Re: Linux und IPV6 im Heimnetz
Bernd Nachtigall
Am 08.02.19 um 07:43 schrieb Kyek, Andreas, Vodafone DE: (...)
ich habe eine Frage und hoffe auf Input: Input kannst Du kriegen, eine Lösung nicht ;-)
Immerhin:-)
Mein Heimnetz ist typisch - Fritzbox mit öffentlicher IP; dahinter ein 192.168er Netz privat.
(...)
(nutze NUR eine private domain *.local) Die TLD .local ist für die 'automatische' DNS-Konfig via Multicast DNS, avahi, Zeroconf, etc. reserviert. (Ich weiß M$ hat die mal in einer Technote für ein LAN empfohlen, aber das ist lange her und nicht mehr gültig. Wenn Du Dein LAN selbst verwaltest und z.B Dein DHCP Server die Adressen ins DNS einträgt könntest Du über eine Änderung der TLD in .home nachdenken. (https://www.theregister.co.uk/2018/02/12/icann_corp_home_mail_gtlds/) (...)
OK; kommt auf die to-do liste (ist ja kein grosser Akt)
So - und jetzt kommt IPV6.
Die FritzBox bekommt wohl eine IPV6 Adresse.
Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?"
Brauchen? Nein. Müssen? Nein. Wollen? Na ja - ich habe einen Rechner neu aufgesetzt und mir den Wolf gesucht warum das alles nicht ging. Grund war wohl, das er IPV6 eingeschaltet hatte - und damit hatte er z.B. neben einer eigenen V4 eine V6 Adresse. In /etc/resolv.conf hatte er eine V6 Adresse ALS ERSTES stehen und mein Server mit seiner V4 Adresse kam erst dahinter. (Der Rechner macht DHCP; mein Server spricht nur V4; die FritzBox allerdings auch V6) Und so funktioniert das einfach nicht. Klar habe ich V6 jetzt erst mal abgeschaltet - aber Interesse an V6 hätte ich schon - nur so aus Neugier. Es gibt keinen echten technischen Grund dafür.
Wenn ja, viel Spaß!
Wenn nein, Nutze die Fritzbox als Bridge. Nach außen IPv6, nach innen IPv4.
Bisher war mir immer egal wie ich "raus" gehe - intern ist bisher alles V4. Und von mir aus soll die Box v6 rausschicken oder V4 oder Brieftauben - Hauptsache es geht. Ein schönes WE Andreas
Hallo,
Bernd Nachtigall
Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?"
Ernsthaft? Im Zeitalter, wo öffentliche IP-Adressen wie Gold gehandelt werden fragst Du, ob man sich dieses "neue" Zeug antun soll? (IPv6 wurde 1995 standardisiert, ist also inzwischen schon mehr als volljährig). Es ist dringend an der Zeit, dass sich mehr Leute mit diesem "neumodischen Kram" befassen, da man leider von allzu vielen Seiten hört, dass hier IPv6 nicht geht und man sich auch gar nicht damit auskennt. Da kann man doch zuhause mal im kleinen üben und sich damit für die Zukunft fit machen... @Andreas: Dual-Stack IPv4/IPv6 im Heimnetz geht gut. Mach ich seit 2013 (seitdem die "Fritte" IPv6-Tunnel beherrscht) so. Man muss natürlich schauen, welche Geräte das unterstützen und welche nicht. Da man aber besser nicht "IPv6-only", sondern Dual-Stack macht, ist das eigentlich auch kein Problem. Selbst mein Brother-MuFuG spricht IPv6. Weiterhin muss natürlich die Anbindung an die große weite Welt (DSL oder <wasauchimmerduhast>) auch IPv6 können. Der Entscheidende Knackpunkt für Deine Fragen ist folgender: Die Fritzbox gibt sogenannte router advertisements (RA) auf dem LAN-Interface raus und sagt damit "Ich bin der Router für dieses Netz". Stehen jetzt alle Clients auf SLAAC (Autokonfiguration für IPv6), entnehmen die Clients dem RA-Paket die Subnetzadresse, bilden sich eine daring gültige Hostadresse und arbeiten fortan damit. Sie haben jetzt fast alles, was sie für eine erfolgreiche Internetkommunikation brauchen: IP-Adresse, Netzmaske und default gateway. Was fehlt sind DNS-Server und lokaler Domain-Name. Sowas liefert man per DHCPv6 aus. Dazu muss die Fritzbox in den RA-Paketen ein paar Bits setzen, damit der Client weiß "Die Fritzbox gibt mir nicht alle Infos, ich muss mir den Rest per DHCPv6 holen". Wie man das konkret einstellt, müsste ich zuhause mal auf der Fritzbox nachsehen. Was noch wichtig ist: Die meisten Betriebssysteme bevorzugen Verbindungen über IPv6, wenn sie eine IPv6-Adresse und eine IPv4-Adresse haben. Erst, wenn sie keine haben oder der Hostname des Zielrechners keinen AAAA-Record im DNS hat, wird IPv4 genommen. Bei Linux brauchst Du Dir über IPv6 fast keine Gedanken machen. Das läuft meist einfach so. Bei Windows ab Vista aufwärts ebenfalls. Manche merken es gar nicht, wenn sich die Windows-Kisten im lokalen Netz über ihre fe80:... Adressen unterhalten. =;-) -- Mit freundlichen Grüßen Thomas Voigt Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz��
On Fri, 8 Feb 2019 11:48:03 +0000
"Voigt, Thomas"
Hallo,
Bernd Nachtigall
wrote: Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?"
