Vortrag hackspace IPv6
Aus Opennet
Version vom 3. November 2021, 20:36 Uhr von Leo (Diskussion | Beiträge)
IPv6-Vortrag/Workshop von Martin am 30.09.2021 19:00-21:00
Ort:
- offline: Hackspace Rostock / Warnowufer 29, 18057, Rostock
- online: https://public.senfcall.de/hackspace-ipv6-workshop (Passwort: hackspace)
Notizen: https://pad.hack-hro.de/p/ipv6-vortrag-notizen
Teilnehmende:
Damit wir besser planen können, sagt uns bitte in welcher Form ihr eure Teilnahme plant:
- Martin (offline + online)
- Oyla (offline)
- Lars (online)
- Hannes (sehr wahrscheinlich) (online)
- Micha (off/online)
- Gerald (online)
- Paul (hoffentlich offline)
- Alex (offline)
- Rene (online/HacklaborSN)
- Jan (vermutlich offline)
- Torsten (offline)
- Mathias (online)
Themen
Notizen und Linksammlung zu https://pad.hack-hro.de/p/ipv6-vortrag
Grundlagen:
- https://en.wikipedia.org/wiki/IPv6
- Es gibt kein Broadcast! Es lebe Multicast!
- Gibt es auch ICMPv6?
- Ja, und es ist wichtiger geworden.
- ARP in IPv6 = Neighbour Discovery Protocol
- Wie funktioniert eigentlich die Neighbour Discovery?
Adressen und -vergabe
- IPv6 ohne Router / einfach zwei Geräte direkt zusammen klemmen. Geht das einfach? Wie ist das umgesetzt? Muss ich Dinge beachten und vorbereiten? Gibt es Automatismen damit Geräte direkt miteinander arbeiten können?
- Link Local - https://en.wikipedia.org/wiki/IPv6_address#Special_addresses
- Testen mit "ping -I fe80:....."
- Test: pingt euch gegenseitig an
- DHCP unter IPv6, sind da Dinge anders? Muss ich was beachten was statische / dynamische IPs angeht? Gibt es überhaupt noch statische IPs? Wie verwalte ich die Addressvergabe?
- SLAAC https://en.wikipedia.org/wiki/IPv6#Stateless_address_autoconfiguration_(SLAAC)
- Stages for getting IPv6 https://blogs.infoblox.com/ipv6-coe/slaac-to-basics-part-1-of-2/
- Hintergründe zu SLAAC/DHCPv6/DNS: https://www.computerweekly.com/de/feature/Warum-IPv6-Netzwerke-DNS-Konfigurationsprobleme-verursachen
- Android only support SLACC (NO DHCPv6!) https://www.nullzero.co.uk/android-does-not-support-dhcpv6-and-google-wont-fix-that/
- Woher bekomme ich eigentlich meine global einmalige IPv6-Adresse? - Kann ich mir IPv6-Adressbereiche dauerhaft privat reservieren (vermutlich unnötig)?
- Präfix vom ISP
- Hostanteil - es kommt drauf an
- Consumer Anschlüsse wechseln i.d.R. das Präfix
Was ändert sich grundlegend:
- Wie zur Hölle soll ich mir diese Zahlen merken?
- garnicht ;-D
- use DNS (it is needed!)
- Firewalls und alles ohne NAT? Worauf muss ich achten?
- Firewall ist für Zugriffsregelung zuständig. Alle Consumer Router verbieten per Default Zugriffe aus dem WAN ins LAN.
- Brauche ich wirklich kein NAT?
- In 95% alle Fälle gibt es eine Lösung ohne NAT!!! Wie lösen andere das Problem? Es gibt viel zu lernen.
Privacy & Erreichbarkeit
- Sind durch die Eindeutigkeit Geräte direkt im Netz erreichbar? (Geht so in die Firewall Ecke)
- Wenn man will, ja. I.d.R. nutzen Consumer Geräte nutzen temporär Privacy Extension - https://www.ipsidixit.net/2012/08/09/ipv6-temporary-addresses-and-privacy-extensions/
- Wie erreiche ich Anonymität ohne NAT?
- Privacy Extension (für Host-Anteil)
- Präfix?
- Warum sollte ich wollen, dass mein Anschluss dauerhaft die gleiche, bekannte Adresse hat? Das ist doch ein Privacy-Problem, oder?
- Wenn man Dienste betreibt.
Transitionstechnologien
- Wie komme ich mit IPv6 auf IPv4-only Netze?
- Übersicht: https://en.wikipedia.org/wiki/IPv6_transition_mechanism
- NAT64/DNS64 erklären
- Vorteil: einfach
- Nachteil: Problem, wenn IPs direkt im L7 Protokoll genutzt werden, z.B. SIP
- DS-LITE bei Kabel Deutschland
- Viele Provider nutzen 464XLAT
- Browser: Happy Eyeballs - https://en.wikipedia.org/wiki/Happy_Eyeballs
Allgemeines
- Kann ich komplett auf IPv4 verzichten mittlerweile, ohne Dienste nicht zu erreichen?
- ausprobieren
- Welche Werkzeuge habe ich zum Debuggen?
- ping, traceroute, nslookup/dig/host, wget/curl, tcpdump/wireshark
- DNS für IPv6 festlegen? Einfach entsprechenden Record setzen und fertig?
- DNS Server unter IPv6, gibt es was zu beachten für die Auflösung? Stichwort Pi-Hole.
- diskutieren... was ist hier gemeint?
- Gibt es Änderungen wie das eigentliche Routing abläuft, explizit unter Linux (iptables/nftables)?
- Nein. iptables/ip6tables
- Wer verwendet schon alles IPv6?
- Die Frage ist, wer nicht?
- 50% aller Google Anfragen in Dtl. sind bereits mit IPv6 - https://www.google.com/intl/en/ipv6/statistics.html
- Ok ich hab OpenWRT und wie geht es nun los? Was kann schief gehen?
- Kommt IPv6 über WAN (uplink) an? Dann auf WAN Port IPv6 aktivieren.
- Wenn auf WAN Netz größer /64, dann DHCPv6-PD (Prefix Delegation) nutzen. Dies verteilt Sub-Präfixe weiter.
- Wenn auf WAN nur ein /64, dann NDP Proxy nutzen. Geht alles in OpenWrt zu konfigurieren.
- Was ändert sich an Diensten? (FW, VPN, HTTP, ...)
- "nur" doppelter Aufwand wenn man IPv6+IPv4 unterstützen muss. Aber eigentlich wollen wir doch nur IPv6, oder?
Kosten IPv4 Adressen / Adressblöcke am freien Markt: https://www.ipv4.global/reports/