[gelöst] IPv4 -> IPv6

[schorsch_76]

Hallo!

Momentan beschäftige ich mich mit der Umstellung meines privaten Netzes von IPv4 auf IPv6. Momentan bin ich bei 1und1. Da gibt es noch kein IPv6 vom Provider. Es gibt ja 6to4 Tunnel welcher auch mit einem Rechner über go6.net (freenet6.net) auch einen Tunnel aufbaue. Soweit geht auch alles. Auch ein

Code: Alles auswählen

ping6 ipv6.google.com

Klappt einwandfrei.

Jetzt hab ich aber noch ein, zwei Probleme mit IPV6

a)
Als "Kind des NAT Zeitalter" kann ich es mir noch nicht vorstellen, das jeder Rechner direkt von aussen über seine IP erreichbar ist, bzw. das die zusätzliche Sicherheit durch das NAT/Firewall Gateway verloren geht. NAT funktioniert ja nicht bei IPv6 bzw. ist ja gar nicht spezifiziert.
Was habt ihr hier für Informationen/Erfahrungen für mich? Dies ist mit Sicherheit auch für Firmen ein Problem: Wie wird das dort gelöst?

Ich mag nicht dass alle meine Rechner direkt aus dem Netz "zu sehen sind". Es braucht ja jeder dann eine eigene Firewall/Regeln. Nicht mehr so einfach alles über EINE Shorewall Regeldatei zu machen...

Im meinem privaten Netz sind auch Windows Rechner. Geht dann der direkte Angriff auf die Rechner wieder los wie früher? Wenn der Rechner 2 min am Netz ohne Updates ist sind Vien drauf ... Das wäre ein echter Rückschritt in meinen Augen.

b)
Gibts dann eigentlich auch wieder dynamische Adressen oder hab ich dann immer die Selbe IP für meine Rechner? (Datenschutz ist hier mein Gedanke)


Irgendwie doof wenn in ca. 3 Jahren die IPv4 Addressen ausgehen ...
http://www.ipv4countdown.com/

Ich freue mich auf eure Anregungen

Gruß

schorsch

Meine Quellen:
http://linuxreviews.org/howtos/networki ... index.html
http://www.ipv4countdown.com/
http://www.howtoforge.com/using-ipv6-on-debian-etch
http://debian.seabone.net/how.html

[Danielx]

zu a)
Es können natürlich weiterhin Router eingesetzt werden, die zustandsbasierte Paketfilter haben.

zu b)
Dein Provider kann dir weiterhin dynamische IP-Adressen zuweisen.

Gruß,
Daniel

[catdog2]

zu b)
Dein Provider kann dir weiterhin dynamische IP-Adressen zuweisen.

Kann... ob das in der Realität passiert ist die Frage.

[michas]

Wie kommst du an deine IPv6-Adresse ran? 6to4 oder freenet6?
Tunnelst du nur eine einzelne Adresse oder ein ganzes Netz? (Du woltest ja dein *Netz* auf IPv6 umstellen.)

NAT ist nicht als Sicherheitskomponente gedacht. (Auch wenn es ab und zu mal dafür angepriesen wird...)
Netzwerksicherheit (wie du sie vermutlich meinst) kannst du durch einen Paketfilter (aka Firewall) erreichen. Das funktioniert für IPv6 genau so wie für IPv4.
Ein einzelner Filter auf dem Router reicht.

Welche (IPv6-)Adresse du bekommst hängt vom verwendeten Tunnel ab. (Insbesondere ob 6to4 oder "richtiger" Tunnel.)

[schorsch_76]

Wie kommst du an deine IPv6-Adresse ran? 6to4 oder freenet6?
Tunnelst du nur eine einzelne Adresse oder ein ganzes Netz? (Du woltest ja dein *Netz* auf IPv6 umstellen.)

