Beiträge getagged mit IPv6

IPv6 Subnetting

Ausgangslage: Eine Firma mit mehreren Aussenstellen möchte gerne IPv6 Adressen verteilen. Jede Aussenstelle hat mehrere VLAN’s (Subnetze) für verschiedne Dienste (LAN, PublicWLAN, Vioce, Video). Aktuell sind alle Geräte, Computer, Drucker und Server mit privaten Adressen (10.x.x.x) adressiert.

Die Firma möchte alle Geräte auch mit IPv6 (dual stack) adressieren. So kann für einige Dienste auf NAT verzichtet werden.

  • Welche Ranges werden empfohlen?
  • Wie gross sollten die Subnetze sein?
  • Welcher Adress-Range soll man benutzen?
  • Ich empfehle folgendes:

    Grössere Firmen sollten bei der zuständigen Stelle Provider unabhängige (PI – Provider Independent) Adressen bestellen. Diese stellen wären:

  • RIPE NCC – Réseaux IP Européens Network Coordination Centre für Europa
  • AfriNIC – African Network Information Centre für Afrika
  • ARIN – American Registry for Internet Numbers für Nordamerika
  • APNIC- Asia-Pacific Network Information Centre für Asien und den pazifischen Raum
  • LACNIC – Latin American and Caribbean Internet Addresses Registry für Südamerika und die Karibik
  • Meistens erhält man von der RIR (Regional Internet Registry) einen /48 Range zugeteilt. Diesen kann man dann wie im unteren Schema gezeigt aufteilen.

    Jede Aussenstelle würde z.B. ein /56 Netz erhalten. Dann können pro Standort 256 Subnetze in maximal 256 Standorten adressieren.
    Oder man wählt das Netz vor Ort etwas kleiner: /60 So können 16 Netze in maximal 4096 Standorten adressiert werden.

    Ich empfehle kein Netz mit Endgeräten (PC, Drucker, Router, usw.) zu erstellen, welches kleiner als /64 ist.
    Man vergeudet leider sehr viele Adressen, da ein /64 Netz immerhin 18’446’744’073’709’551’616 Adressen umfasst. Aber es ist das kleinste Netz bei dem man Autoconfig/SLAAC verwenden kann.

    Will man kleine Netze empfehle ich, die Adressen statisch (von Hand) zu vergeben.

    Jeder IPv6 fähige Gerät richtet automatisch eine eigene link-lokale und globale Adressen ein. So kann ein Endgerät mit anderen Geräten problemlos kommunizieren. Doch bei einem Router oder bei Servern sollten sich die Adressen nicht ändern. Ausser sie haben einen internen dynamischen DNS Server. Aber auch hier empfehle ich statische Adressen zu verwenden. Und für den Zugang zum Internet muss ein Router zwangsläufig eine feste IPv6-Adresse haben. Dem Router und wichtigen Servern (AD, Exchange, File) sollte man die Adresse manuell zuweisen und bei Client Computern oder Applikationsservern kann man die Adressen zentral per DHCPv6 zuweisen (optional mit Reservierung).

    IPv6-Subnet Tabelle
    2a02:1368:0000:0000:0000:0000:0000:0000
    |||| |||| |||| |||| |||| |||| |||| ||||
    |||| |||| |||| |||| |||| |||| |||| |||128 Einzelne Adresse, Endpunkt, Loopback
    |||| |||| |||| |||| |||| |||| |||| |||127 Point2point Links
    |||| |||| |||| |||| |||| |||| |||| ||124
    |||| |||| |||| |||| |||| |||| |||| |120
    |||| |||| |||| |||| |||| |||| |||| 116
    |||| |||| |||| |||| |||| |||| |||112
    |||| |||| |||| |||| |||| |||| ||108
    |||| |||| |||| |||| |||| |||| |104
    |||| |||| |||| |||| |||| |||| 100
    |||| |||| |||| |||| |||| |||96
    |||| |||| |||| |||| |||| ||92
    |||| |||| |||| |||| |||| |88
    |||| |||| |||| |||| |||| 84
    |||| |||| |||| |||| |||80
    |||| |||| |||| |||| ||76
    |||| |||| |||| |||| |72
    |||| |||| |||| |||| 68
    |||| |||| |||| |||64 1 - kleinstes Netz für Autoconfig/SLAAC (Standardzuweisung für ein Enduser Netz)
    |||| |||| |||| ||60
    |||| |||| |||| |56 256 - Standardzuweisung für einen Kunden (so kann man 256 x /64 Netze Adressieren)
    |||| |||| |||| 52 4096 - (so kann man 4096 x /64 Netze Adressieren)
    |||| |||| |||48 65536 - Typisches Netz für Zuweisung von RIPE für PI Adressen oder Firmen (65536 /64)
    |||| |||| ||44
    |||| |||| |40
    |||| |||| 36
    |||| |||32 /32 - Typische Adressierung an einen LIR - z.B. an Arcade
    |||| ||28
    |||| |24
    |||| 20
    |||16
    ||12 Zuteilung an RIPE von der IANA (2a00:0000::/12RIPE NCC)
    |8
    4

    Siehe https://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml

    , ,

    Keine Kommentare

    Exchange 2013 IPv6 Probleme

    Ausgehende Mails ab Exchange 2013 werden abgeleht.

