Nachdem bis jetzt niemand geantwortet hat, werde ich das mal in für dich vermutlich relativ unzufriedenstellender Art und weise machen.
Was "richtig" und was "falsch" ist, liegt immer stark im Auge des Betrachters.Wie manage ich denn ein IPv6 Netzwerk richtig?
Deswegen werde ich relativ länglich erklären was die Beweggründe hinter IP(v6) waren und wie die Ersteller das gedacht hatten, was daraus wurde und überlasse dir was du für "richtig" hältst:
IPv6 kam 1995 raus. Da war IP(v4) der defakto weltweit frisch etablierte Standard aber eben erst frisch. Es hatte sich gegen diverse Alternativen durchgesetzt. Das war hier das Jahr als die Bundespost ihr Verbot gegen IP-Basierte Dienste zu ungusten von der von ihr gepushten Varianten BTX und Teletex aufhob und der DFN noch strickt Euronet/X.25 als Voraussetzung für Funding verlngte. Auf der anderen Seite des Atlantiks war SNA in der Finanzwelt noch immer unangefochten aber man erkannte die hohen Kosten, DECnet erst weniger Jahre zuvor vom Thron gestoßen wurde und für Privatanwender werkelte hinter den Kulissen noch überall XNS. Ntscape wurde im Selben Jahr veröffentlicht mit dem das Web von einem Ding für irgend welche Wissenschaftlern die mit dem Cern kooperieren zum dominanter Dienst wurde.
Das geschah weil es sich IP als massiv überlegen herausstellte. Aber was waren die Vorteile? SNA war um Größenordnungen Schneller und BTX unfraglich benutzerfreundlicher und mit weniger rechtlichen Problemen verbunden. – Defakto mussten hier in Deutschland erst TDG und TDDSG und später das TMG etabliert werden um Internetdiensten Rechtssicherheit zu geben.
Die Antwort die damals alle gegeben hätten war die höhere Flexibilität, die Neuerungen ermöglichte und die Universalität, die weltweit einheitliche Setups die problemlos überall einfach, billig und ohne Anpassungen deploied werden konnten ermöglichte statt Individuallösungen für jedes lokale Netz.
Ermöglicht wurde das durch folgende Sachen die alternativen nicht aufwiesen:
- IPv4 etablierte die Trennung von IP und TCP ermöglichte damit die Etablierung eines schnellen DNS-Dienstes neben den zuverlässigeren "download-Diensten" wie usenet und gopher.
- Ermöglicht durch das Ende-zu-Ende Prinzip, dass Netzwerk und Anwendung Trennte:
a) Ermöglichte das auf der einen Seite den Netzbetreibern billigere/schnellere Hardware zu verwenden ohne ihre Anwendungen umzuschreiben und auf der anderen Seite deren Kunden einfach Hardware eines anderen Betreibers umzusteigen, wenn der billiger/schneller war.
b) Anwendungsentwicklern beliebig angepasstere/bessere Anwendungen Schreiben die ohne aufwendige Genehmigung einfach überall liefen und deren Preis, weil sich Software einfach kopieren lässt und so die Entwicklungskosten auf beliebig viele Schultern aufgeteilt werden konnte gegen null viel. - Das funktionierte weil man schlicht die den Namen eines Dienstes wissen musste und den so mit beliebiger Software an beliebiger stelle nutzen und so immer das beste und billigste Produkt nutzen. Outsourcing von Diensten an dezentrale Stellen war integrale Idee hinterm Internet
Da IP nicht für den kommerziellen Anwendungszweck Designed sondern von den einstigen Konkurrenten aus der Forschung übernommen wurde übernahm man halt so viel man musste um möglichst einfach die wichtigsten Vorteile mitzunehmen ohne viel ändern zu müssen und passte nur an, wo es nötig war.