Ernsthaft? Im Zeitalter, wo öffentliche IP-Adressen wie Gold gehandelt werden fragst Du, ob man sich dieses "neue" Zeug antun soll? (IPv6 wurde 1995 standardisiert, ist also inzwischen schon mehr als volljährig). Es ist dringend an der Zeit, dass sich mehr Leute mit diesem "neumodischen Kram" befassen, da man leider von allzu vielen Seiten hört, dass hier IPv6 nicht geht und man sich auch gar nicht damit auskennt. Da kann man doch zuhause mal im kleinen üben und sich damit für die Zukunft fit machen...
@Andreas: Dual-Stack IPv4/IPv6 im Heimnetz geht gut. Mach ich seit 2013 (seitdem die "Fritte" IPv6-Tunnel beherrscht) so. Man muss natürlich schauen, welche Geräte das unterstützen und welche nicht. Da man aber besser nicht "IPv6-only", sondern Dual-Stack macht, ist das eigentlich auch kein Problem. Selbst mein Brother-MuFuG spricht IPv6. Weiterhin muss natürlich die Anbindung an die große weite Welt (DSL oder <wasauchimmerduhast>) auch IPv6 können.
Der Entscheidende Knackpunkt für Deine Fragen ist folgender: Die Fritzbox gibt sogenannte router advertisements (RA) auf dem LAN-Interface raus und sagt damit "Ich bin der Router für dieses Netz". Stehen jetzt alle Clients auf SLAAC (Autokonfiguration für IPv6), entnehmen die Clients dem RA-Paket die Subnetzadresse, bilden sich eine daring gültige Hostadresse und arbeiten fortan damit. Sie haben jetzt fast alles, was sie für eine erfolgreiche Internetkommunikation brauchen: IP-Adresse, Netzmaske und default gateway. Was fehlt sind DNS-Server und lokaler Domain-Name. Sowas liefert man per DHCPv6 aus. Dazu muss die Fritzbox in den RA-Paketen ein paar Bits setzen, damit der Client weiß "Die Fritzbox gibt mir nicht alle Infos, ich muss mir den Rest per DHCPv6 holen". Wie man das konkret einstellt, müsste ich zuhause mal auf der Fritzbox nachsehen.
Was noch wichtig ist: Die meisten Betriebssysteme bevorzugen Verbindungen über IPv6, wenn sie eine IPv6-Adresse und eine IPv4-Adresse haben. Erst, wenn sie keine haben oder der Hostname des Zielrechners keinen AAAA-Record im DNS hat, wird IPv4 genommen.
Bei Linux brauchst Du Dir über IPv6 fast keine Gedanken machen. Das läuft meist einfach so. Bei Windows ab Vista aufwärts ebenfalls. Manche merken es gar nicht, wenn sich die Windows-Kisten im lokalen Netz über ihre fe80:... Adressen unterhalten. =;-)
-- Mit freundlichen Grüßen Thomas Voigt
Rgbx______________r__________V______u________m_)z{.__+_I_zr_______+-__h_;____r___brG_J'__w_j)Z__^___y___ ___^___z__
Man sollte verstehen, dass "neu" oder "volljaehrig" nicht unbedingt gleichzusetzen ist mit "besser". Vielleicht sollte als erstes mit dem Fake-Argument aufgehoert werden dass IPv4 "zur Neige" geht. In Wirklichkeit fehlt einfach (wie auch bei IPv6) ein vernuenftiges Adress-Management in den Vergabestellen (wie RIPE). Wenn man das haette koennte man einfachst sehen, dass etwa 1/3 aller IPv4 Adressen unbenutzt sind, und ein grosser Teil davon in den USA gebunkert wird (meist von Unis und oeffentlichen Institutionen). Grosse "Anbieter" neigen ebenfalls zum Bunkern. Wenn jemand die Daten hat kann er mal schauen wieviel mehr IP-Adressen die Telekom in Ihrem Kontingent hat als sie ueberhaupt Kunden und eigenes Equipment erreichen kann. IPv6 loest dieses konstruierte Problem