We're sorry but this page doesn't work properly without JavaScript enabled. Please enable it to continue.
Feedback

IPv6 im Jahre 2018

00:00

Formal Metadata

Title
IPv6 im Jahre 2018
Title of Series
Number of Parts
94
Author
License
CC Attribution 4.0 International:
You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor.
Identifiers
Publisher
Release Date
Language

Content Metadata

Subject Area
Genre
Abstract
Nach 20 Jahren IPv6 (RFC2460 erschien im Dezember 1998) und knapp 40% Verbreitung an Deutschlands Internetzugängen stellt sich IPv6 für die meisten Admins immer noch als Mysterium dar. Teilweise wird sogar von führenden Experten empfohlen IPv6 abzuschalten "weil das nur Probleme macht". Warum das nicht so ist, und warum man sich doch auf die "neue" Welt einlassen sollte erklärt dieser praxisorientierte Vortrag. Der Vortag führt ein in Adresskonzepte, Adressvergabe und -auflösung (SLAAC, DHCPv6, DHCPv6-PD, ND, RDNSS, etc.) und zeigt einen typischen Adressierunsplan auf. Brückentechnologien wie NAT64, DS-lite und Teredo werden vorgestellt und eingeordnet. Die Konfiguration von IPv6 unter Linux wird am Beispiel von iproute2 bzw. Debian Netzwerkkonfiguration sowie sysctls aufgezeigt.
14
Thumbnail
08:55
28
30
36
Thumbnail
57:37
39
Thumbnail
58:46
48
Thumbnail
1:00:10
57
Thumbnail
15:55
91
HTTPIP addressIP 6Version <Informatik>Local ringOpen sourceXMLUMLMeeting/Interview
InternetIP 6IP 6IP 4ProviderTranslation (relic)Computer animation
IP 6Addressing modeIP 4Different (Kate Ryan album)Dynamic Host Configuration ProtocolUnicastingverfahrenSocial classIP addressIP 6Dynamic Host Configuration ProtocolTelecommunicationIP 4Smart cardInternetLengthNullOrder of magnitudeRouter (computing)Tape driveProviderSwitch <Kommunikationstechnik>Physical quantityHausdorff spaceBlock (periodic table)EthernetComputer animation
Limit (category theory)Disk read-and-write headQuality of serviceTypIP 4Service (economics)Computer animation
TypParameter (computer programming)ARPRouter (computing)Inverter (logic gate)IP 6Debian GNU/LINUXRouter (computing)LINUXError messageCalculationIP 4WINDOWS <Programm>IP addressUNIXParameter (computer programming)InternetFrame problemVersion <Informatik>Systems <München>Mach's principleICMPIP 6MAX <Programm>Workstation <Musikinstrument>Computer animation
Router (computing)Particle detectorServer (computing)Gateway (telecommunications)Dynamic Host Configuration ProtocolAndroid (robot)Router (computing)IP addressServer (computing)Particle detectorCalculationAndroid (robot)IP 4Parameter (computer programming)Mainframe computerTexture mappingClient (computing)IP 6CiscoComputer hardwareGoogleLebensdauerStandard deviationSystems <München>WeightEnergy levelStack (abstract data type)TelecommunicationAPIPolar coordinate systemInternettelefonieDynamic Host Configuration ProtocolWorkstation <Musikinstrument>InformationTypComputer animation
Local area networkTOUR <Programm>Sound effectTable (information)IP addressUniformer RaumInternettelefonieDeutsches ForschungsnetzNumerisches GitterError messageTaligentInternetProviderIP 4SubnetLink (knot theory)IP 6Set (mathematics)TelecommunicationRouter (computing)Hausdorff spacePhysical quantityWindows RegistrySeries (mathematics)Eigenvalues and eigenvectorsVirtual LANComputer animation
Stack (abstract data type)Router (computing)Particle detectorServer (computing)Default (computer science)Gateway (telecommunications)Local area networkTOUR <Programm>Source codeISPInternetWINDOWS <Programm>IP 6IP addressComputer Graphics MetafileSlide ruleBitTorrentSeries (mathematics)CW-KomplexHausdorff spaceSet (mathematics)IP 4Local ringInternet service providerRouter (computing)Computer animation
