We're sorry but this page doesn't work properly without JavaScript enabled. Please enable it to continue.
Feedback

Just Another IPv6 Talk

00:00

Formal Metadata

Title
Just Another IPv6 Talk
Title of Series
Number of Parts
94
Author
License
CC Attribution 4.0 International:
You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor.
Identifiers
Publisher
Release Date
Language

Content Metadata

Subject Area
Genre
Abstract
Linux auf dem Desktop lässt noch auf sich warten. Nutzen wir die Zeit um IPv6 zu verstehen. Der ultimative Crashkurs im IPv6 Neuland. IPv6 ist das „neue“ Internetprotokoll, welches bereits über 20 Jahre alt ist und hinreichend in der Literatur sowie in etlichen Vorträgen behandelt wurde und bei vielen (großen) Providern wie selbstverständlich an die Kunden verteilt wird. Da müsste doch bereits alles gesagt sein. Dachte ich auch. Dennoch erlebe ich im Alltag immer wieder das Gegenteil. „IPv6? Das muss man doch ausschalten damit das Internet problemlos funktioniert.“ Nein, man muss sich damit beschäftigen, denn IPv6 ist das Internet. Ich möchte Aufklärungsarbeit leisten und zeigen, warum man IPv6 haben möchte. Und nein, wir werden keine Standards verlesen oder RFC auswendig lernen. Es geht um die Praxis, nachlesen kann jeder Zuhause. Ein paar Fragestellungen, auf die ich eingehen werde: • Woher bekomme ich IPv6? • Was ist dieses Dualstack und brauche ich das? • Wie ist eine IPv6 Adresse aufgebaut? Was sind Prefix und Suffix? • Und muss die so lang sein? Das kann sich ja keiner merken. • Wie kommt die Adresse zu meinem Client (SLAAC)? • Warum habe ich so viele IPv6 Adressen und gehört das so? • Was ist eigentlich mit NAT? • Und mit ARP, Broadcast und Multicast? • Wie sieht es mit der Sicherheit und dem Datenschutz aus? • Warum möchte man kein DHCPv6? • Und an welcher Stelle benötigt man es doch (DHCPv6 PD)? • Und weitergedacht: Geht es auch ohne Legacy IP (v4)? Nico Isenbeck https://programm.froscon.de/2019/events/2423.html
System administratorDebian GNU/LINUXLINUXInternetSystem administratorIP 6Mobile appWeb serviceComputer programmingInternetDebian GNU/LINUXFactorizationLINUXWEBProfessional network serviceFirewall (computing)Router (computing)XMLUMLLecture/ConferenceComputer animation
IP addressJSONComputer animation
Graph (mathematics)GoogleHTMLStack (abstract data type)InternetISPStructural loadGoogleIP 6HöheYouTubeInternetdienstIP addressComplete metric spaceInternetWEBActive Server PagesStandard deviationIMPComputer animationDiagram
IP addressDynamic Host Configuration ProtocolLaptopIP 4IP 6Corporate NetworkJSONComputer animation
Translation (relic)Router (computing)Structural loadDisk read-and-write headNullIP addressZifferIP 6Router (computing)Corporate NetworkStructural loadBlock (periodic table)DNS <Internet>Computer animation
DNS <Internet>Address spaceUnicastingverfahrenLink (knot theory)Slide ruleIP addressHausdorff spaceInternetDefault (computer science)SquareLink (knot theory)IP 6Order of magnitudeAddress spaceZifferBlock (periodic table)Client (computing)LengthSummationProviderTerminal equipmentActive Server PagesDNS <Internet>Computer animation
UnicastingverfahrenLink (knot theory)Router (computing)Router (computing)InternetLink (knot theory)IP addressNullSwitch <Kommunikationstechnik>Computer animation
IP 6Windows RegistryScope <Programmierung>Link (knot theory)Error messageIP 6Router (computing)Scope <Programmierung>Switch <Kommunikationstechnik>Computer animation
Router (computing)PasswordIP 4Link (knot theory)Router (computing)Systems <München>Port scannerLINUXUbuntu <Programm>Debian GNU/LINUXSet (mathematics)Graphical user interfaceStylus (computing)IP 6Computer animation
UnicastingverfahrenWebsiteScope <Programmierung>IP addressHausdorff spaceEnterprise architectureSlide ruleWindows RegistryProviderServer (computing)Client (computing)Virtuelles privates NetzwerkInternetAddress spaceRouter (computing)TimestampComputer animation
IP addressServer (computing)Router (computing)IP addressNumerisches GitterNullUniformer RaumServer (computing)Wireless LANVideo trackingHausdorff spaceNummerierungComputer animation
IP addressLink (knot theory)Client (computing)Router (computing)Communications protocolPriorityFlagDNS <Internet>Server (computing)MittelungsverfahrenMultiplicationRouter (computing)Link (knot theory)Computer animation
Particle detectorClient (computing)IP addressLink (knot theory)Router (computing)PriorityCommunications protocolFlagDNS <Internet>Server (computing)IP addressClient (computing)Router (computing)CollisionComputer animation
DNS <Internet>Domain nameMainframe computerServer (computing)FlagDynamic Host Configuration ProtocolDNS <Internet>InformationRouter (computing)Domain nameComputer animation
IMPACT <Programmierumgebung>FlagServer (computing)DNS <Internet>Domain nameMainframe computerAndroid (robot)GoogleProfessional network serviceIP addressClient (computing)GoogleAndroid (robot)Uniformer RaumDynamic Host Configuration ProtocolLink (knot theory)Computer animation
Router (computing)ProviderFirewall (computing)Port scannerIP addressFirewall (computing)BitHausdorff spaceRouter (computing)IP 6Client (computing)Smart cardUniformer RaumProviderDefault (computer science)IP 4Computer animation
Firewall (computing)InternetdienstVirtuelles privates NetzwerkInternetIP addressComputer hardwareLink (knot theory)InternetInternettelefonieIP addressFirewall (computing)Terminal equipmentProviderComputer animation
Link (knot theory)Lift <Framework, Informatik>CalculationIP addressDefault (computer science)Parameter (computer programming)Set (mathematics)Router (computing)Ubuntu <Programm>Server (computing)SSHLink (knot theory)Source code
ProviderFeature structureIP addressPhysical quantityServer (computing)ProviderClient (computing)Computer animation
ProviderRouter (computing)Feature structureAnbindung <Informatik>InternetRAPiD <Programm>Local area networkBindung <Stochastik>Wireless LANServer (computing)IP addressUSB <Schnittstelle>DNS <Internet>CodomainNetwork-attached storageConfiguration spaceTypMISSMagnetic stripe cardENABLE <Programm>Dynamic Host Configuration ProtocolPrioritySCPHacker (term)Router (computing)RoutingHausdorff spaceProbability distributionComputer animation
IP 4SignalClient (computing)Configuration spaceDynamic Host Configuration ProtocolBlock (periodic table)ISPProviderMISSContinuous trackENABLE <Programm>TypRouter (computing)DistanceHand fanLocal area networkIP addressComputer animation
Configuration spaceContinuous trackDuplex (telecommunications)Default (computer science)Gateway (telecommunications)InternetACIDServer (computing)Router (computing)InternetdienstMaximum (disambiguation)Greatest elementCoefficient of determinationIP addressMaximum (disambiguation)Workstation <Musikinstrument>Local area networkRouter (computing)Dynamic Host Configuration ProtocolClient (computing)Computer animation
makeCodeWindows RegistryIP addressDistribution (mathematics)Debian GNU/LINUXData conversionPIK <Programm>JSON
Stack (abstract data type)IP addressConfiguration spaceKommunikationProfessional network serviceZahlIP 6IP 4Router (computing)Server (computing)NumberDNS <Internet>Population densityProviderOperating systemHausdorff spaceDistribution (mathematics)System administratorSlide ruleWebsiteInformationUniform resource locatorSet (mathematics)Debian GNU/LINUXComputer animation
Slide ruleRouter (computing)Client (computing)InternetDebian GNU/LINUXComputer animation
IP addressLaptopConfiguration spaceSource codeJSON
Windows RegistryIP 6Firefox <Programm>Direction (geometry)InternetClient (computing)YouTubeConfiguration spaceGoogleStatisticsServer (computing)Firewall (computing)LINUXListe <Informatik>Hacker (term)Programmer (hardware)WINDOWS <Programm>MalwarePolar coordinate systemMAX <Programm>DVDComputer animation
openSUSEXMLComputer animation
Transcript: German(auto-generated)
Und natürlich auch guten Morgen von mir. Ich freue mich, dass tatsächlich so viele gekommen sind. Ihr alle schon wach seid und hoffentlich aufnahmebereit für den hoffentlich etwas anderen IPv6 Talk. Aber da kommen wir gleich zu. Fangen wir erst mal an. Wer bin ich eigentlich?
