Erste Schritte mit IPv6

    Ab der SX-GATE Softwareversion 7.0 unterstützt das SX-GATE IPv6. Wir wollen Ihnen mit dieser Anleitung vorstellen, welche Arten von IPv6-Anbindungen es gibt, welche Möglichkeiten Sie haben, IPv6 zu nutzen und wie Sie diese konfigurieren.

    Arten von IPv6-Anbindungen

    Dual-Stack
    Besteht eine vollwertige IPv4- und IPv6-Verbindung zum Internet, spricht man von Dual-Stack.

    Dual-Stack mit Carrier-Grade-NAT (CGN)
    • Hier ist der IPv4-Zugang eingeschränkt. Der Provider weist dem SX-GATE lediglich eine interne IPv4-Adresse zu (typischerweise aus dem Netzwerkbereich 10.0.0.0/8). Ausgehende IPv4-Verbindungen laufen beim Provider über einen NAT-Router. Bei CGN ist es nicht möglich, aus dem Internet eine IPv4-Verbindung zum SX-GATE aufzubauen (z.B. für VPN).
    Dual-Stack Lite (DS-Lite)
    • Bei dieser Variante ist das SX-GATE ausschließlich über IPv6 ans Internet angebunden. Ausgehende IPv4-Verbindungen werden über IPv6 getunnelt, d.h. die IPv4-Pakete werden in IPv6-Pakete eingepackt. Das SX-GATE schickt diese Pakete zu einem speziellen Server beim Provider, dem Adress-Familiy-Transition-Router (AFTR). Dieser packt die IPv4-Pakete wieder aus, wendet NAT an und sendet die Pakete weiter ins Internet. Wie bei CGN ist es auch bei DS-Lite nicht möglich, aus dem Internet eine IPv4-Verbindung zum SX-GATE aufzubauen.
    • Damit DS-Lite funktioniert, muss DEFENDO die IPv6-Adresse des AFTR kennen. Die Adresse kann automatisch über DHCPv6 bezogen werden, aber auch eine statische Konfiguration ist möglich.
    • Die IPv4-Adresse des DEFENDO bei DS-Lite ist stets 192.0.0.2. Der AFTR verwendet die 192.0.0.1. Um doppeltes NAT zu vermeiden, sollten IPv4-Verbindungen aus dem LAN ohne NAT weitergeleitet werden.

    IPv6 Präfixe

    • An die Stelle der IPv4-Netzmaske und der IPv4-Netzwerkadresse treten bei IPv6 die Präfixlänge und das Präfix. Die Präfixlänge gibt die Anzahl der Bits an, die den Präfix bilden.
    • Sie kennen diese Schreibweise sicher auch schon von IPv4: Das Netzwerk 192.168.2.0/255.255.255.0 kann auch als 192.168.2.0/24 geschrieben werden, da die ersten 24 Bit die Netzwerkadresse ergeben (192.168.2.*). Da IPv4-Adressen aus 32 Bit bestehen, kann eine einzelne IP auch als z.B. 192.168.2.1/32 geschrieben werden. Eine IPv6-Adresse besteht aus 128 Bit, entsprechend lautet die Präfixlänge für eine einzelne IPv6-Adresse /128.
    • Die typische IPv6-Präfixlänge für ein Netzwerk ist /64.
    • Hinweis: Verwenden Sie niemals eine größere Präfixlänge als /64 für ein Netzwerk. Kleinere Präfixlängen wie z.B. /60 sind in Ordnung.
    • NAT ist bei IPv6 verpönt. Jedes Endgerät soll eine echte IPv6-Adresse erhalten und so potentiell direkt aus dem Internet angesprochen werden können. Den IPv6-Adressblock, den Sie vom Provider erhalten haben, müssen Sie daher auf Ihre internen Netze aufteilen.
    • Firmen und andere Organisationen erhalten von den Providern üblicherweise individuelle, fest zugewiesene Präfixe in der Größenordnung /48. Einwahlprovider vergeben eher /56. Wenn Sie diese Präfixe in /64-Netze unterteilen, können Sie so 65536 bzw. 256 unterschiedliche lokale Netze mit Adressen versorgen.
    • Weitere Information: Falls Sie vom Provider keinen statischen, individuellen IPv6-Präfix erhalten, können Sie in der Regel einen dynamischen IPv6-Präfix per DHCPv6 anfordern. Dieser Vorgang nennt sich Präfix-Delegation (PD).

