IPv6. Jens Link. IPv6 - sage@guug Stuttgart. jl@jenslink.net. Jens Link (jl@jenslink.net) IPv6 1 / 122

Transkript

1 IPv6 Jens Link IPv6 - sage@guug Stuttgart Jens Link (jl@jenslink.net) IPv6 1 / 122

2 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel Jens Link (jl@jenslink.net) IPv6 2 / 122

3 Wer bin ich? Freiberuflicher Consultant Linux seit ewigen Zeiten Netzwerkmonitoring (Icinga / Nagios) komplexe Netzwerke (Cisco / Juniper) Netzwerksecurity Troubleshooting Jens Link (jl@jenslink.net) IPv6 3 / 122

4 IPv6 Schulungen Der Vortrag gann nur einen Überblick geben. Ich mache auch Schulungen zu dem Thema. Nächste offene Schulungen (je 3 Tage mit viel Praxis): Open Soruce School (München): Heinlein Suppurt (Berlin): Jens Link (jl@jenslink.net) IPv6 4 / 122

5 Wer ist die GUUG e.v.? German Unix User Group Zielgruppe: Profesionelle *NIX Anwender ca. 700 Mitglieder jährliche Konferenz: Frühjahrsfachgespräch (2013: in FFM) Regionale Treffen (u.a. Berlin, Hamburg, München, Stuttgart) verschiendene Mailinglisten Jens Link IPv6 5 / 122

6 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel

7 Warum eigentlich IPv6? Das interessiert doch niemanden mehr, das kennt doch schon jeder. Jens Link IPv6 7 / 122

8 Der Endbenutzer interessiert sich nicht für IPv6... Vom Plakat mit dem an der TU Berlin für diesen Vortrag geworben wurde: Du willst 2001:4d88:ffff:ffff:d0:b723:863f:2 lesen? blog.fefe.de Jens Link IPv6 8 / 122

9 Was ist eigentlich mit IPv5? 0-1 Reserved 2-3 Unassigned 4 Internet Protocol 5 ST Datagram Mode 6 Internet Protocol version 6 7 TP/IX: The Next Internet 8 The P Internet Protocol 9 TUBA Unassigned 15 Reserved Quelle: Jens Link (jl@jenslink.net) IPv6 9 / 122

10 Gerüchte... Viele, auch große Provider arbeiten an der Einführung von IPv6 Angeblich noch dieses Jahr für Endkunden: Alice Telekom Kabel Deutschland Unity Media Jens Link IPv6 10 / 122

11 Wer hat schon IPv6? Seit dem sehr viele (World IPv6 Launch Day) Davor schon: Strato Hetzner Google T-Mobile US (Beta) heise.de Mehr: Jens Link IPv6 11 / 122

12 Mythen... (I) Aus der Presse... macht eine neue Servicequalität für Datenübertragungen in Echtzeit möglich, zum Beispiel für Internet-Telefonie und Internet-TV Jens Link IPv6 12 / 122

13 Mythen... (II) IPv6 ist viel sicherer, weil da IPSec mit drin ist! Jens Link IPv6 13 / 122

14 Mythen... (III) Wenn ich IPv6 einsetze kann ich kein IPv4 mehr nutzen Falsch! Irgendwann in ferner Zukunft mag das zutreffen, noch kann und muss man beide Protokolle einsetzen (DualStack). Jens Link IPv6 14 / 122

15 Aussagen und Fragen (I) Wir fangen in 14 Jahren damit an. Mein Kollege geht da in Rente. Da können wir uns ja nicht mehr mit NAT rausreden und müssen Firewallregeln bauen. Wann ist IPv6 so sicher wie IPv4? Jens Link IPv6 15 / 122

16 Aussagen und Fragen (II) Neulich im IRC (#denog): 13:40 OMG! "IPv6 kann noch nicht eingeführt werden, weil unsere Serverplattform dies noch nicht unterstützt" 13:40 wo? 13:40 Auf Rückfrage: "IPv4 hat 32bit, für IPv6 brauchen wir überall mindestens Dual-Core 64bit Prozessoren." Jens Link IPv6 16 / 122

17 Warum IPv6? (I) Heise (2011): Der Countdown läuft ab Der IPv4-Adresspool der IANA reicht offenbar nicht mindestens bis März, wie als ungünstiger Fall angenommen, sondern ist offenbar jetzt schon nahezu leer. Quelle: ( ) Aktuelle Schätzung für Europa: Jens Link IPv6 17 / 122

