W

DHCPv6

On Mai 3, 2011, in Technik, by admin

Hallo zusammen,

heute ein neuer Beitrag, diesmal zum Thema IPv6 und DHCP.

DHCP ist vielen aus der IPv4 Welt ein Begriff. Es wird dazu genutzt Computer in einem Netzwerk automatisch mit IP-Adresse und sonstigen für den Netzwerkbetrieb nötigen Informationen auszustatten.

Dazu wird an einem oder mehreren Punkten im Netzwerk DHCP-Server aufgestellt. Hier werden zB für bestimmte Clients feste Adresse anhand der MAC des Clients hinterlegt. Damit ist die Verwaltung von großen Netzwerken erheblich leichter, denn man kann die Adressvergabe Zentral abwickeln und muss nicht jeden Client bei einer Änderung händisch anpassen.

Bei IPv6 wird der DHCP für ähnlich Zwecke verwendet.

IPv6 selbst besitzt schon eine Methode automatisch Adressen zu beziehen. Dieses System nennt sich SLAAC – Stateless Address Autoconfiguration.

Das Problem bei diesem System ist, es werden keine Informationen über DNS-Server sowie DNS-Domain mitübertragen. Ausserdem hat man so keinen Einfluss darauf welche IP welcher Client bekommt. Das ist u.U. nicht erwünscht.
Für das DNS Problem gibt es mittlerweile einen Entwurf im RFC5006. Dies ist allerdings noch nicht standardisiert und wird somit wohlmöglich (noch) nicht von allen Systemen unterstützt.

DHCPv6 schafft hier Abhilfe. Genauso wie bei IPv4 kann man hier DNS-Domain und DNS-Server eintragen. Ausserdem kann der DHCP einzelne Clients anweisen bestimmte Parameter beim Server neu anzufragen. Somit kann wieder eine feste Adresszuteilung vergenommen werden.

Dazu wurde im DHCPv6 eine Authentification-Struktur eingebaut. Damit ist sichergestellt das der Client nur Anfragen vom richtigen Server beachtet und Fremdpakete verwirft.

Spezifiziert ist DHCPv6 in RFC3315, auf das ich im Rahmen der Vertiefung des Themas verweisen möchte.

 

 

Hallo zusammen,

in meinem heutigen Artikel geht es um die IPv6 Privacy Extensions.

Von IPv4 ist man es gewöhnt das sich spätestens alle 24 Stunden die IP-Adresse des Internetanschlusses ändert. Ebenso bei neu-einwahl beim Provider.

Diese Praxis hat verschiedene Gründe. Zum einen möchte der Zugangsprovider vermeiden das man eigene Server an seiner Home-Leitung betreibt, so das es man dazu im Regelfall eine teuerer SDSL-Leitung oder gar eine Standleitung braucht. Dies ist aber ein erheblicher Kostenfaktor, deswegen für den Privatgebrauch uninteressant.

Ein weiterer Grund ist die Menge der IP-Adressen. Wie allseits bekannt ist, ist der Vorrat der IPv4-Adressen endlich. Und das nicht nur generell, sondern auch die IPv4-Adress-Pools der Provider sind endlich. Damit der Provider aber nicht 10 Mio. IP-Adressen braucht, wird davon ausgangen das nie alle Kunden gleichzeitig online sind. So braucht man für 10 Mio Kunden keine 10 Mio Adressen sondern vielleicht nur 5 bis 8 Mio.

Ebenfalls gewährleistet das wechseln der IP eine gewisse Anonymität. Wenn man immer die gleiche IP bekommen würde, könnte der ein oder andere Schelm angriffe auf diese IP fahren. Damit würde wahrscheinlich der Router daheim chronisch überlastet und das Surfvergnügen schnell zum Geduldsspiel.

Im Bereich des IPv6 ist Adresse-Knappheit kein Thema. Rechnerisch gibt es mehr Adressen als Sandkörner, also sollte man damit eine Zeitlang auskommen.

Damit wäre es zwar prinzipiell möglich immer die gleiche IP an den Anschluss zu verteilen, allerdings wäre die Anonoymität damit futsch.

