Start  |  Impressum  |  Kontakt  |  Datenschutz  |  Disclaimer  |  AGB  |  Sitemap  

 
    advanced DynDNS service for professional use  
 
     
 
    

IPv6-Grundlagen



Mit DynAccess ist es möglich, dass Sie IPv6 ganz trivial nutzen können. Voraussetzung ist, dass Sie einen unserer Clients zur automatischen Account-Aktualisierung (oder gleichwertige Lösung) nutzen und den Unterschied zwischen IPv4 und IPv6 verstanden haben, um die notwendigen Konfigurationen durchführen zu können, so dass Sie IPv6 auch erfolgreich einsetzen können.


Es gibt kein NAT mehr!
Der wohl wesentliche Unterschied zwischen IPv4 und IPv6 ist, dass es kein NAT gibt!
Native Address Translation (NAT) wurde Mitte der 90-iger entwickelt, um der Adressknappheit von IPv4 zu begegnen. Es war nicht mehr notwendig, dass jeder PC eine eigene (öffentliche) IPv4 hat, möchte er sich im InterNet bewegen. NAT haben Sie bislang in der Form kennen gelernt, als dass Sie Ports in Ihrem Router freischalten und hierbei ein Ziel im LAN mit privaten IPs definieren können. Entwickelt wurde NAT jedoch für "die andere Richtung", dass Sie von verschiedenen Arbeitsplätzen gleichzeitig surfen und auf Proxy-Server (wie z.B. AVM KEN! oder WinGate) verzichten können.
Seit 1998 boomen die heute bekannten Router. dynDNS.org wurde 1999 entwickelt - DynAccess startete im Jahre 2000.


IPv6 ohne NAT? Wie spreche ich denn von Extern Ressourcen in meinem LAN an?
Bei IPv4 ist es so, dass Ihr Router eine öffentliche IP hat und durch PortForwarding Ressourcen im LAN mit privaten IPs (z.B. 192.168.1.10) ansprechbar sind. Sie können einmal Port 80 weiterleiten, um z.B. auf eine WebCam zu gelangen. Weitere Cams müssen über alternative Ports (z.B. 81, 82, ...) angesprochen werden, was nur bedingt praxistauglich ist.
Ports und TCP/UDP gibt es bei IPv6 nach wie vor. Es gibt aber kein NAT mehr. Vielmehr hat jeder Rechner eine öffentliche IPv6 Adresse. Sie können somit von Extern auf zig Webcams im LAN über Port 80 direkt zugreifen, da jede Webcam eine eigene öffentliche IPv6 hat.


Sind meine Rechner bei IPv6 nun gänzlich ungeschützt?
Die ersten Router mit NAT-Technik wurden auch in der Form beworben, als das man die Firewall in den Vordergrund rückte. Rechner im LAN konnten von Extern nicht direkt angesprochen werden, gab man Ports nicht explizit frei.
Bei IPv6 ist es nun ähnlich. Sie müssen explizit Ports freischalten, um von Extern auf LAN-Ressourcen zugreifen zu können. Der einzige Unterschied ist nun, dass Sie neben dem Port auch die zugehörige IPv6 definieren müssen, die direkt durchgeroutet wird. Sie können somit auf unbegrenzt viele Cams in Ihrem LAN direkt via Port 80 zugreifen.
Alles nicht explizit freigeschaltete wird von Ihrem Router geblockt. IPv6 ist somit nicht "gefährlicher" als IPv4.
Achtung beim Lancom-Router: Deaktivieren Sie die IPv6-Firewall mit nur einem Mausklick, sind alle IPv6-Ziele in Ihrem LAN von Extern erreichbar. Tip: Aktivieren Sie die Firewall und definieren explizit für jeden gewünschten Zugriff eine entsprechende "IPv6-Forwarding-Regel", so wie Sie es bei IPv6 über "Portforwarding" machen.