Mein Name ist Nico Isenbeck. Ich wohne in Hamburg, bin dort Systemadministrator und Geschäftsführer der Elbit GmbH. Die Elbit ist ein kleiner IT Service Dienstleister, sowohl im Bereich Datenschutz, Programmierung und auch Systemadministration. Wo ich eigentlich herkomme ist tatsächlich die Systemadministration, hauptsächlich der Bereich Linux und IT-Sicherheit
und Datenschutz habe ich mir über die Jahre dann auch noch so angeeignet. Das ist mittlerweile mein 10. Froscon Besuch, zweimal als Aussteller. Ich weiß nicht, wer von den Anwesenen meinen Vortrag vor zwei Jahren gesehen hat. Da ging es um das Benanian Projekt. Wer jetzt nur hier ist, weil er hofft, es gibt genauso einen Entertainment Faktor wie damals, ist leider falsch. Jetzt wäre noch die Gelegenheit den Raum zu verlassen. Diesmal gibt es tatsächlich Fakten
und ihr werdet ganz viel lernen, hoffe ich zumindest. Es ist jetzt mein zweites Mal als Speaker, das erste Mal wie gesagt vor zwei Jahren über das Benanian Projekt. Was war die Operation für diesen Talk? Warum halte ich den überhaupt? Froscon 2018 gab es einen Vortrag, sichere Netzwerke mit PFSense. Der war ganz gut, hat einen schönen Überblick
gegeben über PFSense als Firewall und am Ende, ich glaube es war eine Frage, die dann drauf kam, wie sieht es denn mit IPv6 Support aus in PFSense? Und dann sagte der Vortragende, ja, habe ich mich noch nicht so richtig mit beschäftigt, weiß ich gar nicht. An diesem Talk werde ich jetzt indirekt noch mal ein bisschen anknüpfen, weil am Ende
kommen ein paar Slides, wie man das Ganze in PFSense konfiguriert und wie man es richtig macht und dass PFSense das alles ganz toll kann. Dann mein Freund und Kollege Frank, der hier vorne auch sitzt, der hat immer IPFire verwendet in der Vergangenheit. Ist jetzt gerade auf PFSense umgestiegen wegen mangelndem IPv6 Support, wo ich mich auch frage, okay, es gibt immer noch kein Support für IPv6 2019. Natürlich,
ich weiß, man kann auf der Kommandozeile konfigurieren, dann brauche ich aber keine Router oder Firewall-Distribution mit Web GUI, wo ich alles clicky bunty zusammenklicken kann. Dann kann ich heute irgendwie einen Debian oder einen Linux der Wahl nehmen und es einfach händisch machen. Und dann höre ich immer wieder IPv6, ja, das muss man doch
ausschalten, damit alles problemlos funktioniert. Ne, ihr müsst es anmachen, das ist das Internet. Naja, und außerdem war mir langweilig, naja, nicht so richtig. So fangen die meisten IPv6-Talks an, das Ende ist nah. Mein Talk handelt nicht darüber, ich hoffe, ihr wisst alle, warum ihr es haben wollt, ansonsten können wir darüber im
Nachgang noch ein bisschen reden, wenn Zeit ist. Ich habe einfach nur den Titel vom Heise übernommen, das IPv6-Ende ist nah an Netzadressen im Umbruch. Dieser Artikel bringt nicht wirklich was Neues. Die IP-Adressen werden irgendwann ausgehen, das wissen wir alle. Schön. Was daran interessant ist, an diesem Artikel sind die Kommentare, die unten drunter stehen. Wenn ihr euch da mal durchlesst, was die Leute da posten,
welche Gründe sie finden für v6 und dagegen und warum v4 viel toller ist und warum man natt haben möchte und wie schön das alles funktioniert und wie schlecht sich das alles mit v6 umsetzen lässt. Okay, damit das bei euch nicht so weit kommt, erzähle ich euch jetzt ein bisschen was dazu. Worüber reden wir eigentlich? Das ist ein Graf, den veröffentlicht Google unter google.com
slash IPv6. Da geht es um die IPv6 Adoption weltweit, also auch Schwellen und Entwicklungsländer sind da ein inkludiert und dort kann man entnehmen, dass wir ungefähr 25 Prozent des Google-Traffics und zu Google gehört auch so was wie YouTube und ganz viele andere Dienste über IPv6
abgewickelt wird. Also wir haben schon durchaus auch nennenswert eine Verbreitung, die auch weltweit eine Verbreitung, die echt nennenswert ist und in Industrieländern, gerade in Europa, Amerika, Länder in Asien ist die Verbreitung teilweise noch viel viel höher. Ein paar Vorbemerkungen zu diesem Talk noch. Englisches garantiert, allein aufgrund der ganzen Fachbegriffe lässt sich
das nicht so richtig vermeiden. Slack oder Slack hat nichts mit irgendeinem Chat-Programm zu tun. Mac hat nichts mit dem Apfel zu tun. Diana ist kein Name und ITF sollte man schon mal gehört haben, das ist die Organisation, die die ganzen Standards, die IFCs veröffentlicht bzw. wo die
ausgearbeitet werden. Dann gibt es noch ein paar Begriffe, die ich vielleicht kurz erläutern sollte. Es gibt die IR, die Internet Registry, das ist in dem Fall Diana, dann gibt es die regionalen Internet Registries, da ist die RIPE unter anderem zuständig für Europa und es gibt die Local
Internet Registries, das sind üblicherweise die ISPs, zumindest in Europa ist die Struktur so. Ich weiß, dieser Talk ist unvollständig, er hebt auch gar keinen Anspruch auf Vollständigkeit. Der Talk soll euch einen guten Überblick geben, was ist IPv6, was hat es mit den Adressen auf sich, wie funktioniert das alles, da fehlen definitiv Themen, zum Beispiel ICMPv6 wird nicht im Detail behandelt. Anycast, habe ich gerade gehört, gibt
es im Nachgang noch einen Vortrag, ich hoffe, der beschäftigt sich ebenfalls mit IPv6. Und last but not least, ich habe ein Konzept, das bedeutet, fragen würde ich bitte ans Ende stellen wollen, um einmal den Vortrag durchzugehen. Ich glaube, ganz viele Fragen, die unterwegs aufkommen, werden sich dann auch wieder klären. Wie hofft, hört
man in der IT best practice, alle erzählen, sie machen best practice. Wenn ich mit meinem Laptop im Kundennetzwerk anschließe und auf die best practice IP Adresse hoffe, kriege ich keine. Dann habe ich irgendwie per DHCP so eine V4 Adresse zugewiesen bekommen und das war's. Damit komme ich nicht online, also nicht dahin, wo ich hin möchte vielleicht. Es gibt da einen RFC zu den 6540, aus der Kategorie best current practice.
Und da steht ganz klar drinnen, neue Implementationen müssen IPv6 supporten. Bestehende Implementationen, die aktualisiert werden, sollten ebenfalls IPv6 supporten. Und ganz wichtig, der IPv6 Support
sollte mindestens genauso gut sein wie der IPv4 Support und IPv6 muss auch only funktionieren. Das heißt, wenn ich ein Device habe, ohne IPv4 muss auch das funktionieren. Wie gesagt, das ist eine Empfehlung, best current practice. Es hält sich nur keiner dran oder ganz wenige dran, was die tatsächliche Netzwerkinfrastruktur, das Design angeht von Unternehmensnetzwerken. IPv6 ist toll. Warum? Es gibt einen
stark vereinfachten Header. Ich habe keine Header-Check-Summen mehr. Ich habe ausreichend IP-Adressen für alles und jeden. Es gibt keinen Header-Check-Summen mehr und ich habe weniger Last auf dem Router. Das ist alles schön und gut. Das interessiert euch wahrscheinlich aber gar nicht. Das ist das, was man in den anderen Talks immer
wieder erzählt bekommt. Man nimmt das Header-Format auseinander. Das ist alles ganz stark vereinfacht. Das ist alles ganz toll. Und warum ist es toll, dass ich keine Check-Summen mehr habe? Ist es denn tatsächlich für euch in der Praxis relevant, dass das so ist? Ja, wenn man ein großes Unternehmensnetzwerk betreibt, wo man einen Router am Anschlag hat, ist das interessant für den Heimanwender, der ein bisschen rum experimentiert
oder ein kleines mittelständisches Unternehmen, spielt das in der Regel erstmal keine Rolle. Ich gehe auch nicht im Detail darauf ein. Ich will nur sagen, ich lasse die ganzen Themen einfach aus. Ich zeige euch, was ihr damit anstellen könnt und wie es funktioniert. Jetzt habe ich gerade gesagt, IPv6 ist toll. Und dann komme ich mit sowas daher, so eine irre lange IP-Adresse.
Ist vorbei mit toll, ne? So, machen wir es mal ein bisschen einfacher. Wir kürzen die Adresse zusammen. Wie kriegen wir das hin? Wir können erstmal führende Nullen in diesen ganzen Blöcken wegnehmen. Das heißt, wenn ich irgendwo eine Ziffer in einem Viererblock stehen habe und es fängt mit einer Null an, kürze ich die Nullen einfach erstmal raus.
Des Weiteren gibt es eine Regel, nach der ich Viererblöcke, also vier Stellen, also vier Mal ein Bit, die komplett aus Null bestehen, komplett rauskürzen kann. Ich kann einfach Doppelpunkt, Doppelpunkt dort einfügen, um die Adresse kürzer zu machen. Das Ganze darf ich aber nur einmal machen. Warum darf ich das nur einmal machen?
Wenn man sich so eine Adresse anguckt und sich vorstellt, dass man vorne noch mal einen Viererblock mit vier Nullen drin hätte und ich ersetze den ebenfalls durch Doppelpunkt, Doppelpunkt, dann habe ich zweimal Doppelpunkt, Doppelpunkt in der IP-Adresse und ich kann nicht mehr identifizieren, wo denn die restlichen Stellen, die in der Mitte sind, hingehören, weil ich nicht weiß, wie oft da Doppelpunkt, Doppelpunkt für Nullen steht. Deswegen darf ich das Ganze nur einmal machen.
Dabei rauskommt diese Adresse. Also nochmal zurück. Die Adresse wird zu der Adresse. Ja, ist immer noch lang. Ja, sie ist immer noch länger als eine IPv4-Adresse. Und nein, ich kann mir die nicht merken. Dafür wurde DNS erfunden. So, noch so ein schönes Thema. Der Reverse-DNS, der PTR-Rekord.
Na ja, der ist lang. Passt leider nicht mal. Doch passt auf meine Slide. Oh, wunderbar. Da kann ich nichts rauskürzen. Der war aber auch schon bei V4 lang und den merkt sich sowieso keiner. Was hat es damit auf sich mit dieser Adresse? Jetzt beide Schreibweisen, die Langschreibweise und die Kurzschreibweise einmal zusammengekürzt
nach den Regeln, die ihr gerade gelernt habt und einmal oben noch die komplette Variante. Der grundsätzliche Aufbau ist, wir haben acht Blöcke je vier Stellen. Das Ganze ist hexadezimal. Das heißt, jede Stelle, jedes Bit repräsentiert. Also jede Ziffer in der IP-Adresse repräsentiert vier Bit mal 108. Ergibt dann in der Summe 128, 8 mal 4.
Und jedes ist vier Bit, entspricht 128 Bit Länge der IP-Adresse. Dann habe ich üblicherweise ein Interface Identifier. Das ist das, was man unter IPv4 als das Subnetz kennt. Also ich habe irgendwie 192, 168, 0.0 slash 24.
Das heißt, da wäre es dann hinter dem letzten Punkt das. Bei IPv6 teile ich die IP-Adresse üblicherweise genau in der Mitte durch. Ich habe 128 Bit und ich mache eine slash 64. Das heißt, die vorderen 64 Bit ist das Präfix. Und die letzten 64 Bit sind das Suffix oder der Interface Identifier. Jetzt habe ich da Zahlen, deren Größenordnung ich nicht mal kenne.
Es gibt einmal der komplette Adressraum IPv6. Und darunter ist ein einziges Subnetz. Und ein einziges Subnetz ist der komplette V4-Adressraum zum Quadrat. Der V4-Adressraum, den kann ich noch in Zahlen fassen. Ungefähr 4,3 Milliarden IP-Adressen. Also wir haben wahnsinnig viele IP-Adressen
und wir haben auch pro Subnetz wahnsinnig viele IP-Adressen. Niemand wird ein Heimnetz zu Hause haben, wo er so viele Adressen drin braucht. Warum man trotzdem so ein großes Netz haben möchte, erzähle ich gleich noch. Also wir haben ja noch viel mehr Stellen. Wir haben die letzten 64 Bit eben als Suffix identifiziert.
