Studentenwohnheim Hartmannstraße
Temperatur am HaWo

IPv6

Was ist IPv6?

IPv6 ist der Nachfolger des derzeitigen Internetprotokolls IPv4. Nötig ist es vor allem, weil es mittlerweile so viele Rechner im Internet gibt, dass die IP-Adressen (von denen jeder teilnehmende Rechner zwingend eine eindeutige benötigt) ausgehen. Dass dieses Problem eines Tages auftauchen würde ist seit Ewigkeiten bekannt, weswegen IPv6 auch schon vor vielen Jahren entwickelt wurde. Seine Einführung kam jedoch nie voran, weil von den Benutzern keine Nachfrage bestand, und die Internetprovider die Investitionen scheuten. Da inzwischen jedoch die letzten IPv4 Adressblöcke vergeben wurden, und die Adressen daher langsam wirklich zu einem Knappen (und somit teurem) Gut werden, scheinen jetzt langsam auch die größten Schnarchnasen aufzuwachen und die Einführung in Schwung zu kommen. Ab 6. Juni 2012 liefern Google, Facebook und andere ihre Webseiten auch per IPv6 aus; zudem haben sich etliche große Provider verpflichtet einen gewissen Prozentsatz ihrer Endkunden bis dahin mit IPv6 zu versorgen - große deutsche Provider wie etwa die Telekom erweisen sich hierbei leider erneut als Versager und sind nicht dabei.

Wie kriege ich IPv6 im HaWo?

IPv6 im HaWo gibt es seit vielen Jahren. Wenn ihr vor Mitte 2011 eingezogen seid, müsst ihr es im Useradmin explizit aktivieren, bei allen die ab Mitte 2011 eingezogen sind ist es bereits standardmässig aktiv. Ebenfalls im Useradmin findet ihr die Möglichkeit, eine einfache netzseitige Firewall einzustellen. Da ihr per IPv6 (anders als bei IPv4) eine weltweit gültige und erreichbare Adresse habt, seid ihr natürlich auch weltweit direkt angreifbar (und nicht nur aus dem Uninetz wie bei IPv4). Die Standard-Einstellung der Firewall ist daher, alle eingehenden Verbindungen auf euren Rechner abzuweisen. Wenn ihr wisst was ihr tut, könnt ihr über den Useradmin diesen Schutz deaktivieren - und so z.B. von jedem IPv6-fähigen Internetanschluss auf der Welt per SSH oder rdesktop auf euren Rechner zugreifen. Unerfahrenen Benutzern müssen wir davon aber dringend abraten.

Die verfügbaren Firewalleinstellungen im Useradmin sind:

  • None at all
    Keinerlei Firewalling, weder ausgehend noch eingehend. D.h. JEDER kann von außen auf den Rechner zugreifen. ACHTUNG: Man hat eine öffentliche IPv6 Adresse und steht somit ungeschützt im Internet! (Nicht empfohlen!)
  • Incoming < 1024 w/o ssh (default für Benutzer die es selbst aktivieren)
    Die Ports < 1024 (z.B. www(80), smb(139),…) sind mit Ausnahme von ssh von außerhalb gesperrt. Die Ports > 1024 sind allerdings offen und ungeschützt. Ausgehende Verbindungen sind uneingeschränkt möglich.
  • Everything incoming (default für neue Benutzer)
    Jegliche Verbindungen von außen werden von der Firewall geblockt. Ausgehende Verbindungen funktionieren aber ohne jegliche Einschränkungen.

Änderungen in den Einstellungen sind nach spätestens zwei Stunden aktiv.

Zusätzlich hat die Uni noch folgende Zugangsfilter von außen auf dem 6win-Gateway eingerichtet, die wir nicht umgehen können: 25/tcp (smtp), 66/tcp (tftp), 111/tcp (sunrpc), 137-139,445/tcp (smb/nmb), 1433-1434/tcp (ms-sql) und 161-162/udp (snmp).

Wie muss ich mein Windows Vista / 7 / 8 / 10 konfigurieren?

