# Tunnerlbroker sixxs

## tazinblack

Hallo zusammen,

hat von Euch jemand Aktien bzgl. IPv6 Tunneln und dem Tunnerlbroker sixxs.

Kann man wohl problemlos und kostenlos seine Fritzbox (sein Netz) per 6to4 oder 4to6 Tunnel dort anbinden.

Interessieren würden mich Eure Erfahrungen, Vor- und Nachteile.

----------

## bbgermany

Hi,

ich hab einen Tunnel und ein Subnetz von Sixxs. Ich hab jedoch keine Fritzbox da dran, sondern mein kleiner Fileserver spielt den Tunnelendpunkt. Das Netz bekommst du nach ein paar Tagen kostenfrei auch dazu (wenn der Tunnel dauerhaft steht). Dann musst du mit sowas wie 6to4 oder 4to6 garnicht erst anfangen... Native IPv6 hier bin ich  :Smile: 

MfG. Stefan

----------

## ChrisJumper

Ja ich bin auch da und das hat sehr gut geklappt. Allerdings braucht man für ein Subnetz erst mal ein paar PUNKTE. Die bekommst du aber von alleine wenn deine Fritzbox ein paar Wochen mit dem 64er Netz Online war. Also ich habe jetzt ein (48 glaube ich) und kann so auch die anderen Endgeräte mit IPv6 versorgen. Also Anfangs fehlen dir noch die Punkte um sofort ein Subnetz zu beantragen. Und von einem Slash 64 kann halt kein IPv6 an dein LAN verteilt werden.

Da aber die meisten Rechner hier je eine Ipv4 und eine Ipv6 Adresse haben (Dual Stack) verwenden die Anwendungen je nachdem das was sie gerade brauchen. Sofern ich das mitbekommen habe mach Sixx ja auch keinen Sinn mehr wenn man von seinem Provider Nativ mit IPv6 versorgt wird.

Bisher kam ich aber um die Spielerei einen 6to4 und 4to6 Tunnel aufzusetzen herum.

Aber du solltest wenn du ein Subnetz hast unbedingt die Privacy-Extension einschalten. Dann kann jeder zwar immer noch Feststellen das die Pakete aus dem dir Zugewiesenen Subnetz kommen. Doch das Tracken der einzelnen Geräte wird etwas schwerer. Wobei im Grunde jeder Browser und jedes Tablett leider schon zu viele Informationen absetzen als das es wirklich was bringen würde (Stichwort Browser Fingerprint.). Aber ohne die aktivierte Privacy Extension sind die Geräte halt alle mit ihrer Media Access Controler Adresse im Netz unterwegs.

----------

## tazinblack

 *ChrisJumper wrote:*   

>  ...von seinem Provider Nativ mit IPv6 versorgt wird...

 

 :Laughing:  ich schmeiß mich weg. Der ist gut! Weil 1und1 ja auch die DSL Kunden mit IPv6 versorgt.

Das hab ich die Tage mal probiert, aber das kommt bei mir definitiv nicht aus der Wand.

Da macht die Fritzbox dann irgendwelches 6to4 Tunnel Zeugs.

Dabei wollte man doch schon bis 2010 ein Viertel der Deutschen ohne Einbußen per IPv6 versorgen. Ich frag mich bloß nach welcher Zeitrechnung  -> http://www.onlinekosten.de/news/artikel/34395/0/Aktionsplan-fuer-neuen-Internetstandard-IPv6-bis-2010  :Confused: 

Das wird wohl noch dauern. 

 *ChrisJumper wrote:*   

> Aber du solltest wenn du ein Subnetz hast unbedingt die Privacy-Extension einschalten. Dann kann jeder zwar immer noch Feststellen das die Pakete aus dem dir Zugewiesenen Subnetz kommen. Doch das Tracken der einzelnen Geräte wird etwas schwerer. Wobei im Grunde jeder Browser und jedes Tablett leider schon zu viele Informationen absetzen als das es wirklich was bringen würde (Stichwort Browser Fingerprint.). Aber ohne die aktivierte Privacy Extension sind die Geräte halt alle mit ihrer Media Access Controler Adresse im Netz unterwegs.

 

Das ist bei mir der Grund, warum ich noch überlege. Meine Browser hab ich hoffentlich einigermaßen im Griff, die löschen beim Schließen alle temporäre Daten.

Wenn aber jetzt immer alles von der selben IP kommt wirds wieder hässlich.

Wo stell ich das ein mit der Privacy-Extension?

----------

## ChrisJumper

Ich hatte halt gelesen das IPv6 schon von Kabel Deutschland verteilt wird, oder in der Umstellung ist.

