De launch van Windows 7 en Windows 2008 R2 laat niet meer lang op zich wachten. Persoonlijk kijk ik al een tijd uit naar deze twee Operating Systems van Microsoft. Als IPv6 geek wil ik ook graag weten hoe het zit met de IPv6 support in deze twee nieuwe Operating Systems. In deze blog wil ik daar eens bij stil staan.
DirectAccess
Over DirectAccess heeft mijn collega Alex al een paar blogs geschreven.
http://blogs.microsoft.nl/blogs/itprocommunity/archive/2009/07/02/directaccess-zelf-bouwen-is-ook-best-cool.aspx
http://blogs.microsoft.nl/blogs/itprocommunity/archive/2009/03/25/directaccess-is-ook-best-cool.aspx
DirectAccess geeft de gebruikers de mogelijkheid om automatisch een IPSec tunnel op te zetten naar hun intranet. Hierdoor hebben gebruikers, zo snel ze internet connectie hebben, altijd een connectie met hun intranet.
Om gebruik te maken van deze nieuwe functionaliteit moet je Windows 2008 R2 als server hebben en Windows 7 als client. Daarnaast werkt DirectAccess alleen over IPv6. Hoe zit het dan als je geen IPv6 connectie hebt? In dat geval zal de client een IPv6 over IPv4 tunnel maken om zo een IPv6 connectie te krijgen. Door deze connectie maakt hij vervolgens weer een IPv6 tunnel.
Teredo
Bij de ontwikkeling van IPv6 is er ook nagedacht over hoe IPv6 over IPv4 getransporteerd zou kunnen worden. Hiervoor zijn er een aantal automatische tunnel mechanismes bedacht. 6to4, een tunnel mechanisme die over public IPv4 nummers werkt. ISATAP, die over privated IPv4 nummers werkt. Beide mechanismes gaan niet door NAT heen. Daarom is er een derde tunnel mechanisme bedacht; Teredo.
Teredo maakt gebruik van een externe server, op het internet, waarmee de client een IPv4 tunnel opzet. Deze tunnel kan door NAT heen gaan en de client kan op die manier IPv6 verkeer via een IPv4 tunnel door NAT heen transporteren.
In Windows 2008 R2 is er naast de teredo client ook een teredo server aanwezig. Hierdoor heeft een organisatie en ISP de mogelijkheid om aan zijn gebruikers een eigen teredo server aan te bieden. Als je gebruik maakt van DirectAccess wordt er automatisch een Teredo server geconfigureerd.
IP-HTTPS
Naast de drie hier boven benoemde tunnel mechanismes is er een vierde methode bijgekomen, IP-HTTPS. In dit geval wordt er een SSL tunnel opgezet waardoor het IPv6 verkeer gerouteerd wordt. Ook dit is standaard aanwezig bij DirectAccess en wordt ondersteunt op Windows 2008 R2 en Windows 7.
IPv6 en GPO’s
Met de komst van IPv6 en zijn tunnels op de Microsoft platform maken een hoop beheerders zich druk om de automatische tunnels, en terecht. Het kan zomaar gebeuren dat, door een misconfiguratie, een werkstation een tunnel naar buiten opzet. Hierdoor kan IPv6 verkeer ongestraft door de firewall heen. Dit is dan ook vaak de reden om IPv6 uit te zetten. Dit laatste vind ik natuurlijk niet zo slim. Gelukkig zijn er dan ook een aantal GPO settings bij gekomen, speciaal voor IPv6.
| GPO setting | Omschrijving |
| 6to4 Relay Name | Welke 6to4 Relay moet een client gebruiken als IPv6 default gateway |
| 6to4 Relay Name Resolution Interval | Hoe moet de 6to4 relay gevonden worden |
| 6to4 State | Hiermee kun je 6t04 aan- en uitzetten |
| IP-HTTPS State | Hiermee kun je IP-HTTPS aan- en uitzetten. |
| ISATAP Router Name | Wat is naam van de ISATAP router |
| ISATAP State | Hiermee kun je ISATAP aan- en uitzetten. |
| Teredo Client Port | Welke UDP poort gebruikt de client voor teredo |
| Teredo Default Qualified | Kun je Teredo in Domant State (slapende stand) zetten. Dan is teredo klaar, maar hij doet dan niets. |
| Teredo Refresh Rate | Hoe vaak moet de client de NAT table laten refreshen |
| Teredo Server Name | Wat is de naam van de teredo server |
| Teredo State | Hiermee kun je Teredo aan- en uitzetten. |
HomeGroup
Windows 7 gaat op een nieuwe manier om met het begrip “Home Network”. Iedereen die met vista werkt kent misschien wel het Network Location Awareness. Hiermee kon vista zien op welk netwerk hij zat en welke tag, die jij als gebruiker, het netwerk heeft. Hier werd er een onderscheid gemaakt tussen Home, Work en Public. Afhankelijk van wat je koos werden er verschillende servers en firewall policy’s gestart.
In Windows 7 is het mogelijk om je eigen “Home Network” te creëren op basis van een shared-key. Iedereen die dan toegang moet hebben tot je “Home Network” moet dan deze shared-key krijgen. Veel nieuwe technieken werken alleen op basis van IPv6.
Met de komst van Windows 2008 R2 en Windows 7 word IPv6 steeds belangrijker voor zowel de thuis gebruiker als de organisatie. Veel nieuwe technieken werken alleen op basis van IPv6.
Martijn Bellaard