Kann man eine IPv4 in eine IPv6 umrechnen?
Nein - das ist nicht möglich. IPv4 und IPv6 sind 2 gänzlich unterschiedliche parallel existierende Welten, für die es keine "Umrechnung" gibt.


Tunnelbroker/Teredo
Um IPv6 zu einem besseren Start zu verhelfen, wurden Gateway-Dienste entwickelt, die jedem und überall unabhängig vom Carrier (InterNet-Provider) IPv6 ermöglicht(e). Hierzu zählen Techniken wie 6in4, 6over4, 6to4 und Teredo.
Das Ziel, IPv6 zu einer größeren Akzeptanz und schnelleren Verbreitung zu verhelfen, gelang hierdurch nicht wirklich. Teredo hat es Dank Microsoft zu einer größeren Verbreitung gebracht.
Eine Ende-Ende IPv6-Verbindung ist jedoch nur mit echtem IPv6, welches durch den Carrier bereit gestellt wird, möglich.


Wie sieht eine IPv6 aus? Was sind Präfix und Interface Identifier?
Im Gegensatz zur IPv4 sieht eine IPv6 anders aus - salopp gesagt. IPv4-Adressen erkennt man an 4 mit Punkten getrennten Zahlen, die jeweils Werte bis 255 annehmen können. Bei IPv6 hingegen sind es 8 4-er Gruppen, die mit Doppelpunkten getrennt werden.
Da die Zahl der möglichen IPv6-Adressen so derart groß ist, hat man sinnvolle Gruppierungen vorgenommen. Die erste Gruppierung, die wir hier sehr stark pauschalieren wollen, ist die von Präfix und Interface Identifier.

         2001:0db8:85a3:08d3:1319:8a2e:0370:7347

Der Präfix ist erste farbliche Part und der "Interface Identifier" der 2. Part. Beide Parts sind gleich lang, d.h. sie haben 4 4-er Gruppen. Als Wert kann eine 4-er Gruppe hexadezimale Zahlen zwischen 0000 und FFFF annehmen - dezimal gesprochen einen Wert zwischen 0 und 65536.

Fakt ist, dass jede Ihrer IPv6 in Ihrem LAN den gleichen Präfix hat. D.h. der Präfix beschreibt Ihren InterNet-Anschluss - vergleichbar mir Ihrer IPv4. Jeder Router auf der Welt hat einen unterschiedlichen und somit eindeutigen Präfix. Auf diesen Präfix haben Sie selber keinen Einfluss, da er von Ihrem InterNet-Provider vorgegeben wird.
Beim Interface Identifier hingegen haben Sie die freie Wahl. Jedes Ihrer Geräte können Sie einen eigenen Interface Identifier zuweisen. Vergleichbar ist dies, vergeben Sie im LAN private IPs aus dem Bereich 192.168.0.0/24. Hierdurch ist es möglich, dass die Interface Identifier weltweit nicht eindeutig sind, weil jeder in seinem LAN ein Gerät mit dem Interface Identifier 1319:8a2e:0370:7347 definieren kann. In Kombination von Präfix und Interface Identifier wird jede IPv6 jedoch eindeutig.
Die zur Verfügung stehenden möglichen Adressen ist derart hoch, dass jeder Mensch über 3 Milliarden unabhängige InterNet-Anschlüsse verfügen kann. Die Zahl der mögliche Interface Identifier ist identisch hoch, was in Kombination eine Zahl an mögliche IPv6 ergibt, dass man jedem Sandkorn aller Wüsten eine eigene IPv6 geben könnte.


Doppelter Doppelpunkt? ::?
IPv6-Adressen sind aufgrund ihrer Länge nicht sehr griffig. Es gibt Vereinfachungsregeln, wo man sich verständigt auf Nullen zu verzichten, ändert sich der Wert nicht.