im Uebrigen auch nicht, weil auch die Menge der v6-Adressen endlich ist. Haette man das fuer alle Zeiten loesen wollen waere es sehr einfach gewesen dynamisch lange IP-Adressen (abwaerts-kompatibel zu v4) zu definieren. Das waere Fortschritt gewesen. So sitzen wir jetzt auf dem naechsten Pulk von ausgehenden Adressen und haben das Thema spaetestens in 20 Jahren wieder. Jetzt wird jemand gleich kommen mit dem Argument dass es ja so viele (mehr) sind als die v4. Egal wieviel mehr es sind, bei der derzeitigen Zuweisungsmentalitaet (es werden ja eigentlich nur mehr Netze zugewiesen und keine einzelnen Adressen) hilft die Menge nichts. Am Ende siegt die simple Mathematik. Wenn es endlich ist wird es enden. Einen notwendigen Umstieg von v4 auf v6 sehe ich persoenlich nicht, denn v4 wird mindestens so lange ueberleben wie v6. Schaetzungsweise genau bis zu dem Tag an dem ernstzunehmende Techniker diesen Standard nochmal ueberarbeiten muessen, weil entweder jemand ein Einsehen hat, oder v6-Adressen ganz simpel auch aus sind. An einer kommenden dynamischen Laenge sehe ich keinen Weg vorbeigehen. Mein Rat: wenn v4 in der jeweiligen Anwendung geht, einfach lassen wie es ist. Es gibt schon echte Gruende warum v6 auch nach 20 Jahren kein echtes Argument fuer sich hat. Es macht einfach nichts besser. -- MfG, Stephan von Krawczynski ------------------------------------------------------ ith Kommunikationstechnik GmbH Lieferanschrift : Reiterstrasse 24, D-94447 Plattling Telefon : +49 9931 9188 0 Fax : +49 9931 9188 44 Geschaeftsfuehrer: Stephan von Krawczynski Registergericht : Deggendorf HRB 1625 ------------------------------------------------------ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fr., 8. Feb. 2019 um 13:58 Uhr schrieb Stephan von Krawczynski
Vielleicht sollte als erstes mit dem Fake-Argument aufgehoert werden dass IPv4 "zur Neige" geht. In Wirklichkeit fehlt einfach (wie auch bei IPv6) ein
https://ipv6excuses.com/ Du kannst natürlich auch gerne Betreibern wie China Telecom erklären, wie sie mit v4 ihre Kunden in einem Netz halten sollen. Routing mit mehreren /8 ist sicherlich ganz einfach.
ith Kommunikationstechnik GmbH
Die Firma hat keine Kunden mit v6 only und kann kein DNSSEC. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Fri, 8 Feb 2019 14:20:08 +0100
Martin Schröder
Am Fr., 8. Feb. 2019 um 13:58 Uhr schrieb Stephan von Krawczynski
: Vielleicht sollte als erstes mit dem Fake-Argument aufgehoert werden dass IPv4 "zur Neige" geht. In Wirklichkeit fehlt einfach (wie auch bei IPv6) ein
Du kannst natürlich auch gerne Betreibern wie China Telecom erklären, wie sie mit v4 ihre Kunden in einem Netz halten sollen. Routing mit mehreren /8 ist sicherlich ganz einfach.
Das Argument hast Du natuerlich weggekuerzt, ist ja auch schlecht wenn man kein Gegenargument hat. IPV6 ist endlich und deshalb keine Loesung fuer ausgehende IP-Adressen. -- MfG, Stephan von Krawczynski -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 08.02.19 um 16:12 schrieb Stephan von Krawczynski:
On Fri, 8 Feb 2019 14:20:08 +0100 Martin Schröder
wrote: Das Argument hast Du natuerlich weggekuerzt, ist ja auch schlecht wenn man kein Gegenargument hat. IPV6 ist endlich und deshalb keine Loesung fuer ausgehende IP-Adressen.