Zur Privacy Extension:

Sowohl unter Linux als auch auf deinem Lieblings-Android-Phone-Mod, kannst du es einfach aktivieren indem du:

```
# echo "2" > /proc/sys/net/ipv6/conf/all/use_tempaddr
```

absetzt. Das wäre dann für alle Adressen. Andernfalls kannst du das auch für jede einzelne Netzwerkdevice ein oder ausschalten.

Für eh0 ist es dann z.b.  /proc/sys/net/ipv6/conf/eth0/use_tempaddr

Das gilt aber nur zur Laufzeit. Damit es dauerhaft gesetzt ist solltest du sysctl verwenden und oder die Einstellungen in /etc/sysctl.conf übernehmen. Mein Eintrag für eth0 schaut dort so aus:

```
net.ipv6.conf.eth0.use_tempaddr = 2
```

sysctl verwendet ja die Punkt Notation statt die Verzeichnisse. Die umfangreichere Dokumentation findet sich im Kernel-Verzeichnis unter Documentation/networking/ip-sysctl.txt

Letztlich funktioniert die Privacy Extension halt so das du dann nach einem bestimmten Zeitintervall (den kann man auch irgendwo festlegen), das Netzwerkgerät eine neue IPv6 Adresse beansprucht. Doch letztlich verliert das Gerät nur Adressen wenn diese nicht mehr in Benutzung sind. Solange wie ein Prozess eine Aktive Adresse verwendet, solange wird diese natürlich auch nicht fallen gelassen. Der Client/Kernel beantragt im Netz also neu neue Adressen und bekommt diese Zugeteilt. Das erledigt quasi der Router beziehungsweise in meinem Fall der router advertisement daemon, kurz radvd. Damit der das kann braucht er aber ein Adress-Pool aus dem er Adressen freigeben und zuweisen kann, deswegen halt das 48er Subnetz.

Ich hab nicht mehr verfolgt ob die Android Smartphones mittlerweile die Privacy Extension per Default aktiviert haben. Ich musste aber mit meinem CyanogenMod Tablett das ganze per Hand aktivieren. Das ging halt auch nur mit Root-Zugriff.

----------

## tazinblack

Leider funktioniert das mit der privacy Geschuchte nicht über sysctl:

```
* Unknown keys: sysctl: cannot stat /proc/sys/net/ipv6/conf/eno1/use_tempaddr: Datei oder Verzeichnis nicht gefunden

sysctl: cannot stat /proc/sys/net/ipv6/conf/wlo1/use_tempaddr: Datei oder Verzeichnis nicht gefunden

sysctl: cannot stat /proc/sys/net/ipv6/conf/all/use_tempaddr: Datei oder Verzeichnis nicht gefunden

```

Ich habs wie ihr seht auf die einzelnen Interfaces als auch auf "all" probiert.

Von Hand geht es!?! Wenn ich das in /etc/local.d einbaue scheints auch zu gehen.

Hab aber keine Ahnung, ob das da zu spät ist.

----------

## tazinblack

... seh ich das richtig, dass wenn ich eine DNS Auflösung für meine IPv6 Adressen haben will (nicht nur intern), ich einen eigenen DNS Server aufsetzen muss im dem mir zugewiesenen Subnetz?

----------

## ChrisJumper

Jein.

Sagen wir mal so. In einem kleinen Heim-Netz kannst du dir einen BIND-Server aufsetzen der für dich unterschiedliche Namen in deinem Netzwerk mit allen von dir zugewiesenen Servern auflöst. In dem Fall musst du diesen Server dann auch um die IPv6 Funktionalität erweitern.

Das Erweitern ist dann in der Konfiguration so wie bei IPv4. Vereinfacht gesagt betrifft das Erweitern einen IPv6 Patch, so das der Server erst mal die längeren IPv6 Anfragen bearbeiten kann aber auch darin das du dort festlegst unter welcher IPv6 Adresse das Wohnzimmer von wohnzimmer.meinfirmennetzwerk.de jetzt zu finden ist.

Das ganze ist ein bisschen knifflig erklärt, eigentlich brauchen das nur größere Unternehmen. Wenn diese ein umfangreicheres Netzwerk haben und zum Beispiel die Serverdienste zwischen Firmennetz und Internet trennen möchten.

Wie man mittlerweile weiß reicht es aber auch (oft) die Netzfunktionalität dahingehend zu Erweitern all deinen Besuchern mit normalem Internet zu versorgen. Wenn du dann einen Server im "Internet" erreichbar gemacht hast, trifft das eventuell auch auf deine LAN-Rechner zu, da diese ja Internet haben.

Ganz selten gibt es aber in diesem seltsame Mischbetrieb Probleme/Effekte, die oft mit den Protokollen zu tun haben und das diese vielleicht direkt kommunizieren wenn sie wissen das der andere Rechner auch direkt über die IP im selben Netzwerk liegt. Daher ist das mit Vorsicht zu genießen. Man denke nur kurz an  NAT-Traversal, also NAT-Durchdringede Protokolle die versuchen eine Verbindung über den NAT-Mechanismus aufrecht zu halten.

