IPv6 Adressbereich - wann wird welches Verfahren eingesetzt

[Macvot]

Hallo,

es gibt für IPv6 mehrere Adressbereiche:

- link-local

- unique-local

- multicast

- global unicast

Ich habe mir die jeweiligen Unterschiede durchgelesen. Aber ich habe noch nicht ganz verstanden, welche Art nun für den "Standardgebrauch" genutzt wird.

Standardgebraucht heisst, eine IP Adresse die im lokalen sowohl als auch im externen Netz routbar sein sollte.

Also welche IP nutze ich in Zukunft zb, wenn ich mit einem Client im lokalen Netz, sowie im Internet damit erreichbar sein möchte.

Bei IPv4 wird dies ja momentan noch mit NAT durchgesetzt. IPv6 löst NAT ja ab.

Wie lässt sich das herleiten?

[GoaSkin]

Diese Adressen gibt es bei IPv4 auch alle, nur dass sie dort nicht zwangsweise konfiguriert sind:

- Link Local entspricht den 169.254er Adressen beim IPv4-Betrieb. Über diese Adressen kann man alle Geräte im lokalen Netzwerksegment erreichen. Sie werden nicht in andere Subnets geroutet.

- Unique Local entspricht dem Localhost (127.0.0.1).

- Bei Multicast-Adressen handelt es sich um Adressen, auf die mehrere, an einer konfigurierten Multicast-Gruppe teilnehmen; entspricht den IPv4-Adressen zwischen 224.0.0.0 und 239.255.255.255. Multicast ist über Subnet-Grenzen möglich, wenn ein speziell konfigurierter Multicast-Router eingesetzt wird, der das Routing von Multicast-Anfragen entsprechend umsetzt.

- Beim Global Unicast handelt es sich um normale, international geroutete IP-Adressen.

Ein Rechner ist über das Internet somit über die Global Unicast Adresse erreichbar. Im lokalen Netzwerksegment zusätzlich über die Link Local Adresse. Sich selbst kann der Rechner dazu noch über die Unique Local Adresse erreichen.

Der Sinn dahinter ist, dass man Serverdienste, die über das Internet nicht erreichbar sein sollen, einfach nur über die lokalen Adressen laufen lassen kann und dadurch nur von lokalen Rechnern genutzt werden können - z.B. SMB-Freigaben, Druckerfreigaben etc. Dadurch kann man Endgeräten auch globale IP-Adressen geben, ohne zwangsweise gleich für jeden Rechner spezielle Firewall-Regeln einrichten zu müssen.

Das IPv6 NAT ablöst kann man so auch nicht sagen. Es ist einfach nur so, dass NAT (theoretisch) nicht mehr gebraucht wird, weil es ja genügend Adressen gibt. Man darf allerdings nicht vergessen, dass die IPv6-Spezifikationen noch aus einer Zeit stammen, in der man von der RIPE gleich ein ganzes Class-B-Netz bekommen hat, nur weil man begründen konnte, dass einem ein Class-C-Netz gerade so nicht mehr reicht. Die Vergaberichtlinien für IPv6-Adressen sind daher ebenso verschwenderisch definiert. So ist es z.B. gedacht, dass die letzten Ziffern einer IPv6-Adresse jeweils die gesamte MAC-Adresse der Netzwerkkarte abbilden und die Provider den Endkunden gleich einen ganzen /56er Präfix geben, womit er theoretisch die Möglichkeit hat, 255 Subnetze zu bilden, wobei in jedem Subnet dann jede denkbare MAC-Adresse Platz hat.

Ich glaube nicht, dass die Provider aufgrund einer alten Empfehlung alle den doofen DSL-Kunden Milliarden von Adressen geben werden - zumindest nicht langfristig. Im Gegenteil: Es gibt jetzt schon Provider, die ihren DSL-Kunden nur eine einzelne IPv6-Adresse geben, die dazu noch dynamisch ist - ganz so wie vorher mit IPv4 auch. Die sagen sich dann "wer von außen erreichbar sein will, soll einen Geschäftskundentarif nehmen".

Bearbeitet 13. Mai 2013 von GoaSkin

[Crash2001]

Eigentlich ist gedacht, dass jeder Endkunde vom ISP ein /64 Subnetz zugeordnet bekommt und nicht ein /56 Subnetz.

@Macvot:

Aus diesem dir zugeordneten /64 Subnetz kannst du dich dann nach Belieben bedienen, was die IP-Adresse angeht.

[RipperFox]

Einspruch:

Normalerweise bekommt ein einzelner Host (z.B. dann eine Fritzbox) selbst ein /64 Präfix und mindestens ein /56 zum Verteilen ans LAN.

Das ist bei QSC (seit neuestem mit nem Dual Stack Test ) und anderen so:

Bei SixXS kriegt man gleich ein /48..

Präfixe kleiner /64 gehen zwar, führen aber zu Problemen bei Autoconfiguration, etc...

