Die Verwaltung von IT-Landschaften wird immer komplexer - die explosionsartige Vermehrung mobiler Clients ist nur eine der vielen Erschwernisse. Zeit also für ... (mehr)

Interfaces und Adressen

Während der Befehl »ipconfig /all« eine gute Gesamtübersicht über die wichtigsten IP(v6)-Parameter liefert, kratzt er doch nur an der Oberfläche. Um eine umfassende Auflistung zu erhalten, benötigen Sie wieder die Netshell. Möchten Sie einen Überblick über die IPv6-aktivierten Interfaces bekommen, nutzen Sie den Befehl »netsh interface ipv6 show interfaces« .

Dieser Befehl zeigt auch die Index-Nummer sowie den korrekten Namen des jeweiligen Interfaces an. Beides kann alternativ verwendet werden, um in Interface-bezogenen Befehlen das gewünschte Interface zu referenzieren. Ist der Index der Schnittstelle “LAN-Verbindung” 11, hätte der oben gezeigte Befehl für einen statischen Neighbor-Cache-Eintrag also auch folgendermaßen lauten können: »netsh interface ipv6 set neighbors 11 “fd00:1234::1” “ab-cd-ef-01-23-45”« .

Eine umfassende Übersicht über die Interface-Adressen liefert der Befehl »netsh interface ipv6 show addresses« . Neben dem Adresstyp wird auch die Gültigkeitsdauer und deren Status angezeigt. Dies ist insbesondere im Rahmen der Autoconfiguration relevant und geht weit über die Aussagefähigkeit von »ipconfig /all« hinaus.

Selbstverständlich lassen sich hier auch diverse Interface- und Adressenparameter anpassen. Möchten Sie der Schnittstelle “LAN-Verbindung” mit dem Index 11 die IPv6-Adresse 2001:

db8:face::1 dauerhaft hinzufügen, lautet der Befehl:

netsh interface ipv6 add address 11 2001:db8:face::1/64 store=persistent

Soll diese Adresse eine Anycast-Adresse sein, ergänzen Sie den Befehl durch »anycast.«

Bild 3: Ein Aufruf von show neighbor zeigt den Neighbor Cache an.

Ebenso wird eine vorhandene Adresse entfernt. Soll die eben festgelegte Adresse wieder gelöscht werden, hilft der Befehl »netsh interface ipv6 delete address 11 2001: db8:face::1« . Achtung: Hierbei wird auf die Angabe des Präfixes verzichtet, sonst gibt die Netshell an dieser Stelle eine Fehlermeldung aus, die die Angabe einer gültigen IPv6-Adresse erfordert.

Bild 4: Die Netshell zeigt die vorhandenen IPv6-Interfaces.

Autoconfiguration ja, aber...

Die Autoconfiguration ist per Default aktiviert. Liefert ein IPv6-Router über ein Router-Advertisement ein Präfix und/ oder andere Konfigurationsinformationen, werden diese durch Windows verarbeitet. Der Windows-Host erstellt sich daraufhin automatisch IPv6-Adressen. Per Default erzeugt er zwei automatische Adressen:

- Öffentliche (public) Adresse: Sie dient dazu, um den Host über eine feste Adresse erreichbar zu machen.

- Temporäre (temporary) Adresse: Sie wird unter Verwendung der Privacy Extensions nach RFC 4941 gebildet und für ausgehende Kommunikation des Hosts verwendet.

Die temporäre Adresse hat im Gegensatz zur öffentlichen Adresse eine zufällig generierte Interface-ID.

Obwohl die öffentliche Adresse nach einer Reinitialisierung der betreffenden Schnittstelle neu erstellt wird, hat sie immer dieselbe Interface-ID. Diese erzeugt das Windows-System einmalig während der Erstinstallation des Betriebssystems und heißt “Randomized Identifier”. Im Gegensatz zum EUI-64-Verfahren, bei dem die MAC-Adresse zugrunde gelegt wird, um eine Interface-ID zu bilden, können durch den Randomized Identifier keine Rückschlüsse auf die MAC-Adresse gezogen werden. Dies erschwert das Tracking des Hosts im Internet.

Bild 5: Mit show adresses zeigt die Netshell auch Gültigkeitsdauer und Status der IPv6-Adressen an.

Auch wenn dieses Verhalten in vielen Situationen gewünscht und sinnvoll sein dürfte, gibt es auch Szenarien, in denen sich der Windows-Host anders verhalten soll. Hierzu lassen sich die beiden zuvor beschriebenen Mechanismen deaktivieren. Um den Randomized Identifier zu umgehen und stattdessen EUI-64 für die Bildung der Interface-ID zu verwenden, geben Sie den Befehl n »etsh interface ipv6 set global randomizeidentifiers=disable« ein. Die Deaktivierung des Randomized Identifiers ist nur global möglich. Der Befehl »netsh interface ipv6 show global« zeigt in der Zeile “IDs zufällig anordnen” nun “disabled” an (Bild 6).

Bild 6: Die zufällige Erzeugung einer Interface-ID lässt sich abschalten.

Auch die Bildung einer temporären Adresse mittels Privacy Extensions kann unterbunden werden. Hierzu geben Sie den folgenden Befehl ein: »netsh interface ipv6 set privacy disabled« . Lassen Sie sich die Hilfe zu diesem Befehl anzeigen, stellen Sie fest, dass dies die Kurzform des Befehls »netsh interface ipv6 set privacy state=disabled« ist. Bei einer Recherche im Internet werden Sie möglicherweise des Öfteren über solche Differenzen stolpern. Bedenken Sie hierbei, dass die Netshell oft Abkürzungen bietet.

In diesem Zusammenhang ist es auch möglich, die Gültigkeitsdauer temporärer Adressen anzupassen, die standardmäßig sieben Tage gültig sind. Die Angabe kann nur in Tagen erfolgen. Soll die Gültigkeitsdauer auf einen Tag begrenzt werden, lautet der Befehl »netsh interface ipv6 set privacy maxvalidlifetime=1d« .

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023