Die meisten Internet Service Provider geben noch keine IPv6-Subnetze an ihre Kunden frei. Wer trotzdem schon über IPv6 surfen will oder einen solchen Zugang braucht, um seine Server auch über IPv6 zu erreichen, kann zu zwei Tricks greifen: Die 6to4-Funktion der Fritzbox oder einen speziellen IPv6-Tunnel zu einem IPv6-Provider. Dieser Beitrag bezieht sich auf eine aktuelle AVM Fritzbox mit dem neuesten FritzOS und daran angebundene Linux-Clients. Ich kann mir aber vorstellen, dass das mit ähnlichen Routern auch funktioniert – vorausgesetzt, sie unterstützen IPv6-Tunnel.
IPv6 über die Fritzbox 6to4-Funktion
6to4 ist der einfachste Weg, an eine IPv6-Adresse zu kommen. Loggt euch in das Fritzbox Webinterface ein und navigiert zu Internet > Zugangsdaten > IPv6. Dort aktiviert ihr zunächst die IPv6 Unterstützung und wählt dann „Immer ein Tunnelprotokoll nutzen”. Weitere Optionen öffnen sich. Wählt die erste Option „6to4″ aus und bestätigt eure Auswahl. Es wird eine automatische Verbindung zum nächsten Tunnelserver aufgebaut und entsprechende IPv6-Adressen an die Rechner verteilt, die am Router angeschlossen sind.
Nachteil dieser Methode: Ihr bekommt dabei nach jeder Einwahl / Zwangstrennung des Routers ein neues IPv6 Netz. Die IP-Adresse bleibt also nicht konstant und ändert sich mit der Zeit. Zum Testen reicht das aber aus.
IPv6 über Tunnelprovider (SixXS)
Es gibt noch eine zweite Methode, um an einen IPv6-Anschluss zu kommen: Wie vorher aktiviert ihr unter Internet > Zugangsdaten > IPv6 die Unterstützung für das neue Internet Protokoll und wählt „Immer ein Tunnelprotokoll nutzen”. An dieser Stelle wählt ihr in den eingeblendeten Optionen aber „SixXS” aus. Jetzt benötigt ihr einen SixXs Account und einen angelegten Tunnel.
Registriert euch auf der SixXS Website, sodass ihr euch einen Tunnel anlegen könnt. Euer Account muss jedoch erst von einem SixXS Mitarbeiter freigeschaltet werden. Das kann ein paar Minuten bis Stunden dauern. Nachdem der Account freigeschaltet ist, habt ihr die Möglichkeit, euch ein eigenes IPv6 Subnetz via Tunnel zu holen. Das Setup für einen neuen Tunnel erreicht ihr über den Menüpunkt „Request Tunnel”. Legt einen neuen Tunnel mit Heartbeat-Unterstützung an!
Auch der neue Tunnel muss zuerst von einem Mitarbeiter freigeschaltet werden. An einem Sonntag Nachmittag hat man übrigens schlechte Chancen ;) Da dauert dann bis zum Montag…
Sobald euer Tunnel freigeschaltet ist, erhaltet ihr eine Benachrichtigungs-E-Mail mit der Tunnel-ID. Jetzt könnt ihr euren SixXS Benutzernamen, das dazugehörige Passwort und die Tunnel-ID in die Felder im Fritzbox Interface eingeben und abspeichern.
Die Fritzbox stellt jetzt über IPv4 eine Verbindung zu dem Endpunkt her und gräbt einen IPv6 Tunnel. Vom Endpunkt erhält sie nun ein eigenes, statisches IPv6 Subnetz, das von euch exklusiv genutzt werden kann. Dabei verteilt die Box auch gleich IPv6-Adressen an eure Rechner im Netzwerk.
Auf dem Online-Monitor leuchtet der Indikator neben IPv6 grün auf und zeigt euch euer neues IPv6 Subnetz an, das nun allein euch gehört. ~136 Jahre lang zumindest – das überlebt ihr nicht ;)
Das tolle an IPv6 ist ja, dass man als Kunde nicht nur eine einzelne IP-Adresse bekommt, sondern gleich ein ganzes /64-er Netz. Jedes Gerät in diesem Netz erhält eine weltweit eindeutige, eigene IP-Adresse. Die IPs werden von den Clients in diesem Netz automatisch generiert. Wenn man die IP eines Geräte kennt, kann man es von überall direkt ansprechen. Kein Stress mehr mit NAT und 192.168.-er Netzen, die von außen nicht erreichbar sind.
