Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- netzwerke:ipv6 [2022/03/25 23:25] – [Links] st
+++ netzwerke:ipv6 [2024/12/26 10:05] (aktuell) – [Einführungserfahrungen] st
@@ Zeile 7: / Zeile 7: @@
+===== Links =====
+  * [[https://www.ripe.net/support/training/material/basic-ipv6-training-course/BasicIPv6-Slides.pdf|Basic IPv6 Course]]
+  * [[https://www.ripe.net/publications/docs/ripe-690|RIPE 690 Best Current Operational Practice for Operators: IPv6 prefix assignment for end-users - persistent vs non-persistent, and what size to choose]]
+  * [[http://www.heise.de/netze/artikel/87737|Das Mega-Netz - IPv6 wird Wirklichkeit]]
+  * [[http://www.heise.de/netze/artikel/print/98759|IPv6 für kleine Netze]]
+  * [[http://www.nsa.gov/ia/_files/ipv6/Factsheet-IPv6.pdf|Internet Protocol version 6 Factsheet (PDF from NSA.gov)]]
+  * [[http://www.heise.de/newsticker/meldung/RIPE-Studie-IPv6-Anbindung-per-6to4-ist-ziemlich-schlecht-1146797.html|RIPE-Studie: IPv6-Anbindung per 6to4 ist ziemlich schlecht]]
+  * [[http://www.heise.de/netze/artikel/15-Jahre-IPv6-1158670.html|15 Jahre IPv6 - Ein Glückwunsch]]
+  * [[http://www.heise.de/newsticker/meldung/World-IPv6-Day-Traffic-Statistiken-fuer-Zaungaeste-1256999.html|World IPv6 Day: Traffic-Statistiken für Zaungäste]]
+  * [[https://www.linux.com/learn/tutorials/428331-ipv6-crash-course-for-linux|IPv6 Crash Course For Linux]]
+  * [[https://www.flickr.com/photos/jfesler/6751926581/|Carrier Grade NAT 1]] [[https://www.flickr.com/photos/jfesler/6751925977/|2]]
+==== Vorträge ====
+  * [[https://www.youtube.com/watch?v=z7Al3P8ShM8|IPv6 Basics for "Beginners"]]
+==== Einführungserfahrungen ====
+  * [[https://db.usenix.org/events/lisa11/tech/full_papers/Babiker.pdf|Deploying IPv6 in the Google Enterprise Network. Lessons learned.]]
+  * [[http://www.heise.de/netze/artikel/IPv6-Zugang-fuers-LAN-nachruesten-1260260.html|IPv6-Zugang fürs LAN nachrüsten - Zweit-Router bringt IPv6 ins eigene LAN]]
+  * [[http://www.heise.de/newsticker/meldung/Bundeswehr-verzichtet-auf-NAT-1138736.html|Bundeswehr verzichtet auf NAT]]
+  * [[https://blog.apnic.net/2018/02/02/nat66-good-bad-ugly/|NAT66: The good, the bad, the ugly]]
+=== Blocker für IPv6 ===
+  * [[https://github.com/systemd/systemd/issues/30891|Broken IPv4 support on IPv6-preferring networks (v255) (DHCPv6 mit Option 108)]] [[https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/2049247|ubuntu report]]
+  * github und andere Seiten die IPv6 noch nicht unterstützen
 ===== Vorteile =====
@@ Zeile 12: / Zeile 41: @@
   * Source oder Destination NAT sind überflüssig (Abbildung zahlreicher privater Adressen auf wenige öffentliche Adressen). Krücke seit der öffentliche IPv4 Raum ausgeschöpft wurde und "private" Adressen benutzt werden mussten.
