|
Tuesday, May 18. 2010
Es gibt verschiedene Tunnelbroker für IPv6overIPv4, Sixxs.net und he.net (tunnelbroker.net) sind die bekanntesten. Für adsl mit wechselnden IPv4-adressen, wie hier üblich, hält sixxs.net den praktischen daemon aiccu bereit, der, einmal mit den Eckdaten wie Tunnel-ID, Passwort, Server-IP versorgt, den Aufbau des Tunnels und die Aktualisierung der Endadrese bei Wechsel der dynamischen IP ganz wunderbar erledigt, so dass man da keinen Aufwand der Konfiguration hat.
Nun habe ich leider mit sixxs immer wieder Netzwerkprobleme erlebt, ein Ping > 300ms bremst schon sehr spürbar, wenn alle Browser etc vorzugsweise IPv6 benutzen. Ich habe deshalb zu tunnelbroker.net umgestellt, aber die Frage der Konfiguration kommt damit neu auf.
Auf der Detail-seite zu einem mit tunnelbroker.net eingerichteten Tunnel bekommt man zwar (für versch. betriebssysteme) eine beispielkonfiguration angezeigt, die ich (linux-route2) so wie sie kam in die Kommandozeile pasten konnte und schon lief der Tunnel. aber nach der nächsten Zwangstrennung geht dann wieder nichts mehr.Und jedesmal per Hand ist keine Option.
Bei mir ist ein alter p3-Rechner der Router und so kann ich /etc/ppp/ip-up und /ip-down verwenden, Scripte, die in diesen Ordnern liegen, werden bei Herstellung bzw. Trennung der Verbindung automatisch aufgerufen, mit nützlichen Parametern wie etwa Localip und Remoteip. Programme wie fetchmail, postfix etc legen hier bei der Inwstallation Eintraege an und in beiden Ordnern habe ich ein kleines shell-script für meine eigenen Zwecke, hier als Beispiel /etc/ppp/ip-down.d/ip-down-local
#!/bin/sh
# this script is called from ip-down
# to hold actions I want to happen whenever the IP-Connection is stopped
BASENAME=`basename $0`
INTERFACE=$1
DEVICE=$2
SPEED=$3
LOCALIP=$4
REMOTEIP=$5
case "$INTERFACE" in
ppp0*)
# he-ipv6 anlegen
/usr/local/bin/heIpv6-del.sh
;;
*)
# dont know...
;;
esac | logger -t $BASENAME
Entsprechend gibt es auch ein /etc/ppp/ip-up.d/ip-up-local, hier sind die relevanten Zeilen
# tunnelbroker updaten
/usr/local/bin/tunnelbroker_update.sh $4
# he-ipv6 anlegen
/usr/local/bin/heIpv6-add.sh $4
Und die drei hier aufgerufenen Scripte in /usr/local/bin lauten
heIpv6-del.sh:
ip -6 route flush dev he-ipv6
ip link set he-ipv6 down
ip tunnel del he-ipv6
heIpv6-add.sh
ip tunnel add he-ipv6 mode sit remote 216.66.80.30 local $1 ttl 255
ip link set he-ipv6 up
ip addr add 2001:470:1f0a:12ef::2/64 dev he-ipv6
ip route add ::/0 dev he-ipv6
tunnelbroker_update.sh
#!/bin/sh
curl -k "https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=$1&pass=0000000000000000000000000000000&user_id=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa&tunnel_id=11111";
(bei dem Aufruf von curl, - 1 Zeile! - muss man die Parameter mit den eigenen daten setzen, hinter pass gehoert der md5-Hash des Passwortes (echo -n 'yourpassword' | md5sum), user_id ist nicht der Username sondern die userID von der tunnelbroker-Seite - auch ein MD5-Hash, tunnel_id ist die global tunnel ID - eine 5stellige Zahl.)
Monday, May 17. 2010
Ein Update und Nachtrag zum Thema Nameserver: he.net bietet jetzt freie DNS an, derzeit noch beta und auf 25 Zones beschränkt. Aber dafür bekommt man DNS und rDNS aus einem Formular und das noch dazu ohne Dänisch.
Ohnehin ziehe ich mit meinen IPv6-Tunneln schritt für Schritt von Sixxs weg und zu HE, es hakt leider bei Sixxs gar nicht so selten und bei einem Ping von 330ms zum ersten Hop hinter dem tunnel kommt dann selbst ssh ins Stolpern.
Wird Zeit, dass man endlich natives IPv6 bekommt, XS4All bietet das (nach einem Jahr Probebetrieb) nun standardmässig und in Deutschland? findet man in der FAQ des Providers allenfalls Hinweise, wie man IPv6 bei aktuellen Betriebssystemen wieder deaktivieren kann! Schnarchnasen.
