| View previous topic :: View next topic |
| Author |
Message |
moe
Veteran
Joined: 28 Mar 2003
Posts: 1289
Location: Potsdam / Germany
|
 Posted: Fri Sep 17, 2004 1:58 pm Post subject: |
 |
|
| zielscheibe wrote: | 1. Versuch "Sixxs":
Nur mit statischer IP zugebrauchen, außerdem dauert die Zuweisung eines NIC Handles bis zu einer Woche. ->Später einmal.
|
Hmm, ich hatte mich schon im Juni bei Sixxs angemeldet, da hat das Nic-Handle (über 6bone) einen Tag gedauert.. Und die bieten auch auch ein Tool an, mit dem sich die dynamische IP-Adresse automatisch aktualisiert..
Gruss Maurice, der immer noch kein ipv6 hat, aber immerhin schon 2/3 pcs für ipv6 vorbereitet hat.. |
|
| Back to top |
|
 |
piefke
n00b
Joined: 05 Sep 2003
Posts: 57
|
| Posted: Fri Sep 17, 2004 2:51 pm Post subject: |
|
|
he 
sixxs funktioniert mit dynamischer ip, entweder mit heartbeat oder dem experimentiellen aiccu:
http://noc.sixxs.net/archive/sixxs/heartbeat/
http://noc.sixxs.net/tools/aiccu/
wobei bei aiccu uebrigens im source ein ebuid enthalten ist.
zu den anfangsfragen:
| Quote: | | Solange der ISP kein IPV6 anbietet, muss man ja den IPV6-Verkehr über einen Broker tunneln, läuft dann der ganze Traffic über den Broker, oder ist das a la DNS, dass der Broker nur einmal sagt "Die Adresse erreichst du auf dem Weg, lass mich damit in Ruhe"? |
deiner routingtabelle entsprechend, läuft der ipv6 verkehr natürlich zuerst durch den tunnel zu dem endpunkt deines brokers, der ipv4 verkehr nimmt auf normalen wege seinen lauf.
| Quote: | | Das Subnetz, was man jetzt über einen Broker erhält, ist ja eher temporär, wo kriegt man denn wenn IPV6 wirklich offiziell ist IP-Adressen her? |
wenn ipv6 offiziell ist, wirst du ein subnetz von deinem provider zugesichert bekommen. wäre quatsch, wenn er dir nur eine ip gibt. sonst muesstest du fuer dein netzwerk wieder nat zu hilfe nehmen und dies sollte eigentlich vermieden werden. | Quote: | | Kann man das Subnetz was man jetzt vom Broker erhält behalten? |
das subnetz von deinem broker wird auf dich registriert bleiben. wie du es nach aufloesung des 6bone noch verwenden darfst, kann ich dir leider auch nicht zu sagen.
| Quote: | | Wie sieht die Unterstützung Applikationsseitig aus, das ipv6 Use-Flag seh ich oft, aber gibts noch Programme wo es fehlt? |
die wichtigsten programme sind mittlerweile ipv6 faehig, also dns,-mail,-server etc. sowie clients wie mozilla-firefox,thunderbird. tendenz sowieso steigend.
| Quote: | | Hat jmd. hier vielleicht schon ipv6 über einen Tunnelbroker, oder gar richtig im Einsatz und kann davon berichten? |
hatte selbst eine weile einen tunnel ueber sixxs laufen, werde mich aber als kuenftiger student bei der uni leipzig in deren teil vom 6bone anmelden (kuerzere uebertragunszeiten  )
| Quote: | | Wie sieht denn überhaupt der Zeitplan aus, bis zur richtigen Einführung von ipv6 wirds sicherlich noch n paar Jahre dauern, oder? |
t-com experimentiert im moment noch, wie ich die kenne, wird das allerdings noch eine weile dauern. aber 2006 sollte es hoffentlich geschafft sein, da geplant war, das 6bone dann einzustellen (oder war das sogar schon 2005?).