18 Warum IPv6? (II) Wenn 10/8 zu klein ist Comcast (größter amerikanischer Kabelmodemprovider) ist 10/8 zu klein. Je Kunde 2,5 Settop-Boxen je Box 2IPs. > 20Mio Kunden Jens Link IPv6 18 / 122

19 Warum IPv6? (III) /8 ThisNetwork RFC /8 Private-Use Networks RFC /8 Loopback RFC /16 Link Local RFC /12 Private-Use Networks RFC /24 IETF Protocol Assignments RFC /24 TEST-NET-1 RFC /24 6to4 Relay Anycast RFC /16 Private-Use Networks RFC /15 Network Interconnect RFC /24 TEST-NET-2 RFC /24 TEST-NET-3 RFC /4 Multicast RFC /4 Reserved for Future Use RFC /32 Limited Broadcast RFC 919 Quelle: ftp://ftp.rfc-editor.org/in-notes/rfc5735.txt Jens Link IPv6 19 / 122

20 Warum IPv6? (IV) Die Zahl der vergebenen /8 Netze wächst ständig: Quelle: Jens Link IPv6 20 / 122

21 Warum IPv6? (V) - Countdown Stand: Jens Link (jl@jenslink.net) IPv6 21 / 122

22 Warum IPv6? (VII) Ein weiteres Problem ist die Anzahl der BGP Routen: Quelle: Jens Link IPv6 22 / 122

23 Warum IPv6? (VIII) IPv6 ist da, man hat aber noch etwas Zeit sich in Ruhe in das Thema einzuarbeiten und jetzt schon passende Entscheidungen beim Netzdesign zu treffen. Ersteinmal sind IPv4-Adressen noch nicht wirklich knapp. Sie werden nur teurer. Es wurden schon erste kleine ISPs aufgekauft um an zusätzliche Adressen zu kommen. Der Handel mit Adressen hat begonnen. Microsoft hat z.b. Adressen aus der Konkursmasse von Nortel gekauft.irgendwann wird es einfach günstiger sein IPv6 einzusetzen. Jens Link IPv6 23 / 122

24 Ideen um IPv6 herauszuzögern NAT auf Seiten von Providern (CGN/LSN) 240/4 Viele andere obskure Idee, wer viel Zeit hat schaue in die Archive der NANOG, IETF,... Mailinglisten Jens Link IPv6 24 / 122

25 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel

26 Aufbau von Adressen (I) IPv6 Adressen sind 128bit lang, es gibt also mögliche Adressen n = Das entspricht 665 Milliarden Adressen pro mm 2 Erdoberfläche Jens Link (jl@jenslink.net) IPv6 26 / 122

27 Aufbau von Adressen (II) IPv6 Adressen werden hexadezimal geschrieben, immer zwei Bytes werden durch einen : getrennt. RFC5952 beschreibt die genaue Schreibweise. 2001:0DB8:0000:0000:0000:6BFF:FE42:EC1F (Falsch) Buchstaben werden klein geschrieben: 2001:0db8:0000:0000:0000:6bff:fe42:ec1f (immer noch falsch) Führende Nullen müssen weggelassen werden: 2001:db8:0:0:0:6bff:fe42:ec1f (immer noch falsch!) Der längste Block von Nullen muss durch :: ersetzt 2001:db8::6bff:fe42:ec1f (Richtig!) Jens Link (jl@jenslink.net) IPv6 27 / 122

28 Aufbau von Adressen (III) Netzwerkadressen werden wie bei IPv4 als Prefix dargestellt LIR: Kunde: Netze: 2001:db8::/ /48 - LIR 2001:db8:dead::/ /64 Netze 2001:db8:dead:ff::/ /64 Netze 2001:db8:dead:beef::/ Hosts Jens Link (jl@jenslink.net) IPv6 28 / 122

29 Adressen (I) IANA 2000::/3 AfriNIC APNIC RIPE ARIN LANIC LIR /32 RIPE PI Kunde 1 LIR /48 Kunde 2 LIR /56 Kunde PI /48 Jens Link (jl@jenslink.net) IPv6 29 / 122

