 So, für unseren ersten Talk des heutigen Tages freue ich mich sehr, euch heute Mutant vorzustellen. Mutant ist im ChaosPod Essen aktiv. Er ist Naturwissenschaftler, Kaufmann, Techniker und Autodidakt. Und er hat sich für uns einmal durch die Untiefen des IP V6-Internets gekämpft und uns allen das Leben leichter gemacht und jetzt hören wir von ihm, wie wir es anstellen können, wenn wir IPv6-Geräte verbinden möchten. Mutant, die Bühne gehört dir. Ja, ich hatte einfach die Idee, ich würde das IPv6 ein bisschen besser verstehen und einfach mal zu verstehen, was kann ich da eigentlich mitmachen? Wie kann ich das für mich benutzen? Kann ich das benutzen, um mich zu einer entfernten Maschine ein paar 100 Kilometer weit weg zu verbinden? Das geht, das möchte ich euch jetzt vorstellen. Was ich euch zeigen möchte, ist, wie man sich auf andere Computer über Internet verbinden kann. Direkt auf die IP-Adresse, das heißt, wir gucken nach der IP-Adresse, nur mit Bordmitteln, Nutzung der IPv6-Möglichkeiten, ohne Gefummeln und Gemurks, ich mag dieses Zitat ganz gerne. Keine extra Software, das heißt, kein Teamviewer, keine Tools wie VPN, nicht das VPN falsch wäre, aber in dem Fall jetzt mal alles ohne, kein Dune-DNS, keine Startschneidreißen und schon gar nicht irgendwelche windigen Apps. Was ich hier verwende, ist einfach das, was ich da habe, das heißt, ein Fritzrouter von AVM und ein Torres Omnia in der Kaskade und halt ganz normale Laptops und so weiter dahinter. Die Idee, die ich vorstellen möchte, das heißt, die Methode, wie finde ich das Ziel, das ist ganz wichtig, das ist ja bei der Bundespost genauso, du brauchst nur einen Brief, los schickst, brauchst du eine Adresse. Was ich euch vorstellen möchte, ich möchte die unbekannte Zieladresse ermitteln. Dazu benutze ich einen Prefix, ein Prefix, ein Prefix Delegation Prefix, den bekomme ich vom Provider und für den Hostanteil übersetze ich mir die 48 Bit Mac Adresse in eine EOI 64 Adresse. Das möchte ich euch gerne mal zeigen, wie das funktioniert, wie man das hinbekommt, was tue ich dann, wie viel verbinde ich, wozu will ich mich verbinden und was will ich damit überhaupt machen. Ich möchte mich nur ein Report 22, das heißt SSH verbinden. SSH, da kann man dann die andere Maschine erreichen und sich Sachen angucken. X Forwarding geht darüber, X Forwarding geht auch über Valent, das heißt man kann einfache kleine GUI Tools, kann man auch darüber sehen. Das kennt ja ein oder andere. ASYNC SCP, das heißt, ich kann Dateien kopieren, ich kann also nicht nur irgendwelche Konfigurations-Files, kann ich mir nicht nur angucken, ich kann die auch hin und her kopieren, ich kann Backups hin und her kopieren, ich kann also auf der Kommandline eine ganze Menge schon damit machen. Das wird für den Normal-User nicht so interessant sein, der möchte lieber GUI Tools haben, geht auch mit dieser Methode, das heißt, wenn ich den GUI File Manager oder File Browser, wie immer das nennen willst, herziehen möchte und damit arbeiten möchte, wie zum Beispiel Nemo, Nautilus und Tuna, das sind ja die üblichen File Browser. Dann kann ich das machen, die haben nämlich die Möglichkeit eingebaut, dass man dort direkt auf ein Server zugreift, das heißt, mit diesem Port 22 SSH Zugriff kann ich also arbeiten, als wäre die entfernte Maschine neben mir. Wäre natürlich klasse, kann man da noch mehr mitmachen? Ja. LibreOffice kommt mit einem eigenen eingebauten Klein, das ist wahnsinnig praktisch, da kann man also auch dann die entfernte Adresse hinterlegen und kann also in LibreOffice arbeiten, als hätte man die Dateien auf seiner eigenen Festplatte. Das ist für Normal-Anwender schon mal eine unheimlich interessante Sache und man kann einfach relativ viel damit machen. Tatsächlich sind wir mittlerweile in einer kleinen Gruppe damit homofficemäßig unterwegs, das war eigentlich überhaupt nicht geplant, ich wollte das nur haben, um auf dem Server ein bisschen was zu administrieren. Und tatsächlich sind jetzt mehrere Leute schon mit Homeoffice unterwegs, obwohl das gar nicht so gedacht war, aber es funktioniert halt gut und es funktioniert so schön einfach. Was wir nicht machen, ist SMB-Mountain, NFS-Mountain oder 8080 freigeben, das sind einfach Sachen, die ich sicherheitstechnisch zum Beispiel gar nicht beherrschen könnte oder die man grundsätzlich so nicht beherrschen kann. Das lässt man mal schön sein. Wie komme ich da hin? Was ist der Weg? Wie komme ich denn jetzt zu der entfernten Maschine? Das heißt, ich will erstmal die Zieladresse ermitteln, das ist ja genau wie bei der Post. Ein erhaltenen Briefix möchte ich haben für den Netzwerkteil und ich möchte den Host-Anteil ermitteln. Die beiden zusammengeben dann die IPv6-Adresse. Das schauen wir uns gleich einfach mal an, wie das funktioniert und um überhaupt