Moin, moin, ja, auch IPv6 ist endlich... ... aber wenn man sich mal die Zahlen genauer anschaut, sollte klar werden, dass das Problem ausgehender IP-Adressen damit *nicht* nur "ein paar Jahre" in die Zukunft verschoben wurde. IPv4 hat 2^32 Adressen (ok, wegen Multicast, localnet usw. nicht alle nutzbar) (Diese Sonderbereiche lasse ich bei IPv6 auch außen vor. Damit ist die folgende Rechnung nicht ganz exakt, aber es geht ja auch nur um die Größenordnungen.) Bei IPv6 vergibt man statt einer einzelnen Adresse ein oder mehrere /64 Subnets an den User. Jeder Enduser (Firma oder Privatperson) hat damit mindestens 2^64 Adressen - das gesamt bisherige Internet im Quadrat - für seine lokale Adressierung zur Verfügung. Ich kann mir nicht vorstellen, dass das jemand in seinem lokalen Netz jemals wirklich ausnutzen kann. Auch wenn sich das IoT ganz massiv ausdehnt, wird in absehbarer Zeit niemand im Wohnzimmer ein Netz von der Größe des heutigen Internet haben - und selbst dann wäre das in lokale Netz nur zu einem verschwindend kleinen Bruchteil genutzt. Damit hat sich auch der Bedarf für NAT beim Enduser eigentlich erledigt. (Ok, es gibt andere Argumente für NAT, aber Adressknappheit fällt als Argument zukünftig aus.) Wenn man an Privatuser /64er Netze vergibt, hat man 2^64 Netze - d.h. die Anzahl der möglichen Anschlüsse ist 2^32 (~ 4 Milliarden) mal so hoch wie bisher bei IPv4. An Firmen werden heute oft /56er Netze vergeben - auch damit ist die Anzahl der möglichen Anschlüsse noch 2^24 (~ 16 Millionen) mal so hoch wie bisher bei IPv4. Mal angenommen, die Bevölkerung würde von derzeit knapp 8 Milliarden um den Faktor 1000 auf 8 Billionen zunehmen (vielleicht nicht nur hier auf der Erde) und wir geben jedem /56er Subnetze, dann komme ich überschlagsmäßig immer noch auf rund 9000 mögliche Anschlüsse (mit jeweils 256 /64er Subnetzen) pro User. (Natürlich hinkt diese Rechnung wie jede Überschlagsrechnung. Aber die reine Größenordnung der Zahlen sollte klar machen, dass hier auch bei heftigen Reibungsverlusten (selbst in der unrealistischen Größenordnung von Faktor 100) noch sehr viel Luft drin ist.) IPv6 sollte also sogar die Ausdehnung der Menschheit über das gesamte Sonnensystem locker verkraften. Gruß Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fr., 8. Feb. 2019 um 17:39 Uhr schrieb Marcus Graf
IPv6 sollte also sogar die Ausdehnung der Menschheit über das gesamte Sonnensystem locker verkraften.
Theoretisch. Praktisch dürfte es ab 2100 spannend werden. https://ripe77.ripe.net/presentations/128-presentation-en.pdf Es gab wohl für v6 auch die Idee, mit variablen Adreßbreiten zu arbeiten. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 08.02.19 um 12:48 schrieb Voigt, Thomas:
Bernd Nachtigall
wrote: Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?" Ernsthaft? Ja, IPv6 löst Probleme (mangelnde Anzahl an zur Verfügung stehenden Adressen) die ich im LAN nicht habe.
Im Zeitalter, wo öffentliche IP-Adressen wie Gold gehandelt werden fragst Du, ob man sich dieses "neue" Zeug antun soll? Bezahlst Du für Deine internen Adressen etwas?
Es ist dringend an der Zeit, dass sich mehr Leute mit diesem "neumodischen Kram" befassen, da man leider von allzu vielen Seiten hört, dass hier IPv6 nicht geht und man sich auch gar nicht damit auskennt. Da kann man doch zuhause mal im kleinen üben und sich damit für die Zukunft fit machen...
Ist es nicht eher so das IPv6 die explizite Konfiguration (im LAN!) eher überflüssig machen soll. Einfach einstöpseln und es klappt? Aber das ist nicht das Thema dieses Threads. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Thomas, hallo alle, Am 08.02.19 um 12:48 schrieb Voigt, Thomas:
Bernd Nachtigall
wrote: Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?"
Ernsthaft?
ohne jetzt in die schon hitziger Debatte einsteigen zu wollen, stand ich dieser Tage ebenfalls vor Bernds Problem. Ich hatte die Phantasie, mein privat genutztes 192.168.x.x/24 vollständig nach IPv6 zu wandeln. Und plötzlich entdeckte ich lauter Fragen, die ich nicht beantworten kann. - Gibt es einen logischen Ersatz für die nicht gerouteten Netze 192.168.x.x und 10.10.y.y? - Welche IP-Nummern soll ich für meine Geräte nutzen? Muss ich die irgendwo beantragen oder kann ich die aus der MAC der jeweiligen Netzwerkkarte generieren? - Wenn jede IP-Nummer jetzt weltweit eindeutig wird, muss ich mir neue Gedanken darum machen, meine Rechner vor Zugriffen aus dem Internet zu schützen? - Es gibt offensichtlich die Möglichkeit, das externe IPv6-Netz über NAT aus meinem internen IPv4-Netz zu nutzen. Wie funktioniert umgekehrt der Zugriff auf externe IPv4-Adressen, wenn ich intern IPv6 benutze? Im Ergebnis bin ich bei IPv4 geblieben und ein wenig frustriert, weil ich auch keinen lesbaren, überschaubaren Text gefunden habe, der mit diese Fragen beantwortet hätte. Und so bleibt die Antwort der Frage von Bernd zunächst: Nee. Never change a running system. Da kann IPv6 meinetwegen in Rente gehen. Das kannst Du gerne rückständig finden, Thomas. Aber in meinem Leben gibt es Dinge die noch geringfügig interessanter sind, als meine IP-Nummern zu ändern. Noch funktioniert es und irgendwann wird sich eine Gelegenheit finden, zu lernen, wie das gehen wird. Aber vielleicht magst Du ja derjenige sein, der diesen Text zur Verfügung stellt oder auch nur einen Link dahin zeigen lässt, wo der Text schon steht. Die Erläuterung, wie es geht, brächte mir viel mehr als eine Belehrung, dass es geht. Just my 0,02 €. Gruß Jan -- _________________________________________________________________ Jan Handwerker http://www.imk-tro.kit.edu/jan.handwerker.php
Hallo,
Handwerker, Jan (IMK)
ohne jetzt in die schon hitziger Debatte einsteigen zu wollen, stand ich dieser Tage ebenfalls vor Bernds Problem.
