# [OT] IPV6 kommt näher und ich hab Angst :)

## moe

Hallo,

hab in irgendnem Bericht letzte Woche gelesen, das schon 50% der deutschen ISPs IPV6-ready sind (wirklich anbieten tuns allerdings die wenigsten).. Ich hab schon mehrere Male angefangen mich mit dem Thema auseinander zu setzen, allerdings immer wieder aufgegeben, mal keine Zeit, mal keine Lust und mal nicht durchgesehen, und das alles auch in beliebiger Kombination..

Deshalb hab ich Angst den Anschluss zu verlieren, alle werden IPV6 haben und mich mit meiner komischen IPV4 Adresse auslachen   :Laughing: 

Ne im Ernst, IPV6 Howtos gibts ja genug, das soll nicht das Problem sein, mich interessiert jetzt vorrangig folgendes:

Solange der ISP kein IPV6 anbietet, muss man ja den IPV6-Verkehr über einen Broker tunneln, läuft dann der ganze Traffic über den Broker, oder ist das a la DNS, dass der Broker nur einmal sagt "Die Adresse erreichst du auf dem Weg, lass mich damit in Ruhe"?

Das Subnetz, was man jetzt über einen Broker erhält, ist ja eher temporär, wo kriegt man denn wenn IPV6 wirklich offiziell ist IP-Adressen her? Kann man das Subnetz was man jetzt vom Broker erhält behalten?

Wie sieht die Unterstützung Applikationsseitig aus, das ipv6 Use-Flag seh ich oft, aber gibts noch Programme wo es fehlt?

Hat jmd. hier vielleicht schon ipv6 über einen Tunnelbroker, oder gar richtig im Einsatz und kann davon berichten?

Wie sieht denn überhaupt der Zeitplan aus, bis zur richtigen Einführung von ipv6 wirds sicherlich noch n paar Jahre dauern, oder?

Gibts denn irgendwelche Howtos, die den Einsatz von IPV6 im Lan beschreiben, dann könnt ich damit schonmal anfangen, und lokal IPV4 ersetzen.. Kann XP eigentlich ipv6?

Gruss Maurice

edit: hab noch mal nachgelesen, es sind nur "mehr als ein viertel" der ISPs..

----------

## equinox0r

auch wenn ichs nicht weiss:

frag das doch alles mal einen isp....

würd mich interessieren was die dazu meinen   :Laughing: 

----------

## slick

Wovor ich bei IPV6 eher Angst habe ist die Tatsache daß dann jede Kaffeemaschine ihre eigene IP bekommt. D.h. ich denke mal die Provider werden dann IPV6-Blöcke pro User fest vergeben. D.h. aus den Webserver-Logfiles kann man direkt den "IPV6-Username" ablesen. So frei nach dem Motto, "diese IP war doch der Herr Müller der letzte Woche schon mal hier seinen Namen eingetragen hat". So kann man Cookies auch ersetzen....

Praktisch...   :Evil or Very Mad: 

----------

## Ragin

Und?

Da steht nicht dein Name drin!

Deine IP wird eh gespeichert. Wenn ich dich bei der Kripo melde, deine IP und die Uhrzeit angebe, an der du Online warst bist genauso dran wie bei IPV6. Von daher ist das vollkommen egal.

Und auch nicht jede Kaffeemaschine wird ihre eigene IP erhalten. Es war geplant, das bestimmte Geräte eine eigene Anbindung erhalten KÖNNEN, damit wichtige Software-/Firmwareupdates eingespielt werden können. Ob du das dann anstöpselst oder nicht ist a) dein Problem und b) wird das dann genau wie bei IPV4 verlaufen. Immerhin können die nicht erwarten, dass du für deine Kaffeemaschine einen eigenen Anschluss beantragst. Daher müssen die Geräte auch für Router konfiguriert werden, was wiederrum heisst, dass auch hier eine dynamische Adresszuweisung mehr Sinn macht. IPV6 ist auch nicht unendlich. Wäre nur die Hälfte der Kaffeemaschinen angeschlossen hätten wir wahrscheinlich kaum noch Adressen für die PCs frei.

----------

## py-ro

@Ragin

ipv6 gab mehrere 100.000 Adressen pro cm² Erde Oberfläche AFAIK

----------

## Decker

 *py-ro wrote:*   

> @Ragin
> 
> ipv6 gab mehrere 100.000 Adressen pro cm² Erde Oberfläche AFAIK

 

Nein! Das ist ja wohl völlig übertrieben. Eine Größenordnung von 1500 pro m² ist eher annähernd richtig.