Das IPv6 Protokoll hat eine neue Eigenschaft, diese heisst Stateless Address Autoconfiguration, kurz SLAAC.

Mit Hilfe von SLAAC lässt sich ohne DHCP oder ähnliche Hilfsmittel schnell eine Internetverbindung aufbauen.

Das Problem steckt hier aber wie immer im Detail.

Normalerweise benutzt SLAAC die MAC-Adresse der Netzwerkkarte, fügt dem ganzen ein FF:FE und das Netzprefix an und fertig ist die Adresse.

Problem hierbei: Netzwerkkarten MACs sind eindeutig, somit ist auch die Verbindung eindeutig.
Dieses Problem ist auch den IPv6 Entwicklern aufgefallen. Diese haben sich also die Privacy Extensions ausgedacht.

Die Privacy Extensions machen nichts anderes als anstelle der Netzwerkkarten-MAC eine Zufallsgenerierte Adresse auszuspucken. Ebenso erzeugten die Privacy Extensions temporäre Adressen die für die Anfrage ins Internet benutzt werden können. Diese Temporären Adressen ändern sich in einem voreingestellen Intervall. Dieser wird über den angeschlossenen Router bestimmt. Wenn der Router nicht über IPSEC am Client authentifiziert ist, ist der Intervall mindestens 2 Stunden lang. Anderenfalls sind auch kürzere Intervalle möglich.

Soweit so gut. Leider sind die Privacy Extensions nicht immer standardmäßig aktiviert.

Fast alle IPv6-fähigen Betriebssysteme hätten aber die Möglichkeit Privacy Extensions zu verwenden.

Bei den Windows-Versionen XP bis 7 sind diese Features bereits aktiv. Nicht so in den Serverversionen (2003/2008).

Die diversen Linux-Derivate haben dieses Feature Grundsätzlich deaktiviert. Dazu gehören Fedora,SuSE,Ubuntu und Debian.

Bei den mobilen Betriebssystemen gibt es auch Privacy Extensions, leider sind sie auch auch fast immer deaktiviert.
Auf Android Telefonen kann man diese Funktion nur durch rooting erreichen. Ähnlich sieht es bei Apples iFail äääh iPhone aus, hier sind die Privacy Extensions erst ab Version 4.3 standardmäßig an. In allen anderen Versionen hilft nur ein Jailbreak.

Da eine genaue Vorgehensbeschreibung  zur Aktivierung der Privacy Extensions den Rahmen dieses Artikels sprengen würde, verweise ich einfach mal ganz galant auf diesen Artikel von Heise.

 
W

DNS und IPv6

On April 15, 2011, in Technik, by admin

Hallo zusammen,

neuer Artikel, heute zum Thema IPv6 und Namensauflösung.

Das man DNS (Domain Name System) in Zeiten des Internets braucht, ist für die meisten selbstverständlich.
Für IT-Anfänger und Analphabeten funktioniert das Internet einfach "so". Sie machen sich keine Gedanken über IP oder gar was alles dahinter steht.

Dabei hängt am DNS ziemlich viel. Jeder IT-Betreuer kennt die Nutzer-Aussage: "Das Internet geht nicht". Dabei kommt es oft vor dass das "Internet" sehrwohl funktioniert, aber die Namensauflösung nicht.

Wenn also der Nutzer in seinem Browser z.B. www.sasg.de eintippt kommt eine unschöne Fehlermeldung, die sagt die Seite wäre nicht verfügbar.

DNS funktioniert im weigehendsten Sinne wie ein großes Telefonbuch. Für jeden ist es einfacher sich einen Namen zu merken als endlose Zahlenketten. Um uns die Internetnutzung leichter zu machen und eben kein Telefonbuch fürs Internet manuell nutzen zu müssen, hat man sich das DNS System erdacht.

Wenn man also eine Domain in seinen Browser eintippt, dann fragt das Betriebssystem einen DNS-Server ob er zu dem eingegebenen Namen eine IP kennt.

Früher wie heute beeinhaltet das DNS einige Informationen mehr als ein Telefonbuch.

