Zie Diensten-ABC

IPv6 op de Campus

IPv6 op de Campus

Let op! Deze handleiding beschrijft een geavanceerd aspect van het netwerk van de Universiteit Twente. Voor normaal gebruik van IPv6 op de campus heb je deze handleiding niet nodig, dit werkt ‘out-of-the-box’ op zo goed als alle apparaten.

Let op! Deze handleiding gaat ervan uit dat je zelfstandig met je besturingssysteem om kan gaan en bekend bent met verschillende netwerktechnieken en is dus niet bedoeld voor beginnende gebruikers.

Dit is geen traditionele ‘handleiding’ zoals de meeste van de handleidingen die op deze website te vinden zijn. De ‘handleiding’ geeft een stuk achtergrondinformatie over een dienst die aangeboden wordt op het netwerk, en beschrijft daarnaast een aantal procedures voor gebruikers die meer uit deze dienst willen halen.

Achtergrondinformatie

IPv6 (versie 6 van IP, het Internet Protocol) is de opvolging van IPv4. IPv4 wordt sinds 1983 gebruikt om op het internet elk verbonden apparaat te voorzien van een uniek adres (het IP-adres). Met dit IP-adres kunnen computers informatie naar elkaar versturen. Deze handleiding beoogt niet om IP en de werking van het internet uit te leggen. Als je hier meer over wilt weten, dan is dit (http://www.theshulers.com/whitepapers/internet_whitepaper/) wellicht interessant.

Waarom IPv6

De manier waarop IPv4-adressen worden opgebouwd houdt in dat er ‘maar’ een slordige 4.3 miljard unieke IPv4-adressen bestaan, waarvan er om verschillende redenen maar 3.7 miljard gebruikt kunnen worden. Als sinds 1990 is voorspeld dat de IPv4-adressen op den duur op zouden raken en begin 2011 werd dit werkelijkheid toen de hoogste instantie op het gebied van IP-adressen (IANA, de Internet Assigned Numbers Authority) de laatst overgebleven sets IP-adressen toekende aan regionale organisaties. Dit is geen verrassing, aangezien IPv4 voorziet in slechts 1 IP-adres per twee mensen op aarde, en veel mensen tegenwoordig al meerdere apparaten bezitten die met het internet verbonden zijn.

IPv6-adressen zijn zo opgebouwd dat er een virtueel oneindig aantal unieke adressen bestaat (om precies te zijn gaat het om 2128 of ongeveer 3.4 x 1038 unieke adressen). Dit zou het probleem van het opraken van IPv4-adressen op moeten vangen. IPv6 wordt daarom op steeds meer plekken gebruikt naast IPv4, en moet op den duur IPv4 geheel gaan vervangen. De Universiteit Twente ondersteunt al jaren IPv6 naast IPv4 en is daarmee voorbereid op de toekomst.

IPv6 configureren

Het goede nieuws is dat men al minstens tien jaar geleden besloten heeft om IPv6-ondersteuning in te bouwen in de meeste apparaten met een internetverbinding. Voor het gebruik van IPv6 op je apparaat hoef je dus hoogstwaarschijnlijk niks in te stellen.

SLAAC

Een computer verkrijgt zijn IPv4-adres over het algemeen via DHCP. Ook op het UT-netwerk is dit het geval. Eenzelfde protocol, genaamd DHCPv6, is beschikbaar voor het dynamisch toekennen van een IPv6-adres. Dit wordt op het UT-netwerk echter niet gebruikt. Op het UT-netwerk wordt er gebruik gemaakt van een techniek genaamd Stateless Autoconfiguration (SLAAC). Het komt erop neer dat je computer zichzelf automatisch een adres toekent gebaseerd op het MAC-adres van je computer, gecombineerd met een zogenaamde IPv6-prefix die geldt voor het (deel van het) netwerk waar jij je op bevindt. Voor campusnet, het deel van het UT-netwerk waar alle studentenwoningen op aangesloten zijn, is bijvoorbeeld de prefix 2001:67c:2564:331::/64. Als je MAC-adres 12:34:56:78:90:ab is wordt je IPv6-adres 2001:67c:2564:331:1234:56ff:fe78:90ab. Dit spreken je apparaat en het UT-netwerk automatisch af. Een SLAAC-adres herken je door de ff:fe in het midden van het laatste /64 deel van een IPv6-adres. Als je zelf je SLAAC-adres wilt uitrekenen of wilt weten hoe een SLAAC-adres is opgebouwd, dan kun je bijvoorbeeld hier (http://www.sput.nl/internet/ipv6/ll-mac.html) terecht.

Routers en IPv6

Sommige campusbewoners gebruiken in hun woning een eigen (draadloze) router. De meeste routers proberen een IPv6-adres op te vragen via DHCPv6, zoals eerder genoemd. Echter werkt dit op de campus niet. Het toch doen van DHCPv6 verzoeken kan leiden tot problemen op het campusnet, en daarom is het belangrijk om DHCPv6 uit te schakelen op je router. Je kunt toch gebruik maken van IPv6 achter je router, en wel op een van de volgende twee manieren.

Sommige routers ondersteunen een functie genaamd “IPv6 passthrough”, of iets soortgelijks. Indien je dit inschakelt worden, voor IPv6, de clients achter je router via hun eigen SLAAC-adres (zoals hierboven beschreven) aan het netwerk gehangen. Je router functioneert voor IPv6 dan dus niet meer als een router, maar als een switch. Clients die via DAS geregistreerd zijn en een statisch IP en hostname hebben, zullen op hun SLAAC IPv6-adres ook een hostname krijgen. Deze heeft de vorm hostname.student.ipv6.utwente.nl en werkt alleen op het campusnet VLAN.