----------

## Tuna

ipv6 = 2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456

dh umgerechnet müssten das ca 665.570.793.348.866.943.898.599 IPs/m² auf der erde sein. deckt euch schonmal mit kaffeemaschinen ein...

----------

## py-ro

http://www.tecchannel.de/internet/189/2.html

 *Quote:*   

> Die Zahl reicht aus, um jeden Quadratkilometer der Erdoberfläche mit 665.570.793.348.866.943.898.599 Adressen abzudecken.

 

Das sind 

```
665.570.793.348.866.943.898.599 / 100.000.000.000 = 6.655.707.933.488,66943898599 Adressen Pro cm²
```

 :Cool: 

MfG

Py

[EDIT]Man hab ich untertrieben  :Wink:  [/B]

----------

## Gekko

Ich kenn mich mit Netzwerktechnik nicht so aus, aber ich weiss dass es bei IPv4 bestimmte Bereiche gibt, die für LAN's vorgesehen sind, damit keine Konflikte auftreten, z.B. 192.168.xxx.xxx

Weis jemand wie diese Bereiche in ipv6 aussehen werden? Dann werd ich nämlich mein Lan vorsorglich schonmal auf ipv6 umstellen.

----------

## realisticer

Morgen,

 *Gekko wrote:*   

> Ich kenn mich mit Netzwerktechnik nicht so aus, aber ich weiss dass es bei IPv4 bestimmte Bereiche gibt, die für LAN's vorgesehen sind, damit keine Konflikte auftreten, z.B. 192.168.xxx.xxx
> 
> Weis jemand wie diese Bereiche in ipv6 aussehen werden? Dann werd ich nämlich mein Lan vorsorglich schonmal auf ipv6 umstellen.

 

Das Aequivalent dazu sind die sogenannten Site-Lokalen-Adressen. Diese muessen von Routern

nicht weitergeleitet werden. Hier gibt es ein 54-Bit-Feld, welches dafuer da ist um eine Art

Subnetting zu betreiben.

Hier gibt es naeheres:

ftp://ftp.rfc-editor.org/in-notes/rfc3513.txt

In der Tat tut man sich im teilweise etwas schwer damit, IPv6 zu begreifen. Das liegt m. E.

daran, weil vieles nur theoretisch dargelegt wird. Man muesste einfach mal hingehen und

daheim ein IPv6 Netz aufbauen und damit rumspielen, um ein Gefuehl fuer diese neue

Technologie zu bekommen.

mfg

realisticer

----------

## aZZe

 *Tuna wrote:*   

> ipv6 = 2^128 = 340.282.366.920.938.463.463.374.607.431.768.211.456
> 
> dh umgerechnet müssten das ca 665.570.793.348.866.943.898.599 IPs/m² auf der erde sein. deckt euch schonmal mit kaffeemaschinen ein...

 

und kauft euch nen Raumschiff um andere Planeten zu besiedeln, da ihr noch sooo viele Adressen überhabt, dass man salopp gesagt die Erde und den Mars miteinander vernetzen könnte....und ein wenig mehr. Also ich denke wir sind mit diesem Protokoll erstmal gesättigt.   :Rolling Eyes: 

----------

## blue.sca

 *darktemplaaa wrote:*   

> Also ich denke wir sind mit diesem Protokoll erstmal gesättigt.  :roll:

 

hatten wir das damals nicht auch von 2GB Festplatten gesagt, oder, ich weiss, nur ne Anekdote, vom 640KB RAM, oder von Handys mit 256KB Flash Speicher? Ich wäre ganz vorsichtig mit solchen Prognosen, auch wenn es erst einmal gut aussieht, das kann keiner verleugnen.

----------

## jay

Also hier in Europa wird ipv6 nicht so schnell kommen, da wir noch genug ipv4-nummern frei haben. Ganz anders sieht es hingegen in China/Südoastasien aus - hier sind die Nummern mehr als knapp und entsprechend der Leidensdruck auf ipv6 umzustellen höher.

----------

## aZZe

 *blue.sca wrote:*   

>  *darktemplaaa wrote:*   Also ich denke wir sind mit diesem Protokoll erstmal gesättigt.   
> 
> hatten wir das damals nicht auch von 2GB Festplatten gesagt, oder, ich weiss, nur ne Anekdote, vom 640KB RAM, oder von Handys mit 256KB Flash Speicher? Ich wäre ganz vorsichtig mit solchen Prognosen, auch wenn es erst einmal gut aussieht, das kann keiner verleugnen.