Bei mir kann der von meinem Provider zugewiesene DNS-Server auch IPv6 Anfragen beantworten, daher habe ich die BIND Server Konfiguration wie in wiki - IPv6 router guide beschrieben. übersprungen.

 *Quote:*   

> dass wenn ich eine DNS Auflösung für meine IPv6 Adressen haben will (nicht nur intern),

 

Definiere: "meine IPv6 Adressen".

Bei einer normalen DNS Auflösung der Klienten, damit sie quasi frei im Internet surfen können reicht es wenn deine DHCP/DNS-Resolver Infrastruktur neben dem normalen IPv4 auch IPv6 können. Bei mir verwende ich dnsmasq. Eben auch als kleinen DNS und DHCP Server. Der kann IPv4 als auch IPv6. Einen besonderen Eintrag habe ich nicht vorgenommen. Also verteilt dnsmasq bei mir IPv4 Adressen an die Geräte in meinen Netzwerken. Die IPv6 Adressen werden aber von radvd verteilt.

Möchtest du eine deiner IPv6 Adressen einer Domain zuweisen. Also quasi einen IPv6 Eintrag für wohnzimmer.meinfirmennetzwerk.de Kannst du das Lokal auf einem von dir verwendeten BIND Server machen. Jetzt noch mal kurz an das Beispiel von eben denken, bezüglich dem Firmennetzwerk und dem Internet.

Man Bedenke: Das Firmennetzwerk (also dein Lan) muss ja nicht unbedingt von außen Erreichbar sein. Das routing und Internet beziehungsweise die Namensauflösung sind ja nicht direkt miteinander Verknüpft. Damit das geht oder nicht geht muss man ja auch Firewall-Regeln definieren.

Wohl aber der Fall das wenn du einen Server bei dir zuhause hast der jetzt schon über das Internet erreichbar ist konntest du dank DynDNS oder anderen einfachen Methoden schon von Außerhalb auf deinen Server zugreifen, ganz ohne einen eigenen BIND-Server. Ähnlich ist das auch möglich mit IPv6 Adressen. Hast du eine Domain und kannst dort quasi wie bei DynDNS eine Weiterleitung an Server X angeben ist das eventuell auch für IPv6 möglich.

 *Quote:*   

> ich einen eigenen DNS Server aufsetzen muss im dem mir zugewiesenen Subnetz?

 

Noch mal zu meiner Antwort: Jein. Du kannst einen DNS-Server aufsetzen der Anfragen Lokal verwaltet oder Anfragen von Außerhalb beantwortet. Ob das aber ein muss ist und oder Sinnvoll, das hängt von dem ab was du möchtest.

Wenn du die Kontrolle darüber haben möchtest welche Server auf welche deiner Domains antworten soll dann ja. Also wenn du eine Domain oder mehrere besitzt, somit ein größeres Firmennetzwerk hast und das auch von außen erreichbar sein soll. Quasi auf jedem Fall wenn du der Einzige bist der für deine Domain verantwortlich ist. Also du diese direkt bei der Denic registriert hast und du in keinem anderen Rechenzentrum der Welt einen Server mieten möchtest.

Wobei es auch gut möglich ist das die Dokumentation noch aus einer Zeit stammt wo die Provider nicht auf IPv6-DNS Anfragen antworten konnten. Aber selbst in dem Fall hätte jemand einfach einen DNS-Server verwenden beziehungsweise in /etc/resolve.conf eintragen können der es kann. Somit wirkt es auf mich wie: Wir Patchen unsere DNS-Server für unsere lokale Domain so das sie auch IPv6 können.

Denke einfach noch mal an die Tatsache das 6to4 und 4to6. In manchen Situationen muss man diesen Service bieten. Zum Beispiel wenn du noch alte Windows Versionen oder andere Fabrik-Infrastruktur hast die kein IPv6 kann.

Generell verwirrt mich selber die DNS-Auflösungsfrage. Als Nutzer ist die Perspektive anders als die eines Administrators. Bisher erkläre ich sie mir so das mein dnsmasq Antworten zu IP-Adressen die aufgelöst wurden in einem Cache zwischenspeichert. Ein BIND Server macht es nicht. Er muss ja quasi immer die Korrekte Antwort liefern. Wobei sich ja wie man es von DynDNS kennt ja die Zuweisung Domain/Dns ändern kann. Da kann ich mir schon vorstellen das es ein wenig dauert bis der neue Eintrag nicht mehr in einem Cache enthalten ist.

Verwendet man einen eigenen BIND-Server in der Domain kennt der nur die Zuständigkeit für seine DOMAINS unter den IP-Adressen in seinem Netzwerk.

