IPv6/Tunnel: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
Ein '''Tunnelbroker''' ist im Bereich der [[Rechnernetz|Computernetzwerk]]e ein Dienst, der [[Tunnel (Rechnernetz)|Tunnel]] bereitstellt, die zum Beispiel dazu genutzt werden können, Verkehr gesichert ([[Virtual Private Network]]) oder [[Datenkapselung (Netzwerktechnik)|verkapselt]] zu transportieren, um z. B. [[IPv6]] über ein [[IPv4]]-Netzwerk zu transportieren.
Ein '''Tunnelbroker''' ist im Bereich der [[Rechnernetz|Computernetzwerk]]e ein Dienst, der [[Tunnel (Rechnernetz)|Tunnel]] bereitstellt, die zum Beispiel dazu genutzt werden können, Verkehr gesichert ([[Virtual Private Network]]) oder [[Datenkapselung (Netzwerktechnik)|verkapselt]] zu transportieren, um z. B. [[IPv6]] über ein [[IPv4]]-Netzwerk zu transportieren.


Obwohl es mehrere Arten von Tunnelbrokern gibt, werden damit meist Broker bezeichnet, die Tunnel bereitstellen, die es ermöglichen, IPv6-Pakete über alte IPv4-Infrastruktur zu routen (<nowiki>RFC&nbsp;3053</nowiki><ref>{{RFC-Internet |RFC=3053 |Titel=IPv6 Tunnel Broker |Datum=2001-01}}</ref>), allerdings kann es auch IPv4-Tunnelbroker geben, die IPv4-Pakete über IPv6-Infrastruktur leiten. Um IPv6 über IPv4 zu leiten, werden verschiedene Methoden wie [[6in4]], [[6over4]], [[6to4]] oder [[6rd]] verwendet. Heutzutage wird häufig [[Dual-Stack]] verwendet, bei dem sowohl IPv4 und IPv6 unabhängig voneinander verwendet werden.
Obwohl es mehrere Arten von Tunnelbrokern gibt, werden damit meist Broker bezeichnet, die Tunnel bereitstellen, die es ermöglichen, IPv6-Pakete über alte IPv4-Infrastruktur zu routen (<nowiki>RFC&nbsp;3053</nowiki>), allerdings kann es auch IPv4-Tunnelbroker geben, die IPv4-Pakete über IPv6-Infrastruktur leiten.  
* Um IPv6 über IPv4 zu leiten, werden verschiedene Methoden wie [[6in4]], [[6over4]], [[6to4]] oder [[6rd]] verwendet.  
* Heutzutage wird häufig [[Dual-Stack]] verwendet, bei dem sowohl IPv4 und IPv6 unabhängig voneinander verwendet werden.


== Automatische Konfiguration ==
== Automatische Konfiguration ==
Normalerweise werden IPv6-Tunnel über das [[Tunnel Setup Protocol]] oder [[Tunnel Information Control|Tunnel-Information-Control]]-Protokoll konfiguriert und erstellt. Sehr oft wird ein Tunnel jedoch manuell konfiguriert.
Normalerweise werden IPv6-Tunnel über das [[Tunnel Setup Protocol]] oder [[Tunnel Information Control|Tunnel-Information-Control]]-Protokoll konfiguriert und erstellt.  
* Sehr oft wird ein Tunnel jedoch manuell konfiguriert.


== Probleme mit Network Address Translation und Routern ==
== Probleme mit Network Address Translation und Routern ==
Protokoll-41-Tunnel, wobei IPv6 direkt in IPv4 verpackt wird, funktionieren hinter [[Netzwerkadressübersetzung|NATs]] eventuell nicht mehr zuverlässig. Mit vielen modernen Routern gibt es allerdings keine Probleme. Umgehen kann man auftretende Probleme, indem man den Endpunkt entweder in eine [[Demilitarisierte Zone (Informatik)|Demilitarisierte Zone]] legt oder gleich auf das NAT-Gerät; moderne Router für den Heimeinsatz, die IPv6-fähig sind, unterstützen dies inzwischen. Ebenfalls möglich ist der Gebrauch von [[AYIYA]] oder TSP (Tunnel Setup Protocol), die IPv6-Pakete in [[User Datagram Protocol|UDP]]-Pakete verpacken. Diese können die meisten Firewalls problemlos passieren (vorausgesetzt, es gibt keine verbietende Regel).
Protokoll-41-Tunnel, wobei IPv6 direkt in IPv4 verpackt wird, funktionieren hinter [[Netzwerkadressübersetzung|NATs]] eventuell nicht mehr zuverlässig.  
* Mit vielen modernen Routern gibt es allerdings keine Probleme.  
* Umgehen kann man auftretende Probleme, indem man den Endpunkt entweder in eine [[Demilitarisierte Zone (Informatik)|Demilitarisierte Zone]] legt oder gleich auf das NAT-Gerät; moderne Router für den Heimeinsatz, die IPv6-fähig sind, unterstützen dies inzwischen.  
* Ebenfalls möglich ist der Gebrauch von [[AYIYA]] oder TSP (Tunnel Setup Protocol), die IPv6-Pakete in [[User Datagram Protocol|UDP]]-Pakete verpacken.  
* Diese können die meisten Firewalls problemlos passieren (vorausgesetzt, es gibt keine verbietende Regel).