zugreifen zu können, möchte ich natürlich den Port 22 und nichts anderes aufmachen auf diese Gasse, auf diese Adressen, die ich dann freigebe. Das heißt, ich muss auch bestimmte Adressen freigeben, und zwar bitte nur die, die ich über die prefix delegation auch definiert habe. Was anderes möchte ich natürlich nicht freigeben und genau die brauche ich dann, damit ich dahin komme. Was ich nicht möchte, ist statische Adressen. Das heißt, feste Adressen, das ist eine Last Century Internet-Geschichte, die hat man immer gebraucht. Bei IPv6 braucht man praktisch keine oder nur noch in Ausnahmefällen feste IP-Adressen. Was natürlich sehr schön ist, weil man Fehler vermeiden kann, weil man die Zugangskontrolle leichter im Griff hat, weil das sicherheitstechnisch und vor allen Dingen aus Wartungsgründen ist das natürlich sehr vorteilhaft, wenn man keine statischen Adressen überhaupt erst verteilen muss, weil IPv6 schon so viele Adressen mitbringt. Das heißt, man hat alles schon. Man braucht es nicht extra manuell reinfrimmeln. Es ist schon da. Ich möchte jetzt hier mal kurz ein bisschen eingehen auf ein paar Begrifflichkeiten. Einfach, um mal so V6-typische Begriffe mal nach dem RFC 8415 vorzustellen. IP ist Internet Protocol Version 6, IPv6. Finde ich sehr sympathisch zu sagen, IP ist Internet Protocol Version 6. Was sonst? Neighbor. A node attached to the same link. Das heißt, alles, was in unserem Netzwerk drin ist, ist ein Neighbor. Wunderbar. Ganz einfach. Ein node, was ist ein node? A device that implements IP. Ich habe also ein Gerät, was irgendwie IP spricht. Bei V6 ist es interessant, weil es ist ganz anders als die ursprüngliche V4-Ideo, wo ein Gerät eine Adresse hatte und das reicht in 60er Jahren ja auch locker. Haben wir jetzt ein Gerät mit vielen Interfaces und jedes Interface hat dann nochmal ganz viele Adressen. Das ist also sehr, sehr flexibel und scheinbar unübersichtlich. Was ist ein Router? Ein Router a node that forwards IP packets not explicitly attached to itself. Ist doch wunderschön definiert. Der Punkt ist nämlich, was im FC 4119 mal kurz dargestellt wird, IPv6 Adresses of all types are assigned to interfaces, not nodes. Das heißt, ich packe die Adresse nicht mehr an mein Gerät, an meine Box, sondern an das Interface, weil ich kann viele Interfaces haben und das funktioniert ja mit V6 dann auch. Kurz schon mal eine Vorwegname auf zwei Begrifflichkeiten, die wir unbedingt brauchen. Die ULA, Unique Local Address, das sind die Adressen innerhalb unseres Netses. Das ist so was ähnliches wie private Adressen, aber das ist deutlich mehr. Es ist in unserem Netz. Und die GUA, die Begrifflichkeit ist nicht immer so häufig benutzt, ist aber sehr praktisch griffig und unterscheidet, ist auch sehr schön. GUA ist die Global Unicast Address. Das ist so eine typische V6 Geschichte. Wie sind jetzt diese Adressen aufgebaut? Die einfach mal so ein klein bisschen angucken. Das ist nämlich gar nicht so schwierig. The IPv6 Addresses as currently defined consists of 64 bits of network number and 64 bits of host number. Das heißt, wir haben 64 Bit vorne und 64 Bit hinten. Das ist die Hälfte vorne, die Hälfte hinten macht zusammen 128. Klingt ganz einfach, ist es auch. Und das ist eben auch das Spannende daran. V6 sieht erst mal wild aus und stellt sich dann als logisch und strukturiert raus, dass man zum Beispiel sagen kann, wir haben zweimal vier gleich acht Gruppen, acht Gruppen von vier hexadecimal digits. Das ist also ganz logisch und stringent und immer gleichbleibend aufgebaut. Wie zerlegen wir jetzt diese Adresse? Ich habe hier einfach mal so ein Beispiel hingeht. Das ist natürlich kein reales Beispiel, einfach damit man sich mit dem Augen mal reinsehen kann. Benennen können wir das dann damit, dass wir sagen, der vordere Teil ist der Public Teil. Dann die vierte Gruppe, die nennen wir zum Beispiel Side. Das ist einfach dazu da, wenn ich in einem ganz großen Netzwerk Subnetting betreiben will, dann nehme ich diesen Bereich für das Subnetting und den hinteren Teil nennen wir zum Beispiel den Interface Teil. Wir können das auch ganz anders nach FC 3177 benennen, dass wir sagen, vorne ist Network Number und hinten ist Host Number. Da halte ich mich auch so ein bisschen dran. Das ist schön einfach. Ich habe immer die Trennung vorn der Hälfte, hinten die Hälfte sehr logisch aufgebaut. Oder ich sage vorne Global Routing Prefix, dann Subnet ID, also die gleiche Idee wieder, dass ich hier in der vierten Gruppe einfach mein Subnetting mache, wenn ich das brauche, wenn ich das haben will oder wenn ich das automatisch reinbekomme. Und der hintere Teil ist die Interface ID. Das ist die Benennung nach FC 3787. Netzwerk Teil vorne und Host an Teil hinten. Das habe ich mir jetzt mal in deutscher Sprache, habe ich