Dazu gehören zB MX-Einträge. MX steht für Mail-Exchange. Daran wird festgestellt ob die Domain für den Mailverkehr freigegeben ist. Die meisten Mailserver blocken Mails die von Adressen ohne MX-Eintrag verschickt werden.

Neben diesen Informationen gibt es u.a. noch die A-Records.
In den A-Records steht die IPv4 Adresse des Webservers drin. Im DNS-Server Bind sähe das zB so aus:

www.sasg.de.   38307  IN  A  95.142.65.85

In diesem Falle würde bei der Anfrage nach dem A-Record der Domain www.sasg.de die IP 95.142.65.85 zurückgeliefert werden.

Nun, das ist IPv4. Wie geht das jetzt mit IPv6?

Im Jahr 1995 wurde im RFC1889 festgelegt das es für IPv6 Adressen einen neuen Typen gibt. Dieser Nennt sich AAAA-Record (Quad-A Record gesprochen). Nach ein wenig hin und her im Jahr 2000, wurde 2003 das Quad-A also Quasi-Standard für IPv6-Records im DNS beschlossen.

Der Eintrag im DNS sieht ähnlich aus wie der Eintrag oben.

www.sasg.de.   38400   IN      AAAA    2a00:1100:fe:80:80::85

Hier sieht man auch gleich eine Besonderheit von IPv6: Das wegkürzen von Nullen in einer Adresse. Was es damit auf sich hat und was man dabei beachten muss, wird in einem anderen Artikel seperat behandelt.

Was ist denn nun wenn man sowohl IPv4 als auch IPv6 Einträge hat, und woher weiß der Client welche er haben will?

Diese Frage ist relativ leicht zu beantworten. Für den Eintrag im DNS reicht es einen AAAA-Record für seine Domain bzw, deren Subdomains anzulegen. Wichtig hierbei ist, das der DNS-Server IPv6 unterstützt. Dies ist im Regelfall heute Standard. Wenn man den DNS-Serverdienst aber selber kompiliert hat, kann es sein das man ihn ohne IPv6 support erzeugt hat. In diesem Fall muss man ihn neu kompilieren, aber diesmal mit IPv6 Flag ;)

Welche Antwort der Client haben will, ist abhängig davon ob der Client IPv6 überhaupt verarbeiten kann. Momentan ist es im Regelfall leider immer noch so, das man mit seinem Heim-Internetanschluss nur IPv4 benutzen kann. In dem Fall werden auch nur A-Record Anfragen gestellt.

Falls das System beide Systeme, also IPv4 und IPv6 unterstützt, dann hat IPv6 Vorrang. Sprich es wird erst versucht einen AAAA-Record vom DNS zu bekommen bevor man einen A-Record anfragt.

Falls es keinen  AAAA-Record gibt, wird der A-Record ausgeliefert und die Verbindung wird über IPv4 abgewickelt.

Damit beendet sich das Thema DNS.

Damit ihr AAAA-Records zu eurer Domain hinzufügen könnt, muss dies von eurem Domainprovider unterstützt werden (oder ihr macht die DNS Verwaltung für euren Server selber).

In meinem Fall ist es kein Problem AAAA-Records einzutragen. Mein Provider SaSG sieht dies schon seit 2005 in seinem Web-Konfigurationstool K-Menü vor.  Dies ist sogar so einfach gestaltet das man dafür keinen Lehrgang benötigt. Einfach nur die Subdomain und die IPv6 Adresse eintragen und schon ist man IPv6-ready(.de) ;)

 

 

Hallo zusammen,

heute werde ich mal meine Eindrücke über das kleine Rechenzentrum (RZ) der SaSG GmbH schildern.

Das RZ selber liegt einige Kilometer von München aus entfernt, in Unterschleißheim. In diesem Ort sind auch Niederlassungen anderer IT Größen wie Microsoft zB.

Das RZ selber ist ein typischer Betonbunker, allerdings befinden sich die Räumlichkeiten der SaSG GmbH nicht wie sonst üblich im Keller, sondern im ersten Stock.

Hier gibt es ein recht winziges Büro und einen langen L-Förmigen Flur.

