tutorial: ipv6 im gewachsenen lan - heise online
TRANSCRIPT
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Tutorial: IPv6 im gewachsenen LANund eigentlich auch sonst uberall ...
Bernhard Schmidt
[email protected]@teleport-iabg.de
21. Mai 2010
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Eigenvorstellung
aktiv in der IPv6-Welt seit Mitte 2001Einfuhrung und produktiver Betrieb von IPv6 bei mehrerennationalen Providernaktuell:
Student Informatik an der LMU MunchenNetzplanung am Leibniz-RechenzentrumNetzdesign und -betrieb des IABG Teleportsfreiberuflicher BeraterSixXS Oper...
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Agenda
Der BeginnVorarbeitenAddressplanwichtige Entscheidungen
Das NetzRouter / BackboneSicherheit
BetriebssystemeApplikationen
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Ziel dieses Vortrags
Ausrollen von IPv6 ist machbarGedankenanstoßeErfahrungsaustausch
IPv6 ist keine Magie
Ich bitte um rege Diskussion
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Ziel dieses Vortrags
Ausrollen von IPv6 ist machbarGedankenanstoßeErfahrungsaustausch
IPv6 ist keine Magie
Ich bitte um rege Diskussion
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Das LRZ als Beispiel
gegrundet 1962 durch die “Kommission fur elektronischesRechnen”gemeinsames Rechenzentrum derLudwig-Maximilians-Universitat Munchen, der TechnischenUniversitat Munchen und der Bayerischen Akademie derWissenschaftenweitere Kunden sind die Hochschule Munchen (HM),Hochschule Weihenstephan-Triesdorf (HWST), DeutschesHerzzentrum Munchen, Hochschule fur Film- undFernsehen und viele weitere80.000 Studenten und 26.000 Mitarbeiter derEinrichtungen
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Das LRZ als Beispiel (cont.)
150 MitarbeiterBetrieb des Munchner Wissenschaftsnetzes
60 Standorte (440 Gebaude) im Großraum Munchengut 1000 Switches, 1300 Accesspoints65000 verbundene Systeme - Anbindung bis zur Dose
Zentrale IT-Dienste fur die UniversitatenMail, DNS, Webserver, Directory, Speicherplatz, Firewalls...
HochleistungsrechnenBundeshochstleistungsrechner HLRB IIverschiedene Rechen-Cluster fur Bayerische undMunchner Einrichtungen
Forschung
Mischung aus Provider- und Enterprise-Netz
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Ausgangssituation November 2004
sternformige Topologie mit 10GE-Links12 Cisco Catalyst 6509 mit Sup720OSPFv2 als IGP, BGP-Multihoming mit dem DFN undM-net
kein nennenswertes IPv6!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Ausgangssituation November 2004
sternformige Topologie mit 10GE-Links12 Cisco Catalyst 6509 mit Sup720OSPFv2 als IGP, BGP-Multihoming mit dem DFN undM-net
kein nennenswertes IPv6!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
DFN
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Testnetz
kein IPv6 im G-WiN (DFN) verfugbaraber: 6WiN-Projekt von JOIN (Uni Munster)Labornetz
Spare-Router als IPv4-Host in einem TestnetzIPv6-in-IPv4 Tunnel zum 6WiN-Router in Erlangenerste Tests (ping6, traceroute6, “Dancing Turtle”) vondedizierten Hosts, direkt am Testrouter angeschlossenbestehende Infrastruktur wird nicht verandert (keinDualstack im Netz)
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Testnetz
Organisatorisch (Vortrage und Schulungen):Lobbyarbeit“Was wird passieren?”PrivacybedenkenEinweisung der fur das Netz zustandigen Mitarbeiter
Technisch:Dual-Stack Betrieb in einzelnen VLANs durch dediziertenIPv6-Routervorerst mit deaktiviertem SLAAC (manuelle Konfiguration)ausgewahlte Dienste bekommen IPv6