Der hier blau eingefärbte Bereich hat sich nicht geändert. Woher kommen die anderen Bereiche und wer vergibt die und wie komme ich überhaupt an meine IP-Adresse als End-User? Ganz egal ob im Business-Bereich oder im Privat-Bereich. Diana als Internet-Registry vergibt Subnetze an die regionalen Internet-Registries. In dem Fall hier die RIPE.
Das ist eine IP-Adresse von dem Server, auf dem wir, habe ich vergessen zu erwähnen am Anfang, wer sich jetzt hier anfängt Notizen zu machen, der wird wahrscheinlich nicht viel Spaß daran haben, weil er die ganzen langen IP-Adressen aufschreiben muss. Die Slides sind selbstverständlich online. Der Link kommt gleich und das liegt auf dem Server, dessen IP-Adresse da auf der Slide steht. Ja, ihr kriegt einen DNS-Namen dazu und es funktioniert auch über V4,
weil ihr sollt ja erst V6 einführen. Also Diana vergibt ihre Subnetze an die regionalen Internet-Registries. In dem Fall die RIPE. Und in diesem Fall hat sie einen Slash 12 vergeben. Das ist der Bereich, den ich vorne grün eingefärbt habe. Das heißt Diana hat diesen 2A01-Slash-12-Bereich
an die RIPE vergeben. Die RIPE wiederum, das ist wie eine Genossenschaft organisiert. Dort kann man Mitglied werden, kann man sagen, ich möchte jetzt ein Provider werden. Da kann man auch sagen, ich hätte gerne Legacy-IP. Dann sagen die so, gucken wir mal, vielleicht finden wir noch irgendwo einen Slash 22 für dich. Dann hat man 1000 IP-Adressen, 1024.
Da wird man als ISP nicht so richtig glücklich mit. Das heißt, mit V6 bekommt man, ohne nachzufragen oder ohne weitere Gründe zu nennen, bis zu einem Slash 29. Das, was man per Default bekommt, ist erst mal ein Slash 32. Ich sage, das reicht aber nicht so richtig. Ich habe ganz viele Kunden und ich bin ganz groß
und ganz wichtig und so. Und ich bin ja ein Start-up, was in drei Jahren irgendwie 2 Milliarden Umsatz macht. Okay, hier hast du deinen Slash 29. Viel Spaß damit, sieh zu, komisches Start-up. Damit hat mein Start-up jetzt einen Slash 29. Der gelb markierte Bereich. Wobei das nicht ganz stimmt, das ist der Bereich, den natürlich dieses Start-up-Unternehmen
oder überhaupt das Unternehmen auch noch verwenden kann, um Subnetze für die Kunden zu bilden. Die Kunden bekommen unterschiedliche Subnetze. Es gibt da verschiedene Empfehlungen der RIPE. Also alles, was jetzt auf Englisch steht, sind Ausschnitte aus den offiziellen Recommendations der RIPE. Am Ende kommen auch noch mal die Links dazu, wo man genau das nachlesen kann. Business-Customers sollten einen Slash 48 bekommen.
Ein Slash 48 hat 65.000 Slash 64-Subnetze. Ihr erinnert euch, jedes Slash 64 hat den kompletten IPv4-Adressraum zum Quadrat an maximalen IP-Adressen. Das ist wahnsinnig viel. Ein Unternehmen, das 65.000 Subnetze braucht, das will ich erst mal sehen. Also die meisten Unternehmen in Deutschland
werden das nicht brauchen. Die Endkunden, also Heimanwender, bekommen immerhin noch einen Slash 56. Damit kann man 256 Subnetze a Slash 64 machen, sprich die 32-Bit-v4-Adressraum zum Quadrat. So viele Endgeräte hat niemand von euch zu Hause stehen. Also glaube ich zumindest einfach mal.
Und jedes einzelne Subnetz, hatten wir vorhin schon mal, ist auch die Empfehlung der RIPE. In diesem Fall ein Slash 64. Das heißt, jedes einzelne Subnetz, in dem die Geräte dann tatsächlich sind, ist ein Slash 64. Habe ich euch schon abgehängt? Wunderbar.
So, dann kommt immer genau dieses Argument, diese unglaubliche Verschwendung. Wir verballern da Slash-64-Subnetze mit Aber-Milliarden-IP-Adressen in jedes einzelne Subnetz. Die brauchen wir doch eigentlich gar nicht. Ja, ist das tatsächlich ein Problem? Nur 12,5 Prozent, also ein Achtel des Adressraums
ist derzeit überhaupt für Global Unicast, also für IP-Adressen im Internet vorgesehen. Jetzt könnte man sagen, das macht es ja noch viel schlimmer. Wir verwenden nur 12,5 Prozent des Adressbases überhaupt im Internet. Da haben wir ja ruckzuck ein Riesenproblem. Ja, der ganze Rest oder ganz viel von dem Rest ist aber noch reserved. Für zukünftige Anwendungen. Das heißt, der kann zukünftig freigegeben werden,
wenn man sich mal überlegt, wir brauchen doch viel mehr, als wir aktuell eingeplant haben, nämlich mehr als den ein Achtel des Adressraums. Jetzt eine Frage ins Publikum. Wie viel, oder was glaubt ihr, wie viel Prozent des aktuellen Global Unicast-Adressraums, also von diesem 2000 Slash 3, ist bereits vergeben? Seht irgendjemand eine Idee?
Ich habe es ausgerechnet, 1,2 Prozent mit Stand Juli 2019. Mehr nicht. Und jeder ernstzunehmende ISP weltweit hat heutzutage, also vielleicht in englischen Entwicklungsländern, in Schwellenländern noch nicht, aber die tatsächlich großen, wo aktuell viele Teilnehmer drin sind, haben entsprechende V6-Subnetze.
Ob sie die an die Kunden ausrollen oder nicht, das ist erstmal ein anderes Thema. Was wir in Zukunft eher ein Problem haben werden, ist das Problem kleinerer Subnetze. Also nein, kleinere Subnetze führen dazu, dass wir größere Routing-Tabellen haben. Und wenn wir entsprechend die Subnetze groß machen und an die Kunden geben, haben wir natürlich weniger Einträge in den globalen Routing-Tabellen.
Kommen wir mal dazu, was so eine IP-Adresse ist, wie die aufgebaut ist und welche Adresstypen es da gibt. Wir haben erstmal Loopback. Das ist das, was man außer V4-Zeit 127.001 kennt. Das ist hier Doppelpunkt Doppelpunkt 1 Slash 128. Wir haben Link Local.
Komme ich gleich zu, was das ist, erkläre ich. Multicast ebenso. Die Unique Local Unicast-Adressen, die ULAS. Und Global Unicast. Global Unicast ist das, wo aktuell 1,2% vergeben sind. Die Link Local-Adressen. Achso, noch einmal kurz zurück. Auch hier ist eine Struktur drinne. Wir bewegen uns von dem Device, auf dem wir sind, immer weiter nach außen.
Loopback ist tatsächlich nur das Loopback-Device auf dem Gerät. Danach haben wir Link Local. Das ist bis zum nächsten Router mit Multicast. Können wir uns ein bisschen ins Netz reinfragen. Kommen wir gleich zu. Und die Unique Local Unicast, das erste, was auch über den Router hinweggehen könnte. Und Global Unicast sind wir dann im Internet angekommen.
Die Link Local-Adressen sind nur innerhalb eines Netzwerksegmentes gültig. Ihr habt das vielleicht schon mal gesehen, wenn ihr irgendwo, ganz egal welches Betriebssystem, Mac OS, Linux, Windows, in ein Netzwerk hängt, die kriegen so eine komische FE80-Adresse. Das ist genau diese Link Local-Adresse. Die wird nicht geroutet, die geht niemals über den Router weg. Aber über alle Switches im Netzwerk.
Und die ist wie folgt aufgebaut. Wir haben erst mal das 10-Bit-Prefix am Anfang. Das ist immer FE80. Und danach 54 Null-Bits. Das heißt, die ersten 64-Bit, wir haben vorhin gelernt, Interface Identifier kommt nach 64-Bit. Die vorderen 64-Bit ist das Präfix, sind immer FE80. Und dann kommen ganz viele Nullen.
Deswegen macht man da seinen Doppelpunkt, Doppelpunkt üblicherweise hin, kommt der Interface Identifier. Da gibt es jetzt verschiedene Varianten, wie man den generieren kann, wo der herkommt. Klassischerweise leitet sich der von der Mac-Adresse ab. Warum man das heute nicht mehr macht, erzähle ich nachher noch. Und wir haben in dem Fall eine Interface-ID. Weil ich könnte ja theoretisch,
dadurch, dass ich die ersten 64-Bit immer identisch habe, immer FE80, Doppelpunkt, Doppelpunkt, und dann kommt ein Interface Identifier, könnte ich auf mehreren Interfaces auch die gleiche IP-Adresse haben. Die gleiche FE80. Und damit ist sie nicht mehr eindeutig. Deswegen hänge ich hinten nochmals Interface dran. In dem Fall ETH 0. Dann in der komplett ausgeschriebenen Variante und in der Kurzvariante.
Soweit klar? Die meisten nicken, ja, das ist immerhin noch ein gutes Zeichen. Was wir mit der anstellen und wofür wir die brauchen, das erzähle ich gleich auch noch mal. Es ist erstmal wichtig, dass jedes Gerät, was ich an einen Switch hänge, ganz egal, was dahinterhängt, ob da irgendwas dahinterhängt, das Device, das Betriebssystem,
würfelt erstmal eine FE80-Link-Local-Adresse aus. Dann haben wir Multicast. Multicast wird für IPv6 unbedingt benötigt. Übrigens auch ICMPv6. Wenn irgendjemand auf die Idee kommt, das auf seinen Switchen auszumachen, weil sie sagen, das will ich alles nicht haben, dann ist es auch vorbei mit IPv6. Dann wird es nicht mehr funktionieren.
Es gibt von der JANA ein Dokument, wo well-known Multicast-Adressen verteilt oder ausgewiesen werden. Und die Multicast-Adressen fangen immer mit FF an, also das 8-Bit-Prefix. Danach kommt 4-Bit-Flex und ein 4-Bit-Gültigkeitsbereich
und anschließend eine Multicast-Gruppe. Ich zeige gleich, was es damit auf sich hat, um was man mit Multicast so anstellen kann im V4-Bereich. Die Multicast-Gruppe, da gibt es verschiedene von. In diesem Fall ist es die 1 am Ende. Die 1 sind alle Devices im Network. Das heißt, jeder Rechner, der eine V6-Adresse hat, muss sich in diese Multicast-Gruppe 1 einschreiben.