    IPv6 Adress-Vergabe

    Statische Adress-Vergabe
    • Wie bei IPv4 konfigurieren Sie der jeweiligen Schnittstelle eine IPv6-Adresse, die Präfixlänge (typischerweise /64) und ggf. die Adresse des vorgelagerten Routers (Gateway).
    Zustandslose Adress-Vergabe (Stateless Address Autoconfiguration, SLAAC)
    • Jeder Router kann dem angeschlossenen Netzwerk IPv6-Präfixe zur zustandslosen Adressvergabe anbieten. Die Präfixe werden vom Router als Teil der sog. Router-Advertisement Pakete gesendet, über die der Router den Clients seine Dienste anbietet.
    • Bei der SLAAC suchen sich die Clients selbständig eine IPv6-Adresse innerhalb des Netzwerks aus. Die hinteren 64 Bit der IPv6-Adresse werden dabei entweder basierend auf der MAC-Adresse der Netzwerkkarte festgelegt, oder - bei aktivierter Privacy-Extension - zufällig gewählt. Vor Verwendung der IP wird selbstverständlich geprüft, ob die Adresse bereits vergeben ist.
    • Diese Art der Adress-Vergabe nennt sich zustandslos, da es keine zentrale Komponente gibt, die darüber Buch führt, welcher Client welche IP-Adresse verwendet.
    Stateful Address Configuration über DHCPv6
    • Um beeinflussen bzw. nachvollziehen zu können, welcher Client welche IPv6-Adresse erhält, können die Adressen über DHCPv6 vergeben werden. Wie bei IPv4 sind feste Zuordnungen möglich, es kann aber auch ein Adress-Bereich für die dynamische Vergabe festgelegt werden.
    • Anders als bei IPv4 lassen sich weder die Präfixlänge noch die Router-Adresse (Gateway) über DHCPv6 festlegen. Diese Informationen werden von den Routern über das Router-Advertisement bekanntgegeben.
    • Anders als bei IPv4 unterscheidet sich die IPv6-Adressvergabe bei unterschiedlichen Zugangstechnologien nicht. Sowohl bei Kabelmodem als auch bei ADSL kommen SLAAC und/oder DHCPv6 zum Einsatz.

    Aktivierung von IPv6 auf der Internet-Schnittstelle

    • Aktivieren Sie zunächst IPv6 im Menü "Module > Netzwerk > Einstellungen". Da ds SX-GATE üblicherweise als Router fungiert, werden Sie hier in der Regel den "Router-Modus" wählen.
    • Wechseln Sie dann in die jeweilige Schnittstelle und aktivieren Sie dort IPv6 indem Sie den "IPv6-Modus" festlegen. Bei statischer Adress-Vergabe konfigurieren Sie bitte auf dem Reiter (Tab) "IP-Adressen" die statische IPv6-Adresse sowie die Adresse des Gateways. Als Gateway-Adresse wird häufig eine sog. Link-Local-Adresse konfiguriert (beginnt mit "fe80:").
    • Verbindungen, die vom oder zum SX-GATE selbst aufgebaut werden, können nun bereits über IPv6 erfolgen. Dazu gehören insbesondere alle Verbindungen, die einen der SX-GATE Proxies nutzen. Es ist also nicht unbedingt erforderlich, auch im LAN IPv6 zu konfigurieren.

    Aktivierung von IPv6 auf der LAN-Schnittstelle (statischer Präfix)

    Zunächst soll das Vorgehen beschrieben werden, wenn Sie vom Provider einen eigenen, fest zugewiesenen IPv6-Adressblock erhalten haben. Die IPv6-Adressen sollen dabei direkt in der Konfiguration eintragen werden.
    • Soweit noch nicht geschehen, aktivieren Sie bitte zunächst IPv6 im Menü "Module > Netzwerk > Einstellungen".
    • Wechseln Sie nun in die jeweilige Schnittstelle und stellen Sie den "IPv6-Modus" auf "manuelle IP". Konfigurieren Sie auf dem Reiter (Tab) "IP-Adressen" die statische IPv6-Adresse des SX-GATEs.
    • Wenn die Clients im lokalen Netzwerk statisch konfiguriert werden sollen, ist nichts weiter einzustellen. Wechseln Sie ansonsten bitte auf den Reiter "IPv6 Router-Advertisement".
    • Falls Sie IPv6 nicht im kompletten Netzwerksegment auf einmal bereitsstellen wollen, haben wir mit dem Modus "per Unicast an einzelne Clients" die Möglichkeit geschaffen, Router-Advertisements ausschließlich an bestimmte Clients zu senden. Sofern Sie sich für diese Variante entscheiden, müssen Sie die Link-Local-Adressen der gewünschten Clients einzeln eingeben.
    • Ist eine zustandslose Adressvergabe gewünscht (SLAAC), geben Sie bitte den Präfix ein (passend zur IP-Adresse, die das SX-GATE auf dieser Schnittstelle erhalten hat).
    • Sollen IPv6-Adressen per DHCP vergeben werden, stellen Sie bitte "DHCPv6" auf "ja (M-Flag und O-Flag)". Wechseln Sie anschließend ins Menü "Module > DHCP" und konfigurieren Sie dort die IPv6-Parameter der entsprechenden Schnittstelle.
    • Starten Sie die Dienste "IPv6 Router Advertisement" und "DHCPv6-Server" falls benötigt.