Server (computing)WEBIP 4Virtuelles privates NetzwerkDot productIP 4IP 6IP addressOpenVPNClient (computing)GoogleHausdorff spaceServer (computing)BIND <Programm>SubnetProviderPhysical quantityInternetApple <Marke>Service (economics)Computer animation
Version <Informatik>Concurrency patternFirefox <Programm>Graphical user interfaceMicrosoftFacebookIP 6Apple <Marke>Mobile appApple <Marke>YouTubeFirefox <Programm>IP 6Direction (geometry)Lecture/ConferenceComputer animation
WINDOWS <Programm>FacebookInternetStatistikerService (economics)MicrosoftGoogleStatisticsMeeting/Interview
MicrosoftIP 6FacebookMobile appApple <Marke>Windows AzureMicrosoftIP 6IP addressProgrammer (hardware)Interior (topology)High availabilityRouter (computing)GoogleIP 4Server (computing)Chemical equationNmapHOPE <Programmiersprache>Terminal equipmentNoten <Programm>Limit (category theory)Slide ruleRoutingPrioritySingle-precision floating-point formatAlive <Programm>Stack (abstract data type)InformationCommunications protocolPerturbation theoryLINUXEXTESTConfiguration spaceAutomationComputing platformWireless LANNormal (geometry)Mobile appEIBComputer animationLecture/Conference
Router (computing)Hausdorff spaceComputer hardwareFirewall (computing)Database transactionIP 6InformationProviderService (economics)InternetIP addressIP 4Internet service providerPerspective (visual)Switch <Kommunikationstechnik>SIP <Kommunikationsprotokoll>InternettelefonieSoftware testingChecklistMeeting/Interview
openSUSEComputer animation
Transcript: German(auto-generated)
Nachdem es im Vortrag vorher noch um Legacy-IP ging, wir sind noch nicht ganz beim echten Internat, wir sind jetzt beim aktuellen, der aktuellen Version des IP-Protokolls.
Für viele Leute ist das noch neu, wie wir sehen. Neuland. Neuland, obwohl es 20 Jahre tatsächlich das passende RFC dazu schon gibt, wobei ich mir an manchen Gesichtern eigentlich denke, sie sind mehr für den Spaßfaktor hier. Es handelt sich hierbei nicht um die IPv6 Selbsthilfegruppe.
Die trifft sich später. Ach so. Genau, die Fragenpolicy ist die gleiche wie vorher, ihr dürft gerne, wenn die beiden Pause machen, Zwischenfragen, signalisiert es bitte, damit ihr ein Mikro bekommt, ansonsten haben wir später Zeit für Fragen und ansonsten bekommt ihr jetzt Falk, Falk ist Fullstack Infrastructure Engineer bei
der Profi AG, einer unserer lokalen IPv6 Fanboys und zusammen hält er den Talk mit Maximilian Wilhelm, Netzwerker, Open Source Hacker, Infrastructure Architekt an der Universität Paderborn, Infrastructure Architekt für
Freifunk und ansonsten, da ihr ja alle Bedarf an IPv6 habt, die beiden gibt es mietlich zu erwerben. Viel Spaß. Vorweg habe ich noch eine Frage, hat jemand was dagegen, wenn ich frontal ein Foto mache und das twittere nachher, wenn möge er bitte jetzt sprechen oder
sich verstecken? Gut, niemand sagt was. Oder Facepalm. Danke sehr. Niemand interessiert IPv6, ja, ja. Genau, das ist schon so alt, das T-Shirt ist schon ausgewaschen. So, worüber wir heute reden wollen, eine Vorstellungsrunde hatten wir so ein bisschen zur Geschichte von IPv6, dann wollen wir uns IPv6 mal ein
bisschen näher angucken, was gibt es Neues, wie sieht so eine IPv6 Adresse aus, warum gibt es so eine IPv6 Adresse, wir wollen mal ans Packet Format gucken, mal gucken was ICMP, Stateless Auto Configuration und ähnliche Sachen sind und uns ein bisschen Transition Technologies
angucken, wie wir von 4 in A6 kommen. Und andersrum. Und andersrum. State of the Internet, dieses Legacy IPv4 hat ja ein Problem, wir haben zu wenig Adressen, das heißt, wir machen überall Network Adress Translation und Network Adress Translation ist kacke.