IPv4 sah vor das jeder Nutzer ~2Mio Netze zugeteilt bekommt daraus jedem seiner bis zu 16Mio. Geräte eine IP zuteilt deren Nutzer dann beliebige Software darauf nutzen konnten. Seine Netzwerkhardware ausrollt, Leitungen zu den Nachbarn baut und dann mit denen über Konnektivität verhandelt. Die Daten sollten dann von Nutze zu Nutzer zum Ziel springen ohne expliziten ausgehandelten Routen zu folgen. Das mochte zur Realität von US-Universitäten passen und einige Funkamateure mochten von ähnlichem Träumen. Aber europäische Realität mit staatlichen Kommunikationsmonopolen, die dann an private Unternehmen vergeben wurde sah völlig anders aus:
- Keiner wollte die über Jahrzehnte entwickelten Sachen einfach über den Haufen werfen und bei 0 anfangen. Für die Migration entstand ein Haufen Tunngeling IP over X.25 für den DFN, SAN over TCP für die Banken...
- Die 2 Mio. Nutzer waren lächerlich zu klein gewählt. Verhandlungen zwischen Nachbarn zu beidseitigem Vorteil ohne Aufsicht abseits der Realität guter Bürger Gerichte brauchen um sich auf die Astlänge ihrer Bäume im Garten zu einigen. Die Lösung waren ISPs die als Netzwerke aufbauten und einzelne IPs an ihre Kunden (per DHCP) vergaben und dafür (pro vergabezeit) kassierten.
- Das schaffte das Problem, dass es Netze mit mehr Geräten als vorgesehen gab. Abhilfe schaffte CDIR/Netzmasken und temporär vergebene und wiederverwendete Adressen.
- Damit wurden Adressen plötzlich ein in Anzahl und Zeit begrenztes Gut. Es etablierte sich NAT um hinter eine IP viele Geräte zu bekommen und damit die Fesselung an ausgehende tcp-Verbindungen und die eine spezielle Variante von UDP, die DNS verwendete für den überwältigenden Teil der Nutzer.
- Auch in Unternehmen saßen nicht vertrauenswürdige Wissenschaftler die selbständig mit ihren UNIX-Accounts und passenden Berechtigungen auf administrierten Rechnern arbeiteten sonden "Tippsen" die auf ihre DOS-Geräte ohne Rechtemanagement alles installierten, was bei 3 nicht aufm Baum war neben alten Steuerungsmaschienen die blind alles ausführten, was durch die Leitung rein kam, die dafür gedacht war direkt mit dem Bediener verbunden zu sein. Das feuerte den Bedarf nach Firewalls an, die irgend wie die Unterscheidung zwischen "internem" und "externen" Netz, die das Internet abschaffen wollte am leben erhielten.
- Viele Infrastrukturbetreiber verdienten noch einen Haufen Geld mit Telefonie, SMS und ähnlichen Diensten verdienten die plötzlich Hinz und Kunz überall auf der Welt für einen Apfel und ein Ein anbieten konnten. NAT, Dynamische IPs und Firewalls die das unterbinden konnten und so den Bedarf für teurere Premiumanschlüsse produzierten kamen denen Gerade recht und wurden von denen mit Zwangsroutern und Marketing massiv gepushed. Was zu noch mehr Tunneling und Overlaynetzwerken führte: Du kannst keine eingehende Verbindungen für eingehende Nachrichten/Telefonate annehmen? Pack den Proprietäres Quatschprotokoll einfach in ne ausgehende https-Verbindung und es geht plötzlich durch jede Firewall. Zoom und WhatsApp waren geboren.
Das Ergebnis war ein anderer Ansatz für die Lösung der genannten Probleme
- 2⁶⁴ Netze mit 2⁶⁴ Hosts sollten alle Limitierungen in Anzahl und damit NAT ein für alle mal überflüssig machen. CIDR wurde zwar beibehalten. Aber nur als optionale Optimierung fürs Routing. In den meisten Fällen kann man problemlos mit festen und damit performanteren /64-Masken arbeiten.
- Mit Traffic-Klassen versuchte man noch mehr Differenzierung von Anforderungen von Anwendungen ohne spezielle Anwendungen fest zuschreiben und so Neuentwicklung gleiche Chancen einzuräumen.
- Mit Mobile IPv6 erlaubte man den Nutzern das eigene Netz zu behalten und trotzdem den ISP ihre Netze zu verwalten.
- IPSec wurde als universelles Protokoll zur Abkapselung unsicherer Anwendungen etabliert das von jeder Implementierung unterstützt werden muss.