Ein Problem, das immer noch auftreten kann, ist, dass eine NAT-Regel aus der Tabelle entfernt wird, obwohl die Verbindung noch besteht. Falls dann von außen Pakete für den Tunnel ankommen, kann der Router diese nicht mehr weiterleiten und verwirft sie. Das unterbricht die Tunnelverbindung, bis der Nutzer wieder ein Paket durch den Tunnel sendet.
Ein Problem, das immer noch auftreten kann, ist, dass eine NAT-Regel aus der Tabelle entfernt wird, obwohl die Verbindung noch besteht.  
* Falls dann von außen Pakete für den Tunnel ankommen, kann der Router diese nicht mehr weiterleiten und verwirft sie.  
* Das unterbricht die Tunnelverbindung, bis der Nutzer wieder ein Paket durch den Tunnel sendet.


Ältere (Heim-)Router routen teilweise generell keine Protokoll-41-Pakete.
Ältere (Heim-)Router routen teilweise generell keine Protokoll-41-Pakete.


== Dynamische Endpunkte ==
== Dynamische Endpunkte ==
Falls der Client-Endpunkt des Tunnels eine dynamische IP-Adresse besitzt (wie bei Privatkunden-Breitbandanschlüssen), dann muss der Kunde den Tunnelbroker immer bei einer Änderung über die neue IP-Adresse informieren. Das geschieht entweder manuell über die Website des Tunnelbrokers oder über ein automatisches Protokoll wie TSP oder Heartbeat.
Falls der Client-Endpunkt des Tunnels eine dynamische IP-Adresse besitzt (wie bei Privatkunden-Breitbandanschlüssen), dann muss der Kunde den Tunnelbroker immer bei einer Änderung über die neue IP-Adresse informieren.  
* Das geschieht entweder manuell über die Website des Tunnelbrokers oder über ein automatisches Protokoll wie TSP oder Heartbeat.


Andere Tunnelbroker erlauben eine komfortable webbasierte Lösung, bei der eine vorgegebene [[Uniform Resource Locator|URL]] aufgerufen wird, in der Nutzername, Passwort und der Hostname oder die ID des Tunnels enthalten sind. Über die IP des Aufrufers (der Server für diese Lösung ist über IPv4 angebunden) kann der Endpunkt aktualisiert werden.
Andere Tunnelbroker erlauben eine komfortable webbasierte Lösung, bei der eine vorgegebene [[Uniform Resource Locator|URL]] aufgerufen wird, in der Nutzername, Passwort und der Hostname oder die ID des Tunnels enthalten sind. Über die IP des Aufrufers (der Server für diese Lösung ist über IPv4 angebunden) kann der Endpunkt aktualisiert werden.
Zeile 90: Zeile 100:


==== Aktualisierung über Cronjob ====
==== Aktualisierung über Cronjob ====
Der einfachste Weg, das Tunneln mit einer dynamischen IPv4-IP zu nutzen, besteht darin, einen Cronjob einzurichten, der Ihre aktuelle Adresse regelmäßig aktualisiert. Die Beispiel-URL und einen ''Update Key'' finden Sie auf der Registerkarte ''Advanced'' der Seite ''Tunnel Details''.
Der einfachste Weg, das Tunneln mit einer dynamischen IPv4-IP zu nutzen, besteht darin, einen Cronjob einzurichten, der Ihre aktuelle Adresse regelmäßig aktualisiert.  
* Die Beispiel-URL und einen ''Update Key'' finden Sie auf der Registerkarte ''Advanced'' der Seite ''Tunnel Details''.


