Vortrag hackspace IPv6: Unterschied zwischen den Versionen
Aus Opennet
Leo (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „IPv6-Vortrag/Workshop von Martin am 30.09.2021 19:00-21:00 Ort: * offline: Hackspace Rostock / Warnowufer 29, 18057, Rostock * online: https://public.senfcal…“) |
Leo (Diskussion | Beiträge) (jetzt mit Notizen) |
||
Zeile 28: | Zeile 28: | ||
Themen | Themen | ||
+ | |||
+ | Notizen und Linksammlung zu https://pad.hack-hro.de/p/ipv6-vortrag | ||
+ | |||
+ | Grundlagen: | ||
+ | |||
+ | * https://en.wikipedia.org/wiki/IPv6 | ||
+ | * Es gibt kein Broadcast! Es lebe Multicast! | ||
+ | ** https://menandmice.com/blog/ipv6-reference-multicast | ||
+ | * Gibt es auch ICMPv6? | ||
+ | ** Ja, und es ist wichtiger geworden. | ||
+ | * ARP in IPv6 = Neighbour Discovery Protocol | ||
+ | * Wie funktioniert eigentlich die Neighbour Discovery? | ||
+ | ** https://blog.apnic.net/2019/10/18/how-to-ipv6-neighbor-discovery/ | ||
+ | |||
Adressen und -vergabe | Adressen und -vergabe | ||
+ | * IPv6 ohne Router / einfach zwei Geräte direkt zusammen klemmen. Geht das einfach? Wie ist das umgesetzt? Muss ich Dinge beachten und vorbereiten? Gibt es Automatismen damit Geräte direkt miteinander arbeiten können? | ||
+ | ** Link Local - https://en.wikipedia.org/wiki/IPv6_address#Special_addresses | ||
+ | ** Testen mit "ping -I fe80:....." | ||
+ | ** Test: pingt euch gegenseitig an | ||
* DHCP unter IPv6, sind da Dinge anders? Muss ich was beachten was statische / dynamische IPs angeht? Gibt es überhaupt noch statische IPs? Wie verwalte ich die Addressvergabe? | * DHCP unter IPv6, sind da Dinge anders? Muss ich was beachten was statische / dynamische IPs angeht? Gibt es überhaupt noch statische IPs? Wie verwalte ich die Addressvergabe? | ||
− | + | ** SLAAC https://en.wikipedia.org/wiki/IPv6#Stateless_address_autoconfiguration_(SLAAC) | |
+ | ** Stages for getting IPv6 https://blogs.infoblox.com/ipv6-coe/slaac-to-basics-part-1-of-2/ | ||
+ | ** Hintergründe zu SLAAC/DHCPv6/DNS: https://www.computerweekly.com/de/feature/Warum-IPv6-Netzwerke-DNS-Konfigurationsprobleme-verursachen | ||
+ | ** Android only support SLACC (NO DHCPv6!) https://www.nullzero.co.uk/android-does-not-support-dhcpv6-and-google-wont-fix-that/ | ||
* Woher bekomme ich eigentlich meine global einmalige IPv6-Adresse? - Kann ich mir IPv6-Adressbereiche dauerhaft privat reservieren (vermutlich unnötig)? | * Woher bekomme ich eigentlich meine global einmalige IPv6-Adresse? - Kann ich mir IPv6-Adressbereiche dauerhaft privat reservieren (vermutlich unnötig)? | ||
− | + | ** Präfix vom ISP | |
− | * | + | ** Hostanteil - es kommt drauf an |
+ | ** Consumer Anschlüsse wechseln i.d.R. das Präfix | ||
Zeile 41: | Zeile 63: | ||
* Wie zur Hölle soll ich mir diese Zahlen merken? | * Wie zur Hölle soll ich mir diese Zahlen merken? | ||
− | + | ** garnicht ;-D | |
+ | ** use DNS (it is needed!) | ||
* Firewalls und alles ohne NAT? Worauf muss ich achten? | * Firewalls und alles ohne NAT? Worauf muss ich achten? | ||