    Aktivierung von IPv6 auf der LAN-Schnittstelle (dynamischer Präfix / statischer Präfix konfiguriert mit IP-Objekten)

    • Sofern Sie von Ihrem Provider kein fest zugewiesenes IPv6-Präfix erhalten haben, können Sie einen Präfix dynamisch anfordern. Diesen Präfix müssen Sie dann auf Ihre internen Netzwerke aufteilen. Zwar bleibt der Präfix meist konstant, kann sich aber jederzeit ändern.
    • Um dieser Dynamik in der Konfiguration Rechnung zu tragen, müssen Sie anstelle von direkt eingetragenen IP-Adressen Platzhalter verwenden. Dabei handelt es sich um Verweise auf Einträge des Menüs "Definitionen > IP-Objekte".
    • Weitere Information: Wir empfehlen die IPv6-Konfiguration mit Platzhaltern selbst wenn Sie vom Provider einen festen IPv6-Präfix erhalten haben sollten. Der Aufwand ist zwar zunächst höher, die Konfiguration ist dann aber leichter zu verstehen und zu warten.
    • Bei dynamischer Vergabe des IPv6-Präfixes aktivieren Sie bitte zunächst in der Konfiguration der Internet-Schnittstelle die IPv6-Präfixdelegation. Beispielsweise ist danach der auf der Schnittstelle "adsl0" erhaltene Präfix im Menü "Definitionen > IP-Objekte" unter "IPv6-PD/adsl0" zu finden.
    • Weitere Information: Der Eintrag "IPv6-PD/adsl0" bezieht sich nicht auf das Netzwerk zwischen der Schnittstelle adsl0 und dem Provider. Der in "IPv6-PD/adsl0" hinterlegte Präfix wird vielmehr vom Provider an das SX-GATE geroutet und muss vom SX-GATE an nachgelagerte (interne) Netze weiterverteilt werden.
    • Bei statisch vergebenem Präfix wählen Sie bitte das zur Internet-Schnittstelle passende IPv6-PD-Objekt (z.B. "IPv6-PD/eth1") und tragen Sie dort von Hand den Präfix ein.
    • Weitere Information: Die IPv6-PD-Objekte von Schnittstellen, die nicht mit dem Internet verbunden sind (z.B. das zur LAN-Schnittstelle gehörende Objekt "IPv6-PD/eth0"), sind üblicherweise ungenutzt.
    • Legen Sie nun für das LAN ein neues Objekt vom Typ "IPv6-Präfix" an (z.B. "ipv6/eth0-prefix"). Als "Routing-Präfix" wählen Sie das IPv6-PD-Objekt der Internet-Schnittstelle aus. Um das erste 64-Bit Netz auszuwählen, tragen Sie bitte als "Präfix / Teilnetz" den Wert "0:0:0:0::/64" ein (das zweite Netz wäre "0:0:0:1::/64", usw.). Angenommen der Routing-Präfix lautet 2001:db8:1::/48, so ergibt sich daraus das Netz "2001:db8:1:0::/64".
    • Für die SX-GATE LAN-Schnittstelle legen Sie dann ein weiteres Objekt, diesmal vom Typ "IPv6-Adresse" an (z.B. "ipv6/eth0-ip"). Als "Routing-Präfix" wählen Sie das zuvor angelegte Präfix-Objekt aus ("ipv6/eth0-prefix"). Unter "IP-Adresse / Schnittstellen ID" konfigurieren Sie die rechte Hälfte der IPv6-Adresse (64 Bit). Mit den Werten aus dem obigen Beispiel erhalten Sie z.B. mit dem Eintrag "::0:0:0:1" die Adresse 2001:db8:1:0:0:0:0:1 oder kurz 2001:db8:1::1.
    • Die weiteren Parameter konfigurieren Sie nun wie oben für den statischen Präfix beschrieben. Anstatt IPv6-Adressen einzutragen verwenden Sie jedoch die entsprechenden Objekte.
    Tags
    ipv6
    Veröffentlicht