killtec
Goto Top

Verständnissfrage IPv6

Hi,
ich habe mir einen Online-Kurs zu IPv6 angeschaut.
Dabei stellt sich mir die Frage der nutzbaren IPv6-Adressen.

Bei IPv4 gibt es ja die Privaten Adressen a la 10.x.x.x/8 oder die üblichen 172.16 und 192.168.-ger Bereiche.
Gibt es so etwas auch für IPv6?

In dem Kurs wurde nur mit der Dokumentationsadresse 2001:db8:: gearbeitet.

Mich interessiert es hier erstmal für Interne Netzwerke.

Habe auch im Netz schon mal geschaut, aber nichts wirklich passendes gefunden. Liegt evtl. daran, dass es da keine Vorgaben gibt?

Content-Key: 548701

Url: https://administrator.de/contentid/548701

Printed on: April 18, 2024 at 00:04 o'clock

Mitglied: 142970
142970 Feb 18, 2020 updated at 12:13:08 (UTC)
Goto Top
Dafür gibt's die ULAs
https://en.wikipedia.org/wiki/Unique_local_address

Hier stehen die möglichen Bereiche ebenfalls aufgeführt
https://de.wikipedia.org/wiki/IPv6#Adressbereiche
Member: falscher-sperrstatus
falscher-sperrstatus Feb 18, 2020 updated at 12:12:48 (UTC)
Goto Top
Hallo Kill,

geh bitte mal in dich - bei ipv6 bekommst du automatisch dein privates/öfftl. Netz von aussen zugewiesen. Damit hast du auch deine Nomenklatur. Ein privater Adressraum, genattet, wie bisher, macht aus dem Grund bei ipv6 eher keinen Sinn mehr. Logisch, oder?

Es gibt zwar noch einen Raum, aber spätestens bei VPN pickst du dir damit die Augen aus.

Viele Grüße,

Christian
certifiedit.net
Member: killtec
killtec Feb 18, 2020 at 12:14:26 (UTC)
Goto Top
Hi Christian,
das stimmt. Nur habe ich aktuell vom ISP kein v6 Netz zugewiesen da das in der FW auch etwas Handarbeit bedeutet. Wollte wenn dann erstmal "intern" damit starten.
Prinzipiell hast du aber recht face-smile

Gruß
Member: falscher-sperrstatus
falscher-sperrstatus Feb 18, 2020 at 12:14:54 (UTC)
Goto Top
Zitat von @killtec:

Hi Christian,
das stimmt. Nur habe ich aktuell vom ISP kein v6 Netz zugewiesen da das in der FW auch etwas Handarbeit bedeutet. Wollte wenn dann erstmal "intern" damit starten.
Prinzipiell hast du aber recht face-smile

Gruß

Nicht? Dann würd ich dem mal auf die Füße treten ;)
Member: killtec
killtec Feb 18, 2020 at 12:16:24 (UTC)
Goto Top
Zitat von @142970:

Dafür gibt's die ULAs
https://en.wikipedia.org/wiki/Unique_local_address

Hier stehen die möglichen Bereiche ebenfalls aufgeführt
https://de.wikipedia.org/wiki/IPv6#Adressbereiche

Wenn ich das richtig verstehe kann ich alles mit fc: beliebig anwenden?
Member: killtec
killtec Feb 18, 2020 at 12:16:48 (UTC)
Goto Top
Jepp, warte auch schon auf das neue Release davon face-smile
Member: erikro
erikro Feb 18, 2020 updated at 12:35:54 (UTC)
Goto Top
Moin,

klar gibt es das. Einmal die link local address aus dem Block fe80::/10. Das entspricht dem alten Zero-Conf bzw. APIPA. Und zum Anderen die unique local address aus dem Block fc00::/7 (Fehler dank @aqui korrigiert). Das entspricht den alten 10er-, 172er- und 192er-Netzen.

hth

Erik
Member: aqui
aqui Feb 18, 2020 updated at 12:26:26 (UTC)
Goto Top
Das direkte Pendant zu RFC1918 IPv4 sind aber die Unique Locals: https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
Kollege @erikro hat übrigens oben eine falsche Subnetzmaske für den Bereich angegeben !
Richtig ist natürlich fc00::/7
Sinnvollerweise verwendet man also dann den Prefix FD:: für eigene lokale IPv6 Experimente wie man sie hier z.B. nachlesen kann:
https://danrl.com/projects/ipv6-workshop/
Member: erikro
erikro Feb 18, 2020 at 12:36:35 (UTC)
Goto Top
Zitat von @aqui:
Kollege @erikro hat übrigens oben eine falsche Subnetzmaske für den Bereich angegeben !
Richtig ist natürlich fc00::/7