30 Adressen (II) 0000::/8 0100::/8 0200::/7 0400::/6 0800::/5 1000::/4 2000::/3 4000::/3 6000::/3 8000::/3 A000::/3 C000::/3 E000::/4 F000::/5 F800::/6 FC00::/7 FE00::/9 FE80::/10 FEC0::/10 FF00::/8 Jens Link IPv6 30 / 122

31 Adressen (III) - PI/PA PA - Provider Allocated PI - Provider Independend Jens Link (jl@jenslink.net) IPv6 31 / 122

32 Adressen (IV) Es gibt verschiedene Arten der Adressierung: Unicast global link-local site-local Wird nicht mehr verwendet! Anycast Multicast Ein Interface hat immer eine link-local Unicast Adresse Ein Interface hat immer eine oder mehrere Multicast Adressen Ein Interface kann mehrere globale Adressen haben Jens Link IPv6 32 / 122

33 Adressen (V) Spezielle Adressen und Adressbereiche :: nicht spezifizierte Adresse ::1 loopback fe80::/10 link-local ff00::/8 multicast ff01::1 multicast, all hosts ff01::2 multicast, all routers fc00::/8 Unique Local Adressen (zentral verwaltet) fd00::/8 Unique Local Adressen 2000::/3 globale Unicast Adressen 2001:db8::/32 Prefix für Dokumentation Jens Link IPv6 33 / 122

34 Adressen (VI) Es ist geplant, dass jede Site ein /56 bzw. ein /48 bekommt VLAN :db8:abcd:10::/64 Provider Foo 2001:db8::/32 fa0/1: 2001:db8:ffff:ffff:1/64 ACME INC 2001:db8:abcd::/48 fa0/1 2001:db8:ffff:ffff:2/64 VLAN :db8:abcd:20::/64 Jens Link IPv6 34 / 122

35 IPv6 - Ethernet Eigener Ethernettype: 86DD kleinste MTU: 1280 Byte Path MTU Discovery (PMTUD) Jens Link (jl@jenslink.net) IPv6 35 / 122

36 MAC Adressen Netzwerkkarten Adresse / Layer 2 Adresse Soll eindeutig sein Quelle: Wikipedia Jens Link (jl@jenslink.net) IPv6 36 / 122

37 PMTUD PMTU = Path MTU Discovery MTU = Maximum Transmission Unit Versucht Leitung optimal auszunutzen Pakete werden mit gesetztem DF-Bit geschickt Ist ein Paket zu groß für einen Router auf dem Weg, so sendet dieser eine entsprechende ICMP Meldung und der Sender verkleinert seine Paketgröße. Jens Link (jl@jenslink.net) IPv6 37 / 122

38 IPv4 Header Die Länge des Headers ist variabel Die minimale Länge beträgt 20Byte Version IHL Type of Service Total Length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options Padding Jens Link (jl@jenslink.net) IPv6 38 / 122

39 IPv6 (I) Der IPv6 Header: Version Flow Label Payload Length Next Header Hop Limit Source Address Destination Address Jens Link (jl@jenslink.net) IPv6 39 / 122

40 IPv6 (II) Version 4 Bit IP Version (==6) Flowlabel 28 Bit Zusatzinformationen für Router, z.b. für QOS Payload Length 16 Bit Länge des Paketes nach dem Header Next Header 8 Bit Welcher Header kommt danach? Hop Limit 8 Bit vgl. TTL bei IPv4 Source Address 128 Bit Destination Address 128 Bit Jens Link (jl@jenslink.net) IPv6 40 / 122

41 IPv6 (III) IPv6 bietet die Möglichkeit zusätzliche Header an den normalen Header anzuhängen. Bisher definiert: Ergänzen! Hop-by-Hop Option Header Routing Header Fragment Header Authentication Header Privacy Header Jens Link IPv6 41 / 122

42 IPv6 (V) IPv6 header TCP header + data Next Header = TCP IPv6 header Routing header Fragment header fragment of TCP header + data Next Header = Next Header = Next Header = Routing Fragment TCP Jens Link (jl@jenslink.net) IPv6 42 / 122

43 ICMPv6 (I) ICMP wurde für IPv6 erweitert und beinhaltet jetzt auch Funktionen von IGMP (Internet Group Membership Protocol) und ARP Type Code Checksum Message Body Jens Link (jl@jenslink.net) IPv6 43 / 122

