IPv6 im MWN

IPv6 - Internet Protocol Version 6

IPv6 ist der Nachfolger des seit Jahrzehnten verwendeten IPv4 (auch mit IP abgekürzt). Nähere Informationen können auf folgenden Informationsseiten eingeholt werden:

• http://www.ipv6.org/
• http://de.wikipedia.org/wiki/IPv6

Wann wird das Internet auf IPv6 umgestellt?

IPv6 ist auf Netzwerkebene ein komplett eigenständiges Protokoll und kann ohne störende Wechselwirkungen parallel zu IPv4 über dieselbe Leitung benutzt werden. Dabei können Hosts IPv4-only, IPv4/IPv6 (Dualstack) oder IPv6-only sein. Da die IPv4-Adressen bald alle vergeben sein werden, werden neu eingerichtete Netze vielfach nur noch über IPv6 erreichbar sein.

Welche Betriebssysteme unterstützen IPv6?

Alle derzeit noch vom Hersteller unterstützten Betriebssysteme unterstützen IPv6 und verwenden dieses standardmäßig (parallel zu IPv4), wenn es auf dem Netz bereitgestellt ist.

IPv6 im MWN

Addressbereich

Das LRZ hat sich im April 2005 durch eine Mitgliedschaft bei RIPE einen eigenen, global routebaren IPv6-Block gesichert (2001:4ca0::/32). Der MWN-Adressplan sieht für jede administrative Einheit mindestens ein /48-Netz vor. Dies ermöglicht dieser Einheit die Adressierung von 2¹⁶ (65.536) Subnetzen mit jeweils 2⁶⁴ Systemen.

IPv6 steht generell in den meisten Netzen des Münchner Wissenschaftsnetzes zur Verfügung.

• WLAN (SSID eduroam)
• WLAN (SSID eduroam-IPv6only, experimentelles Netz ohne IPv4)
• WLAN (SSID mwn-events)
• Institutsnetze (sofern nicht vom Netzverantwortlichen abgelehnt)
• VPN-Zugang mit AnyConnect Client

Netzverantwortliche können über das LRZ Servicedesk-Portal IPv6 für ihr Institutsnetz beantragen.

Einige Zugangstechnologien unterstützen aus technischen Gründen kein IPv6, unter anderem

• WLAN (SSID lrz)
• IPv4 wird hier nur zum Zugang zum VPN-Server verwendet
• WLAN (SSID @BayernWLAN)
• Vodafone unterstützt kein IPv6
• Vodafone CDA (Mobilfunkverbindung)
• Vodafone unterstützt kein IPv6
• IPsec VPN
• das verwendete Protokoll unterstützt keinen Dual-Stack Betrieb

Einige Netzbereiche werden nicht vom LRZ betrieben (beispielsweise Studentenwohnheime, TUM FMI, Verwaltungen, Kliniken). In diesen steht IPv6 nicht immer zur Verfügung. Bitte wenden Sie sich in diesem Fall an den lokalen Betreiber.

Damit jeder Client im MWN, unabhängig von seinem Standort IPv6-fähig gemacht werden kann wird ein automatischer Tunnelmechanismus (ISATAP) angeboten. Die Konfiguration ist, besonders bei Unix-Systemen, nicht ganz einfach, außerdem belastet dieser Mechanismus die MWN-Router stärker als eine native Anbindung. Diese Methode sollte daher nur bei Clients angewendet werden, Server sollten nur nach Rücksprache und bei Nicht-Verfügbarkeit einer anderen Anbindungsart dauerhaft mit dieser Methode angeschlossen werden.

Wie soll ich meinen Rechner konfigurieren?

Clientrechner sollten auf der Systemvoreinstellung mit automatischem Bezug der IPv6-Adresse belassen werden. Sie erhalten dann vom Router mittels "Stateless Address Autoconfiguration" eine eindeutige Adresse. Beachten Sie auch die Hinweise im FAQ Wie konfiguriere ich IPv6 auf Windows korrekt?.

Bei Serverrechnern sollte die IPv6-Adresse manuell gesetzt werden, damit sie auch beim Austausch des LAN-Adapters unverändert bleibt. Es wird empfohlen, bei den letzten 4 Bytes die IPv4-Adresse hexadezimal codiert zu verwenden. Empfehlenswert ist außerdem ein Eintrag mit der IPv6-Adresse im DNS (über das Servicedesk-Portal anfordern oder über Webdns).

Achtung:

Die Einführung von IPv6 kann Auswirkungen auf Zugangsregelungen und andere auf IP-Adressen basierende Einstellungen haben. Moderne IPv6-Stacks verwenden standardmäßig sogenannte Privacy Extensions, bei denen der Client in periodischen Abständen eine zufällige IPv6-Adresse erreichnet und für ausgehende Verbindungen verwendet. Diese Adressen können daher nicht sinnvoll in Firewalls freigeschaltet werden. Hier müssen entweder am Client die Privacy Extensions deaktiviert oder das gesamte Subnetz freigeschaltet werden.

Beispiel:

Die Freischaltung von Nameservern zum Berechtigen von dynamischen DNS-Updates muss jetzt auch die IPv6-Adresse beinhalten.

Welche Sicherheitsoptionen sind verfügbar?

Das LRZ kann derzeit nur einige Standardoptionen für Filter an den Kundeninterfaces anbieten. Dabei besteht die Wahl zwischen folgenden Möglichkeiten:

• keinerlei Filter
• Filtern eingehender (=zum Kunden gehender) TCP-Verbindungsversuche, Rest frei
• Filtern eingehender (=zum Kunden gehender) TCP-Verbindungsversuche außer Port 22 (SSH), Rest frei

Die Option kann nur einheitlich für gesamte Router-Interfaces gewählt werden, woran oft mehrere Subnetze verschiedener Institute angebunden sind. Feingranularere Filter sind im geringen Maße auf Anfrage möglich, für größere Filterwünsche ist der Betrieb einer Firewall erforderlich. Die virtuellen Firewalls des LRZ unterstützen ebenfalls IPv6.