Tuesday, March 16. 2010
Datenaustausch mit dem Server, das ist vom Windows-Desktop her in der Regel ein Job für WinSCP , vom Linux CLI tar und scp. Wenn man sich einmal die kleine Mühe gemacht hat, sshd für authorized_keys einzurichten, ist das alltagstauglich komfortabel.
rsync hat seine Stärken beim Backup. Aber zuweilen wäre es am praktischsten, ein entferntes Verzeichnis lokal zu mounten und das geht mit sshfs. sshfs ist ein FUSE-Modul, mit dem man entfernte Rechner über SSH in das
eigene Dateisystem einbinden kann. Der Vorteil gegenüber einer ssh-Shell
ist, dass man damit die Dateien und Verzeichnisse auf dem entfernten
Rechner sehr komfortabel editieren, kopieren oder verschieben kann –
genau wie die Dateien und Verzeichnisse auf den lokalen Festplatten. Auf dem Server braucht es dazu ein sftp-Programm, das aber in der Regel schon vorhanden ist.
Lokal muss FUSE eingerichtet sein, sshfs installiert, der Benutzer muss der Gruppe fuse zugeteilt sein und ein mount point muss bereitstehen.
sudo apt-get install sshfs
sudo mkdir /media/Verzeichnisname
sudo chown Benutzername /media/Verzeichnisname
sudo adduser Benutzername fuse
Will man sich vergewissern, dass die ssh-Verbindung klappt, ruft man zum Test erst mal eine shell
ssh server.tld
exit
und dann ist man auch schon startklar,
sshfs server.tld:/pfad /media/Verzeichnisname
bindet das entfernte Verzeichnis ein. Um es später wieder zu lösen, gibt man
fusermount -u /media/Verzeichnisname
Es gibt noch zahlreiche Optionen, darunter -p Portnummer und -o idmap=user, um den lokalen Benutzer auf eine UID auf dem server abzubilden. Und weil ssh problemlos mit IPv6 zurecht kommt, kann sshfs dies natürlich auch.
Thursday, February 25. 2010
Erinnert ein wenig an die Link-Listen des ganz frühen www, ein Verzeichnis von ipv6-erreichbaren WebSeiten.
 beim IPv6-Forum kann man eine URL auf IPv6-taugleichkeit testen und mit Logo versehen.
Und inetcore.com bindet einen Zähler ein, der die Zugriffe per IPv4 bzw IPv6 misst und vergleicht.
Wednesday, February 24. 2010
Nebenbei bin ich auf einen Bug in Windows 7 gestossen: die Abfrage von Time Servern (Internetzeit) gelingt nicht, wenn der Server via IPv6 abgefragt wird.
tic.dreckhaen.de hatte urspruenglich nur einen A record und diente jahrelang problemlos als time server, als einer im pool.ntp.org wie auch direkt vom desktop aus.
Nachdem der Host auch einen AAAA Record hatte, ging plötzlich die Uhr auf dem Desktop falsch. Erst nachdem ich diesen record wieder löschte, gelang die Synchronisation auch wieder.
Friday, February 19. 2010
Bei der Zertifizierung zum IPv6-Sage wird auf glue records für die Name server getestet, letztlich war es für mich mit ns1.gratisdns.dk sehr leicht, diesen Test zu absolvieren.
Hier Links zu einigen seiten mit hilfreicher Info:
wikipedia hat ein kommentiertes Beispiel der Namensauflösung zu www.heise.de
Im Forum zu tunnelbroker.net gibt es einen recht ausführlichen thread
eine faq bei domainmonster.com
hetzner hat einen Hinweis in der robot-faq
Friday, February 19. 2010
Mal eben durch die Reihe der offenen tabs im Browserfenster und die nützlichen Links einsammeln:
IPv6 mydocs mediawiki mit Kurzdoku
j. visser blog mit ein paar entries zu he.net und certification
web-based dig
Thursday, February 18. 2010
Auf dem Weg durch das Ipv6-Zertifikationsparcoursstiess ich auf einen Mangel an Hetzners Name Servern:
Man kann hier zwar voellig frei den Inhalt der eigenen Zone Files gestalten, aber für die Name Server selbst gibt es keine IPv6-Anbindung, keine AAAA.records und also auch keine Erreichbarkeit aus einem reinen IPv6-Netz.
Derlei mag gegenwaertig ja auch noch die totale Ausnahme sein, aber wie lange noch?
Also begann ich die Suche nach IPv6-tauglichen und möglichst freien DNS-Angeboten, und habe auch 2 Alternativen gefunden.