Um zu überprüfen, ob die Aktualisierung funktioniert, führen Sie den folgenden Befehl aus (ersetzen Sie ''USERNAME'', ''UPDATEKEY'' und ''TUNNELID'' durch die Angaben zu Ihrem Konto und Ihrem Tunnel):
Um zu überprüfen, ob die Aktualisierung funktioniert, führen Sie den folgenden Befehl aus (ersetzen Sie ''USERNAME'', ''UPDATEKEY'' und ''TUNNELID'' durch die Angaben zu Ihrem Konto und Ihrem Tunnel):

Version vom 30. Juli 2023, 11:05 Uhr

topic - Kurzbeschreibung

Beschreibung

Protokoll 41 in Wireshark

Ein Tunnelbroker ist im Bereich der Computernetzwerke ein Dienst, der Tunnel bereitstellt, die zum Beispiel dazu genutzt werden können, Verkehr gesichert (Virtual Private Network) oder verkapselt zu transportieren, um z. B. IPv6 über ein IPv4-Netzwerk zu transportieren.

Obwohl es mehrere Arten von Tunnelbrokern gibt, werden damit meist Broker bezeichnet, die Tunnel bereitstellen, die es ermöglichen, IPv6-Pakete über alte IPv4-Infrastruktur zu routen (RFC 3053), allerdings kann es auch IPv4-Tunnelbroker geben, die IPv4-Pakete über IPv6-Infrastruktur leiten.

  • Um IPv6 über IPv4 zu leiten, werden verschiedene Methoden wie 6in4, 6over4, 6to4 oder 6rd verwendet.
  • Heutzutage wird häufig Dual-Stack verwendet, bei dem sowohl IPv4 und IPv6 unabhängig voneinander verwendet werden.

Automatische Konfiguration

Normalerweise werden IPv6-Tunnel über das Tunnel Setup Protocol oder Tunnel-Information-Control-Protokoll konfiguriert und erstellt.

  • Sehr oft wird ein Tunnel jedoch manuell konfiguriert.

Probleme mit Network Address Translation und Routern

Protokoll-41-Tunnel, wobei IPv6 direkt in IPv4 verpackt wird, funktionieren hinter NATs eventuell nicht mehr zuverlässig.

  • Mit vielen modernen Routern gibt es allerdings keine Probleme.
  • Umgehen kann man auftretende Probleme, indem man den Endpunkt entweder in eine Demilitarisierte Zone legt oder gleich auf das NAT-Gerät; moderne Router für den Heimeinsatz, die IPv6-fähig sind, unterstützen dies inzwischen.
  • Ebenfalls möglich ist der Gebrauch von AYIYA oder TSP (Tunnel Setup Protocol), die IPv6-Pakete in UDP-Pakete verpacken.
  • Diese können die meisten Firewalls problemlos passieren (vorausgesetzt, es gibt keine verbietende Regel).

Ein Problem, das immer noch auftreten kann, ist, dass eine NAT-Regel aus der Tabelle entfernt wird, obwohl die Verbindung noch besteht.

  • Falls dann von außen Pakete für den Tunnel ankommen, kann der Router diese nicht mehr weiterleiten und verwirft sie.
  • Das unterbricht die Tunnelverbindung, bis der Nutzer wieder ein Paket durch den Tunnel sendet.

Ältere (Heim-)Router routen teilweise generell keine Protokoll-41-Pakete.

Dynamische Endpunkte

Falls der Client-Endpunkt des Tunnels eine dynamische IP-Adresse besitzt (wie bei Privatkunden-Breitbandanschlüssen), dann muss der Kunde den Tunnelbroker immer bei einer Änderung über die neue IP-Adresse informieren.

  • Das geschieht entweder manuell über die Website des Tunnelbrokers oder über ein automatisches Protokoll wie TSP oder Heartbeat.

Andere Tunnelbroker erlauben eine komfortable webbasierte Lösung, bei der eine vorgegebene URL aufgerufen wird, in der Nutzername, Passwort und der Hostname oder die ID des Tunnels enthalten sind. Über die IP des Aufrufers (der Server für diese Lösung ist über IPv4 angebunden) kann der Endpunkt aktualisiert werden.

tunnelbroker.net

Hurricane Electric bietet einen kostenlosen tunnel broker Dienst an, der unter Arch relativ einfach zu benutzen ist, wenn Sie einem IPv4-Host IPv6-Konnektivität hinzufügen möchten.

