Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

6to4 – fürs Internet

6to4 kann als Router-to-Router-, Host-to-Router- und Router-to-Host-Tunnel dienen [2]. In der Regel baut man den Tunnel jedoch als Router-to-Router-Konfiguration auf. Dabei behandelt 6to4 das gesamte IPv4-Internet als einen einzigen Link. Das Präfix von 6to4 lautet 2002::/16, beginnt also immer mit 2002. Daran ist eine 6to4-Tunneladresse zu erkennen. Die nächsten 32 Bit der Adresse enthalten die hexadezimale IPv4-Adresse des Remote-Endpunkts des Tunnels, also in der Regel ein 6to4-Router beziehungsweise 6to4-Relay im Internet. Dann folgen die 16 Bit lange Subnet-ID und die Interface-ID des Zielsystems (Abbildung 4).

Abbildung 4: Ein 6to4-Tunnel kann als Router-to-Router-, Host-to-Router- und Router-to-Host-Tunnel dienen.

Windows-Systemen ab Windows Vista erstellen automatisch ein 6to4-Tunnelinterface, wenn das System auf einer seiner Schnittstellen eine öffentliche IPv4-Adresse verwendet und keine andere IPv6-Konnektivität (nativ oder über ISATAP) feststellt. In diesem Fall erhält das 6to4-Tunnelinterface die IPv6-Adresse 2002:WWXX:YYZZ::WWXX:YYZZ, wobei WWXXYYZZ für die öffentliche IPv4-Adresse steht. Ist die öffentliche IPv4-Adresse eines Windows Server 2012-Computers also zum Beispiel 131.107.1.1, so lautet die 6to4-Tunneladresse 2002:836B:101::836B:101.

6to4 nutzt einige Komponenten, die unterschiedliche Aufgaben übernehmen:

  • 6to4-Host: ein nativer IPv6-Host, der mindestens eine 6to4-Adresse besitzt (Präfix 2002::/16), über die er erreichbar ist. Er hat jedoch kein 6to4-Tunnel-Interface, da er nicht über IPv4 kommuniziert. Er ist der Endpunkt einer IPv6-Kommunikation, die über einen 6to4-Tunnel geleitet wird.
  • 6to4-Router: ein IPv6/IPv4-Router, der ein 6to4-Tunnel-Interface hat, über das er Traffic zwischen 6to4-Hosts zu einem anderen 6to4-Router, 6to4-Relay oder 6to4-Host weiterleitet. 6to4-Router müssen entsprechend konfiguriert werden – egal auf welcher Plattform.
  • 6to4-Host/Router: ein IPv6/IPv4-Host, der direkt ans Internet angeschlossen ist. Im Gegensatz zum 6to4-Router leitet er nur seinen eigenen Traffic über 6to4 zu anderen IPv6-Knoten weiter, nicht aber den Traffic anderer Systeme.
  • 6to4-Relay: im Gegensatz zu 6to4-Routern leitet ein 6to4-Relay den Traffic direkt in das IPv6-Internet. Das bedeutet, dass ein 6to4-Relay über BGP an das Internet angeschlossen sein muss, während 6to4-Router ein bestimmtes IPv6-Unternehmensnetzwerk verbinden.

So funktioniert 6to4

Jede 6to4-Site besitzt ein eigenes 6to4-Präfix (2002:WWXX:YYZZ::/48). Der Rest der 6to4-Adresse definiert das Subnetz und die Interface-ID des Hosts in der Site. Aus Sicht eines 6to4-Host/Routers besteht die gesamte 6to4-Site aus einem einzigen Computer: ihm selbst. Für einen 6to4-Router kann die 6to4-Site aus bis zu 65 536 Subnetzen bestehen. In jedem Fall sieht er sämtliche Subnetze der Site. Eine 6to4-Site kann andererseits aus einer einzigen IPv4-Adresse bestehen, über die die Site erreichbar ist. Der 6to4-Router propagiert in seinen Router Advertisements das 6to4-Präfix an die internen Knoten, sodass 6to4 auch problemlos mit Autoconfiguration funktioniert.

Der Trick ist nun, dass die IPv4-Adresse der Site des Zielhosts in der 6to4-Zieladresse enthalten ist. Die beteiligten Systeme extrahieren diese Adresse und nutzen sie, um den IPv4-Teil der Wegstrecke zu überbrücken. Im Beispielszenario von Abbildung 5: WKS1 möchte mit WKS2 kommunizieren und löst den FQDN (Fully Qualified Domain Name) von WKS2 auf. Der DNS-Server liefert die Adresse 2002:9D3C:101:F::1 zurück. Aus dem Präfix entnimmt WKS1 zunächst, dass es sich hierbei um eine 6to4-Adresse handelt. Da er als 6to4-Host/Router mit einer öffentlichen IPv4-Adresse selbst in der Lage ist, das IPv6-Paket in IPv4 zu tunneln, identifiziert er durch die Bits 17 bis 48 des Präfixes die IPv4-Adresse des 6to4-Routers als 157.60.1.1. Das getunnelte Paket wird nun an den 6to4-Router gesendet, der das Paket wieder entpackt und entsprechend nach intern weiterleitet. Da WKS1 seinerseits als Absenderadresse seine 6to4-Tunneladresse 2002:836B:101::836B:101 verwendet hat, kann der 6to4-Router das Antwortpaket von WKS2 an die korrekte IPv4-Adresse 131.107.1.1 zustellen, die er dem Präfix von WKS1 entnimmt.

Abbildung 5: Ein Beispiel-Szenario für den Einsatz von 6to4.
comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019