Das hat zur Folge, dass ich diese Multicast-Gruppe pingen kann und dann auch alle zurückbekomme, die in diesem Netzwerk sind. Es gibt da ganz viele Gruppen. Ich kann auch eigene Gruppen definieren. Es gibt paar Default-Gruppen, zum Beispiel dieses 1, wo jedes Device daran teilnehmen muss. Wenn es ein Router ist, gibt es noch eine weitere Gruppe, wo der Router dann reinnehmen muss. Gucken wir uns das einmal in der Praxis an.
Ich habe gerade schon kurz gesagt, ich habe den Fall, gib mir alle Teilnehmer im Netz. Also ich möchte die V6-Teilnehmer haben. Dann mache ich so etwas, gemäß der Folie davor. FF02...1. Müsste ich jetzt eigentlich alle Teilnehmer zurückbekommen. Stattdessen bekomme ich eine komische Fehlermeldung. Connect invalid argument.
Was hat es damit auf sich? Warum geht das nicht? Na ja, wir haben da die 2 drin. Die 2 war der Scope und die 2 war Link-Local-Scope. Das kann also nicht funktionieren. Denn was haben wir auf der Link-Local-Seite gelernt? Interfacesidemus angegeben werden. Das gilt in dem Fall auch für Multicast. Das heißt, wenn ich so mache und hinten dran nochmal mein Interface angebe, funktioniert es.
Und meine Devices im Netzwerk antworten mir. Nächste Übung. Gib mir alle Router im Netz. Das ist eine andere Multicast-Gruppe. Kann ich auch anpingen. Wie war das noch? Ping FF02, Doppelpunkt. Wieder irgendwas dahinter? Keine Ahnung. Wer soll sich das alles merken?
Viel komplizierter als V4. Ich habe da was vorbereitet. Es gibt den IPv6-Finder. Ich bin eigentlich darauf gekommen, über einen Artikel in der CT. Und habe dann festgestellt, es gibt 2 Shellscripts, die IPv6-Finder.sh heißen.
Die komplett anders aufgebaut sind. Also habe ich mir die mal kurz angeguckt. Was machen die eigentlich? Wie würde ich das eigentlich machen? Was ich eigentlich möchte, ich möchte erstmal alle V4-Devices auf Link-Local haben. Möchte dann gucken, haben die vielleicht noch eine Global-IP? Die MAC-Adresse wäre vielleicht noch ganz interessant. Die V4-Adresse, weil damit können sich die meisten Leute immer noch eher identifizieren. Und anschließend noch die Info, was ist das eigentlich für ein Device?
Und genau das macht das Shellscript. Also auch tatsächlich in der Reihenfolge. Es macht erst mal ein Ping an die Multicast-Adresse für alle Devices. Dann an die Multicast-Adresse für Router. Macht danach noch einen Upscan, um die V4-Adressen rauszubekommen. Und listet das dann alles auf. In der Übersicht sieht man spannende Dinge. Das untere Device, zum Beispiel, was sich da als Router ausgibt, anhand der MAC-Adresse,
könnt ihr den Hersteller identifizieren, ist ein Gerät, das offiziell kein V6 kann. Was spannenderweise aber trotzdem eine Link-Local-Fe80-Adresse hat. Also da wird vermutlich irgendwie ein Embedded Linux drauflaufen, was an sich doch V6 kann, aber der Hersteller hat es vergessen, in seine GUI einzubauen. Das Schöne ist, das ist mir egal, weil ich kann das Device auch über seine FE80-Link-Local-Adresse erreichen.
Also ich komme da auch bei V6 drauf. Eine Menge Router haben wir irgendwie in diesem Netz. Und wenige Teilnehmer. Und einmal mich. Dieses Skript hat als Dependency Arpscan, muss man vorher installieren. Ich habe das mal heilig gemacht. Also das Skript aus dem Original-Repository
von diesem Philips 321 funktioniert irgendwie nur auf nagelneuen Systemen. Also ein Ubuntu 1804 funktioniert, ein Debian 8 zum Beispiel nicht mehr. Komische Dependencies. Warum habe ich ein aktuelles Ubuntu und eine Dependency auf einem IF-Config, während die meisten Sachen da drin mit IP-Befehlen arbeiten. Total komisch. Ich habe es mal heilig gemacht. Könnt ihr euch klonen. Kann einfach ausgeführt werden. Wie gesagt,
einzige Dependency Arpscan. Und dann könnt ihr euer Netzwerk mal nach V6-Devices scannen. Und zumindest sind die FE80, auch wenn ihr keinen ARPV6 ausgerollt habt, werdet ihr finden. Kommen wir zum nächsten Addresstyp. Das heißt immer, ja, meine Devices haben ja alle öffentliche IP-Adressen. Und dann habe ich noch einen Präfix. Das ändert sich ständig, weil mir mein Provider keine
statischen IP-Adressen gibt. Ich kann das hier alles gar nicht verwenden. Mit NAT und V4 war das alles viel einfacher. Du hast jetzt zwei Optionen. Entweder gehst zu deinem Provider und hast einen Business-Anschluss und sagst, jetzt gib mir mal eine statische IP-Adresse, weil ich brauch die irgendwie. Und er gibt dir die und alles ist gut. Oder du führst halt einen Link-Local, nein, einen Unicast-Netz ein,
was quasi auch wieder privater Adressraum ist, wo du zum Beispiel deinem Server eine IP-Adresse geben kannst, die man sich sogar im Zweifelsfall merken kann, wenn man sich die selbst auswürfeln darf. Ob man es sollte, kann man gleich noch darüber reden. Und wo dann alle Clients ebenfalls eine Local-Unicast- IP-Adresse bekommen und auf diesen Server zugreifen können.
FC ist für global zugewiesene ULAS vorgesehen. Es gibt derzeit nur keine Stelle, wo man die registrieren könnte. Das heißt, praktisch steht nur das FD-Präfix zur Verfügung. Und dort kann man sich den Interfail, also kann man sich das Präfix selbst generieren. Es gibt da diverse Möglichkeiten, die in einem RFC festgeschrieben sind. Die gängige ist eigentlich, den aktuellen Site-Stempel zu nehmen,
mit der MAC-Adresse zu kombinieren, daraus eine Schar-1-Check-Summe zu nehmen. Das weiß ich gerade nicht mehr, ob die vorderen oder die letzten 40-Bit dann die Site-ID werden. Viele Leute machen aber auch einfach FD, irgendwas, was man sich merken kann. Keine Ahnung, das Geburtstag, Hochzeitstag, was weiß ich was da rein. Kann man tun,
spätestens, wenn ich dann zu einem Kunden komme und diese beiden Netze über eine VPN miteinander verbinden sollen und die haben sich das gleiche überlegt, weil eins ist ja so toll zu merken, dann haue ich den auf die Finger. Also, man sollte, wenn man vorhat, das Netz mit irgendjemandem anders zu verbinden, das tatsächlich auch unique machen. Nicht ohne Grund steht das da drin. Und letztendlich setze ich das dann zusammen unter dem 8-Bit-Präfix FD, dann die 40-Bit-Site-ID,
die ich mir auswürfeln kann. Dann habe ich noch die Möglichkeit, 16-Bit-Subnetze zu generieren. Also, ich will ja nicht nur ein Subnetz haben in meinem Unternehmen, sondern ich brauche ganz viele. Die kann ich dann da alle überlegen. Und zum Schluss kriege ich zum Beispiel so eine V6-Adresse raus, die ich über meine Router hinweg in meinem lokalen Netzwerk verwenden kann. Und die
idealerweise so unique ist, dass ich ja auch mit anderen Teilnehmern zum Beispiel über VPN verbinden kann, ohne dass es da Konflikte gibt. Wie häufig habe ich das im V4-Bereich? Alle verwenden 192.168.0.0.24. Zwei Unternehmen verbinden will über einen VPN, die beide die Subnetz verwenden. Das ist dann nicht mehr so schön. Zu guter Letzt
haben wir noch Global Unicast. Global Unicast ist das Internet. Das sind alle anderen Adressen, die nicht auf den vorgenannten Folien aufgeführt wurden. Aktuell fangen die alle mit einer 2 an, weil das einzig vergebene Netz, wie gesagt, diese 12,5% ein 8. des Adressbases 2000 slash 3 ist. Es gibt bei der Jana auch wieder eine schöne Übersichtsseite, wo man sehen kann, an welche
regionale Internet Registry welche Subnetze vergeben wurden. Ist ja verlinkt, wie gesagt, Slides und Online. Und Endkunden erhalten entweder slash 48, Empfehlung für Businesskunden, slash 56 für Heimanwender oder einfach nur an slash 64, wenn Sie nur ein Subnetz brauchen für Ihre Devices. Weitere Subnetze kann der Router, den man dann zu Hause hat oder
im Unternehmen hat, über Prefix Delegation, über DHCP, V6, PD abfragen. Kommen wir gleich noch zu. Kann übrigens auch eine Fritzbox, also auch so normale Hardware, muss ja irgendwie nicht Enterprise Kram sein, kann das alles. Wir hatten vorhin den Interface Identifier 64-Bit lang, leitete sich ursprünglich
von einer Mac-Adresse ab, habe ich gesagt. Dieser muss innerhalb eines Netzes eindeutig sein. Ist genau wie bei V4. Ich kann nicht zwei Mal die gleiche IP-Adresse vergeben, dann haben wir einen IP-Adress-Konflikt. Sollte ich auch bei V6 nicht tun. Woher kommt das? Also ich kann den entweder manuell zuweisen. Wenn ich einen Server habe, will ich das vielleicht auch haben. Dann will ich vielleicht doppelpunkt doppelpunkt eins am Ende stehen, haben zwei, keine Ahnung, irgendwie ein sinnvolles Numerierungsschema rein,
mir da eine Struktur aufbauen. Ich kann aber auch, zum Beispiel für die Clients, das durch eine Eigenschaft des Gerätes bestimmen. Da war üblich, das über Modified EUI 64 zu machen. Das heißt, da wird die Mac-Adresse genommen, haben wir 48-Bit. In der Mitte fülle ich noch ein bisschen was rein, weil ich brauche 64-Bit.
Könnt ihr alles nachlesen, wie es im Detail funktioniert. Dann kippe ich noch einen Bit, je nachdem, ob es eine selbstgenerierte Mac-Adresse ist oder ob es eine ist, die tatsächlich vom Vendor kommt. Hat den Grund, dass ich in der Mitte wieder ganz viele Nullen haben möchte. Braucht ihr alles nicht wissen. Das hat man früher getan. Das hat aber einen riesigen Nachteil. Ich habe immer den gleichen Interface Identifier, ganz egal, wo ich bin.
