1
IPv6 Dual-Stack im internen Netzwerk
Hallo zusammen,
Unsere Domäne hängt an eine IPv4 / IPv6 Telekom (Dual-Stack) Anschluss. bislang ist IPv6 deaktiviert (am Router und am Rechner per GPO). Der Router hat eine SIF-Firewall, die auch IP6 Pakete behandelt. Ich möchte jetzt IP6 für die Domäne aktivieren (auch wenn man darüber geteilter Meinung sein kann).
Ich würde da wie folgt vorgehen:
Der Router verteilt das ihm zugewiesene Präfix im Netzwerk.
An den Clients wird zusätzlich zum IP4 auch IP6 aktiviert, aber alle Tunnelprotokolle bleiben deaktiviert.
Wenn ich das richtig verstanden habe würde ich dann ein IP4-Host im Internet über IP4 erreicht werden und ein IP6-Host über IP6. Diese Entscheidung würde bereits am Client fallen. Übergangsprotokolle z.B. Teredo wären nicht mehr erforderlich und alles würde normal funktionieren.
Unsicher bin ich mir hier mit folgendem:
Werden die Übergangsprotokolle noch für etwas anderes benötigt, wenn alle Nodes im Netzwerk Dual-Stack beherrschen? Etwa innerhalb der Domäne oder für bestimmte Dienste im Internet?
In der Firewall kann eine zusätzliche Blockierung von Teredo sicher nicht schaden. sollte man da noch andere Protokolle "nach aussen" sperren? (nach innen ist ohne nicht zulässig ausser SIF lässt es zu)
Grüße
lcer
Unsere Domäne hängt an eine IPv4 / IPv6 Telekom (Dual-Stack) Anschluss. bislang ist IPv6 deaktiviert (am Router und am Rechner per GPO). Der Router hat eine SIF-Firewall, die auch IP6 Pakete behandelt. Ich möchte jetzt IP6 für die Domäne aktivieren (auch wenn man darüber geteilter Meinung sein kann).
Ich würde da wie folgt vorgehen:
Der Router verteilt das ihm zugewiesene Präfix im Netzwerk.
An den Clients wird zusätzlich zum IP4 auch IP6 aktiviert, aber alle Tunnelprotokolle bleiben deaktiviert.
Wenn ich das richtig verstanden habe würde ich dann ein IP4-Host im Internet über IP4 erreicht werden und ein IP6-Host über IP6. Diese Entscheidung würde bereits am Client fallen. Übergangsprotokolle z.B. Teredo wären nicht mehr erforderlich und alles würde normal funktionieren.
Unsicher bin ich mir hier mit folgendem:
Werden die Übergangsprotokolle noch für etwas anderes benötigt, wenn alle Nodes im Netzwerk Dual-Stack beherrschen? Etwa innerhalb der Domäne oder für bestimmte Dienste im Internet?
In der Firewall kann eine zusätzliche Blockierung von Teredo sicher nicht schaden. sollte man da noch andere Protokolle "nach aussen" sperren? (nach innen ist ohne nicht zulässig ausser SIF lässt es zu)
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 348455
Url: https://administrator.de/contentid/348455
Printed on: April 23, 2024 at 23:04 o'clock
1 Comment
Zitat von @lcer00:
Ich möchte jetzt IP6 für die Domäne aktivieren (auch wenn man darüber geteilter Meinung sein kann).
Ich möchte jetzt IP6 für die Domäne aktivieren (auch wenn man darüber geteilter Meinung sein kann).
da gibt es keine geteilte meinung. Aktuelle Systeme arbeiten mit Dual-Stack problemlos. Man kann eher geteilter meinugn sein, ob man v4-only betreibt.
Wenn ich das richtig verstanden habe würde ich dann ein IP4-Host im Internet über IP4 erreicht werden und ein IP6-Host über IP6.
jepp
Diese Entscheidung würde bereits am Client fallen.
jepp.
Übergangsprotokolle z.B. Teredo wären nicht mehr erforderlich und alles würde normal funktionieren.
Jepp.
Teredo ist sogar kontraproduktiv, weil das ein Loch in Deine v4-Firewall bohrt.
Unsicher bin ich mir hier mit folgendem:
Werden die Übergangsprotokolle noch für etwas anderes benötigt, wenn alle Nodes im Netzwerk Dual-Stack beherrschen? Etwa innerhalb der Domäne oder für bestimmte Dienste im Internet?
Werden die Übergangsprotokolle noch für etwas anderes benötigt, wenn alle Nodes im Netzwerk Dual-Stack beherrschen? Etwa innerhalb der Domäne oder für bestimmte Dienste im Internet?
Nein.
In der Firewall kann eine zusätzliche Blockierung von Teredo sicher nicht schaden. sollte man da noch andere Protokolle "nach aussen" sperren? (nach innen ist ohne nicht zulässig ausser SIF lässt es zu)
Auf jeden Fall teredo und andere tunnelprotokolle sperren, die v6 über v4 tunneln.
lks