+ | ** Firewall ist für Zugriffsregelung zuständig. Alle Consumer Router verbieten per Default Zugriffe aus dem WAN ins LAN. | ||
+ | * Brauche ich wirklich kein NAT? | ||
+ | ** In 95% alle Fälle gibt es eine Lösung ohne NAT!!! Wie lösen andere das Problem? Es gibt viel zu lernen. | ||
Zeile 48: | Zeile 74: | ||
* Sind durch die Eindeutigkeit Geräte direkt im Netz erreichbar? (Geht so in die Firewall Ecke) | * Sind durch die Eindeutigkeit Geräte direkt im Netz erreichbar? (Geht so in die Firewall Ecke) | ||
− | + | ** Wenn man will, ja. I.d.R. nutzen Consumer Geräte nutzen temporär Privacy Extension - https://www.ipsidixit.net/2012/08/09/ipv6-temporary-addresses-and-privacy-extensions/ | |
* Wie erreiche ich Anonymität ohne NAT? | * Wie erreiche ich Anonymität ohne NAT? | ||
− | + | ** Privacy Extension (für Host-Anteil) | |
+ | ** Präfix? | ||
* Warum sollte ich wollen, dass mein Anschluss dauerhaft die gleiche, bekannte Adresse hat? Das ist doch ein Privacy-Problem, oder? | * Warum sollte ich wollen, dass mein Anschluss dauerhaft die gleiche, bekannte Adresse hat? Das ist doch ein Privacy-Problem, oder? | ||
+ | ** Wenn man Dienste betreibt. | ||
Zeile 57: | Zeile 85: | ||
* Wie komme ich mit IPv6 auf IPv4-only Netze? | * Wie komme ich mit IPv6 auf IPv4-only Netze? | ||
+ | ** Übersicht: https://en.wikipedia.org/wiki/IPv6_transition_mechanism | ||
+ | ** NAT64/DNS64 erklären | ||
+ | *** Vorteil: einfach | ||
+ | *** Nachteil: Problem, wenn IPs direkt im L7 Protokoll genutzt werden, z.B. SIP | ||
+ | ** DS-LITE bei Kabel Deutschland | ||
+ | ** Viele Provider nutzen 464XLAT | ||
+ | ** Browser: Happy Eyeballs - https://en.wikipedia.org/wiki/Happy_Eyeballs | ||
Zeile 62: | Zeile 97: | ||
* Kann ich komplett auf IPv4 verzichten mittlerweile, ohne Dienste nicht zu erreichen? | * Kann ich komplett auf IPv4 verzichten mittlerweile, ohne Dienste nicht zu erreichen? | ||
− | + | ** ausprobieren | |
* Welche Werkzeuge habe ich zum Debuggen? | * Welche Werkzeuge habe ich zum Debuggen? | ||
− | + | ** ping, traceroute, nslookup/dig/host, wget/curl, tcpdump/wireshark | |
* DNS für IPv6 festlegen? Einfach entsprechenden Record setzen und fertig? | * DNS für IPv6 festlegen? Einfach entsprechenden Record setzen und fertig? | ||
− | + | ** https://en.wikipedia.org/wiki/List_of_DNS_record_types#AAAA | |
* DNS Server unter IPv6, gibt es was zu beachten für die Auflösung? Stichwort Pi-Hole. | * DNS Server unter IPv6, gibt es was zu beachten für die Auflösung? Stichwort Pi-Hole. | ||
− | + | ** diskutieren... was ist hier gemeint? | |
* Gibt es Änderungen wie das eigentliche Routing abläuft, explizit unter Linux (iptables/nftables)? | * Gibt es Änderungen wie das eigentliche Routing abläuft, explizit unter Linux (iptables/nftables)? | ||
− | + | ** Nein. iptables/ip6tables | |
* Wer verwendet schon alles IPv6? | * Wer verwendet schon alles IPv6? | ||
− | + | ** Die Frage ist, wer nicht? | |
− | * Ok ich hab | + | ** 50% aller Google Anfragen in Dtl. sind bereits mit IPv6 - https://www.google.com/intl/en/ipv6/statistics.html |
