[Script Info]
Title: 
[Events]
Format: Layer, Start, End, Style, Name, MarginL, MarginR, MarginV, Effect, Text
Dialogue: 0,0:00:00.00,0:00:03.63,Default,,0000,0000,0000,,Herald: Hallo und herzlich willkommen auf\Ndem FEM Kanal und zu unserem ersten Talk
Dialogue: 0,0:00:03.63,0:00:08.88,Default,,0000,0000,0000,,heute von margau. Margau hat irgendwann\Nmal angefangen bei Freifunk und ist dann
Dialogue: 0,0:00:08.88,0:00:13.17,Default,,0000,0000,0000,,irgendwann immer professioneller geworden\Nund inzwischen beim C3 Infrastuktur Team
Dialogue: 0,0:00:13.17,0:00:18.27,Default,,0000,0000,0000,,angekommen. Kümmert man sich also jetzt\Ngenau gerade um die RC3 World und das
Dialogue: 0,0:00:18.27,0:00:22.26,Default,,0000,0000,0000,,ganze was es dahinter gibt. Aus genau dem\NGrund gibt es heute auch kein Q&amp;A bei dem
Dialogue: 0,0:00:22.26,0:00:28.38,Default,,0000,0000,0000,,Talk, denn der Talk ist aufgezeichnet.\NMagau ist busy mit dem Betrieb, so. Es
Dialogue: 0,0:00:28.38,0:00:36.06,Default,,0000,0000,0000,,geht um IPv6 und zwar nicht wie sonst\Nimmer mit ... v4 zusammen, sondern
Dialogue: 0,0:00:36.06,0:00:41.79,Default,,0000,0000,0000,,standalone. Also quasi das, was der Traum\Neines jeden Netzwerkers unter 40 Jahren
Dialogue: 0,0:00:41.79,0:00:48.33,Default,,0000,0000,0000,,ist. Er wird ein paar Erfahrungen\Nweitergeben und Tipps, falls wir das auch
Dialogue: 0,0:00:48.33,0:00:51.45,Default,,0000,0000,0000,,alle mal machen wollen, dann... for the\NEnglish speaking viwers, there will be a
Dialogue: 0,0:00:51.45,0:01:00.42,Default,,0000,0000,0000,,translation. To listen to it, select on\Nthe language selection select the first
Dialogue: 0,0:01:00.42,0:01:05.49,Default,,0000,0000,0000,,translated option to hear the english\Ntranslation. Und jetzt viel Spaß beim Talk
Dialogue: 0,0:01:05.49,0:01:08.82,Default,,0000,0000,0000,,mit Margau.\N[placeholder remove me in amara]
Dialogue: 0,0:01:08.82,0:01:14.47,Default,,0000,0000,0000,,margau: Ja hallo, ich bin margau. Schön,\Ndass ihr eingeschaltet habt zu meinem Talk
Dialogue: 0,0:01:14.47,0:01:20.24,Default,,0000,0000,0000,,"Legacy IP gibt es nicht mehr, aber kein\NNetz ist auch keine Lösung" hier beim RC3
Dialogue: 0,0:01:20.24,0:01:26.84,Default,,0000,0000,0000,,2021. Genau. Worum geht es bei meinem Talk\Nheute? Wie betreibe ich ein richtiges Netz
Dialogue: 0,0:01:26.84,0:01:32.01,Default,,0000,0000,0000,,mit IPv6-Focus oder soweit es geht\NIPv6-Only. Bisschen, meine Erfahrungen.
Dialogue: 0,0:01:32.01,0:01:37.90,Default,,0000,0000,0000,,Welche Probleme habe ich gefunden, welche\NLösungen und natürlich auch ein bisschen
Dialogue: 0,0:01:37.90,0:01:42.36,Default,,0000,0000,0000,,Inspiration, was ihr für eure Netze für\Neure Dienste mitnehmen könnt, damit
Dialogue: 0,0:01:42.36,0:01:46.90,Default,,0000,0000,0000,,vielleicht auch ihr dann in der Lage seid\NIPv6-Only zu sprechen, wenn ihr es noch
Dialogue: 0,0:01:46.90,0:01:52.32,Default,,0000,0000,0000,,nicht macht. Vorher, bevor wir loslegen\Naber erst mal ein Disclaimer. In dem Talk
Dialogue: 0,0:01:52.32,0:01:57.48,Default,,0000,0000,0000,,und auch bei meinem Netz geht es um, ich\Nsage mal, echtes Internet. Das heißt, wir
Dialogue: 0,0:01:57.48,0:02:03.12,Default,,0000,0000,0000,,haben einen AS, wir haben IP-space der BGP\Nmit dem Rest des Internets spricht. Das
Dialogue: 0,0:02:03.12,0:02:08.15,Default,,0000,0000,0000,,ganze ist kein Spielzeug! Betrieb eines\NAS's ist deutlich mehr als einfach nur
Dialogue: 0,0:02:08.15,0:02:12.05,Default,,0000,0000,0000,,irgendwo eine virtuelle Maschine klicken\Nund da einen Linux drauf zu installieren
Dialogue: 0,0:02:12.05,0:02:15.90,Default,,0000,0000,0000,,und einen Webserver hochzuziehen oder so.\NAlso überlegt euch wirklich gut, ob ihr
Dialogue: 0,0:02:15.90,0:02:21.74,Default,,0000,0000,0000,,das könnt, ob ihr die Verantwortung tragen\Nkönnt und ja, ob ihr das auch braucht, an
Dialogue: 0,0:02:21.74,0:02:28.86,Default,,0000,0000,0000,,der Stelle. Passt auf, dass ihr wisst was\Nihr tut. Weil, wenn es erst mal nur ums
Dialogue: 0,0:02:28.86,0:02:33.88,Default,,0000,0000,0000,,Üben und ums Spielen mit BGP, mit\NInternet, mit Routing geht, gibt z.B. das
Dialogue: 0,0:02:33.88,0:02:38.53,Default,,0000,0000,0000,,den DN42, das ist ein virtuelles Overlay-\NNetz und das ist dafür sehr gut geeignet.