44 ICMPv6 (II) 1 Destination Unreachable 2 Packet Too Big 3 Time Exceeded 4 Parameter Problem 128 Echo Request 129 Echo Reply 130 Group Membership Query 131 Group Membership Report 132 Group Membership Reduction 133 Router Solicitation 134 Router Advertisement 135 Neighbor Solicitation 136 Neighbor Advertisement 137 Redirect 138 Router Renumbering Fehlermeldungen Management Jens Link (jl@jenslink.net) IPv6 44 / 122

45 Neighbor Discovery (ND) ND ist der IPv6 Ersatz für ARP: Aus dem Prefix ff02::1:ff00:0/104 und den letzten 24Bit der Ziel IP wird eine Multicast Adresse gebaut An diese Adresse wird ein ICMP Paket vom Typ 135 geschickt Der Zielhost antwortet mit Layer2 Adresse in einem ICMP Paket vom Typ 136 Jens Link IPv6 45 / 122

46 DNS (I) sipcalc IPv4: A Record IPv6: AAAA Record, früher gab es auch noch einen A6 Record, dieser ist aber mittlerweile veraltet Reverse Lookups sind ekelig, die 2001:db8:dead:beef::1 wird als f.e.e.b.d.a.e.d.8.b.d ip6.arpa. geschrieben jens@islay-mist:~/dokumente/vortraege/ipv6-neu$ sipcalc -r 2001:db8:dead:beef::1 -[ipv6 : 2001:db8:dead:beef::1] - 0 [IPV6 DNS] Reverse DNS (ip6.arpa) f.e.e.b.d.a.e.d.8.b.d ip6.arpa. Jens Link (jl@jenslink.net) IPv6 46 / 122

47 DNS (II) Es ist egal ob ein DNS Server per IPv4, IPv6 oder beidem erreichbar ist: Es können immer A und AAAA Records als Rückgabewerte kommen Jens Link (jl@jenslink.net) IPv6 47 / 122

48 DNS (III) Zonefile... NS ns1.example.com. NS ns2.example.com. MX 10 mail.example.com. localhost A ns1 A ns1 AAAA 2001:db8:1138::1 mail A mail AAAA 2001:db8:1138::1... Jens Link (jl@jenslink.net) IPv6 48 / 122

49 DNS (IV) - Was man nicht machen sollte dig ns example.com... ;; ANSWER SECTION: example.com IN NS ns1.example.co example.com IN NS ns2.example.co ;; ADDITIONAL SECTION: ns1.example.com IN A ns1.example.com IN AAAA ::1 ns2.example.com IN A ns2.example.com IN AAAA ::1... Jens Link (jl@jenslink.net) IPv6 49 / 122

50 Adressvergabe IPv4 IPv6 statisch statisch DHCP DHCPv6 - SLAAC Jens Link (jl@jenslink.net) IPv6 50 / 122

51 statische Adressvergabe (I) Router-Interfaces Switches Server Drucker... Jens Link IPv6 51 / 122

52 statische Adressvergabe (II) Debian GNU/Linux root#cat /etc/network/interfaces... iface eth0 inet static address netmask gateway iface eth0 inet6 static address 2001:db8:ffff:ffff:0002:b387:786f:2 netmask 112 gateway 2001:db8:ffff:ffff:0002:b387:786f:1 Jens Link IPv6 52 / 122

53 statische Adressvergabe (III) Cisco IOS / ASA interface FastEthernet 0/1!... ipv6 address 2001:DB8:DEAD:BEEF::1/64 Jens Link (jl@jenslink.net) IPv6 53 / 122

54 statische Adressvergabe (IV) Juniper JunOS interfaces { ge-2/0/0 { unit 0 { family inet { address /24; } family inet6 { address 2001:db8::1/64; } } } } Jens Link (jl@jenslink.net) IPv6 54 / 122

55 SLAAC (Stateless Adress AutoConfiguration) (I) SLAAC ist einer der Vorteile von IPv6. Ein Host wählt eine Interface ID, z.b. seine MAC Adresse generiert aus der MAC eine EUI64 Adresse erzeugt daraus seine link-local Adresse (Prefix: FE80::/64) (prüft, via DAD ob die Adresse schon einmal vorhanden ist) fragt per ICMP (Router Solicitation) alle Router nach weiteren Prefixen fügt für jedes empfangene Prefix eine weitere Interface Adresse hinzu hört weiter auf Router Announcements und ändert ggf. die Adressen Problem: kein automatischer Eintrag ins DNS Jens Link IPv6 55 / 122

