Erste Schritte mit IPv6

Ab Version 7.0 unterstützt DEFENDO IPv6. Wir wollen Ihnen mit dieser Anleitung kurz vorstellen, welche Arten von IPv6-Anbindungen es gibt, welche Möglichkeiten Sie haben, IPv6 im DEFENDO zu nutzen und wie Sie diese konfigurieren.

Da auch wir noch Praxiserfahrung mit IPv6 sammeln müssen, sind wir für jegliches Feedback dankbar. Das gilt insbesondere für Lösungsansätze, die sich in der Praxis bewährt haben.

Dual-Stack

Besteht ein vollwertige IPv4- und IPv6-Verbindung zum Internet, spricht man von Dual-Stack.

Dual-Stack mit Carrier-Grade-NAT (CGN)

Hier ist der IPv4-Zugang eingeschränkt. Der Provider weist dem DEFENDO lediglich eine interne IPv4-Adresse zu (typischerweise aus dem Netzwerkbereich 10.0.0.0/8). Ausgehende IPv4-Verbindungen laufen beim Provider über einen NAT-Router. Bei CGN ist es nicht möglich, aus dem Internet eine IPv4-Verbindung zu DEFENDO aufzubauen (z.B. für VPN).

Dual-Stack Lite (DS-Lite)

Bei dieser Variante ist DEFENDO ausschließlich über IPv6 ans Internet angebunden. Ausgehende IPv4-Verbindungen werden über IPv6 getunnelt, d.h. die IPv4-Pakete werden in IPv6-Pakete eingepackt. DEFENDO schickt diese Pakete zu einem speziellen Server beim Provider, dem Adress-Familiy-Transition-Router (AFTR). Dieser packt die IPv4-Pakete wieder aus, wendet NAT an und sendet die Pakete weiter ins Internet. Wie bei CGN ist es auch bei DS-Lite nicht möglich, aus dem Internet eine IPv4-Verbindung zu DEFENDO aufzubauen.

Damit DS-Lite funktioniert, muss DEFENDO die IPv6-Adresse des AFTR kennen. Die Adresse kann automatisch über DHCPv6 bezogen werden, aber auch eine statische Konfiguration ist möglich.

Die IPv4-Adresse des DEFENDO bei DS-Lite ist stets 192.0.0.2. Der AFTR verwendet die 192.0.0.1. Um doppeltes NAT zu vermeiden, sollten IPv4-Verbindungen aus dem LAN ohne NAT weitergeleitet werden.

An die Stelle der IPv4-Netzmaske und der IPv4-Netzwerkadresse treten bei IPv6 die Präfixlänge und das Präfix. Die Präfixlänge gibt die Anzahl der Bits an, die den Präfix bilden. Sie kennen diese Schreibweise sicher auch schon von IPv4: Das Netzwerk 192.168.2.0/255.255.255.0 kann auch als 192.168.2.0/24 geschrieben werden, da die ersten 24 Bit die Netzwerkadresse ergeben (192.168.2.*). Da IPv4-Adressen aus 32 Bit bestehen, kann eine einzelne IP auch als z.B. 192.168.2.1/32 geschrieben werden. Eine IPv6-Adresse besteht aus 128 Bit, entsprechend lautet die Präfixlänge für eine einzelne IPv6-Adresse /128.

Die typische IPv6-Präfixlänge für ein Netzwerk ist /64.

NAT ist bei IPv6 verpönt. Jedes Endgerät soll eine echte IPv6-Adresse erhalten und so potentiell direkt aus dem Internet angesprochen werden können. Den IPv6-Adressblock, den Sie vom Provider erhalten haben, müssen Sie daher auf Ihre internen Netze aufteilen.

Firmen und andere Organisationen erhalten von den Providern üblicherweise individuelle, fest zugewiesene Präfixe in der Größenordnung /48. Einwahlprovider vergeben eher /56. Wenn Sie diese Präfixe in /64-Netze unterteilen, können Sie so 65536 bzw. 256 unterschiedliche lokale Netze mit Adressen versorgen.

Statische Adress-Vergabe

Wie bei IPv4 konfigurieren Sie der jeweiligen Schnittstelle eine IPv6-Adresse, die Präfixlänge (typischerweise /64) und ggf. die Adresse des vorgelagerten Routers (Gateway).