Dialogue: 0,0:02:38.53,0:02:43.72,Default,,0000,0000,0000,,Aber das sollte man nicht direkt produktiv\Nim Internet tun. Genau, dann nachdem der
Dialogue: 0,0:02:43.72,0:02:49.41,Default,,0000,0000,0000,,Formalkram geklärt is, machen wir mal\Nweiter mit der Terminologie. Ich werde in
Dialogue: 0,0:02:49.41,0:02:56.10,Default,,0000,0000,0000,,dem Talk ein paar Begriffe häufig nutzen,\Nnämlich IP oder richtiges IP meint
Dialogue: 0,0:02:56.10,0:03:03.01,Default,,0000,0000,0000,,natürlich IPv6, das Moderne die 128 Bit\NVariante und wenn ich von Legacy IP
Dialogue: 0,0:03:03.01,0:03:09.29,Default,,0000,0000,0000,,spreche, meine ich damit IPv4, die alter\N32 Bit Variante. Genau. Aber wie hat das
Dialogue: 0,0:03:09.29,0:03:14.22,Default,,0000,0000,0000,,ganze eigentlich angefangen? Irgendwann in\N2020 habe ich mir gedacht, so
Dialogue: 0,0:03:14.22,0:03:20.20,Default,,0000,0000,0000,,Infrastruktur betreibe ich eigentlich\Nschon lange genug, mehrere Jahre. Das DN42
Dialogue: 0,0:03:20.20,0:03:25.68,Default,,0000,0000,0000,,und auch bei anderen Möglichkeiten,\NRouting etc. auch schon einiges an
Dialogue: 0,0:03:25.68,0:03:30.93,Default,,0000,0000,0000,,Erfahrung gesammelt. Es hat sich in ein\Nganzer Zoo an Diensten angesammelt, der
Dialogue: 0,0:03:30.93,0:03:36.70,Default,,0000,0000,0000,,mal einen ordentlichen Neubau brauchte.\NVon daher so langsam lohnt sich eigentlich
Dialogue: 0,0:03:36.70,0:03:42.14,Default,,0000,0000,0000,,ein richtiges Netzwerk, oder? Was brauche\Nich denn für ein richtiges Netzwerk? Ich
Dialogue: 0,0:03:42.14,0:03:46.12,Default,,0000,0000,0000,,brauche erst mal ein Autonomes System. Das\Nkann ich, wenn ich nicht selbst RIPE-
Dialogue: 0,0:03:46.12,0:03:51.14,Default,,0000,0000,0000,,Mitglied werde, von einem Sponsoring LIR\Nbekommen. Ich brauche Konnektivität. Also
Dialogue: 0,0:03:51.14,0:03:56.88,Default,,0000,0000,0000,,irgendwie muss ich ja meine IP Adressen\Nmeines Autonomen Systems ins Internet
Dialogue: 0,0:03:56.88,0:04:02.61,Default,,0000,0000,0000,,bringen. Da gibt es virtuelle Maschinen\Nmit IXP, also Internet Exchange Points
Dialogue: 0,0:04:02.61,0:04:08.50,Default,,0000,0000,0000,,Anbindung. Es gibt virtuelle Maschinen mit\NBGP Upstream. Also auch das ist nicht das
Dialogue: 0,0:04:08.50,0:04:14.10,Default,,0000,0000,0000,,Problem. Zuletzt brauche ich natürlich im\NNetz noch IP Adressen. Richtiges IP, also
Dialogue: 0,0:04:14.10,0:04:21.55,Default,,0000,0000,0000,,IPv6, auch kein Problem. Gibt es zu Hauf,\Nvon RIPE bekommt man /48 PI als Provider
Dialogue: 0,0:04:21.55,0:04:29.21,Default,,0000,0000,0000,,Independent und das ist an einen selbst\Noder an die Organisation gebunden, aber
Dialogue: 0,0:04:29.21,0:04:36.46,Default,,0000,0000,0000,,nicht an den Provider, der jemandem das\Nbereitstellt. Genau. Also v6 Adressen
Dialogue: 0,0:04:36.46,0:04:42.76,Default,,0000,0000,0000,,haben wir. Legacy IP-Adressen oder auch\NIPv4 Adressen genannt. Jetzt wird es
Dialogue: 0,0:04:42.76,0:04:47.44,Default,,0000,0000,0000,,langsam interessanter, gibt es nämlich\Nnicht mehr. Wenn man mal auf die Seite der
Dialogue: 0,0:04:47.44,0:04:52.87,Default,,0000,0000,0000,,RIPE guckt, wie die RIPE-Mitglieder auf\Nneue IPv4-Adressen warten, sieht man der
Dialogue: 0,0:04:52.87,0:04:57.87,Default,,0000,0000,0000,,Graph, die Warteliste steigt stetig an.\NUnd ja, vermutlich hat es heute einen
Dialogue: 0,0:04:57.87,0:05:02.30,Default,,0000,0000,0000,,neuen Höchststand wie gestern, wie\Nvorgestern, wie letzte Woche etc. Und auch
Dialogue: 0,0:05:02.30,0:05:07.78,Default,,0000,0000,0000,,der Gebrauchtmarkt, nenne ich es mal, für\NIPv4-Adressen ist jetzt nicht gerade so
Dialogue: 0,0:05:07.78,0:05:15.02,Default,,0000,0000,0000,,toll, da bezahlt man definitiv einen\Nzweistelligen Betrag in mittlerer Größe
Dialogue: 0,0:05:15.02,0:05:22.16,Default,,0000,0000,0000,,für eine IPv4-Adresse, natürlich auch je\Nnach Präfixgröße etc. Aber IPv4 ist
Dialogue: 0,0:05:22.16,0:05:27.56,Default,,0000,0000,0000,,eigentlich für so ein privates Best Effort\NProjekt allein aus finanzieller Sicht
Dialogue: 0,0:05:27.56,0:05:33.85,Default,,0000,0000,0000,,schon keine wirkliche Lösung mehr. Was\Nmacht man also? Einfach nur IPv6? Weil
Dialogue: 0,0:05:33.85,0:05:39.71,Default,,0000,0000,0000,,IPv6 haben wir ja. Ist kein Problem oder\Nist kein Problem, das zu bekommen. Machen
Dialogue: 0,0:05:39.71,0:05:44.36,Default,,0000,0000,0000,,wir IPv6 only. Als nächstes habe ich mir\Nüberlegt, was soll mein Netz eigentlich