 

Na ja mit den Festplatten war das ja auch ne andere Sache. Es war schon absehbar, dass das nicht reicht. Aber bei einer Zahl von 1^128 oder anders ausgedrückt 3,4028236692093846346337460743177e+38 dann kann sich wohl jeder ausrechnen wie gigantisch diese Zahl ist.  Die Erde kannst du damit 10 mal vernetzen.

----------

## thepi

einer der entwickler von ipv6 meinte dazu einmal, man könne nun "jedem sandkorn der sahara eine ip zuordnen". trotzdem denke ich das blue.sca im grunde recht hat. für die nächsten jahre, vielleicht jahrzehnte wird es sicher noch reichen, aber um so mehr geräte ans netz sollen (man denke an den selbstbestellenden kühlschrank...), desto mehr ips braucht man auch. _irgendwann_ wird's dann evtl. auch knapp.

wartet ab, wann die sandkörner endlich ihre ips einfordern kommen   :Laughing: 

pi~

----------

## Decker

 *blue.sca wrote:*   

>  *darktemplaaa wrote:*   Also ich denke wir sind mit diesem Protokoll erstmal gesättigt.   
> 
> Ich wäre ganz vorsichtig mit solchen Prognosen

 

Allerdings. Was heute nach so viel aussieht, kann vielleicht mal schnell knapp werden.

Angenommen man kommt später auf die Idee, nicht nur die Interfaces mit IPs zu versorgen, sondern jedem einzelnen Prozess der abläuft eine IP zuzuteilen, oder jedem CPU-Register. Oder was weiß ich was. Hört sich jetzt bescheuert an, aaaber...viele Sachen sind noch nicht erfunden, und was wir heute für Hexerei halten, kann in Zukunft möglich sein.

----------

## Gekko

also da ist doch TCP mit seinem Ports ausreichend oder?

Falls man mehr brachen sollte, kann man ja mehrere Ip's auf einem Gerät allgemein verwenden.

----------

## Ragin

Gut, ich habe noch nie genau nachgerechnet  :Smile: .

Trotzdem werden nicht standardmäßig alle Geräte mit einer festen IP ausgestattet, da dies durch Router usw. schlichtweg keinen Sinn macht.

Ob es nun mehr Adressen als früher gibt oder nicht ist ja beim besten Willen nicht schlimm. Ganz im Gegenteil. Endlich gibt es in Deutschland wieder massenhaft freie IPs, welche durch die Masse auch billiger werden, was bei Webhosting einiges ausmachen kann...

Denk ich...

----------

## sarahb523

was mich bei ipv6 hauptsächlich stört ist das man die adressen sich nicht mehr so einfach merken kann. Naja ok damit ist man eben zu dhcp und/oder dns gezwungen...

Ansonsten würde ich gern umsteigen, denn dieses ewige "zittern" wie lange es v4 noch gibt, finde ich eher nervig. Kann man heute seinen pc schon einfach auf v6 umstellen (bei einwahl mit modem/isdn/dsl)?

----------

## kannX

Ich verteh eh nicht so ganz warum die Provider nicht per Default versuchen schon mal IPv6 Addressen zuzuweisen.

Wenn ich mir da so einiger kostenlose IPv6 Tunnel Broker ansehe - da bekomme ich eine Netz mit einer Subnetmaske von 48Bit - macht noch 80Bit für Hosts oder zu Subnetieren *geil*, damit wäre endlich das leidige Thema mit NAT und Dingen wie P2P, FTP, VoIP usw raus.

Bei den Tunnelbroken sah es bis jetzt so aus das man auch feste Netze registrieren konnte und per Tunnel über IPv4 angebunden wird. Das Ganze wird dann über ein Webfrontend oder DynDNS ähmoche Tools aktuell gehalten, manche bieten auch an eine Subdomäne anzulegen und dafür den eigenen DNS-Server zu Hause zu benutzen - ich glaube viel mehr Freiheiten braucht man nicht.

Mit der Softwareunterstützung hatte ich bisher keine Probleme, wenn man mal davon absieht das der gute alte dhcpd kein IPv6 kann - bind, apache,exim, courier - eigentlich alles was wichtig ist funzt - da gibt es ein Projekt das sich nur zum Ziel gesetzt hat die einzelnen Projekte beim Umstieg auf IPv6 zu helfen -> danke an euch.

