On Fri, 8 Feb 2019 11:48:03 +0000 "Voigt, Thomas" wrote:

Hallo,

Bernd Nachtigall wrote:

...

Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?"

Ernsthaft? Im Zeitalter, wo öffentliche IP-Adressen wie Gold gehandelt werden fragst Du, ob man sich dieses "neue" Zeug antun soll? (IPv6 wurde 1995 standardisiert, ist also inzwischen schon mehr als volljährig). Es ist dringend an der Zeit, dass sich mehr Leute mit diesem "neumodischen Kram" befassen, da man leider von allzu vielen Seiten hört, dass hier IPv6 nicht geht und man sich auch gar nicht damit auskennt. Da kann man doch zuhause mal im kleinen üben und sich damit für die Zukunft fit machen...

@Andreas: Dual-Stack IPv4/IPv6 im Heimnetz geht gut. Mach ich seit 2013 (seitdem die "Fritte" IPv6-Tunnel beherrscht) so. Man muss natürlich schauen, welche Geräte das unterstützen und welche nicht. Da man aber besser nicht "IPv6-only", sondern Dual-Stack macht, ist das eigentlich auch kein Problem. Selbst mein Brother-MuFuG spricht IPv6. Weiterhin muss natürlich die Anbindung an die große weite Welt (DSL oder <wasauchimmerduhast>) auch IPv6 können.

Der Entscheidende Knackpunkt für Deine Fragen ist folgender: Die Fritzbox gibt sogenannte router advertisements (RA) auf dem LAN-Interface raus und sagt damit "Ich bin der Router für dieses Netz". Stehen jetzt alle Clients auf SLAAC (Autokonfiguration für IPv6), entnehmen die Clients dem RA-Paket die Subnetzadresse, bilden sich eine daring gültige Hostadresse und arbeiten fortan damit. Sie haben jetzt fast alles, was sie für eine erfolgreiche Internetkommunikation brauchen: IP-Adresse, Netzmaske und default gateway. Was fehlt sind DNS-Server und lokaler Domain-Name. Sowas liefert man per DHCPv6 aus. Dazu muss die Fritzbox in den RA-Paketen ein paar Bits setzen, damit der Client weiß "Die Fritzbox gibt mir nicht alle Infos, ich muss mir den Rest per DHCPv6 holen". Wie man das konkret einstellt, müsste ich zuhause mal auf der Fritzbox nachsehen.

Was noch wichtig ist: Die meisten Betriebssysteme bevorzugen Verbindungen über IPv6, wenn sie eine IPv6-Adresse und eine IPv4-Adresse haben. Erst, wenn sie keine haben oder der Hostname des Zielrechners keinen AAAA-Record im DNS hat, wird IPv4 genommen.

Bei Linux brauchst Du Dir über IPv6 fast keine Gedanken machen. Das läuft meist einfach so. Bei Windows ab Vista aufwärts ebenfalls. Manche merken es gar nicht, wenn sich die Windows-Kisten im lokalen Netz über ihre fe80:... Adressen unterhalten. =;-)

-- Mit freundlichen Grüßen Thomas Voigt

Rgbx______________r__________V______u________m_)z{.__+_I_zr____
___+-__h_;____r___brG_J'__w_j)Z__^___y___ ___^___z__