Das ist wunderbar zum Tracking. Weil wenn ich jetzt irgendwie jemanden habe, der mich verfolgen will über alle Netze hinweg, ist die letzten 64-Bit von meiner IP-Adresse immer identisch, ganz egal, wo ich bin. Ob ich bei McDonalds im WLAN bin, ob ich zu Hause sitze, ob ich im Starbucks sitze, ob ich in der Uni bin. Ich bin immer der Gleiche. Derjenige, der mich tracken will, schneidet einfach die ersten 64-Bit ab. Die kann er noch verwenden, um rauszufinden, wo ich gerade bin.
Und die letzten 64-Bit sind immer identisch. Das ist super. Deswegen ist es sinnvoll, da eine Zufall generierte Adresse zu verwenden. Diese kann dauerhaft sein oder sie kann temporär sein. Wenn sie temporär ist, dann ist sie sogenannten Privacy Extensions.
Wie komme ich jetzt an meine IP-Adresse? Ich habe vorhin gesagt, FE80-Adressen werden immer automatisch generiert. Sobald ich mein Gerät irgendwie in den Link gebe, sobald ich ein Netzwerkkabel reinstecke oder WLAN-Verbindungen aufgebaut habe, bekomme ich so eine FE80-Adresse. Die benutze ich dann auch gleich mal, um eine Routersolicitation zu schicken. Das heißt, ich frage einfach mal das Netz, gibt es hier
irgendwo einen Router und wenn ja, antwortet mir doch mal bitte. Das mache ich über Multicast. Anschließend antwortet mir der Router und sagt, hier bin ich, ich bin Router. Also in dem Fall ist nicht gesetzt, dass es ein Router ist. Es kann beliebig viele Router im Netzwerk geben und es kann beliebig viele verschiedene Präfixe, also verschiedene IPv6-Netze im Netzwerk geben.
Der Router sagt mir, ich habe hier einen Präfix für dich, ich habe noch eine Priorität, also es gibt da drei Prioritätenmittel, also Medium, Low und High. Und die Router können selbst sagen, wie wichtig sie sich halten. Die geben mir eine Lifetime mit, wie lange diese Route oder wie lange dieses Subnetz diese Zuweisung gültig ist. Eine MTU, ich kann auch einen Optionflag und einen Manageflag setzen, was das ist, erzähle ich gleich. Und einen DNS-Server
kann ich mitgeben. Ich möchte ja auch irgendwie eine Namensauflösung machen können im V6-Netz. Nichts anderes tut der Router. Also er sagt mir, hey, ich bin Router, ich habe hier einen Präfix für dich, hier sind noch so Direktdaten für dieses Netz, die Spielregeln letztendlich, leg mal los. Und genau, das tut der Client dann. Er würfelt sich eine IP-Adresse aus. Wie man den Interface-Identifier auswirft,
hatten wir eben, entweder MAC-Adresse, zufallsgeneriert oder dauerhaft, also zufallsgeneriert, aber statisch. Es könnte ja trotzdem sein, obwohl ich 64 Bit habe, und wenn ich mir da tatsächlich halbwegs vernünftigen Zufall dahernehme, sollte es keine Adress-Konflikte geben, also keine Kollisionen geben. Nichtsdestotrotz ist im Standard vorgeschrieben, ich muss eine Duplicate-Adress-Detection machen.
Wenn ich das gemacht habe und festgestellt habe, es hat sonst niemand diese IP-Adresse im Netz, gut, alles klar, dann kann ich mir die nehmen. Der Router weiß da nichts von. Also der Router muss von diesem ganzen Kram nichts mitbekommen. Der schickt mir einfach nur, ich habe hier einen Präfix für dich, viel Spaß, leg los. Und den Rest mache ich auf den Client. Und weiß mir die IP-Adresse zu. Der Router weiß jetzt nicht, welche IP-Adresse er hat. Der wird es vielleicht wissen, wenn ich anfange, Traffic zu machen,
weil dann muss er diesen Traffic routen. Solange ich das aber nicht tue, habe ich halt einfach nur ein Präfix bekommen und kann damit arbeiten. Wir haben hier die beiden Flacks drin, das Option-Flack und das Manage-Flack. Was hat es damit auf sich? Es gibt da noch DHCPv6. Das gibt es in zwei Betriebsvarianten, es gibt Stateful und Stateless
DHCPv6. Wo sind die Unterschiede dabei? Wenn ich das Option-Flack gesetzt habe, in dem Router-Advertisement, was mir der Router geschickt habe, dann verweist der Router damit auf einen DHCP-Server. Er sagt mir quasi, hey, ich bin hier der Router im Netz, ich habe das Präfix für dich, ich habe aber auch noch einen DHCP-Server für dich und dort kannst du weitere Informationen abrufen.
Zum Beispiel Host-Namen, Domain-Namen, DNS, NTP-Server, alles, was man so von DHCP kennt, was man da in zusätzlichen Informationen mitgeben kann. Was halt in der Router-Advertisement nicht vorgesehen ist. Also ich kann da nicht weitere Zusatzinformationen reinmachen. DNS war ursprünglich auch nicht mit drin, es ist nachgerüstet worden über einen RFC, dessen Nummer
ich gerade nicht weiß. Und es gibt dann noch Stateful DHCP. Ganz wichtig, das ist tatsächlich ein DHCP-Server, wie man es aus dem V4-Bereich kennt, der eine IP-Adresse zuweist. Jetzt könnte man sagen, ok, ich brauche kein Router-Advertisement mehr. Doch, brauchst du schon. Weil der Client muss erstmal mitgeteilt bekommen, dass er sich über Stateful DHCP eine IP-Adresse holen muss. Das heißt, du hast
einen Router-Advertisement-Demand, der sagt dir einfach nur, wir haben hier einen DHCP-Server im Netz und da kannst du dir eine IP-Adresse abholen. Das führt leider dazu, sodass, wie man es aus der V4-Welt kennt, und man muss aufhören in V4-Welten zu denken, wenn man IPv6 macht, dass ein Gerät eine IP-Adresse bekommt. Nämlich genau diese IP-Adresse, die der DHCP-Server dem Client zugewiesen hat.
Google sagt, das implementieren wir nicht in Android. Was schon mal jeden, der einen öffentlichen Hotspot betreibt, jede Uni dazu zwingt, Slack zu machen und kein Stateful DHCP, also Stateless DHCP, wenn überhaupt. Ansonsten wird kein Android-Endgerät eine IP-Adresse bekommen. Der Link ist sehr amüsant. Das Ticket
ist schon ewig lange offen. Es gibt dort einen Mitarbeiter bei Google, der das regelmäßig kommentiert und sich dazu äußert. Ist ganz interessant, mal nachzulesen. Letztendlich hat es auch einen Privacy-Impact, weil dann der Betreiber des Netzwerks auch wieder weiß, welche IP-Adresse ich habe. Er kann mich tracken. Wenn ich mir selbst meine IP-Adresse auswürfel,
Privacy Extensions anmache und immer noch alle paar Minuten oder alle paar Stunden eine neue IP-Adresse bekomme, weiß niemand, wer dahinter steckt. Dann haben wir noch die Prefix Delegation. Wenn ich jetzt einen Router im Netz betreibe und dieser Router soll weitere Subnetze bekommen, wenn ich mir zum Beispiel zwei Router kaskadiere. Ich habe irgendwie meine Fritzbox, die ich vom Provider
bekommen habe und möchte danach noch meinen eigenen Router betreiben, weil dieser verdongelte Provider-Kram ist irgendwie nicht so richtig das, was ich haben möchte. Dann kann ich an diesen zweiten Router, den ich selbst betreibe über Prefix Delegation ein weiteres Subnetz oder mehrere Subnetze weitergeben. Das heißt, damit werden die Subnetze gegeben und eben auch wieder Lifetimes. Wie lange ist dieses Subnetz gültig? Zum Datenschutzkram
habe ich eben schon ein bisschen was erzählt am Anfang. Als der Interfacer Identifier immer quasi statisch war und sich von einer MAC-Adresse ableitete, war IPv6 der feuchte Traum aller Trackingdienste. Du warst wunderbar eindeutig zu identifizieren, ganz egal, wo du bist. Du konntest über die vorderen 64 Bit identifizieren, in was für einem Netz befindet sich der User. Also wo ist er gerade? Und über die letzten 64
Bit konntest du identifizieren, ist das jetzt mein User. Also wer ist das? Die Privacy Extensions wollen dieses Problem durch temporäre Adressen lösen. Das heißt, meine Devices würfeln sich selbst temporäre Adressen aus und verwenden die für ausgehenden Traffic. Manchmal wäre es ja aber ganz praktisch, wenn ich
trotzdem noch eine statische IP-Adresse habe, um dieses Gerät auch erreichen zu können. Ich habe meine dynamischen IP-Adressen, mit denen schicke ich Traffic nach draußen. Alle Verbindungen, die ich aufbaue, zum Beispiel zum Surfen, erfolgen über die dynamischen IP-Adressen. Wenn ich eine eingehende Verbindung haben will, ist es unpraktisch mit dynamischen IP-Adressen. Das heißt, ich habe immer auch noch eine weitere IP-Adresse, die statisch
ist, die sich nicht wieder ändert, die aber in der Regel heutzutage nicht mehr von der MAC-Adresse abgeleitet wird, sondern einmalig dynamisch, also zufällig generiert wird. Und darüber kann ich dann eingehende Verbindungen haben, die ändert sich dann auch nicht. Die Zuordnung zu einem Anschluss ist trotzdem möglich. Also auch wenn ich die Privacy Extensions verwende, ändert sich ja immer nur die letzten 64 Bit,
also mein Interface Identifier. Die Bits da vorne kann ich ja nicht beeinflussen. Die könnte mein Provider beeinflussen, indem man mir ein neues Subnetz, also ein neues Präfix gibt, eine neue Zuweisung macht. Der hamburgische Datenschutzbeauftragte Johannes Caspar fordert deswegen auch dynamische Adressvergabe per Gesetz. Da bin ich absolut kein Freund von. Ich fand schon schrecklich genug bei V4, dass es immer als
Premium-Feature angeboten wurde, statische IP-Adressen zu bekommen. Meine Meinung ist, überlass doch einfach den Kunden die Wahl. Also wenn ein Kunde sagt, er möchte eine statische IP-Adresse haben, oder ein statisches Präfix in dem Fall, kann das ja gerne bekommen. Und per Default kann ja gerne dynamische Vergabe der Präfixe sein. So, Sicherheit.
