Allgemein:TCP/IPv6

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen


IPv6

Wo ist eine gute Einleitung zum Thema IPv6 zu finden?

       Datei:Heise ipv6 fuer kleine netze.pdf
       Datei:Heise ipv6 privacy extensions.pdf

Wie setzt sich eine IPv6 Adresse zusammen?

Eine IPv6 Adresse besteht aus drei Teilen. Aus Sicht des Administrators sind zwei Bereiche der IPv6-Adresse vorgegeben: 

       • Das Präfix das der Internet Service Provider zuteilt (ISP)
       • Die Host-ID, die der Host selbst erzeugt.

Das Präfix ist je nach Anschlussart 48 oder 56 Bit lang, die Host- ID beträgt immer 64 Bit (auch Interface Identifier genannt, IID). Übrig bleiben je nach Präfixlänge 8 bis 16 Bit. Das ist die Subnet-ID und die kann der Admin zumindest auf Business-Routern selbst bestimmen. Geschickt eingesetzt, bildet er mit diesem Adressbereich die Infrastruktur seines Netzes ab. Achten Sie bei der Bestellung von Businessanschlüssen darauf, dass Sie vom Provider einen festen Präfix bekommen. Andernfalls müssten Sie die Routing- und Sicherheitseinstellungen wie Access-Listen oder Firewall-Regeln immer wieder per Hand an geänderte Präfixe anpassen. Das Präfix sollte bei großen Netzen 48 Bit lang sein. Für Heimnetze genügen auch 56-Bit-Präfixe. Das Präfix ist Provider-spezifisch. Wechselt man den Internetanbieter, ändert sich das Netzpräfix und dann steht auch für die Hosts im Netz ein Re-Numbering an. Wenn man es geschickt anstellt, geht das sogar unterbrechungsfrei. 

       Grundlagen-2.png

Welche speziellen Adresstypen gibt es unter IPv6?

       IPv6-Adress-Typen.jpg

Welche Arten von Multicast Adressen gibt es bei IPv6?

Betreffend Grundlagen siehe nachfolgendes PDF: 

       Datei:Ipv6friday.pdf

Für eine detailiertere Auflistung der verschiedenen Adressen siehe iana.org

Wo ist ein IPv6 Online Calculator zu finden?

Nachfolgender Link stellt einen IPv6 Online Calculator zur Verfügung: 

       http://www.gestioip.net/cgi-bin/subnet_calculator.cgi

Wie sollte ein IPv6 Netz geplant werden?

Betreffend Netz Planung siehe nachfolgende PDF Datei: 

       Datei:Preparing-an-IPv6-Addressing-Plan.pd.pdf

Was ist SLAAC und wofür wird es gebraucht?

Anders als von IPv4 gewohnt ist es bei IPv6 normal, dass sich ein Rechner selbst Adressen erzeugt (Stateless Address Autoconfiguration, SLAAC). Für die nur intern verwendeten Link-Local-Adressen (fe80::…) braucht der Host allein den Interface Identifier (IID, auch Host Identifier, hintere 64 Bit der IPv6-Adresse). Mit dem Präfix setzt der Host sich dann eine IPv6-Adresse mit konstantem IID zusammen.

Wie wird der Interface Identifier bei den jeweiligen Betriebssystemen gebildet?

Windows bildet den konstanten Interface Identifier anders als andere Betriebssysteme: Beim Installieren erwürfelt es ihn für jede Schnittstelle, statt den IID aus deren MAC-Adresse abzuleiten. Das hat eine Nebenwirkung: Wechselt man auf einem Notebook das Betriebssystem per Bootmanager, ändert sich der IID. Windows 10 benutzt einen anderen als Windows 7 und das wiederum einen anderen als Ubuntu auf demselben Rechner. Weil Router die Clients aber an den MAC-Adressen ihrer Schnittstellen erkennen, muss man IPv6-Portfreigaben für einen Host unter Umständen für mehrere IIDs anlegen. Wechselt man auch noch zwischen LAN und WLAN, braucht es einen weiteren Satz von Einträgen für einen PC, damit die Freigabe garantiert funktioniert. Zusätzlich sollte man die Finger von MAC-Randomization lassen: Diese in Windows 10, iOS ab Version 8 sowie Android 6 enthaltene Funktion erwürfelt für aktive WLAN-Scans (Probe Requests) eine MAC-Adresse, damit man nicht anhand seines Geräts über Hotspots hinweg verfolgt werden kann. Windows 10 merkt sich nun zwar für jedes Netzwerk die verwendete MACAdresse. Aber man kann es unter Netzwerkeinstellungen/Zufällige Hardwareadressen auch anweisen, sie täglich zu wechseln. Einem Router erscheint der Rechner dann alle 24 Stunden als neuer Host. Für gerootete Android-Geräte gibt es diverse Apps, die das Gleiche tun.