56 EUI64 OUI (48Bit) Adresse wird auf EUI (64Bit) Adresse erweitert OUI - Organizationally Unique Identifier EUI - Extended Unique Identifier Einfügen von fffe in der Mitte U/L Bit auf 1 setzen (== localy Assigned) Beispiel MAC EUI64 00:01:6c:6c:cb:33 01:01:6cff:fe6c:cb33 Jens Link (jl@jenslink.net) IPv6 56 / 122

57 Duplicatet Address Detection (DAD) DAD verhindert die mehrfache Vergabe von IP Adressen: Unicast, ICMP Typ 135, Absender :: an die Zieladresse Wenn die Adresse schon einmal vorhanden ist erfolgt eine Antwort an ff02::1 Jens Link IPv6 57 / 122

58 SLAAC (Stateless AutoConfiguration) (II) SLAAC ist großartig für: Client-Netze Gast Zugang Konferenzen Jens Link IPv6 58 / 122

59 SLAAC - Problemfälle Großer Hosting Provider Viele Server, viele verschienden Administratoren Viele der Admins wissen nur bedingt was sie tun Bei Linux und Windows ist IPv6 per default aktiv Dienste lauschen u.u. per default an IPv6 Evtl. gibt es einen Paketfilter für IPv4 => SLAAC reist eine Hintertüre in die Konfiguration der Kunden auf Jens Link (jl@jenslink.net) IPv6 59 / 122

60 Privacy Extentions (I) Zufällige Adressen, sollen User anonym(er) machen Adresse hat bestimmte Lebenszeit siehe auch RFC4941 Problem: Wie erkennt man wer im eigenen Netz Unsinn macht? Jens Link IPv6 60 / 122

61 Privacy Extentions (II) Zufälliger Wert oder der in der vorausgehenden Iteration generierte Wert Daraus die md5 Summe bilden Die linken 64Bit davon werden genommen Das 6. Bit auf 1 setzen (== localy assigned) Prüfen ob Adresse schonmal vergeben wurde, oder mit anderer Adresse übereinstimmt Die rechten 64Bit als Grundlage für die nächste Iteration speicher Jens Link (jl@jenslink.net) IPv6 61 / 122

62 Router Advertisments Verteilen von Prefixen Steuern ob Client Adresse per DHCPv6 bekommen soll (Managed-Flag) Steuern ob Client weitere Infromationen per DHCPv6 bekommen soll (Other-Config Flag) Neuer: Verteilen von Recursive DNS Servern (RFC5006 RFC6106) ggf. Auch Mac Bindung ohne AutoConfig RFC5006 Server : radvd (Linux), Fritzbox RFC5006 Client: rdnssd (Linux/BSD) Jens Link (jl@jenslink.net) IPv6 62 / 122

63 DHCPv6 Autokonfiguration löst zwar einige Probleme, welche man z.b. beim Aufbau von redundante DHCP-Server unter IPv4 hat, allerdings ist DHCP mit IPv6 nicht überflüssig geworden. Übermittels von Informationen wie DNS, NTP, Proxy,... Adressinformationn (wenn statefull) Keine Routinginformationen Eigener Client und Server, andere Ports Client 546/UDP Server/Relay 547/UDP Jens Link IPv6 63 / 122

64 DHCP-PD (I) Dynamische Zuweisung von Prefixen per DHCPv6 Server ISC DHCP subnet6 2001:db8:372::/64 { # Some /64 prefixes available for Prefix # Delegation (RFC 3633) prefix6 2001:db8:372:1:: 2001:db8:372:FFFF:: /64; } Jens Link (jl@jenslink.net) IPv6 64 / 122

65 DHCP-PD (II) Client: Cisco interface FastEthernet4 description WAN ipv6 enable ipv6 dhcp client pd dpcp-pd!... interface Vlan1 description LAN ipv6 address dhcp-pd ::1/64 ipv6 enable!... Router#sh ipv6 general-prefix IPv6 Prefix test, acquired via DHCP PD 2001:db8:372:100::/64 Valid lifetime , \ preferred lifetime Vlan1 (Address command) Jens Link (jl@jenslink.net) IPv6 65 / 122