| Quote: | | Gibts denn irgendwelche Howtos, die den Einsatz von IPV6 im Lan beschreiben, dann könnt ich damit schonmal anfangen, und lokal IPV4 ersetzen |
http://www.gentoo.org/doc/en/ipv6.xml | Quote: | | Kann XP eigentlich ipv6? |
nach irgendeinem service pack (1 oder so) erst, kennt mich damit nicht so aus.
gruesse michael |
|
| Back to top |
|
|
Clou
n00b
Joined: 15 Sep 2003
Posts: 21
|
| Posted: Fri Sep 17, 2004 4:12 pm Post subject: Re: [OT] IPV6 kommt näher und ich hab Angst :) |
|
|
| moe wrote: |
Gibts denn irgendwelche Howtos, die den Einsatz von IPV6 im Lan beschreiben, dann könnt ich damit schonmal anfangen, und lokal IPV4 ersetzen.. |
Ich glaube, das könnte mühsam werden Auch meine ersten Versuche mit IPv6 haben mich etwas ernüchtert, allerdings nicht entmutigt.
Es begann damit, dass ich mir einen dynamischen Sixxs-Tunnel zugelegt hatte, den ich aber nicht nutzen konnte, da mein DSL-Router die entsprechenden Pakete partout nicht routen wollte. Besonders lustig, weil besagter Hersteller in seinen FAQ schreibt "benutzen Sie einen Tunnel, wenn Sie IPv6 nutzen wollen." 
Nun denn, ich hab's dann einfach mal mit einem anderen Rechner probiert, der nicht an einem DSL-Router hängt, und das hat prima funktioniert.
Aber dann wird doch schnell deutlich, dass IPv6 ein Henne-Ei-Problem zu haben scheint. Alle großen Webseiten zum Beispiel sind nur per IPv4 zu erreichen (www.gentoo.org auch). Gut, es gibt ein paar IRC-Server, ein paar andere nette Dienste, die mittels IPv6 zu erreichen sind, aber die richtige "Killerapplikation" für IPv6 lässt noch auf sich warten...
Trotzdem ist IPv6 eine ganz nette Spielwiese zum rumbasteln (schön, dass ich 3 ge-NAT-ete Rechner, die ich administriere jetzt auch von der Arbeit direkt erreichen kann usw.) und ich kann nur jedem empfehlen, sich das mal anzuschauen.
Clou |
|
| Back to top |
|
|
moe
Veteran
Joined: 28 Mar 2003
Posts: 1289
Location: Potsdam / Germany
|
| Posted: Sat Sep 18, 2004 8:35 pm Post subject: |
|
|
Also ich bin jetzt schon einen Schritt weiter, auf meinem Router steht der Tunnel zu SixXS, auf das Subnetz muss ich allerdings noch eine Woche warten, wegen ihrem Credit-System.. Achja apropos Zeiten, bei SixXS gibts ja ein Log was man sich ansehen kann, demnach hat die Anmeldung 15 Minuten gedauert, die Einruchtung des Tunnels 41 Minuten, beides war ein Werktag gegen 8 Uhr abends..
Jo Tunnel steht, und der Router kann auch ipv6-Adressen in der Welt anpingen, aber wie nun weiter? Das Subnet kann ich ja frühestens nächsten Freitag beantragen, bis dahin wollte ich eigentlich lokale IPv6 Addressen einrichten und diese NATten, wobei ich das für einige Hosts auch danach beibehalten möchte, da nicht jeder Host hier (bzw. der Benutzer davor (LAN mit Nachbarn)) sich um die Sicherheit kümmern kann/will, und deshalb lieber mit Einschränkungen durch NAT leben will, vom Konfigurationsaufwand ganz zu schweigen, aber den hab ja ich 
Aber beim Thema IPv6 im Lan fängts schonwieder an, fe80, ffce oder was und wie muss ein solcher Prefix sein? Das IPv6-Howto von Gentoo.de hatte ich schon gelesen, es lässt dieses Thema aber aussen vor. Wie die Adresse auszusehen hat ist sicherlich das kleinere Problem, das grössere dann NAT, ist das völlig analog zu IPv4 oder muss es ein anderes Regelwerk sein? Gibts schon grafische ip(6)tables-GUIs die damit klarkommen? (Deever bitte ignoriere die letzte Frage  )
Und das mit DNS totd und ptrtd wie es im Gentoo-Howto beschrieben ist, ist mir auch nicht 100%ig klar, auf dem Router läuft ja schon ein DNS-Server (dnsmasq), also muss totd auf einem anderen Port laufen, nur wie bring ich das den Clienten bei, oder bring ichs denen gar nicht bei, sondern meinen "Haupt-DNS-Server"? Für mich klingts logisch, einen lokalen "echten" DNS-Sever aufzusetzen, dem auch AAAA-Records für die lokalen Maschinen beizubringen, und als forwarding-dns den totd anzugeben (natürlich neben den DNS-Servern meines ISPs), ist das so richtig?