Man sollte verstehen, dass "neu" oder "volljaehrig" nicht unbedingt gleichzusetzen ist mit "besser". Vielleicht sollte als erstes mit dem Fake-Argument aufgehoert werden dass IPv4 "zur Neige" geht. In Wirklichkeit fehlt einfach (wie auch bei IPv6) ein vernuenftiges Adress-Management in den Vergabestellen (wie RIPE). Wenn man das haette koennte man einfachst sehen, dass etwa 1/3 aller IPv4 Adressen unbenutzt sind, und ein grosser Teil davon in den USA gebunkert wird (meist von Unis und oeffentlichen Institutionen). Grosse "Anbieter" neigen ebenfalls zum Bunkern. Wenn jemand die Daten hat kann er mal schauen wieviel mehr IP-Adressen die Telekom in Ihrem Kontingent hat als sie ueberhaupt Kunden und eigenes Equipment erreichen kann. IPv6 loest dieses konstruierte Problem im Uebrigen auch nicht, weil auch die Menge der v6-Adressen endlich ist. Haette man das fuer alle Zeiten loesen wollen waere es sehr einfach gewesen dynamisch lange IP-Adressen (abwaerts-kompatibel zu v4) zu definieren. Das waere Fortschritt gewesen. So sitzen wir jetzt auf dem naechsten Pulk von ausgehenden Adressen und haben das Thema spaetestens in 20 Jahren wieder. Jetzt wird jemand gleich kommen mit dem Argument dass es ja so viele (mehr) sind als die v4. Egal wieviel mehr es sind, bei der derzeitigen Zuweisungsmentalitaet (es werden ja eigentlich nur mehr Netze zugewiesen und keine einzelnen Adressen) hilft die Menge nichts. Am Ende siegt die simple Mathematik. Wenn es endlich ist wird es enden. Einen notwendigen Umstieg von v4 auf v6 sehe ich persoenlich nicht, denn v4 wird mindestens so lange ueberleben wie v6. Schaetzungsweise genau bis zu dem Tag an dem ernstzunehmende Techniker diesen Standard nochmal ueberarbeiten muessen, weil entweder jemand ein Einsehen hat, oder v6-Adressen ganz simpel auch aus sind. An einer kommenden dynamischen Laenge sehe ich keinen Weg vorbeigehen. Mein Rat: wenn v4 in der jeweiligen Anwendung geht, einfach lassen wie es ist. Es gibt schon echte Gruende warum v6 auch nach 20 Jahren kein echtes Argument fuer sich hat. Es macht einfach nichts besser. -- MfG, Stephan von Krawczynski ------------------------------------------------------ ith Kommunikationstechnik GmbH Lieferanschrift : Reiterstrasse 24, D-94447 Plattling Telefon : +49 9931 9188 0 Fax : +49 9931 9188 44 Geschaeftsfuehrer: Stephan von Krawczynski Registergericht : Deggendorf HRB 1625 ------------------------------------------------------ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

On Fri, 8 Feb 2019 14:20:08 +0100 Martin Schröder wrote:

Am Fr., 8. Feb. 2019 um 13:58 Uhr schrieb Stephan von Krawczynski :

...

Vielleicht sollte als erstes mit dem Fake-Argument aufgehoert werden dass IPv4 "zur Neige" geht. In Wirklichkeit fehlt einfach (wie auch bei IPv6) ein

https://ipv6excuses.com/

Du kannst natürlich auch gerne Betreibern wie China Telecom erklären, wie sie mit v4 ihre Kunden in einem Netz halten sollen. Routing mit mehreren /8 ist sicherlich ganz einfach.

Das Argument hast Du natuerlich weggekuerzt, ist ja auch schlecht wenn man kein Gegenargument hat. IPV6 ist endlich und deshalb keine Loesung fuer ausgehende IP-Adressen. -- MfG, Stephan von Krawczynski -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am Fr., 8. Feb. 2019 um 17:39 Uhr schrieb Marcus Graf :

IPv6 sollte also sogar die Ausdehnung der Menschheit über das gesamte Sonnensystem locker verkraften.

Theoretisch. Praktisch dürfte es ab 2100 spannend werden. https://ripe77.ripe.net/presentations/128-presentation-en.pdf Es gab wohl für v6 auch die Idee, mit variablen Adreßbreiten zu arbeiten. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Hallo Thomas, hallo alle, Am 08.02.19 um 12:48 schrieb Voigt, Thomas:

Bernd Nachtigall wrote:

...

Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?"

Ernsthaft?