Wie kann bei Windows überprüft werden, ob die Privacy Extension eingeschaltet ist?

       C:\Users\Administrator> netsh interface ipv6 show global | findstr IDs
       IDs zufällig anordnen                                    :enabled

Wie können bei Windows die Privacy Extensions deaktiviert werden?

Dies funktioniert nur in einer Konsole mit Administratorberechtigungen. 

       C:\Users\Administrator> netsh interface ipv6 set global randomizeidentifiers=disabled
       OK.

Was sind die Privacy Extensions, und wofür werden diese gebraucht?

Wenn Privacy Extensions aktiviert sind, was bei den meisten Betriebssystemen der Fall ist, dann baut der Rechner sich zusätzlich eine IPv6-Adresse mit zufälligem IID und wechselt diesen nach einiger Zeit. Über diese temporäre IPv6-Adresse nimmt der Host Verbindungen nach außen auf, während er über die Adresse mit konstantem IID prinzipiell von außen erreichbar ist.

Wie finde ich IPv6-Geräte in meinem LAN?

Es gibt verschiedene Methoden dafür. Ein IPv6-Werkzeug bietet sich mit Node Information Querys an (RFC 4620). Damit lassen sich Netzwerkkonfigurationen von entfernten Rechnern per ICMPv6 abfragen – beispielsweise Hostnamen. Eine Node Information Query lässt sich per ping6-Befehl an die Multicast-Adresse ff02::1 absetzen (all-nodes). In diesem Beispiel wird der Befehl über die Schnittstelle en0 abgesetzt: 

       ping6 -c 2 -I en0 -w ff02::1

In der Ausgabe sind alle aktiven IPv6- Rechner des lokalen Netzwerksegments zu sehen, die auf ICMP-Echo-Request antworten. Ein Beispiel: 

       PING6 fe80::03e0%en0 --> ff02::1 
       59 bytes from fe80::03e0%en0: 
       MacBook-Pro.local 
       56 bytes from fe80::bda%en0: 
       Mac-mini.local 
       59 bytes from fe80::03e0%en0: 
       MacBook-Pro.local

Im Beispiel sind zwei aktive Macs zu sehen, ein MacBook Pro, von dem die Anfrage ausgeht und ein Mac Mini – der in diesem Fall als IPv6-Router arbeitet. Mit „-w“ fragen Sie nach den Hostnamen der Maschinen; mit „-c 2“ senden Sie zwei ICMPv6-Anfragen. Das ist erforderlich, weil die erste Anfrage immer von der eigenen Maschine beantwortet wird; erst auf die zweite hin melden sich die anderen. Ping6 mit dem Parameter „-a agl“ liefert Information über alle konfigurierten IPv6-Adressen der lauschenden Geräte. Im Beispiel ist die Ausgabe gekürzt: 

       ping6 -c 2 -I en0 -a agl ff02::1
       PING6() fe80::03e0%en0 --> ff02::1 
       136 bytes from fe80::03e0%en0:
         fe80::1(TTL=infty)
         fe80::03e0(TTL=infty)
         2001:db8::03e0(TTL=86029)

In der Antwort sind alle Rechner aufgeführt, die im gleichen IPv6-Subnetz stecken. Es lassen sich aber weitaus mehr Informationen erfragen. Ein bequemes Werkzeug dafür ist das Shell-Script ipv6finder.sh für Linux und Mac OS X.

Was bedeutet das Prozentzeichen bei den IP Adressen unter Windows?

Bei Windows werden die IPv6 Adressen normalerweise wie folgt angezeigt: 

       fe80::5e41:4fff:fead:9d3c%20

Das Prozentzeichen hinter der IP Adresse steht für die Interface ID. Pro Schnittstelle an einem PC wird ein anderer Interface Identifier angezeigt.

Wozu benötigt man IPV6 Prefix Delegation?

Prefix Delegation ist ein Feature, welches die Weitergabe von ganzen Netzen via DHCP ermöglicht. Bei einer Kaskade gibt der vordere Router 1 nicht nur eine einzelne Adresse aus seinem internen IPv6-Präfix an Router 2 weiter, sondern gleich ein ganzes Subnetz dazu. Hosts hinter Router 2 hängen so direkt im IPv6-Internet. 

       Grundlagen-1.png

Siehe auch Wikipedia: https://en.wikipedia.org/wiki/Prefix_delegation

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=Allgemein:TCP/IPv6&oldid=12510