Zustandslose Adress-Vergabe (Stateless Address Autoconfiguration, SLAAC)

Jeder Router kann dem angeschlossenen Netzwerk IPv6-Präfixe zur zustandslosen Adressvergabe anbieten. Die Präfixe werden vom Router als Teil der sog. Router-Advertisement Pakete gesendet, über die der Router den Clients seine Dienste anbietet.

Bei der SLAAC suchen sich die Clients selbständig eine IPv6-Adresse innerhalb des Netzwerks aus. Die hinteren 64 Bit der IPv6-Adresse werden dabei entweder basierend auf der MAC-Adresse der Netzwerkkarte festgelegt, oder - bei aktivierter Privacy-Extension - zufällig gewählt. Vor Verwendung der IP wird selbstverständlich geprüft, ob die Adresse bereits vergeben ist.

Diese Art der Adress-Vergabe nennt sich zustandslos, da es keine zentrale Komponente gibt, die darüber Buch führt, welcher Client welche IP-Adresse verwendet.

Stateful Address Configuration über DHCPv6

Um beeinflussen bzw. nachvollziehen zu können, welcher Client welche IPv6-Adresse erhält, können die Adressen über DHCPv6 vergeben werden. Wie bei IPv4 sind feste Zuordnungen möglich, es kann aber auch ein Adress-Bereich für die dynamische Vergabe festgelegt werden.

Anders als bei IPv4 lassen sich weder die Präfixlänge noch die Router-Adresse (Gateway) über DHCPv6 festlegen. Diese Informationen werden von den Routern über das Router-Advertisement bekanntgegeben.

Anders als bei IPv4 unterscheidet sich die IPv6-Adressvergabe bei unterschiedlichen Zugangstechnologien nicht. Sowohl bei Kabelmodem als auch bei ADSL kommen SLAAC und/oder DHCPv6 zum Einsatz.

• Aktivieren Sie zunächst IPv6 im Menü "Module > Netzwerk > Einstellungen". Da DEFENDO üblicherweise als Router fungiert, werden Sie hier in der Regel den "Router-Modus" wählen.
• Wechseln Sie dann in die jeweilige Schnittstelle und aktivieren Sie dort IPv6 indem Sie den "IPv6-Modus" festlegen. Bei statischer Adress-Vergabe konfigurieren Sie bitte auf dem Reiter (Tab) "IP-Adressen" die statische IPv6-Adresse sowie die Adresse des Gateways. Als Gateway-Adresse wird häufig eine sog. Link-Local-Adresse konfiguriert (beginnt mit "fe80:").
• Verbindungen, die vom oder zum DEFENDO selbst aufgebaut werden, können nun bereits über IPv6 erfolgen. Dazu gehören insbesondere alle Verbindungen, die einen der DEFENDO Proxies nutzen. Es ist also nicht unbedingt erforderlich, auch im LAN IPv6 zu konfigurieren.

Zunächst soll das Vorgehen beschrieben werden, wenn Sie vom Provider einen eigenen, fest zugewiesenen IPv6-Adressblock erhalten haben. Die IPv6-Adressen sollen dabei direkt in der Konfiguration eintragen werden.

• Soweit noch nicht geschehen, aktivieren Sie bitte zunächst IPv6 im Menü "Module > Netzwerk > Einstellungen".
• Wechseln Sie nun in die jeweilige Schnittstelle und stellen Sie den "IPv6-Modus" auf "manuelle IP". Konfigurieren Sie auf dem Reiter (Tab) "IP-Adressen" die statische IPv6-Adresse des DEFENDOs.
• Wenn die Clients im lokalen Netzwerk statisch konfiguriert werden sollen, ist nichts weiter einzustellen. Wechseln Sie ansonsten bitte auf den Reiter "IPv6 Router-Advertisement".
• Falls Sie IPv6 nicht im kompletten Netzwerksegment auf einmal bereitsstellen wollen, haben wir mit dem Modus "per Unicast an einzelne Clients" die Möglichkeit geschaffen, Router-Advertisements ausschließlich an bestimmte Clients zu senden. Sofern Sie sich für diese Variante entscheiden, müssen Sie die Link-Local-Adressen der gewünschten Clients einzeln eingeben.
• Ist eine zustandslose Adressvergabe gewünscht (SLAAC), geben Sie bitte den Präfix ein (passend zur IP-Adresse, die DEFENDO auf dieser Schnittstelle erhalten hat).
• Sollen IPv6-Adressen per DHCP vergeben werden, stellen Sie bitte "DHCPv6" auf "ja (M-Flag und O-Flag)". Wechseln Sie anschließend ins Menü "Module > DHCP" und konfigurieren Sie dort die IPv6-Parameter der entsprechenden Schnittstelle.
• Starten Sie die Dienste "IPv6 Router Advertisement" und "DHCPv6-Server" falls benötigt.