Mitarbeiternetz bekommt IPv6!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Testnetz
Organisatorisch (Vortrage und Schulungen):Lobbyarbeit“Was wird passieren?”PrivacybedenkenEinweisung der fur das Netz zustandigen Mitarbeiter
Technisch:Dual-Stack Betrieb in einzelnen VLANs durch dediziertenIPv6-Routervorerst mit deaktiviertem SLAAC (manuelle Konfiguration)ausgewahlte Dienste bekommen IPv6Mitarbeiternetz bekommt IPv6!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
DFN
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
DFN
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
DFN
M-net
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
externer Adressbereich
Verschiedene Optionen fur den globalen AddressbereichNutzung eines PA-Assignments (/48 oder großer) desUpstreamsBGP-Multihoming mit dem PA-Assignment“Wir sind Endnutzer”: Nutzung eines PIv6-Assignments(/48 oder großer) und Multihoming“Wir sind ISP”: RIPE-Mitgliedschaft (LIR), Nutzung einerPA-Allocation (/32) und Multihoming
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Am LRZ:PIv6 stand 2005 noch nicht zur VerfugungEntscheidung fur RIPE-Mitgliedschaft im Marz 2005Papierkrieg bis Ende MaiEinsenden des Antragsformulars am 24. Mai 2005Zuweisung von 2001:4ca0::/32 durch RIPE eine Stundespater
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
interner Adressbereich
extern = intern
extern =! intern (ULA – RFC 4193)1:1 NAT (NAT66)ALG in der DMZglobale Adresse routen/tunneln
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP
2001:db8:1234::/48
Intranet
2001:db8:1234::/48
2001:db8:1234:1::abcdRoutende
Firewall
extern = intern
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP
2001:db8:1234::/48
Intranet
fc01:2345:6789::/48
fdc01:2345:6789:1::abcd
???
extern != intern
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP
2001:db8:1234::/48
Intranet
fc01:2345:6789::/48
fdc01:2345:6789:1::abcdFirewall
mit 1:1 NAT
NAT66 (2001:db8:1234::/48 ⇔ fc01:2345:6789::/48)
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP
2001:db8:1234::/48
Intranet
fc01:2345:6789::/48
fdc01:2345:6789:1::abcd
Proxyserver
ALG / Proxyserver
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP
2001:db8:1234::/48
Intranet
fc01:2345:6789::/48
fdc01:2345:6789:1::abcd
+ 2001:db8:1234:1::abcdFirewall/VPN
Public IP
globale Adresse routen/tunneln
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Subnet
Vergabe der Subnetz-ID (16-32 Bit) aufgrund mehrererVerfahren:
basierend auf Layer2-Informationen (z.B. 802.1q VLAN-ID)basierend auf Layer3 IPv4-Adressenbasierend auf geographischem oder (netz)topologischemStandortbasierend auf Organisationsstruktur
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Addressplan
IPv4-Denken ablegenLucken und dunne Ausnutzung sind normalnicht ubertreiben, nicht zu einfach machenPlatz fur spatere Erweiterungen lassen
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
2001:4CA0:****::/32 MWN2001:4CA0:0***::/36 sonstiges2001:4CA0:0000::/48 LRZ2001:4CA0:01**::/40 Housing fuer Fremdprojekte2001:4CA0:0100::/48 kde.org2001:4CA0:0103::/48 M94.52001:4CA0:02**::/40 Studentenwohnheime Studentenwerk2001:4CA0:0200::/48 Studentenwohnheim StuSta2001:4CA0:03**::/40 Studentenwohnheime andere2001:4CA0:0300::/48 Studentenwohnheim Ottonia2001:4CA0:0301::/48 Studentenwohnheim Spanisches Kolleg2001:4CA0:2***::/36 TUM2001:4CA0:20**::/40 IN Informatik (csr1-kw5 Vlan54)2001:4CA0:21**::/40 MA Mathematik (csr1-kw5 Vlan54)2001:4CA0:22**::/40 EI Elektrotechnik2001:4CA0:2201::/48 LDV Lehrstuhl fuer Datenverarbeitung2001:4CA0:2202::/48 ISAR Lehrstuhl fur Reaktordynamik und Reaktorsicherheit2001:4CA0:2203::/48 LKN Lehrstuhl fuer Kommunikationsnetze2001:4CA0:2204::/48 Lehrstuhl fuer Hochspannungs- und Anlagentechnik2001:4CA0:23**::/40 MW Maschinenwesen2001:4CA0:2301::/48 TD Thermodynamik2001:4CA0:2302::/48 LFE Lehrstuhl fuer Ergonomie2001:4CA0:2F**::/40 Zentrale Einrichtungen2001:4CA0:3***::/36 TUM - reserviert fur weiteren Bedarf