mir das jetzt mal als halbwegs griffige Bezeichnung jetzt gewählt und will die auch durchhalten. Dann gibt es noch den Vorschlag, vorne nennen wir das ganze Prefix oder Prefix und hinten Interface Identifier, das ist deutsche Sprache nach Wikipedia Deutsch. Wichtig ist, also wir sehen, es ist vorne die Hälfte, hinten die Hälfte, das ist schön abgetrennt. Es ist begrifflich nicht so ganz festgelegt. Also bitte nie jemanden schlachten, wenn er da andere Begriffe nennt. Es ist nicht so scharf. Hauptsache man sagt vernünftig, was man meint. Und man meint also entweder den vorderen oder den hinteren Teil, das werden wir gleich auch trennen. Denn wir haben im V6, das ist im Prinzip, ist es neu, haben wir eben ganz, ganz viele Adressen pro Note. Wir haben viele Adressen pro Interface und wir können mehrere Interfaces in einem Note haben. Das heißt, wir haben auf jeden Fall ganz viele Adressen pro Note. Und das ist eben auch eine sehr schöne Sache, weil wir können uns aussuchen, was wir gerne hätten. Ich gehe jetzt nochmal hier so ein bisschen auf den Adressaufbau ein, weil das einfach relativ wichtig ist und irgendwann dann auch ziemlich simpel ist, zu verstehen. Dann kann man das auch sehr schnell sehen, was man sieht. Sehr IPv6 Adler, das ist das currently Defined Consist auf 64 bits auf Networknummer und 64 bits auf Hausnummer. Hat man gerade schon. Wir haben hier vorne 64 Bit hinten, macht 128 Bit. Plenty of Adresses pro Interface, Adress plus Global Reichweite. Was heißt Reichweite? Wir unterscheiden im Wesentlichen, und beziehungsweise die Unterscheidung, die ich hier eben auch benutzen möchte, ist unser Netz und das große Netz. Das große Netz bezeichnet dann grundsätzlich immer die Welt. Das ist Global. Global Adressen fangen immer mit einer 2 an. Könnten auch mit einer 3, das soll man noch nicht vergeben, fangen immer mit einer 2 an. Das heißt, wenn eine Adresse kommt, die mit 2 anfängt, dann weiß ich, ich habe eine Global Address und zwar eine Global Unicast Address. Die ist immer grundsätzlich weltweit gültig. Die kann auch weltweit geroutet werden. Und dann gibt es die ULAS. Die fangen mit FD an. FC ist deprecated, gibt es hier mehr. FD, ULAR Unique Local Unicast Addresses. Das ist sowas ähnliches wie private Adressen. Es sind alle Adressen in unserem eigenen Netz. Das heißt, alles, was wir physisch oder virtuell zusammengestopstelt haben, unser Netz vor Ort, das kann mit ULAS arbeiten. Die ULAS werden nicht rausgeroutet. Also das ist die Parallele zu den private Adressen. Dann gibt es auch die Link Locals und Local Loop und so weiter. Die werde ich jetzt einfach derzeit aber gar nicht betrachten. Die brauchen wir für unsere Idee auch nicht. Eine Unterscheidung, die einem häufig begegnet ist Stateful und Stateless. Da, denke ich, müssten wir einfach die Begrifflichkeit mal kurz vorstellen, ohne das näher zu vertiefen. Das ist ein schönes eigenes Thema. Aber dafür fehlt jetzt eine Zeit. Stateful, IAR, Identity Association for Non-Temporary Addresses und IATA, Identity Association for Temporary Addresses. Haben wir noch nicht viel erklärt, haben wir aber die Begriffe wenigstens mal gesehen, was die eigentlich bedeuten. Das braucht man schon gelegentlich in den Setups, damit man einfach wissen, wo sind wir eigentlich? Stateful, ja. Stateful, Stateless, was heißt denn das? Stateless ist eigentlich am einfachsten zu erklären. Wir haben ja diesen schönen Mechanismus, der Address Auto Configuration, Slack. Das ist so eine IPv6-Geschichte, in dem Moment, wo ich die Box an den Strom anschließe, hat das Interface eine Adresse, eine V6-Adresse bekommen. Ich weiß noch gar nicht, dass es irgendwann mal E-Sanat sprechen möchte und hat schon eine Adresse bekommen, mit der man arbeiten kann. Das ist neu. Ich muss die, also nicht alle von Hand es sein. Ich muss mich nicht ständig drum kümmern, irgendwas von Hand dazu zuweisen, sondern die sind direkt da. Was wir auch nutzen werden, da gibt es verschiedene Mechanismen. Der Router annonsiert ein Prifix. Wir werden gleich sehen, zwei wesentlichen. Der Router weiß in dem Moment aber nichts von dem Endgerät oder von dem Status. Das heißt, der sagt, hey, ich habe hier eine geile Prifix-Adresse, will die jemand haben? Und ob jetzt jemand sagt, hurra, ich nehme die oder ich nehme die nicht, das weiß er nicht. Deswegen heißt das Stateless. Das heißt, er kann, der Router weiß über den Status, der Geräte gar nicht genau Bescheid beim Stateless. Er muss es nicht wissen, er braucht es nicht wissen, er annonsiert etwas, was benutzt werden kann. Und das sind im Wesentlichen jetzt die IPv6-Adress-Prefixes. Wir unterscheiden nach dem Scope, das heißt, nach der Reichweite. Das heißt, befinden wir uns in der Welt oder befinden wir uns im eigenen Netz. Im Wesentlichen unterscheiden wir