IPv6-Adresse konfigurieren

Steht die Firewall, konfigurieren Sie die IPv6-Adressen des Linux-Servers. Sich die IPv6-Adresse vom Provider per DHCPv6 zuteilen zu lassen, wäre zwar technisch machbar, ist jedoch nicht sonderlich verbreitet. Vermutlich müssen Sie die Adresse selber manuell konfigurieren. Daraus ergibt sich aber auch der Vorteil, dass die Wahl der Adresse einer bewussten Entscheidung folgt. Die Konfiguration der Adresse erledigen Sie wie gewohnt über ein (vielleicht grafisches) Setup-Tool der Distribution oder die Konfigdateien in »/etc« .

Häufiger Stolperstein ist das IPv6-Defaultgateway. Viele Netze arbeiten mit den Router Advertisements, die das Defaultgateway automatisch zuweisen. Andere Anbieter verlangen, das Gateway manuell zu konfigurieren. Dies ist vor allem in Netzsegmenten vorzuziehen, in denen der Netzbetreiber nicht sicherstellt, dass die Server ohne Probleme weiterarbeiten, sobald sie ein entsprechendes Gateway in der Routingtabelle haben.

Von Ihrem mit einer IPv6-Adresse ausgerüsteten Server aus versuchen Sie nun zu pingen. Empfehlenswert ist »ping6 Defaultgateway« , die Adresse kriegen Sie gegebenenfalls über »ip -6 route show« heraus (Abbildung 2). Dann probieren Sie eine externe IP, zum Beispiel »ipv6.google.com« . Klappt mindestens ein Ping nicht, überprüfen Sie das Serversetup einschließlich der Konfiguration des Defaultgateway sowie die Firewall.

Abbildung 2: Die Kommandos ip -6 addr show und ip -6 route show lesen die IPv6-Konfiguration aus. Wenn Sie eine lokale Adresse aus dem Bereich fe80::/64 anpingen möchten, müssen Sie zusätzlich das entsprechende Interface angegeben, da das Netz auf allen Interfaces anliegt.

Gelingt es nicht, die Probleme kurzfristig zu lösen, dekonfigurieren Sie besser die IPv6-Adresse vorläufig wieder. Das Linux-System präferiert nämlich IPv6 ab dem Moment, wenn es eine IPv6-Adresse und ein Gateway hat. Wenn der Stack nicht ordentlich funktioniert, müssen die Programme erst in einen Timeout laufen, bevor sie einen Fallback auf IPv4 versuchen – dies kann Produktivsysteme an den Rand der Benutzbarkeit führen.

Beim europäischen IP-Koordinationszentrum RIPE [2] finden Sie übrigens eine Testseite, mit der Sie die Dualstack-Konnektivität testen können (Abbildung 3). Sie zeigt gut aufbereitet und in Echtzeit an, ob eine Reihe von Dualstack-Testservern erreichbar ist. Funktioniert alles, können Sie sich nun auf die eigentlichen Applikationen konzentrieren.

Abbildung 3: Über den Dual Stack Connectivity Chart des RIPE NCC [1] können Sie erfahren, ob Ihre IP-Konfiguration in Ordnung ist und welche großen Server Sie erreichen können.

Die erste Verbindung

Ab sofort sind die freigeschalteten Dienste Ihres Servers von außen per IPv6 erreichbar. Als erste Applikation – wenn die Firewall nichts dagegen unternimmt – vielleicht der meist korrekt vorkonfigurierte SSH-Daemon. Wenn Ihr Administrations-PC – wie eingangs beschrieben – über einen nativen IPv6-Zugang verfügt oder Sie einen Tunnelbroker in die Pflicht nehmen, kann's sofort losgehen.

Wenn Sie einen eigenen Tunnel betreiben, müssen auf Ihrem Server das IPv6-Forwarding und die Firewall entsprechend eingestellt sein. Auf dem Client-PC setzen Sie die IPv6-Defaultroute auf die IPv6-Adresse des Server-Tunnelinterface.