66 Vergleich IPv4 - IPv6 IPv4 IPv6 Adresslänge 32Bit 128Bit Layer2 Auflösung ARP ICMPv6 Adressvergabe statisch, DHCP statisch, DHCP, SLAAC DNS A Record AAAA Record Jens Link (jl@jenslink.net) IPv6 66 / 122

67 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel

68 IOS (I) ipv6 unicast-routing ipv6 cef ipv6 dhcp pool ipv6-home dns-server 2001:DB8:110B::2 domain-name example.com sntp address 2001:DB8:110B::2!... interface Vlan1 ip address ipv6 address 2001:DB8:1F0B:8E::1/64 ipv6 enable ipv6 nd prefix 2001:DB8:1F0B:8E::/64 Jens Link IPv6 68 / 122

69 IOS (II) interface Tunnel0 no ip address ipv6 address 2001:DB8:1F0A:8E::2/64 ipv6 enable tunnel source Dialer1 tunnel destination tunnel mode ipv6ip ipv6 route ::/0 Tunnel0 Jens Link IPv6 69 / 122

70 IOS (III) snmp-server community foobar RO ipv6 mgnt 1! access-list 1 permit ! ipv6 access-list mgnt permit 2001:DB8:110B::/64 line vty 0 4 access-class 1 in ipv6 access-class mgnt in!... Jens Link (jl@jenslink.net) IPv6 70 / 122

71 IOS (IV) Achtung: Bei einigen Switchen (3750 / 3560) muss erst mit sdm prefer dual-ipv4-and-ipv6 der Switch umkonfiguriert werden. Erfordert Reboot! Jens Link (jl@jenslink.net) IPv6 71 / 122

72 Linux (I) ggf. Modul ipv6 laden Interface Konfiguration wie gehabt über ip/ifconfig oder automatisch eigener(!) Paketfilter: ip6tables Beim Einsatz von Linux als Router, den Router Advertising Daemon konfigurieren und starten /etc/radvd.conf interface eth0 { AdvSendAdvert on; prefix 2a01:198:372::/64 { }; } Alternative für radvd: Quagga Jens Link (jl@jenslink.net) IPv6 72 / 122

73 Linux (II) /etc/network/interfaces... iface eth0 inet static address netmask gateway iface eth0 inet6 static address 2001:db8:ffff:ffff:0002:b387:786f:2 netmask 112 gateway 2001:db8:ffff:ffff:0002:b387:786f:1 Jens Link IPv6 73 / 122

74 Nachbarn anzeigen ip -6 neigh show ip -6 neig show fe80::21f:16ff:fe0b:480e dev eth0 lladdr 00:1f:16:0b:48:0e REACHABLE fe80::be05:43ff:fea8:85ea dev eth0 lladdr bc:05:43:a8:85:ea router REACHABLE fe80::220:4aff:fed1:35f3 dev eth0 lladdr 00:20:4a:d1:35:f3 REACHABLE 2001:db8:21f:16ff:fe0b:480e dev eth0 lladdr 00:1f:16:0b:48:0e REACHABLE fe80::9a4b:e1ff:fe08:9fb9 dev eth0 lladdr 98:4b:e1:08:9f:b9 REACHABLE Jens Link IPv6 74 / 122

75 Windows (I) Config über GUI und netsh Die üblichen Tools: ping, tracert, netstat Tunnel u.u. aktiv Vorsicht mit ICS Jens Link IPv6 75 / 122

76 Windows (I) Windows 7 netsh interface ipv6 set privacy state=disable netsh interface ipv6 set global \ randomize identifiers=disabled netsh interface ipv6 6to4 set state disabled default netsh interface ipv6 isatap set state disabled netsh interface ipv6 set teredo disabled Jens Link (jl@jenslink.net) IPv6 76 / 122

77 Tools (I) Für Tools wie ping und traceroute gibt es Ersatz, z.b. ping6 und traceroute6 Bei einigen Tools läßt sich über -4 bzw. -6 steuern welches Protokoll gewählt wird Syntaxs für URLs: Jens Link IPv6 77 / 122