Und wie siehts überhaupt mit DNS fürs Internetz aus, wenn eine Domain auch ipv6 hat, sagts mir dann der DNS den mir mein ISP (Arcor) zuweist oder sollte ich einen anderen DNS-Server als externen DNS nutzen?
Achja und wie ists mit der Unterstützung für ipv6 in den initscripts, der Tunnel wird ja durch aiccu ge"up"t, aber wie siehts bei den anderen Interfaces aus? /etc/conf.d/net enthält nichts was irgendwie nach ipv6 aussieht, reines uppen wird nicht reichen, da ich nicht radvd sondern dhcpv6 verwenden möchte..
Gruss ein noch immer verwirrter Maurice |
|
| Back to top |
|
|
Clou
n00b
Joined: 15 Sep 2003
Posts: 21
|
| Posted: Sun Sep 19, 2004 8:42 am Post subject: |
|
|
| moe wrote: |
Achja und wie ists mit der Unterstützung für ipv6 in den initscripts, der Tunnel wird ja durch aiccu ge"up"t, aber wie siehts bei den anderen Interfaces aus? /etc/conf.d/net enthält nichts was irgendwie nach ipv6 aussieht, reines uppen wird nicht reichen, da ich nicht radvd sondern dhcpv6 verwenden möchte..
|
Statische Adressen in der /etc/conf.d/net:
inet6_eth0="Adresse"
sollte helfen |
|
| Back to top |
|
|
daemonb
Apprentice
Joined: 24 Jul 2002
Posts: 242
|
| Posted: Fri Sep 24, 2004 1:24 pm Post subject: |
|
|
kann jemand mal wieder die frage von moe aufgreifen, gibt es da erfahrungen?
Will meine internen Rechner nach wie vor hinter meiner Firewall behalten, alles andere ist mir einfach zu unsicher, deswegen, werde ich das konzept mit den (FE??) addressen auch nutzen.
Hat das schon jemand gemacht?
Wenn ich dann den Tunnel stehen habe, kann ich doch eigentlich ohne weiteres, meine FE Adressen NAT en , müsste ja genauso sein wie bei V4 oder?
Kann FWbuilder das schon?
danke
DaemonB |
|
| Back to top |
|
|
kannX
Tux's lil' helper
Joined: 21 Jul 2002
Posts: 76
|
| Posted: Fri Sep 24, 2004 9:45 pm Post subject: |
|
|
Du solltest auf alle Fälle Firewall und NAT nicht durcheinander brigen - in der Tat macht es von der Sicherheit her absolut keinen Unterschied ob man NATet oder nicht (auch wenn das viele immer noch nicht wahrhaben wollen).
Ansosten funktioniert das mit Netfilter genauso wie mit mit ipv6 wie ipv4, vorrausgesetzt das man netfilter für ipv6 im Kernel hat.
