IPv6, der Nachfolger von IPv4, ist eine neue Version des IP-Protokolls, das mit dem Ziel entwickelt wurde, seine Schwächen zu beheben, vor allem die Knappheit verfügbarer IP-Adressen. Dieses Protokoll handhabt die Netzwerkschichten; es adressiert die Rechner, überträgt Daten an ihr vorgesehenes Ziel und erledigt falls erforderlich die Datenfragmentierung (mit anderen Worten, Pakete in Stücke aufzuteilen und diese Stücke bei der Ankunft wieder in ihrer richtigen Reihenfolge zusammenzusetzen. Die Größe der Pakete hängt von den Netzwerkverbindungen ab.).
Bei Debian-Kerneln wird IPv6 im Core-Kernel ausgeführt (abgesehen von einigen Architekturen, bei denen es als Modul unter dem Namen ipv6 kompiliert wurde). Die IPv6-Äquivalente grundlegender Programme wie ping und traceroute heißen ping6 und traceroute6 und sind in den Paketen iputils-ping beziehungsweise iputils-tracepath verfügbar.
Das IPv6-Netzwerk wird ähnlich wie IPv4 in /etc/network/interfaces konfiguriert. Wenn jedoch dieses Netzwerk global verfügbar sein soll, müssen Sie einen IPv6-fähigen Router haben, um den Datenverkehr an das weltweite IPv6-Netzwerk zu übermitteln.
Beispiel 10.10. Beispiel einer IPv6-Konfiguration
iface eth0 inet6 static
address 2001:db8:1234:5::1:1/64
# Deaktiviere Autokonfiguration
# autoconf 0
# Der Router is Autokonfiguriert und hat keine feste Adresse
# (accept_ra 1). If it had:
# gateway 2001:db8:1234:5::1
IPV6 Subnetze haben eine Netzmaske von 64 Bit. Das heißt, es stehen 2
64 eindeutige Adressen innerhalb des Subnetzes zur Verfügung. Das ermöglicht der Stateless Address Autoconfiguration (
SLAAC), eine Adresse basierend auf der MAC-Adresse der Netzwerkkarte auszuwählen. Standardmäßig findet der Kernel automatisch IPv6 Router und konfiguriert das Netzwerk, wenn
SLAAC in Ihrem Netzwerk und IPv6 auf Ihrem Computer aktiviert sind.
Dieses Verhalten könnte Einfluss auf den Datenschutz haben. Wenn Sie häufig zwischen Netzwerken wechseln, z.B. mit Ihrem Laptop, möchten Sie eventuell nicht, dass Ihre
MAC-Adresse Teil Ihrer öffentlichen IPv6 Adresse ist. Denn dadurch ist es sehr einfach, das gleiche Gerät über Netzwerke hinweg zu identifizieren. Eine Lösung dafür bieten IPv6-Erweiterungen (welche Debian per Default einrichtet, wenn eine IPv6 Verbindung bei der Installation erkannt wird), die eine zusätzliche zufällig erzeugte Adresse, die der Schnittstelle zugewiesen wird, diese periodisch ändern und sie vor allem für ausgehende Verbindungen verwenden. Eingehende Verbindungen können weiterhin die von SLAAC erzeugte Adresse verwenden. Die folgende Vorlage zur Verwendung in
/etc/network/interfaces aktiviert diese Datenschutz-Erweiterungen.
Beispiel 10.11. IPv6 Datenschutzerweiterungen
iface eth0 inet6 auto
# Prefer the randomly assigned addresses for outgoing connections.
privext 2
IPv6-Verbindungen können auf die gleiche Weise wie bei IPv4 eingeschränkt werden.
nft kann verwendet werden, um Firewall-Regeln für IPv4 und IPv6 zu erstellen (siehe
Abschnitt 14.2.3, „Die Syntax von nft“).
Falls keine native IPv6-Verbindung verfügbar ist, kann als Rückgriff ein Tunnel über IPv4 verwendet werden. Hurricane Electric ist ein (kostenloser) Anbieter solcher Tunnel:
Um einen Hurricane Electric Tunnel zu verwenden, müssen Sie ein Konto registrieren, sich anmelden, einen kostenlosen Tunnel auswählen und die Datei /etc/network/interfaces mit dem generierten Code bearbeiten.
Sie können den Daemon radvd (aus dem gleichnamigen Paket) installieren und konfigurieren, wenn Sie den konfigurierten Computer als Router für ein lokales Netzwerk verwenden möchten. Dieser IPv6-Konfigurations-Daemon hat eine ähnliche Rolle wie dhcpd in der IPv4-Welt.
Anschließend muss die Konfigurationsdatei /etc/radvd.conf erstellt werden (siehe /usr/share/doc/radvd/examples/simple-radvd.conf als Ausgangspunkt). In unserem Fall muss nur das Präfix verändert werden, das durch das von Hurricane Electric bereitgestellte ersetzt werden muss; es ist in der Ausgabe des Befehls ip a zu finden im Absatz zur he-ipv6-Schnittstelle.
Dann führen Sie systemctl start radvd aus und das IPv6-Netzwerk sollte dann funktionieren.