Ich möchte ebenfalls nicht in die hitzige Diskussion einsteigen. Mir war nur wichtig, mal ein paar Leute mehr "munter zu machen". Hat aber scheibar nicht geklappt. Da Du aber konstruktiv gefragt hast, will ich Dir gern antworten:
- Gibt es einen logischen Ersatz für die nicht gerouteten Netze 192.168.x.x und 10.10.y.y?
Nein. Man hatte ursprünglich mal einen Bereich als "private Adressen" vorgesehen, hat das aber später wieder verworfen. Siehe dazu https://de.wikipedia.org/wiki/IPv6#Site_Local_Unicast_(veraltet) Bei IPv6 soll alles eindeutig sein und deswegen bekommt jedes Gerät (mindestens) eine weltweit eindeutige (GUA, "Global Unique Address") Adresse.
- Welche IP-Nummern soll ich für meine Geräte nutzen? Muss ich die irgendwo beantragen oder kann ich die aus der MAC der jeweiligen Netzwerkkarte generieren?
Deine Geräte generieren tatsächlich aud der MAC der Netzwerkkarte eine sogenannte "Link-Local-Address" (LLA). Diese hat aber nur auf dem Link dieser Netzwerkkarte bis zum Router des Subnetzes Gültigkeit. Sie kann nicht in oder durch das Internet geroutet werden. Mehr dazu: https://de.wikipedia.org/wiki/IPv6#Link-Local-Unicast-Adressen Die IPv6-Adressen bekommst Du von Deinem Internet-Provider. Er hat einen Pool von GUA und weißt Deinem DSL-Router i.d.R. ein komplettes IPv6-Subnetz (Größe ist unterschiedlich je nach Provider) zu. Dein DSL-Router vergibt aus diesem Subnetz die Adressen an Deine Geräte im LAN per SLAAC.
- Wenn jede IP-Nummer jetzt weltweit eindeutig wird, muss ich mir neue Gedanken darum machen, meine Rechner vor Zugriffen aus dem Internet zu schützen?
Durch die nun eindeutigen Adressen entfällt die Erfordernis, NAT zu machen und dahinter ganze Netze zu verstecken. Die Firewall-Regeln werden mit IPv6 eindeutiger, da es immer eine 1:1-Beziehung Quelle:Senke gibt. Es gibt auch keine "Portweiterleitungen" (im Sinne von IPv4) mehr, wo die Quell- und Zieladressen in IP-Paketen verändert werden müssen. Insofern ist das sogar logischer als vorher und geht auch einen wichtigen Schritt in Richtung Datenintegrität, da die Pakete nicht mehr auf ihrem Weg verändert werden.
- Es gibt offensichtlich die Möglichkeit, das externe IPv6-Netz über NAT aus meinem internen IPv4-Netz zu nutzen. Wie funktioniert umgekehrt der Zugriff auf externe IPv4-Adressen, wenn ich intern IPv6 benutze?
NAT64 auf DSL-Routern ist eher unüblich. Deswegen fährt man eher "Dual-Stack": Jedes Gerät hat IPv4- und IPv6-Adressen. Will es jetzt mit einem anderen Gerät kommunizieren, wird per DNS versucht, den AAAA-Record zum Zielhost zu bekommen. Funktioniert das, wird per IPv6 kommuniziert. Hat der Host keinen AAAA-Record, gibt es ein Fallback auf IPv4 anhand des A-Records. Mehr dazu: https://de.wikipedia.org/wiki/IPv6#Dual-Stack Alternativ kannst Du Dir natürlich einen internen Proxy (z.B. für HTTP oder FTP) bauen, der auf der internen Seite IPv4 und extern IPv6 spricht. Das geht aber nicht für jedes Protokoll. -- Mit freundlichen Grüßen Thomas Voigt Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz��
Hallo Thomas, hab herzlichen Dank für Deine Erläuterungen. Beim ersten Überfliegen entstehen bei mir zwar neue Fragen, aber dank Deiner Stichworte werde ich die schon lösen können. Jetzt schaue ich mal, wie weit ich im nächsten Anlauf komme. Gruß Jan Am 11.02.19 um 13:31 schrieb Voigt, Thomas:
Hallo,
Handwerker, Jan (IMK)
schrieb: ohne jetzt in die schon hitziger Debatte einsteigen zu wollen, stand ich dieser Tage ebenfalls vor Bernds Problem.
