Lokales Netzwerk auf ipv6 umstellen

[icewave]

Hallo Ihr lieben

Ich habe mir mal wieder ein neues Ziel gesetzt - dieses Mal soll im Zuge des Netzwerkupgrades auch ipv6 mit unterstützt werden.

Zugegebener Maßen wusste ich bis vor kurzem noch nicht sooo viel davon, außer die wesentlichen Unterschiede. Braucht mich bisher aber auch nicht wirklich interessieren, da meine beiden Provider mir eh noch kein IPv6 zur verfügung stellen.

Da ich jedoch gerade alles vom Debian-Router bis zum Endgerät neu konfiguriere und optimiere, dachte ich mir, es sei doch bestimmt praktisch, wenn schon mal so viel wie möglich via IPv6 kommuniziert. Okay dann habe ich hier wohl einen Mischbetrieb am laufen, da ja nach wie vor noch eine Menge via IPv4 läuft (Verbindungen nach außen) aber die sollten dann in der Zukunft ja auch irgendwann via IPv6 gehen ...

Jetzt sitze ich gerade an meinem Debian-Router und hier hapert es zur Zeit ein wenig ...
Ich habe bereits verstanden, dass ein interface mehrere Adressen zugewiesen bekommt. Eine lokale die nur in dem Netz geht, an dem die Karte hängt und eine oder mehrere globale. Jedoch stelle ich mir gerade die essentielle Frage, wie ich meinen Servern nun feste lokale IPv6 Adressen zuteilen soll. Der Debian-Router-Server stellt bisher nur eine für die Verbindung gültige IPv6 adresse bereit, die über DHCP(v4) angeschlossenen Server haben zudem noch eine globale. Das scheint wohl daher zu kommen, dass ich im Router-Server schon IPv6-forwarding aktiviert habe, auch wenn die davor geschalteten Fritzboxen es nicht weiterleiten können. Da ich die Außenwelt bisher nicht erreiche, könnte ich jetzt wahrlos irgend eine IP-Adresse verteilen, das wäre aber genau so hirnrissig wie einen lokalen Server via DNS google.de zu taufen.

Wie soll ich meinen Servern (und lokalen clients) nun also eine feste IPv6 zuteilen, mit der sie nach möglichkeit kommunizieren, und nur für das was noch nicht geht auf ihre IPv4 zurückgreifen?
Ziel soll es halt sein, dass die Clients z.B. schon mit dem lokalen Mail-, Proxy, Web-. oder Radius-Server via IPv6 kommunizieren. Jedoch hab ich dazu momentan iwie noch nen Brett vorm Kopf ... :/

Wäre nett wenn mir jemand da weiter helfen könnte ...


Was ich übrigens NICHT vorhabe ist ein IPv6-Gateway wie z.B: Sixxx zu nutzen. Der normale Web-Traffic kann ruhig via IPv4 laufen ...

[catdog2]

Da ich die Außenwelt bisher nicht erreiche, könnte ich jetzt wahrlos irgend eine IP-Adresse verteilen, das wäre aber genau so hirnrissig wie einen lokalen Server via DNS google.de zu taufen.

Das wäre es in der tat. Es gibt auch bei ipv6 private Adressbereiche: https://en.wikipedia.org/wiki/Unique_local_address

edit://

Was ich übrigens NICHT vorhabe ist ein IPv6-Gateway wie z.B: Sixxx zu nutzen. Der normale Web-Traffic kann ruhig via IPv4 laufen ...

Falls du dir die Option offen halten möchtest ohne was umkonfigurieren zu müssen kannst du dir natürlich auch ein subnetz von einem tunnel broker zuteilen lassen und halt erst mal nur im eigenen netz benutzen.

[icewave]

Es gibt auch bei ipv6 private Adressbereiche: https://en.wikipedia.org/wiki/Unique_local_address

Ok.

Wenn ich das also richtig verstanden habe muss ich mir wahlos einen ULA generieren, den es mit großer wahrscheinlich nur bei mir geben wird. Sixxx berechnet den ja z.B. mit der MAC-Adresse. Mit hilfe des Interface Identifiers kann ich damit die IPv6-Adresse für den Debian-Router bestimmen und sie statisch einpflegen. Oder?

Wenn ich noch einen schritt weiter gehen würde, müssten ja auch alle im Netzwerk dieses Prefix kennen. D.h. wenn ich das richtig verstanden habe muss ich dafür radev installieren und dem meinen zufällig generierten Präfix mitteilen und schon würden alle im LAN mit dem gleichen Präfix eine IPv6 generieren und könnten so untereinander kommunizieren. Richtig?

