Thematischer Schwerpunkt dieser Ausgabe ist die kontinuierliche Überwachung von Servern, Clients und anderen Geräten im Netzwerk: mit dem IPMI-Plugin, dem ... (mehr)

Anschluss an IPv6

Der erste Schritt besteht darin, den Router ans IPv6-Internet anzubinden. Dabei ist es ratsam, von Anfang an den Sicherheitsaspekt im Auge zu behalten. Die meisten Hacker sind nämlich schon eine Zeit lang fit in IPv6 beziehungsweise Dual-Stack-Setups, es gibt auch schon eine Reihe von funktionierenden Angriffen gegen IPv6.

Am besten ist es natürlich, wenn Ihr Internetprovider direkt eine Dual-Stack-Verbindung zur Verfügung stellt, aber viele bieten das leider noch nicht an. Fragen kostet aber nichts. Mit etwas Glück können Sie sich dann den Rest dieses Abschnitts sparen.

Gibt es keine direkte IPv6-Anbindung, führt der Weg über eine Tunnel-Verbindung. Dabei werden die IPv6-Pakete in IPv4-Paketen getunnelt, um so auch Strecken ohne IPv6-Support zu durchqueren. Für IPv6-Tunnels gibt es einige Provider, darunter den Tunnel Broker von Hurricane Electric [1] . Wer hinter einer NAT-Firewall sitzt, findet eventuell eine Lösung in dem Tunnel Broker und der Adapter-Software von Sixxs [2] .

Sich zu registrieren sollte kein großes Problem darstellen. Damit bekommen Sie meistens entweder einen /64-Block (wenn Sie nur ein Netz brauchen) oder einen /48-Block (für mehrere Netze). Die Beispiele in diesem Artikel gehen von einem /48-Netz aus. Wer ein /48-Netz erhält, bekommt vielleicht sowieso noch ein zusätzliches /64-Subnetz für die Tunnelverbindung dazu. Bei der Konfiguration des Tunnels fragt der Broker nach der öffentlichen IP-Adresse Ihres Gateway. Wenn Sie die nicht kennen, hilft eine Abfrage von http://whatismyipaddress.com weiter.

Juniper-Router

Sind die Adressen für den Tunnel und das lokale Netzwerk konfiguriert, kommt als Nächstes der Router dran. Zuerst sollten Sie sicherstellen, dass Sie nicht versehentlich IPv6-Verbindungen mit Hosts aufbauen, die keine Security Policy haben. Das können Sie beispielsweise mit einer passenden ACL auf dem Router machen oder indem Sie den IPv6-Support bei allen Hosts erst mal ausschalten.

Der Firewall-Support per IP6tables unter Linux funktioniert ganz ähnlich wie das bekannte IPtables, wenn man sich erst einmal an die neuen IPv6-Adressen gewöhnt hat. Listing 1 zeigt einen Ausschnitt aus einer Firewall-Konfiguration, Listing 2 das Gegenstück für IPv6.

Listing 2

IP6tables

 

Listing 1

IPtables

 

Wenn Router und Hosts abgesichert sind, können Sie die IPv6-Verbindung auf dem Router aktivieren. Jeder Tunnel führt je eine Adresse für die Innen- und die Außenseite. Die Außen-Adresse ist die öffentliche IPv4-Adresse des Geräts, das den Tunnelendpunkt bildet. Im Beispiel besitzt der Tunnel die Adressen 198. 51.100.5 (Provider-Seite des Tunnels) und 203.0.113.89 (lokales Tunnelende). Die Innen-Adressen sind 2001:db8:930:7000 ::1/64 (Provider) und 2001:db8:930:7000 ::2/64 (lokal).

Sie testen die Verbindung mit einem Ping vom lokalen Tunnelendpunkt zum Router auf der anderen Seite. Unter Linux können Sie bei Ping mit »-I« die Quelladresse angeben:

ping -I 203.0.113.89 198.51.100.5

Auf einem Juniper-Router beispielsweise sieht der entsprechende Aufruf so aus:

ping 198.51.100.5 source 203.0.113.89

Funktioniert dies, können Sie mit dem Code aus Listing 3 auf dem Router den Tunnel einrichten.

Listing 3

Router-Konfiguration

 

Jetzt sollte ein Ping auch über das IPv6-Protokoll funktionieren:

ping 2001:db8:930:7000::1 source 2001:db8:930:7000::2

Im Erfolgsfall ist Ihr Router nun mit dem IPv6-Internet verbunden. Im nächsten Schritt aktivieren Sie IPv6 im lokalen Netz. Die lokale Routeradresse konfigurieren Sie auf einem Juniper-Gerät wie in Listing 4 .

Listing 4

IPv6-Adresse für den Router

 

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023