IPv6 für den Alltag – Ein Erfahrungsbericht

Jeder kennt ja längst die Vorteile von ipv6 – hier mal einige Infos aus der Sicht eines Anwenders/Admins:

Die Telekom verteilt zusätzlich zur öffentlichen v4-Adresse im Dual-Stack auch v6-Adressen für die pppoe-Verbindung des Routers aus dem Netz 2003::/19.

Die Clients im lokalen Netz erhalten automatisch vom Router eine zusätzliche v6-Adresse.

Bei v6 gibt es kein NAT mehr, v6-Geräten sind somit direkt und erstmal ungeschützt aus dem Internet erreichbar.

Ein Router nutzt das Neighbor Discovery Protocol (NDP)¹ um Geräten im Netz die nötigen Infos bezüglich Netz und Größe sowie Router zukommen zu lassen. Ganz ähnlich wie DHCP.

Ein ähnliches Tool unter Linux/Unix, das die Infos ankündigt heißt radvd².

Für die Kommunikation im lokalen Netz und ausschließlich dort, besitzt jeder Client eine Link-Local-Adresse, die auch nicht geroutet ist.
Über diese Adressen fährt auch das NDP.

Hat sich der Client per NDP informieren lassen, trägt er auch den Default-GW ein – dieser ist bei einem Speedport die erste Nutzbare Adresse im Netz und somit fe80::1

Thema Firewall:

Ich nutze lokal auf allen Clients folgende FW-Schnipsel für ipv6:

ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -s fe80::/10 -j ACCEPT

Das erlaubt ausschließlich Verkehr von innen nach draussen mit folgenden Ausnahmen:
Ich akzeptiere eingehenden Verkehr aus dem Link-Local-Netz (mein Lan) und erlaube Antwortpakete zu bestehenden Verbindungen.

Da mein Provider noch kein v6 anbietet, nutze ich den kostenlosen Tunnel-Service von SIXXS³.

¹ http://de.wikipedia.org/wiki/Neighbor_Discovery_Protocol
² http://www.litech.org/radvd/
³ https://www.sixxs.net/