Siehe:

beware's annoyances - /64 prefix

RFC 6177 - IPv6 Address Assignment to End Sites

Grüße

Ripper

Bearbeitet 14. Mai 2013 von RipperFox

[pr0gg3r]

Hallo,

Bei IPv4 wird dies ja momentan noch mit NAT durchgesetzt. IPv6 löst NAT ja ab.

Ich denke nicht, dass man mit jedem Gerät global erreichbar sein möchte, darum kann man trotzdem nicht auf sein lokales Netz, also auch auf Router und NAT verzichten.

[GoaSkin]

NAT über IPv6 wird zumindest von den neueren Linux-Kerneln unterstützt. Wahrscheinlich beherrschen das andere Betriebssysteme zum Teil auch. Es handelt sich also nicht um eine unmögliche Technik. Dabei ist es übrigens auch möglich, Port-Weiterleitungen von IPv6 auf IPv4 und umgekehrt einzurichten.

Allerdings besteht aufgrund der Adressknappheit keine Notwendigkeit für NAT. Erfunden wurde NAT ja nicht als Sicherheitsmaßnahme, sondern damit eine Firma oder andere Organisation nicht mehr für jeden PC eine statische IP braucht (so wie bis in die frühen 90er Jahre).

[RipperFox]

Ich denke nicht, dass man mit jedem Gerät global erreichbar sein möchte, darum kann man trotzdem nicht auf sein lokales Netz, also auch auf Router und NAT verzichten.

Sorry, aber das ist Bullsh** - Warum das Geklammere an NAT, wenn man endlich mal die vorhandene *Firewall* seines Routers zweckgemäß nutzen kann? Die Fritzbox z.B. macht es relativ nett und sperrt per default eingehenden Verkehr und mann muss "Freigaben" anlegen:

(Bis in ein paar Jahren wird jeder Wald-und-Wiesenrouter die IPv6 Firewall Einstellungen genauso schön präsentieren wie jetzt die NAT Regeln)

Zusätzlich hat man ja heutzutage noch den Luxus einer weiteren Firewall auf einem Gerät selbst (Hallo Linux, OS X, Windows Vista und dessen Nachfolger) - wobei geschlossene Ports eigentlich reichen sollten - ein Mehr an Komplexität bedeutet immer auch ein Mehr an Fehlern/Angriffspunkten..

Grüße Ripper

Bearbeitet 14. Mai 2013 von RipperFox

[Tracker]

Ich bin bis nächsten Monat noch in Ausbildung zum FISI, daher darf ich noch halbunswissende Sachen einwerfen

Zum Thema: Ich habe mir bisher vorgestellt, dass IPv4 für LAN weiterhin bestehen kann, für den Router nach extern aber eine IPv6 genutz wird. Am besten dynamisch und täglich wechselnd. Also ähnlich wie beim bisheigen System. wenn eine IPv6-Adresse an meinen Router vergeben wird in dem immer die MAC-steht, sehe ich das als Execution der Netzneutralität an. Es geht keinen an auf welchen Seiten ich alles gewesen bin! Ich tue im Internet imho nichts unrechtes (auch filme auf kinox.to finde ich nicht strafbar, solange man bei flashfilmen und nicht divx bleibt).

IPv6 finde ich generell ne tolle Sache. So könnte man zum Beispiel das Fax-System ändern und voll digitalisiert arbeiten. Dem Drucker eine (kurz luschern) Global Unicaste Adresse geben und über einen Anbieter registrieren. Fertig ist das neue Fax. Aber Ansonsten IPv6 auch im lokalen Netzwerk? Da finde IPv4 doch ein wenig besser. Ich lasse mich aber gerne eines besseren belehren. (Zumal ich keine ahnung von Subnetting mit IPv6 habe).

Das ISDN Leitungen immer noch gerne genutzt werden für andere Aktivitäten wo ich grad nicht drauf komme, verstehe ich auch. Aber auch diese werden irgendwann durch neue Technologie abgelöst werden müssen. Hier gilt für mich der Leitfaden "Änderung an sich ist weder gut noch schlecht, sie ist irgendwann einfach Notwendig". Ebenso wie die Kupferverkabelung der Glasfaser weichen musste, gilt das noch lange nicht für Hausverkabelungen.

Das sind so meine Gedanken zu dem Thema und bin gespannt auf eure Meinungen und Anregungen.

[RipperFox]

@Tracker:

- Wenn der ISP nur noch IPv6 liefert und darin IPv4 tunnelt ist das "Dual Stack Lite": https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_.28DS-Lite.29

- Netzneutralität ist nicht das, was DU darunter verstehst (es geht nicht um Anonymität, sondern Gleichbehandlung von Traffic)

Für die gewohnte Pseudoanonymität gibt es die Privacy Extensions - Zitat: https://de.wikipedia.org/wiki/IPv6#Adressaufbau_von_IPv6 :

"Da die Erzeugung des Interface Identifiers aus der global eindeutigen MAC-Adresse die Nachverfolgung von Benutzern ermöglicht, wurden die Privacy Extensions (RFC 4941) entwickelt, um diese permanente Kopplung der Benutzeridentität an die IPv6-Adressen aufzuheben. Indem der Interface Identifier zufällig generiert wird und regelmäßig wechselt, soll ein Teil der Anonymität von IPv4 wiederhergestellt werden."

