AA_hexagon-tunnel_sxc1044690_SergioRobertoBichara.jpg

© Sergio Roberto Bichara, sxc.hu

IPv6 in der Praxis

Tunnel bauen

Mit einer Handvoll Änderungen in wenigen Konfigurationsdateien machen Sie Ihr Netz samt Clients, Router und Webserver fit für die schöne neue IPv6-Welt.

Serie IPv6

Teil 1 IPv6-Grundlagen LU 01/2010, S. 84 http://www.linux-community.de/artikel/19917
Teil 2 IPv6-Tunneling LU 02/2010, S. 80 http://www.linux-community.de/artikel/20301

Nachdem der erste Teil der Serie die Grundlagen zu IPv6 vorgestellt hat, geht es nun also darum, Ressourcen über das neue Protokoll anzusprechen. Aktuelle Linux-Distributionen bringen IPv6-Support bereits von Haus aus mit. Dies gilt sowohl für die Kernel- als auch für die Applikationsseite. Benötigen Sie einen angepassten Kernel, so müssen Sie bei der IPv6-Konfiguration darauf achten, dass Sie alle notwendigen Module auswählen (Abbildung 1).

Für die Applikationen ist es entscheidend, dass die Skripte zur Initialisierung des Netzwerkes IPv6 unterstützen, was jedoch bei allen aktuellen Linux-Distributionen ohnehin funktioniert. Zusätzlich gibt es einige Werkzeuge, die bei der Administration eines IPv6-Systems helfen. Dazu zählt etwa iptables-ipv6, mit dessen Hilfe die IPv6-Erweiterung des Paketfilters gelingt. Ein Blick in die Paketverwaltung der verwendeten Distribution zeigt alle verfügbaren Tools.

Abbildung 1: Bei der Konfiguration eines angepassten Kernels müssen Sie die gewünschten IPv6-Module selbstständig auswählen.

Vorüberlegungen

Bevor Sie jetzt mit der Konfiguration der Netzwerkumgebung beginnen, gilt es erst einmal einige Überlegungen anzustellen: Möchten Sie lediglich auf Ressourcen im eigenen LAN zugreifen, oder wollen Sie die IPv6-Pakete auch in das globale Netz routen? Es gibt zwei gewichtige Gründe, diese Entscheidung bereits im Vorfeld zu treffen. Um die Pakete lediglich im eigenen Netzwerk zu transportieren, genügt eine eindeutige lokale Unicast-Adresse, eine sogenannte Unique Local Addresses (ULA).

Solche Adressen entsprechen den Adresskreisen für private IPv4-Adressen, wie etwa 192.168.0.0/24. Möchten Sie diese ULA selbstständig bestimmen, so steht hierfür der IPv6-Adressraum fd00::/7 zur Verfügung. Wollen Sie jedoch die IPv6-Pakete auch ausserhalb Ihres eigenen Netzwerks transportieren, so benötigen Sie zwingend eine eindeutige globale Unicast-Adresse. Solche Adressen beginnen üblicherweise mit dem Präfix 2000::/3.

Von wo bekommt man nun eine solche globale IPv6-Adresse? Dafür gibt es mehrere mögliche Antworten. Zum einen bieten viele Internet-Service-Provider ISPs bereits Support für IPv6 an, auf der anderen Seite existieren sogenannte Tunnel-Broker. Diese tunneln die IPv6-Pakete über IPv4-Pakete und befördern sie so in die IPv6-Welt. Einer der bekannteren Anbieter dieser Art heißt SixXS.

IPv6-Adressen beziehen

SixXS bietet neben dem Bezug von einzelnen IPv6-Adressen auch die Weiterleitung ganzer IPv6-Subnetze an. Somit lässt sich jeder Rechner im heimischen LAN mit einer öffentlich erreichbaren IPv6-Adresse versorgen. Das Tolle daran: Das funktioniert selbst dann, wenn die IPv4-Adresse des eigenen Tunnel-Endpunktes dynamisch zugewiesen ist und als NAT-Adresse für das lokale Netz dient.

Um nun an die begehrte IPv6-Adresse zu kommen, erstellen Sie als Erstes einen Account auf der SixXS-Webseite [1]. Im Anschluss können Sie dann direkt einen Tunnel mit eigenem Subnetz beantragen. Nach erfolgreicher Anmeldung und der Annahme des Antrags erscheinen die relevanten Daten auf der SixXS-Webseite (Abbildung 2).

Abbildung 2: Über die SixXS-Webseite können Sie ein ganzes IPv6-Subnetz beantragen.

Für den Aufbau des Tunnels benötigen Sie eine entsprechende Client-Software. SixXS bietet dazu das Tool Aiccu ("Automatic IPv6 Connectivity Client Utility") an. Sie laden es direkt von der SixXS-Webseite herunter [2]. Fedora-Benutzer installieren die Anwendung einfach mittels des Befehls yum install aiccu aus dem Standard-Software-Repository heraus.

In der Konfigurationsdatei etc/aiccu.conf tragen Sie dann den von SixXS erhaltenen Benutzernamen nebst Passwort und die entsprechende Tunnel-ID ein (Listing 1). Durch Aufruf von /etc/init.d/aiccu starten Sie die Anwendung und bauen so den Tunnel auf. Ein abschließender Ping auf die IPv6-Webseite von Google bestätigt die korrekte Funktionsweise des Tunnels (Abbildung 3).

Abbildung 3: Nach dem Start der Client-Anwendung baut diese den IPv6-Tunnel auf, und Sie erhalten eine globale IPv6-Adresse. Damit greifen Sie nun auf externe IPv6-Ressourcen zu.
Listing 1
# etc/aiccu.conf (Beispiel)
username TSQ5-SIXXS
password password
tunnel_id T24231
server tic.sixxs.net
protocol tic
ipv6_interface sixxs
verbose true
daemonize true
automatic true
requiretls false

Rufen Sie im Browser nun auch einmal die URL http://ipv6.whatismyv6.com auf. Als Ergebnis bekommen Sie Ihre von SixXS zugewiesene IPv6-Adresse angezeigt (Abbildung 4). Solange der Tunnel aktiv bleibt, kann man Sie nun unter dieser Adresse aus dem IPv6-Netz erreichen.

Abbildung 4: Über die Webseite http://ipv6.whatismyv6.com sehen Sie die IPv6-Adresse, mit der Sie im Internet unterwegs sind.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • Quick-and-Dirty-Tunnel mit SSH und Sshuttle
    Für den schnellen Zugriff von unterwegs auf private Daten ist ein VPN oft überdimensioniert. Das geniale kleine Tool Sshuttle dagegen durchtunnelt unsichere Netze auch ohne langwierige Vorbereitungen auf dem Server.
  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netze sind praktisch und gefährlich zugleich: Die eingebaute WEP-Verschlüsselung hält keinem Angreifer stand. Abhilfe schaffen zusätzliche Sicherheitsmaßnahmen bis hin zum verschlüsselten OpenVPN-Tunnel.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Brother Drucker DCP-J4120
Achim Zerrer, 09.12.2016 18:08, 0 Antworten
Hallo, ich wollte unter Leap 42.1 den Brother Drucker installieren und dazu das PPD- Datei vom do...
Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...