Ich möchte ebenfalls nicht in die hitzige Diskussion einsteigen. Mir war nur wichtig, mal ein paar Leute mehr "munter zu machen". Hat aber scheibar nicht geklappt.
Da Du aber konstruktiv gefragt hast, will ich Dir gern antworten:
- Gibt es einen logischen Ersatz für die nicht gerouteten Netze 192.168.x.x und 10.10.y.y?
Nein. Man hatte ursprünglich mal einen Bereich als "private Adressen" vorgesehen, hat das aber später wieder verworfen. Siehe dazu https://de.wikipedia.org/wiki/IPv6#Site_Local_Unicast_(veraltet)
Bei IPv6 soll alles eindeutig sein und deswegen bekommt jedes Gerät (mindestens) eine weltweit eindeutige (GUA, "Global Unique Address") Adresse.
- Welche IP-Nummern soll ich für meine Geräte nutzen? Muss ich die irgendwo beantragen oder kann ich die aus der MAC der jeweiligen Netzwerkkarte generieren?
Deine Geräte generieren tatsächlich aud der MAC der Netzwerkkarte eine sogenannte "Link-Local-Address" (LLA). Diese hat aber nur auf dem Link dieser Netzwerkkarte bis zum Router des Subnetzes Gültigkeit. Sie kann nicht in oder durch das Internet geroutet werden. Mehr dazu: https://de.wikipedia.org/wiki/IPv6#Link-Local-Unicast-Adressen
Die IPv6-Adressen bekommst Du von Deinem Internet-Provider. Er hat einen Pool von GUA und weißt Deinem DSL-Router i.d.R. ein komplettes IPv6-Subnetz (Größe ist unterschiedlich je nach Provider) zu. Dein DSL-Router vergibt aus diesem Subnetz die Adressen an Deine Geräte im LAN per SLAAC.
- Wenn jede IP-Nummer jetzt weltweit eindeutig wird, muss ich mir neue Gedanken darum machen, meine Rechner vor Zugriffen aus dem Internet zu schützen?
Durch die nun eindeutigen Adressen entfällt die Erfordernis, NAT zu machen und dahinter ganze Netze zu verstecken. Die Firewall-Regeln werden mit IPv6 eindeutiger, da es immer eine 1:1-Beziehung Quelle:Senke gibt. Es gibt auch keine "Portweiterleitungen" (im Sinne von IPv4) mehr, wo die Quell- und Zieladressen in IP-Paketen verändert werden müssen. Insofern ist das sogar logischer als vorher und geht auch einen wichtigen Schritt in Richtung Datenintegrität, da die Pakete nicht mehr auf ihrem Weg verändert werden.
- Es gibt offensichtlich die Möglichkeit, das externe IPv6-Netz über NAT aus meinem internen IPv4-Netz zu nutzen. Wie funktioniert umgekehrt der Zugriff auf externe IPv4-Adressen, wenn ich intern IPv6 benutze?
NAT64 auf DSL-Routern ist eher unüblich. Deswegen fährt man eher "Dual-Stack": Jedes Gerät hat IPv4- und IPv6-Adressen. Will es jetzt mit einem anderen Gerät kommunizieren, wird per DNS versucht, den AAAA-Record zum Zielhost zu bekommen. Funktioniert das, wird per IPv6 kommuniziert. Hat der Host keinen AAAA-Record, gibt es ein Fallback auf IPv4 anhand des A-Records. Mehr dazu: https://de.wikipedia.org/wiki/IPv6#Dual-Stack
Alternativ kannst Du Dir natürlich einen internen Proxy (z.B. für HTTP oder FTP) bauen, der auf der internen Seite IPv4 und extern IPv6 spricht. Das geht aber nicht für jedes Protokoll.
-- Mit freundlichen Grüßen Thomas Voigt Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz�
-- _________________________________________________________________ Jan Handwerker http://www.imk-tro.kit.edu/jan.handwerker.php
On Mon, 11 Feb 2019 12:31:50 +0000
"Voigt, Thomas"
- Wenn jede IP-Nummer jetzt weltweit eindeutig wird, muss ich mir neue Gedanken darum machen, meine Rechner vor Zugriffen aus dem Internet zu schützen?
Durch die nun eindeutigen Adressen entfällt die Erfordernis, NAT zu machen und dahinter ganze Netze zu verstecken. Die Firewall-Regeln werden mit IPv6 eindeutiger, da es immer eine 1:1-Beziehung Quelle:Senke gibt. Es gibt auch keine "Portweiterleitungen" (im Sinne von IPv4) mehr, wo die Quell- und Zieladressen in IP-Paketen verändert werden müssen. Insofern ist das sogar logischer als vorher und geht auch einen wichtigen Schritt in Richtung Datenintegrität, da die Pakete nicht mehr auf ihrem Weg verändert werden.