Direkt angerenzend an das kleine Büro ist der erste von 3 Räumen die mit Computern gefüllt sind. 
Dieser Raum ist etwas speziell wie mir erklärt wurde. Hier stehen nur Maschinen in Tower-Bauform und nicht in der üblichen 19-Zoll Bauweise.
Trotz der Umstände dass es in diesem Raum nur Towergehäuse gibt, ist es sehr ordentlich. Die Rechner stehen sauber aufgereiht auf Blechregalen die genau die richtige Tiefe haben. Hinten an den Regalbrettern ist passender Kabelschacht montiert, wo jeweils ein Netzwerk und Stromkabel für jeden Rechner aus dem Schacht geführt wurden.
Für die passende Kühlung sorgen zwei Klimaanlagen, die jeweils einzeln genug Kapazität hätten den Raum kalt zu halten.

Im zweiten Raum stehen nur 19 Zoll Maschinen, dabei auch ein Spezialkonstrukt mit geschätzen 50 Festplatten. Auch hier wurde wieder dafür gesorgt das die Verkabelung anständig ist und es keinerlei Kabelsalat oder Stolperfallen gibt. Auch hier wieder 2 Klimaanlagen.

In Raum Nummer 3, der von der Größe her auch 3 mal so groß ist wie die Räume 1 und 2, sind nochmals 19 Zoll Geräte untergebracht.
Neben diversen Rechnern auch jeden Menge Switches, Patchpanels und sonstiges Netzwerkgerät. Der Raum selber war etwas chaotischer, da in diesem sehr häufig Geräte getauscht werden. Es ist ein reiner Kunden-Serverraum. Trotz allem, waren alle Kabel so verlegt das man nicht gefahr lief irgendwo hängen zu bleiben.

Die einzelnen Schrankreihen sind über Glasfaser mit der Hauptleitung verbunden. Hier ist eine Redundante Gigabit Verbindung mit Loadbalancer als Uplink angeschlossen. Damit ist garantiert, das beide Leitungen immer gleichermaßen ausgelastet sind.

Gekühlt wird dieser große Raum durch 2 riesen Klimaanlagen mit Außengerät, das ich mir auch anschauen durfte.

Damit es auch bei Stromausfall zu keinerlei Problemen kommt, gibt es für das Gebäude auch ein Notstromaggregat in Form eines 8-Zylinder Diesel-Generators. Dieser steht genauso wie das Klimaaußengerät an der Rückseite des Gebäudes.
Um kurzzeitige Unterbrechungen zu überbrücken, und um dem Diesel Zeit zum starten zu geben, verfügt jedes Rack über eine eigene USV.

Auf die Frage warum man denn nicht eine "große" USV nutze, bekam ich die Antwort, dass es ausser den Kosten einfach das Problem gibt, wenn diese Ausfällt betrifft das gleich alle angeschlossenen Geräte. Bei den vielen "kleinen" USVs hat man den Vorteil, das wenn was passiert, nur einzelne Geräte betroffen sind und nicht alle.

Das ergibt auch durchaus Sinn. Natürlich ist es nie gut wenn die Notstromversorgung zusammenbricht, aber so kann ein defektes Gerät nicht das ganze RZ lahmlegen.

Anschließend ging es nach draußen um ein Blick auf Klima und Notstromaggregat zu werfen:

Das Klimagerät ist schon ein ziemlicher Trumm. Ich schätze die Höhe auf 1,70 Meter, Breite und Tiefe auf jeweils 1,2-1,5 Meter.
Der Diesel aber, ist wirklich nicht zu toppen. Das Ding ist in einem Container mit der entsprechenden Elektronik verbaut und nimmt somit fast den Platz für eine Garage in Anspruch.

Damit endete meine Führung auch schon. Sehr gut zu wissen wo mein Maschinchen steht und wie sowas überhaupt aufgebaut ist. Wieder ein klares Plus für SaSG!

 
W

Providerwahl

On März 29, 2011, in Allgemein, by admin

Hallo zusammen,

in meinem ersten Artikel zum Thema IPv6 geht es um die Providerwahl.