Dialogue: 0,0:05:44.36,0:05:50.00,Default,,0000,0000,0000,,machen? Ich habe dann so eine kleine Liste\Nan Diensten, die ich betreibe, die auch in
Dialogue: 0,0:05:50.00,0:05:53.51,Default,,0000,0000,0000,,dieses Netz dann umziehen sollen.\NNatürlich ein klassischer Webserver mit
Dialogue: 0,0:05:53.51,0:05:58.88,Default,,0000,0000,0000,,einem Blog dahinter, eine Nextcloud, einen\NHedgedoc, über den übrigens gerade diese
Dialogue: 0,0:05:58.88,0:06:05.99,Default,,0000,0000,0000,,Präsentation hier läuft. Mailserver,\Nkommen wir später noch zu und auch noch
Dialogue: 0,0:06:05.99,0:06:09.02,Default,,0000,0000,0000,,das eine oder andere, je nachdem wie\Ngerade Bedarf ist. Aber wenn man sich
Dialogue: 0,0:06:09.02,0:06:14.12,Default,,0000,0000,0000,,diese Liste anguckt, merkt man das nutzen\Ntatsächlich Menschen. Also es ist nicht
Dialogue: 0,0:06:14.12,0:06:19.07,Default,,0000,0000,0000,,nur für mich, um es zu haben, da greifen\Ntatsächlich Menschen drauf zu und wollen
Dialogue: 0,0:06:19.07,0:06:23.78,Default,,0000,0000,0000,,vielleicht das eine oder andere Mal mit\Ndiesen Diensten interagieren. Was macht
Dialogue: 0,0:06:23.78,0:06:29.15,Default,,0000,0000,0000,,man jetzt aber, wenn die Nutzer der\NDienste nur Legacy IP haben? Wir haben ja
Dialogue: 0,0:06:29.15,0:06:33.28,Default,,0000,0000,0000,,eben gesagt, wir machen ein IPv6 only\NNetz. Kann man in mehreren Stufen lösen.
Dialogue: 0,0:06:33.28,0:06:38.59,Default,,0000,0000,0000,,Step 1, so mittelmäßig ernst gemeint,\NAwareness schaffen. Ihr seht hier diese
Dialogue: 0,0:06:38.59,0:06:43.24,Default,,0000,0000,0000,,schönen Banner auf meinem Blog. Falls ihr\Ndas nicht lesen könnt, da steht drin: Du
Dialogue: 0,0:06:43.24,0:06:48.13,Default,,0000,0000,0000,,besuchst diese Seite mit einem veralteten\NIPv4-Internetzugang. Möglicherweise treten
Dialogue: 0,0:06:48.13,0:06:51.73,Default,,0000,0000,0000,,in Zukunft Probleme mit der Erreichbarkeit\Nund Performance auf. Bitte frage deinen
Dialogue: 0,0:06:51.73,0:06:56.26,Default,,0000,0000,0000,,Internetanbieter oder Netzwerk-\NAdministrator nach IPv6-Unterstützung. Was
Dialogue: 0,0:06:56.26,0:07:00.10,Default,,0000,0000,0000,,ist die Idee dahinter? Wenn das genug\NLeute machen, wirds zu einem Marketing
Dialogue: 0,0:07:00.10,0:07:04.72,Default,,0000,0000,0000,,Problem wenn ein Netz oder ein Provider\Nkein IPv6 kann, also kein richtiges IP
Dialogue: 0,0:07:04.72,0:07:09.31,Default,,0000,0000,0000,,anbieten. Und damit wird sich das Problem\Nlösen, weil dann hoffentlich mehr
Dialogue: 0,0:07:09.31,0:07:14.53,Default,,0000,0000,0000,,richtiges IP anbieten etc. Das ist eine\Nschöne Diskussion für Twitter, wenn ich
Dialogue: 0,0:07:14.53,0:07:18.94,Default,,0000,0000,0000,,ehrlich bin. Wie gesagt, ist nicht so ganz\Nernst gemeint, aber falls ihr das auch
Dialogue: 0,0:07:18.94,0:07:25.63,Default,,0000,0000,0000,,machen wollt, wie habe ich das Ding\Ngemacht? nginx hat eine Weiche drin. Ob
Dialogue: 0,0:07:25.63,0:07:31.03,Default,,0000,0000,0000,,der Request per richtigem IP oder per\NLegacy IP kam. Und wenn er herausfindet,
Dialogue: 0,0:07:31.03,0:07:36.82,Default,,0000,0000,0000,,dass der Request per Legacy IP kam,\Nersetzt er den schließenden Body-Tag mit
Dialogue: 0,0:07:36.82,0:07:40.78,Default,,0000,0000,0000,,diesem Banner und natürlich einem\Nschließenden Body-Tag. Aber in Summe ist
Dialogue: 0,0:07:40.78,0:07:44.83,Default,,0000,0000,0000,,eine nette Spielerei, hilft aber nichts,\Nsolange das nicht sehr sehr viele
Dialogue: 0,0:07:44.83,0:07:52.66,Default,,0000,0000,0000,,Webseiten etc. machen. Naja, also Step 1\Nnaja. Brauchen wir also doch Legacy IP
Dialogue: 0,0:07:52.66,0:07:59.95,Default,,0000,0000,0000,,überall? Nein, weil dafür gibt es Step 2,\Nden Layer 4 Proxy. Und da ist die Idee,
Dialogue: 0,0:07:59.95,0:08:07.39,Default,,0000,0000,0000,,dass eine geringe Anzahl an Kisten doch\Nnoch eine Legacy IP Adresse bekommt. Bei
Dialogue: 0,0:08:07.39,0:08:12.24,Default,,0000,0000,0000,,mir heißen die Gateways, kann man nennen\Nwie man will. Genau. Und auf diesen Kisten
Dialogue: 0,0:08:12.24,0:08:17.66,Default,,0000,0000,0000,,läuft dann ein nginx und der verteilt\Nquasi die Anfragen an die Legacy IP
Dialogue: 0,0:08:17.66,0:08:25.30,Default,,0000,0000,0000,,Adresse nach Port. Heißt, wenn eine\NAnfrage an TCP Port 80 kommt, über Legacy
Dialogue: 0,0:08:25.30,0:08:33.76,Default,,0000,0000,0000,,IP weiß nginx, schickt es an an den und\Nden Server mit richtigem IP etc. weiter.