    Wer mit einem Microsoft Exchange 2013 Server Mails an GMX oder gMail sendet kennt evtl. diese Meldungen:
    – Sender address rejected: Please see http://www.openspf.org/Why?….

    – The sender does not meet basic guidelines ipv6 sending of authentication and RDNs resolution of sending ip. Please review https://support.google.com/mail/answer/81126for more information. – gsmtp
    Your message was not delivered due to permission problems or safety. She may have been rejected by a moderator, the address only accepts mail from certain senders, or another restriction prevented delivery.

    Obwohl der Server eine fixe IP Adresse hat (IPv4 und IPv6) benutzt Exchange eine dynamische IPv6 Adresse zum Versenden von Mails. Das Problem existiert bei IPv4 nicht, da es dort keine stateless address autoconfiguration, Link-local oder Site-local Adressen gibt.

    Mails werden über die statische IPV6 Adresse empfangen (wie es im DNS erfasst ist).
    Die Mails werden aber nicht über die selbe Adresse wieder versendet (SMTP outgoing). Sondern für ausgehende Verbindungen wird die dynamische IPv6 (stateless address autoconfiguration) verwendet. Diese IPv6 Konfiguration macht an einem PC Sinn, da so die ausgehende Adresse immer wieder ändert und so das Tracking von Informationen eingeschränkt wird.

    Beim Versenden von e-Mails macht das allerdings wenig Sinn, da genau hier der Absender eindeutig identifizierbar sein sollte.

    Mittels der Exchange Shell kann man die abgehende Adresse aber festlegen:
    Beim „Send-Connector“ gibt es die Variable „SourceIPAddress“.

    Achten sie wie bei IPv4 darauf, dass die Adresse einen korrekten DNS Reverse Eintrag hat und, falls vorhanden, beim SPF Record korrekt erfasst ist.

    Weitere Infos auf der Microsoft Technet Seite:
    http://technet.microsoft.com/de-de/library/gg144561%28v=exchg.150%29.aspx

    , , , , , , , , ,

    Keine Kommentare

    Barracuda SPAM Firewall – IPv6 aktivieren

    Die Barracuda SPAM Firewalls können seit der Firmware Version 5.x auch mit IPv6 Adressen umgehen. Leider kann man die IPv6 Unterstürzung nicht einfach im WebGUI in  einem Menu aktivieren.

    Doch ist die Aktivierung sehr einfach.

     

    1) Login im WebGUI der Barracuda SPAM Firewall

    2) Menu ADVANCED (oder ERWEITERT) anwählen

    3) URL um &expert=1  ergänzen
    ( https://gw.antispam.url/cgi-mod/index.cgi?&user=admin&password=xxx&auth_type=Local&locale=de_DE&primary_tab=ADVANCED&expert=1 )

    4) nun erscheint ein neuer, roter Menupunkt „Expert Settings“

    5) hier kann man unter „IPv6-Unterstützung aktivieren:“ die IPv6 Konfigurationsmöglichkeiten aktivieren

     

     

     

    , , , , , , ,

    Keine Kommentare

    Juniper SSG Firewall – enable IPv6 (Netscreen)

    Juniper SSG Firewalls mit ScreenOS können bereits seit einiger Zeit auch mit IPv6 Traffic umgehen. Dazu wird eine ScreenOS Version höher als 6.3 vorausgesetzt. Zur Zeit aktuell ist die Version 6.3.0r12.0. (Stand 23.10.2012) 

    Um IPv6 auf der Firewall zu aktivieren muss eine kleine Änderung vorgenommen werden. Und die Firewall muss neu gestartet werden. Wer keinen Cluster betreibt, muss leider mit einer kurzen Downtime rechnen.

     

    Vorgehen um IPv6 Funktionen zu aktivieren:

    1) Telnet oder SSH Verbindung mit der Firewall herstellen und mit einem Administrator-Account anmelden.

     

    2) get env            (per CLI eingeben)

    Folgendes oder ähnliches Ergebniss erscheint.

    Remote Management Console
    login: xxxxxxxxxxx
    password: xxxxxxxxxxx
    firewall-> get env
    shdsl_pic_mode=0
    last_reset=2010-04-20 09:32:16 by netscreen
    default_image=screenos_image
    patch=init
    firewall->

    Es ist hier noch keine IPv6 Einstellung gespeichert. Somit kann man mit dem nächsten Schritt forfahren.

     

    3) Nun die Einstellung:

    firewall> set envar ipv6=yes
    firewall> save

    Hiermit setzen wir die Variable IPv6 auf „yes“ und sichern diese Konfig.

     

    4) Reboot der Firewall  (z.B. per CLI mit  „reset save-config yes“)

    Danach sollten die IPv6 Einstellungen vorhanden sein und euer Firewall ist „IPv6 ready“.

     

     

     

    , , , ,

    Keine Kommentare