Der Umstieg von IPv4 auf IPv6 gelingt nicht mit einem abrupten Schnitt, sondern als einträchtiges Nebeneinander der beiden IP-Versionen. Charly Kühnast lässt sich seine ersten IPv6-Pakete entspannt nach zwei Minuten Konfigurationsarbeit durch einen Miredo-Tunnel servieren.
Zumindest die Netzwerkkomponenten-Hersteller verbreiten die furchtbare Nachricht: Die IP-Adressen gehen aus. Angeblich kaufen große Zugangsprovider bereits kleinere auf, um an deren IPv4-Adresspools zu kommen. Wer nicht Opfer einer digitalen Mangelwirtschaft werden will, möge schnell umsteigen, so die Botschaft einer Industrie, die IPv6-fähige Switches und Gateways anbietet.
Dabei gibt es nur einige wenige Zugangsprovider, bei denen natives IPv6 aus der Leitung tropft. Überhaupt scheint bei Diskussionen über IPv6 das Wort "Umstieg" fehl am Platze. "Zustieg" wäre passender, klingt aber nach verspätungsgeplagtem Schienenverkehr, ebenso wie "zweigleisig". Das trifft es aber am besten, denn der gemeinsame Betrieb von IPv4 und IPv6 wird wohl bald die Regel sein, nicht die Ausnahme.
Wer als Kunde eines IPv4-Providers sein heimisches Netz um IPv6 ergänzen will, kann auf eine ganze Reihe von Tunnellösungen zurückgreifen. Deren Konfiguration bewältigt zwar ein erfahrener Admin, sie ist jedoch für weniger versierte Nutzer zu aufwändig, die nur lustvoll ins Thema hineinschnuppern wollen. Dieses Problem löst Teredo.
Dies ist eine von Microsoft entwickelte Technik, die den Aufbau eines IPv6-Tunnels hinter einem NAT-Router ermöglicht und automatisch Adressen verteilt. Den IPv6-Payload verpackt Teredo in IPv4-UDP-Datagramme. Das Teredo-RFC 4380 weist ausdrücklich darauf hin, dass es sich um eine Übergangslösung handelt, was euphemisierend für einen "schmutzigen Hack" stehen dürfte.
Für den ersten vorsichtigen Kontakt mit IPv6 ist Teredo jedenfalls genau richtig: Die Inbetriebnahme erfordert kaum Konfigurationsarbeit, passende Clients gibt es für alle aktuellen Betriebssysteme und der Linux-Client Miredo [1] ist Teil fast aller gängigen Distributionen. Auf meinem Ubuntu-Testsystem genügte
apt-get install miredo
um nicht nur den Client zu installieren, sondern auch gleich den Dienst zu starten. In weniger als einer Minute hatte ich eine funktionierende IPv6-Verbindung mit dem Präfix »2001::/32«, wie ihn das RFC definiert (siehe Abbildung 1). Dass mein Client gleich hinter zwei NAT-Gateways werkelt, stellt auch kein Hindernis dar.
Abbildung 1: Der leicht einzurichtende Tunnel gibt den Blick frei in die IPv6-Zukunft, wo Adressen keine Mangelware sind, sondern im Überfluss vorhanden.
Miredo benötigt keinen angepassten Kernel, sondern läuft vollständig im Userspace. Ich muss es zwar als Root starten, um die benötigten Interface-Parameter definieren zu dürfen, es schraubt sich nach dem Start aber auf »nobody«-Rechte zurück. Mit der Option »-u Username« kann ich auch einen anderen Benutzer als Nobody bestimmen. Einige Distributionen legen gleich bei der Installation eigens einen Benutzer namens »miredo« an.
Zum Schluss etwas zur Sicherheit: Während in der IPv4-Welt der NAT-Router, den praktisch jeder DSL-Kunde besitzt, ein gewisses Maß an Sicherheit vor unerwünschten Zugriffen bietet, reißt IPv6 diese Hürde nieder. Wer sich nicht gleich in IP6tables stürzen möchte, sollte mindestens alle geeigneten Dienste exklusiv an Localhost (»::1«) binden. (jk)
| Infos |
|---|
| [1] Miredo: [http://www.remlab.net/miredo/] |
| Der Autor |
|---|
|
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein in Kamp-Lintfort. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch. |
Umfang: 1 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