Wird leider häufig mit dem Thema Nutt verwechselt oder in einen Topf geworfen. Ganz wichtig, Nutt ist keine Firewall. Also wer sich auf Nutt als Firewall verlässt, du brauchst definitiv eine Firewall, das spielt keine Rolle. Du brauchst eine Firewall für V4 und du brauchst eine Firewall für V6. Also wo ist der Unterschied? Der Unterschied ist, deine Devices haben eine
öffentlich erreichbare, also eine Global Unicast IP-Adresse. Aber wo ist das Problem? Also, ich hab eben eine Firewall davor, die schottet das Ganze ab. Ein weiterer Vorteil, der aktuell noch in die Karten spielt, ist ganz einfach, es gibt zu viele IP-Adressen. Ich kann den kompletten IPv4-Adressraum mit knapp 4,3 Milliarden IP-Adressen in einer Stunde, zwei Stunden
komplett gescannt haben. Also zum Beispiel Portscan auf irgendeinem Sport oder gucken, ob da irgendwelche Devices mit Standardzugangsdaten drin sind, kriege ich ruckzuck abgescannt. Das ist nicht mehr viel, wenn ich einen Gigabit-Anschluss zu Hause habe. Geht das? Okay, wir hatten einen Gigabit-Anschluss zu Hause in der Uni oder im Büro oder sonst wo. Das geht bei V6 einfach noch nicht. Ich weiß nicht, ob noch nicht der richtige Ausdruck ist,
es geht aktuell nicht. Also wenn man ein Device mit einer wirklich zufällig generierten IP-Adresse, Interface Identifier random generiert, ins Netz hängt, da kommt keiner vorbei und scannt das. Zumindest aktuell noch nicht. Man sollte sich natürlich nicht darauf verlassen. Aber ich habe jetzt zum Beispiel eine neue Webcam, wenn man sich die irgendwie, oder so eine IP-Cam, wenn ich mir die anschließe und erstmal mit V6 online habe, brauche ich mir nicht, wie bei V4, Sorgen machen,
wenn ich das Default-Passwort nicht innerhalb der nächsten zehn Minuten erende, dass das Ding geohnt ist. Bei V4 würde ich das nicht machen. Also müsste man vorsichtig sein. Großflächige Scans finden auch tatsächlich aktuell nicht statt. Wo drauf Scans stattfinden, ist natürlich doppelpunktdoppelpunkt eins am Ende und sowas, weil da erwarten die Leute natürlich irgendwelche Devices im Netzwerk oder irgendwie andere schöne Sachen,
eine Tausend am Ende oder eins hochgezählt. Also alles, was man sich irgendwie erraten kann, was nicht zufällig ausgedacht ist, da drauf finden Scans statt. Aber die 64-Bit-Adressraum, die scannt so schnell keiner. Außerdem will niemanden hat. Also heutzutage hat man sich dran gewöhnt. Wenn man heute von FDP redet, dann spricht man in der Regel von passiven
FDP. Warum denn? Weil aktiv sind die funktioniert. Bei Internettelefonie waren alle möglichen Workarounds nötig. Bei VPN, IPSEC, denke ich jetzt gerade dran, Horror. Was man dafür... also mittlerweile funktioniert das alles so halbwegs, aber es sind letztendlich Workarounds, die man auf der... die aus dieser IP-Adressknappheit im V4-Bereich resultieren.
Und das kann man alles vermeiden mit V6. Jedes Device hat eine öffentliche IP-Adresse. Ich habe eine Firewall davor. Ich schalte eine Firewall-Regel. Also ich definiere einfach welche Devices aus dem Internet erreichbar sein sollen. Und alles ist gut. Auch kein Datmer. Ich will auch kein Datmer. So. Jetzt habt ihr ganz viel gelernt. Jetzt zeige ich euch
nochmal, was man nicht macht, nämlich IF-Config benutzen. IF-Config zeigt das auch alles schön an. Also wenn ich einen IF-Config auf meinem Device hier mache, das ist so eine komische... komisches Device, weil das eine Thinkpad-Dockingstation ist, mit der ich das gemacht habe. Wo man sieht hier die V4-Adresse, man sieht hier die V6-Adresse. Und was man hier ganz
schön sieht. Mal gucken, ob man meinen Laser-Pointer da sieht. Ja, man sieht ihn wunderbar. Ich habe da hinten die MAC-Adresse. Und wenn man sich das hier anguckt, findet man die MAC-Adresse wieder. Es ist keine Privacy-Extensions aktiv. Hier in der Mitte FFFE. Das ist genau der Part, der da reingeschoben wird. MAC-Adresse sind 48 Bit lang. Also muss ich noch 16 Bit auffüllen, damit ich bei 64 Bit
lande. Das ist genau da passiert. Mein Interface Identifier in dem Fall ist statisch. Der vordere Kram, also alles, was vor meiner MAC-Adresse kommt, ist das, was mir der Provider zugewiesen hat, was mein Endgerät über das Router-Advertisement bekommen hat. Ist jetzt hier irgendwie nicht so richtig übersichtlich. Heutzutage will man
IP verwenden. IP hat auch noch einen tollen Parameter minus Color, viele nicht kennen. Highlightet nochmal die IP-Adressen, macht das Ganze ein bisschen übersichtlicher. Ich sehe hier wieder genau das Gleiche. Das ist genau die gleiche IP-Adresse, genau das gleiche Device, was ich vorhin hatte, wie meine MAC-Adresse, meine V4-Adresse und hier übrigens noch meine Link-Local-Adresse.
Wo man das auch alles wieder findet. Also da habe ich nur noch FE 80 Interface Identifier. In dem Fall hat das Gerät dann halt den Präfix über das Router-Advertisement zugewiesen bekommen, sich eine IP-Adresse ausgewürfelt anhand der MAC-Adresse. So wie man es heutzutage nicht mehr machen will. Das ist ein Screenshot von einem Ubuntu-System, was ich extra so konfigurieren musste, damit es das mal
wieder tut, weil der Default bei Ubuntu ist mittlerweile Stable Privacy. Das heißt, das wird nicht von der MAC-Adresse abgeleitet, sondern zufallsgeneriert pro Netzwerk. Ja, so kann das dann auch aussehen, wenn das Gerät ein paar Tage an war und ein bisschen was passiert ist. Da sind jetzt Privacy-Extensions noch aktiv. Das heißt, ich habe wieder meine MAC-Adresse.
Ich habe hier ganz, ganz, ganz viele Global Unicast-IP-Adressen, die sich aber alle nicht mehr auf die MAC-Adresse zurückführen lassen. Und hier sieht man noch was, da steht überall Deplicated. Der Default ist, ich weiß nicht ob von Pernil her oder von Ubuntu, alle 24 Stunden holt sich das Device einen neuen
also neuen Interface-Identifier, den es wieder über die Privacy-Extensions auswürfelt. Der alte geht dann Deplicated und wird normalerweise dekonfiguriert. Das ist jetzt mein Rechner im Büro, womit ich in der Regel eine Menge SSH-Verbindungen aufhabe und die auch länger als einen Tag auflasse. Das heißt, ich habe auf diesen Deplicated- Verbindungen hier noch eine Collection auf, zum Beispiel einen SSH zu meinem Server.
Und solange ich diese Verbindung nicht schließe, kann ja auch nicht die IP-Adresse dekonfiguriert werden. Das würde ja dazu führen, dass meine Verbindung abreißt zum SSH-Server. Also bleiben die Adressen in einem System, werden aber nicht mehr aktiv für ausgehende Verbindungen verwendet. Sieht man hier noch spannende Dinge, hier sieht man noch ganz unten die IP-Adresse, die sich nicht ändert.
Die ist quasi die, die nicht über die Privacy-Extensions dynamisch generiert wurde, sondern auf meinem Interface bleibt und die sich immer erreichen lässt. Der Prifix kann sich in dem Fall natürlich ändern, das ist hier ein Kabel-Deutschland-Prifix, die auch dynamische Zuweisung haben. Und ganz unten noch wieder meine F480, die ich brauche, um das hier alles zu machen, um überhaupt Routers Solicitation übers Netzwerk zu schicken.
So, jetzt habt ihr gelernt, wie IP-Adressen funktionieren, wie man Subnetze, also Prifixe macht, wie man Interface Identifier generiert und so weiter. Wie komme ich jetzt an diesen guten Kram hier ran, von deinem Provider? Ganz einfach, deinem Provider bittet kein IPv6er, ja, wir haben 2019, du sollst vielleicht mal mit dem Reden oder ihn
wechseln. Aber ja, ja, ich weiß, ich sehe schon die Gesichter von einigen Leuten hier. Du, okay, du kannst auch einen Tunnel-Broker nehmen. Ein Tunnel-Broker tunnelt letztendlich deinen V6-Traffic über V4. Du kannst auch selbst einbauen. Also wenn du irgendwo einen Server hast, der was Größeres als einen Slash-64 hat, zum Beispiel einen Slash-56 oder gerade einen 48er, wir haben vorhin gelernt,
das ist die Empfehlung, was einem Kunden zugewiesen werden sollte. Nimmst du dir einen Slash-64 auf dem Server, einen Slash-64 in den Tunnel rein, einen Slash-64 oder ganz viele Slash-64 auf deiner Seite, die du eigentlich betreiben möchtest. Setzt auf dem Server eine Route, dass das Netzwerk über das Transfer-Netzwerk zu dem Kleinen geroutet wird. Brauchst du noch einen GRE-Tunnel, wo du alles
rüberschieben kannst und dann funktioniert das auch. Jetzt gucke ich in ganz viele verwerte Gesichter. Tunnel-Broker-Funknet ist toll. Ich habe einen Provider, der V6 kann, also einen ernstzunehmenden Provider. Ich habe so einen Fritz-Dings. Und noch einen Router, also irgendwas Vernünftiges dahinter. PF-Sense habe ich vorhin
gesagt. Wir knüpfen da mal ein bisschen an. Und noch mehrere Subnetze in meinem privaten Netzwerk dahinter. Klingt nach einem super komplizierten Setup. Wie lange brauchen wir, um das aufzusetzen? 2 Stunden? Machen wir mal fix. Das ist ganz easy. Wenn man weiß, wie es geht. Aber wenn man weiß, wie es geht, ist es immer einfach.
Ich habe hier meine Fritz-Box. Hängt an dem Kabelanschluss, genau an dem, wo ich vorhin hier so die Screenshots von gemacht habe. Also ich natürlich erstmal will das hier V6 anmachen. Hier rechts steht immer da, wie man da hinkommt auf der Fritz-Box. Hier sieht man es noch. In den weiteren Screenshots sieht man es nicht mehr. Ich mache mal V6 an. Ich mache hier Dual-Stack an und ich sage, ich brauche noch weitere Netze dahinter.