Selbst unter w2k/wxp geht IPv6 schon recht gut, abgesehen von irgentwelchen 0815Proggis die eine properitäre Implementierung benutzen.

Ich hoffe mal das die ISPs beim Umzug auf IPv6 endlich mal vernüftig werden oder sich die Kunden einfach nicht mehr verarschen lassen - es kann nicht sein das feste IPs oder ganze Subnetze zu vergeben eigentlich eine Grundleistung sind und kein abgefucktes Feature für das ich extra Geld bezahlen muss.

@Ragin

Sorry das ich nachfrage, aber wiso soll es keinen Sinn machen Geräten hinter einem Router feste IPs zuzuweisen?

Die andere Sache wäre das es in D genug freie IPs gibt um selbst Modem/ISDN/DSL Nutzern ein kleines Netz zuzuordnen.Last edited by kannX on Thu Sep 16, 2004 5:01 pm; edited 1 time in total

----------

## ts77

Im letzten Linux-Magazin war ein kleiner netter Artikel darüber drin.

z.B. http://www.sixxs.net/ hiermit kann man schonmal sein Netz mit IPV6 laufen lassen.

Bekommt wohl erstmal eine IP-Adresse und mit Punkten (jeden Tag wo Deine IPV6-Adresse online ist, gibts weitere Punkte) kann man sich dann ein ganzes IPV6-Netz "kaufen".

Selbst reverse-delegation soll wohl möglich sein.

Interessant ist es aber ich bin bisher zu faul das alles auszuprobieren und nen ganzes Wochenende mit dem gebastel zu verbringen  :Wink: .

----------

## furanku

 *darktemplaaa wrote:*   

>  Aber bei einer Zahl von 1^128 oder anders ausgedrückt 3,4028236692093846346337460743177e+38 [...]

 

Das gilt aber nur für seeehr grosse Werte von 1 ...   :Laughing:  Damit kann ich aber immerhin mein Heimnetzwerk bestehend aus 1^64 Desktops und 1^32 Laptops endlich vernünftig vernetzen

Ich weiss, Tippfehler, sorry, couldn't resist...

Frank

----------

## kannX

Was mir gerade noch einfällt - für weitere Informationen ist die Seite http://www.ipv6-net.de sehr interesant, da steht zum Beispiel das FEC0::0/10 ein lokaler Addressbereich ist.

Komplizierter als IPv4 finde ich IPv6 eigentlich nicht, somal man ja wie oben zu sehen die Addressen sogar abkürzen kann. Und jedem der sich etwas mit PCs auseinandersetzt sollte Hex eigentlich genausoleicht von der Hand gehen wie Dez.

Und wem das immer noch zu umständlich erscheit kann ich z.B. mit meinen bind Configs, etc weiterhelfen.

----------

## aZZe

 *furanku wrote:*   

>  Damit kann ich aber immerhin mein Heimnetzwerk bestehend aus 1^64 Desktops und 1^32 Laptops endlich vernünftig vernetzen
> 
> Ich weiss, Tippfehler, sorry, couldn't resist...
> 
> Frank

 

Stimmt damit hat das ewige abklemmen ein Ende!   :Laughing:   :Laughing: 

----------

## zielscheibe

 *moe wrote:*   

> Hallo,
> 
> Solange der ISP kein IPV6 anbietet, muss man ja den IPV6-Verkehr über einen Broker tunneln, läuft dann der ganze Traffic über den Broker, oder ist das a la DNS, dass der Broker nur einmal sagt "Die Adresse erreichst du auf dem Weg, lass mich damit in Ruhe"?
> 
> 

 

Letzteres, die Tunnelbroker verwenden dazu zwar unterschiedliche "Protokolle" (Heartbeat,  usw.), die aber nur eine Regel für den Aktualisierungsintervall darstellen. 

Ich kann jedenfalls keine Einschränkung im Ping oder Datentransfer feststellen.

Angeregt durch diesen Thread, habe ich es einmal ausprobiert auf IPv6 mittels Tunnelbrocker umzustellen. (DSL mit dyn. IP)

Fazit:

1. Versuch "Sixxs": 

Nur mit statischer IP zugebrauchen, außerdem dauert die Zuweisung eines NIC Handles bis zu einer Woche. ->Später einmal.

2. Versuch "Freenet6":

Bei Freenet6 konnte ich die angegebenen Tunnelserver [ www.broker.freenet6.net oder www.tsps2.freenet6.net ] nie erreichen-->Tonne.