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
2001:4CA0:4***::/36 LMU2001:4CA0:40**::/40 IN Informatik2001:4CA0:41**::/40 PH Physik2001:4CA0:4101::/48 USM Uni-Sternwarte2001:4CA0:4102::/48 MLL Maier-Leibnitz Labor2001:4CA0:4F**::/40 Zentrale Einrichtungen2001:4CA0:4F01::/48 CIS - Centrum fur Informations- und Sprachverarbeitung2001:4CA0:4F02::/48 Studentischer Sprecherrat2001:4CA0:4F03::/48 GAF - Gruppe Aktiver FachschafterInnen (Fachschaft Info/Mathe/Physik)2001:4CA0:5***::/36 LMU - reserviert fur weiteren Bedarf2001:4CA0:6***::/36 HM - Hochschule Munchen2001:4CA0:7***::/36 HW - Hochschule Weihenstephan
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
2001:4CA0:0000:****::/48 LRZ-Bereich2001:4CA0:0000:00**::/56 LRZ-Backbone2001:4CA0:0000:0000::/64 Router Loopbackadressen2001:4CA0:0000:0001::/64 Backbone-Transfernetz Vlan9982001:4CA0:0000:01**::/56 Server2001:4CA0:0000:0100::/64 Server Loopback-Adressen und Anycast (diverse)2001:4CA0:0000:0101::/64 10er Netz (vss1-2wr Vlan60)2001:4CA0:0000:0103::/64 LRZ DMZ (csr1-2wr Vlan6)2001:4CA0:0000:01FE::/64 VMware-SLB-Netz (10.156.5.0/24, hinter F5-Loadbalancern)2001:4CA0:0000:01FF::/64 SLB-Netz (10.155.5.0/24, hinter F5-Loadbalancern)2001:4CA0:0000:02**::/56 HLS (HLRB, Grid, Cluster)2001:4CA0:0000:0200::/64 Hauptnetz (swy1-2wr Vlan67)2001:4CA0:0000:0201::/64 LCG - HEP GRID DMZ (swy1-2wr Vlan5)2001:4CA0:0000:0202::/64 Testnetz (swy1-2wr VLAN 29)2001:4CA0:0000:03**::/56 BDS2001:4CA0:0000:0300::/60 ADS2001:4CA0:0000:08**::/56 Management-Netze (Switches, Accesspoints)2001:4CA0:0000:08xy::/64 [ x = Bereich/Router, IDs wie bei 802.1x
y = sequentielle ID ]
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
2001:4CA0:0000:F***::/52 Clientnetze2001:4CA0:0000:F000::/64 LRZ-Mitarbeiternetz / 15er Netz (csr1-2wr Vlan23)2001:4CA0:0000:F010::/64 offentliche Benutzerarbeitsplatze (csr1-2wr Vlan3)2001:4CA0:0000:F2**::/56 802.1x WLAN2001:4CA0:0000:F200::/64 im Bereich WR/WL (csr1-2wr Vlan47)2001:4CA0:0000:F201::/64 im Bereich B (csr1-kb1 Vlan47)2001:4CA0:0000:F202::/64 im Bereich W (csr1-kw5 Vlan47)2001:4CA0:0000:F203::/64 im Bereich G (csr1-0gz Vlan47)2001:4CA0:0000:F205::/64 im Bereich R (csr1-kra Vlan47)2001:4CA0:0000:F206::/64 im Bereich Q (csr1-0q1 Vlan47)2001:4CA0:0000:F207::/64 im Bereich I (csr1-kic Vlan47)2001:4CA0:0000:F208::/64 im Bereich B 2. Router (csr2-kb1 Vlan47)2001:4CA0:0000:F210::/64 im Bereich ZC (bro2zc)2001:4CA0:0000:F3**::/56 Veranstaltungsnetze (gleiche Unteraufteilung wie 802.1x)2001:4CA0:0000:F8**::/56 Transfernetze, keinen Kunden zugeordnet (z.B. shared)2001:4CA0:0000:F800::/64 csr1-0gz Vlan9262001:4CA0:0000:FE**::/56 Sonstige Clientnetze im MWN2001:4CA0:0000:FE00::/64 ISATAP Anycast (10.156.33.6, csr1-kb1 Tunnel7)2001:4CA0:0000:FE1X::/64 Cisco AnyConnect VPN-Netze (FE1X auf asa5k0x)2001:4CA0:0000:FF**::/56 Testnetze
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Interface Identifier (Hostteil)
Stateless Address Autoconfiguration (SLAAC)stateful DHCPv6statische Konfiguration