NAT ist nicht als Sicherheitskomponente gedacht. (Auch wenn es ab und zu mal dafür angepriesen wird...)
Netzwerksicherheit (wie du sie vermutlich meinst) kannst du durch einen Paketfilter (aka Firewall) erreichen. Das funktioniert für IPv6 genau so wie für IPv4.
Ein einzelner Filter auf dem Router reicht.

Welche (IPv6-)Adresse du bekommst hängt vom verwendeten Tunnel ab. (Insbesondere ob 6to4 oder "richtiger" Tunnel.)

Hi michas,

über freenet6.net komme ich an eine IPv6 Adresse ran. Dazu benötige ich das Tool gw6c von go6. Wenn man sich hier registriert hat, kann man die Userdaten dann in die gw6c.conf eintragen und Host/Router einstellen. Bei Router bekommst du ein grösseres Netz /64 zugewiesen. Per Radvd kann dann der Router die IPv6 Adressen im Lokalen Netz vergeben. Ähnlich wie DHCP.

Momentan hab ich noch nicht umgestellt. Ich bastle grad an meinem Debian Lenny Router mit Via Eden Board. Hab mir grad noch ein 16€ USB WLAN Stick gekauft mit ralink Chip. Den wollte ich dazu benutzen einen AP für meinen Laptop aufzubauen, aber so wie es momentan aussieht kann der Kerneltreiber kein "iwconfig wlan0 mode master". Nur Ad-Hoc und Managed (Client).

Der Router soll dann als "Dual Stack" Laufen IPv4 + IPv6. so dass alles möglich ist. IPV6 soll dann der Router durch den 6over4 Tunnel an den freenet6 Backbone routen.

Soweit der Plan

Momentan komme ich vom Router problemlos ins IPv6 Netz. Es gibt aber erschreckend wenig Sites welche IPv6 unterstützen. Laut Heise soll angeblich die USA seit 2008 für die Regierungsnetze IPV6 verwenden, aber ein

Code: Alles auswählen

ping6 www.whitehouse.gov

oder

Code: Alles auswählen

ping6 ipv6.whitehouse.gov

klappt irgendwie nicht. Ein

Code: Alles auswählen

ping6 ipv6.google.com

klappt.

Momentan prüfe ich gerade ob per ndiswrapper der Ralink Chip einen AP aufbauen kann.

Gruß

schorsch

[catdog2]

Den wollte ich dazu benutzen einen AP für meinen Laptop aufzubauen, aber so wie es momentan aussieht kann der Kerneltreiber kein "iwconfig wlan0 mode master". Nur Ad-Hoc und Managed (Client).

Das ist richtig so. Bei allen Treibern mit dem neuen Wlan Stack brauchst du zwingend hostapd (und einen Treiber, der das kann und einen möglischst neuen kernel (2.6.29)). iwconfig wlan0 mode master wird mit diesen Treibern nie funktionieren.

AccessPoint (AP) infrastructure mode

An Access Point acts as the Master device in a managed wireless network. It holds the network together by managing and maintaining lists of associated Stations. It also manages security policies. The network is named after the MAC-Address (BSSID) of the AP. The human readable name for the network, the SSID, is also set by the AP.

/!\ To use AP mode in Linux you need to use hostapd, at least a current 0.6 release, preferably from git. /!\ Cf. http://wireless.erley.org

Der ralink Treiber scheints bei einigen Karten zu können: http://linuxwireless.org/en/users/Drivers
http://linuxwireless.org/en/users/Documentation/hostapd
Ausprobiert hab ichs leider noch nie so wirklich

Das könnte man auch noch probiern, da reicht der monitor mode, leider scheint das auch noch in der Entwicklung zu sein:
http://aircrack-ng.org/doku.php?id=airbase-ng

Momentan prüfe ich gerade ob per ndiswrapper der Ralink Chip einen AP aufbauen kann.

Hmm denke eher nicht.