2. Versuch "HE (Hurrican Electric)":

Einwahl funktioniert, anfangs nur über das Webinterface. Mhmm schön es läuft (auch IRC), leider umständlich. 

Aber halt, in den News ein Link zu einem "TunnelbrokerUpdate-Script".

http://ipv6.he.net/tunnelbroker-update.php

Na endlich, so muß es sein.  :Smile: 

----------

## moe

 *zielscheibe wrote:*   

> 1. Versuch "Sixxs":
> 
> Nur mit statischer IP zugebrauchen, außerdem dauert die Zuweisung eines NIC Handles bis zu einer Woche. ->Später einmal.
> 
> 

 

Hmm, ich hatte mich schon im Juni bei Sixxs angemeldet, da hat das Nic-Handle (über 6bone) einen Tag gedauert.. Und die bieten auch auch ein Tool an, mit dem sich die dynamische IP-Adresse automatisch aktualisiert..

Gruss Maurice, der immer noch kein ipv6 hat, aber immerhin schon 2/3 pcs für ipv6 vorbereitet hat..

----------

## piefke

he  :Smile: 

sixxs funktioniert mit dynamischer ip, entweder mit heartbeat oder dem experimentiellen aiccu:

http://noc.sixxs.net/archive/sixxs/heartbeat/

http://noc.sixxs.net/tools/aiccu/

wobei bei aiccu uebrigens im source ein ebuid enthalten ist.

zu den anfangsfragen:

 *Quote:*   

> Solange der ISP kein IPV6 anbietet, muss man ja den IPV6-Verkehr über einen Broker tunneln, läuft dann der ganze Traffic über den Broker, oder ist das a la DNS, dass der Broker nur einmal sagt "Die Adresse erreichst du auf dem Weg, lass mich damit in Ruhe"?

 

deiner routingtabelle entsprechend, läuft der ipv6 verkehr natürlich zuerst durch den tunnel zu dem endpunkt deines brokers, der ipv4 verkehr nimmt auf normalen wege seinen lauf.

 *Quote:*   

> Das Subnetz, was man jetzt über einen Broker erhält, ist ja eher temporär, wo kriegt man denn wenn IPV6 wirklich offiziell ist IP-Adressen her?

 wenn ipv6 offiziell ist, wirst du ein subnetz von deinem provider zugesichert bekommen. wäre quatsch, wenn er dir nur eine ip gibt. sonst muesstest du fuer dein netzwerk wieder nat zu hilfe nehmen und dies sollte eigentlich vermieden werden.  *Quote:*   

> Kann man das Subnetz was man jetzt vom Broker erhält behalten?

 das subnetz von deinem broker wird auf dich registriert bleiben. wie du es nach aufloesung des 6bone noch verwenden darfst, kann ich dir leider auch nicht zu sagen. 

 *Quote:*   

> Wie sieht die Unterstützung Applikationsseitig aus, das ipv6 Use-Flag seh ich oft, aber gibts noch Programme wo es fehlt?

 die wichtigsten programme sind mittlerweile ipv6 faehig, also dns,-mail,-server etc. sowie clients wie mozilla-firefox,thunderbird. tendenz sowieso steigend. 

 *Quote:*   

> Hat jmd. hier vielleicht schon ipv6 über einen Tunnelbroker, oder gar richtig im Einsatz und kann davon berichten?

 hatte selbst eine weile einen tunnel ueber sixxs laufen, werde mich aber als kuenftiger student bei der uni leipzig in deren teil vom 6bone anmelden (kuerzere uebertragunszeiten  :Wink:  )

 *Quote:*   

> Wie sieht denn überhaupt der Zeitplan aus, bis zur richtigen Einführung von ipv6 wirds sicherlich noch n paar Jahre dauern, oder?

 t-com experimentiert im moment noch, wie ich die kenne, wird das allerdings noch eine weile dauern. aber 2006 sollte es hoffentlich geschafft sein, da geplant war, das 6bone dann einzustellen (oder war das sogar schon 2005?).

 *Quote:*   

> Gibts denn irgendwelche Howtos, die den Einsatz von IPV6 im Lan beschreiben, dann könnt ich damit schonmal anfangen, und lokal IPV4 ersetzen

 http://www.gentoo.org/doc/en/ipv6.xml *Quote:*   

> Kann XP eigentlich ipv6?

 nach irgendeinem service pack (1 oder so) erst, kennt mich damit nicht so aus. 

gruesse michael

----------

## Clou

 *moe wrote:*   

> 
> 
> Gibts denn irgendwelche Howtos, die den Einsatz von IPV6 im Lan beschreiben, dann könnt ich damit schonmal anfangen, und lokal IPV4 ersetzen..