Versuch bitte das nicht als "quasi-sicher" darzustellen. In Wirklichkeit ist das fehlende NAT ein gravierendes Sicherheitsproblem. Und mit Datenintegritaet hat das Ganze gar nichts zu tun, denn wenn jemand versucht Deine IP-Verbindungen zu kapern waere das in jedem Fall ausserhalb Deines Netzes und entzoege sich voellig Deiner Kontrolle. Wenn Du aber auch nur das kleinste Detail an Deiner lokalen Firewall vergessen hast sind die betroffenen Geraete dem ganzen Gehacke aus dem Netz ausgesetzt, eben weil jeder ueberallhin routen kann. Es gibt quasi keine passive Sicherheit mehr durch NAT. Und das ist ein fundamentales Problem. Nur um mal einen Eindruck davon zu bekommen was im Internet ablaeuft. Wir sind wirklich nicht gross, filtern an den Gateways derzeit ca 25.000 Pakete pro Minute ab (Peak 220.000/min) die irgendeinen Versuch repraesentieren unsere Systeme zu hacken/beeinflussen. Man muss sich darueber im Klaren sein, dass das heute alles schon automatisiert ablaeuft. -- MfG, Stephan von Krawczynski ------------------------------------------------------ ith Kommunikationstechnik GmbH Lieferanschrift : Reiterstrasse 24, D-94447 Plattling Telefon : +49 9931 9188 0 Fax : +49 9931 9188 44 Geschaeftsfuehrer: Stephan von Krawczynski Registergericht : Deggendorf HRB 1625 ------------------------------------------------------ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mo., 11. Feb. 2019 um 14:01 Uhr schrieb Stephan von Krawczynski
Versuch bitte das nicht als "quasi-sicher" darzustellen. In Wirklichkeit ist das fehlende NAT ein gravierendes Sicherheitsproblem.
Nein. https://www.youtube.com/watch?v=v26BAlfWBm8 Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo,
Stephan von Krawczynski
Versuch bitte das nicht als "quasi-sicher" darzustellen. In Wirklichkeit ist das fehlende NAT ein gravierendes Sicherheitsproblem.
Das liegt mir fern. Ich wollte nur auf die Unterschiede in der Denkweise hinweisen. Wenn man NAT "wegen der Sicherheit" braucht, sollte man lieber nicht auf IPv6 umstellen. Dann lieber bei IPv4 bleiben. Bis man irgendwann vom Provider zwangs-geNATed (CGNAT) wird. =;-) Wer seine Firewall beherrscht, sollte auch die "Hürde" IPv6 schaffen.
Nur um mal einen Eindruck davon zu bekommen was im Internet ablaeuft. [...]
Brauchst mir nix zu erzählen. Ich arbeite seit >20 Jahren bei einem Internet-Provider der seinen Kunden seit 2010 auch IPv6-Anschlüsse anbietet. Ich möchte hier aber keine Religionsdiskussion führen. Es ging lediglich um die Hilfestellung bei der Integration im Heimnetz auf einem openSuSE-System. Mir scheint, den Andreas (als TO) haben wir bereits erfolgreich vergrault. Schade eigentlich... -- Mit freundlichen Grüßen Thomas Voigt Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz��
Voigt, Thomas wrote:
Stephan von Krawczynski
schrieb: Versuch bitte das nicht als "quasi-sicher" darzustellen. In Wirklichkeit ist das fehlende NAT ein gravierendes Sicherheitsproblem.
Das liegt mir fern. Ich wollte nur auf die Unterschiede in der Denkweise hinweisen.
Wenn man NAT "wegen der Sicherheit" braucht, sollte man lieber nicht auf IPv6 umstellen. Dann lieber bei IPv4 bleiben. Bis man irgendwann vom Provider zwangs-geNATed (CGNAT) wird. =;-) Wer seine Firewall beherrscht, sollte auch die "Hürde" IPv6 schaffen.
Nur um mal einen Eindruck davon zu bekommen was im Internet ablaeuft. [...]
Brauchst mir nix zu erzählen. Ich arbeite seit >20 Jahren bei einem Internet- Provider der seinen Kunden seit 2010 auch IPv6-Anschlüsse anbietet.
Ich möchte hier aber keine Religionsdiskussion führen. Es ging lediglich um die Hilfestellung bei der Integration im Heimnetz auf einem openSuSE- System. Mir scheint, den Andreas (als TO) haben wir bereits erfolgreich vergrault. Schade eigentlich...