Die ganzen Firewallregeln funktionieren auch mit ipv6 (genau genommen ist es dem Netfilter ziemlich schnuppe ob ipv4 oder ipv6), du musst die Regeln halt nur auf das neue Interface erweitern. |
|
| Back to top |
|
|
moe
Veteran
Joined: 28 Mar 2003
Posts: 1289
Location: Potsdam / Germany
|
| Posted: Fri Sep 24, 2004 11:01 pm Post subject: |
|
|
Um das von kannX mal näher zu erläutern (habs zu Anfang auch nicht verstanden):
Man bekommt von seinem Tunnelbroker ein Subnetz zugewiesen, sagen wir mal 2001:xxxx:yyyy:zzzz::/48, Adressen innerhalb diesen Bereiches kann man frei in seinem Lan verteilen, und brauch dann im Prinzip auch keine fe??:: Adressen.. Da ja trotzdem nur ein Router zur Aussenwelt existiert, kann dieser auch ohne NAT den Zugriff verhindern/einschränken/QOSen oder wasauchimmer..
Zur iptables-Frage bin ich auch noch nicht viel schlauer, GUIs die auch ipv6 können hab ich noch nicht gefunden. Und ausser dem Device (bzw. das auch nicht in jedem Fall) muss man doch iptables6 statt iptables verwenden, oder?
Und dann hab ich aktuell auch noch ein Problem, oder mehrere:
Ich hab seit heute auch mein Subnetz von SixXS, komischerweise ist die Adresse des Netzes eine andere als die, die ich über den Tunnel habe, dort habe ich 2001:xxxx:yyyy:zzzz::1 als Tunnel-Endpunkt in Hamburg, ..::2 als mein Endpunkt, aber mit /64 und laut whois von 6bone "gehören" mir auch Adressen wie ...::3, hab ich jetzt 2 Subnets oder ist das nur organisatorischer Natur, dass das von SixXS zuegewiesene Netz ein anderes ist (2001:aaaa:bbbb::/48 )?
Und die eigentlich viel wichtigere Frage, hab hier nen Router auf dem auch der Tunnelendpunkt liegt, aufm Router klappt auch alles wunderbar, kann fremde IPV6 Adressen erreichen. Zum Probieren mit NAT bin ich gar nicht gekommen, also hab ich heute mit dem Subnetz erst meinen ersten Versuch unternommen, auch meine Workstation mit ipv6 zu konnektieren.. Hab ihr also eine Adresse aus dem zugewiesenen Subnetz zugeteilt, und eine Route zum Router erstellt:
ip -6 route add default via fec0::fffe dev eth0
(Hab hier im Netz lokale Adressen zusätzlich zu den externen, auch wenns eigentlich Quatsch ist..
Auf dem Router hab ich dann noch ipv6 forwarding aktiviert:
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
Pingen zwischen beiden Rechnern klappt sowohl über die interne, als auch über die externe IP, nur mit der Workstation komm ich nicht raus.. Die Route an sich scheint zu stimmen, wenn ich einen ping auf eine externe IPv6-Adresse mache, steigt auch der TX-Zähler des Tunneldevices im Router, allerdings steht der RX.. Ein Traceroute von extern (Webinterface auf ipv6-net.org) geht auch nicht, jedenfalls nicht auf die zugeteilten Adressen des Subnetzes. Auf die Adresse ..::2 meines Tunnels läuft der Traceroute durch, auf die externe IP meiner Workstation (aus dem neu zugeteilten Subnetz) bleibt er bei der Station hängen, die beim trace davor die vorletzte war..
 Weiss jmd woran das ungefähr liegen könnte?
Gruss Maurice |
|
| Back to top |
|
|
kannX
Tux's lil' helper
Joined: 21 Jul 2002
Posts: 76
|
| Posted: Sat Sep 25, 2004 2:50 am Post subject: |
|
|
Ich setze mal voraus das "ipv6" in den Use-Flags vorhanden ist und iptables auch mit dieser Optionen emerged wurde, dann braucht man auch kein iptables6 oder so.
Damit der Routing auch funktioniert muss man die entsprechenden Einträge in der FORWARD chain setzen:
| Code: |
iptables -A FORWARD -i sit0 -o eth0 -m state --state ESTABLISHED,RELATED -$
iptables -A FORWARD -i eth0 -o sit0 -j ACCEPT
|
Damit dürfte man theoretisch von den Clients aus Dienste im Internet nutzen können, also sollte auch ping6 schon funktionieren.