 

Ich glaube, das könnte mühsam werden  :Wink:  Auch meine ersten Versuche mit IPv6 haben mich etwas ernüchtert, allerdings nicht entmutigt.

Es begann damit, dass ich mir einen dynamischen Sixxs-Tunnel zugelegt hatte, den ich aber nicht nutzen konnte, da mein DSL-Router die entsprechenden Pakete partout nicht routen wollte. Besonders lustig, weil besagter Hersteller in seinen FAQ schreibt "benutzen Sie einen Tunnel, wenn Sie IPv6 nutzen wollen."   :Confused: 

Nun denn, ich hab's dann einfach mal mit einem anderen Rechner probiert, der nicht an einem DSL-Router hängt, und das hat prima funktioniert.

Aber dann wird doch schnell deutlich, dass IPv6 ein Henne-Ei-Problem zu haben scheint. Alle großen Webseiten zum Beispiel sind nur per IPv4 zu erreichen (www.gentoo.org auch). Gut, es gibt ein paar IRC-Server, ein paar andere nette Dienste, die mittels IPv6 zu erreichen sind, aber die richtige "Killerapplikation" für IPv6 lässt noch auf sich warten...

Trotzdem ist IPv6 eine ganz nette Spielwiese zum rumbasteln (schön, dass ich 3 ge-NAT-ete Rechner, die ich administriere jetzt auch von der Arbeit direkt erreichen kann usw.) und ich kann nur jedem empfehlen, sich das mal anzuschauen.

Clou

----------

## moe

Also ich bin jetzt schon einen Schritt weiter, auf meinem Router steht der Tunnel zu SixXS, auf das Subnetz muss ich allerdings noch eine Woche warten, wegen ihrem Credit-System.. Achja apropos Zeiten, bei SixXS gibts ja ein Log was man sich ansehen kann, demnach hat die Anmeldung 15 Minuten gedauert, die Einruchtung des Tunnels 41 Minuten, beides war ein Werktag gegen 8 Uhr abends..

Jo Tunnel steht, und der Router kann auch ipv6-Adressen in der Welt anpingen, aber wie nun weiter? Das Subnet kann ich ja frühestens nächsten Freitag beantragen, bis dahin wollte ich eigentlich lokale IPv6 Addressen einrichten und diese NATten, wobei ich das für einige Hosts auch danach beibehalten möchte, da nicht jeder Host hier (bzw. der Benutzer davor (LAN mit Nachbarn)) sich um die Sicherheit kümmern kann/will, und deshalb lieber mit Einschränkungen durch NAT leben will, vom Konfigurationsaufwand ganz zu schweigen, aber den hab ja ich   :Very Happy: 

Aber beim Thema IPv6 im Lan fängts schonwieder an, fe80, ffce oder was und wie muss ein solcher Prefix sein? Das IPv6-Howto von Gentoo.de hatte ich schon gelesen, es lässt dieses Thema aber aussen vor. Wie die Adresse auszusehen hat ist sicherlich das kleinere Problem, das grössere dann NAT, ist das völlig analog zu IPv4 oder muss es ein anderes Regelwerk sein? Gibts schon grafische ip(6)tables-GUIs die damit klarkommen? (Deever bitte ignoriere die letzte Frage   :Laughing:  )

Und das mit DNS totd und ptrtd wie es im Gentoo-Howto beschrieben ist, ist mir auch nicht 100%ig klar, auf dem Router läuft ja schon ein DNS-Server (dnsmasq), also muss totd auf einem anderen Port laufen, nur wie bring ich das den Clienten bei, oder bring ichs denen gar nicht bei, sondern meinen "Haupt-DNS-Server"? Für mich klingts logisch, einen lokalen "echten" DNS-Sever aufzusetzen, dem auch AAAA-Records für die lokalen Maschinen beizubringen, und als forwarding-dns den totd anzugeben (natürlich neben den DNS-Servern meines ISPs), ist das so richtig?

Und wie siehts überhaupt mit DNS fürs Internetz aus, wenn eine Domain auch ipv6 hat, sagts mir dann der DNS den mir mein ISP (Arcor) zuweist oder sollte ich einen anderen DNS-Server als externen DNS nutzen?