− | + | * Ok ich hab OpenWRT und wie geht es nun los? Was kann schief gehen? | |
+ | ** Kommt IPv6 über WAN (uplink) an? Dann auf WAN Port IPv6 aktivieren. | ||
+ | ** Wenn auf WAN Netz größer /64, dann DHCPv6-PD (Prefix Delegation) nutzen. Dies verteilt Sub-Präfixe weiter. | ||
+ | ** Wenn auf WAN nur ein /64, dann NDP Proxy nutzen. Geht alles in OpenWrt zu konfigurieren. | ||
* Was ändert sich an Diensten? (FW, VPN, HTTP, ...) | * Was ändert sich an Diensten? (FW, VPN, HTTP, ...) | ||
+ | ** "nur" doppelter Aufwand wenn man IPv6+IPv4 unterstützen muss. Aber eigentlich wollen wir doch nur IPv6, oder? | ||
− | |||
− | |||
− | |||
Kosten IPv4 Adressen / Adressblöcke am freien Markt: https://www.ipv4.global/reports/ | Kosten IPv4 Adressen / Adressblöcke am freien Markt: https://www.ipv4.global/reports/ |
Aktuelle Version vom 3. November 2021, 20:36 Uhr
IPv6-Vortrag/Workshop von Martin am 30.09.2021 19:00-21:00
Ort:
- offline: Hackspace Rostock / Warnowufer 29, 18057, Rostock
- online: https://public.senfcall.de/hackspace-ipv6-workshop (Passwort: hackspace)
Notizen: https://pad.hack-hro.de/p/ipv6-vortrag-notizen
Teilnehmende:
Damit wir besser planen können, sagt uns bitte in welcher Form ihr eure Teilnahme plant:
- Martin (offline + online)
- Oyla (offline)
- Lars (online)
- Hannes (sehr wahrscheinlich) (online)
- Micha (off/online)
- Gerald (online)
- Paul (hoffentlich offline)
- Alex (offline)
- Rene (online/HacklaborSN)
- Jan (vermutlich offline)
- Torsten (offline)
- Mathias (online)
Themen
Notizen und Linksammlung zu https://pad.hack-hro.de/p/ipv6-vortrag
Grundlagen:
- https://en.wikipedia.org/wiki/IPv6
- Es gibt kein Broadcast! Es lebe Multicast!
- Gibt es auch ICMPv6?
- Ja, und es ist wichtiger geworden.
- ARP in IPv6 = Neighbour Discovery Protocol
- Wie funktioniert eigentlich die Neighbour Discovery?
Adressen und -vergabe
- IPv6 ohne Router / einfach zwei Geräte direkt zusammen klemmen. Geht das einfach? Wie ist das umgesetzt? Muss ich Dinge beachten und vorbereiten? Gibt es Automatismen damit Geräte direkt miteinander arbeiten können?
- Link Local - https://en.wikipedia.org/wiki/IPv6_address#Special_addresses
- Testen mit "ping -I fe80:....."
- Test: pingt euch gegenseitig an
- DHCP unter IPv6, sind da Dinge anders? Muss ich was beachten was statische / dynamische IPs angeht? Gibt es überhaupt noch statische IPs? Wie verwalte ich die Addressvergabe?
- SLAAC https://en.wikipedia.org/wiki/IPv6#Stateless_address_autoconfiguration_(SLAAC)
- Stages for getting IPv6 https://blogs.infoblox.com/ipv6-coe/slaac-to-basics-part-1-of-2/
- Hintergründe zu SLAAC/DHCPv6/DNS: https://www.computerweekly.com/de/feature/Warum-IPv6-Netzwerke-DNS-Konfigurationsprobleme-verursachen
- Android only support SLACC (NO DHCPv6!) https://www.nullzero.co.uk/android-does-not-support-dhcpv6-and-google-wont-fix-that/
- Woher bekomme ich eigentlich meine global einmalige IPv6-Adresse? - Kann ich mir IPv6-Adressbereiche dauerhaft privat reservieren (vermutlich unnötig)?
