- priprema: dignuti Debian pa onda
apt-get install iproute iputils-ping traceroute iptables tcpdump wireshark \
telnet openssl netcat6 dnsutils wget elinks \
postfix apache2 vsftpd pdns-recursor bind9 radvd \
quagga aiccu
wget http://ftp.hr.debian.org/debian/pool/main/d/djbdns/dbndns_1.05-8_i386.deb
dpkg -i dbndns*
- sto je ipv6 i zasto ga zelimo?
trenutni IPv4 iz 1981, IPv6 iz 1998 (RFC 2460) [fali IPv5 protocol - The
Internet Stream Protocol - ST, nikad zazivio, zamisljen za video/voice
itd. vidi diskusiju u RFC 1190 za ST-II - broj je prvi nibble u IP paketu]
- Primarni problem je nedostatak IPv4 adresa, nestati ce negdje oko ulaska
Hrvatske u EU. :-)
http://penrose.uk6x.com/ == IANA 1.2.2011, APNIC 15.4.2011.
http://www.ipv4depletion.com/ ==> slijedeci je RIPE! za oko 258 dana?
http://www.potaroo.net/ ==> detaljne analize
http://test-ipv6.com/ - brza web2.0 provjera
IPv4 = oko 4 milijarde (2^32 =~ 4E6), IPv6 (2^128 =~ 340E36 340 sekstiliona)
- vracanje end-to-end komunikacije -- no more NAT kludges
- NAT *nije* "sigurnost od provala". NAT je statefull firewall + rewrite source IP adrese
Statuful firewall je sigurnost, a njega se moze imati i bez NATa.
("ip(6)tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT")
- autokonfiguracija adresa bez DHCPa (stateless) ili sa (stateful)
- IPSec integrated.
- bolji QoS (traffic class, flow label) umjesto diffserv/ToS
- maybe: mobilnost i multihoming (a mozda i ne...), anycast umjesto broadcast
- nedostaci:
- oblik zapisa nuzno duzi (ali moguca kracenja, DNS kao workaroundi, neke stvari i svoje metode - recimo BIND ORIGIN za reverseDNS)
- nije kompatibilan sa IPv4. Workaroundi:
- DualStack - IPv4 + (native ili tunelirani IPv6)
- 6in4 - protocol 41, problem firewalli i NAT bez DNAT. Tunnel-broker.net
- AYIYA, apt-get install aiccu, ali i sixxs.net kompleksnija registracija
- Teredo: apt-get install miredo (nekad problematican rad, centralni serveri, /etc/gai.conf prioriteti
uncomment all labels but #label 2001:0::/32 7)
- itd. (ISATP, 6rd, NAT64/DNS64, DS-Lite, ...) http://en.wikipedia.org/wiki/IPv6_transition_mechanisms
- detalji IPv6
- adresiranje nacini:
full 2001:0db8:0042:0000:0000:0000:0000:0001 (8 grupa sa po 4 hex znaka svaka odvojena sa ":")
ne moraju se vodece nule pisati ==> 2001:db8:42:0:0:0:0:1
zadnja grupa od vise 0 se moze zamijeniti samo sa :: ==> 2001:db8:42::1
special case ::ffff:192.168.0.1 (IPv4 mapped - RFC4038, transitional)
- mreze: /64 minimalno za LAN od 2^64 IPova, /128 jedna adresa, /56 256 networka, /48 65536 networka
LIRovi gruope od /32 (65536 /48 networka)
- svaki NIC (mrezni adapter) ima link-local adresu, i nula ili vise unique-local i global adresa
- adrese imaju validnost i preferiranost: "ip -6 addr"
- special adrese
::/128 unspecified, dok se jos ne zna (0.0.0.0/32)
::1/128 loopback na lo interfaceu (127.0.0.1/32)
fe80::/10 link-local adrese
fc00::/7 unique-local addresses (ULA - RFC4193) - (private, ekvivalent RFC1918 192.168. itd)
ff00::/8 multicast (224.0.0.0/4)
2000::/3 global unicast ("The IPv6 Internet")
2001:db8::/32 dokumentacija (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24)
2001:2::/48 benchamrking (dokumentacija)
2001:0::/32 - Teredo (transition)
2002::/16 - 6to4 (transition)
ping6 ff02::1%eth0 - all nodes
ping6 ff02::2%eth0 - all routers
- bonding rr i DaD problems - ili disable DaD ili active-passive
- debian kernel support odavno, u squeeze cak i nije vise module nego built-in
- radvd primjer i install
- neighbour discovery (ND) autoconfig IP, MTU.
Duplicate Address (DaD) i neighbour unreachable (NUD).
umjesto ARP broadcasta u IPv4 za rezoluciju MAC adrese.