Achja und wie ists mit der Unterstützung für ipv6 in den initscripts, der Tunnel wird ja durch aiccu ge"up"t, aber wie siehts bei den anderen Interfaces aus? /etc/conf.d/net enthält nichts was irgendwie nach ipv6 aussieht, reines uppen wird nicht reichen, da ich nicht radvd sondern dhcpv6 verwenden möchte..

Gruss ein noch immer verwirrter Maurice

----------

## Clou

 *moe wrote:*   

> 
> 
> Achja und wie ists mit der Unterstützung für ipv6 in den initscripts, der Tunnel wird ja durch aiccu ge"up"t, aber wie siehts bei den anderen Interfaces aus? /etc/conf.d/net enthält nichts was irgendwie nach ipv6 aussieht, reines uppen wird nicht reichen, da ich nicht radvd sondern dhcpv6 verwenden möchte..
> 
> 

 

Statische Adressen in der /etc/conf.d/net:

inet6_eth0="Adresse"

sollte helfen

----------

## daemonb

kann jemand mal wieder die frage von moe aufgreifen, gibt es da erfahrungen?

Will meine internen Rechner nach wie vor hinter meiner Firewall behalten, alles andere ist mir einfach zu unsicher, deswegen, werde ich das konzept mit den (FE??) addressen auch nutzen.

Hat das schon jemand gemacht?

Wenn ich dann den Tunnel stehen habe, kann ich doch eigentlich ohne weiteres, meine FE Adressen NAT en , müsste ja genauso sein wie bei V4 oder?

Kann FWbuilder das schon?

danke

DaemonB

----------

## kannX

Du solltest auf alle Fälle Firewall und NAT nicht durcheinander brigen - in der Tat macht es von der Sicherheit her absolut keinen Unterschied ob man NATet oder nicht (auch wenn das viele immer noch nicht wahrhaben wollen).

Ansosten funktioniert das mit Netfilter genauso wie mit mit ipv6 wie ipv4, vorrausgesetzt das man netfilter für ipv6 im Kernel hat.

Die ganzen Firewallregeln funktionieren auch mit ipv6 (genau genommen ist es dem Netfilter ziemlich schnuppe ob ipv4 oder ipv6), du musst die Regeln halt nur auf das neue Interface erweitern.

----------

## moe

Um das von kannX mal näher zu erläutern (habs zu Anfang auch nicht verstanden):

Man bekommt von seinem Tunnelbroker ein Subnetz zugewiesen, sagen wir mal 2001:xxxx:yyyy:zzzz::/48, Adressen innerhalb diesen Bereiches kann man frei in seinem Lan verteilen, und brauch dann im Prinzip auch keine fe??:: Adressen.. Da ja trotzdem nur ein Router zur Aussenwelt existiert, kann dieser auch ohne NAT den Zugriff verhindern/einschränken/QOSen oder wasauchimmer..

Zur iptables-Frage bin ich auch noch nicht viel schlauer, GUIs die auch ipv6 können hab ich noch nicht gefunden. Und ausser dem Device (bzw. das auch nicht in jedem Fall) muss man doch iptables6 statt iptables verwenden, oder?

Und dann hab ich aktuell auch noch ein Problem, oder mehrere:

Ich hab seit heute auch mein Subnetz von SixXS, komischerweise ist die Adresse des Netzes eine andere als die, die ich über den Tunnel habe, dort habe ich 2001:xxxx:yyyy:zzzz::1 als Tunnel-Endpunkt in Hamburg, ..::2 als mein Endpunkt, aber mit /64 und laut whois von 6bone "gehören" mir auch Adressen wie ...::3, hab ich jetzt 2 Subnets oder ist das nur organisatorischer Natur, dass das von SixXS zuegewiesene Netz ein anderes ist (2001:aaaa:bbbb::/48 )?

Und die eigentlich viel wichtigere Frage, hab hier nen Router auf dem auch der Tunnelendpunkt liegt, aufm Router klappt auch alles wunderbar, kann fremde IPV6 Adressen erreichen. Zum Probieren mit NAT bin ich gar nicht gekommen, also hab ich heute mit dem Subnetz erst meinen ersten Versuch unternommen, auch meine Workstation mit ipv6 zu konnektieren.. Hab ihr also eine Adresse aus dem zugewiesenen Subnetz zugeteilt, und eine Route zum Router erstellt:

ip -6 route add default via fec0::fffe dev eth0

(Hab hier im Netz lokale Adressen zusätzlich zu den externen, auch wenns eigentlich Quatsch ist..

