{"id":2748,"date":"2010-01-04T10:14:33","date_gmt":"2010-01-04T09:14:33","guid":{"rendered":"http:\/\/security-planet.de\/?p=2748"},"modified":"2010-01-04T10:14:33","modified_gmt":"2010-01-04T09:14:33","slug":"der-weg-zur-weisheit","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2010\/01\/04\/der-weg-zur-weisheit\/","title":{"rendered":"Der Weg zur Weisheit"},"content":{"rendered":"

\"IPv6<\/img><\/a>
\nNur wenige Wege f\u00fchren zur Weisheit, und den Wenigsten ist dies wohl beschieden …
\nF\u00fcr EDVler gibt es aber schon einen Weg, weise zu werden. Im Zuge des IPv6-Zertifizierungs-Prozesses von Hurricane Electric (die Firma hinter tunnelbroker.net<\/a>, die kostenlose IPv6-Tunnel zur Verf\u00fcgung stellen) durchl\u00e4uft man verschiedene Stufen, bis man beim “Sage” angekommen ist und zumindest f\u00fcr dieses Thema eine Form der Weisheit erreicht hat.<\/p>\n

Bei dieser Zertifizierung geht es darum, verschiedene Level der IPv6-Erreichbarkeit zu demonstrieren und eine Reihe von Fragen zu IPv6 zu beantworten. Die Sache ist nicht nur sehr informativ, sondern macht auch viel Spa\u00df. Bei dieser IPv6-Erreichbarkeit ist es nicht notwendig, einen Tunnel von HE zu verwenden. Wer einen anderen Tunnel-Provider benutzt oder sogar nativ IPv6 hat (der Gl\u00fcckliche<\/a>), der kann nat\u00fcrlich ebenfalls mitmachen.<\/p>\n

Im folgenden beschreibe ich mein Setup, mit dem ich die verschiedenen Stufen dieser Zertifizierung durchgef\u00fchrt habe und letztendlich bei der Weisheit angekommen bin:<\/p>\n

    \n
  1. Newbie<\/strong><\/li>\n

    F\u00fcr diesen ersten Level muss man nur ein paar einfache Fragen zu IPv6 beantworten. Wer sich bisher nicht mit IPv6 auseinandergesetzt hat, der k\u00f6nnte hiermit den Einstieg wagen.<\/p>\n

  2. Explorer<\/strong><\/li>\n

    Die Explorer-Stufe erreicht man, wenn man eine IPv6-Verbindung zum Internet hat. F\u00fcr eine getunnelte Verbindung mit einem Cisco-Router<\/a> habe ich die Vorgehensweise in einem eigenen Beitrag beschrieben.<\/p>\n

  3. Enthusiast<\/strong><\/li>\n

    F\u00fcr den Enthusiast muss man einerseits einen IPv6-f\u00e4higen Client haben, mit dem man auf das Internet zugreifen kann, andererseits muss man einen Webserver betreiben, der Webseiten per IPv6 ausliefern kann. Die generelle Konfiguration eines Linux-Servers hat Jens Link schon in einer Reihe von Beitr\u00e4gen<\/a> beschrieben. Bei mir kamen noch ein paar Punkte hinzu. Zum einen sind meine Dienste (Mail, Web, DNS, etc.) mit OpenVZ virtualisiert. OpenVZ muss also auch f\u00fcr IPv6 konfiguriert sein (alle Systeme sind Debian Lenny): <\/p>\n