zwei Prifixes. Das ist der ULA-Prefix. Der gilt in unserem Netz. Der wurde bei Autoconfig-Announcement aus dem lokalen Router geschickt. Ich habe hier oben einfach mal so aus dem Tourist-Omnia ein Screenshot rausgeschossen. Da stellt man also in seinem Router den Prifix ein. Der wird annonsiert und jede Maschine kann sich den nehmen. Wir haben also auf jeder Maschine in unserem Netz, ohne dass wir überhaupt wissen, was wir für Maschinen haben, haben wir also die Möglichkeit, den ULA-Prefix zu benutzen. Hat den riesen Vorteil, in dem Moment, wo ich den im Router endere, habe ich das gesamte Netz geändert und zwar konsistent. Das ist ein riesen Vorteil, wenn man also größere Netze irgendwie verändern will. Und IPv6 bietet noch darüber hinaus den Vorteil. Es ist jetzt nicht so, dass alle Geräte, die die alte Adresse benutzen, dass die jetzt abgeklemmt werden. Nein, es ist tatsächlich so, dass alle Adressen, die noch in Benutzung sind, dass die weiter beibehalten werden. Das heißt, theoretisch bis zu 254 Adressen können auf einem Interface aktiv sein. Man sieht das hin und wieder, wenn man ein Server hat, der häufig der Router eine neue Adresse zugewiesen hat, der Server aber durchläuft, dann hat der eine riesige Menge von Adressen, ein paar sind gültig, der Rest ist deprecated. Wir haben also ein Protokoll, was wirklich gelernt hat und mitspielt, was immer das tut, was wir gerne hätten und wofür wir träumen, nämlich, dass wir das zentral ändern können. GUA-Prefix, und da kommen wir zu dem Teil, den wir jetzt eigentlich benutzen wollen, der GUA-Prefix kommt aus der prefix delegation. Das heißt, den setzen wir nicht selber, sondern der kommt vom Provider. Technisch abgehandelt wird das über das DHCPV6-Protokoll, RFC 4779. Das heißt, unser Provider schickt uns ein prefix, den holen wir ab. Das ist so spezifiziert, dass wir das machen können. Und den benutzen wir dann. Was müssen wir da tun? Wir müssen dem Router, unserem Internet-Modern-Router, zum Beispiel dieses Fritzbox oder so, oder was auch immer ihr da einsetzt, das ist natürlich vollkommen egal was. Einfach praktisch müssen wir sagen, macht das. prefix delegation einschalten. Bitte hol das. Das sieht zum Beispiel so aus. ICMPV6 muss eingeschaltet sein, unbedingt. Also bei V6 sollte man das grundsätzlich immer einschalten, weil sonst das Protokoll überhaupt nicht richtig funktioniert. Da das bei Last Century Internet ein bisschen anders war, muss man das nochmal dabei sagen. Bitte unbedingt immer einschalten. Bei den Geräten aus Berlin heißt das, dass wir den V6 frei geben. Fragen wir nicht, wo diese Terminologie herkommt. Und wir brauchen natürlich die Firewall-Freigabe für die prefix delegation Gasse. Hat ich am Anfang kurz erwähnt, wir müssen nicht nur wissen, wie die Adresse ist, wir müssen auch freischalten, dass wir zugreifen können. Das ist dann natürlich ganz stark, abhängig davon wie der Modem-Router das löst. Die Fritzbox hat das wunderschön gelöst, deswegen liebe ich das, das ist eine Sache, da muss man den Leuten echt mal gratulieren und das heißt, Firewall für delegierte IP V6-Prefixes in diesem Gerät öffnen. Das ist die Konfiguration bei der Fritzbox. Das heißt, der gültige prefix wird freigeschaltet und alle anderen werden nicht freigeschaltet. Das ist also genau das, was ich haben will. Woher kommt der prefix? Also der prefix kommt tatsächlich vom Provider, weil er weltweit gilt. Das ist ganz wichtig. Da kriege ich ihn ins Netzwerk, ist natürlich die Frage. Und woher erfahre ich eigentlich, wie der aussieht? Wie heißt der eigentlich? Wir gehen also über den Provider-Appruf. Hier habe ich mal so ein Screenshots-Missen reingeferkelt. Das heißt, das sieht man dann auch leicht im Router. Der prefix ist nicht unbedingt identisch oder in der gleichen Gruppe wie die Netzwerk-Adresse, die der Router kriegt. Das ist auch Absicht so. Ich möchte also die Adresse haben, sage dem Router, nimm die bitte und dann vorwortet der die in mein Netz. Damit habe ich einen international weltweit gültigen prefix in meinem Netz. Der wechselt auch. Das ist eine Erfahrungssache. Einfach, dass es nicht standardisiert. Der prefix wechselt bei DSL sehr oft. Das heißt, ein DSL-Anschluss wird jedes Mal, wenn man ihn reconnectet, wird er den prefix voraussichtlich wechseln. Muss man einfach mal drehen, weil das ist ein seltener Router. Ich mache eher von im Tagesrhythmus. Bei Glasfaseranschlüssen ist es üblicherweise sehr selten. Das heißt, genau wie bei den Docsis-Kabelanschlüssen, ist es normalerweise so, wenn am Backbohrnetz gearbeitet wird, dann kommt auch ein neuer prefix. Und sonst eher nicht, auch wenn man reconnectet, kommt kein neuer prefix. Das heißt, der ist semi-stabil oft über Monate. Der ist immer einfach einbeziehen in seine Überlegung. Wie es bei GSM ist, weiß