Dialogue: 0,0:08:33.76,0:08:39.70,Default,,0000,0000,0000,,Nachteil ist dann natürlich, man braucht\Nfür jeden Dienst der einen auf dem schon
Dialogue: 0,0:08:39.70,0:08:44.92,Default,,0000,0000,0000,,belegten Port was macht, eine neue IP\NAdresse oder neue Public V4 Adresse, weil
Dialogue: 0,0:08:44.92,0:08:49.15,Default,,0000,0000,0000,,sonst kann man es ja nicht, sondern\Nauseinander sortieren. Heißt natürlich
Dialogue: 0,0:08:49.15,0:08:55.39,Default,,0000,0000,0000,,besonders für http und https, dass ich mir\Nda ein zentrales Reverse Proxy Gateway
Dialogue: 0,0:08:55.39,0:08:58.99,Default,,0000,0000,0000,,gebaut habe, weil ich sonst viel zu viele\NGateways brauche, um das auseinander zu
Dialogue: 0,0:08:58.99,0:09:03.97,Default,,0000,0000,0000,,sortieren. Ich habe da auch mal ein\NBeispiel-Config. Man sieht hier den nginx
Dialogue: 0,0:09:03.97,0:09:09.82,Default,,0000,0000,0000,,stream Block, das ist nicht der standard\Nnginx http Teil, sondern eben auf Layer 4,
Dialogue: 0,0:09:09.82,0:09:16.72,Default,,0000,0000,0000,,also TCP oder UDP. Man spezifiziert dann\Nhier ein upstream DNS-UDP-Backend in dem
Dialogue: 0,0:09:16.72,0:09:21.64,Default,,0000,0000,0000,,Beispiel. Also hier geht es um DNS. Ein\NServer, in dem Fall v6-only natürlich, mit
Dialogue: 0,0:09:21.64,0:09:27.10,Default,,0000,0000,0000,,einem Port, wo das ganze hingeschickt\Nwerden soll und sagt dem nginx dann: Hier
Dialogue: 0,0:09:27.10,0:09:33.88,Default,,0000,0000,0000,,bitte auf dieser IP Adresse UDP und Port,\Nhört, das ist in dem Fall natürlich die
Dialogue: 0,0:09:33.88,0:09:39.94,Default,,0000,0000,0000,,public v4, sollte das sein. Die 10.1.2.3\Nist einfach nur ein Example und das ganze
Dialogue: 0,0:09:39.94,0:09:43.87,Default,,0000,0000,0000,,andere, das dann an das entsprechende\NBackend weiterleitet. Das ganze gibt es
Dialogue: 0,0:09:43.87,0:09:49.36,Default,,0000,0000,0000,,hier drunter noch mal für die TCP\NVariante, genau. Also, eigentlich auch
Dialogue: 0,0:09:49.36,0:09:54.94,Default,,0000,0000,0000,,kein Hexenwerk, das ganze zu machen. Wie\Nsieht das praktisch aus? Interne Dienste,
Dialogue: 0,0:09:54.94,0:09:59.71,Default,,0000,0000,0000,,die nicht von außen erreichbar sein sollen\Noder müssen, haben bei mir generell nur
Dialogue: 0,0:09:59.71,0:10:06.74,Default,,0000,0000,0000,,eine Public V6 Adresse. Das heißt, wenn\Nwir beim DNS bleiben, ein hidden Primary
Dialogue: 0,0:10:06.74,0:10:12.79,Default,,0000,0000,0000,,hat nur eine einzige V6 Adresse. Das ist\Nauch die drauf konfigurierte, darunter ist
Dialogue: 0,0:10:12.79,0:10:19.03,Default,,0000,0000,0000,,er erreichbar, aber er brauch ja kein V4,\Nwenn keine Endnutzer von V4, die nur V4
Dialogue: 0,0:10:19.03,0:10:25.78,Default,,0000,0000,0000,,haben, von außen drauf zugreifen müssen.\NNehmen wir mal ein Beispiel den Secondary,
Dialogue: 0,0:10:25.78,0:10:30.76,Default,,0000,0000,0000,,der von Endnutzern erreichbar sein soll.\NDer Hostname und die IP, die die Kiste
Dialogue: 0,0:10:30.76,0:10:37.69,Default,,0000,0000,0000,,selbst hat, ist weiterhin v6 only, wie man\Nhier im oberen Beispiel erkennen kann. Die
Dialogue: 0,0:10:37.69,0:10:42.58,Default,,0000,0000,0000,,Endnutzer kriegen dann aber einen anderen\NHostnamen, hier z.B. ns1.example.com. Und
Dialogue: 0,0:10:42.58,0:10:47.68,Default,,0000,0000,0000,,der geht für richtiges IP einmal direkt\Nauf die konfigurierte Adresse. Da hängt
Dialogue: 0,0:10:47.68,0:10:51.94,Default,,0000,0000,0000,,kein Gateway mehr dazwischen etc. Das ist\Nnatürlich direkte Ende zu Ende
Dialogue: 0,0:10:51.94,0:10:57.70,Default,,0000,0000,0000,,Kommunikation. Genau. Und die V4 Adresse\Ngeht an dieses nginx stream Gateway, was
Dialogue: 0,0:10:57.70,0:11:01.84,Default,,0000,0000,0000,,wir eben gesehen haben, was dann natürlich\Nentsprechend konfiguriert sein muss, dass
Dialogue: 0,0:11:01.84,0:11:09.49,Default,,0000,0000,0000,,es auf Port 53 eingehende Anfragen\Nentsprechend behandelt. Das Thema Wie
Dialogue: 0,0:11:09.49,0:11:14.98,Default,,0000,0000,0000,,sprechen Endnutzer mit den Servern ist\Njetzt gelöst. Wie sprechen aber jetzt die
Dialogue: 0,0:11:14.98,0:11:20.53,Default,,0000,0000,0000,,Server nach außen? Das Problem ist, manche\NEndpunkte haben kein richtiges IP. Da gibt
Dialogue: 0,0:11:20.53,0:11:25.12,Default,,0000,0000,0000,,es nur sehr sehr bekannte GIT Webseite,\Ndie aktuell noch nicht per IPv6-only
Dialogue: 0,0:11:25.12,0:11:29.29,Default,,0000,0000,0000,,bedienbar ist oder erreichbar ist. Was\Nmacht man also? The same procedure as
Dialogue: 0,0:11:29.29,0:11:33.58,Default,,0000,0000,0000,,every time. Wenn man ein Netzwerkproblem\Nhat und insbesondere ein
Dialogue: 0,0:11:33.58,0:11:38.20,Default,,0000,0000,0000,,Adressierungsproblem macht man natürlich\NNAT. Diesmal nur nicht ganz so schlimm.