         2001:0db8:85a3:08d3:1319:8a2e:0370:7347

ist identisch mit

         2001:db8:85a3:8d3:1319:8a2e:370:7347

Weitere Nullen dürfen jedoch nicht weggelassen werden, da sonst der Zahlenwert verändert werden würde. Bestehen ganze Blöcke aus Nullen, so können diese komplett weg gelassen werden und durch einen doppelten Doppelpunkt ersetzt werden. Gibt es jedoch mehrere Blöcke mit Nullen, muss man sich für einen Block entscheiden, der durch einen doppelten Doppelpunkt ersetzt werden soll, ansonsten nicht eindeutig ist, wie viele Nullen jeweils durch einen doppelten Doppelpunkt ersetzt wurden.

Identisch sind   2001:0db8:85a3:0000:0000:0000:0370:7347    und    2001:db8:85a3::370:7347

2 Doppelpunkte können somit gleichzeitig Nullen aus Präfix und Interface Identifier ersetzen.


Netzmasken wie z.B. /56 oder /64?
Der Begriff der Netzmaske war uns schon zu IPv4-Zeiten geläufig. Private Netze wurden mit 192.168.0.0/24 oder 192.168/24 bezeichnet. Die /24 gibt an, wie viele Bits von einem Netz festgeschrieben, d.h. identisch sind. Eine IPv4 besteht aus 4 Blöcken zu je 8 Bits. 24 Bits, d.h. 3 Blöcke sind festgeschrieben. Man könnte auch schreiben: 192.168.0.x - d.h. ein /24-Netz besteht aus 256 IP-Nummer. Im Volksmund sagt man hierzu gelegentlich Class C Netz.
Obwohl die CIDR-Notation bereits 1993 eingeführt wurde, also zu einem Zeitpunkt wo das InterNet noch Dienste wie Gopher kannte, was wiederum 95% aller Leser dieses Satzes nicht mehr kennen (Gopher ist der Vorgänger von Google), halten sich Begriffe wie Class C bis heute.

IPv6 greift zur Beschreibung von Netzen ebenfalls auf CIDR zurück. Bei IPv6 ist nur der Vorteil, dass der Adressraum so groß ist, dass wir auf komplexes Subnetting verzichten können. Subnetting ist, wenn wir wie bei IPv4 nicht in /8, /16 oder /24 Dimensionen denken, sondern mathematisch nicht unbegabt sein sollten, gehen wir mit Teilnetzen wie /25, /26 oder /27 um.
CIDR wurde 1993 für IPv4 eingeführt, um Netze (d.h. IP-Kreise) kleiner zu gestalten, um die Zahl der IPs besser auszunutzen. Zusammen mit NAT war CIDR eine Entwicklung, um das Ende von IPv4 hinauszuzögern und um die Übergangszeit von IPv6 zu verlängern. IPv6 wurde nämlich schon 1995 entwickelt - d.h. vor über 20 Jahren und zu einer Zeit, wo es weniger als 10.000 .de-Domains gab.

Das Präfix aus unserem Beispiel lautet 2001:0db8:85a3:08d3. Ganz korrekt geschrieben lautet es 2001:0db8:85a3:08d3/64, denn das Präfix beschreibt ein Netz, wo die ersten 64 Bits der IPv6 festgeschrieben sind.
Für Provider sind Netzmasken von weniger als /64 (d.h. /56, /48, /32 oder /16) von Interesse. Die IANA (die Herrscherin über die IPs) hat /12 bzw. /16 große Netze an die untergeordneten Organisationen wie RIPE NCC, ARIN, APNIC, LACNIC und AFRINIC vergeben. Das RIPE NCC ist in Europa dafür zuständig an seine Mitglieder (i.d.R. InterNet-Service Provider) IPv6 Netze zu vergeben. Diese Netze, die die Provider erhalten, sind id.R. /32 groß. Kunden von diesen Providern, die nicht RIPE-Mitglied sind, erhalten id.R. Netze der Größe /48 zugeteilt.
Die Vergabe erfolgt streng hierarchisch.
Endkunden erhalten bei Ihrer InterNet-Einwahl nun i.d.R. ein /56-Netz - d.h. 8 weitere Bits zur freien Verfügung. Üblich sind /60 Netze.

