- priprema: dignuti Debian pa onda                                                                     
         apt-get install iproute iputils-ping traceroute iptables tcpdump wireshark \
                 telnet openssl netcat6 dnsutils wget elinks \
                 postfix apache2 vsftpd pdns-recursor bind9 radvd \
                 quagga aiccu 

         wget http://ftp.hr.debian.org/debian/pool/main/d/djbdns/dbndns_1.05-8_i386.deb
         dpkg -i dbndns*
                                             
- sto je ipv6 i zasto ga zelimo?

  trenutni IPv4 iz 1981, IPv6 iz 1998 (RFC 2460) [fali IPv5 protocol - The
  Internet Stream Protocol - ST, nikad zazivio, zamisljen za video/voice
  itd. vidi diskusiju u RFC 1190 za ST-II - broj je prvi nibble u IP paketu]

  - Primarni problem je nedostatak IPv4 adresa, nestati ce negdje oko ulaska
    Hrvatske u EU.  :-)
    http://penrose.uk6x.com/ == IANA 1.2.2011, APNIC 15.4.2011.
    http://www.ipv4depletion.com/ ==> slijedeci je RIPE! za oko 258 dana?
    http://www.potaroo.net/  ==> detaljne analize
    http://test-ipv6.com/ - brza web2.0 provjera

    IPv4 = oko 4 milijarde (2^32 =~ 4E6), IPv6 (2^128 =~ 340E36 340 sekstiliona)

  - vracanje end-to-end komunikacije -- no more NAT kludges

  - NAT *nije* "sigurnost od provala". NAT je statefull firewall + rewrite source IP adrese
    Statuful firewall je sigurnost, a njega se moze imati i bez NATa. 
    ("ip(6)tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT")

  - autokonfiguracija adresa bez DHCPa (stateless) ili sa (stateful)

  - IPSec integrated.

  - bolji QoS (traffic class, flow label) umjesto diffserv/ToS

  - maybe: mobilnost i multihoming (a mozda i ne...), anycast umjesto broadcast

  - nedostaci:
     - oblik zapisa nuzno duzi (ali moguca kracenja, DNS kao workaroundi, neke stvari i svoje metode - recimo BIND ORIGIN za reverseDNS)
     - nije kompatibilan sa IPv4. Workaroundi:
     		- DualStack - IPv4 + (native ili tunelirani IPv6)
		- 6in4 - protocol 41, problem firewalli i NAT bez DNAT. Tunnel-broker.net
		- AYIYA, apt-get install aiccu, ali i sixxs.net kompleksnija registracija
		- Teredo: apt-get install miredo (nekad problematican rad, centralni serveri, /etc/gai.conf prioriteti
		  uncomment all labels but #label 2001:0::/32 7)
		- itd. (ISATP, 6rd, NAT64/DNS64, DS-Lite, ...)  http://en.wikipedia.org/wiki/IPv6_transition_mechanisms
     
     
- detalji IPv6
  - adresiranje nacini:
    full 2001:0db8:0042:0000:0000:0000:0000:0001 (8 grupa sa po 4 hex znaka svaka odvojena sa ":")
    ne moraju se vodece nule pisati ==> 2001:db8:42:0:0:0:0:1
    zadnja grupa od vise 0 se moze zamijeniti samo sa :: ==> 2001:db8:42::1
    special case ::ffff:192.168.0.1 (IPv4 mapped - RFC4038, transitional)
  - mreze: /64 minimalno za LAN od 2^64 IPova, /128 jedna adresa, /56 256 networka, /48 65536 networka
    LIRovi gruope od /32 (65536 /48 networka)
  - svaki NIC (mrezni adapter) ima link-local adresu, i nula ili vise unique-local i global adresa
  - adrese imaju validnost i preferiranost: "ip -6 addr"
  - special adrese
  	::/128 unspecified, dok se jos ne zna (0.0.0.0/32)  
  	::1/128 loopback na lo interfaceu (127.0.0.1/32)
  	fe80::/10 link-local adrese
  	fc00::/7 unique-local addresses (ULA - RFC4193) - (private, ekvivalent RFC1918 192.168. itd)
  	ff00::/8 multicast (224.0.0.0/4)
  	2000::/3 global unicast ("The IPv6 Internet")
  	2001:db8::/32 dokumentacija (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24)
  	2001:2::/48 benchamrking (dokumentacija)
  	2001:0::/32 - Teredo (transition)
  	2002::/16 - 6to4 (transition)
     	ping6 ff02::1%eth0 - all nodes
     	ping6 ff02::2%eth0 - all routers
  - bonding rr i DaD problems - ili disable DaD ili active-passive
  - debian kernel support odavno, u squeeze cak i nije vise module nego built-in
  - radvd primjer i install 
  - neighbour discovery (ND) autoconfig IP, MTU. 
    Duplicate Address (DaD) i neighbour unreachable (NUD). 
    umjesto ARP broadcasta u IPv4 za rezoluciju MAC adrese.
    U IPv6 multicast ND (ip -6 neigh)
    router solicitation / router advertisement (RA) - gw  (ip -6 route)
  - tunnelbroker.net i http://ipv6.he.net/certification/ (i majica :)
  - linkovi na resurse
    http://www.ipv6actnow.org/
    http://wiki.debian.org/DebianIPv6
    http://mod.carnet.hr/index.php?q=watch&id=1244