U IPv6 multicast ND (ip -6 neigh)
router solicitation / router advertisement (RA) - gw (ip -6 route)
- tunnelbroker.net i http://ipv6.he.net/certification/ (i majica :)
- linkovi na resurse
http://www.ipv6actnow.org/
http://wiki.debian.org/DebianIPv6
http://mod.carnet.hr/index.php?q=watch&id=1244
- plugin firefox ShowIP -- ali samo pokazuje DNS, a ne nazalost i na koji smo se tocno spojili
- sto je sve obecano za radionicu
Sazetak: Definiranje IPv6, njegove potrebe i prednosti, te problema sa iscrpljenjem IPv4
adresnog prostora koji su postali vrlo aktualni pocetkom 2011. godine. Radionica ce povuci
paralele izmed/u IPv4 i IPv6 mreza i adresiranja, pokazati slicnosti i razlicitosti
prilikom koristenja mreznih alata (uglavnom na Debian i drugim GNU/Linux sistemima), te
pokazati kako instalirati i podesiti razne servise kao DNS, Web, FTP, mail, firewall da
rade i preko IPv6. Preporucno je prethodno osnovno poznavanje trenutnih IPv4 adresa.
- Definiranje IPv6,
- njegove potrebe i prednosti, te problema sa iscrpljenjem IPv4
adresnog prostora koji su postali vrlo aktualni pocetkom 2011. godine.
- paralele izmedju IPv4 i IPv6 mreza i adresiranja
- slicnosti i razlicitosti prilikom koristenja mreznih alata
(uglavnom na Debian i drugim GNU/Linux sistemima)
- ping => ping6
- traceroute => traceroute6
- nc => nc6
- telnet => telnet -6
- nekad bracket forma za address literals (najcesce ako moze biti i FQDN, ili :port, ili protocol specific)
npr. elinks 'http://[2001:db8:42::140]'
- nema manje od /64
- EUI-64 (MAC adresa sa ff:fe u sredini)
na windowsima random - (i linux privacy extensions gdje)
- reverse dns ip6.arpa., forward AAAA a ne A (niti A6 abominacija!)
- # IPv6 HE tunnelbroker.net anycast, use google services at IPv6!
nameserver 2001:470:20::2
- netstat -l
:::80 moze biti i samo ipv6, ali i ipv6+ipv4, ovisno o nacinu koristenja
- carnet nudi svojim ustanovama, radi se na PPK
komercijalni provideri?
trazite i pitajte
- oprez: ipv6 broken router zbog preferiranosti ipv6 - mali postotak
neradecih stranica
- ipv4 nedostatak problem - cak i ako mi imamo adresa dovoljno!
- NAT ne samo da nije sigurnost; nego otezava/onemogucava i pronalazenje
npr zarazenog racunala ili sl. veliki broj adresa u ipv6 prakticki
onemogucava bruteforce scanning (nmap -sP 2001:db8::/32)
- sigurnosno - tuneli "probijaju" firewall (ako rade)
- ipv6-icmp vs icmp!
- special: ff05::1:3 (all dhcp servers - i drugi...
http://en.wikipedia.org/wiki/Multicast_address )
- linkovi utilizacija:
http://www.sixxs.net/tools/grh/dfp/all/?country=hr
bwm.carnet.hr
http://www.kame.net/ plesuca kornjaca
ipv6.google.com (sa he.net DNSom i vise!) ili google project http://www.google.com/intl/en/ipv6/
- prakticno: servisi
- dignuti network, tunnelbroker.net acc ili sixxs ili miredo
#auto he-ipv6
iface he-ipv6 inet6 v4tunnel
endpoint 216.66.80.30
local 192.168.1.100
address 2001:db8:1234:5678::2
netmask 64
gateway 2001:db8:1234:5678::1
# mtu 1280
# that gets ignored in v4tunnel, only used in "static"! see http://wiki.debian.org/DebianIPv6 and http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=408453
# so we set it up manually here:
up ip link set mtu 1280 dev $IFACE
ttl 255
#pre-up /usr/local/bin/he6_update_tunnel
# nesto tipa: wget --no-check-certificate -q -O - https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=AUTO&pass=xxxxxxxxxxxxxxxxx&user_id=yyyyyyyy&tunnel_id=zzzzz
up ip addr change 2001:db8:1234:5678::2/64 dev $IFACE preferred_lft 0
- radvd za klijente. I/ili DHCP6 za stateful.
/etc/radvd.conf (na klientu apt-get install rdnssd):
interface eth0
{
AdvSendAdvert on;
AdvLinkMTU 1380;
prefix 2001:db8:1234:4444::1/64
{
};
RDNSS 2001:db8:1234:4444::1
{
};
};
- DNS (tinydns, powerdns-recursor, bind)
http://ftp.hr.debian.org/debian/pool/main/d/djbdns/dbndns_1.05-8_i386.deb
ili http://anders.com/projects/sysadmin/djbdnsRecordBuilder/#AAAA
- web (apache)
- FTP (vsftpd)
- mail (postfix)
- firewall (ip6tables. scriptiranje 4+6 iptables)
- wireshark
- quagga (extra primjer LAN i BGP) ?
- www.ipv6tracker.org