ich nicht. GSM in Deutschland ist es im Prinzip auch drin, ist aber in der Form nicht so verfügbar. Zugang zum Netzwerk. Kurz erwähnt. Feierwohl nur für delegierte IPv6 prefixes Öffnen im Modemrouter, weil ich muss ja reinkommen. Ich muss ja dann nachher die Adresse, die ich gefunden habe, zugreifen können. Die kriege ich eigentlich von der 200 km weit entfernten Maschine den prefix mit. Der ist ja individuell. Dort gibt es einfach die Möglichkeit, in manchen Routern ist das eben auch direkt verfügbar, dass man sich eine Push-E-Mail schicken lässt auf eine vielleicht eine Adresse, eine spezielle Adresse, die nicht jeder sieht, wo ich mir einfach den aktuell gültigen prefix zuschicken lasse. Das kann ich also bei diesen Fritzboxen direkt aus dem Setting rausmachen, dass der mir das zuschickt auf eine E-Mail-Adresse. Das kann ich natürlich auch selber sich programmieren über ein Skript oder MQTT oder wie auch immer man das gerne haben möchte, dass man erfährt, wie ist denn eigentlich mein prefix? Und dann habe ich ihn. Ich habe also den prefix erhalten vom Provider. Ich habe ihn mir P-E-Mail zuschicken lassen. Ich habe die Gasse freigemacht. Hurra, der vordere Teil meiner Netzwerkadresse ist jetzt also bekannt. Das ist also genau das, was ich haben möchte. Jetzt muss ich mich mal um den hinteren Teil, um den haustanteil kümmern. Dazu gehe ich hin und sage dem Node, sage dem Interface, in dem Fall er dem Node, sage bitte schalte mir EOI 64 Adressen ein. EOI 64 extended unique Identifierfz habe ich hier aufgeschrieben. Links gibt es übrigens, wenn man hier oben auf das A klickt, gibt es dann auch ein paar Links in der Präsentation, die im Internet verfügbar ist. Da braucht man das nicht von Hand raus fummeln. Das heißt, das Gerät verwendet die MAC Adresse um einen 64-Bit Haustanteil und zwar einen ganz bestimmten, einen immer gleichen, vorhersehbar, vorher sagtbaren 64-Bit Haustanteil zu erzeugen. Der wird uns also bereitgestellt. Wir assignen den nicht. Der wird bereitgestellt, abhängig davon, wie die MAC Adresse ist. Und da kommt etwas zu, was ganz wichtig ist, dann möchte ich auch ganz stark aufbestehen. Ich möchte darauf achten, die Temporary-Adress einschalten. Die Temporary-Adress, das ist eine Adresse, die geht raus in die Welt, die ist zufällig, die ist zeitgesteuert, die ist also für jemanden der Blödsinn machen will, für nichts zu gebrauchen. Und genau das ist der Punkt. Ich möchte meinen Note ja anonym halten. Meine Adresse gilt, meine richtige Adresse, meine, was ja es richtig sind, die ist ziemlich lange. Nämlich, solange der Note diese Interface-Karte hat. Das möchte ich nicht unbedingt jedem in die Hand drücken. Bitte Temporary-Adress einschalten. Wir sehen auch gleich noch, wie wir das machen. Die Temporary-Adress für den Haustanteil wird also aus einer zufällig generierten 64-Bit-Zahl erzeugt. Teil der Privacy-Extensions, das ist also die Geschichte mit den Temporary-Adress. Warum? Denn die Temporary-Adress sichtbar ist, aber nicht unsere EOE 64. Und das ist der Gag. Damit ich da eine gewisse Security drin behalte. Also was machen wir, um das zu konfigurieren? Im Zielrechner, das müssen wir natürlich noch einmal machen. Netzwerk des Zielnotes einstellen. EOE 64 einschalten. Bitte nicht verwechseln mit Stable Privacy. Das ist ein altes Tool, das ist alternativ. Das macht auch nicht viel mit Privacy. EOE 64 bitte einschalten. Was wir bitte auch brauchen? Clone Mac-Adress auf permanent setzen. Das ist eine Sache, das ist ziemlich unbekannt. Im Deutschen wird das teilweise so besetzt mit duplizierte Adresse dauerhaft. Ein bisschen Hölzern stimmt auch nicht ganz. Der Punkt ist, jedes Interfacer 3 Mac-Adressen, eine selbst gewählte, haben wir, wählen wir vielleicht gar nicht. Wir haben also tatsächlich 2, die, die du draußen auf dem Karton schon lesen kannst, sehr praktisch, wenn du ein Device verbinden möchtest, auf diese Art und Weise, dass noch niemals aus dem Karton rausgekommen ist. Und draußen steht die Mac-Adresse drauf. Und die muss man permanent setzen, weil es noch eine weitere gibt. Und die kann also tatsächlich im laufenden Betrieb ohne Reconnect kann die wechseln. Das ist mir passiert, sonst wüsst ich es nicht. Kann man danach nachlesen, werde ich jetzt nicht vertiefen, das ist ein Punkt dazu, was das soll. Und der dritte Punkt, wie eben schon erwähnt, ich wiederhole es noch mal absichtlich Temporary Adress Bitte setzen. Das ist ganz wichtig. Und zwar setzen wir die auf 2. Es gibt auch einen anderen Status, nämlich 1. 