Ooops. Danke für den Hinweis. Ist korrigiert.
Mitglied: 142970
142970 Feb 18, 2020 updated at 12:41:51 (UTC)
Goto Top
Zitat von @killtec:
Wenn ich das richtig verstehe kann ich alles mit fc: beliebig anwenden?
Falls du Probleme mit dem Subnetting Verständnis bei IPv6 hast dann erklärt das ganz anschaulich auch:
Subnetting mit IPv6 anhand eines Beispiels
Member: killtec
killtec Feb 18, 2020 at 12:39:36 (UTC)
Goto Top
@aqui
das Buch habe ich sogar als Print :D
Habe damit angefangen und auf Grund nicht vorhandener Tunnelling-Provider das ganze abgebrochen und stattdessen einen Video-Kurs gemacht.
Vielleicht sollte ich da doch noch mal durch gehen.
Member: Lochkartenstanzer
Lochkartenstanzer Feb 18, 2020 at 13:04:46 (UTC)
Goto Top
Zitat von @killtec:

Habe damit angefangen und auf Grund nicht vorhandener Tunnelling-Provider das ganze abgebrochen

sixxs war lange Zeit "mein Provider", bis die Telekom endlich auch v6 gemacht hat. Leider hat Sixxs irgendwann den Tunnel-Betrieb eingestellt, damit die Provider keine Ausrede haben, v6 länger hinauszuzögern. Sonst wäre das für Testzwecke immer noch gut geeignet.

lks

PS: Du kannst Dir natürlich mir einem root-Server einen eigenen Tunnel in die v6-Welt bauen. face-smile
Member: adminst
adminst Feb 18, 2020 updated at 14:53:40 (UTC)
Goto Top
Hallo zusammen

Zitat von @Lochkartenstanzer]:
Leider hat Sixxs irgendwann den Tunnel-Betrieb eingestellt, damit die Provider keine Ausrede haben, v6 länger hinauszuzögern. Sonst wäre das für Testzwecke immer noch gut geeignet.


Sixxs gibts zwar nicht mehr. Gut geeignet dafür ist jedoch Tunnelbroker welche durch HE (Hurrican Electric) betrieben wird.

Gruss
adminst
Member: killtec
killtec Feb 18, 2020 at 15:18:45 (UTC)
Goto Top
Also wenn ich es jetzt richtig verstanden habe, kann ich alles nehmen, was mit fc anfängt und idealerweise nachher eine /64 ger Maske hat für Interne Zwecke, nutzen? Wie gesagt, erstmal Intern "üben" ;)
Member: lcer00
lcer00 Feb 18, 2020 updated at 19:34:26 (UTC)
Goto Top
Zitat von @killtec:

Also wenn ich es jetzt richtig verstanden habe, kann ich alles nehmen, was mit fc anfängt und idealerweise nachher eine /64 ger Maske hat für Interne Zwecke, nutzen? Wie gesagt, erstmal Intern "üben" ;)

Nee. üb erst mal Subnet-berechnen.
fc00::/7 ist nicht „alles was mit fc anfängt“

Grüße

lcer
Member: Lochkartenstanzer
Lochkartenstanzer Feb 18, 2020 updated at 19:46:38 (UTC)
Goto Top
Zitat von @killtec:

Also wenn ich es jetzt richtig verstanden habe, kann ich alles nehmen, was mit fc anfängt und idealerweise nachher eine /64 ger Maske hat für Interne Zwecke, nutzen? Wie gesagt, erstmal Intern "üben" ;)

Aus https://en.wikipedia.org/wiki/Unique_local_address


The address block fc00::/7 is divided into two parts, fc00::/8 and fd00::/8.

The block fc00::/8 is undefined. It has been proposed to be managed by an allocation authority, but this has not gained acceptance in the IETF.[4][5][6].

The block fd00::/8 is defined for /48 prefixes, formed by setting the forty bits of the prefix following fd to a randomly generated bit string. This results in the format fdxx:xxxx:xxxx:: for a prefix in this range. RFC 4193 offers a suggestion for generating the random identifier to obtain a minimum-quality result if the user does not have access to a good source of random numbers.

Der Bereich "fcXX/8" ist für ULAs vorgesehen, die durch eine zentrale registry vergeben werden.
Der bereich "fdYY/8" ist für zufällig selbst generierte ULAS mit /48 vorgesehen, die man dann weiter in Subnetze der Größe /64 für die eigenen Segmente und Standorte unterteilen kann.

Damit nicht zu verwechseln sind die nicht routebaren Link-Local-Adressen, die mit fe80 anfangen.

lks
Member: clSchak
clSchak Feb 19, 2020 at 09:34:14 (UTC)
Goto Top
Hi

ja du kannst jede Adresse die mit FD und FC beginnt nutzen, haben wir auch intern.

FD00:1111:1111:2222:3333::/64

1 = Niederlassungs ID
2 = Netztyp (Public, DMZ oder was auch immer)
3 = VLAN ID

So haben wir das bei uns intern geregelt, ist bei uns mittlerweile voll umfänglich implementiert inkl. DNS, DHCP (wenn kein SLAC aktiv). Hauptintention dahinter ist und war DirectAccess, damit das sauber läuft ohne den "Translator" der ab und an doch mal Probleme macht.