Ich weiß, Kabel Deutschland gibt mir einen Slash 56, also kann ich das auch mal anfragen bei denen. Die Fritz-Box ist übrigens hervorragend, was IPv6-Support angeht. Wenn du Advanced-Setups haben möchtest, dann wäre das irgendwann ein bisschen eng. Aber so die Standard-Dinger, alles, was ich gerade erzählt habe, kriegt man mit einer Fritz-Box wunderbar hin. Also die eignet sich auch, um einfach mal ein bisschen rum zu spielen zu Hause V6 anmachen. Prefix Delegation anmachen. Irgendwie einen kleinen
Router dahinter. Vielleicht nur eine Debian-Kiste, wo man Routing anmacht und mal ein bisschen rumspielen. Also ich habe V6 angemacht. Das ist schön und gut. Damit haben alle meine kleinen Zähne hinter der Fritz-Box hängen, eine V6-Adresse. Man kann damit rumspielen, kriegen über Router-Advertisements eine Prefix zugewiesen. Man kann Privacy-Extensions ausprobieren. Man kann machen, was immer man möchte. So, jetzt haben wir aber noch die
PFSense, die ich gerade angekündigt habe, in dem gleichen Subnetz. Oder hinter der Fritz-Box hängen. Das heißt, hier sind genau diese drei Prioritäten, habe ich vorhin erwähnt. Und ich sage, die Fritz-Box stellt den Internetzugang zur Verfügung. Aktivieren. Hier unten kann ich noch sorgen, wenn ich das nicht möchte, zusätzlich auch noch über die Router-Advertisements einen DNS-Server mitgeben. In dem Fall ist es hier die F480-Adresse
von der Fritz-Box. Das reicht ja aber noch nicht. Ich will jetzt auch noch Prefix-Delegation machen. Das heißt, ich stelle das ein, ich sage, ich brauche einen DRCP-Server, der bitte als DNS-Server, ja, haben wir eben eingestellt, der soll DNS verteilen. Und PD steht für Prefix-Delegation, verteilen soll. Das heißt, die Fritz-Box
eignet sich auch dafür, weitere Subnetze an andere hintergeschaltete Router weiterzugeben. Den Hacken mache ich rein, dann speichere ich das auch noch. Und schon habe ich eine Fritz-Box, die V6 hat und die DRCP-V6-Router Prefix-Delegation spricht. Jetzt bin ich auf der PF-Sense. Da muss ich eigentlich auch nicht so viel einstellen.
Hier bin ich auf der LAN-Seite, also bin ich auf der WAN-Seite, also ich konfiguriere mein WAN-Interface, meinen Uplink. Und habe hier, kriege eine V4 über DRCP, ganz normal, und stelle bei IPv6-Configuration-Type DRCP6 ein. Hier sage ich dann noch ein paar Details. Ich hätte ganz gern hier einen Prefix und
Delegation-Size, ein Slash 60 in dem Fall. In der Fritz-Box habe ich einen Slash 56 gehabt. Ich kann ja noch weitere Router haben, neben dieser PF-Sense, die ebenfalls Subnetze bekommen sollen. Das heißt, ich kann irgendwie schlecht das ganze Subnetz weitergeben, außer ich habe nur diese PF-Sense dahinter hängen. Ich sage hier noch, warte nicht auf einen Router-Advertisement, sondern schick,
habe ich vorhin vergessen zu erwähnen, die Router schicken auch von sich aus in regelmäßigen Zeitabständen Router-Advertisements, ohne dass jemand gefragt hat. Also ich muss nicht per Multicast eine Router-Solicitation auslösen, sondern die schicken auch in regelmäßigen Abständen einfach mal. Ich habe hier einen Präfix und wer es benutzen will, kann es benutzen. Ja, und das war es letztendlich schon. Damit habe ich auf der WAN-Seite
der PF-Sense eine V6-IP-Adresse konfiguriert und fordere gleichzeitig noch ein Subnetz an. Gehen wir weiter. Zur LAN-Seite. Ich bin jetzt hier auf dem LAN-Interface. Jetzt habe ich das Problem bei Kabel-Deutschland. Ich kriege ja dynamische Präfixe. Ja, ich weiß, das ist unser Geschäftskundenanschluss und so.
Okay, geht auch. Also auch in der PF-Sense kann man das alles abbilden, funktioniert. Ich sage einfach hier bei V6-Configuration-Type-Track-Interface. Das heißt, er verfolgt das Präfix, was er auf dem Interface, was ich da konfiguriere, und das mache ich hier unten, das überwachter quasi. Und wenn sich das Präfix ändert, dann ändert er seine eigenen Präfixe, die er auf die LAN-Seite weitergibt ebenfalls.
Das heißt, ich habe auch eine Warn-Interface. Bezieht ihr bitte über DHCP Prefix Delegation, ein Subnetz von der Fritzbox. Also über DHCP V6. Und hier sage ich auf der LAN-Seite bitte tracke das Kabel-Interface, also in dem Fall das Warn-Interface. Und weil ich mehrere Präfixe brauche, kann ich ja noch eine Präfix-ID weitergeben.
Das hier ist das erste, deswegen lasse ich die Null da drinnen stehen. Wenn ich ein weiteres LAN-Interface habe auf der PF-Sense, trage ich dann eine 1 oder 2 ein, kann mir da mein Subnetting mitmachen und mehrere Subnetze versorgen. Ja, das ist schön und gut. Damit habe ich jetzt auch auf der LAN-Seite eine IP-Adresse auf der PF-Sense. Jetzt möchte ich hier auch noch verteilen.
Meine Clients sollen ja auch was davon haben. Das heißt, ich brauche Router-Advertisements. Gibt es auch auf der PF-Sense, braucht man nur aktivieren. In dem Fall sage ich hier einfach unmanaged. Unmanaged bedeutet, verteilt diese genau mit diesem Flex, was wir vorhin, managed, unmanaged. Managed wäre DHCP-V6-Server, der IP-Adressen verteilt. Unmanaged
ist der announced einfach sein Präfix. Ich habe vorhin gesagt, bei den Sachen kann ich ganz viel einstellen, eine Router-Priorität. Ich kann den Lifetime mitgeben, ich kann den Prevert-Lifetime mitgeben, und ich kann hier noch einen Intervall mitgeben. Das ist der Minimum-Intervall. Das heißt, selbst wenn da jetzt ganz viele Geräte, ich habe 100 Geräte im Netzwerk und die machen alle eine Router-Solicitation,
hätte ich einen DDoS-Angriff auf meinen Router. Der müsste ja dann 100 mal antworten, das tut er nicht. Er antwortet maximal alle 5 Sekunden auf eine Router-Solicitation mit einem Router-Advertisement. Der Maximum-Intervall sind 60 Sekunden. Das heißt, spätestens nach 60 Sekunden announced einfach mal so, hey, ich bin Router und wollte hier einen Präfix von mir haben. Viel Spaß damit.
Und den Lifetime gebe ich auch noch mit. Das ist aber verdammt kurz mit 600 Sekunden. Ja, das erlaubt mir aber auch dynamisch oder relativ schnell meine Präfixe zu ändern. Wenn mir jetzt Cable Deutschland ein neues Präfix zugeteilt hat und ich habe den Lifetime eingetragen von, keine Ahnung, 3 Stunden, dann sind die Clients erstmal 3 Stunden offline bzw. haben 3 Stunden lang noch die alten IP-Adressen drin, die gar nicht mehr funktionieren. Die kriegen natürlich über Router-Advertisement
dann schon ein neues. Aber wir kommen nicht mit, dass die alten ausgelaufen sind. Noch zwei schöne Programme, die ich kurz vorstelle. IP-Calc gibt es in Debian oder in Debian-basierten Distributionen als Paket, kann aber kein V6. Fedora war so nett und hat das gepatcht und das V6 tauglicht gemacht.
Kann man sich hier kompilieren, also hat nicht viele Abhängigkeiten, ist schnell kompiliert und das rechnet einem den ganzen Kram aus. Ich kann da einfach eine IP-Adresse mit einem Subnetz hinten dran reinschmeißen und er gibt mir dann aus. Hier Hostmin-Adresse ist die, Hostmax ist die, den ganzen Bereichen kann ich auffüllen mit meinen eigenen IP-Adressen. Hier sehe ich die Netzadresse.
Kann man schöne Sachen mitmachen, kann man ein bisschen rumrechnen. Sich angucken, wo sind eigentlich die Grenzen, gerade wenn man noch nicht so vertraut ist oder die Kurzschreibweise hat. Das ist jetzt eine Privacy-Extension-Adresse, deswegen sind da keine Nullen, damit aber wenn man Doppelpunkt, Doppelpunkt, Null, also eins hinten dran zum Beispiel stehen hat und will wissen, wie ist eigentlich die eigentliche Adresse und wie funktioniert das alles. In IP-Calc werfen, das spuckt einem die ganzen Grenzen aus, zeigt einem auf, wo das Subnetz
ist, also das Präfix ist, was der Interface Identifier ist und dann kann man sich das angucken und sich damit vertraut machen. Was auch ganz schön ist, was es aus den offiziellen Paketquellen gibt, ist IPv6-Calc. Das kann V6 logischerweise, heißt ja auch so. Das rechnet einem quasi die gleichen Sachen, nein, rechnet ein bisschen was anderes aus.
Es zeigt einem hier an, was ist das für ein Adress-Type, also in dem Fall ein Unicast, Global Unicast, Deutschland, von der RIPE vergeben und noch so ein paar weitere Act-Daten zu der IP-Adresse. Das kann auch ganz tolle andere Sachen, das kann zum Beispiel aus einer MAC-Adresse ein Interface Identifier nach den verschiedenen Verfahren ausrechnen. Also du kannst damit Konvertierungen machen von IP-Adressen,
von allen möglichen Sachen, was da mit zusammenhängt. Das ist ein schönes Tool. Wie gesagt, einfach installiert, mit allen Debian-basierten Distributionen ist das drin. Mein Fazit des Talks ist, IPv6 funktioniert meist einfach so. Einfach mal anmachen. Die gängigen Heimrouter blocken auch sämtlichen Traffic von außen. Also dieses Argument wieder, haben alle öffentliche IP-Adressen,
verabschiedet euch davon, ist kein Problem. Wenn man so eine Fritzbox zu Hause hat, die macht eingehenden Traffic dicht. Einfach aktivieren, passiert nichts und schon kann man rumspielen. IPv6 und IPv4 funktioniert hervorragend parallel. Also man muss jetzt nicht, wenn man einen IPv6-Adressen hat. Man kann einfach beides aktiv haben. Das sind unabhängige Netzwerkstacks.
Und wenn ein Device, also ein Zielgerät, was ich erreichen möchte, nur eine V4-Adresse hat, wird es über V4 angesprochen. Wenn Sie beides haben, wird es über V6 angesprochen. In der Regel, außer die V6-Anbindung ist katastrophal, dann macht das Betriebssystem oder das Programm einen Fallback auf V4. Andersrum sieht es aus, wenn man V6-only betreiben möchte. Das ist heutzutage tatsächlich noch ein Problem.