1 heißt einfach nur eingeschaltet, aber 2 heißt eingeschaltet und Prefer Temporary IP. Das heißt, wenn ich an eine Seite, wie zum Beispiel vom Beeringer, gehe, um einfach mal zu prüfen, wie ich der Welt, dann möchte ich jedem meine Temporary Adress zeigen und keinem die EOE 64 zeigen, weil man eventuell damit mist machen kann. Also Brutforce ist bei IPv6 nicht ganz so erfolgreich, aber das heißt ja nicht, dass es nicht trotzdem mal bitte ein bisschen auf Security achten, Temporary Adress immer einschalten, kann man übrigens immer einschalten. Womit setze ich denn jetzt eigentlich diese EOE 64 und die Temporary Adress? Ich setze sie mit den nmcli Tool mit dem nmcli Tool nmcli Hier habe ich ein Beispiel, nmcli con show active, da zeigte einfach an, wie heißt meine Verbindung, zum Beispiel habe ich sie immer isa-vinos-00 genannt und dann sage ich nmcli connection modify den Namen IPv6 IPv6 Privacy 2 Adress Generation Mode 64 Die Clone muss ich entweder ob es isa net oder wi-fi ist muss ich die mit einem anderen Befehl setzen, das ist aber egal, kann man da verbeide abschießen, da kommt eine Fehlermeldung, macht nichts. Wer die Command Line nicht mag kann diese QE einschalten nm2e edit dann kommt ein grafisches Interface das ist deutlich einfacher für Menschen, die keinen Bock auf eine Command Line haben was leider nicht mehr so gut funktioniert sind manche GUIs Gnomi zum Beispiel unterschlägt sehr viele Funktionen in seiner Netzwerk-GUI, die man direkt aus dem Fenster vom Rechner öffnen kann deswegen stelle ich nur diese beiden hier vor nmcli funktioniert hervorragend, ist ganz einfach kann man also einfach auf diese Art und Weise machen wer das nochmal nachvollziehen will das Kochbuch dazu habe ich ja auf der linkenseite.de habe ich ja auch nochmal dabei gestellt, das ist nicht reviewt aber das funktioniert gut, wie war das jetzt mit der MAC-Adresse, wie war das jetzt mit der Hausdanteil, weil das Problem ist, wenn wir den Hausdanteil bilden erstmal die Voraussetzung das Interface konfiguriert, haben wir gerade gemacht also EUI 64 brauchen wir so, dann möchten wir aus der 64, aus der 48 mit MAC-Adresse das ist das Ding hier, sieht man das teilweise am Karton noch, möchten wir eine 64-Bit-House-Danteil machen das machen wir nach einer bestimmten Vorschrift dieses EUI 64-Format zu erzeugen, da wird dann was hin und hergestellt und umgestellt, steht im RFC 4291 Appendix und da gibt es ein schönes Tool für IPv6 Kalk heißt das, es gibt sich vermutlich auch noch andere, aber das ist das, was auch bei Dibi und zum Beispiel direkt verfügbar ist, das heißt da braucht man nicht lange rumfummeln wir wollen ja ohne Fummeln und Gemurks und ohne irgendwelche wilden Apps, wir gehen also mit IPv6 Kalk vom Beeringer, das ist übrigens gehen wir also hin und machen aus dieser 48-Bit MAC-Adresse, machen wir einfach eine 64-Bit EUI 64-Adresse da sieht man hier, wenn man die einfach vergleicht 890DE120 9ADE, genau, hier wird nämlich ein Bit geflippt und das ist nicht ganz trivial wäre also nicht leidenschaftlich, wie näher spricht, wird da ein Moment drüber nachdenken müssen oder nimmt besser das Tool und in der Mitte kommt dann noch ein FFFE da reingesetzt daran erkennt man die dann auch immer von weitem, weil die kommt immer, kommt das FFFE da in der Mitte, das heißt aus der MAC-Adresse, die ich hier zum Beispiel aus dem IPA befehle oder wo auch immer ich habe vom Karton raus, völlig egal, ich habe es tatsächlich schon ausprobiert, das kann man machen aus einfach Verpackung von Internet-of-Shit-Geräten oder so was, also einfach die MAC-Adresse ablesen, gibt die ein, hier ist ein Beispiel von der Command-Line, IPv6-Calc MAC Tueroi 64 den Teil, die ja damit für keine Fehlermeldung kriegen und tatsächlich ergibt uns schlicht und ergreifend den hinteren Teil aus, die 64-Bit die wir suchen als Host-Anteil. Wir haben also jetzt unseren Host-Anteil eine Bitte haltet bitte eure MAC-Adressen vertraulich, schreibt sie auf, dann könnt ich mich, ich mache das so, ich habe also tatsächlich lange Listen, ich kann also von jedem Ort der Erde, kann ich mit der Liste, also einfach schlicht und ergreifend mit dem IPv6-Calc-Tool mir den Host-Anteil raus suchen, dann lasse ich mir die Prefix-Delegation zuschicken und dann habe ich die komplette Adresse. Hurra, Zieladresse finden ist erfolgreich den erhaltenen Prefix-Delegation-Prefix zu verwenden, damit waren wir ja schon durch, den haben wir, das heißt den haben wir freigeschaltet, den haben wir vom Provider bekommen, den haben wir uns zuschicken lassen und die 22-Gasse haben wir freigegeben, das hatten wir schon abgeschlossen, das war schon und jetzt haben wir es hingekriegt, die 48-Bit MAC-Adresse des Interfaces zu übersetzen in eine 64-Bit EOE 64-Adresse wir haben also den vorderen Teil und wir haben den hinteren Teil und das ist genau das, was wir jetzt nur noch gebraucht haben, um uns zu connecten. Damit ist im Prinzip die Sache vorgestellt. An der Stelle würde ich im kleinen Kreis jetzt eine kleine Demo machen, das Problem ist natürlich, ich kann die