Btw: Daß man z.B. über den Browser viel besser identifizierbar ist als selbst über eine statische IP wissen wohl nur relativ wenige: Fast alle Browser sind eindeutig identifizierbar | heise online)

Welcher Transport im lokalen Netz benutzt wird "merkt" man als Anwender kaum - Ein neueres Windows z.B. nutzt IPv6 LL Adressen für Freigaben im LAN bevorzugt, wenn man sich auf die Namensauflösung von CIFS/SMB verlässt..

Grüße

Ripper

[Tracker]

Ah ok danke. Die Links werde ich mir nachher mal zu Gemüte führen. Aber war schon sehr Aufschlusreich.

[GoaSkin]

Wie ich erwähnt hatte, hat man ja bei IPv6 noch die Link Local-Adresse, z.B.: fe80::7ae7:d1ff:fec2:e5d.

Diese Adressen beginnen immer mit FE80 und der Rest ergibt sich aus der MAC-Adresse der Netzwerkkarte. Sofern ein Rechner eine globale IPv6-Adresse von einem Router erhält, hat er diese zusätzlich.

Der DNS-Name zum lokalen Zugriff auf den jeweiligen Rechner nennt sich dann immer rechnername.local. Für die öffentliche Adresse rechnername.irgendeine-domain.com

Über den Multicast-DNS-Dienst teilen sich die Rechner ihre Namen den anderen Rechnern im Netz mit, ohne dass unbedingt ein Domain-Server mit Zonen-Dateien gebraucht wird. Ein richtiger DNS kann jedoch verwendet werden, um mDNS-Mitteilungen einzusammeln und über Port 53 abfragbar zu machen.

Diese FE80-Adresse ist über Routergrenzen hinweg nicht erreichbar.

Server-Dienste, die nur für das Intranet bestimmt sind, lässt man nur auf der lokalen Adresse laufen. Was von außen erreichbar sein soll, konfiguriert man hingegen soso, dass der Server-Dienst (auch) auf der globalen Adresse (die z.B. mit 2001: beginnt) horcht.

Bei IPv4 gibt es lokale Adressen in Form von 169.254.X.Y wobei X und Y dabei ebenfalls Teilen der MAC-Adresse entsprechen. Allerdings wird dieses Konzept auf vielen Systemen überhaupt nicht oder unkorrekt umgesetzt. Auf manchen Betriebssystemen hat der Rechner diese Adresse nur solange vom DHCP-Server noch keine andere Adresse zugewiesen wurde oder falls etwas an der Netzwerk-Konfiguration nicht stimmt, aber nicht zusätzlich.

Traut man nun den Leuten nicht, dass sie Server-Freigaben vernünftig konfigurieren können, wird eine Firewall aufgesetz, die kritische Ports filtert (oder alles außer erlaubten Ports filtert). NAT ist aber normalerweise nicht als Lösung dieses Problems gedacht.

Bearbeitet 14. Mai 2013 von GoaSkin

[RipperFox]

Server-Dienste, die nur für das Intranet bestimmt sind, lässt man nur auf der lokalen Adresse laufen. Was von außen erreichbar sein soll, konfiguriert man hingegen soso, dass der Server-Dienst (auch) auf der globalen Adresse (die z.B. mit 2001: beginnt) horcht.

Wenn Dein Intranet so klein ist, daß keine Router vorkommen geht das - aber versuch das mal in einer großen Firma

Vorsicht mit Verallgemeinerungen

Grüße

Ripper

[GoaSkin]

Große Firmen setzen auch nicht einfach nur NAT ein, um Zugriffe von außen zu verhindern. Da sind komplexe Firewalls im Einsatz, die nicht nur nach Adresse und Port filtern, sondern auch nach dem Dateninhalt der Pakete gehen. Manche größere Firmen haben ohnehin ein eigenes Class-B-Netz (Weltkonzerne teils auch Class-A), wovon die meisten Adressen dann nur für Client-Systeme genutzt werden, die dann für eingehende Verbindungen i.d.R. überhaupt nicht erreichbar sind, obwohl es die IP möglich machen würde.

[RipperFox]

Goa: Eben

Btw.: CIDR haben wir seit ~1993. Vergesst endlich den Klassenquatsch..

Grüße Ripper

[GoaSkin]

Btw.: CIDR haben wir seit ~1993. Vergesst endlich den Klassenquatsch..

Na in Netzklassen denken hier wohl Viele, weil die Berufsschullehrer immernoch von Netz-Klassen erzählen, obwohl das nicht mehr aktuell ist.

Die meisten Firmen, die aber (noch) ein Class-A- oder Class-B-Netz haben, die haben das schon vor 1993 gehabt. Damals haben die Vergabestellen noch mit IP-Adressen umsich geworfen, egal ob jemand überhaupt wirklich so viele Adressen braucht. Vor allem war die Regel "255 Adressen reichen nicht und du brauchst 300? Dann bekommst du halt 65535 Stück". Und wer sie hat, dem kann sie keiner mehr nehmen.