   * Site2Site-VPNs sind einfacher:
-    * keine Adressraumkollsionen privater Adressebereiche
+    * keine Adressraumkollisionen privater Adressbereiche
     * keine Rückrouten beim Ziel notwendig
   * höhere Routingeffizienz (weniger Routen notwendig, da die Netze nicht so klein sind)
-  * Vermeidung hoher Kosten durch v4-Adressblöcke
+  * Vermeidung hoher Kosten durch v4-Adressblöcke bzw. extra Berechnung von v4 Adressen (Cloud-Provider wie [[https://aws.amazon.com/jp/blogs/aws/new-aws-public-ipv4-address-charge-public-ip-insights/|Aws]], [[https://blog.ovhcloud.com/additional-ipv4-new-pricing/|OVH]], [[https://docs.hetzner.com/de/general/others/ipv4-pricing/|Hetzner]] haben bereits die Preise für v4 deutlich hochgedreht)
-  *
@@ Zeile 25: / Zeile 53: @@
 ===== Subnetting =====
-Subnetting erfolgt sinnvollerweise in /48 /56 und /64 (Hosts), siehe auch: **[[https://www.ripe.net/about-us/press-centre/ipv6-chart_2015.pdf|RIPE Network chart]]**.
+Subnetting erfolgt sinnvollerweise in /48 /56 und /64 (Hosts), siehe auch: **[[https://www.ripe.net/about-us/press-centre/ipv6-chart_2015.pdf|RIPE Network chart]]** bzw. [[https://www.ripe.net/manage-ips-and-asns/ipv6/ipv6-subnetting-card/|IPv6 Subnetting Card]].
-  * /29: 1:000(0-7):X:X:X:X:X:X
+  * /29: aaaa:bbb(0-7):X:X:X:X:X:X
-  * /32: 1:2:X:X:X:X:X:X
+  * /32: aaaa:bbbb:X:X:X:X:X:X
-  * /48: 1:2:3:X:X:X:X:X **empfohlene** Zuweisung pro Kunde
+  * /48: aaaa:bbbb:cccc:X:X:X:X:X **empfohlene** Zuweisung pro Kunde, kleinste mögliche BGP-Route
-  * /56: 1:2:3:00XX:X:X:X:X
+  * /52: aaaa:bbbb:cccc:dX:X:X:X:X
-  * /64: 1:2:3:4:X:X:X:X **minimale** Zuweisung pro Kunde
+  * /56: aaaa:bbbb:cccc:ddXX:X:X:X:X z.B. Standort/Anschluss
+  * /60: aaaa:bbbb:cccc:dddX:X:X:X:X
+  * /64: aaaa:bbbb:cccc:dddd:X:X:X:X **minimale** Zuweisung pro Kunde
+Einem Host sollten nicht weniger als ein /64 zugewiesen werden (sonst funktioniert SLAAC nicht und [[https://datatracker.ietf.org/doc/html/rfc3306|Unicast-Prefix-based IPv6 Multicast Addresses]] verlässt sich drauf.)
 Die RIPE schlägt [[https://my.ripe.net/#/request.ipv6.allocation|im IPv6 Allocation Request-Formular]] /29, /30, /31, /32 vor, es können jedoch auch größere Netz erteilt werden.
@@ Zeile 48: / Zeile 80: @@
   * **Führende Nullen** sind überflüssig und dürfen entfallen. Einen oder mehrere **Blöcke mit vier Nullen** direkt hintereinander kann durch das Auslassungszeichen "**::**" ersetzt werden, aber nur einmal pro Adresse!. Das altbekannte localhost lässt sich somit als ::1 schreiben.
   * Es gibt **keine herkömmlichen Netzwerkmasken mehr**, nur noch Angaben wie bei der [[wpde>Classless Inter-Domain Routing|CIDR]]-Notation. Oft werden je 64 Bit für Netz- und Hostanteil verwendet: ''0123:4567:89ab:def0::/64'' ist eine solche Netzadresse.