Sofern Sie von Ihrem Provider kein fest zugewiesenes IPv6-Präfix erhalten haben, können Sie einen Präfix dynamisch anfordern. Diesen Präfix müssen Sie dann auf Ihre internen Netzwerke aufteilen. Zwar bleibt der Präfix meist konstant, kann sich aber jederzeit ändern.

Um dieser Dynamik in der Konfiguration Rechnung zu tragen, müssen Sie anstelle von direkt eingetragenen IP-Adressen Platzhalter verwenden. Dabei handelt es sich um Verweise auf Einträge des Menüs "Definitionen > IP-Objekte".

• Bei dynamischer Vergabe des IPv6-Präfixes aktivieren Sie bitte zunächst in der Konfiguration der Internet-Schnittstelle die IPv6-Präfixdelegation. Beispielsweise ist danach der auf der Schnittstelle "adsl0" erhaltene Präfix im Menü "Definitionen > IP-Objekte" unter "IPv6-PD/adsl0" zu finden.
  Der Eintrag "IPv6-PD/adsl0" bezieht sich nicht auf das Netzwerk zwischen der Schnittstelle adsl0 und dem Provider. Der in "IPv6-PD/adsl0" hinterlegte Präfix wird vielmehr vom Provider an den DEFENDO geroutet und muss vom DEFENDO an nachgelagerte (interne) Netze weiterverteilt werden.
• Bei statisch vergebenem Präfix wählen Sie bitte das zur Internet-Schnittstelle passende IPv6-PD-Objekt (z.B. "IPv6-PD/eth1") und tragen Sie dort von Hand den Präfix ein.
  Die IPv6-PD-Objekte von Schnittstellen, die nicht mit dem Internet verbunden sind (z.B. das zur LAN-Schnittstelle gehörende Objekt "IPv6-PD/eth0"), sind üblicherweise ungenutzt.
• Legen Sie nun für das LAN ein neues Objekt vom Typ "IPv6-Präfix" an (z.B. "ipv6/eth0-prefix"). Als "Routing-Präfix" wählen Sie das IPv6-PD-Objekt der Internet-Schnittstelle aus. Um das erste 64-Bit Netz auszuwählen, tragen Sie bitte als "Präfix / Teilnetz" den Wert "0:0:0:0::/64" ein (das zweite Netz wäre "0:0:0:1::/64", usw.). Angenommen der Routing-Präfix lautet 2001:db8:1::/48, so ergibt sich daraus das Netz "2001:db8:1:0::/64".
• Für die DEFENDO LAN-Schnittstelle legen Sie dann ein weiteres Objekt, diesmal vom Typ "IPv6-Adresse" an (z.B. "ipv6/eth0-ip"). Als "Routing-Präfix" wählen Sie das zuvor angelegte Präfix-Objekt aus ("ipv6/eth0-prefix"). Unter "IP-Adresse / Schnittstellen ID" konfigurieren Sie die rechte Hälfte der IPv6-Adresse (64 Bit). Mit den Werten aus dem obigen Beispiel erhalten Sie z.B. mit dem Eintrag "::0:0:0:1" die Adresse 2001:db8:1:0:0:0:0:1 oder kurz 2001:db8:1::1.
• Die weiteren Parameter konfigurieren Sie nun wie oben für den statischen Präfix beschrieben. Anstatt IPv6-Adressen einzutragen verwenden Sie jedoch die entsprechenden Objekte.