Punkt. So, wer von euch ist Kunde bei Kabel Deutschland oder ähnlichen? Wem reißen ständig die V4 Verbindungen ab? Gut, das liegt an Large Scale Nut beziehungsweise Carrier Grade Nut, das heißt, das Nut macht nicht mal eure Fritzbox, sondern euer Provider für euch und diese Kisten sind ständig überlastet und machen eigentlich nur
Ärger und Probleme. Was haben wir noch? Es gibt Geräte, die heute immer noch kein IPv6 unterstützen. Diese Hersteller sollte man vielleicht nicht mehr kaufen, das heißt, wenn ihr neue Geräte kauft, achtet darauf, dass sie IPv6 können.
Es gibt so ein paar Zeitserver Hersteller, die dieses Jahr auf Treten von Menschen endlich mal IPv6 eingeführt haben. Manche sind noch dabei, das zu tun. Sie sagen immer, das kommt irgendwie Quartal 1, aber sie sagen nie welches Jahr.
So, ein bisschen zur Geschichte. IPv6 kam mit RFC 2460 im Dezember 1998. Das sind jetzt fast 20 Jahre. Das ist schon erwachsen, noch nicht in Amerika, aber bei uns. Genau, man darf schon Alkohol kaufen, zumindest hier.
Warum hat man mal an IPv6 oder IP Next Generation gedacht? Man hat natürlich gesehen, wir hatten es vorhin mit den ganzen Glass-Fall-Adressen, als das Subnetting rausging. Irgendwann merkte man so, dieses IPv4 ist auch irgendwie nicht genug. Also müssen wir mal was Neues machen und hat sich dann IPv6 ausgedacht. Man wollte halt zusehen, dass es genug Adressen gibt, damit man keinen
NUT oder PUT mehr machen muss. Und die Routing-Tabellen wurden auch immer größer. Ich glaube, aktuelle V4 Routing-Tabelle im Internet sind 800.000 irgendwas Routen. 770. 770, ok, ja fast, zumindest dieselbe Größenordnung.
Das erste IPv6-Deployment war im Sixbone. Das wurde am 06.06.2006 eingestellt, weil man sich dann dazu durchgerungen hatte, doch anständige Adressen zu benutzen. Es gab früher ganz viele Tunnel-Provider wie 6XS, Hurricane Electric, die einem IPv6-Tunnel nach Hause geliefert haben,
weil die meisten Provider v6 noch nicht eingeführt hatten. Das ist auch heute noch ein Problem. Es gibt immer noch Provider, die einem keinen IPv6 liefern, also nur das halbe Internet.
Deutschland ist tatsächlich relativ weit vorne mit 35 Prozent IPv6 Adoption. Das heißt, es gibt relativ viel IPv6 in Deutschland, da die Deutsche Telekom jedem Kunden genug IP-Adressen gibt. Globale IPv6 Adoption sind über 22 Prozent, das muss mehr werden. Wobei man noch dazu sagen muss, dass andere europäische Länder
da noch deutlich weiter sind. Belgien ist, glaube ich, relativ führend. Da wird es dunkel, genau. Also bei den Top-Webseiten. Ich glaube, GitHub hat immer noch keinen IPv6.
Bahn.de nicht und und und. Also da gibt es noch ganz, ganz viele dunkle Flecken auf der Landkarte. Aber man kann Katzenvideos gucken mit IPv6. Immerhin. Ja, das ist wichtig. So, also was ist neu? Neu ist, wir haben ein anderes Adressformat als IPv4.
