IPv6 für Klein- und Mittelunternehmen

Wenn der Admin bei richtiger Einrichtung von IPv6 einen Ping vom einen Host zum anderen senden kann, beweist noch nicht, dass sein Netz auch für die Praxis taugt. Häufig finden sich im Internet Kurzanleitungen, die als Beweis für die erfolgreiche IPv6-Installation an deren Ende einen Ping absetzen, bei dem der Reverse Lookup für die IPv6-Adresse der Antwortpakete deaktiviert ist ( »ping6 -n« ).

In der Praxis reicht das natürlich nicht aus, um operative IPv6-Topologien aufzubauen. Dafür brauchen Unternehmen zumindest Name- beziehungsweise Directory-Server, Web-Server, Mail-Server und eventuell einen Proxy Cache und einen Samba-Server um heterogene Umgebungen zu unterstützen. Die folgende Liste zeigt, was man braucht, um mit IPv6 ins Internet zu kommen.

  • IPv6-Konnektivität über den ISP oder, für Entwickler und Tester über einen IPv6 Tunnel Broker ( Abbildung 3 )
  • IPv6 Routing
  • IPv6 DNS/Directory Services – vorwärts, Reverse Lookup
  • normal WWW, SMTP und Proxy Cache
Abbildung 3: Tunnel Broker sorgen für den über IPv4 getunnelten Eintritt in das IPv6-Netz.

Tunnelbroker

Zurzeit ist es noch schwierig, einen Internet Service Provider (ISP) zu finden, der seinen Endkunden native IPv6-Anbindung anbietet (siehe Kasten "IPv6 nativ" ). Zu den wenigen ISPs, die IPv6 als Servicemerkmal ihrer Kundenanbindung im Produktportfolio haben, kommen dann noch einige weitere, die IPv6 auf Nachfrage des Kunden "gerne" einrichten, obwohl sie es nicht als Produkt verkaufen und schon gar nicht in den Verträgen festschreiben.

IPv6 nativ

Der im Moment meist beschrittene Weg, sich natives IPv6 ins Haus zu holen, führt über eine Dual-Stack-Implementierung. Man mietet einen IPv4-DSL-Anschluss oder eine Mietleitung und der ISP stellt über den gleichen Zugang im Dual Stack Verfahren ein statisches /48-IPv6-Subnet (entspricht 65536 /64-Subnetzen) zur Verfügung. Die zugeteilten IPv6-Adressen sind meist auch dann statisch, wenn die IPv4-Adresse mit DHCP zugewiesen wird. Gerade bei DSL-Anschlüssen wurde das IPv6-"Servicemerkmal" vor vier bis fünf Jahren noch aktiv beworben. In der Zwischenzeit haben manche ISPs die aktive Vermarktung von IPv6 leider eingestellt, wobei Kunden, die ihr IPv6 schon vor vier Jahren erhalten haben, es auch weiter nutzen können. In den letzten drei Jahren ist es zunehmend schwerer geworden, sich IPv6 ins eigene Netzwerk zu holen.

Native IPv6 ohne IPv4-Anbindung gibt es zwar, wird aber nur sehr selten, vor allem in den Vereinigten Staaten und in Asien angeboten. Wer sein operatives Netzwerk nur an das IPv6-Internet angeschlossen hat kann mit dem Rest der Welt zumeist nicht einmal E-Mails austauschen. Auch hier gilt: Wer im Moment versucht eine Monokultur aufzubauen (egal ob IPv4 oder IPv6), wird viel Zeit und Kontrolle investieren müssen, um den jeweils anderen Protokollstack überall und permanent abzustellen.

Als Ausweg bleibt in der Praxis oft also nur der Weg über einen so genannten Tunnel Broker (RFC 3053), zum Beispiel [3] oder [4] . Dazu wird zwischen beiden Netzwerken ein IP-IP-Tunnel (auch bekannt als Generic Routing Encapsulation, GRE) aufgebaut. Der Tunnel verbindet zwei die beiden Endpunkte über ein normales IPv4-Netzwerk. Dabei entstehen auf beiden Endpunkten virtuelle Tunnel-Interfaces, die sich konfigurieren lassen, als ob es sich um zwei mit einem direkten Kabel verbundene physische Interfaces handelte.

Diese beiden Interfaces kann der Admin mit IPv6-Adressen konfigurieren und auch für die IPv6-Default-Route verwenden. Dem eigenen Endpunkt (das kann ein einzelner Host sein, oder ein Router) erscheint es ja nun als wäre er mit einem Kabel direkt an die restliche, native IPv6-Welt angebunden. Das klingt zwar aufwändig, setzt aber je nach Betriebssystem nur drei (BSD, Windows) bis sechs Befehle ( »linux-route2« ) voraus. Siehe Listing 1 und Listing 2 .

Listing 1

IP-Tunnel mit linux-route2

modprobe ipv6
ip tunnel add he-ipv6 mode sit remote 209.51.161.14 local 83.84.117.191 ttl 255
ip link set he-ipv6 up
ip addr add 2001:470:1f06:12f::2/64 dev he-ipv6
ip route add ::/0 dev he-ipv6
ip -f inet6 addr

Listing 2

IP-Tunnel mit *BSD und OS X

ifconfig gif0 tunnel 83.84.117.191 209.51.161.14
ifconfig gif0 inet6 alias 2001:470:1f06:12f::2 2001:470:1f06:12f::1 prefixlen 128
route -n add -inet6 default 2001:470:1f06:12f::1

Als Goodie kommt noch hinzu, dass manche Tunnel Broker die IPv6-Namensauflösung und die Rückwärtsauflösung in ihrem Internet Portal einfach machen oder (wie Huricane Electric) auch die Möglichkeit bieten, das Border Gateway Protocol (BGP) als Routing-Protokoll zu konfigurieren.

Auch wenn es einfach einzurichten ist, kauft man sich mit dieser IPv6 Implementierung auch alle Probleme von IP-Tunneln wie den Overhead durch die verkleinerte MTU und damit verbundene Probleme bei der Datenübertragung ein, wenn Path MTU Discovery nicht auf allen beteiligten Knoten-Rechnern korrekt funktioniert. Zusätzlich ist man auf die korrekte Funktion und die Verfügbarkeit des eingesetzten Tunnel Brokers (zumeist ein Gratis Service ohne SLAs) angewiesen. Für operative Netze ist die Anbindung über Tunnel Broker jedenfalls eher untauglich.

Kommentare

Recycing lebt vom Mittmachen ;-) Wo wurde der Artikel denn ausgegraben? (kT)

kein Text

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023