ohne jetzt in die schon hitziger Debatte einsteigen zu wollen, stand ich dieser Tage ebenfalls vor Bernds Problem. Ich hatte die Phantasie, mein privat genutztes 192.168.x.x/24 vollständig nach IPv6 zu wandeln. Und plötzlich entdeckte ich lauter Fragen, die ich nicht beantworten kann. - Gibt es einen logischen Ersatz für die nicht gerouteten Netze 192.168.x.x und 10.10.y.y? - Welche IP-Nummern soll ich für meine Geräte nutzen? Muss ich die irgendwo beantragen oder kann ich die aus der MAC der jeweiligen Netzwerkkarte generieren? - Wenn jede IP-Nummer jetzt weltweit eindeutig wird, muss ich mir neue Gedanken darum machen, meine Rechner vor Zugriffen aus dem Internet zu schützen? - Es gibt offensichtlich die Möglichkeit, das externe IPv6-Netz über NAT aus meinem internen IPv4-Netz zu nutzen. Wie funktioniert umgekehrt der Zugriff auf externe IPv4-Adressen, wenn ich intern IPv6 benutze? Im Ergebnis bin ich bei IPv4 geblieben und ein wenig frustriert, weil ich auch keinen lesbaren, überschaubaren Text gefunden habe, der mit diese Fragen beantwortet hätte. Und so bleibt die Antwort der Frage von Bernd zunächst: Nee. Never change a running system. Da kann IPv6 meinetwegen in Rente gehen. Das kannst Du gerne rückständig finden, Thomas. Aber in meinem Leben gibt es Dinge die noch geringfügig interessanter sind, als meine IP-Nummern zu ändern. Noch funktioniert es und irgendwann wird sich eine Gelegenheit finden, zu lernen, wie das gehen wird. Aber vielleicht magst Du ja derjenige sein, der diesen Text zur Verfügung stellt oder auch nur einen Link dahin zeigen lässt, wo der Text schon steht. Die Erläuterung, wie es geht, brächte mir viel mehr als eine Belehrung, dass es geht. Just my 0,02 €. Gruß Jan -- _________________________________________________________________ Jan Handwerker http://www.imk-tro.kit.edu/jan.handwerker.php

Hallo Thomas, hab herzlichen Dank für Deine Erläuterungen. Beim ersten Überfliegen entstehen bei mir zwar neue Fragen, aber dank Deiner Stichworte werde ich die schon lösen können. Jetzt schaue ich mal, wie weit ich im nächsten Anlauf komme. Gruß Jan Am 11.02.19 um 13:31 schrieb Voigt, Thomas:

Hallo,

Handwerker, Jan (IMK) schrieb:

...

ohne jetzt in die schon hitziger Debatte einsteigen zu wollen, stand ich dieser Tage ebenfalls vor Bernds Problem.

Ich möchte ebenfalls nicht in die hitzige Diskussion einsteigen. Mir war nur wichtig, mal ein paar Leute mehr "munter zu machen". Hat aber scheibar nicht geklappt.

Da Du aber konstruktiv gefragt hast, will ich Dir gern antworten:

...

- Gibt es einen logischen Ersatz für die nicht gerouteten Netze 192.168.x.x und 10.10.y.y?

Nein. Man hatte ursprünglich mal einen Bereich als "private Adressen" vorgesehen, hat das aber später wieder verworfen. Siehe dazu https://de.wikipedia.org/wiki/IPv6#Site_Local_Unicast_(veraltet)

Bei IPv6 soll alles eindeutig sein und deswegen bekommt jedes Gerät (mindestens) eine weltweit eindeutige (GUA, "Global Unique Address") Adresse.

...

- Welche IP-Nummern soll ich für meine Geräte nutzen? Muss ich die irgendwo beantragen oder kann ich die aus der MAC der jeweiligen Netzwerkkarte generieren?

Deine Geräte generieren tatsächlich aud der MAC der Netzwerkkarte eine sogenannte "Link-Local-Address" (LLA). Diese hat aber nur auf dem Link dieser Netzwerkkarte bis zum Router des Subnetzes Gültigkeit. Sie kann nicht in oder durch das Internet geroutet werden. Mehr dazu: https://de.wikipedia.org/wiki/IPv6#Link-Local-Unicast-Adressen

Die IPv6-Adressen bekommst Du von Deinem Internet-Provider. Er hat einen Pool von GUA und weißt Deinem DSL-Router i.d.R. ein komplettes IPv6-Subnetz (Größe ist unterschiedlich je nach Provider) zu. Dein DSL-Router vergibt aus diesem Subnetz die Adressen an Deine Geräte im LAN per SLAAC.

...

- Wenn jede IP-Nummer jetzt weltweit eindeutig wird, muss ich mir neue Gedanken darum machen, meine Rechner vor Zugriffen aus dem Internet zu schützen?

Durch die nun eindeutigen Adressen entfällt die Erfordernis, NAT zu machen und dahinter ganze Netze zu verstecken. Die Firewall-Regeln werden mit IPv6 eindeutiger, da es immer eine 1:1-Beziehung Quelle:Senke gibt. Es gibt auch keine "Portweiterleitungen" (im Sinne von IPv4) mehr, wo die Quell- und Zieladressen in IP-Paketen verändert werden müssen. Insofern ist das sogar logischer als vorher und geht auch einen wichtigen Schritt in Richtung Datenintegrität, da die Pakete nicht mehr auf ihrem Weg verändert werden.