IPv6 ist zwar schon lange verfügbar, dennoch bieten nicht alle Hosting-Provider die Nutzung von IPv6 an.
Manchmal wird für die IPv6 Nutzung auch eine extra Gebühr fällig.

Vorteilhaft ist auch, wenn der Provider bereits längere Zeit Erfahrung mit IPv6 hat, so das man sich auf kompetente Mitarbeiter und anständige Beratung verlassen kann.

Jedem bekannt sind wohl die großen Provider: 1und1, Hosteurope und Hetzner.
Viel interessanter als diese Größen sind allerings kleine Provider. Und das aus mehreren Gründen.

1und1 zB wird erst im laufe diesen Jahres dafür sorgen das alle Hostingkunden auch IPv6 bekommen. Desweiteren ist der technische Service von 1und1 nicht wirklich das Gelbe vom Ei. Man ist einer unter vielen, und bei allen Dingen, gerade die mit “Vertrag kündigen oder in kleineren Vertrag wandeln” zu tun hat werden einem regelrecht Felsen in den Weg gerollt.

Auch Hosteurope ist hier kein Parade-Beispiel. Erst seit Februar diesen Jahres gibt es IPv6 für Hosting Endkunden. Für dedicated Server Freunde dauert die Umstellung sogar noch an. Hosteurope spricht hier von “Beta-Betrieb in Q2 2011″.
Auch hier merkt man: man ist einer von vielen, aber keinen kümmert es wirklich.

Immerhin seit Mitte 2010 vergibt Hetzner IPv6 Adressen. Allerdings nicht grundsätzlich. Man muss diese über das Kundencenter zusätzlich beantragen. Ob IPv6 auch für Webhosting-Kunden zur Verfügung steht, ließ sich nicht zweifelsfrei feststellen.

Da ich persönlich lieber feste Ansprechpartner habe, und nicht in endlosen Telefonschleifen hängen will um dann doch nur inkompetente Mitarbeiter ohne Plan am Telefon zu haben, habe ich mich für einen kleinen Provider entschieden.

Da ich in München ansäßig bin, war es mir ein Anliegen das ich eine Firma aus der Nähe finde. Das hat mehrere Gründe.
Zum einen leg ich wert auf persönliche Nähe, zum anderen ging es mir nicht nur um Webhosting sondern auch um das Hosting eines eigenen Servers.

Ich bin auf den mittelständischen Provider “SaSG GmbH & Co. KG” gestoßen. Da mir natürlich IPv6 ein Anliegen war, habe ich Kurzerhand mit der Firma kontakt aufgenommen.

Der Umgang war sehr freundlich, zuvorkommend und mein Gesprächspartner verstand wovon die Rede war.
Auf meine Anfrage ob ich auch einen eigenen Server aufstellen könne, bekam ich sogar das Angebot mir die Location vorher einmal anzuschauen. Das werde ich in einem extra Artikel nochmal genauer ausführen.

Jedenfalls war ich schon recht schnell davon überzeugt den Richtigen gefunden zu haben. Als ich auf das Thema IPv6 gekommen bin, war ich sehr überrascht zu hören das die Firma SaSG sich schon seit 2005 mit IPv6 auseinander setzt und dies bereits für seine eigenen Webserver nutze. Ausserdem wäre es für jeden Kunden möglich auch IPv6 Adressen zu bekommen.

Dieses Angebot habe ich dann auch in Anspruch genommen. Diese Webseite ist bereits bei SaSG gehosted, und ich bin sehr beeindruckt.
Ich kann jedem der eine Alternative zu den “Großen” sucht, SaSG nur empfehlen.
Fähige Leute sind einfach durch nichts zu ersetzen!

 
W

Neues Blog endlich online!

On März 23, 2011, in Allgemein, by admin

Hallo Leute,

endlich ist mein neues Blog online. Hab mich schon ewig drauf gefreut, und nun hab ich es endlich in Angriff genommen :)

Da dies ein sehr technisches Blog ist, werde ich auf auschweifende Erklärungen verzichten. Ich setze IT Grundkenntnisse einfach voraus.

Es wird sich hier primär um IPv6 relevante Artikel handeln, andere ähnliche Themen werden dennoch immer mal wieder behandelt.