    klio:~# grep ipv6 \/etc\/sysctl.conf \nnet.ipv6.conf.all.forwarding=1\nnet.ipv6.conf.default.forwarding=1<\/code><\/pre>\n
    klio:~# grep IPV6 \/etc\/vz\/vz.conf \nIPV6=\"yes\"<\/code><\/pre>\n
    Weiterhin muss dem OpenVZ-Gast eine weitere IP-Adresse zugewiesen werden, in diesem Fall eine IPv6-Adresse:<\/p>\n
    klio:~# vzctl set 123 --ipadd 2001:DB8:1:2:3::1 --save<\/code><\/pre>\n
    Diese IPv6-Adresse stammt nicht aus dem Tunnel-Netz,  sondern aus dem zus\u00e4tzlich zugewiesenen “routed \/64”-Netz, das man beispielsweise bei tunnelbroker.net bekommt.
    \nHier k\u00f6nnte man nat\u00fcrlich auch mehrere IP-Adressen zuweisen, um jedem vhost eine eigene IP-Adresse zu geben. Damit k\u00f6nnte man problemlos alle Webpr\u00e4senzen mit HTTPS sichern. In meinem Beispiel bekommt die gesamte VM eine IPv6-Adresse, die f\u00fcr alle vhosts verwendet werden kann.<\/p>\n
    Vor einiger Zeit bin ich vom Apachen auf Lighttpd<\/a> umgestiegen und bin bisher sehr zufrieden damit. IPv6 ist beim Lighty eine einzige zus\u00e4tzliche Zeile in der Konfiguration:<\/p>\n
    root@www2:\/# grep ipv6 \/etc\/lighttpd\/lighttpd.conf \nserver.use-ipv6 = \"enable\"<\/code><\/pre>\n
    Nat\u00fcrlich soll auf die Webpr\u00e4senz per FQDN zugegriffen werden, weshalb auch im DNS ein neuer Eintrag vorgenommen werden muss. W\u00e4hrend die IPv4-Adresse mit einem A-Eintrag konfiguriert wird, muss die IPv6-Adresse mit einem AAAA-Eintrag konfiguriert werden:<\/p>\n
    In der Zonen-Datei wird also folgende Zeile aufgenommen:<\/p>\n
    www        IN      AAAA    2001:DB8:1:2:3::1\n<\/code><\/pre>\n
    Durch diesen Eintrag in der Zonen-Datei von example.com kann der FQDN nun zu der IPv6-Adresse 2001:470:1f0b:c2c::211 aufgel\u00f6st werden und der Webserver kann per IPv6 die Seite f\u00fcr www.example.com ausliefern.<\/p>\n
  4. Administrator<\/strong><\/li>\n
    F\u00fcr diesen Level muss der Mail-Server per IPv6 Mails annehmen k\u00f6nnen.
    \nIn einem einfachen Postfix-Setup wird auch daf\u00fcr nur eine neue Zeile in der Konfiguration ben\u00f6tigt:<\/p>\n
    inet_protocols = all\n<\/code><\/pre>\n
    Ebenso mu\u00df f\u00fcr den FQDN des Mailservers nat\u00fcrlich ein AAAA-Eintrag hinzugef\u00fcgt werden.<\/p>\n
  5. Professional<\/strong><\/li>\n
    Um die Professional-Stufe zu erlangen, muss man eine funktionierende Reverse-DNS-Aufl\u00f6sung f\u00fcr den Mailserver haben.
    \nBei Tunnelbroker.net kann man f\u00fcr sein IPv6-Netz eine Reverse-Delegation anlegen. Damit ist der eigene Nameserver dann f\u00fcr die Reverse-Aufl\u00f6sung zust\u00e4ndig. Hierbei gibt es die Herausforderung, da\u00df in der Zonendatei die Adressen in einer     umgekehrten Schreibweise<\/a> angegeben werden. Aus der Adresse 2001:DB8:1:2:3::1 wird z.B. die Zeichenkette  1.0.0.0.0.0.0.0.0.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.8.b.d.0.1.0.0.2. Diese Umrechnung kann man mit dem Befehl “host -n” durchf\u00fchren:<\/p>\n
    karstens-macbook-pro:~ karsten$ host -n 2001:DB8:1:2:3::1\nHost 1.0.0.0.0.0.0.0.0.0.0.0.3.0.0.0.2.0.0.0.1.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa not found: 3(NXDOMAIN)\n<\/code><\/pre>\n
    Alternativ kann man sich die Zonendatei bei fpsn.net mit dem Zone-Builder<\/a> erstellen lassen.<\/p>\n
  6. Guru<\/strong><\/li>\n
    Hier muss der Nameserver selbst AAAA-Eintr\u00e4ge haben und per IPv6 erreichbar sein. Das ist im Prinzig die gleiche Arbeit wie beim Webserver weiter oben. Zus\u00e4zlich muss beim Bind9 die Option “listen-on-v6” gesetzt sein.<\/p>\n
  7. Sage<\/strong><\/li>\n
    Die letzte Stufe. Hierf\u00fcr ben\u00f6tigt man f\u00fcr seinen Nameserver einen IPv6-Glue-Record<\/a>. Dieser w\u00e4re notwendig, wenn Systeme, die kein Dual-Stack haben und nur noch IPv6 benutzen, eine Namensaufl\u00f6sung durchf\u00fchren wollen. Das ist zwar heutzutage nun wirklich noch nicht relevant, geh\u00f6rt aber halt zu einer kompletten DNS-Konfiguration dazu. Meine Domain habe ich bei Hosteurope registriert, die dies nicht automatisiert eintragen k\u00f6nnen. Dort musste ich ein Ticket \u00f6ffnen und um eine manuelle Eintragung bitten. Diese war dann auch schon nach kurzer Zeit erledigt und der letzte Test der Zertifizierung war bestanden.\n<\/ol>\n
    Nat\u00fcrlich ist mit IPv6 nicht alles automatisch besser. Einige Baustellen bleiben schon. Da ist zum Beispiel die Zugriffs-Geschwindigkeit per Tunnel ein gutes St\u00fcck langsamer als per IPv4. Weiterhin gibt es wohl in der einen oder anderen Software doch noch einige Bugs. Unter PHP funktioniert beispielsweise die fopen()-Funktion nicht mehr, die in WordPress an einigen Stellen ben\u00f6tigt wird. Aber das kann mit der Zeit nat\u00fcrlich nur besser werden.<\/p>\n
    Viel Spa\u00df an alle, die ihre Server auch per IPv6 erreichbar machen wollen.<\/p>\n","protected":false},"excerpt":{"rendered":"
    Nur wenige Wege f\u00fchren zur Weisheit, und den Wenigsten ist dies wohl beschieden … F\u00fcr EDVler gibt es aber schon einen Weg, weise zu werden. Im Zuge des IPv6-Zertifizierungs-Prozesses von Hurricane Electric (die Firma hinter tunnelbroker.net, die kostenlose IPv6-Tunnel zur Verf\u00fcgung stellen) durchl\u00e4uft man verschiedene Stufen, bis man beim “Sage” angekommen ist und zumindest f\u00fcr <\/p>\n
    continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[14],"tags":[181,282,318,374,448],"class_list":["post-2748","post","type-post","status-publish","format-standard","hentry","category-networking","tag-debian","tag-hetzner","tag-ipv6","tag-linux","tag-openvz"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/2748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=2748"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/2748\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=2748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=2748"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=2748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}