Dialogue: 0,0:11:38.20,0:11:42.70,Default,,0000,0000,0000,,Wir machen nicht NAT 44, sondern wir\Nmachen NAT 64. Das heißt wir NATen im
Dialogue: 0,0:11:42.70,0:11:47.02,Default,,0000,0000,0000,,Prinzip Adressen zwischen dem\NIPv6-Adressraum und dem IPv4-Adressraum.
Dialogue: 0,0:11:47.59,0:11:51.01,Default,,0000,0000,0000,,Das ganze will ich jetzt nicht im Detail\Nerklären. Das ist ein eigener Talk. Da
Dialogue: 0,0:11:51.01,0:11:55.78,Default,,0000,0000,0000,,gibt es auch mehr als genug Infos und\NLiteratur dazu, wie dieses NAT 64
Dialogue: 0,0:11:55.78,0:12:00.46,Default,,0000,0000,0000,,eigentlich funktioniert. Zumindest wenn\Nihr im Telekom-Mobilfunknetz seid, ist die
Dialogue: 0,0:12:00.46,0:12:05.11,Default,,0000,0000,0000,,Chance, dass ihr das unwissentlich schon\Nbenutzt relativ groß, weil meines Wissens
Dialogue: 0,0:12:05.11,0:12:10.15,Default,,0000,0000,0000,,macht die das Telekom das per Default oder\Nbietet das per default an. Genau, die
Dialogue: 0,0:12:10.15,0:12:16.27,Default,,0000,0000,0000,,Realisierung bei mir ist: Ich habe diesen\NCommon Präfix, diesen V6 Präfix, wo der
Dialogue: 0,0:12:16.27,0:12:22.39,Default,,0000,0000,0000,,gesamte IPv4 Adressraum drin abgebildet\Nwerden kann. Dieser /96 Präfix wird im
Dialogue: 0,0:12:22.39,0:12:31.06,Default,,0000,0000,0000,,internen Netz von den 64-Gateways\Nannounced um quasi den Devices die Routen
Dialogue: 0,0:12:31.06,0:12:38.47,Default,,0000,0000,0000,,dahin anzubieten, also per ITP genau. Und\Nwenn eine IPv6-only Kiste jetzt auf eine
Dialogue: 0,0:12:38.47,0:12:43.93,Default,,0000,0000,0000,,IPv4-only Resource im Internet zugreifen\Nwill, macht sie eine Anfrage an einen
Dialogue: 0,0:12:43.93,0:12:47.92,Default,,0000,0000,0000,,entsprechend konfigurierten DNS resolver,\Nder genau eine Adresse in diesem Range
Dialogue: 0,0:12:47.92,0:12:52.39,Default,,0000,0000,0000,,zurückgibt. So Resolver gibt es\Nhaufenweise, kann man selbst hosten.
Dialogue: 0,0:12:52.39,0:12:56.41,Default,,0000,0000,0000,,Google hat da was, Cloudflare hat da was,\Ndas ist auch alles ein gelöstes Problem,
Dialogue: 0,0:12:56.41,0:13:04.27,Default,,0000,0000,0000,,einfach mal DNS 64 resolver googlen, da\Nfindet man was. Also sind wir eigentlich
Dialogue: 0,0:13:04.27,0:13:07.87,Default,,0000,0000,0000,,fertig. Wir können von innen nach außen\Nkommunizieren und von außen nach innen.
Dialogue: 0,0:13:07.87,0:13:12.58,Default,,0000,0000,0000,,Gucken wir uns die Übersicht noch mal an.\NVon erstmal unten haben wir unser großes
Dialogue: 0,0:13:12.58,0:13:17.86,Default,,0000,0000,0000,,IPv6-only-Netzwerk. Bei mir läuft es mit\NOSPF und IBGP. Wir haben den ganz normalen
Dialogue: 0,0:13:17.86,0:13:24.04,Default,,0000,0000,0000,,Edge-Router, der die Adressen ins Internet\Nroutet und umgekehrt. V6 Enduser gehen
Dialogue: 0,0:13:24.04,0:13:27.55,Default,,0000,0000,0000,,direkt über diesen Edge-Router Ende zu\NEnde zu dem Dienst unten auf der rechten
Dialogue: 0,0:13:27.55,0:13:34.66,Default,,0000,0000,0000,,Seite. Oben sehen wir noch Legacy End\NUser. Der muss den Umweg über unser TCP
Dialogue: 0,0:13:34.66,0:13:41.65,Default,,0000,0000,0000,,UDP Legacy to V6 Proxy nehmen. Das ist die\Nnginx stream Config, die wir eben gesehen
Dialogue: 0,0:13:41.65,0:13:47.02,Default,,0000,0000,0000,,haben. Auf der linken Seite nochmal\Nzusammengefasst das, was ich eben kurz
Dialogue: 0,0:13:47.02,0:13:53.41,Default,,0000,0000,0000,,erklärte, wie Native V6 only Services mit\NLegacy only Ressourcen kommunizieren,
Dialogue: 0,0:13:53.41,0:13:58.26,Default,,0000,0000,0000,,nämlich über ein Nat64 Gateway, was quasi\Nauch an der Kante des IPv6-only Netzes
Dialogue: 0,0:13:58.26,0:14:04.93,Default,,0000,0000,0000,,steht. Und vorher müssen sie noch einen\NDNS64-Resolver natürlich fragen, um erst
Dialogue: 0,0:14:04.93,0:14:10.01,Default,,0000,0000,0000,,mal die Adresse zu bekommen. Wäre\Nnatürlich zu schön, wenn das ganze out of
Dialogue: 0,0:14:10.01,0:14:15.08,Default,,0000,0000,0000,,the box funktioniert und man nicht den ein\Noder anderen problematischen Dienst an der
Dialogue: 0,0:14:15.08,0:14:21.31,Default,,0000,0000,0000,,Stelle hätte. Womit hatte ich Probleme?\NWie habe ich die gelöst? Mail ist an sich
Dialogue: 0,0:14:21.31,0:14:26.40,Default,,0000,0000,0000,,kompliziert, weil Reverse-DNS etc., das\Nmuss alles passen, sonst werden E-Mails
Dialogue: 0,0:14:26.40,0:14:30.42,Default,,0000,0000,0000,,abgelehnt. Gleichzeitig ist E-Mail für\Nmich ein sehr kritischer Dienst. Von da