- Wir erinnern uns die zentrale Idee die Internet von anderen Diensten unterschied, war dass jeder Subnetzbetreiber sein Netzwerk nach belieben umbauen konnte ohne auf eine zentrale Konfiguration warten zu müssen. Mit slaac ging man einen Schritt weiter und setzte die Verantwortung sogar auf Rechner-Level sodass diese individuell upgraden und an ihre Bedürfnisse anpassen konnten. Privacy-Extentions fürs browsen ohne Tracking EUI-64 für Serverdienste und für Linux Nerds ne mischung aus beidem damit Browser neben ssh-Server die für sie optimale Variante aussuchen können.
- Ähnlich konsequent trennte man sich endgültig von den letzten paar Link-Layer Abhängigkeiten und schaffte das Hardwareabhängie ARP und den statisch-geroutete/dynamische-IP-Vergabe UDP ohne IP DHCP krüppel ab und ersetzte alles durch einheitliches Hardware unabhängiges und klar IP-basiertes statisches ICMPv6. Und das vollständig dynamische auch IP-basierte DHCPv6 für geroutete Netzwerke.
- Jede Anwendung ihr eigenes Protokolle mit den eigenen Servern nutzen ohne auf komplexe Overlaynetzwerke angewiesen zu sein. So wie das vor 1989 in IPv4 der Fall war als man im IP-Netz duzende unterschiedliche Cliententypen mit speziellen Aufgaben und Anforderungen durch universelle gleich zu behandelnde Hosts ersetzte (Was Netzwerke ungleich einfacher machte).
- Du hast in deinem lokalen netzwerk viele 0815 Clients, die einfach nur "online gehen" wollen.
Dann hast du aber auch diverse Server oder Services: Webserver, Switches, Telefonie-Services, ... eben diverse Dinge die du direkt ansprechen können willst. Und mit direkt würde ich meinen "statisch adressiert".
Es gibt jetzt in jedem Netzwerk mehr als genug IP-Adressen jeder Rechner kann jetzt mit einem Vollwertigen Internetanschluss versorgt werden. Eine derartige Unterscheidung ist nun wieder vollständig überflüssig. Das ermöglicht es jederzeit Problemlos die Funktionalität von Hosts zu erweitern. - Naja, Firewalls tun sich mit IP Adressen einfacher als mit Hostnamen, deren dahinter stehende IP sich ggf. immer mal wieder ändert.
Dein Betriebssystem bietet dir mit IPSec diverse universelle Möglichkeiten auch in unsicheren Netzwerken zu kommunizieren sollten gewisse Anwendungen in ihrer Kommunikation eingeschränkt werden solltest du ihm die Rechte dazu entziehen. Das nachträgliche Filtern von zuvor erstellten Paketen ist nicht nur ineffizient sondern erschwert auch Fehlersuche und das weiterentwickeln von Netzwerkprotokollen massiv. Daneben lassen sich Firewalls einfachst durch Overlaynetzwerke umgehen bieten also keinerlei echte garantieen. Tor und Teredo zeigen das am eindrücklichsten. Und während man nun anfangen kann zu versuchen diese bekanntesten Protokolle explizit zu filtern ist es unmöglich als Organisation jeder weltweiten Entwicklung hinter her zu laufen. Das Spiel zwischen der relativ kleinen Tor- und I2P-Entwickler Communitys und den riesigen Geheimdienstcommunities in Iran und Saudi-Arabien zeigt diese Asymmetrie am eindrücklichsten. - Was ist der Best-Practice weg um Geräten/Servern/Services im Netzwerk eine Adresse zu verpassen, die ich möglichst zentral pflege
Die gesamte Idee hinter dem Internet war, dass eben NICHT zentral auf Netzwerkebene sondern an den individuellen Clients konfiguriert wird. So wie Best Practice für sicheres Autofahren ohne Gurt ist das nicht zu tun ist Best Practice das Adressen eben nicht zentral zu vergeben. - selbst eine Tabelle/Doku pflegen in der ich das alles notiere.
Es gibt einen sehr gut etablierten Service zum Verwalten von IP-Adressen. Er nennt sich DNS! Sollten sich deine Adressen regelmäßig ändern (was sie nicht sollten) gibt es diverse Methoden diesen dezentralen Dienst automatisiert upzudaten. (Z.B. DynDNS.)
