HINWEIS: Die nachfolgende Textzeile bitte nicht löschen. Diese Seite dient der Dokumentation des Workshops. Die Präsentationsinhalte sind unter dem Punkt Materialien verlinkt.

HINWEIS. Dies ist eine Vorlage, die du selbst ausfüllen musst. Dazu einfach den Text in (Klammern) durch entsprechenden Text ersetzen.

Info

Workshoptitel

IPv6 Workshop

Workshopleiter

Monomartin (Opennet)

Datum

31.08.2016

Beschreibung

Laut IETF ist IP nun gleichbedeutend mit IPv6 und v4 ist legacy. Trotzdem haben viele von uns (meist) nur Erfahrung mit dem alten Standard und migrieren nicht. Wir probieren etwas gegen die Vorurteile zu tun und handson die Unterschiede zu entmystifizieren

Materialien

Teil 1 - Vorurteile

Am 24.08.2016 hatten wir bereits eine nette kleine Q&A Runde, bei der wir auf verschiedene Mißverständnisse eingingen:

• "Jedes Gerät hängt mit dem "nackten Arsch im internet" und kann angegriffen werden!" -> Wie ohne NAT Sicherheit/Trennung LAN+WAN realisieren?

  • Adressierungsschema / Routing-policies hat eigentlich nix mit Sicherheit zu tun
  • pur über Bridging Firewall mit ibtables

• "Bin nun nicht mehr anonym ?"

  • ja IP wird (selbstständig) über MAC (NIC Hardware) mitgebildet
  • erstmal nur Präfix bleibt gleich (privacy extension), und auch mehrere Adressen je NIC möglich

• "Kein DHCP mehr?"

  • nun nicht mehr notwendig
  • stateless autoconfiguration basierend auf IP=MAC+Auffüllung, linklocal Adressen mit fe:80

• "Die Adressen kann sich doch keiner merken"

  • DNS ist king

• "Trotz dualstack etc. verkraften einige ältere Geräte und wichtige Software v6 noch nicht"

  • eigentlich nur noch embedded hardware bissel schwierig

  • FLOSS Tools keine (tm) Probleme bei (trotz fail2ban Probleme )

  • normalerweise Aushandlung (Dualstack über DNS prüfen, ...)

• "Subnetze, privates Routing, .... da steig ich bei v4 schon nicht durch und nun geht es wieder von vorne los!"

• "verschiedene dumme Schreibweisen!"

Weitere Ausreden kann man auch hier nachlesen: ipv6bingo.com

Teil 2 - Hands on

• 31.08.2016 ab 19:00 in der Lounge
• Martin hat einen IPv6 mit unserem Accesspoint realisiert

• mehr Adressen! -> (direkte) globale Kommunikation aller Geräte zumindest ermöglichen

• Altlasten entsorgen!

  • NAT (Netz von private Adressen -> (eine einzige) öffentliche Adresse) nicht mehr benötigt

  • dynDNS

  • ARP
  • broadcasts (wie bisher: letzte Adresse im Netz)
  • saubere Hierachie (z.B. Unternehmen und wenn sie fusionieren)
• Adressvergabe

  • "::" ist 0x0000, ":a:" ist 0x000a

  • localhost ist ::1

  • kleinstes Netz ist /64 (auf für SoHo)

  • fe80: ist für interne Kommunikation auf direktem Link (früher 169.254.x.x)

  • öffentliche Netze natürlich bei RIPE beantragt+vergeben

  • IPs werden selbst gewählt("stateless autoconfiguration"), nutzt IP-Netz-Prefix (von Router) und MAC, prüft vorher ob IP frei (an ff02::1)

  • (DHCP geht aber weiterhin, obwohl Autokonfiguration von DNS, NTP, ... auch direkt geht)
  • je Interface mehr als eine Adresse möglich!
• Transport
  • Multicast - Mehr spezielle Adressen erlauben bessere Vorfilterung von Zielen
  * ping6 erfordert Hilfe bei fe80

  adressen um zu wissen über welches Interface: ping6 -I wlan0 fe80::123

  • ip a del <ipv4> <if>

• Sicherheit
  • Firewall nun auf gesamten (public) IP-Bereich statt

  • MAC ist Bestandteil- > privacy extension aktivieren!

  • prefixe sollen eigentlich statisch sein -> Blöde, weil schon das alleine Identifikation ermöglicht (Haushalt, ...) -> z.B. Telekom macht trotzdem Zwangstrennung, aber nichts verbindlich

• weiteres Ökosystem

  • DNS: dig, nslookup, host zeigen IPv6 Support in AAAA Feldern

  • im Browser wie folgend eingegeben: "[ab::]"

  • Werkzeug der Wahl: "ip a" (und nicht mehr ifconfig!)

  • 6to4 kann Traffic in v4 einbetten
  • Nutzung ob v6 oder v4 clientseitig ist abhängig von Bibliotheken (leider)

  • IP schwer zu merken -> ihr wollt DNS (u.U. einfaches mDNS)

• common pitfaults

  • testen: http://testipv6.com

  • keine IPv6 Adresse: privacy extension muss ggF. bei Netzwerkkarte aktiviert werden

  • In Firefox deaktiviert: network.dns.disableIPv6

• DO IT! Noch mal durchlesen: https://de.wikipedia.org/wiki/IPv6