Nicht weil das Betriebssystem irgendwie ein Problem hätte, sondern einfach weil viele Webseiten keine V6-Adresse haben. Einige Server haben eine V6-Adresse, aber der Administrator hat vergessen, das ist im DNS zu hinterlegen mit dem entsprechenden Rekord und deswegen tut es einfach nicht. Und meine Empfehlung ist einfach mal ausprobieren. Also, ihr habt jetzt mit dem Talk jede Menge Grundlagen bekommen, ihr wisst,
was für Adrestypen es gibt. Selbst wenn von seinem Provider kein Subnetz bekommt und kein Tunnelburger verwenden möchte, einfach mal eine ULA konfigurieren, ein bisschen rumspielen, ein Router advertisement installieren, das ist auch ruckzuck gemacht, und Subnetze verteilen. Ich sehe, dass ich noch ein paar Minuten habe, zeige ich euch ja noch ganz kurze Konfiguration vor allem Router advertisement unter
Debian oder allen anderen Distributionen. Die wichtige URL, weil es war jetzt ziemlich viel Input, merkt euch die URL da. Ich werde die auch im Vortragsprogramm nochmal hinterlegen, sodass ihr da nachgucken könnt. Da gibt es all diese Slides mit allen Informationen. Die wichtigsten RFCs habe ich verlinkt. Die genannten
Recommendations von Arrive. Wikipedia Artikel zur IPv6 ist tatsächlich sehr gut. Es gibt noch ein schöner Kommentar im Heiseforum, der mich dazu gebracht hat, mal wieder aktuelle Zahlen für Global Unicast auszurechnen. Der ursprüngliche Kommentar war, glaube ich, aus 2015, dann war es 0, irgendwas Prozent der vergebenen IP-Adressen. Mittlerweile sind wir aber knapp 1,2.
Das überspringen wir kurz. Was mache ich, wenn ich unter Debian einen Router advertisement installieren möchte? Ich mache das. Das ist die ganze Konfiguration, die ich brauche, wenn ich eine ULA verwenden möchte. Hier, der blau markierte Bereich, ist meine 40-bit-Zeit-ID,
die ich mir anhand meiner Mac und Timestamp ausgewürfelt habe, die ich mir aber im Zweifel ausdenken kann. Das setze ich so auf, installiere das, reloade den und schon habe ich dieses Subnetz hier, also dieses Präfix hier, in meinem Netz announced. Was ich hier noch mache, ist, ich setze die Lifetime da auf 0, damit da keine Default-Route announced. Weil ich komme ja
über dieses FD, irgendwas Netz, nicht ins Internet. Das heißt, ich möchte nicht, dass meine Clients im Netzwerk sich das als Default-Route setzen, also den Router, der das hier announced. Das macht keinen Sinn. Mit dem Kommando rdisk6 kann man sich noch angucken, was passiert da. Also das kann ich auch einfach so starten. Könnte ich jetzt hier auf meinem Laptop starten, mal gucken, was im Netz so passiert. Der zeigt mir diese Router-Advertisements
an, die ich empfange. Das ist hier hinter der pfsense, der eine Konfiguration, die ich vorhin gezeigt habe. Man findet hier ein paar Sachen wieder. Zum Beispiel die 600-Sekunden- Routerlebensdauer, die ich eingestellt habe. Und das Präfix, was da von der Fritzbox durchgereicht wird. Man kann das auch direkt als Router-Advertisement-Demon als
Konfiguration ausgeben lassen, mit dem Befehl ra-dvdump ra-dvdump ist letztendlich genau die Konfiguration. Das ist das entsprechende Format, wie ich es in meine Konfig legen könnte. Und ich weiß nicht, was es für einen Sinn macht, den aktuellen Router-Advertisement-Demon zu klonen. Aber ich könnte es theoretisch tun oder mir einfach mal angucken,
was mit der eigentlichen Konfiguration ausgeht. Wie arbeitet das? Jetzt aber. Vielen Dank für die Aufmerksamkeit. Und ich glaube, zwei, drei Minuten haben wir noch für Fragen. So, dann erstmal vielen Dank an Nico. Das war ein sportlicher
Vortrag. Der IPv6 hat 25 Jahre gebraucht, bis es zu dem Punkt gekommen ist, wo wir heute sind. Und alleine über zehn Jahre in der Spezifikation und das alles innerhalb von 60 Minuten erklären zu wollen. Sehr sportlich. Danke, Nico. Es ist noch ganz klein wenig Zeit für Fragen. Der Max, der gleich den Enikas-Vortrag hält, muss auch noch aufbauen. Das heißt,
ich denke mal drei, vier Fragen können wir noch machen. Hat jemand eine Frage? Ich bin sonst auch noch heute und morgen den ganzen Tag hier, also würde mich auch gerne ansprechen, wenn ihr mich seht. Wird er durchgehen? Danke für den Vortrag.
Das Einzige, wo ich jetzt nicht zugestimmt hätte, wenn Sie sagen, der Parallelbetrieb funktioniert hervorragend. Meine Erfahrung ist, wir haben bemerkt, es funktioniert alles. Aber wenn ich mal gucke, wie viel, wenn ich einen Firefox benutze, wie viele Seiten eigentlich wirklich über IPv6 gehen und wie viel IPv4,
dann habe ich da ungefähr zehn Prozent oder so etwas über IPv6. Da sind so viele Level drin. Da ist eine GAI-Conf und da hat der Firefox 17-Einstellung letztendlich, fällt er doch immer wieder zurück zu IPv4, nach meiner Erfahrung, obwohl das gar nicht löscht. Ja, der IPv4-Fallback,
der da häufig passiert, liegt aber in der Regel nicht daran, dass es nicht funktioniert, sondern es liegt daran, dass die Server, auf die man zugreift, kaputt sind oder da eine falsche Konfiguration läuft, keine DNS-Einträge für V6 da sind, der Server einfach keine V6-Adresse hat und so weiter. Also, ich kann tatsächlich nur aus dem Linux-Bereich sprechen. Ich habe keine Ahnung von Windows. Aber unter Linux funktioniert das ganz hervorragend. Und bei uns im Büro habe ich gerade
noch mal eine Statistik angeguckt auf der PDF-Sense. Die weist nämlich wunderbar aus, weil ich verschiedene Firewall-Regeln für V6 und V4 habe. Wir haben so ungefähr 60% des Traffics V6. Und, was auch wichtig ist, wir gucken im Büro, zumindest hoffe ich das nicht, kein YouTube. YouTube ist natürlich auch V6 erreichbar und das macht natürlich die Statistik immer relativ hoch, weil
da werden halt viele Daten übertragen. Also, schon nennenswert. Was ich aber eigentlich damit sagen wollte, dass es hervorragend funktioniert, ist es nicht so, dass ich kein Internet mehr habe, nur weil ich Dual-Stack konfiguriert habe. Na ja, das ist klar. Ich habe auch Schwierigkeiten, selbst Google seit dauernd auf V4 zu bringen. Okay. Wer das genau ist, ist der Lenox-Körner
oder ist es Firefox? Irgendeiner entscheidet immer, ach, da lönt nichts, mir doch lieber eine V4. Ja, kann ich so nicht bestätigen. Bei mir geht es ganz gut. So, eine weitere Frage hinter dir. Könnte das Mikrofon bitte nach hinten durchreichen? Danke. Ist das an, hört man?
Ja. Im V4-Bereich gibt es ja mittlerweile ganz nette Listen mit zum Beispiel bekannten Command & Control Servern von Malware und so weiter und so fort. Kannst du ein bisschen lauter reden? Ja, Entschuldigung. Ich wiederhol's nochmal. Im IPv4-Bereich gibt es ja mittlerweile
öffentliche Listen, die man einfach runterladen kann, mit zum Beispiel bekannten Command & Control Servern, also Servern, die man einfach nicht haben möchte. Klar, inbound traffic blockiere ich sowieso by default, das ist nicht das Problem, aber ich möchte ja vielleicht auch verhindern, dass, wenn doch mal irgendwas ausgeführt wird in meinem Netz, was nicht ausgeführt werden sollte, es keinen weiteren Payload
von diesen bekannten Servern zum Beispiel runterladen kann. Ich habe sowas für IPv6 einfach noch nicht gefunden, was einer der Gründe ist, warum ich es bisher auch nicht verwenden möchte, zumindest global, weil ich einfach das Gefühl habe, dass solche Dinge in vielen Bereichen einfach noch nicht existieren für IPv6. Habe ich es nur nicht gefunden? Oder gibt es sowas
einfach noch nicht? Ich habe tatsächlich noch nicht in diese Richtung geguckt und das ist natürlich ein valides Argument, wenn man sowas braucht. Ich glaube, das ist schwierig. Auch so die ganzen Sachen, die es im Bereich Mailserver, denen SBL und so weiter gibt. Ich wüsste jetzt auch nichts, was da v6 macht oder spezialisiert ist, v6-Adressen auszugeben. Ich weiß gar nicht, ob die normalen Blacklisten überhaupt
v6-Records haben, vermutlich nicht. Kann ich leider bei sonst auch nichts zu sagen. Mikrofon. Okay, dann noch eine zweite Frage zu einem anderen Thema. Es wäre vielleicht auch ganz schön, wenn ich meine ganzen LAN-Server eben nur mit einer ULA-Adresse versorge, sodass die gar nicht erst ins Internet können. Das löst ja auch viele Probleme,
wo man vielleicht vorher eine Firewall zunageln muss. Aber meinen Clients muss ich natürlich sowohl eine globale als auch eine ULA vergeben. Speziell mit PFSense ist das einfach zu konfigurieren. Ist das da ohne Weiteres möglich oder muss ich da irgendwelche Hacks anwenden? Ich mache die Router-Advertisements überhaupt nicht mit PFSense. Und wenn ich es mit dem R-DVD
mache, kann ich angeben, also kann ich Device-Gruppen definieren, kann ich Interface Identifier FW80-Adressen angeben, die ausgeschlossen sind oder die für die Zuweisung von Präfixen erlaubt sind. Also dann kann ich tatsächlich auch ein bisschen steuern, wer was bekommt. Aber muss man natürlich eine Menge, gerade wenn man
ein bisschen strukturiert aufbauen will, auch schon ein bisschen mehr Struktur reinbringen, was jetzt in dem Vortrag schwer zu erläutern ist. So, letzte Frage. Ist keine Frage, sondern eher eine Anmerkung. Du hast so schöne Programme vorgestellt wie
IP-Kalk und IPv6-Kalk. Du brauchst das IP-Kalk, also auch an das Auditorium, nicht patchen. Es gibt ZIP-Kalk, also mit S davor. Und das kann IPv6 nativ. Großartig, danke für den Hinweis. Vielleicht die Folie aktualisieren. Gut, dann vielen Dank. Nochmal Applaus für Nico.