linearbasierend auf IPv4-Informationen
198.51.100.123 = 2001:db8:1::192:51:100:123198.51.100.123 = 2001:db8:1::c033:647b =2001:db8:1::192.51.100.123198.51.100.123 = 2001:db8:1::123
basierend auf angebotenen Diensten2001:db8:1::53:1:1 = DNS1
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Router
Know your enemyCisco Catalyst 6500 Sup720
kein IPv6 uRPF (Anti-Spoofing) in HardwareTunnel brauchen lokal eindeutigen Endpunkt“ipv6 nd ra suppress” bedeutet nicht “kein RA”
Cisco Catalyst 3560IPv6 ACLs fur Hosts nur im EUI-64 Format
Cisco Nexus 7000SLAAC nicht abschaltbarbei Failover wird ein RA versendet
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Hostanbindung
native:wie gewohnt von IPv4Addressierung statisch, SLAAC oder DHCPv6 (siehe JensLink)Fehlende Sicherheitsfeatures in Layer2/Layer3-Equipmentmachen sich bemerkbar
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP Natives IPv6
2001:db8:1:1::/64
2001:db8:1:1:211:22ff:fe33:4455
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Redundanz
????
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Router AdvertisementR1:interface Vlan123
ipv6 address 2001:db8::1:1/64ipv6 nd ra interval 10ipv6 nd ra lifetime 30ipv6 nd router-preference High
R2:interface Vlan123ipv6 address 2001:db8::1:2/64ipv6 nd ra interval 10ipv6 nd ra lifetime 30
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
IPv6 Anycast
R1:interface Vlan123
ipv6 address 2001:db8::1:1/64ipv6 address 2001:db8::1/64 anycast
R2:interface Vlan123ipv6 address 2001:db8::1:2/64ipv6 address 2001:db8::1/64 anycast
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
HSRPv6R1:interface Vlan123
ipv6 address 2001:db8::1:1/64standby version 2standby ipv6 fe80::1standby priority 110standby preempt
R2:interface Vlan123ipv6 address 2001:db8::1:2/64standby version 2standby ipv6 fe80::1
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) –RFC 5214
automatischer Tunnel von IPv6 uber IPv4ahnlich zu 6to4
IPv4-Addresse in IPv6-Adresse kodiertstateless (einfache Redundanz der Relays)
aber:Addressraum des Betreibers, nicht 2002::/16findet das Relay uber DNS
Windows-Client: Implementation ab XPLinux-Client: Userspace-Daemon isatapd1
Relays auf Cisco, Linux, ???
1http://www.saschahlusiak.de/linux/isatap.htm
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP Natives IPv6
IPv6 in IPv4
20
01:d
b8
:1::5
efe
:0a
0a
:bb
bb
10.10.187.187
ISATAP - einzelnes Relay
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
ISP Natives IPv6
IPv6 in IPv4
20
01:d
b8
:1::5
efe
:0a
0a
:bb
bb
10.10.187.187
ISATAP - redundante Relays
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Transportnetze
meistens nur zwei Router in einem Transportnetzein /64 furchtbare Verschwendung?
NEIN
Es gibt allerdings andere Grunde ein kleineres Netz zukonfigurieren:
Neighbor Solicitations bei Scan auf Broadcast-MediumPing-Pong bei nicht-vergebener Adresse aufPunkt-zu-Punkt-Medium
Trotzdem /64 reservieren!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Transportnetze
meistens nur zwei Router in einem Transportnetzein /64 furchtbare Verschwendung? NEIN
Es gibt allerdings andere Grunde ein kleineres Netz zukonfigurieren:
Neighbor Solicitations bei Scan auf Broadcast-MediumPing-Pong bei nicht-vergebener Adresse aufPunkt-zu-Punkt-Medium
Trotzdem /64 reservieren!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Statistiken
Statistiken sind wichtigkeine expliziten Counter fur IPv6-Verkehr auf vielenPlattformen
Cisco: “show interface accounting” im CLI ... oder dochnicht?