Registrierung für einen Tunnel

Gehen Sie auf die Tunnelbroker-Site und füllen Sie die Registrierung aus.

Einrichten des Hurricane Electric-Tunnels

Erstellen Sie die folgende systemd-Unit und ersetzen Sie den fettgedruckten Text durch die IP-Adressen, die Sie von HE erhalten haben:

Hinweis
Wenn Sie sich hinter einem NAT befinden (typische Heimrouter-Einrichtung), verwenden Sie Ihre lokale IPv4-Adresse für client_IPv4_address, z.B. 192.168.0.2.
/etc/systemd/system/he-ipv6.service
[Einheit]
Beschreibung=he.net IPv6-Tunnel
Nach=network.target
[Service]
Typ=oneshot
RemainAfterExit=yes
ExecStart=/usr/bin/ip tunnel add he-ipv6 mode sit remote server_IPv4_address local client_IPv4_address ttl 255
ExecStart=/usr/bin/ip link set he-ipv6 up mtu 1480
ExecStart=/usr/bin/ip addr add client_IPv6_address dev he-ipv6
ExecStart=/usr/bin/ip -6 route add ::/0 dev he-ipv6
ExecStop=/usr/bin/ip -6 route del ::/0 dev he-ipv6
ExecStop=/usr/bin/ip link set he-ipv6 down
ExecStop=/usr/bin/ip tunnel del he-ipv6
[Install]
WantedBy=multi-user.target

Dann start/enable he-ipv6.service.

systemd-networkd

Wenn systemd-networkd Ihre Netzwerkverbindungen verwaltet, ist es wahrscheinlich eine bessere Idee, ihn auch den Tunnelbroker verwalten zu lassen (anstatt eine .service-Datei zu verwenden).

/etc/systemd/network/he-tunnel.netdev

[Match] [NetDev] Name=he-ipv6 Kind=sit MTUBytes=1480 [Tunnel] Lokal=<lokale IPv4> Entfernt=<Tunnel-Endpunkt> TTL=255

/etc/systemd/network/he-tunnel.network

[Match] Name=he-ipv6 [Netzwerk] Adresse=<lokale IPv6> Gateway=<IPv6-Gateway> DNS=2001:4860:4860::8888 DNS=2001:4860:4860::8844

Und fügen Sie diese Zeile in den Abschnitt "[Network]</nowiki>" Ihrer Standard-Internetverbindungsdatei "'.network" ein

Tunnel=he-ipv6

Verwendung des Tunneling mit dynamischer IPv4 IP

Aktualisierung über Cronjob

Der einfachste Weg, das Tunneln mit einer dynamischen IPv4-IP zu nutzen, besteht darin, einen Cronjob einzurichten, der Ihre aktuelle Adresse regelmäßig aktualisiert.

  • Die Beispiel-URL und einen Update Key finden Sie auf der Registerkarte Advanced der Seite Tunnel Details.

Um zu überprüfen, ob die Aktualisierung funktioniert, führen Sie den folgenden Befehl aus (ersetzen Sie USERNAME, UPDATEKEY und TUNNELID durch die Angaben zu Ihrem Konto und Ihrem Tunnel):

wget -O - https://USERNAME:UPDATEKEY@ipv4.tunnelbroker.net/nic/update?hostname=TUNNELID

Wenn es funktioniert, erstellen Sie einen Cronjob, indem Sie crontab -e öffnen und eine neue Zeile hinzufügen:

*/10 * * * * wget -q -O /dev/null https://USERNAME:UPDATEKEY@ipv4.tunnelbroker.net/nic/update?hostname=TUNNELID

Aktualisieren über ddclient

Alternativ kann dies auch durch die Installation von ddclient und die Konfiguration von /etc/ddclient.conf konfiguriert werden:

protocol=dyndns2
use=web
web=checkip.dns.he.net
server=ipv4.tunnelbroker.net
ssl=ja
anmeldung=BENUTZERNAME
passwort=UPDATEKEY
TUNNELID

Und schließlich start/enable ddclient.service


Anhang

Siehe auch


Dokumentation

Links

Projekt
Weblinks
  1. Free IPv6 Tunnel broker service betrieben von Hurricane Electric (englisch)
  2. https://wiki.archlinux.org/title/IPv6_tunnel_broker_setup