-  * Notation die die fälschliche Interpretation von Portnummern als Teil der IPv6-Adresse verhindert: ''http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]:8080/''
+  * **Notation für IP-Adressen mit eckigen Klammern** (verhindert die die fälschliche Interpretation von Portnummern als Teil der IPv6-Adresse): ''https://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]:8080/''
   * **Präfixe**:
     * Das Präfix ''0:0:0:0:FFFF'' ergibt zusammen mit einer IPv4-Adresse (z.B. ''10.20.30.40/32'' nach [[wpde>Classless Inter-Domain Routing|CIDR]]-Notation) eine Adresse **die der angehängten IPv4-Adresse** entspricht: ''0:0:0:0:FFFF::192.168.0.1/96'' .
@@ Zeile 106: / Zeile 138: @@
 ^ DHCP | DHCPv4: Adressvergabe und Optionen wie DNS-Server | DHCPv6: IPv6-Adresse (stateful DHCP), client kann aber auch Autoconfiguration SLAAC benutzen (RA flag: managed=0) |
 ^ Router | manuell oder via DHCP | manuell, automatisch über **Router Solicitation** und **Router Advertisement**. Prioritäten (Präferenz) als Option möglich (low, medium, high)(RA flag managed=1), Delegierung eines Präfix zur Unterverteilung möglich (Präfix delegation), Router über multicast finden: ''ping -I eth0 ff02::2''(all-routers multicast) |
-^ automatische **DNS-Server** Verteilung | DHCP | DHCPv6 oder über Router Advertisement (RFC 5006) als option (other configuration=1) |
+^ automatische **DNS-Server** Verteilung | DHCP | DHCPv6 oder über Router Advertisement (RFC 5006) als option (other configuration=1) mit z.B. rdnssd |
 ^ NAT | NAT Normalfall, da private Adressen die Adressknappheit ausgleichen müssen, Rückroute bei Zielroutern nötig | NAT nur in Ausnahmefällen nötig, nicht empfohlen |
 ^ Split-DNS | häufig (internes DNS mit privaten Adressen) ((aber nicht unbedingt nötig da auch private Adressen in öffentlichen DNS eingetragen werden können, manche DNS-Resolver - z.B. Fritz.box - haben allerdings einen rebind-Schutz)) | nicht mehr nötig da Adressen ohnehin im Normafall global routebar |
-===== Links =====
-  * [[https://www.ripe.net/publications/docs/ripe-690|RIPE 690 Best Current Operational Practice for Operators: IPv6 prefix assignment for end-users - persistent vs non-persistent, and what size to choose]]
-  * [[http://www.heise.de/netze/artikel/87737|Das Mega-Netz - IPv6 wird Wirklichkeit]]
-  * [[http://www.heise.de/netze/artikel/print/98759|IPv6 für kleine Netze]]
-  * [[http://www.nsa.gov/ia/_files/ipv6/Factsheet-IPv6.pdf|Internet Protocol version 6 Factsheet (PDF from NSA.gov)]]
-  * [[http://www.heise.de/newsticker/meldung/RIPE-Studie-IPv6-Anbindung-per-6to4-ist-ziemlich-schlecht-1146797.html|RIPE-Studie: IPv6-Anbindung per 6to4 ist ziemlich schlecht]]
-  * [[http://www.heise.de/netze/artikel/15-Jahre-IPv6-1158670.html|15 Jahre IPv6 - Ein Glückwunsch]]
-  * [[http://www.heise.de/newsticker/meldung/World-IPv6-Day-Traffic-Statistiken-fuer-Zaungaeste-1256999.html|World IPv6 Day: Traffic-Statistiken für Zaungäste]]
-  * [[https://www.linux.com/learn/tutorials/428331-ipv6-crash-course-for-linux|IPv6 Crash Course For Linux]]
-  * [[https://www.flickr.com/photos/jfesler/6751926581/|Carrier Grade NAT 1]] [[https://www.flickr.com/photos/jfesler/6751925977/|2]]
-==== Vorträge ====
-  * [[https://www.youtube.com/watch?v=z7Al3P8ShM8|IPv6 Basics for "Beginners"]]
-==== Einführungserfahrungen ====
-  * [[https://db.usenix.org/events/lisa11/tech/full_papers/Babiker.pdf|Deploying IPv6 in the Google Enterprise Network. Lessons learned.]]