Abhilfe: Seperate VLANs fur IPv4 und IPv6 im Backbone
R1 R2
Te1/1 Te1/1
Vlan 3001: Legacy IP
Vlan 3051: IPv6
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Routingprotokolle
Verfugbare Routingprotokolle fur IPv6:RIPngEIGRPOSPFv3IS-IS
single-topology und multi-topology
BGP
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Monitoring
“Seit wir IPv6 benutzen funktioniert xyz nicht mehr!” –schlechtMonitoring von Anfang an(Dienst-)Verfugbarkeit – NagiosLatenz und Paketverluste – SmokepingAußenanbindung nicht vergessen!
bestes Monitoring: selbst nutzen
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Monitoring
“Seit wir IPv6 benutzen funktioniert xyz nicht mehr!” –schlechtMonitoring von Anfang an(Dienst-)Verfugbarkeit – NagiosLatenz und Paketverluste – SmokepingAußenanbindung nicht vergessen!bestes Monitoring: selbst nutzen
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Firewalls
ICMP ist bose!
ICMP ist bose!ICMP-Filtern ist bose!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Firewalls
ICMP ist bose!
ICMP ist bose!ICMP-Filtern ist bose!
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Linux ip(6)tables
kein Connection-Tracking vor 2.6.20kein IPv6-NAT (auch nicht 1:1)Neighbor/Router solicitation ist INVALID (bis etwa 2.6.30)Hinweis: ferm2 als ip(6)tables-Wrapper
2http://ferm.foo-projects.org/
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
*BSD pf
keine Unterstutzung fur fragmentierte Pakete, Fragmentewerden geblocktCurrently, only IPv4 fragments aresupported and IPv6 fragments are blockedunconditionally.
kann IPv6 NAT und Redirect
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Cisco FWSM
IPv6-Unterstutzung seit Version 3.1auch mehrere Kontextekein Support in der Java GUI (ASDM) – auch nicht mehrauf der Roadmapnur eine Adresse pro InterfaceICMPv6 (und damit Neighbor Solicitation/Advertisement)standardmaßig geblockt
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Cisco ASA
IPv6 in der Java GUIIPv6-Unterstutzung als VPN-Server (AnyConnect)
dazu spater mehr
Failover mit 8.2(2)
nur eine Adresse pro InterfaceICMPv6 (und damit Neighbor Solicitation/Advertisement)standardmaßig geblockt
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Andere Erfahrungen (Juniper, Checkpoint...)?
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Rogue RA
Router Advertisement mit falschen Datenwie ein falscher DHCP-Server, nur schlimmer
mit Multicast an alle Rechnerkann nicht trivial uberschrieben werden
Windows mit aktiviertem ICS (Internet ConnectionSharing) und offentlicher IPv4-Addresse wird automatischzu 6to4-Host (gut) und zu IPv6-Router auf allenangeschlossenen Interfaces (ganz schlecht!)
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Rogue RA
Router Advertisement mit falschen Datenwie ein falscher DHCP-Server, nur schlimmer
mit Multicast an alle Rechnerkann nicht trivial uberschrieben werden
Windows mit aktiviertem ICS (Internet ConnectionSharing) und offentlicher IPv4-Addresse wird automatischzu 6to4-Host (gut) und zu IPv6-Router auf allenangeschlossenen Interfaces (ganz schlecht!)