Gruß
@clSchak
Member: clSchak
clSchak Feb 19, 2020 at 09:36:28 (UTC)
Goto Top

Der Bereich "fcXX/8" ist für ULAs vorgesehen, die durch eine zentrale registry vergeben werden.
Der bereich "fdYY/8" ist für zufällig selbst generierte ULAS mit /48 vorgesehen, die man dann weiter in Subnetze der Größe /64 für die eigenen Segmente und Standorte unterteilen kann.

das ist obsolet, man kann seinen privaten Adressraum nicht mehr "registrieren" der Dienst wurde vor einigen Jahren eingestellt (so ist mein aktueller Wissensstand)
Member: lcer00
lcer00 Feb 19, 2020 at 09:58:50 (UTC)
Goto Top
Hallo,
Zitat von @clSchak:


Der Bereich "fcXX/8" ist für ULAs vorgesehen, die durch eine zentrale registry vergeben werden.
Der bereich "fdYY/8" ist für zufällig selbst generierte ULAS mit /48 vorgesehen, die man dann weiter in Subnetze der Größe /64 für die eigenen Segmente und Standorte unterteilen kann.

das ist obsolet, man kann seinen privaten Adressraum nicht mehr "registrieren" der Dienst wurde vor einigen Jahren eingestellt (so ist mein aktueller Wissensstand)

Obsolet - ja, aber noch immer RFC-konform. Also besser den fd00::/8 Bereich nutzen. Das wäre dann wieder RFC-Konform.

Und man beachte auch https://tools.ietf.org/html/rfc4193 Punkt 3.2.1
3.2.1.  Locally Assigned Global IDs

   Locally assigned Global IDs MUST be generated with a pseudo-random
   algorithm consistent with [RANDOM].  Section 3.2.2 describes a
   suggested algorithm.  It is important that all sites generating
   Global IDs use a functionally similar algorithm to ensure there is a
   high probability of uniqueness.

FD00:1111:1111:2222:3333::/64

1 = Niederlassungs ID
2 = Netztyp (Public, DMZ oder was auch immer)
3 = VLAN ID


Also eigentlich sollte nur der Hostteil der ULAs "bedeutungsvoll" sein. Der Netzteil sollte zufällig generiert werden, um Routingproblemen vorzubeugen.

Grüße

lcer
Member: clSchak
clSchak Feb 19, 2020 at 10:05:01 (UTC)
Goto Top
jain, der Hostanteil ist eher das was man "Random" halten sollte (ist ja meistens die MAC Adresse zzgl. einen Zufälligen Kombination). Du kannst ja im IPv4 auch rein theoretische mit der APIPA Adresse arbeiten, macht aber eher wenig sinn face-smile. Und was im Hostanteil steht, ist mir relativ egal weil es keinen Einfluss auf das Routing hat.

Und man kann sich zur "Einführung" ein selbst gewähltes Netz besser merken als das man immer mit Copy&Paste arbeiten muss, ist auch zum Routen deutlich einfacher wenn die Subnetze alle /64 groß sind. Ist aber auch alles eine Geschmacksfrage
Member: lcer00
lcer00 Feb 19, 2020 updated at 10:16:03 (UTC)
Goto Top
Zitat von @clSchak:

jain, der Hostanteil ist eher das was man "Random" halten sollte (ist ja meistens die MAC Adresse zzgl. einen Zufälligen Kombination). Du kannst ja im IPv4 auch rein theoretische mit der APIPA Adresse arbeiten, macht aber eher wenig sinn face-smile. Und was im Hostanteil steht, ist mir relativ egal weil es keinen Einfluss auf das Routing hat.
Genau weil es keine Einfluss auf das Routing haben kann, kann der Hostteil gerne so aussehen, wie die ipv4 IPs ffff:192:168:0:1 , man darf sogar ::ffff:127.0.0.1 schreiben.

wegen möglicher kollsionen beim Routing sollte der Netzanteil aber eben zufällig generiert werden. Die Diskussion ist da ähnlich der Vergabe von IPv4 Netzen bei VPN-Einsatz mit mobilen Clients. Da sollte man eben keine "bekannten" Netze nutzen wie 192.168.0.0/24

Grüße

lcer
Member: clSchak
clSchak Feb 19, 2020 at 10:28:25 (UTC)
Goto Top
ja ist korrekt, ich sage ja auch nicht das wir FD00:ABCDE:1234:01010 oder so etwas verwenden, wenn man damit arbeitet bekommt man evtl. Probleme das ist mir bewusst face-smile.

Die ursprüngliche Adresse entsprang ja der DirectAccess Installation, die ist schon recht "Random" aber relativ "Glatt" und gut zu merken. Aber ich gebe dir da recht, wenn man 08/15 Kombinationen nimmt kann es evtl. zu Problemen kommen, ebenso wie bei IPv4.

bei uns wäre es z.B. FD07:A710:140B:: was ursprünglich vom DA kam, das haben wir nur ein wenig angepasst. Man sollte die Netzadressen schon ein wenig "Random" haben und nicht eine einfache Zahlenfolge verwenden.