...

- Es gibt offensichtlich die Möglichkeit, das externe IPv6-Netz über NAT aus meinem internen IPv4-Netz zu nutzen. Wie funktioniert umgekehrt der Zugriff auf externe IPv4-Adressen, wenn ich intern IPv6 benutze?

NAT64 auf DSL-Routern ist eher unüblich. Deswegen fährt man eher "Dual-Stack": Jedes Gerät hat IPv4- und IPv6-Adressen. Will es jetzt mit einem anderen Gerät kommunizieren, wird per DNS versucht, den AAAA-Record zum Zielhost zu bekommen. Funktioniert das, wird per IPv6 kommuniziert. Hat der Host keinen AAAA-Record, gibt es ein Fallback auf IPv4 anhand des A-Records. Mehr dazu: https://de.wikipedia.org/wiki/IPv6#Dual-Stack

Alternativ kannst Du Dir natürlich einen internen Proxy (z.B. für HTTP oder FTP) bauen, der auf der internen Seite IPv4 und extern IPv6 spricht. Das geht aber nicht für jedes Protokoll.

-- Mit freundlichen Grüßen Thomas Voigt Rgbx������޲ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק
٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy׾� ޮ�^�ˬz�

-- _________________________________________________________________ Jan Handwerker http://www.imk-tro.kit.edu/jan.handwerker.php

Am Mo., 11. Feb. 2019 um 14:01 Uhr schrieb Stephan von Krawczynski :

Versuch bitte das nicht als "quasi-sicher" darzustellen. In Wirklichkeit ist das fehlende NAT ein gravierendes Sicherheitsproblem.

Nein. https://www.youtube.com/watch?v=v26BAlfWBm8 Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Voigt, Thomas wrote:

Stephan von Krawczynski schrieb:

...

Versuch bitte das nicht als "quasi-sicher" darzustellen. In Wirklichkeit ist das fehlende NAT ein gravierendes Sicherheitsproblem.

Das liegt mir fern. Ich wollte nur auf die Unterschiede in der Denkweise hinweisen.

Wenn man NAT "wegen der Sicherheit" braucht, sollte man lieber nicht auf IPv6 umstellen. Dann lieber bei IPv4 bleiben. Bis man irgendwann vom Provider zwangs-geNATed (CGNAT) wird. =;-) Wer seine Firewall beherrscht, sollte auch die "Hürde" IPv6 schaffen.

...

Nur um mal einen Eindruck davon zu bekommen was im Internet ablaeuft. [...]

Brauchst mir nix zu erzählen. Ich arbeite seit >20 Jahren bei einem Internet- Provider der seinen Kunden seit 2010 auch IPv6-Anschlüsse anbietet.

Ich möchte hier aber keine Religionsdiskussion führen. Es ging lediglich um die Hilfestellung bei der Integration im Heimnetz auf einem openSuSE- System. Mir scheint, den Andreas (als TO) haben wir bereits erfolgreich vergrault. Schade eigentlich...

Da brauchst du keine Angst zu haben - ich arbeite seit mehr als 20 Jahren in der gleichen/ähnlichen Branche (Telekommunikation) - und da legst du dir zwangsläufig so was von einem dicken Fell zu ... :-) Ich habe mitgenommen, das ich dann wohl die FritzBox DHCP machen lassen muss - da sich ja die IPv6 Range, die ich vom Provider (Telekom) bekomme, mit jeder Einwahl ändern kann und das mein lokaler DHCPD nicht leisten kann (?). Bisher vergibt mein Server die festen IPs (und die Variablen an die Gäste) - und registriert die ggf. im DNS - und ohne DNS Auflösung hatte ich mir NFS Probleme. Aber eben alles IPv4. Die FritzBox macht bisher KEIN DHCP hier. Im Moment bin ich noch am Überlegen wie man das Problem lösen kann. Aber ich verfolge sehr interessiert was hier von den Leuten geäussert wird (und stelle fest das hier durchaus einige sehr wohl Erfahrung mit v6 haben) Andreas Rgbx������޲ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק
٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy׾� ޮ�^�ˬz��