IPv6 für alle

Ok da keine Beschwerden kamen und das anscheinend überall stressfrei funktioniert
hab ich angefangen auch die anderen Server auf IPv6 umzustellen.
Amsterdam 1-3 und Frankfurt sind seit eben fertig, weitere folgen die nächsten Tage, immer 2-4 pro Tag.

Den Ipv6 DNS Eintrag habe ich im Moment extra weg gelassen, da wir noch nicht genug v6 Server haben.
Sobald die Mehrzahl der Gigabit Server mit IPv6 läuft push ich auch v6 DNS Einträge.

Grüße
Lars
 
Last edited:
Gerade Frankfurt ausprobiert und es scheint zu klappen, wenn ich von der Firewall aus arbeite.
Das restliche Netz (hinter der Firewall) werde ich dann wohl ironischerweise "natten" müssen, wie bei v4, denn sonst könnt ihr das ja nicht mehr vernünftig zurückrouten.
Ich gehe mal davon aus, daß das gateway immer die fdbf...:x:1 bei euch ist. Horcht der Squid auch auf der IP, port 3128? Oder ist der nur v4?
 
finde ich sehr gut. Hatte es mit dem Singapur Server mal getestet und hatte geklappt. Bin gespannt wie das auf den anderen Servern läuft. Was mich wundert ist, dass ihr sogar bei den Gigabit Maschinen noch keine v6 Server habt. Hätte gedacht das da die großen Hoster schon lange umgestellt haben.
 
Es geht ja um die Einrichtung. Wir hatten das halt bei Singapore zuerst getestet. Da nehmen wir eher keinen Gigabit Server wo Tonnen Nutzer drauf rum rödeln :)
Jetzt stellen wir alles nach und nach um. Vorher ging das mit OpenVPN eben nicht wirklich, aber der neue Linux-Kernel kann auch IPv6 NAT und da sollten die Probleme gelöst sein.
 
Bis vor paar Monaten waren IPSEC und OpenVPN mit IPv6 noch verbuggt und funktionierten nicht richtig.

Deshalb hätte das wenig Sinn gemacht die Server schon auf IPv6 umzustellen.

@theoth : Squid horcht noch nicht auf den v6 internen IPs, das ist mir heute auch aufgefallen und ich dachte "ach, das benutzt doch eh keiner, erstmal schauen ob sich jemand meldet der das haben will" :D Mach ich morgen. Und jep, gateway ist immer die :1 am Ende.


Grüße
Lars
 
bedeutet das dann, ich kann bedenkenlos im adapter bei meinem ipv6 wieder das häkchen setzen? :) ich mein wenn man schon vom provider ipv4 und ipv6 hat :)
 
"bedenkenlos" würde ich jetzt nicht unterschreiben :D
Aber ja, solange die Firewall in unserem Client aktiv ist sollte das ziemlich egal sein ob du v4 oder v6 hast.
Ohne aktive Firewall kann man allerdings wegen z.b. webrtc [1] (das grundlegende Problem dabei betrifft
alle Programme , nicht nur Browser!) und wrong-way[2] und Windows 10 DNS Geschichten [3]
nicht garantieren das alle Pakete durch den Tunnel gehen, egal ob v4 oder 6.

@hildebread: Teste das doch mal, da ich kein natives v6 habe konnte ich selber v6 firewalling immer nur per Tunnel testen.
Mach v6 an, geh auf checkip.perfect-privacy.com , dann solltest du ja die v4 und v6 von deinem Provider sehen.
Dann verbindest du dich zu irgend einem Server und schaust wieder auf checkip. Dann solltest du da entweder keine IPv6 sehen oder eine von PP.
Falls es da Probleme gibt sag bescheid, die Firewall hat erwartungsgemäß Top Priorität. d.h. wenn da ein Leak existiert fix ich das sofort.

[1] https://www.perfect-privacy.com/german/2015/02/03/neue-informationen-zum-webrtc-ip-leak/
[2] https://www.perfect-privacy.com/german/2015/12/21/wrong-way-sicherheitsluecke-enttarnt-vpn-nutzer/
[3] https://medium.com/@ValdikSS/beware-of-windows-10-dns-resolver-and-dns-leaks-5bc5bfb4e3f1#.u0c62jhmr

Grüße
Lars
 
Nope, die stable hat den v6 routing krams noch nicht drin.

Anfang nächster Woche update ich den stable Client,
dann sind die Server auch soweit alle auf v6.

Grüße
Lars
 
hi
kleine Frage
man connected ja nun zu den servern und bekommt eine ipv6 adresse
dns eintrag läuft aber noch über ipv4

kann man irgendwie einstellen das er weiterhin zur ipv4 adresse connectet? also unter linux
also sozusagen ipv6 ignorieren
 
Was willst Du denn einstellen? Die Namensauflösung bei Dir liefert alles zurück, was die Gegenstelle kann, also IPv6 und IPv4 Adressen. Meine Erfahrung ist, daß IPv6 bevorzugt benutzt wird. Läuft das in ein Timeout, wird nochmal eine IPv4 Adresse versucht. Also: entweder IPv6 abschalten, oder beide Tunnel nutzen und konfigurieren.
 