Meine Geräte haben jetzt mehrere IP-Adressen. Welche ist die richtige?
Ggf. erscheinen mehrere IPv6-Adressen, wenn ihr sie euch mit dem „ip addr” Befehl unter Linux ausgeben lasst. Eine der Adressen, die mit „scope local” gekennzeichnet ist, eignet sich nur für den lokalen Gebrauch innerhalb des Netzes selbst. Sie wird nur selten genutzt. Außerdem gibt es noch Adressen mit „deprecated”-Kennzeichnung. Diese sind abgelaufen und nicht mehr gültig. Adressen mit „temporary” sind nur temporär gültig und dienen der Beibehaltung der Privatsphäre. Die fixe IP-Adresse, auf die das Gerät immer reagiert ist die „global dynamic” Adresse, die keine weiteren Kennzeichnungen hat.
Diese Adresse könnt ihr später mit dem Kommando „ping6″ anpingen.
Fritzbox Firewall umstellen
Wer jetzt versucht, seinen Computer von außen über die IPv6-IP anzupingen (ping6-Befehl!), wird feststellen, dass das nicht so einfach funktioniert. Warum nicht? Die Fritzbox hat immer noch eine aktive Firewall, die verhindert, dass von außen jemand auf die Geräte zugreift, die an der Fritzbox hängen. Die Firewall ist aber kein Problem – sie lässt sich durchlässiger einstellen oder sogar ganz abschalten, sodass die Geräte nur noch durch ihre eigene Firewall vom Internet abgeschirmt werden.
Die Firewalloptionen für IPv6 findet ihr unter Internet > Freigaben > IPv6.
Ihr habt die Möglichkeit, ein Gerät aus der Liste auszuwählen, oder die Interface-ID eines speziellen Geräts anzugeben, wenn dies nicht in der Liste erscheint. Die Interface-ID ist der Teil der 128-bittigen IPv6-Adresse, der von jedem Gerät selbst aus der MAC-Adresse erzeugt wird (64 Bit lang). Wir erinnern uns: Der IPv6-Provider übergibt uns nur ein Netz, aber keine IP(s). Die müssen wir uns schon selbst generieren. Die Clients generieren sich ihren Interface-Identifier selbst. Das Netz (aus dem Fritzbox-Status ablesbar) und die ID zusammen ergeben dann die komplette IP-Adresse, die man via „ip addr” abrufen kann. Wenn ihr wissen wollt, wo das Netz bei einer Adresse aufhört, und wo die ID anfängt, braucht ihr die IP-Adressen eurer Client nur zu Vergleichen. Der Netz-Teil bleibt immer gleich. Oder ihr schaut im Fritzbox Online-Monitor nach, welches IPv6-Netz euch zugeteilt wurde ;) Der Rest einer IP ist dann die Interface-ID.
Wenn ihr ein Gerät aus der Liste auswählt, wird die ID aber sowieso für euch eingetragen – also keine Sorge … ;)
Nun könnt ihr die Firewall für dieses Gerät komplett abschalten (jede Anfrage aus dem Internet kommt so direkt am Gerät an) oder ihr lasst nur Anfragen auf bestimmte Ports durch die Fritzbox und blockt den Rest. Sicherer ist die zweite Methode.
Auch das pingen von außen kann durchgelassen werden, sodass ihr feststellen könnt, ob ein bestimmtes Gerät online ist.
Das war’s auch schon! Ihr könnt jetzt wie gewohnt surfen, habt aber gleichzeitig „richtige” IPv6-Adressen für all eure Geräte! Was man davon hat? Freude!
Wenn ihr genaueres zu IPv6 wissen wollt, empfehle ich euch diesen Podcast: http://cre.fm/cre197-ipv6
Ihr wollt eurer Raspberry Pi mit IPv6 ausstatten? Wie das geht, erfahrt ihr hier: IPv6 unter Raspbian aktivieren