Da brauchst du keine Angst zu haben - ich arbeite seit mehr als 20 Jahren in der gleichen/ähnlichen Branche (Telekommunikation) - und da legst du dir zwangsläufig so was von einem dicken Fell zu ... :-) Ich habe mitgenommen, das ich dann wohl die FritzBox DHCP machen lassen muss - da sich ja die IPv6 Range, die ich vom Provider (Telekom) bekomme, mit jeder Einwahl ändern kann und das mein lokaler DHCPD nicht leisten kann (?). Bisher vergibt mein Server die festen IPs (und die Variablen an die Gäste) - und registriert die ggf. im DNS - und ohne DNS Auflösung hatte ich mir NFS Probleme. Aber eben alles IPv4. Die FritzBox macht bisher KEIN DHCP hier. Im Moment bin ich noch am Überlegen wie man das Problem lösen kann. Aber ich verfolge sehr interessiert was hier von den Leuten geäussert wird (und stelle fest das hier durchaus einige sehr wohl Erfahrung mit v6 haben) Andreas Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz��
Hallo,
Kyek, Andreas, Vodafone DE
Da brauchst du keine Angst zu haben - ich arbeite seit mehr als 20 Jahren in der gleichen/ähnlichen Branche (Telekommunikation) - und da legst du dir zwangsläufig so was von einem dicken Fell zu ... :-)
Puh, Glück gehabt =;-)
Ich habe mitgenommen, das ich dann wohl die FritzBox DHCP machen lassen muss - da sich ja die IPv6 Range, die ich vom Provider (Telekom) bekomme, mit jeder Einwahl ändern kann und das mein lokaler DHCPD nicht leisten kann (?).
Richtig! Der "delegated prefix" (die Netzadresse für Dein internes Netz) kann sich ändern. In der Regel gibt der Provider der Fritzbox so einen Prefix mit einer bestimmten "Lifetime" und di eFritzbox gibt das so an die internen Clients weiter. Wenn die Lifetime zu einem bestimmten Prozentsatz abgelaufen ist, sendet der Provider den nächsten Prefix an die Fritzbox. Dieser hat auch wieder eine Lifetime. Die Lifetimes beider Prefixe überschneiden sich, sodass praktisch immer 2 Prefixe bekannt sind. Ein alter und ein neuer. Somit wissen die Clients wann sie welchen Prefix benutzen müssen. Habe gerade noch einmal zu den DHCPv6-Möglichkeiten der FritzBox nachgelesen: Sie scheint es doch zu beherrschen, allerdings nur sehr eingeschränkt. Wahrscheinlich deshalb habe ich zuhause den Linux-Server als DHCPv6-Server konfiguriert und der Fritzbox gesagt, sie soll in den router advertisements auf den DHCPv6-Server hinweisen. So bekommen die Clients nun auch ihren lokalen Domainnamen, NTP-Server und was man noch so alles per DHCP austeilt. Siehe dazu https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/s... -- Mit freundlichen Grüßen Thomas Voigt Rgbx������ץ���r���҉碝��V������uﮞ˛���m�)z{.��+�I�zr�ק٢�+-��h�;����r���brG�J'��w�j)Z��^�ˬy� ޮ�^�ˬz��
Am 08.02.19 um 11:58 schrieb Kyek, Andreas, Vodafone DE:
Bernd Nachtigall
wrote: Am 08.02.19 um 07:43 schrieb Kyek, Andreas, Vodafone DE: (...)
Die Frage die sich mir in diesem Moment stellt, lautet: "Brauchst/Willst Du IPv6 im LAN?"
Brauchen? Nein. Müssen? Nein. Wollen? Na ja - ich habe einen Rechner neu aufgesetzt und mir den Wolf gesucht warum das alles nicht ging. Grund war wohl, das er IPV6 eingeschaltet hatte - und damit hatte er z.B. neben einer eigenen V4 eine V6 Adresse. In /etc/resolv.conf hatte er eine V6 Adresse ALS ERSTES stehen und mein Server mit seiner V4 Adresse kam erst dahinter. (Der Rechner macht DHCP; mein Server spricht nur V4; die FritzBox allerdings auch V6) Und so funktioniert das einfach nicht. Klar habe ich V6 jetzt erst mal abgeschaltet - aber Interesse an V6 hätte ich schon - nur so aus Neugier. Es gibt keinen echten technischen Grund dafür.
Wenn ja, viel Spaß!
Wenn nein, Nutze die Fritzbox als Bridge. Nach außen IPv6, nach innen IPv4.
Bisher war mir immer egal wie ich "raus" gehe - intern ist bisher alles V4. Und von mir aus soll die Box v6 rausschicken oder V4 oder Brieftauben - Hauptsache es geht.
Ein schönes WE
Andreas
Hi, in /etc/gai.conf kann man einstellen, ob ipv4 oder ipv6 bevorzugt benutzt werden soll. Ansonsten habe ich faulerweise meiner Fritz das DHCP komplette überlassen und in meinem lokalen DNS-Cache/resolver/... die paar internen Geräte fest beigebracht. Gruß, Hendrik -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (8)
-
Bernd Nachtigall
-
Handwerker, Jan (IMK)
-
Hendrik Woltersdorf
-
Kyek, Andreas, Vodafone DE
-
Marcus Graf
-
Martin Schröder
-
Stephan von Krawczynski
-
Voigt, Thomas