Maschinen die mir nicht gehören, die ich dazu gerne benutzen würde, die kann ich, da kann ich unmöglich die MAC-Adressen, die IP-Adressen publik zeigen. Deswegen werde ich hier jetzt keine Live-Demo machen, ich kann aber jeden auffordern, das auszuprobieren und wenn da jemand Fragen hat, kann er mich gerne anschreiben, gar kein Thema. Was haben wir gemacht? Wir haben den Network-Anteil ermittelt. Wir haben den Host-Node konfiguriert, damit er mit uns EOE 64 spricht. Wir haben den Host-Anteil errechnet, also den hinteren Teil mit der EOE 64. Wir haben außerdem das Bitte mit der Temporary-Adress sicher gemacht. Wir haben die Prefix-Delegation-Gerse freigemacht, damit wir überhaupt reinkommen zu unserer Maschine, ganz wichtig. Aber eben bitte auch nur SSH, SSH auf die entfernte Maschine einfach absetzen. Fertig. Dann kann ich meine Arbeit erledigen. Was kann ich machen? Ich hatte es kurz erwähnt. Eigentlich war das nur dazu da, dass ich hin und wieder mal auf den Server draufgucken kann und dem Maristaten kann oder einfach mal ein Konflikt ein bisschen nachfiguren kann. Funktioniert hervorragend, weil man eben sich einfach auch, wenn die Adressen wechseln. Wir haben also was, dass ich eine Ethernet-Kabel-Adresse, theoretisch geht das auch über GSM sogar. Ja. Jetzt weiß ich gar nicht genau, wie ist die Maschine verbunden. Egal. Ich rechne mir einfach den Haustanteil aus der Mac-Adresse aus. Den Prefix-Delegation-Teil habe ich und dann setze ich einfach ein Ping drauf ab und stelle fest, oh, Maschine ist da. Mach meinen Connect. Und dann stellte sich raus. Es ist total praktisch. Man kann ja noch viel mehr damit machen. Dann kam dieses Virus-Dings und die Leute wollten plötzlich Home-Office machen und ich habe gesagt, ja, wenn du einen Pfeilaustauschen willst, das kannst du auch aus dem Filemanager machen mit IPv6 geht das. Und tatsächlich haben wir jetzt also demnächst drei Leute, die Home-Office mit dieser Lösung machen, obwohl das gar nicht so gedacht war, die also tatsächlich mit LibreOffice quasi nativ auf den Server zu greifen können. Also ich habe das bei mir zu Hause auch so, dass es genauso schnell wie die eigene Festplatte manchmal sogar schneller. Also aus LibreOffice direkt arbeiten. Ich kann mit dem Filemanager Sachen hin und her kopieren. Das heißt, ich kann mir meine Fachgeschichten vom Server einfach lokal hinlegen, ins Gelände mitnehmen, damit arbeiten. Zurück notfalls sogar aus dem Gelände mit IPv6 Funk. Das geht bei GSM. Tatsächlich habe ich es also mehr vorausprobiert. Das Problem ist externe Modems können oft kein V6, aber die was das nicht zum Beispiel im Fujitsu Laptops eingebauten Modems können tatsächlich v6 und D1 und Vodafone können mittlerweile beide über GSM v6 sprechen. Das heißt, du kannst auf deinem Laptop im Gelände, wenn du v6 über GSM Mobilfunk hast, kannst du deinen Filemanager aufmachen und deine Dateien auf den Host zu Hause kopieren. Das finde ich relativ faszinierend, was diese große weite Welt durch v6 da möglich gemacht hat. Und natürlich für alle Leute, die es mögen, kann man auf dem Terminal natürlich sehr schön arbeiten. IPv6 ist great, ohne Gefummel und Gemurkse. Ich habe euch vorgestellt, was ich euch zeigen wollte, man kann da so sehr schön mitarbeiten. Sollte man eigentlich vertiefen, der Vortrag dauert eigentlich anderthalb Stunden, wenn man hier daraufhin ausbaut, was eigentlich sein sollte. Nämlich auch mal ein bisschen mehr zu v6 vorzustellen. Ich hoffe, es ist trotzdem was rübergekommen. Wir haben sehr viele Sachen noch nachlesen. V6 hat den Vor- und Nachteil, Literatur ist sehr schwierig zu beschaffen. Die gute Literatur ist gnadenlos veraltet. Die FCS sind sehr, sehr, sehr viele. Es ist aber teilweise ganz witzig zu lesen. Kann ich empfehlen, was ich sehr genossen habe, inhaltlich auch oder vor allem inhaltlich. Inhaltlich sehr genossen habe ich den, deswegen erwähne ich ihn so oft, den Podcast von Anna Lena zu v6 mit Clemens Schrümpel. Kommt inhaltlich unheimlich viel rüber, was nirgendwo so richtig dokumentiert ist. Wer es einfach mal nachbauen will, Kochbuchadresse habe ich online. Napoleon auch. Hier noch zwei adressen testschrümpel.de und ipv6bieringer.de Bitte testen, wie ihr rüberkommt, ob ihr die EOI 64 Adresse rüberbringt. Das sollte bitte möglichst nicht sein, weil da kann man jeder einen langen Druck rumröten. Das möchte man nicht. Wer mich anschreiben will, wer Lust hat, das vielleicht noch ein bisschen zu erweitern, mutant.cawspot.de sollte ankommen. Dann sage ich einfach vielen herzlichen Dank. Wer noch Fragen hat, ich gebe mein bestes. Ja, Mutant, danke für dein Vortrag. Hat mir auf jeden Fall Lust gemacht, das Projekt noch mal anzugehen, weil durch meinen Router geht nur ipv6 durch. Kabel ist gut. Kabel ist gut. Kabel ist gut. Ja. Ich bin