Wie sieht es denn mit der Sicherheit aus? Ich meine ... NOCH erreicht mich ja eh keine Sau, aber sobald mir die Telekom oder Vodafone auch einen Präfix zuteilen würden, müsste debian sich diesen ja auch von den Fritzboxen abholen und an die Clients weiter geben ... Aber ist dann auch sichergestellt, dass die lokale IPv6 wirklich auch nur lokal geht? Ich meine ... Wenn ich jetzt die 192.168.1.10 anpinge, kann ich sicher gehen, dass ich meinen Server erreiche und das der Rest der Welt davon 100%ig nichts mitbekommen wird, weil das ja in meinem abgeschotteten LAN passiert, was durch den Debian-Router getrennt von der Außenwelt existiert ... Das ich bei der zuweisung globaler Adressen aufpassen muss ist mir klar, weil ja durch das nicht vorhanden sein von NAT jeder Client weltweit erreichbar ist. Aber gilt das auch für die lokalen Adressen? Also ist meine lokale Adresse dann auch wirklich nur lokal und mein Debian-Router wird diese Pakete auch niemals an die Außenwelt weiterleiten bzw. welche aus dem WAN annehmen?

[catdog2]

Wenn ich noch einen schritt weiter gehen würde, müssten ja auch alle im Netzwerk dieses Prefix kennen. D.h. wenn ich das richtig verstanden habe muss ich dafür radev installieren und dem meinen zufällig generierten Präfix mitteilen und schon würden alle im LAN mit dem gleichen Präfix eine IPv6 generieren und könnten so untereinander kommunizieren. Richtig?

radvd.

Aber ist dann auch sichergestellt, dass die lokale IPv6 wirklich auch nur lokal geht? Ich meine ... Wenn ich jetzt die 192.168.1.10 anpinge, kann ich sicher gehen, dass ich meinen Server erreiche und das der Rest der Welt davon 100%ig nichts mitbekommen wird, weil das ja in meinem abgeschotteten LAN passiert, was durch den Debian-Router getrennt von der Außenwelt existiert ...

They are not routable in the global IPv6 Internet.

[wanne]

Wenn ich jetzt die 192.168.1.10 anpinge, kann ich sicher gehen, dass ich meinen Server erreiche und das der Rest der Welt davon 100%ig nichts mitbekommen wird, weil das ja in meinem abgeschotteten LAN passiert, was durch den Debian-Router getrennt von der Außenwelt existiert ...

Ich würde mcih da mal nicht drauf verlassen. dassdie nicht doch geroutet werden. Ist zwar eher 90er dass sich provider sowas leistete aber sicher ist sicher.

Das ich bei der zuweisung globaler Adressen aufpassen muss ist mir klar, weil ja durch das nicht vorhanden sein von NAT jeder Client weltweit erreichbar ist.

Ich finde das das Thema ziemlcih übertrieben gehandhabt wird: Im normalfall läuft auf dem Client kein Server und der Client schmeißt alles weg was bei ihm ankommt ohne den Ihalt auch nur zu lesen. Und wenn doch ein server läuft, dann ist das meist eher gewollt dass er von außen erreichbar ist und nat nur ärgerlich. Vor allem richten viele Serverdienste mittlerweile automatisch portforwarding ein (UPnP) sodass die Rechner eben doch trotz NAT aus dem Internet erreichbar sind. Falls nicht reicht ein verwierter Rechner von nem Gast der das lokale Netz für eventuelle Angreifer sichtbar macht.
=> Wenn du die Sicherheit von NAT haben schmiest du einfach das an die stelle an der nichts einkommendes durchkommen soll (am besten direkt auf den Client Dann ist man vor umleitungen über Rechner im Netz sicher.):

Code: Alles auswählen

ip6tables -A INPUT -i ethX -m conntrack ! --ctstate ESTABLISHED -j REJECT

Da hängt man dann am besten noch die erlaubnis für icmp davor und schon hat man ne Firewall, die noicht nur sicherer sonder sogar noch etwas kommfortabler als das typische NAT ist.

Code: Alles auswählen

ip6tables -A INPUT -p icmpv6 -j ACCEPT
ip6tables -A INPUT -i ethX -m conntrack ! --ctstate ESTABLISHED,RELATED  -j REJECT