[freifunk-public] Netzwerkarbeiten: IPv6 im Testbetrieb

Ralf Jung post at ralfj.de
Sun May 29 21:25:56 CEST 2016 

Hallo,

> Wir arbeiten dieses WE am Netzwerk von saar.freifunk.net, daher kann es
> vereinzelt zu kurzzeitigen Störungen kommen. Zum Ausgleich läuft nachher
> hoffentlich alles schneller als vorher :)

Der Aufwand hat nun Früchte getragen. :-)
Gerade eben haben wir IPv6 in unserem Netz aktiviert. Das ist noch ein
Testbetrieb, und wir werden IPv6 eventuell vor der vollständigen
Einführung nochmal abschalten, aber nichts desto trotz ist uns dieser
Meilenstein sehr wichtig. Alle eure Geräte sollten sich bereits mit IPv6
versorgt haben, und dieses automatisch nutzen.  Testen könnt ihr das zum
Beispiel via <http://test-ipv6.com/>.  Lasst uns bitte wissen, was
klappt und was nicht, damit wir die letzten Ecken und Kanten beseitigen
können.

## Was heißt das? Was muss man beachten?

Konkret bekommen alle Geräte in unserem Netz eine öffentliche, global
gültige IPv6-Adresse. Mein Testrechner bekam zum Beispiel
[2a03:2260:3009:300:5054:ff:fe99:7b1f]. Diese Adresse ist weltweit
eindeutig -- man kann also unter dieser Adresse meinen Testrechner von
überall in der Welt erreichen. Mit IPv4 ist das anders, dort bekommt man
üblicherweise nur lokal gültig Adressen via "NAT" (Adressübersetzung)
durch den eigenen Router. Globale Adressen sind sehr praktisch, wenn man
direkte Verbindungen aufbauen will, zum Beispiel für peer-to-peer
Protokolle.
  Wenn der Rechner jedoch ungenügend abgesichert ist, fehlt nun der
zusätzliche Schutz durch das NAT. Seit Windows XP SP2 haben quasi alle
Rechner per Default eine Firewall, das sollte also kein Problem sein.
Wenn ihr "Security Suiten" installiert habt, die die Windows-Firewall
ausschalten, dann überprüft bitte, ob diese Suiten in der neusten
Version installiert sind. In der Vergangenheit haben sich solche Suiten
nicht gerade mit Ruhm bekleckert was IPv6 angeht (einige haben IPv6 gar
komplett ungefiltert belassen), während die Firewall von Microsoft ihren
Job tadellos erledigt.

Zu beachten ist weiterhin ein Aspekt der Privatsphäre: Die Adresse
[2a03:2260:3009:300:5054:ff:fe99:7b1f] teilt sich in zwei Gruppen mit je
4 Blöcken, und die zweite Gruppe (5054:ff:fe99:7b1f) identifiziert
meinen Rechner. Egal in welchem Netz ich mich befinde, seine Adresse
wird immer auf diesen 4 Blöcken enden. Das will ich natürlich nicht, da
mein Rechner so in verschiedenen Netzen wiedererkannt werden kann.
  Auch dafür gibt es eine Lösung, und die nennt sich "Privacy
Extensions". Diese Erweiterung sorgt dafür, dass der Rechner die zweite
Gruppe der Adresse zufällig wählt, und daher nicht wiedererkannt werden
kann. Ob die Privacy Extensions aktiviert sind, erkennst du an der
Adresse: Bei mir steht da "ff:fe" um den zweiten Doppelpunkt von hinten,
das heißt, dass die Privacy Extensions *deaktiviert* sind. Du solltest
also prüfen (z.B. unter <http://test-ipv6.com/>), dass deine Adresse
*nicht* "ff:fe" enthält, dann ist alles in Ordnung. Wie du die Privacy
Extensions aktivierst, hängt von deiner Platform ab; im Zweifel frag
einfach hier nach.

Und nun viel Spaß mit dem neuen (20 Jahre alten) Internet Version 6 :D

Viele Grüße,
Netzwerk-Team saar.freifunk.net

More information about the freifunk-public mailing list