Andere routers stellen je in staat zelf een IPv6-prefix te routen. Als dit het geval is dan kun je via de SNT Helpdesk een eigen, persoonlijk, /64 IPv6-prefix aanvragen. Deze wordt door de universiteit naar jouw router gerout. Vanaf hier kan je router dan bijvoorbeeld DHCPv6 aanbieden in je eigen LAN (let er goed op dat je géén DHCPv6 aanbiedt richting het UT-netwerk!) of binnen je LAN gebruik maken van SLAAC in je eigen prefix.

Privacy- en veiligheidsoverwegingen

Een van de aspecten van IPv6 is dat, in tegenstelling tot IPv4, waarschijnlijk elk apparaat publiek met het internet verbonden is.

Voor IPv4 geldt dat bij veel thuisaansluitingen van commerciële internet service providers (en als je achter een eigen router op het UT netwerk zit) een huishouden één IPv4-adres toegewezen krijgt. De (draadloze) router van dat huishouden kent vervolgens alle apparaten binnen het lokale netwerk een intern IPv4 adres toe. Er zijn een drietal ranges gereserveerd voor deze IPv4-adressen, maar verreweg de meest gebruikte voor consumenten is 192.168.0.0/16. Deze lokale IP-adressen zijn dus niet ‘wereldwijd’ uniek en horen daarom niet thuis op het internet, maar alleen in gesloten interne netwerken. Je (draadloze) router maakt vervolgens constant een vertaalslag tussen deze interne en externe adressen in een proces dat NAT (Network Address Translation) heet. Dit is tevens de reden dat het internet nog steeds werkt, ondanks dat er te weinig IPv4-adressen zijn om elk apparaat van een globaal uniek IPv4-adres te voorzien.

Met IPv6 is dit probleem opgelost maar ontstaat er een nieuw probleem. Elk apparaat is namelijk rechtstreeks verbonden met en bereikbaar vanaf het internet. Het is daardoor nóg belangrijker dat je router maar ook de apparaten achter je router een degelijke firewall hebben omdat er geen NAT meer is wat apparaten achter je router beschermt.

Daarnaast wordt, zoals eerder genoemd, vaak SLAAC op basis van MAC-adressen gebruikt voor het toekennen van IPv6-adressen. Dit zorgt voor een aantal privacy problemen. De eerste is dat het genereren van een SLAAC IPv6-adres omkeerbaar is. Iedereen die een SLAAC IPv6-adres ziet kan uit dat adres afleiden wat het MAC-adres is van het apparaat achter dat adres. Hieruit kan bijvoorbeeld de fabrikant van je netwerkkaart worden achterhaald.

Een groter probleem is dat het tweede deel van je SLAAC IPv6-adres alléén afhangt van je MAC-adres. Als je wisselt tussen netwerken (dat kunnen verschillende delen van de campus zijn, maar ook bijvoorbeeld tussen je thuisnetwerk, je mobiele internetnetwerk en het netwerk van vrienden) blijft het tweede deel van je SLAAC IPv6-adres hetzelfde. Sites die je regelmatig bezoekt (denk bijv. aan nieuwssites, maar ook Google) kunnen je daardoor identificeren aan de hand van het tweede deel van je adres wat altijd hetzelfde blijft. Verder kunnen ze dit soms ook nog koppelen aan een locatie door het eerste deel van je adres te gebruiken (een IPv6-adres wat bijvoorbeeld begint met 2001:67c:2564 verraadt dat het apparaat zich bevindt op de Universiteit Twente).

Dit laatste probleem wordt over het algemeen opgelost met een methode genaamd privacy extensions. Deze methode staat apparaten toe om (naast een SLAAC IPv6-adres) ook een willekeurig gegenereerd adres aan te nemen. Door dit willekeurige adres te gebruiken voor communicatie richting het internet wordt het volgen van specifieke apparaten over het internet weer moeilijker gemaakt. Privacy extensions zijn nuttig voor bijvoorbeeld smartphones en laptops, en veel besturingssystemen zullen automatisch gebruik maken van privacy extensions. Als je meer over privacy extensions wil weten, kun je onder andere hier (http://www.internetsociety.org/deploy360/resources/privacy-extensions-for-ipv6-slaac/) terecht.

Veel voorkomende problemen

Deze sectie omschrijft veelvoorkomende problemen die kunnen optreden met het gebruik van IPv6.

Windows Privacy Extensions

Zoals eerder in deze handleiding beschreven levert SLAAC een privacy probleem op dat wordt opgelost door middel van privacy extensions. Over het algemeen veroorzaakt dit geen problemen, maar in sommige situaties kan het vervelend zijn. Dit is bijvoorbeeld het geval als je apparaat moet verbinden met een service die alleen verbinden vanaf een bepaald IP-adres toestaat, of als je graag wil dat je hostname te herleiden valt voor uitgaande verbindingen. In dat geval wil je wél je SLAAC of statische IPv6-adres gebruiken. In Windows kun je privacy extensions uitschakelen door een PowerShell-terminal te openen met administratorrechten en de volgende twee commando’s uit te voeren:

Set-NetIPv6Protocol -RandomizeIdentifiers Disabled

Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

Contact
Servicedesk ICT
Library, ICT Services and Archive

Uitsluitend te bereiken via de zijingang van Citadel aan het O&O-plein