# IPv6 Deployment: Adressierung & Rollout in der Post-IPv4-Ära
TL;DR / Management Summary IPv4-Adressen sind aufgebraucht. IPv6 löst dieses Problem mit einem 128-Bit-Adressraum ($3.4 \times 10^{38}$ Adressen). Für einen Senior Admin bedeutet IPv6 ein Umdenken: Weg von NAT (Artikel 559), hin zu Global Unicast Adressen für jedes Gerät. Wir nutzen SLAAC für die automatische Konfiguration und verstehen die Rolle von Link-Local Adressen, die die Kommunikation innerhalb eines VLANs bereits ohne Router ermöglichen.
# 1. Aufbau der IPv6-Adresse
Hexadezimale Pracht.
Eine IPv6-Adresse besteht aus 8 Blöcken à 16 Bit (z.B. 2001:0db8:85a3:0000:0000:8a2e:0370:7334).
- Kürzungsregeln:
- Führende Nullen dürfen wegfallen.
- Einmalig darf eine Folge von Null-Blöcken durch
::ersetzt werden. - Beispiel:
2001:db8:85a3::8a2e:370:7334.
# 2. Adress-Typen
Wer darf wo sprechen?
- Global Unicast (2000::/3): Echte, im Internet routbare IPs. (Ersatz für öffentliche IPv4).
- Unique Local (fc00::/7): Private Adressen (Ersatz für RFC 1918).
- Link-Local (fe80::/10): Gelten nur im lokalen Kabelsegment. Werden für NDP (Artikel 724) und Routing-Protokolle genutzt.
- Multicast (ff00::/8): Ersetzt die veralteten Broadcasts.
# 3. Deep Dive: SLAAC & Privacy Extensions
Automatisierung ohne Server.
Im Gegensatz zu IPv4 braucht IPv6 keinen DHCP-Server, um eine IP zu erhalten.
- SLAAC (Stateless Address Autoconfiguration): Der Router schickt ein Präfix (z.B.
/64), und der Client baut sich seine Host-ID selbst zusammen. - Privacy Extensions: Der Client ändert seine IP-Adresse regelmäßig, um Tracking im Internet zu verhindern. (Wichtig für Workstations, schwierig für Server-Monitoring).
# 4. Day-2 Operations: Dual-Stack Betrieb
Der sanfte Übergang.
In der Übergangsphase betreiben wir beide Protokolle parallel.
- Best Practice: Geben Sie internen Servern (Proxmox, OPNsense) feste IPv6-Adressen.
- DNS: Pflegen Sie
AAAARecords (IPv6) neben denARecords (IPv4). Moderne Betriebssysteme (Windows 10/11) bevorzugen IPv6 automatisch, wenn beide verfügbar sind.
# 5. Troubleshooting & “War Stories”
Wenn der Hex-Code Kopfschmerzen bereitet.
# Top 3 Fehlerbilder
-
Symptom: “Destination Host Unreachable” trotz Link-Local IP.
- Ursache: Bei Link-Local Adressen (
fe80) muss immer der Scope-Identifier (die Schnittstelle) angegeben werden. - Lösung:
ping fe80::1%eth0(Linux) oderping fe80::1%12(Windows).
- Ursache: Bei Link-Local Adressen (
-
Symptom: Keine IPv6-Connectivity nach ISP-Reconnect.
- Ursache: Das neue Präfix wurde vom Router nicht via Router Advertisement (RA) an das LAN verteilt.
-
Symptom: Firewall-Regeln greifen nicht.
- Ursache: In IPv6 hat ein Gerät oft mehrere IPs (Temporary, Global, Link-Local). Der Traffic nutzt evtl. eine andere IP als in der Regel definiert.
# “War Story”: Das “Offene Scheunentor”
Ein Admin aktivierte IPv6 am WAN-Port seiner OPNsense. Er dachte, er sei sicher, da er kein NAT konfiguriert hatte. Das Ergebnis: Da IPv6 nativ ohne NAT arbeitet, waren alle internen Server mit ihren globalen IPv6-Adressen sofort weltweit erreichbar. Die Katastrophe: Da er keine expliziten Inbound-Block-Regeln für IPv6 definiert hatte, konnten Angreifer direkt auf die internen Drucker und Kameras zugreifen. Lehre: IPv6-Sicherheit basiert zu 100% auf dem Regelwerk der Firewall. “NAT-Security” existiert in IPv6 nicht. Prüfen Sie Ihre WAN-Regeln doppelt!
# 6. Monitoring & Reporting
Statistiken der Zukunft.
# IPv6 Traffic Check
Überwachen Sie via OPNsense Insight (Artikel 586):
- KPI: Verhältnis von IPv4 zu IPv6 Traffic.
- Ziel: In modernen Unternehmen sollte IPv6 > 50% des Traffics ausmachen (Google, YouTube, Microsoft nutzen nativ IPv6).
# 7. Fazit & Empfehlung
IPv6 ist keine Option mehr, sondern Pflicht für professionelle Admins.
- Empfehlung: Aktivieren Sie IPv6 in Ihrem Management-VLAN. Es erleichtert das Finden von Geräten via NDP enorm.
- Wichtig: Verstehen Sie den Unterschied zwischen Managed (DHCPv6) und Unmanaged (SLAAC) Modus und wählen Sie den Typ passend zu Ihrer Security-Policy.
# Anhang: Cheatsheet (IPv6 CLI)
| Aufgabe | Linux (ip) | Windows (netsh) |
|---|---|---|
| IP sehen | ip -6 addr |
ipconfig |
| Nachbarn prüfen | ip -6 neigh |
netsh int ipv6 show neigh |
| Route testen | traceroute6 google.com |
tracert -6 google.com |
| Ping Test | ping6 ipv6.google.com |
ping -6 ... |