gezien dat er contact is met een Apple SIRI applicatieserver, wat mij doet vermoeden dat dat ook een Apple dingetje is: SIRI-calls over een aparte MAC laten lopen. Dus:
De meerdere IPv6 adres per apparaat heeft waarschijnlijk te maken met IPv6 privacy extensions en dat kan op de meeste apparaten aangezet worden. Ik weet niet wat de standaard voor een Apple apparaat is.
Ik heb even gekeken en inderdaad, mijn Mac heeftl 8 IPv6 adressen naast het link-local adres; dat was me nog niet eerder opgevallen. Ik denk dat dit met een nieuwe MacOS versie is meegekomen.
In Wireshark kun je volgens mij inderdaad filteren op MAC-adres (ethernet adres). Je kunt ook een vast IP adres opgeven voor jouw Mac voor het testen. Als je alleen met IPv4 gaat meten dan geeft dat niet de werkelijkheid weer.
Omdat mijn voornaamste doel is te zien welk apparaat over internet met wie communiceert is het niet zo belangrijk of dat met ipv4 of ipv6 gebeurt, de meeste partijen kunnen allebei.
Daarom heb ik ipv6 maar even uitgeschakeld hier.
Maar omdat ipv6 toch wel hard op weg is zijn voorganger te verdringen zou ik het liever met ipv6 kunnen doen.
Op ip.addr filteren in Wireshark had ik wel gevonden, andere velden en complexere filters kunnen zeker ook, maar daar heb ik de fijne kneepjes nog niet van gevonden, ik ben vooralsnog een Wireshark-newbie.
Ja, dat wist ik wél. Maar omdat-ie per netwerk wél steeds dezelfde MAC gebruikt blijft-ie op mijn lokale netwerk stabiel. Behoudens dan, als ik dat goed interpreteer, de SIRI-querys, daar lijkt-ie weer een stabiel andere MAC te gebruiken.
Als het wifi apparaten zijn die om kunnen gaan met WPA enterprise, dan zou je kunnen overwegen om in plaats van een shared password, een RADIUS omgeving te gebruiken met ieder apparaat eigen credentials. Windows, Mac en Linux kunnen hiermee omgaan. Hetzelfde geldt voor Android. “Consumentenspul” zoals chromecast kan hier helaas niet mee omgaan maar je zou een Wifi SSID per apparaat kunnen ontsteken hiervoor.
Interessant, maar welk probleem los ik daarmee op?
Ik zoek inzicht in het internet verkeer van en naar mijn simpele thuisnetwerkje. Ik wil bv weten wat mijn zonneboiler en de buitencamera’s allemaal uitvreten en of er nog spannende andere communicatie is. Dat vind ik erg lastig uitzoeken met die ipv6 multi-adressen per apparaat. Voor mijn doel is het prima tijdens het tracen even alleen ipv4 te doen, maar verder kan ipv6 gewoon actief blijven.
Ik heb geen netwerkproblemen ofzo.
Maar over die RADIUS opzet die je beschrijft:
In het verzorgingshuis waar mijn schoonmoeder verblijft is de ‘eigen wifi’ op zoiets gestoeld. Je krijgt daar het SSID en een wachtwoord, en zodra je een keer verbindt met die credentials wordt de combinatie vast gekoppeld aan de MAC van het betreffende device.
Da’s een heel onverwachte Wifi-voorziening, je verwacht in zo’n omgeving netwerk-credentials en login-credentials. Toen ik er eenmaal achter was bleek het met mijn iPhone niet te werken, maar was die wel al vastgezet. Moest ik een nieuwe code aanvragen om de Android tablet van mijn schoonmoeder erop te krijgen. Die fungeert namelijk als fotolijstje, waarop foto’s vanaf Google Drive (ik ga straks mijn mond wel spoelen) worden getoond.
Zo’n opzet is misschien leuk voor een dichtgetimmerd bedrijfsnetwerk, maar uitermate ongeschikt voor een consumenten-wifi-netwerk.