-  * [[http://www.heise.de/netze/artikel/IPv6-Zugang-fuers-LAN-nachruesten-1260260.html|IPv6-Zugang fürs LAN nachrüsten - Zweit-Router bringt IPv6 ins eigene LAN]]
-  * [[http://www.heise.de/newsticker/meldung/Bundeswehr-verzichtet-auf-NAT-1138736.html|Bundeswehr verzichtet auf NAT]]
 === Verhalten von Clients ===
@@ Zeile 338: / Zeile 348: @@
 http://mirrors.bieringer.de/Linux+IPv6-HOWTO-de/x1062.html
 ==== Webserver ====
@@ Zeile 353: / Zeile 365: @@
   * [[https://datatracker.ietf.org/doc/html/rfc6939|RFC6939]] Client Link-Layer Address Option in DHCPv6 (Unterstützung im DHCP-Relay/Router notwendig)
-==== Ipv6 bei der Fritz.box ====
+==== IPv6 bei der Fritz.box ====
 Bei v4 ist die Freigabe noch per NAT auf die eine Außen-IP der Box gemappt (eingehend und ausgehend die gleiche public IP).
@@ Zeile 361: / Zeile 373: @@
 Konfiguration: Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> **IPv6-Einstellungen** (Erweiterte Ansicht)
   * Unique Local Addresses
-    * Keine Unique Local Addresses (ULA) zuweisen (nicht empfohlen) ((wüsste wozu man private v6-Adressen im Heimetz braucht solange kein Gerät v6-only ist also "Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)"))
+    * Keine Unique Local Addresses (ULA) zuweisen (nicht empfohlen): ULA wären auch erreichbar solange keine IPv6-Internetverbindung besteht und falls Geräte (Server, Drucker, ...) v6-only sind. Außerdem werden ULAs evtl. für wireguard-Tunnel (ab FritzOS 8.x) benötigt
     * Unique Local Address Ihrer FRITZ!Box: fd00::1234:1234:1234:1234/64 (das wird vom DHCPv6 als Defaultroute gesetzt)
   * DHCPv6-Server im Heimnetz:
@@ Zeile 398: / Zeile 410: @@
 ==== Ipv6 in Windows ====
+[[https://learn.microsoft.com/en-us/answers/questions/884756/after-update-from-windows-10-to-windows-11-ipv6-rf|Bei Nutzung von Win10 und SLAAC im Dualstack-modus werden die v6-Server via RA ignoriert]]
 === UNC-Pfade ===
@@ Zeile 411: / Zeile 424: @@
 Quelle: [[http://www.heise.de/ct/hotline/IPv6-in-UNC-Pfaden-1378597.html|IPv6 in UNC-Pfaden]].
+===== Problembehandlung =====
+==== NDP Tabelle ====
+  * anzeigen: ''ip -6 neigh'' -> [[software:ansible]] ab-hoc über alle hosts: ''ansible -i hosts -m shell -a <nowiki>"ip -6 neigh"</nowiki> all''
+  * löschen: ''ip -6 neigh flush all''
+===== Ipv6 Absicherung =====
+Router Advertisements ignorieren (wenn eh Router manuell gesetzt) und SLAAC nicht eingesetzt:
+<code>
+net.ipv6.conf.default.accept_ra=0
+net.ipv6.conf.default.autoconf=0
+net.ipv6.conf.all.accept_ra=0
+net.ipv6.conf.all.autoconf=0
+# wenn eth0:
+net.ipv6.conf.eth0.accept_ra=0
+net.ipv6.conf.eth0.autoconf=0
+</code>
+zur Laufzeit: <code bash>for Interface in /proc/sys/net/ipv6/conf/*; do sysctl --write $(echo $Interface.autoconf=0 | sed "s#/#.#g" | sed "s/.proc.sys.//g"); done</code>