Zum einen ist das xname.org, mit Sitz in Paris, die freie DNS anbieten, die software ihrer Website sogar als opensource zum download anbieten und die immerhin einen der drei name server mit AAAA ausgestattet haben.
Zum anderen wurde ich bei gratisdns.dk fündig, hier sind 5 Name Server am Werk, die allesamt IPv6-fit sind. Einen kleinen Haken hat dieses Angebot aber: das Interface fürs Anlegen der zone files ist etwas gewöhnungsbedürftig und alle Texte und Erklärungen sind auf Dänisch.
Thursday, February 18. 2010
Hurricane Electric hat eine IPv6 Certification, eine Reihe von automatisierten Tests, die Schritt für Schritt die erfolgreiche Konfiguration der zentralen Dienste für IPv6 abfragt - vom Anlegen eines 6in4-Tunnels, der Konfiguration des Webservers fuer IPv6, der Anpassung des Mailservers, AAAA-records für DNS, rDNS, bis zur Prüfung, ob der Nameserver selbst auch AAAA-records hat und via IPv6 angebunden ist.
Kein schlechter Führer durch die Materie, aktuell bin ich
Eine detailliertere Beschreibung der einzelnen Schritte kann ich mir hier sparen, sie findet sich auf security-planet und auch he.net hat im forum einige hilfreiche Tests dazu.
Ein großes Rätsel war mir zum letzten Schritt das Anlegen der glue records aber dann ging es ganz einfach, ich habe die name server von gratisdns.dk im Einsatz und ns1.gratisdns.dk hat glue.
Success!
BTW: Das Zertifikat zeigt unweigerlich den Account Namen an, mit dem man sich bei tunnelbroker.net registriert hat; beisheim ist der Ortsname des Lan, das ich ursprünglich mit diesem Tunnel anbinden wollte. Man kann tatsächlich auch dynamische IPs für diese Tunnel verwenden, muss sie halt regelmaessig updaten, aber sixxs-Tunnel mit aiccu sind dafür viel bequemer.
Sunday, February 14. 2010
Ein sehr nuetzliches Tool zum Anlegen von Zonefiles für die reverse DNS - Namensauflösung ist der IPv6 Reverse DNS Zone Builder for BIND 8/9 .
Friday, February 12. 2010
Natürlich soll man es auch auf den ersten Blick erkennen können, wenn eine site IPv6-ready ist und per IPv6 abgerufen wird. Etwas wie Googles huepfendes Logo oder die Schildkröte auf kame.net musste her.
Die Erkennung der jeweiligen Verbindung leisten ein paar Zeilen php:
<?php
class ip_detector
{
function is_ipv6($ip = "")
{
if ($ip == "")
{
$ip = ip_detector::get_ip();
}
if (substr_count($ip,":") > 0 && substr_count($ip,".") == 0){
return true;
} else {
return false;
}
}
function is_ipv4($ip = "")
{
return !ip_detector::is_ipv6($ip);
}
function get_ip()
{
return getenv ("REMOTE_ADDR");
}
function indicateConnectionBySymbol()
{
if (ip_detector::is_ipv6())
{
echo "<img src='img/ipv6.gif' width='31' height='18' alt='Verbunden per IPv6'
title='Verbunden per IPv6 von ".ip_detector::get_ip()."'>";
}
else
{
echo "<img src='img/ipv4.gif' width='31' height='18' alt='Verbunden per IPv4'
title='Verbunden per IPv4 von ".ip_detector::get_ip()."'>";
}
}
}
?>
Thursday, February 11. 2010
Auf dem Wege zur Umstellung auf IPV6 tat sich die Frage auf, wie ich die Menge der IPs anbinde. Der Server hat von tunnelbroker.net einen statischen 6in4-Tunnel und dazu je ein /48-Subnet und ein /64er, zur besseren Redundanz auch von Sixxs noch einen Tunnel mit /48. Das macht zusammen eine obszöne Anzahl von Adressen, da kann ich mir eine eigene IP je vhost leisten 
Für die ersten Versuche habe ich die IPv6-Adressen in der /etc/network/interfaces analog der IPv4-Adressen eingetragen, etwa so:
# Zusatz-IP 1
auto eth0:1
iface eth0:1 inet static
address 192.0.2.n
broadcast 192.0.2.m
netmask 255.255.255.248
iface eth0:1 inet6 static
address 2001:db8:12c4::1
netmask 64
Für ein paar Beispiele kommt man damit zurecht, aber schon mit einem knappen Dutzend wird es lästig.
So geht es besser:
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::1/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::2/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::3/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::4/64
up /sbin/ifconfig eth0 inet6 add 2001:db8:12c4::5/64
|