Man kann nun vereinfacht sagen, dass die erste Hälfte der IPv6-Adresse den DSL-Router und den Anschluss beschreibt und die 2. Hälfte frei definierbar ist. Das gilt, stellt Ihnen Ihr Provider ein /64 Netz bereit. Erhalten Sie jedoch ein /60, /56 oder gar /52 oder /48 Netz, erhalten Sie weitere Bits zur freien Konfiguration.


IPv6-Konfiguration im LAN
Bei IPv4 hat man die Wahl - statische IPs oder DHCP. Admins, die Ihr Netz strukturiert haben, schwören auf die statische IP-Konfiguration. Bei IPv6 ist dies ausdrücklich auch möglich.
Bei IPv6 macht uns die Stateless Address Autoconfiguration (SLAAC) das Leben deutlich leichter. SLAAC sorgt dafür, dass Sie im LAN über Local Scope Adressen per IPv6 lokal kommunizieren können. Jeder Client erzeugt sich seine IPs selbständig. Findet sich im LAN ein Router, erzeugen sich die Clients auch dank des Router-Advertisement eine globale IPv6-Adresse (Global Scope).
SLAAC sorgt dafür, dass Sie sich um die Präfixkonfiguration nicht kümmern brauchen. Sie müssen in der DHCPv6-Konfiguration somit auch kein Präfix vorgeben, wollen Sie nicht zwingend eine "Stateful" Address Configuration durchführen.
DHCPv6 sorgt lediglich für die weitere Verteilung von DNS- und Gateway-Informationen.
Fazit: Sollten Sie überrascht sein, dass eine IPv6-Konfiguration im LAN automatisch erfolgt ist, danken Sie den weitsichtigen IPv6-Designern, die uns das Leben vereinfachen wollten.


Privacy Extensions
Der Datenschutz-sensible Leser wird bereits festgestellt haben, dass anonymes Surfen der Vergangenheit angehören könnte, da jeder Computer über den Interface Identifier sehr einfach identifizierbar sein würde. Auch wenn diese Interface Identifier nicht eindeutig (da frei wählbar) sind, so ist dennoch die Chance recht hoch, dass es nur selten 2 identische Suffixe gibt.
So ist bislang ein großer Vorteil der dynamischen IPv4 gegenüber der statischen.

Die Lösung dieses Problems heißt Privacy Extensions. Jeder Client, d.h. jeder Computer gibt sich in relativ kurzem Zeitinterval regelmäßig ein neues Suffix (Interface Identifier), um die Anonymisierung "etwas" zu verbessern.


MAC-basierte IPv6 für den Zugriff von Extern
Wir haben gelernt, dass die IPv6 eines Clients sich Dank "SLAAC" und "Privacy Extensions" häufig ändert. Dies verhindert nur das das Ansprechens eines Clients von Extern.
Die Lösung wäre, für Clients, auf die von Extern zugegriffen werden soll, mit einer statischen IPv6-Konfiguration zu versorgen. Genau dies ist bereits vorbereitet, ohne dass Sie es konfigurieren müssen.
Jeder Client ist über eine IPv6 erreichbar, die sich von seiner weltweit eindeutigen MAC-Adresse ableiten lässt.
Da MAC-Adressen jedoch eine Länge von 48 Bit haben, der Interface Identifier jedoch 64 Bit hat, erhält der Interface Identifier 16 zusätzliche Bit, woran eine entsprechende Adresse auch leicht zu erkennen ist.
Vereinfacht gesagt, wird die MAC-Adresse in der Mitte halbiert, "fffe" in der Mitte eingefügt und nach dem Invertieren des 7. Bit Doppelpunkte für die IPv6-Notation gleichmäßig verteilt.
Beispiel: 2001:0db8:85a3:0000: ba27:ebff:fe16:de57

    
 

AIScms © by Ambos InterNet-Solutions e.K. in 2016