78 Tools (II) Wer sein IPv6-Netz mal genauer testen will: Jens Link IPv6 78 / 122

79 nmap oban:/home/jens# nmap -sv -6 Starting Nmap 5.35DC18 ( ) at :55 CET Nmap scan report for mail.quux.de (2001:6f8:1138::1) Host is up (0.069s latency). Not shown: 992 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 5.1p1 Debian 5 (protocol 2.0) 25/tcp open smtp Postfix smtpd 53/tcp open domain ISC BIND 9.6-ESV-R1 80/tcp open http Apache httpd ((Debian) /tcp open pop3 Dovecot pop3d 443/tcp open ssl OpenSSL (SSLv3) 5222/tcp open jabber ejabberd (Protocol 1.0) 5269/tcp open jabber ejabberd Service Info: Hosts: mail.quux.de, jabber.quux.de; OS: Linux Service detection performed. Please report any incorrect results at Nmap done: 1 IP address (1 host up) scanned in seconds Jens Link (jl@jenslink.net) IPv6 79 / 122

80 ping auf alle Nachbarn ping6 -I eth0 ff02::1 Jens Link IPv6 80 / 122

81 Vorsicht Achtung! Wer Dienste anbietet sollte sich genau überlegen was er tut: Unter IPv4 bietet NAT noch einen gewissen Schutz gegen versehentlich freigegebene Dienste IPv6 bietet Ende-zu-Ende Kommunikation, d.h. ein Dienst ist von überall erreichbar. Paketfilter Regeln auf dem Host bzw. Router gelten oft nur für IPv4! Jens Link IPv6 81 / 122

82 Dienste - Was geht Bind Unbound Apache 2.x Tomcat Postfix / Sendmail / Exim Squid, ab Version 3.1 CUPS SAMBA syslog-ng, rsyslog Nagios / Icinga (je nach Plugin) net-snmp... Jens Link (jl@jenslink.net) IPv6 82 / 122

83 Dienste - Problemfälle Squid, vor Version 3.1 Apache 1.3 NFS unter Linux (in älteren Versionen) Standard Linux Syslogd MySQL (angeblich ab 5.6) Selbstgeschriebene Software... Jens Link (jl@jenslink.net) IPv6 83 / 122

84 Dienste - Übersicht Unter page_apps.html findet man eine gute Übersicht vieler IPv6 fähiger (Linux) Applikationen. Jens Link (jl@jenslink.net) IPv6 84 / 122

85 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel

86 Routing Protokolle: Nicht viel neues... IPv4 IPv6 RIPv2 RIPnG EIGRP EIGRP OSPFv2 OSPFv3 ISIS ISIS BGP BGP Jens Link IPv6 86 / 122

87 Welches soll man denn nun nehmen? Grundsatz: KISS Was wird bisher eingesetzt? Womit kennen sich die Admins aus? Bindung an einen Hersteller oder offener Standard? Für welches Protokoll bekomme ich eher externen Support? Aber: nicht die Chance vergeben Altlasten zu entsorgen und auch gleich IPv4 aufzuräumen Jens Link IPv6 87 / 122

88 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel

89 Firewalling I Linux - ip6tables *BSD - pf Check Point, Cisco (IOS + PixOS), NetScreen,... Vorsicht! Einige andere aber überhaupt nicht Jens Link (jl@jenslink.net) IPv6 89 / 122

90 Firewalling II Zum Schutz vor ungewollt eingehenden Verbindungen, State prüfen, woher kommt die Verbindung? ICMP Filter gem. RFC 4890 Sonstigen Voodoo Deep Packet Inspection, Jens Link IPv6 90 / 122

91 Firewalling III ICMP Typen, die nicht verworfen werden dürfen / sollen Destination Unreachable (Type 1) - All codes Packet Too Big (Type 2) Time Exceeded Parameter Problem (Echo Request (Type 128)) (Echo Response (Type 129)) Jens Link (jl@jenslink.net) IPv6 91 / 122

92 Firewalling IV ICMP Typen, nur lokale Gültigkeit haben (Hop-Limit=255) Router Solicitation (Type 133) Router Advertisement (Type 134) Neighbor Solicitation (Type 135) Neighbor Advertisement (Type 136) Redirect (Type 137) Inverse Neighbor Discovery Solicitation (Type 141) Inverse Neighbor Discovery Advertisement (Type 142) Listener Query (Type 130) Listener Report (Type 131) Listener Done (Type 132) Listener Report v2 (Type 143) Jens Link IPv6 92 / 122

