March 7, 2026

IPv6 Dual Stack sauber aufsetzen: SLAAC, DHCPv6, RA Guard am Host

IPv6 wird in modernen Netzwerken immer wichtiger, und ein sauber konfigurierter Dual-Stack-Betrieb neben IPv4 ist entscheidend für Stabilität und Sicherheit. In diesem Artikel lernen Sie, wie Sie IPv6 auf Linux-Servern korrekt aufsetzen, sowohl mit SLAAC als auch DHCPv6, und wie RA Guard den Host vor unautorisierten Router Advertisements schützt.

IPv6 Grundlagen im Dual-Stack

Beim Dual-Stack-Betrieb werden sowohl IPv4 als auch IPv6 parallel auf denselben Interfaces aktiviert. Dies ermöglicht eine schrittweise Migration zu IPv6, ohne dass bestehende IPv4-Dienste beeinträchtigt werden.

Wichtige Konzepte

  • SLAAC (Stateless Address Autoconfiguration): Hosts erhalten automatisch eine IPv6-Adresse basierend auf Präfixen, die durch Router Advertisements verteilt werden.
  • DHCPv6: Zuständig für die Vergabe zusätzlicher Informationen wie DNS oder feste Adressen.
  • RA Guard: Schützt Hosts vor manipulierten Router Advertisements und verhindert Man-in-the-Middle-Angriffe im lokalen Netzwerk.
  • Link-Local Adressen: Jede IPv6-Schnittstelle erhält automatisch eine fe80::/64-Adresse für die Kommunikation im lokalen Link.

IPv6 auf dem Linux-Host aktivieren

Linux aktiviert IPv6 in der Regel standardmäßig. Sie können den Status mit ip -6 addr show prüfen und bei Bedarf konfigurieren.

Prüfen der aktuellen IPv6-Konfiguration

ip -6 addr show
ip -6 route show
sysctl net.ipv6.conf.all.disable_ipv6

Aktivieren von IPv6 falls deaktiviert

sudo sysctl -w net.ipv6.conf.all.disable_ipv6=0
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=0
sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=0

SLAAC konfigurieren

Mit SLAAC können Hosts automatisch Adressen aus Präfixen generieren, die Router per RA ankündigen.

systemd-networkd Beispiel

[Match]
Name=ens33

[Network]

DHCP=no

IPv6AcceptRA=yes

NetworkManager Beispiel

nmcli con mod server-eth ipv6.method auto
nmcli con up server-eth

DHCPv6 konfigurieren

Für eine zentrale Verwaltung von IPv6-Adressen und DNS-Einträgen ist DHCPv6 sinnvoll.

systemd-networkd Beispiel

[Match]
Name=ens33

[Network]

DHCP=ipv6

IPv6AcceptRA=yes

NetworkManager CLI Beispiel

nmcli con mod server-eth ipv6.method dhcp
nmcli con up server-eth

RA Guard implementieren

RA Guard verhindert, dass bösartige Router Advertisements die Hostkonfiguration manipulieren. Unter Linux kann dies mit ip6tables oder eBPF erfolgen.

RA Guard mit ip6tables

# Drop RA von unautorisierten Quellen
sudo ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j DROP
# Optional nur auf spezifischem Interface
sudo ip6tables -A INPUT -i ens33 -p icmpv6 --icmpv6-type router-advertisement -j DROP

RA Guard auf Switches und Layer-2

  • Bei Enterprise-Switches RA Guard auf den Ports der Endgeräte aktivieren
  • Verhindert, dass unerlaubte Router RA-Ankündigungen verbreiten
  • Ergänzt die Host-seitige Absicherung

IPv6 Security Best Practices

  • Link-Local Adressen nur intern verwenden, globale Präfixe sorgfältig planen
  • Firewall-Regeln für IPv6 prüfen und implementieren (ip6tables oder nftables)
  • RA Guard und DHCPv6-Sicherungen kombinieren
  • Logs überwachen: journalctl -f -u systemd-networkd oder nmcli general logging
  • Regelmäßige Tests im Lab vor Go-Live, z.B. ping6 und traceroute6

Dual-Stack Troubleshooting

  • IPv6-Adresse fehlt → Prüfen von RA und DHCPv6 Status
  • DNS-Auflösung für IPv6 nicht möglich → Prüfen von /etc/resolv.conf und DHCPv6-DNS
  • RA von falschem Router → RA Guard Regeln prüfen
  • IPv6-Routing fehlerhaft → ip -6 route und networkctl überprüfen

Fazit

Ein sauberer IPv6 Dual-Stack Betrieb erfordert sorgfältige Planung von SLAAC, DHCPv6 und Sicherheitsmechanismen wie RA Guard. Mit systemd-networkd oder NetworkManager lassen sich diese Mechanismen konsistent implementieren, was die Stabilität, Sicherheit und Skalierbarkeit der Linux-Serverinfrastruktur verbessert.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host