Windows Vista und Windows 7 verwenden standardmäßig zwei Einstellungen, die im HaWo-Netzwerk nicht erlaubt sind, genannt “Random ID” und “Privacy Extensions”. Vereinfacht erklärt würfeln sie sich einfach zufällige Adressen aus, statt die ihnen zugewiesene zu verwenden. Das widerspricht aber den Benutzungsrichtlinien der Uni und somit natürlich auch des HaWo-Netzes. Folglich werden von unserer Firewall Verbindungen dieser ungültigen Adressen verworfen. Das kann dann dazu führen, dass manche Seiten endlos lange laden, weil Windows erst wie ein dummes kleines Kind stur versucht eine Verbindung mit seiner ungültigen selbst erzeugten Adresse aufzubauen, bis es das irgendwann nach einem langen Timeout endlich aufgibt.

Zum deaktivieren von Random ID / Privacy Extensions müsst du zwei Befehle auf einer Eingabeaufforderung mit Adminrechten eingeben. Um eine solche zu erhalten, klickst du auf Start und gibst ins Suchfeld cmd ein. Drücke nicht direkt die Eingabetaste, sondern klicke stattdessen mit der rechten Maustaste auf das cmd in der Liste der Suchergebnisse. Im erscheinenden Kontextmenü wähle “Als Administrator ausführen” und bestätige die folgende Abfrage. Der folgende Screenshot zeigt wie das bei einer englischen Windows-Version aussieht:

In der sich nun öffnenden Eingabeaufforderung gib die folgenden beiden Befehle ein:

netsh interface ipv6 set global randomizeidentifiers=disabled
netsh interface ipv6 set privacy state=disabled

Wenn das System die Befehle mit “OK” bestätigt hat bist ihr fertig.

Wie kann ich testen ob auch alles geht?

Zum Testen kannst du ein traceroute auf einen per IPv6 erreichbaren Rechner ausführen. Unter Windows heisst der Befehl dazu tracert, unter Linux traceroute6 oder traceroute.

Öffne eine Shell bzw. eine Eingabeaufforderung bzw. ein CommandPrompt und gib ein:
traceroute6 ntp1.ipv6.fau.de (unter Windows: tracert ntp1.ipv6.fau.de)

Das Ergebnis sollte dann etwa so aussehen:

traceroute to ntp1.rrze.ipv6.uni-erlangen.de (2001:638:a000:1123:123::2) from
              2001:638:a001:3ef1:..., 30 hops max, 24 byte packets
 1  ugate.hawo.ipv6.uni-erlangen.de (2001:638:a001:3ef1::1)  0.377 ms  0.366 ms  0.366 ms
 2  natur.gate.uni-erlangen.de (2001:638:a000::1:4301:1)  1.718 ms  1.154 ms  1.491 ms
 3  constellation.gate.uni-erlangen.de (2001:638:a000::3343:33)  2.818 ms  1.15 ms  0.983 ms
 4  2001:638:a000::3335:35 (2001:638:a000::3335:35)  3.444 ms  1.721 ms  1.834 ms
 5  ntp1.rrze.ipv6.uni-erlangen.de (2001:638:a000:1123:123::2)  1.117 ms  0.765 ms  0.749 ms

Wenn ihr dagegen nach dem ersten Hop nur noch Sternchen seht (* * * Request timed out oder ähnliches), seid ihr entweder nicht für IPv6 freigeschaltet, oder euer Rechner versucht nach wie vor eine falsche Adresse zu verwenden um nach aussen zu gelangen.

Alternativ gibt es auch verschiedene Webseiten, die ihr zum Testen verwenden könnt, wenn ihr sie mit einem halbwegs aktuellen Webbrowser aufruft. Das Problem an diesen Tests ist, dass sie wesentlich unzuverlässiger sind, weil sie von euren Proxyeinstellungen im Browser abhängen.

  • http://www.kame.net - bewegt sich die Schildkröte, dann läuft die Verbindung via IPv6.
  • heise.de wie ist meine IP - wenn die angezeigte Adresse mit 2001:638:a001:3ef1: beginnt, seid ihr mit IPv6 unterwegs. Ist sie dagegen 131.188.24.13, ists IPv4.
© 2001 - 2017 HaWo Webteam