93 Firewalling V ICMP Typen, die verworfen werden sollten: Node Information Query (Type 139) Node Information Response (Type 140) Router Renumbering (Type 138) Types 100, 101, 200, and 201 (experimental) Types 127 and 255 (ICMPv6 extentions) Jens Link (jl@jenslink.net) IPv6 93 / 122

94 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel

95 Migration IPv4 - IPv6 Es gibt keinen großen, roten Knopf mit dem zu Termin X von IPv4 auf IPv6 umgestellt wird Einige Systeme werden noch auf längere Zeit IPv4 only sein Die Umstellung kann schrittweise erfolgen, System können (und müssen) erst einmal DualStacked fahren IPv6 Only User können z.b. über Proxy-Server auf IPv4 Resourcen zugreifen Die meisten Applikationen unterstützen IPv6, auch (und vor allem) Windows ist in neueren Versionen kein Problem mehr Jens Link (jl@jenslink.net) IPv6 95 / 122

96 Netzplanung (I) IPv6 ist nicht IPv4! Umdenken ist angesagt. Einige alternative Lösungen zu NAT werden in beschrieben Oberstes Ziel ist Aggregation. D.h. Routen zusammenfassen so gut es geht. /64 die kleinste Netzwerkgröße Verschwendung ist erlaubt. Es gibt genug Adressen. So wird für Point-2-Point-Links ein /64 verwendet Mit etwas Gehirnschmalz lassen sich auch Interface-Bezeichner, Routerbezeichnungen, etc. in den IPs unterbringen. RFC5375, IPv6 Unicast Address Assignment Considerations Jens Link IPv6 96 / 122

97 Netzplanung (II) Vorgehensweise bei der Einführung von IPv6 Schulungen! Auch für den Helpdesk und Poweruser In einer Testumgebung üben Feststellen ob die eingesetzte Hard- und Software auch IPv6 unterstützt (Provider wegen IPv6 Prefix nerven) Firewall und Router zum Internet internes Netz (Routing) DNS andere Dienste: SMTP, Web,... Nicht vergessen: Monitoring! Jens Link IPv6 97 / 122

98 Übersicht 1 Einführung 2 Grundlagen 3 Konfiguration 4 Networking 5 Firewalling 6 Netzplanung 7 Tunnel

99 DSLite Verbindung Kunde - ISP: IPv6 IPv4 wird zum ISP getunnelt NAT für IPv4 beim ISP Jens Link (jl@jenslink.net) IPv6 99 / 122

100 6rd Provider Core: IPv4 Only CPE beim Kunden und Border Router muss 6rd unterstützen IPv4 wird normal transportiert IPv6 wird über IPv4 von der CPE zum Border Router getunnelt Jens Link IPv6 100 / 122

101 NAT64 Netz: IPv6 only Spezieller DNS Server (DNS64) und Gateway IPv4 Adressen werden vom DNS64 Server in ein /96 Prefix gemapt und Gateway umgesetzt Jens Link IPv6 101 / 122

102 CGN/LSN/NAT444 NAT beim Kunden (wahrscheinlich) dazu NAT beim Provider, auch mehrfach Probleme mit SIP / FTP /... sind zu erwarten Es gibt schon viele Fälle in denen das so gemacht wird Jens Link (jl@jenslink.net) IPv6 102 / 122

103 6to4 Automatische Config Selbst optimierend (wenn es funktioniert) Troubleshooting ist schwer Nicht deterministisch, da Anycast Analyse der Qualität: Jens Link IPv6 103 / 122

104 - Tunnel (SixXS) Tunnel Broker, auch für Enduser Tunnel auch für dynamische Adressen (DSL), über spezielle Software kostenlos, aber Anmeldung erforderlich Punktesystem um Missbrauch vorzubeugen Tunnelendpunkte muessen 24/7 erreichbar sein, sonst gibt es keine Punkte bietet ausserdem noch zahlreiche Infos rund um IPv6 Erfordert statische IP oder spez. Tunnelsoftware Jens Link (jl@jenslink.net) IPv6 104 / 122

105 - Tunnel (Hurricane Electric) Tunnel Broker, auch für Enduser kostenlos, aber Anmeldung erforderlich Jens Link (jl@jenslink.net) IPv6 105 / 122

106 - Teredo Für einen Host hinter NAT Nutzt UDP 3544 von Microsoft entwickelt unter Umständen aktiv Linux-Implementierng: Miredo Jens Link (jl@jenslink.net) IPv6 106 / 122