Dialogue: 0,0:14:30.42,0:14:35.02,Default,,0000,0000,0000,,habe ich einfach von Anfang an gesagt Der\Nlebt nicht IPv6-only, der kriegt eine
Dialogue: 0,0:14:35.02,0:14:39.47,Default,,0000,0000,0000,,eigene V4 und oder läuft sogar ganz\Naußerhalb. An der Stelle noch mal,
Dialogue: 0,0:14:39.47,0:14:43.83,Default,,0000,0000,0000,,überlegt euch gut, ob ihr einen eigenen\NMailserver betreiben wollt. Wenn ihr das
Dialogue: 0,0:14:43.83,0:14:47.29,Default,,0000,0000,0000,,noch nicht macht, das ist administrativ\Nnicht ganz einfach, wenn nicht sogar das
Dialogue: 0,0:14:47.29,0:14:52.92,Default,,0000,0000,0000,,Komplizierteste an der ganzen Geschichte\Nhier, einen verfügbaren funktionierenden
Dialogue: 0,0:14:52.92,0:14:58.42,Default,,0000,0000,0000,,Mailserver zu betreiben. Ein weiteres\NProblem, was ich hatte mit der netten
Dialogue: 0,0:14:58.42,0:15:02.65,Default,,0000,0000,0000,,Software Matrix Synapse, ein Home Server\Nfür Matrix, also Instant Messaging. An
Dialogue: 0,0:15:02.65,0:15:07.24,Default,,0000,0000,0000,,sich läuft das Ding IPv6 only. Es gibt da\Nnur eine komische Library, die E-Mails
Dialogue: 0,0:15:07.24,0:15:11.22,Default,,0000,0000,0000,,verschickt und die kann kein Happy\NEyeballs. Das heißt, wenn die versucht
Dialogue: 0,0:15:11.22,0:15:16.82,Default,,0000,0000,0000,,sich zu diesem SMTP Server, der eine V4\Noder V6 Adresse hat zu connecten, ähm aber
Dialogue: 0,0:15:16.82,0:15:22.48,Default,,0000,0000,0000,,den über Legacy nicht erreichen kann,\Nweil eine V6-only Kiste natürlich keine
Dialogue: 0,0:15:22.48,0:15:26.94,Default,,0000,0000,0000,,default route für eine legacy IP-Adresse\Nhat, hört die einfach auf zu
Dialogue: 0,0:15:26.94,0:15:31.27,Default,,0000,0000,0000,,funktionieren. Also es gibt ein Timeout,\Nsie kann es nicht erreichen. Habe ich noch
Dialogue: 0,0:15:31.27,0:15:35.34,Default,,0000,0000,0000,,nicht gelöst. Gibt ein GitHub issue dazu,\Nmüsste man wahrscheinlich mal etwas viel
Dialogue: 0,0:15:35.34,0:15:40.90,Default,,0000,0000,0000,,Zeit rein investieren und dann ist auch\Ndas Thema gefixt. Aber aktuell ist es noch
Dialogue: 0,0:15:40.90,0:15:46.08,Default,,0000,0000,0000,,kaputt. Docker ist auch so ein Thema. Wenn\Nman das entsprechend konfiguriert und die
Dialogue: 0,0:15:46.08,0:15:50.42,Default,,0000,0000,0000,,Zeit reinsteckt, läuft es dann per V6, per\NDefault nicht so wirklich, ist eher
Dialogue: 0,0:15:50.42,0:15:56.50,Default,,0000,0000,0000,,anstrengend, sich um Docker in V6-only zu\Nkümmern, geht aber wenn man will. Weniger
Dialogue: 0,0:15:56.50,0:16:02.72,Default,,0000,0000,0000,,toll ist das ganze mit Gitlab Runnern. Ich\Nhabe mal versucht ein GitLab Run in dieses
Dialogue: 0,0:16:02.72,0:16:07.12,Default,,0000,0000,0000,,V6-only Netz zu stellen. Die Kommunikation\Nzwischen Containern klappte dann irgendwie
Dialogue: 0,0:16:07.12,0:16:10.86,Default,,0000,0000,0000,,nicht, wenn man Docker in Docker gemacht\Nhat und dann noch irgendwie docker Service
Dialogue: 0,0:16:10.86,0:16:14.85,Default,,0000,0000,0000,,containern brauchte. Eventuell muss ich\Ndas Ding auf V4 only zurückbauen und dann
Dialogue: 0,0:16:14.85,0:16:19.18,Default,,0000,0000,0000,,irgendwie so eine CLAT da hinstellen. Also\Nohne jetzt ins Detail zu gehen. Alles ganz
Dialogue: 0,0:16:19.18,0:16:23.59,Default,,0000,0000,0000,,schrecklich. Ist aktuell weiterhin kaputt.\NNoch so ein Thema, wenn ich per https ins
Dialogue: 0,0:16:23.59,0:16:33.37,Default,,0000,0000,0000,,Heimnetz will, aber das eben nicht über\Neinen Dyn-DNS machen will, sondern über
Dialogue: 0,0:16:33.37,0:16:40.44,Default,,0000,0000,0000,,einen direkt angebundenen, über VPN\Nangebundenen Jumphost, nenne ich es mal,
Dialogue: 0,0:16:40.44,0:16:44.91,Default,,0000,0000,0000,,ist das ein bisschen kompliziert, je\Nnachdem, wie man sein Netz aufbaut. Mein
Dialogue: 0,0:16:44.91,0:16:50.27,Default,,0000,0000,0000,,OpenVPN-Server steht im IPv6-only Teil.\NDas funktioniert auch. Kam trotzdem nicht
Dialogue: 0,0:16:50.27,0:16:56.96,Default,,0000,0000,0000,,drumrum, ein Reverse Proxy Channing, also\Nquasi ein NAT für HTTP zu bauen. Ist nicht
Dialogue: 0,0:16:56.96,0:17:03.09,Default,,0000,0000,0000,,schön, ginge bestimmt anders. Anders wäre\Ndas halt deutlich zeitaufwändiger. Dann
Dialogue: 0,0:17:03.09,0:17:08.22,Default,,0000,0000,0000,,kommen wir mal zum letzten wichtigen Teil:\NKonnektivität, Routing und Administration.