Anders herum muss man natürlich die Firewall erst etwas öffnen damit man von ausen auch auf Clients und nicht nur den Router pingen kann.
Das hier wäre die radikalste Variante, würde ich aber ehrlich gesagt nicht empfehlen.
| Code: |
iptables -A FORWARD -i sit0 -o eth0 -j ACCEPT
|
|
|
| Back to top |
|
|
daemonb
Apprentice
Joined: 24 Jul 2002
Posts: 242
|
| Posted: Sat Sep 25, 2004 2:05 pm Post subject: |
|
|
| ja stimmt ja, Firewall != NAT..., aber ist es nicht sicherer intern FE Adressen zu haben, da diese ja nicht routbar sind? |
|
| Back to top |
|
|
Clou
n00b
Joined: 15 Sep 2003
Posts: 21
|
| Posted: Sun Sep 26, 2004 9:20 am Post subject: |
|
|
| daemonb wrote: | | ja stimmt ja, Firewall != NAT..., aber ist es nicht sicherer intern FE Adressen zu haben, da diese ja nicht routbar sind? |
Extern nicht routbar heißt ja nicht, dass sie von extern nicht erreichbar sind. Sonst könnte man ja auch keine Webseiten aufrufen, die sich außerhalb eines genatteten Netzwerks befinden, wenn man darin ist.
Deswegen ist es ein Irrglaube, wenn man meint, dass man nur deshalb sicherer ist, wenn man in einem privaten Netzwerk mittels NAT ist. Die Rechner müssen trotzdem immer "auf der Höhe" sein. Und hinter einer Firewall habe ich genau den gleichen Effekt wie hinter einem NAT-Gateway: ich kann genau kontrollieren, welche Pakete in mein Netzwerk reinkommen, und welche nicht.
Siehe auch
http://www.join.uni-muenster.de/Dokumente/FAQs/Facts_and_Fiction.php#F16 |
|
| Back to top |
|
|
The_Paranoid
Tux's lil' helper
Joined: 04 Mar 2004
Posts: 98
Location: Tübingen/Germany
|
| Posted: Mon Sep 27, 2004 4:50 pm Post subject: |
|
|
so, hab das ganze dann auch mal ausprobiert. Lokales IPv6 Netz zwischen meinem Gentoo und meinem WinXP Laptop hat gut geklappt. Tunnel bei Sixxs beantragt und heute Mail gekriegt. Krieg zwar ne adresse zugewiesen allerdings kann ich nicht rauspingen. Auch den POP Endpoint nicht 
Liegt das möglichweise daran, dass ich hinter nem Netgear Router hänge ? |
|
| Back to top |
|
|
Clou
n00b
Joined: 15 Sep 2003
Posts: 21
|
| Posted: Mon Sep 27, 2004 10:02 pm Post subject: |
|
|
| The_Paranoid wrote: | so, hab das ganze dann auch mal ausprobiert. Lokales IPv6 Netz zwischen meinem Gentoo und meinem WinXP Laptop hat gut geklappt. Tunnel bei Sixxs beantragt und heute Mail gekriegt. Krieg zwar ne adresse zugewiesen allerdings kann ich nicht rauspingen. Auch den POP Endpoint nicht
Liegt das möglichweise daran, dass ich hinter nem Netgear Router hänge ? |
Der Router könnte das Problem sein. Deine zugewiesene IP kannst Du aber pingen? wie baust Du den Tunnel auf? Manuell oder mittels aiccu?
Grüße
Clou |
|
| Back to top |
|
|
The_Paranoid
Tux's lil' helper
Joined: 04 Mar 2004
Posts: 98
Location: Tübingen/Germany
|
| Posted: Tue Sep 28, 2004 8:39 am Post subject: |
|
|
| jupp, die zugewiesene kann ich pingen. Per aiccu |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German) 