  - plugin firefox ShowIP -- ali samo pokazuje DNS, a ne nazalost i na koji smo se tocno spojili 
    



- sto je sve obecano za radionicu
       Sazetak: Definiranje IPv6, njegove potrebe i prednosti, te problema sa iscrpljenjem IPv4
       adresnog prostora koji su postali vrlo aktualni pocetkom 2011. godine. Radionica ce povuci
       paralele izmed/u IPv4 i IPv6 mreza i adresiranja, pokazati slicnosti i razlicitosti
       prilikom koristenja mreznih alata (uglavnom na Debian i drugim GNU/Linux sistemima), te
       pokazati kako instalirati i podesiti razne servise kao DNS, Web, FTP, mail, firewall da
       rade i preko IPv6. Preporucno je prethodno osnovno poznavanje trenutnih IPv4 adresa.
       
       - Definiranje IPv6, 
       - njegove potrebe i prednosti, te problema sa iscrpljenjem IPv4 
         adresnog prostora koji su postali vrlo aktualni pocetkom 2011. godine. 
         
       - paralele izmedju IPv4 i IPv6 mreza i adresiranja
       - slicnosti i razlicitosti prilikom koristenja mreznih alata 
         (uglavnom na Debian i drugim GNU/Linux sistemima)
	- ping => ping6
	- traceroute => traceroute6
	- nc => nc6
	- telnet => telnet -6
	- nekad bracket forma za address literals (najcesce ako moze biti i FQDN, ili :port, ili protocol specific)
	  npr. elinks 'http://[2001:db8:42::140]'

       - nema manje od /64

       - EUI-64 (MAC adresa sa ff:fe u sredini)
         na windowsima random - (i linux privacy extensions gdje)

       - reverse dns ip6.arpa., forward AAAA a ne A (niti A6 abominacija!)

       - # IPv6 HE tunnelbroker.net anycast, use google services at IPv6!
         nameserver 2001:470:20::2


       - netstat -l 
         :::80 moze biti i samo ipv6, ali i ipv6+ipv4, ovisno o nacinu koristenja

       - carnet nudi svojim ustanovama, radi se na PPK
         komercijalni provideri?
         trazite i pitajte

       - oprez: ipv6 broken router zbog preferiranosti ipv6 - mali postotak
         neradecih stranica

       - ipv4 nedostatak problem - cak i ako mi imamo adresa dovoljno!

       - NAT ne samo da nije sigurnost; nego otezava/onemogucava i pronalazenje
         npr zarazenog racunala ili sl. veliki broj adresa u ipv6 prakticki
         onemogucava bruteforce scanning (nmap -sP 2001:db8::/32)

       - sigurnosno - tuneli "probijaju" firewall (ako rade)

       - ipv6-icmp vs icmp!


       - special: ff05::1:3 (all dhcp servers - i drugi...
         http://en.wikipedia.org/wiki/Multicast_address )

       - linkovi utilizacija:
         http://www.sixxs.net/tools/grh/dfp/all/?country=hr
         bwm.carnet.hr
         http://www.kame.net/ plesuca kornjaca 
         ipv6.google.com (sa he.net DNSom i vise!) ili google project http://www.google.com/intl/en/ipv6/


	                             
	
       - prakticno: servisi
          - dignuti network, tunnelbroker.net acc ili sixxs ili miredo

#auto he-ipv6
iface he-ipv6 inet6 v4tunnel
        endpoint 216.66.80.30
        local 192.168.1.100
        address 2001:db8:1234:5678::2
        netmask  64
        gateway 2001:db8:1234:5678::1
        # mtu 1280  
        # that gets ignored in v4tunnel, only used in "static"! see  http://wiki.debian.org/DebianIPv6 and http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=408453
        # so we set it up manually here:
        up ip link set mtu 1280 dev $IFACE
        ttl 255
        #pre-up /usr/local/bin/he6_update_tunnel
	# nesto tipa: wget --no-check-certificate -q -O - https://ipv4.tunnelbroker.net/ipv4_end.php?ipv4b=AUTO&pass=xxxxxxxxxxxxxxxxx&user_id=yyyyyyyy&tunnel_id=zzzzz
        up ip addr change 2001:db8:1234:5678::2/64 dev $IFACE preferred_lft 0

          - radvd za klijente. I/ili DHCP6 za stateful.

/etc/radvd.conf (na klientu apt-get install rdnssd):
interface eth0
{
 AdvSendAdvert on;
 AdvLinkMTU 1380;

 prefix 2001:db8:1234:4444::1/64
 {
 };

 RDNSS 2001:db8:1234:4444::1
 {
 };
};
         
          - DNS (tinydns, powerdns-recursor, bind)
            http://ftp.hr.debian.org/debian/pool/main/d/djbdns/dbndns_1.05-8_i386.deb
            ili http://anders.com/projects/sysadmin/djbdnsRecordBuilder/#AAAA
            
          - web (apache)
          - FTP (vsftpd)
          - mail (postfix)
          - firewall (ip6tables. scriptiranje 4+6 iptables)
         
          - wireshark
          - quagga (extra primjer LAN i BGP) ? 
          - www.ipv6tracker.org