- Präfix vom ISP
- Hostanteil - es kommt drauf an
- Consumer Anschlüsse wechseln i.d.R. das Präfix
Was ändert sich grundlegend:
- Wie zur Hölle soll ich mir diese Zahlen merken?
- garnicht ;-D
- use DNS (it is needed!)
- Firewalls und alles ohne NAT? Worauf muss ich achten?
- Firewall ist für Zugriffsregelung zuständig. Alle Consumer Router verbieten per Default Zugriffe aus dem WAN ins LAN.
- Brauche ich wirklich kein NAT?
- In 95% alle Fälle gibt es eine Lösung ohne NAT!!! Wie lösen andere das Problem? Es gibt viel zu lernen.
Privacy & Erreichbarkeit
- Sind durch die Eindeutigkeit Geräte direkt im Netz erreichbar? (Geht so in die Firewall Ecke)
- Wenn man will, ja. I.d.R. nutzen Consumer Geräte nutzen temporär Privacy Extension - https://www.ipsidixit.net/2012/08/09/ipv6-temporary-addresses-and-privacy-extensions/
- Wie erreiche ich Anonymität ohne NAT?
- Privacy Extension (für Host-Anteil)
- Präfix?
- Warum sollte ich wollen, dass mein Anschluss dauerhaft die gleiche, bekannte Adresse hat? Das ist doch ein Privacy-Problem, oder?
- Wenn man Dienste betreibt.
Transitionstechnologien
- Wie komme ich mit IPv6 auf IPv4-only Netze?
- Übersicht: https://en.wikipedia.org/wiki/IPv6_transition_mechanism
- NAT64/DNS64 erklären
- Vorteil: einfach
- Nachteil: Problem, wenn IPs direkt im L7 Protokoll genutzt werden, z.B. SIP
- DS-LITE bei Kabel Deutschland
- Viele Provider nutzen 464XLAT
- Browser: Happy Eyeballs - https://en.wikipedia.org/wiki/Happy_Eyeballs
Allgemeines
- Kann ich komplett auf IPv4 verzichten mittlerweile, ohne Dienste nicht zu erreichen?
- ausprobieren
- Welche Werkzeuge habe ich zum Debuggen?
- ping, traceroute, nslookup/dig/host, wget/curl, tcpdump/wireshark
- DNS für IPv6 festlegen? Einfach entsprechenden Record setzen und fertig?
- DNS Server unter IPv6, gibt es was zu beachten für die Auflösung? Stichwort Pi-Hole.
- diskutieren... was ist hier gemeint?
- Gibt es Änderungen wie das eigentliche Routing abläuft, explizit unter Linux (iptables/nftables)?
- Nein. iptables/ip6tables
- Wer verwendet schon alles IPv6?
- Die Frage ist, wer nicht?
- 50% aller Google Anfragen in Dtl. sind bereits mit IPv6 - https://www.google.com/intl/en/ipv6/statistics.html
- Ok ich hab OpenWRT und wie geht es nun los? Was kann schief gehen?
- Kommt IPv6 über WAN (uplink) an? Dann auf WAN Port IPv6 aktivieren.
- Wenn auf WAN Netz größer /64, dann DHCPv6-PD (Prefix Delegation) nutzen. Dies verteilt Sub-Präfixe weiter.
- Wenn auf WAN nur ein /64, dann NDP Proxy nutzen. Geht alles in OpenWrt zu konfigurieren.
- Was ändert sich an Diensten? (FW, VPN, HTTP, ...)
- "nur" doppelter Aufwand wenn man IPv6+IPv4 unterstützen muss. Aber eigentlich wollen wir doch nur IPv6, oder?
Kosten IPv4 Adressen / Adressblöcke am freien Markt: https://www.ipv4.global/reports/