[reox]

naja zu a) kann ich nur sagen: firewall an Ich habs ausprobiert, konnte ohne probleme von einem host irgendwo im internet auf meinen laptop zuhause sshen
zu b) v6 funktioniert ja so: ein server (zB der radvd) announced das es hier v6 gibt. Dein Client nimmt das announcte Prefix (zB 1337:23:42::/48) und hängt da seine generierte Adresse dran, die wird per MAC usw zusammengebastelt. Da sich die MAC normalerweise nicht ändert, wird sich deine v6 Adresse auch nicht ändern. War ja damals bei v4 auch nicht anders... Wenn du auch mal bei dir zuhause am DHCP schaust, bekommen deine Rechner auch fast immer die gleiche Adresse, da sie sich die einfach mal nehmen bzw der DHCP Server immer die selben verteilt (macht ja auch keinen sinn immer andere adressen zu vergeben)

[michas]

@reox: Vorsicht, du schreibst seltsame Sachen. Was du als "v6" beschreibst, ist Autoconfiguration. Du kannst dein IPv6-Netz so einstellen, musst es aber nicht. Und ein DHCP-Server verteilt typischerweise einfach die erste freie Adresse, wenn du von dem also wieder die selbe IPv4-Adresse bekommst ist das eher Zufall, weil z.B. niemand anders in der Zwischenzeit eine Adresse wollte. (Wenn er immer die selbe Adresse austeilen soll, musst du ihm explizit z.B. die MAC-Adressen verraten, die entsprechend gemappt werden sollen.) - Aber dass wird jetzt off-topic.

@schorsch: Achso, also doch nicht 6to4.
Ich hab hier ein ganz ähnliches Setup mit nem openwrt-Router. Der Router besorgt sich von freenet ein Subnetz und annouced das per radvd.
Das Netzwerk dahinter ist IPv6-only, da brauchts also kein DHCP oder so, einfach anstöpseln und das Interface konfiguriert sich automatisch.
Und ja, ab und zu muss man auch mal auf einen Rechner/Webseite zugreifen, die nur IPv4 spricht. Da schafft ein totd/ptrtd bei mir Abhilfe.
Der totd-DNS-Server verpasst den IPv4-only Rechnern eine IPv6-Adresse und der ptrtd routet diese dann entsprechend.

Fazit IPv6-only funktioniert problemlos. Es kann höchstens Probleme geben, wenn irgendeine Anwendung meint unbedingt eine literale IPv4 Adresse ansprechen zu wollen. - Das halte ich dann aber eher für einen Bug in der Anwendung.

[schorsch_76]

@michas: Mit den ganzen Tunnelarten die IPv6 so bietet. 6to4, TSP , TIC, AICCU, gw6c usw bin ich ehrlich gesagt noch etwas auf "Kriegsfuss". Ich hab da noch nicht den vollen Überblick wie bei IPv4.
Hast du in deinem Netz auch reine Windowsrechner stehen? Ich hab da nämlich 2 WinXP Rechner, welche von der Familie benutzt werden und die spielen auch mal ganz gerne irgendwelche Spiele. Diese sollen natürlich auch laufen. Reicht dann hier auch ein IPv6 only Netz oder muss ich doch Dual Stack fahren?

Den AP am Linuxrouter aufbauen hab ich momentan nach hinten verschoben Ich kümmere mich jetzt mal um das IPv6 Netz. Es soll dann so aussehen.

Internet<-- IPv4 -->Fritzbox<-- IPv4 / IPv6 durch Tunnel zu freenet6.net -->Debian Router<-- IPv6 -->Switch zu allen Rechnern

Es gibt auch für eine bestimmte Fritzbox auch eine Laborfirmware welche IPv6 unterstützt. Meine ist da leider nicht dabei. Deshalb der obige Aufbau. Was haltet ihr davon?