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
IETF-Draft3 fur Filterung, aber noch nirgends implementiertteilweise Layer3-ACLs auf Switchessonstige Filterfunktionen (z.B. HP/Colubris pcap-Filter)Erkennen und Reagieren
ndpmon4
ramond5
3http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-04
4http://ndpmon.sf.net5http://ramond.sf.net
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Nachverfolgbarkeit von IPv6-Adressen
264 mogliche Adressen im SubnetzPrivacy Extensions
Losung:Tool (Nyx6) pollt alle Gerate und schreibt alleNeighbor-Eintrage der Router und alle MAC-Tabellen derSwitches in eine Datenbankerneut ndpmon
6http://nyx.sf.net
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
VPN - Cisco AnyConnect
Server auf IOS 12.4(9)T oder ASA5500 SerieTLS/DTLS (nicht IPsec)Cisco-Client fur Windows, Linux, MacOS XOpensource-Client fur *nix CLI (openconnect)Bugs
Fehler und Abbruch auf nicht-englischem Windows XPnach Verbindungsabbau gelegentlich normales IPv6 gestortpMTU-Discovery zum Client funktioniert nicht
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
VPN - OpenVPN
kein IPv6-Support in OpenVPNRA/DHCPv6 im Ethernet-Modus (tap)manuelle Konfiguration im Point-to-Point tun-Moduskein IPv6 im Point-to-Multipoint-Modus
IPv6-Transport-Patch von JuanJo Carliante7
IPv6-Payload-Patch von Gert Doring8
beide Patches im openvpn-testing git-Repository9
Binary-Pakete verfugbar
7http://github.com/jjo/openvpn-ipv68http://www.greenie.net/ipv6/openvpn.html9git://openvpn.git.sourceforge.net/gitroot/openvpn/
openvpn-testing.git
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
VPN - sonstige
⇒ ISATAP
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Linux generell
Konflikt zwischen /etc/sysctl.conf und Laden desModulsifconfig und route deprecated, bitte ip nutzensporadisch Probleme mit Offloading
man ethtoolsporadisch Probleme mit Multicast Filtern
ip link set eth0 allmulticast on
Netfilter-Einschrankungen – siehe FirewallsRacecondition beim Boot (IPv6-Addressen im Statustentative)
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
SuSE / SLES
Hostfirewall in Standardkonfiguration (SuSEFirewall), vorSLES 11 nahezu unbenutzbarDefault On-Link Assumption in SLES 9 — gefixtKernel Crash mit SMP und viel IPv6 UDP in SLES 10.1 —gefixtIPV6 AUTOCONF Variable bis SLES 10
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Debian / Ubuntu
bindv6only-Anderung in Debian SqueezeIPv6 mittlerweile fest im Kernel → Modul blacklisten bringtnichts mehrxen-dom0-Kernel Version 2.6.18
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
RHEL / CentOS
manuell konfigurierte Default-Route in RHEL/CentOS 5.0bis 5.2 gestort
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Windows
Windows-Firewall schutzt das System inStandardeinstellungen3rd-Party VPN-Clients und “Personal Firewalls” storengerne IPv6oder: “Personal Firewalls” schaltet IPv6-fahigeWindows-Firewall ab und filtert nur IPv4Windows XP
Reboot nach Installation von IPv6 tut gutGelegentlich nichtssagende Fehlermeldung bei derInstallation10
Aufpassen mit ICSPrivacy Extensions standardmaßig angeschaltetWindows 7: feste Autoconfig-Adresse ist nicht EUI-64
10http://blog.karotte.org/archives/160-Windows-XP-IPv6-Fehler.html
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
MacOS X
Bug: keine Unterstutzung von RFC 3484 (AddressSelection AKA Prefix Policy) — IPv6 wird immer praferiertBug Bug: keinerlei IPv4/IPv6-Praferenz in Snow Leopard(10.6)
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
DNS
IPv6-Transport (DNS in IPv6 UDP/TCP)funktioniert einfach
Ausnahme: tinydns
bei der Verwendung von ACLs oder Views an IPv6 denkenDNS (insbesondere DNSSEC) benotigt Fragmente undTCP – Aufpassen mit Firewalls
Windows XP kann eigentlich kein DNS uber IPv6fest konfiguriert auf fec0:0:0:ffff::1 ... ::3
DHCPv6 (stateless und stateful)RFC 5006 (DNS in RA)von Hand konfiguriert
authoritativ einfach AAAA-Record fur Nameserver listenGlue nice-to-have, aber noch nicht zwingend
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
DNS (cont.)