Wie schon angemerkt wurde IP im heutigen Umfeld defakto von den einstigen Gegnern implementiert. Die waren gar nicht an dem Netzwerk das jedem eine möglichst rapide, bürokratiefreie und flexible Weiterentwicklung ermöglichte. ISPs wollten nicht das jeder Telefondienst unabhängig vom Protokoll gleich gut funktionierte. Die waren Gott froh wenn sie ihren eigenen Schrottdienst durch bevorzugte Behandlung am Leben erhalten konnten. Auch deren Kunden waren keine keine Forscher die Neuland betreten wollten sondern Konsumenten, die möglichst bequem über das abendliche Fußballspiel informiert werden wollten. Der Umstieg auf IP war dem Geschuldet das nach 20 Jahren rapider Entwicklung im Internet die kommerziellen Alternativen unheimlich beschissen aussahen. Sie wollten Lees Web nicht die Grundlagen, die ihm erlaubt haben zu entstehen. Und da nun beide Welten verschmolzen zogen die gleichen Firewalls, Gesetze, Admins und Workarounds im Internet ein wie in Unternehmen. Es gab in den nächsten 20 Jahren keine rapide Weiterentwicklung mehr. Die überwältigende Mehrheit waren "08/15-User" die mit den auf die Regeln der 70erJahre zurückgetrimmten Protokolle der 80er (Namentlich tcp/SSL/http/IPv4) mehr als zufrieden und blockierten jede Weiterentwicklung. Diese Leute hatten aber wenig Einfluss auf die Entwicklung von IPv6. – Wer will das alles bleibt wie es ist, hilft nicht bei der Entwicklung eines neuen Protokolls sondern blockiert dessen Einführung. Daher auch der Tot aller Nachfolger und die Wiredness, das es für viele IPv4-Entwicklungen die exzessiv genutzt werden keine IPv6 äquivalente gibt.
Wer also schlicht ein 70er-Jahre Konsument sein willst der kein Interesse an neu modischem Kram hat und noch weniger Kooperation vom Provider dafür hat, fährt vermutlich anders deutlich einfacher:
- SLAAC ist absolut überall etabliert. Das Rad drehst du nicht mehr zurück. Wie gesagt DHCPv6 ist eigentlich ein vollständiges routing-Protokoll für komplexe Umgebungen mit in Baum-Struktur gerouteten subnetzen und damit eher ein Nachfolger für RIP und Co. Selbst wo DHCP genutzt wird, passiert die IP-Vergabe per SLAAC. Wenn du statische IPs haben willst, lassen sich privacy-extentions abschalten. Da braucht es kein DHCP für. Dann hast du deine EUI-64 Host-Parts auf die du filtern kannst.
- Auch wenn ich dir persönlich DynDNS ans Herz legen würde. Wie gesagt: Dynamische IPs waren nie vorgesehen und entsprechend dünn gesät sind die Implementierungen unter den IPv6 Entusiasten: Auch wenn ULAs wie einst Private IP-Adrressen nie für die Verbindung mit dem Internet vorgesehen waren: Keiner hindert dich daran weiter dein 70er-Jahre privates Netz, dass damit zu betreiben. Damit hast du dann vollständig eigen vergebene IPs unter deiner Kontrolle die du in deine /etc/hosts schreiben und per rsync kopieren kannst. Es ist aber Integralerer Bestandteil von IPv6 verschiedene Adressen auf einem Interface haben zu können. Du brauchst also kein NAT mehr du kannst schlicht beides haben. Die gai.conf ist per default so, dass die öffentliche IP fürs Internet genutzt wird und die Private kannst du dann für internen Traffic verwenden.
- Wenn du wirklich ein bisschen Vorteile ausprobieren willst: Die meisten deutschen Provider geben dir wirklich mehrere Subnetze. Du kannst verschiedene Rechner mit verschiedenen Aufgaben in verschiedene VLANs mit eigenen Subnetzen legen. Dann kannst du unterschiedlichen Traffic aufgrund des subnets unterschiedliche behandeln. Braucht aber halt zumindest nen vlan-fähigen Router. (Also keine Fritz!Box, die VLANs nur auf dem WAN-Port erlaubt.)