froh, dass es jetzt funktioniert. Ansonsten, ich habe schon gesehen, dass im Petwagen wieder verschwunden sind. Was ja für deinen Vortrag spricht, aber ich gehe mal von oben durch. Wir haben auch nur Zeit für wenige Fragen. So, fahren wir mit der ersten an. Wenn man die Privacy Extensions aktiviert hat in Klammern RFC 4941, dann ändern sich ja die IP-Adressen. Wie kann man die dann ermitteln? Ne, tun Sie eben nicht. Das ist das Schöne bei V6. Es kommen zusätzliche Adressen dazu. Ich habe also zusätzliche Adressen. Die Temporary Address wird als zusätzliche Adresse rausgeroutet. Die EOE 64 wird nur nicht rausgeroutet. Und das ist genau der Gag. V6 hat ganz viele Adressen. Und ich kann mir die aussuchen, die für mich für meinen Zweck passt. Ob das eine Gua ist, ob das eine Ula ist oder sogar im Spezialfall den Klochel. Ich suche mir die, aus die ich brauche. Nein, sie ändert sich nicht dadurch, dass ich eine Temporary Address setze. Die wird einfach zusätzlich gesetzt. Und die EOE 64 wird auch zusätzlich gesetzt. Das ist eben der Gag von V6. Ich suche mir die Adresse, und das ist auch der Punkt, warum ich unverständlich für Last Century Internet, Leute, warum ich keine staatischen Adressen mehr haben will. Ich suche mir die Adresse, aus die ich brauche. Okay. Gut, nächste Frage. Eine Verständnisfrage. Da hat jemand die explizite Freigabe für SSH verpasst. Also nach der PD-Gasse ist die SSH-Freigabe ja nur für Ports 22. Ich möchte nur Ports 22 freigeben. Das muss der Router unterstützen. Dieses Produkt von Audiovisuelles Marketing Berlin unterstützt das ganz hervorragend, dass er tatsächlich also hingehen kann und sagen, ich guck mal, ob ich das gerade mal schnell, genau. Dass ich hingehen kann und sagen, mach mir bitte genau den prefix frei. Das heißt, ich habe, der Hossanteil ist ja sowieso Maschine. Das ist bei adpv6 ist das alles logisch aufgeteilt. Hossanteil ist noch Maschine, habe ich nichts mehr zu tun. Netzwerkanteil, prefix delegation freigeben, das heißt, ich komme durch den Router durch. Wie das im Router einzustellen ist, ist natürlich abhängig davon, wie der Hersteller sich das überlegt hat. Bei AVM ist es halt wahnsinnig praktisch und das liebe ich sehr. Deswegen erwähne ich es auch gerne, dass ich da einfach sagen kann, gib mir bitte die Gasse frei, egal wie sie jetzt heißt. Weil, weil der Router rebooted, das sehen wir dann mal passieren kann. Dann wird jedes Mal diese Gasse freigegeben, automatisch und sonst nichts. Das muss im Router passieren und zwar in dem Router, der mit dem Provider spricht, der vom Provider sich den prefix holt, der weltweit gültig ist und dann wie gesagt, ich muss also im Router das freigeben. Wie das präzise geschieht, kann ich bei anderen Routern jetzt natürlich nicht sagen. Okay. Letzte Frage. Ich hoffe, es wird eine kompakte Frage antwort. Wäre nicht die Kombination mit lokalem DNS zum Beispiel per Host-Datei praktisch und wäre das dann automatisierbar mit dem entsprechenden prefix? Danke für den Hinweis, excellent. Normalerweise muss ich das vergessen. Ja, ganz wichtig, ganz richtig. Ich setze also schlicht und ergreifend die prefix delegation und die MAC-Adresse, also in die etc-host rein. Setz meinen alias dahinter und den alias verwende ich im Filebrowser und den alias verwende ich im LibreOffice. Exakt genau richtig. Da brauche ich noch nicht mal die ACPs, aber kann ich natürlich machen. Wer kann und will, kann das natürlich ausbauen ohne Ende. Da kann man die dollsten Sachen noch mit aufbauen. Aber ich wollte es ja möglichst basic, möglichst simple, möglichst einfach, richtig bitte ein alias in etc-host setzen, weil sonst wirst du halt mit der V6 leicht mal ein bisschen irre mitklammern oder ohne ACP klammern. Beim SSH ist es ohne, beim SCP ist es mit und bei den GUI-Tools weißt es nicht. Ganz genau, das ist ein ganz wichtiger Hinweis. Vielen Dank dem Fragenden bitte in die etc-hosts eintragen. Ich habe mir dann zum Beispiel ein Script geschrieben, was mir einfach beim Wechsel der prefix delegation quick eben den Netzwerkanteil in der etc-hosts anpasst. Kann man natürlich machen. Dann wird das ganz simple. Und das Script kann man so gestalten, dass man es auch im End-User, der keine Ahnung hat, was in CLI überhaupt ist, in die Hand drücken sagen, hier tippt das mal ein, schickt mal ab. Und tatsächlich so machen wir das auch, weil die End-User, die wir da dran haben, das sind halt keine Computerfreaks. Die wissen nichts davon. Die wissen auf Anweisung gerade meinen Terminal zu öffnen. Die können also tatsächlich dann damit umgehen und die prefix delegation setzen. Perfekt. Super. Guten Tag. Wir haben genau Punktlandungen gelegt. Dann bedanke ich mich. Ich wünsche dir und allen noch einen schönen Tag. Vielen Dank. Vielen Dank euch auch. Viel Spaß. Dankeschön.