IPv6-Konfiguration eines Linux-DSL-Gateways
Wenn man seinen DSL-Router in den Bridging-Modus gebracht hat und ihn nur noch als Modem nutzt, übernimmt das angeschlossene Linux-System alle Router-, Gateway- und Firewall-Funktionen. Dieser Artikel beschreibt die IPv6-Konfiguration des Gateways.
IPv6
Dieser Artikel ist der zweite Teil einer Serie aus vorerst zwei Artikeln. Nachdem im ersten Teil beschreibt der Router zum reinen Modem degradiert und ein Linux-Rechner mit Firewall als Router eingerichtet wurde, behandelt dieser zweite Teil die Konfiguration von IPv6 mit DHCP und Firewall.
Mein ISP vergibt an seine Kunden IPv6-Adressen via DHCPv6. Bei IPv6 wird standardmäßig ein größeres Subnet an einen Privatkunden weitergegeben (in meinem Fall ein dem Standard entsprechendes /48
. Achtung, es gibt auch viele ISPs, die /56
an die Endkunden weitergeben oder andere Subnetz-Größen wählen.
pppd
Zuerst sollte man sicherstellen, dass IPv6 über die PPP-Verbindung funktioniert. Dafür habe ich in /etc/ppp/options in die letzte Zeile ein +ipv6
eingefügt. Es fehlt noch eine Konfiguration, die ich in der Datei /etc/ppp/ip-up.d/accept-ra erstellt habe:
#!/bin/bash sysctl -w net.ipv6.conf.ppp0.accept_ra=2
Damit werden Router-Advertisements auf ppp0 von Linux angenommen, selbst wenn IPv6 Forwarding aktiviert ist. Nachdem man ein service pppoe restart
ausgeführt hat, sollte man sein ppp0-Interface betrachten. Hier mein Beispiel:
# ip ad sho dev ppp0 13: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN group default qlen 3 link/ppp inet 213.XXX.XXX.XXX peer 213.YYY.YYY.YYY/32 scope global ppp0 valid_lft forever preferred_lft forever inet6 2001:1710:7:9f6d:a0f4:5ee4:f1cb:349c/64 scope global mngtmpaddr dynamic valid_lft 2591909sec preferred_lft 604709sec inet6 fe80::10f4:53e4:f7cb:3aec/10 scope link valid_lft forever preferred_lft forever
Sobald ein ping6 www.google.com
Antworten liefert, darf man sich freuen, dass zumindest über die PPP-Verbindung erfolgreich IPv6 gesprochen wird. Sobald die IPv6-Verbindung funktioniert, muss man sich auch bewusst sein, dass man ab diesem Zeitpunkt über IPv6 angreifbar ist. Reine IPv4-Firewallregeln sind IPv6 egal, und man ist eventuell vom Internet besser erreichbar als man vielleicht glaubt.