Danke für eure hilfreichen Informationen

Gruß

schorsch

[reox]

wird zwar jetzt ein wenig OT aber das würd ich schon gerne noch wissen:
@michas: ok das mit v4 seh ich ein (auch wenn ich in netzwerken wo ich mich seit einer woche nicht mehr angehängt habe wieder die gleiche IP bekomme -> scheint dann aber wirklich so konfiguriert zu sein, die auswahl von 253 hosts hat er ja)
aber wie soll es bei v6 den sonst gehen außer mit der autoconfig? Ich hab in der Ausbildung nichts anderes kennen gelernt, außer das die clients das so machen? Natürlich ist das was anderes bei einem Tunnel aber da bekomme ich ja eine statische v6 Adresse, wenn die Provider irgendwann mal v6 so verteilen wird das ja auch nur per Autoconfig oder statischem mapping gehen und in beiden Fällen werde ich immer die selbe adresse bekommen (bzw es können ja auch mehrere IPs bei der autoconfig generiert werden)

[schorsch_76]

Hi reox,

ich hab jetzt IPv6 mit einem radvd am laufen. Mein Client bekommt die IP "announct". Die IP ist aber unterschiedlich. Heute hab ich bsp. "2001:5c0:1502:7300::1/64" . Gestern wars ich glaub "2001:5be:xxx" . Also ist das dynamisch (bei freenet6.net).

@michas: hast du bei deinem Router ein RC Script selbst gebaut? Ich weis momentan nicht wie ich das ganze automatisch starten/stoppen soll. ein kill -HUP macht mir zwar alles platt, aber ich muss dann gw6c zweimal starten, dass alles wieder einwandfrei läuft.

Habt ihr einen Vorschlag für mich?

Mein momentanes Script sieht so aus:
http://nopaste.debianforum.de/21770

Gruß

schorsch

[Danielx]

@reox:

Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
Siehe RFC 3315

Privacy Extensions for Stateless Address Autoconfiguration in IPv6
Siehe RFC 4941

Gruß,
Daniel

[reox]

@schorsch_76, @Danielx: danke, überzeugt man lernt doch nie aus!

[michas]

(sorry für die späte Antwort, grad etwas stressig...)

Windows-Rechner sollten auch funktionieren. Je nach Windows-Version musst du halt ggf. erst noch das IPv6 einschalten. Und ich glaub irgendwo gab es bei irgendeiner Windows-version den Bug, dass er für DNS unbedingt v4 wollte...
(Online-)Spiele könnten evt. das Problem haben, dass sie sich unbedingt zu einer literalen IPv4-Adresse verbinden wollen. Spätestens wenn man das Problem dann lösen muss indem man v4 in v6 tunnelt um das dann in v4 zu tunneln, wird es irgendwie leicht pervers.

Tunnelarten sind nicht *so* kompliziert. Du hast halt verschiedene Programme (tspc, gw6c, aiccu) die über Protokolle wie TSP (tunnel setup protocol) die Tunneldaten aushandeln und dann einen ganz normalen(tm) Tunnel einrichten, den du auch händisch baun könntest. Neben dem normalen Tunnel, gibt es dann noch 6to4, der dann automatisch v6 Adressen aus deiner v4 Adresse baut, so dass insbesondere beim Routing auch klar ist, wo das Paket hin soll.

Ich hab auf dem Router nen tspc laufen, den ich beim hochfahren des v4 Interfaces einfach gleich mitstarte. Also ganz ohne RC-script.
Die IP, die du von freenet bekommst ist fest, wenn du dich registriert hast. (Sogar nen schicken DNS-Eintrag bekommst du. )

[schorsch_76]

Alles klar! Das Ding läuft jetzt wie gewünscht IPv6 + IPv4 hab ich jetzt Dual Stacked laufen. Bei den "Spiele PCs" hab ich IPv6 aus, da die damit Probleme hatten. Die Surf-Kisten haben IPv6 + IPv4 wobei IPv6 bevorzugt wird

Vielen Dank für eure Infos!

Gruß

schorsch