Volgens mij is het idee dat je werkt naar een VLAN per apparaat. Met WiFI gaat dit relatief eenvoudig als je de verbindingen kunt scheiden met behulp van iets als RADIUS. Met draadverbindingen heb je snel bijzondere switches nodig. Zodra je de apparaten in gescheiden VLANs hebt, kan je goed zien wat ieder apparaat doet. Zelfs als een apparaat iets anders dan IP gebruikt, zou je dat kunnen opvangen.
Het idee dat een apparaat braaf met één enkel IP adres werkt en je daarmee kan achterhalen wat dat apparaat uitspookt is wellicht enigszins naïef
Je komt vandaag eigenlijk wel een eind als op zo’n manier gaat kijken, maar op de lange termijn is het geen echte oplossing.
Radius heeft helemaal niks met VLAN’s te maken. Google nog eens even op wat Radius is en wat VLAN’s zijn, want dit antwoord raakt kant noch wal. Radius is in een thuis-setup inderdaad complete overkill.
Zou het niet mogelijk zijn om op basis van de RADIUS username een VLAN toe te kennen of op een andere manier het verkeer te scheiden? Ik heb inderdaad weinig kennis van 802.1x, maar mijn verwachting is dat je met RADIUS wel een mechanisme hebt om verkeer te onderscheiden.
Als je dat wilt doen dan zou je die data aan de LAN-kant van je router moeten verzamelen op basis van MAC-adres want dat is stabiel. Aan de WAN-kant wordt IPv4 ge-NAT. En met, spijtig genoeg uitgezet, IPv6 heb je te maken met de privacy extensions, maar wat geeft dat?
Want je eigen adressen zijn niet interessant als je MAC-adressen gebruikt om je eigen apparatuur te identificeren en IP-adressen van de andere kant gebruik je om de die kant van de conversaties te identificeren.
RADIUS en 802.1x gaan je hier niet helpen. Dat is een AAA-techniek maar doet vooral Authentication en Authorization, de laatste A, van Accounting beperkt zich tot MAC-adres, op welke ethernet-poort of access-point en wanneer.
Ik snap denk ik wat je bedoelt. Allereerst: IPv6 houd ik gewoon actief hoor, buiten de packet traces om.
In mijn thuisnetwerk heb ik al mijn apparaten in de Fritzbox een vaste ipv4-adres-toewijzing per MAC gegeven. Apparaten die Wifi én kabel doen staan er dus met 2 IPv4-adressen in. Als ik IPv6 even deactiveer, dwing ik alle apparaten IPv4 te bedrijven. Vandaag-de-dag ondersteunt vrijwel iedere component op Internet nog IPv4, dus alle IPv6 communicatie verhuist dan gewoon naar IPv4. Ervan uitgaande dat de FB de toewijzing baseert op MAC-adres, heb ik met de router-packet-trace dan toch alles verzameld aan de LAN-kant, precies zoals je zegt? En ik heb met de IP-adressen in de IP-packets beide kanten van de communicatie geïdentificeerd.
Naar mijn idee heb ik daarmee dan al het materiaal dat ik nodig heb om het door mij gezochte inzicht te verwerven.
Zou die brede IPv4-ondersteuning er niet meer zijn, dan is die rechtstreekse MAC-verzameling wél belangrijk uiteraard; die moet dan op de 802.x-laag liggen. Ik weet niet of de FB router packet trace ook de 820.1x-info meegeeft , en of je die in Wireshark dan ook op TCP/UDP-packet-niveau zichtbaar kunt maken in een display-kolom. Als beide overwegingen met ‘ja’ kunnen worden beantwoord heb ik daarmee óók alle info beschikbaar.
Of de Apple apparaten inderdaad een andere MAC spoofen voor SIRIcommunicatie ga ik wel rechtstreeks aan Apple support vragen. Ik ga er vooralsnog van uit dat dat zo is.
Ik lees je reactie nog een keer door en zie dat ik de belangrijke consequentie van je antwoord over het hoofd heb gezien: In Wireshark kun je filteren op MAC-adres. En daarmee is het ipv6-nadeel voor het grootste deel ondervangen. Bedankt dus voor je reactie, en sorry dat ik hem eerder te weinig eer heb toegekend.