Ich frage mich immer noch ob wenn ich einen BIND-Server habe, ich den DNS-Server von meinem Provider nicht mehr benötige. Aber wahrscheinlich eben nur für die Antworten auf die Frage der von mir bereitgestellten Domains in meinem Netzwerk. Wieder Frage ich mich, wohin gräbt dieser BIND-Server wenn er eine Frage nicht beantworten kann? Dann wohl auch wieder beim Provider? Oder werden diese beiden Dienstleistungen strickt von einander Getrennt und überschneiden sich an keiner Stelle?

----------

## ChrisJumper

 *tazinblack wrote:*   

> Leider funktioniert das mit der privacy Geschuchte nicht über sysctl:
> 
> ```
> * Unknown keys: sysctl: cannot stat /proc/sys/net/ipv6/conf/eno1/use_tempaddr: Datei oder Verzeichnis nicht gefunden
> 
> ...

 

Dann klemmt es noch irgendwo. Hast du denn die Verzeichnisse /proc/sys/net/ipv6/conf/all/ ? Ich vermute das der Kernel diese Bereitstellt vielleicht sind da irgendwelche Parameter noch nicht gesetzt. Ich glaube aber eher das du dich von der Notation hast verleiten lassen, zumindest ist mir das zwei mal passiert und passierte mehrmals wenn ich mich länger nicht mehr mit beschäftigt hatte. Kurz die Befehle machen das selbe: 

```
echo "2" > /proc/sys/net/ipv6/conf/all/use_tempaddr
```

oder

```
# sysctl net.ipv6.conf.all.use_tempaddr = 2
```

 *Quote:*   

> Hab aber keine Ahnung, ob das da zu spät ist.

 

Das kannst du relativ leicht Nachprüfen indem du schaust welche Adressen deine Clienten bekommen haben. Eventuell kann man das auch nicht auf dem Server/Router setzen. Der soll ja möglichst immer unter einer Adresse erreichbar sein. Interessant ist das ja eher für die Endgeräte die einfach nur Surfen.

Nehmen wir mal das Beispiel aus  der Wikipedia - Ipv6

```

Hat z. B. ein Netzwerkgerät die IPv6-Adresse:

2001:0db8:85a3:08d3:1319:8a2e:0370:7347/64

so lautet das Präfix

2001:0db8:85a3:08d3::/64

und der Interface Identifier

1319:8a2e:0370:7347

```

Diese Adresse ist eine /64 Adresse. Die MAC Adresse (1319:8a2e:0370:7347) ist hier klar in der IPv6 Adresse (2001:0db8:85a3:08d3:1319:8a2e:0370:7347) verwendet worden. Das ist ja eben der Grund warum wir die Privacy Extension benutzen wollen, eben weil sonst die MAC-Adresse in der verwendeten IPv6 Adresse ist. Das lässt sich schnell mit ifconfig nachprüfen.

Bei meinem Server/Router hab ich die Privacy Extension natürlich nicht aktiviert, sondern nur bei den Rechnern die in meinem LAN mit IPv6 versorgt werden.

Ob die Privacy Extension bei dem Server/Router funktionieren würde weiß ich nicht. Ich kenne die genaue Spezifikation nicht. Bisher habe ich das Gefühl es zieht eine Nummer mit Zufallsindikatoren aus dem Pool.

Der einzige Standpunkt den ich bisher von Kollegen von Ipv6 gehört habe ist: Lege IPv6 bis vor die Haustür und die Auto-Konfiguration (anhand der Parameter) kümmert sich um den Rest. Also müsste auch die Privacy Extension bei Servern/Routern funktionieren. So ganz traue ich dem aber nicht, mir selber auch nicht mit der Konfiguration wenn an bestimmten Punkten dauernd die Adressen wechseln würden. Oder ob es wirklich zu keinen Kollisionen kommt innerhalb des Adressraumes.

Mit meiner Behauptung:

 *Quote:*   

> Und von einem Slash 64 kann halt kein IPv6 an dein LAN verteilt werden.

 

Lag ich eventuell falsch das ein /48 Netz benötigt wird damit sich das Internet im eigenen LAN verteilen lässt. Ich wollte halt mehrere Subnetze bedienen, LAN und WLAN trennen. Eventuell lassen sich die letzten 64 bis 128 Bit für den Host auch noch verkleinern, so das sich mehrere Netzwerke in dem Bereich unterteilen und routen lassen. Ich hatte es nur ein mal versucht und dachte radvd weigert sich oder macht das nicht. Letztlich dachte ich das die Hostadresse vielleicht per Norm MINDESTENS 64 Bit haben muss damit jede MAC Adresse hinein passt. Was natürlich blöd wäre weil dadurch unheimlich viele Adressen verschenkt werden.

Aber es war einfach bequem für mich bis zu 16 Bit für die eigen Subnetz Präfix zur Verfügung zu haben. ;)

----------