Auf dem Router hab ich dann noch ipv6 forwarding aktiviert:

echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

Pingen zwischen beiden Rechnern klappt sowohl über die interne, als auch über die externe IP, nur mit der Workstation komm ich nicht raus.. Die Route an sich scheint zu stimmen, wenn ich einen ping auf eine externe IPv6-Adresse mache, steigt auch der TX-Zähler des Tunneldevices im Router, allerdings steht der RX.. Ein Traceroute von extern (Webinterface auf ipv6-net.org) geht auch nicht, jedenfalls nicht auf die zugeteilten Adressen des Subnetzes. Auf die Adresse ..::2 meines Tunnels läuft der Traceroute durch, auf die externe IP meiner Workstation (aus dem neu zugeteilten Subnetz) bleibt er bei der Station hängen, die beim trace davor die vorletzte war..

 :Shocked:  Weiss jmd woran das ungefähr liegen könnte?

Gruss Maurice

----------

## kannX

Ich setze mal voraus das "ipv6" in den Use-Flags vorhanden ist und iptables auch mit dieser Optionen emerged wurde, dann braucht man auch kein iptables6 oder so.

Damit der Routing auch funktioniert muss man die entsprechenden Einträge in der FORWARD chain setzen:

```

iptables -A FORWARD -i sit0 -o eth0 -m state --state ESTABLISHED,RELATED -$

iptables -A FORWARD -i eth0 -o sit0 -j ACCEPT

```

Damit dürfte man theoretisch von den Clients aus Dienste im Internet nutzen können, also sollte auch ping6 schon funktionieren.

Anders herum muss man natürlich die Firewall erst etwas öffnen damit man von ausen auch auf Clients und nicht nur den Router pingen kann.

Das hier wäre die radikalste Variante, würde ich aber ehrlich gesagt nicht empfehlen.

```

iptables -A FORWARD -i sit0 -o eth0 -j ACCEPT

```

----------

## daemonb

ja stimmt ja, Firewall != NAT..., aber ist es nicht sicherer intern FE Adressen zu haben, da diese ja nicht routbar sind?

----------

## Clou

 *daemonb wrote:*   

> ja stimmt ja, Firewall != NAT..., aber ist es nicht sicherer intern FE Adressen zu haben, da diese ja nicht routbar sind?

 

Extern nicht routbar heißt ja nicht, dass sie von extern nicht erreichbar sind. Sonst könnte man ja auch keine Webseiten aufrufen, die sich außerhalb eines genatteten Netzwerks befinden, wenn man darin ist.

Deswegen ist es ein Irrglaube, wenn man meint, dass man nur deshalb sicherer ist, wenn man in einem privaten Netzwerk mittels NAT ist. Die Rechner müssen trotzdem immer "auf der Höhe" sein. Und hinter einer Firewall habe ich genau den gleichen Effekt wie hinter einem NAT-Gateway: ich kann genau kontrollieren, welche Pakete in mein Netzwerk reinkommen, und welche nicht.

Siehe auch

http://www.join.uni-muenster.de/Dokumente/FAQs/Facts_and_Fiction.php#F16

----------

## The_Paranoid

so, hab das ganze dann auch mal ausprobiert. Lokales IPv6 Netz zwischen meinem Gentoo und meinem WinXP Laptop hat gut geklappt. Tunnel bei Sixxs beantragt und heute Mail gekriegt. Krieg zwar ne adresse zugewiesen allerdings kann ich nicht rauspingen. Auch den POP Endpoint nicht  :Sad: 

Liegt das möglichweise daran, dass ich hinter nem Netgear Router hänge ?

----------

## Clou

 *The_Paranoid wrote:*   

> so, hab das ganze dann auch mal ausprobiert. Lokales IPv6 Netz zwischen meinem Gentoo und meinem WinXP Laptop hat gut geklappt. Tunnel bei Sixxs beantragt und heute Mail gekriegt. Krieg zwar ne adresse zugewiesen allerdings kann ich nicht rauspingen. Auch den POP Endpoint nicht 
> 
> Liegt das möglichweise daran, dass ich hinter nem Netgear Router hänge ?

 

Der Router könnte das Problem sein. Deine zugewiesene IP kannst Du aber pingen? wie baust Du den Tunnel auf? Manuell oder mittels aiccu?

Grüße

Clou

----------

## The_Paranoid

jupp, die zugewiesene kann ich pingen. Per aiccu

----------

