Thematischer Schwerpunkt dieser Ausgabe ist die kontinuierliche Überwachung von Servern, Clients und anderen Geräten im Netzwerk: mit dem IPMI-Plugin, dem ... (mehr)

Automatisch

Wenn Sie das Kommando »show« eingeben, sehen Sie den Abschnitt »inet« mit der bestehenden IPv4-Konfiguration. Neu hinzugekommen ist die IPv6-Konfiguration im Abschnitt »family inet6« . Die Hosts bekommen im Netzwerk vom Router nun eine IPv6-Adresse zugewiesen (per Stateless Autoconfiguration). Damit können sich die Rechner untereinander pingen und den Router erreichen. Für den Internetzugang über IPv6 ist noch das Routing anzupassen, am einfachsten mit einer Default-Route wie in Listing 5. Wenn die Default-Route ins IPv6-Internet eingerichtet ist, kommen schließlich die einzelnen Rechner dran.

Listing 5

Default-Route

 

Im Weiteren soll es darum gehen, wie man auf Linux-Servern die verschiedenen Dienste mit IPv6 zum Laufen bekommt. Zuerst lernen Sie ein paar nützliche Linux-Tools für Verbindungstests und so weiter kennen. Das klassische Ping-Kommando für IPv6 heißt »ping6« :

ping6 2001:db8:930:7000::1

Die eigene IPv6-Adresse zeigt der folgende Befehl:

ip -f inet6 addr show

Ein weiterer Aufruf des IP-Tools zeigt die benachbarten IPv6-fähigen Rechner an, ähnlich wie bei IPv4 der Arp-Befehl:

$ ip -f inet6 neigh show
2001:db8:930:5ffe::1 dev eth0 lladdr 2c:6b:f5:03:0a:20

Die meisten Dienste sind nicht sehr schwierig für IPv6 zu konfigurieren. Mit DNS, IMAP/POP, SMTP und HTTP sollte es keine großen Probleme geben, die treten typischerweise eher mit selbst geschriebenen Programmen auf oder mit Management- oder Monitoring-Software, die keine IPv6-Adressen parsen kann.

DNS-Sicht hilft bei der Migration

Es empfiehlt sich, eine eigene Ansicht für autorisierte DNS-Clients einzurichten, damit die IPv6-Dienste nicht andere Clientrechner verwirren. Das ist zwar etwas schwieriger zu konfigurieren, aber letztlich besser als der Gebrauch eigener Namen für IPv6-Dienste. Aufwändiger ist es deshalb, weil der Administrator die Zone-Dateien doppelt pflegen und eine eigene Konfiguration für die Ansicht erstellen muss, wie auch eine ACL für autorisierte Clients.

Dafür hat er den Vorteil, leichter und mit weniger Änderungen in einer Produktivumgebung auf IPv6 umschalten zu können, zum Beispiel ohne Probleme mit Hostnamen bei X.509-Zertifikaten von SSL/TLS-Diensten. Generell ist dieser Ansatz näher an der Praxis als eigene Hostnamen für IPv6-Dienste.

Die DNS-Beispiele basieren alle auf dem Bind-Server, mit anderen Softwarepakete funktioniert es aber ähnlich. Es geht mit einer angepassten Ansicht in »named.conf« los, die eine Domain »example.com« konfiguriert (Listing 6).

Listing 6

named.conf

 

Als Erstes legen Sie die Rechner fest, welche die IPv6-Einträge sehen dürfen. Fügen Sie dazu vor Zeile 21 den folgenden Abschnitt ein:

acl v6_clients {
    192.0.2.147;
    192.0.2.159;
    192.0.2.223;
};

Als Nächstes legen Sie mehrere Views der Zone an. Dazu kopieren Sie die Zone-Datei »named.example.com« in eine neue Datei namens »named6.example.com« . Ändern Sie anschließend die Datei »named.conf« so ab, dass sie die Zeilen aus Listing 7 enthält.

Listing 7

named.conf für IPv6

 

Die Views »v6_test« und »default« enthalten beide den vollständigen Satz an Domains, die für jene Clients sichtbar sind, die die jeweilige View zugewiesen bekommen. Deshalb sind beide Reverse-Zones in beiden Views definiert. Weil sie dasselbe Master-File verwenden, liefern sie auch die gleichen Daten aus. Nur die Zone »example.com« enthält eine andere Zone-Datei.

Ein AAAA-Record verbindet eine IPv6-Adresse mit einem Hostnamen. Sie können nun AAAA-Records in der V6-Version der Zone-Datei von »example.com« hinzufügen. Ein solcher Eintrag sieht beispielsweise so aus:

host   IN  A      192.0.2.153
       IN  AAAA   2001:db8:930:5ffe::99

Vergessen Sie nicht die Seriennummer im SOA-Eintrag zu erhöhen. Die beiden Seriennummer der jeweiligen Zone-Dateien für IPv4 und IPv6 müssen nicht übereinstimmen. Tatsächlich markieren manche Admins damit die Version, die für einen bestimmten Client gerade gültig ist. Wenn Sie nun den Nameserver anweisen, die Konfiguration neu zu laden, können Sie den Name-Service ausprobieren. Testen Sie dazu von einem Rechner, der in der ACL steht, und einem, der nur die IPv4-Konfiguration abrufen darf.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020