Unter OSX funktioniert das in meinem Fall erstmal nur mit Chrome. Verbunden mit PP Frankfurt über's Terminal und OpenVPN Option --tun-ipv6 zeigt mir die PP Testseite sowohl die IPv4 als auch die IPv6 Adresse an. Unterm Safari oder dem Firefox klappt das bisher noch nicht. Es liegt definitiv an der DNS Auflösung, da mir der Test sagt:

Ihre IPv6 Verbindung funktioniert aber es steht keine DNS Auflösung per IPv6 zur Verfügung. Ihr Browser oder Betriebssystem stellt keine Anfragen nach IPv6 DNS 'AAAA' Einträgen.

Edit:
Evtl hat der ein oder andere OSX User ja ähnliche Ergebnisse oder auch ganz andere, wäre mal interessant.
 
DNS-Auflösung unter Linux am besten per dig testen:
Code:
dig @8.8.8.8 www.google.com ANY

; <<>> DiG 9.9.5-9+deb8u4-Debian <<>> @8.8.8.8 www.google.com ANY
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42460
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.google.com.            IN    ANY

;; ANSWER SECTION:
www.google.com.        165    IN    A    173.194.112.112
www.google.com.        165    IN    A    173.194.112.114
www.google.com.        165    IN    A    173.194.112.116
www.google.com.        165    IN    A    173.194.112.115
www.google.com.        165    IN    A    173.194.112.113
www.google.com.        165    IN    AAAA    2a00:1450:4001:803::1013

;; Query time: 13 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) <--------------hier steht der verwendete NS
;; WHEN: Thu Jan 21 13:38:44 CET 2016
;; MSG SIZE  rcvd: 151
bzw.
Code:
dig www.google.com any

; <<>> DiG 9.9.5-9+deb8u4-Debian <<>> www.google.com any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19458
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 13, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.google.com.            IN    ANY

;; ANSWER SECTION:
www.google.com.        96    IN    AAAA    2a00:1450:4009:801::2004
www.google.com.        105    IN    A    173.194.113.115
www.google.com.        105    IN    A    173.194.113.114
www.google.com.        105    IN    A    173.194.113.113
www.google.com.        105    IN    A    173.194.113.112
www.google.com.        105    IN    A    173.194.113.116

;; AUTHORITY SECTION:
.            4202    IN    NS    a.root-servers.net.
.            4202    IN    NS    h.root-servers.net.
.            4202    IN    NS    b.root-servers.net.
.            4202    IN    NS    l.root-servers.net.
.            4202    IN    NS    f.root-servers.net.
.            4202    IN    NS    c.root-servers.net.
.            4202    IN    NS    j.root-servers.net.
.            4202    IN    NS    g.root-servers.net.
.            4202    IN    NS    k.root-servers.net.
.            4202    IN    NS    m.root-servers.net.
.            4202    IN    NS    d.root-servers.net.
.            4202    IN    NS    e.root-servers.net.
.            4202    IN    NS    i.root-servers.net.

;; Query time: 0 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Thu Jan 21 13:34:52 CET 2016
;; MSG SIZE  rcvd: 362

Wenn da AAAA-records (IPv6) zurückkommen, besteht die Möglichkeit, daß auch darüber verbunden wird.
 
so, also habs mal dazu geschalten das ipv6. ohne pp seh ich dann beim check dann nur meine ipv6 und gar keine ipv4 mehr. wenn ich denn pp client dann starte und verbinde nur die ipv4 von pp. und keine ipv6. durch die firewall geht also mit dem pp client schon mal nichts durch das is gut. allerdings bringt mir das anknipsen vom nativen ipv6 ja dann auch irgendwie nichts oder? .... jaja ich und meine noob fragen :)
und ja durch die firewall mit client geht es nicht durch, allerdings wird dann angezeigt das ich keine ipv6 hätte. wie vorher quasi. also nutzt mir das anschalten ja eigentlich nichts oder ?

Ich nutze natürlich immer nur den pp client :) dann muss ich selber nichts groß einstellen
 
In der aktuellen Version des Managers siehst du das auf der Website auch nicht. Dafür brauchst du die Beta Version.
Mit Squid in Firefox solltest du danach auch eine unserer IPv6 sehen.
 
Da kommt ein AAAA record zurück, nur nicht wie bei dir als erstes, sondern als letztes. Davor sind die 5 A Records. Ich hab als DNS den 8.8.8.8 eingetragen. Unterm Chrome klappt das auch, dass mir beim PP Check-IP Test die IPv6 angezeigt wird, nur nicht unter FF oder Safari. Anpingen kann ich zb:

ping6 ipv6.google.com

ebenfalls, wenn ich allerdings ipv6.google.com in der Adresszeile des Browsers eingebe, krieg ich auch nur unter Chrome ne Verbindung hin, nicht unterm FF oder Safari. Woran das liegt kann ich bisher auch nicht sagen.

Edit:
Die Probleme mit Safari/FF gibt es nicht wenn ich den Squid verwende, das ist jeweils nur unter OpenVPN
 
Last edited:
ach stimmt das mit der beta hab ich jetzt glatt vergessen. werd ich bei gelegenheit mal testen. brauch ich squid dann zwingend dazu ?!
 
Wenn ich die IPv6 direkt im Browser eingebe, zb für heise.de:

[2a02:2e0:3fe:1001:7777:772e:2:85]

dann klappt das auch unterm FF.
 
Back
Top