Dialogue: 0,0:17:08.22,0:17:14.06,Default,,0000,0000,0000,,Das ist jetzt nicht mehr so stark auf\NIPv6-only bezogen. Eher generell. Ich habe
Dialogue: 0,0:17:14.06,0:17:21.36,Default,,0000,0000,0000,,zwei Standorte mit BGP-Konnektivität nach\Naußen, eine IXP-VM in Frankfurt und einmal
Dialogue: 0,0:17:21.36,0:17:27.44,Default,,0000,0000,0000,,eine VM nur mit Transit. Transit für V6\Nist relativ günstig. Gratis v6-Transit ist
Dialogue: 0,0:17:27.44,0:17:32.77,Default,,0000,0000,0000,,zumindest für kleine Projekte auch\Nverfügbar. Und dann habe ich noch weitere
Dialogue: 0,0:17:32.77,0:17:37.65,Default,,0000,0000,0000,,Projekte, weitere Standorte mit billigem\NCompute. Also die ganze Rechenleistung
Dialogue: 0,0:17:37.65,0:17:41.86,Default,,0000,0000,0000,,steht, wo ich aber leider kein BGP habe,\Nzum Beispiel Hetzner. Heißt ich muss
Dialogue: 0,0:17:41.86,0:17:46.80,Default,,0000,0000,0000,,irgendwie zwischen diesen beiden\NStandorten kommunizieren können. Da musste
Dialogue: 0,0:17:46.80,0:17:52.18,Default,,0000,0000,0000,,ich mir, weil ich nichts besseres habe,\Neinen Wireguard, also ein VPN-Overlay
Dialogue: 0,0:17:52.18,0:17:57.52,Default,,0000,0000,0000,,bauen. WAN-intern, läuft da getrennt über\NPolicy Based Routing. iprule is your
Dialogue: 0,0:17:57.52,0:18:02.40,Default,,0000,0000,0000,,friend. VRFs wären besser, um quasi die\NSicht des eigenen Netzes und die Sicht des
Dialogue: 0,0:18:02.40,0:18:05.100,Default,,0000,0000,0000,,Hetzner-Netzes zu trennen. Es gibt da auf\Nder wireguard-Mailingliste eine
Dialogue: 0,0:18:05.100,0:18:09.100,Default,,0000,0000,0000,,Diskussion, die ist aktuell aber leider\Neher eingeschlafen. Also wireguard kann
Dialogue: 0,0:18:09.100,0:18:14.77,Default,,0000,0000,0000,,dieses VRF noch nicht. Mit iprule kriegt\Nman das hin, das ist auch nicht sonderlich
Dialogue: 0,0:18:14.77,0:18:20.11,Default,,0000,0000,0000,,großartig und es frisst natürlich MTU.\NAlso Wireguard. Ihr wollt, wenn ihr so was
Dialogue: 0,0:18:20.11,0:18:24.94,Default,,0000,0000,0000,,macht, strikte Firewall-Regeln haben um\NLeaks zu unterbinden. Das heißt ihr wollt
Dialogue: 0,0:18:24.94,0:18:30.91,Default,,0000,0000,0000,,nicht versehentlich aus eurem internen\NNetz Pakete mit eurer source IP an das
Dialogue: 0,0:18:30.91,0:18:37.49,Default,,0000,0000,0000,,Hetzner Default-Gateway senden. Das wäre\Nuncool. Weil Hetzner weiß ja nicht, oder
Dialogue: 0,0:18:37.49,0:18:42.28,Default,,0000,0000,0000,,kennt ja euer AS nicht oder euer NAT\Nnicht. Für Hetzer ist das ja ein externes
Dialogue: 0,0:18:42.28,0:18:47.33,Default,,0000,0000,0000,,Netz, weil ihr da kein BGP upstream habt.\NAlso da wirklich aufpassen, was ihr da
Dialogue: 0,0:18:47.33,0:18:51.98,Default,,0000,0000,0000,,baut. Vorher verstehen und dann bauen.\NMein Routing mache ich mit bird2 unter
Dialogue: 0,0:18:51.98,0:18:58.94,Default,,0000,0000,0000,,Linux, OSPF als interior gateway-\NProtokoll, IBGP zwischen allen größeren
Dialogue: 0,0:18:58.94,0:19:02.64,Default,,0000,0000,0000,,Standorten. Ist im wesentlichen\NGeschmackssache, wie man das baut. Da gibt
Dialogue: 0,0:19:02.64,0:19:05.83,Default,,0000,0000,0000,,es auch verschiedenste Möglichkeiten.\NWeiterhin das Thema Administration.