IPv6-Records (AAAA-Records)funktioniert einfach
Ausnahme: tinydns
fur Tests eine ipv6.firma.de Zone vorhaltenReverse-Eintrage von Hand sind muhsam – rechtzeitigautomatisierenEintrage anfangs mit kleinen TTLs
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Eingehende Mails (MX):IPv6-only MX nicht 100% zuverlassigReverse-DNS-Situation in IPv6 schlechter – nicht wegenfehlendem rDNS abweisenauf Kompatibilitat der restlichen Infrastruktur achten(beispielsweise milter oder Postfix Policy-Daemons)Verhalten mit DNSBL (Problemfall Exim)Failover-Verhalten nach temporaren Fehler (4xx) oderVerbindungsabbruch unterschiedlich
Auswirkungen auf GreylistingZeichen von pMTU-Discovery-Problemen
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Mail (cont.)
Ausgehende Mails (Mailout)
Annahme vom Client (Submit):vor Listing des AAAA-Records unbedingt ACLs undBerechtigungen uberprufen
wenn relevant, 6to4 bedenkenTeredo kritisch, im Zweifelsfall REJECT in der Firewall
funktioniert einfach
Zustellung:vor Aktivierung auf funktionsfahiges Reverse-DNS achtenauf Zeichen von pMTU-Problemen achtenPostfix smtp mx address limit
funktioniert einfach
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Web
Webserver:vor Listing des AAAA-Records unbedingt ACLs undBerechtigungen uberprufen
.htaccess bedenkenim Zweifelsfall einzelne Hostnamen IPv4-only lassen
Tests mit Eintragen in /etc/hosts
auf alten Systemen selten sendfile()-Probleme – Downloadtesten
funktioniert einfach
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Webproxies
Proxies:polipo11
Apache mit mod proxySquid 3.1
funktioniert weitgehend
11http://www.pps.jussieu.fr/˜jch/software/polipo/
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
CIFS/SMB
CIFS/SMB - Windows Netzwerkfreigabenkein Support in Windows XPproblemfrei in Windows Vista/7, Windows 2003/2008ServerSamba ab Version 3.2.0Linux Kernel (Client)
mit -o ip=2001:... seit Anfang 2007 (2.6.21?)mit DNS-Auflosung seit 2.6.30 (FIXME)
kein Support in MacOS Xsmbclient aus MacPorts
NetApp ONTAP ab Version 7.3
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Voice-over-IP
Asterisk IPv6-Projekt12 mal wieder totsehr gute Alternativen in FreeSwitch13 oder pbxnsip14
Cisco Callmanager 7.1kaum Telefone verfugbar
Snom 3xx, 8xx halbherziges IPv6-onlySnom m9 (DECT) sehr gutes DualstackCisco (nur mit Callmanager)mehrere Softphones (linphone, SIP Communicator)Dual-Stack-Fehler auf Nokia E-Serie und Android (sipdroid)
kaum Gateways verfugbar
12http://www.asterisk-v6.org13http://www.freeswitch.org14http://www.pbxnsip.com/
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Loadbalancer
F5 BigIPIPv6 Gateway Module kostenpflichtige ZusatzlizenzIPv4/IPv6 zum Client und zum Server, Mischung moglich
Citrix Netscalerab NSOS 8.1
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
sonstiges
Citrix Terminalserver (SecureDesktop?)Sophos AntivirusEcdysis NAT64/DNS64Google/Wikipedia Whitelisting
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Heute
LRZ-Mitarbeiter sagen: “IPv6 ist selbstverstandlich”breites Know-HowIn den letzten 30 Tagen: 2500 (+500) verschiedene Clients(MAC-Adressen) mit IPv6 nach außen80 Assignmentsgroßes Herstellerinteressekeine nennenswerten Storungen
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
DFN
M-net
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Benchmark
Nicht am LRZ
http://www.ioquake3.org
/connect cpma.rlogin.dk:27961
testet Loss, Jitter, Latenz
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Benchmark
Nicht am LRZ
http://www.ioquake3.org
/connect cpma.rlogin.dk:27961
testet Loss, Jitter, Latenz
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Benchmark
Nicht am LRZ
http://www.ioquake3.org
/connect cpma.rlogin.dk:27961
testet Loss, Jitter, Latenz
Der Beginn Das Netz Betriebssysteme Anwendungen Heute
Danke fur die Aufmerksamkeit