Dialogue: 0,0:19:05.83,0:19:13.68,Default,,0000,0000,0000,,Benutzt Konfigurationsmanagement. Ich\Nbenutz Saltstack mit Ansible oder anderen
Dialogue: 0,0:19:13.68,0:19:18.86,Default,,0000,0000,0000,,Tools geht das garantiert auch. Nur das\Nwächst so schnell an, da kriegt ihr dann
Dialogue: 0,0:19:18.86,0:19:22.29,Default,,0000,0000,0000,,in die BGP-Filter, in die BGP-\NKonfiguration, in die Firewall Regeln
Dialogue: 0,0:19:22.29,0:19:26.30,Default,,0000,0000,0000,,keine Konsistenz mehr rein, wenn ihr das\Nnicht, ich sage mal systematisch ausrollt
Dialogue: 0,0:19:26.30,0:19:31.49,Default,,0000,0000,0000,,und per config management sicherstellt,\Ndass das System stabil und konsistent
Dialogue: 0,0:19:31.49,0:19:39.26,Default,,0000,0000,0000,,läuft. Kommen wir so langsam zum Ende. Was\Nwäre noch cool für das Projekt? Weg von
Dialogue: 0,0:19:39.26,0:19:46.11,Default,,0000,0000,0000,,den IXP-VMs, hin zum echten Blech, was da\Nsteht und Pakete routet oder auch Dienste
Dialogue: 0,0:19:46.11,0:19:51.88,Default,,0000,0000,0000,,hostet. Ist natürlich aufwendiger und\Nteurer, das mit echtem Blech zu machen.
Dialogue: 0,0:19:51.88,0:19:57.56,Default,,0000,0000,0000,,Ist eine Option für die Zukunft. Und\Nechter Layer 2 Transport statt Overlay
Dialogue: 0,0:19:57.56,0:20:02.47,Default,,0000,0000,0000,,wäre natürlich auch cool. Frisst mir dann\Nnicht mehr die MTU weg und so weiter. Ist
Dialogue: 0,0:20:02.47,0:20:06.88,Default,,0000,0000,0000,,aber gerade was Standorte, Konnektivität\Netc. betrifft nicht ganz trivial und auch
Dialogue: 0,0:20:06.88,0:20:11.20,Default,,0000,0000,0000,,nicht ganz billig. Sollte man definitiv\Nmachen, wenn das Netz produktiv wird,
Dialogue: 0,0:20:11.20,0:20:17.55,Default,,0000,0000,0000,,solange es irgendwie ein Best Effort\NBastelnetz ist oder Privat-Netz ist, ist
Dialogue: 0,0:20:17.55,0:20:25.10,Default,,0000,0000,0000,,das so eigentlich in Ordnung. Fazit: Würde\Nich es noch mal machen? Definitiv, v6-only
Dialogue: 0,0:20:25.10,0:20:30.08,Default,,0000,0000,0000,,mit wenigen Legacy IP-Adressen auf den\NEdges ist durchaus sinnvoll machbar.
Dialogue: 0,0:20:30.08,0:20:34.06,Default,,0000,0000,0000,,Kostentechnisch ist es eh schon\Ninteressant. Gerade Hetzner hat jetzt vor
Dialogue: 0,0:20:34.06,0:20:39.85,Default,,0000,0000,0000,,kurzem ja angekündigt, dass v4 zukünftig\Nextra kosten wird oder es ohne V4 billiger
Dialogue: 0,0:20:39.85,0:20:44.94,Default,,0000,0000,0000,,wird. Also ja, das mache ich definitiv\Nweiter so und würde das auch in neuen
Dialogue: 0,0:20:44.94,0:20:48.41,Default,,0000,0000,0000,,Projekten so machen, dass ich V4 nur noch\Nauf den Edges habe, auch im privaten
Dialogue: 0,0:20:48.41,0:20:52.99,Default,,0000,0000,0000,,Umfeld. Ihr habt ja gesehen, dass ist\Nnicht sonderlich kompliziert. Der Aufbau
Dialogue: 0,0:20:52.99,0:20:58.02,Default,,0000,0000,0000,,mit diesen IXP-VMs und Tunneln dazwischen\Nist okay für private best effort services.
Dialogue: 0,0:20:58.02,0:21:02.20,Default,,0000,0000,0000,,Ihr hört schon, ich bin nicht so ganz\Nüberzeugt. Also es ist nicht für wirklich
Dialogue: 0,0:21:02.20,0:21:07.38,Default,,0000,0000,0000,,produktive Produktiv-Netze geeignet. Also\Nnichts, was Geld verdient etc. Dafür Layer
Dialogue: 0,0:21:07.38,0:21:11.88,Default,,0000,0000,0000,,2 Transport, ordentliche Peerings,\Nordentlicher Transit, ordentliche
Dialogue: 0,0:21:11.88,0:21:16.96,Default,,0000,0000,0000,,Hardware. Aber das ist ja hier an der\NStelle auch nicht Ziel des Ganzen. Und
Dialogue: 0,0:21:16.96,0:21:22.19,Default,,0000,0000,0000,,damit bin ich am Ende. Vielen Dank fürs\NEinschalten, fürs Zuhören. Und wenn ihr
Dialogue: 0,0:21:22.19,0:21:27.02,Default,,0000,0000,0000,,Fragen habt, sendet gerne eine Mail an rc3\Nat ipv6.church.
Dialogue: 0,0:21:27.02,0:21:35.20,Default,,0000,0000,0000,,Herald: Und dann sind wir wieder zurück\Nhier. Vielen Dank an margau für den Talk.
Dialogue: 0,0:21:35.20,0:21:40.30,Default,,0000,0000,0000,,Es gibt leider kein Q&amp;A, weil margau mit\Nder C3 Infrastruktur beschäftigt ist. Aber
Dialogue: 0,0:21:40.30,0:21:44.64,Default,,0000,0000,0000,,wie ihr gesehen habt, könnt ihr ihr eine\NMail schreiben an die gerade eingeblendete
Dialogue: 0,0:21:44.64,0:21:48.63,Default,,0000,0000,0000,,Email-Adresse. Hier auf dem FEM-Channel\Ngeht es jetzt gleich weiter um 19 Uhr mit
Dialogue: 0,0:21:48.63,0:21:52.96,Default,,0000,0000,0000,,der nächsten Herald News Show und um 20:15\NUhr mit votti zu NetBox als Datenquelle
Dialogue: 0,0:21:52.96,0:21:55.17,Default,,0000,0000,0000,,für Netzwerkinfrastruktur. Bis dahin.
Dialogue: 0,0:21:55.17,0:22:20.00,Default,,0000,0000,0000,,Untertitel erstellt von c3subtitles.de\Nim Jahr 2023. Mach mit und hilf uns!