Die Adressen sind deutlich länger mit 128 Bit. Ich habe komplett neues Hatter-Design, was endlich mal sinnvoll ist. Ich habe Stateless Auto-Configuration. Das heißt, im Idealfall brauche ich kein DHCP-Server, wenn ich nicht wilde Magie machen will. Broadcast ist weg. Das nennt sich jetzt Multicast.
Das heißt, ich muss auch nicht zwingend in meinem Ethernet Broadcast haben, sondern es reicht, wenn die Switches IPv6 Multicast verstehen. Und ich habe so ein bisschen eine globale Adress Hierarchie. Das heißt, bestimmte Präfixe werden nach Kontinenten verteilt.
Das hat man sich damals mal ausgedacht. Das wird mittlerweile nicht mehr so geführt. War damals aber eine Idee des Ganzen. Kommen wir zu den Adressen. Standardmäßig sieht das Ganze so aus. Ich habe 8 mal 16 Bit Hexadezimal. Miralina verteilt auch gerade ein paar Karten, damit ihr euch das angucken könnt. Der Mutags auch.
Also quasi das, was auf diesem schönen T-Shirt, auf diesem schönen Handtuch steht, was es zum Towel Day gab, als ein RIPE-Meeting ist, kriegt ihr gerade als Karten zum Nachgucken. Genau. Sponsort bei RIPE NCC.
Weil es das Documentation-Prefix ist. Für den Stream die Frage ist, warum der Anfang der Adressen 2001 db8 ist. 2001 db8 ist das Documentation-Prefix.
Das heißt, das ist reserviert. Das wird man im Internet nicht finden. Das sollte man im lokalen Netzwerk nicht nutzen. Kann man, sollte man aber nicht. Das ist dafür gedacht, um Folien zu bauen, Karten zu drucken. Texte zu schreiben. Damit man sich keine IP-Adressen ausdenken muss, sondern halt entsprechend welche nutzen kann. Wie gesagt, Adressformat.
Ich habe 2 mal 16 Bit Hexadezimal. Damit ich nicht so viel schreiben muss, werden die Adresse in Hexadezimal geschrieben. Das heißt, ich habe nicht nur 0 bis 9, sondern ich habe auch noch A bis F hinten dran. Wenn ich so eine Adresse ausschreibe, ist die relativ lang. Tendenziell habe ich da auch ganz, ganz viele Nullen da drin.
Die kann ich weglassen. Ich kann eine lange Zeile Nullen mit einem doppelten Doppelpunkt abkürzen. Das darf ich aber exakt einmal tun. Weil sonst weiß ich nicht mehr, wie viele Nullen ich wo hatte. Führende Nullen in solchen, ja damals hieß das mal Tupel, wir heißen das bei IPv6.
Ich glaube, da sind wir uns immer noch nicht ganz einig. Okay, Führende Nullen in diesen Dingern zwischen den Doppelpunkten darf man auch weglassen. Nennen wir sie Blöcke. Blöcke, okay.
Das heißt, ich habe hier eigentlich, wo nur ein db8 steht, steht ein 0db8. 0 müsste ich ausschreiben. Das darf ich nicht weglassen. Es gibt IPv4-kompatible Adressen, wo ich eine IPv4-Adresse in einer IPv6-Adresse ausdrücken kann.
Das fängt mit ganz, ganz vielen Nullen und einem FFFF an. Das sieht man unter der Linux, zum Beispiel in einem Nginx-Log. Oder generell bei Programmen, die TCP6-Sockets verwenden, die sowohl V4 als auch V6-Verbindungen annehmen. Und dann habe ich das, was ich bei IPv4 auch schon habe,
die CIDR-Notation für Präfixe. Das heißt, mein Präfix ist ein Slash 64. Das heißt, ich habe 64 Bit Netzanteil, 64 Bit Hostanteil. Es gibt unterschiedliche Adresstypen.
Es gibt Unicast-Adressen. Global ist alles, was nicht irgendwo anders spezifiziert ist. Ich habe Unic Local, fc00. Die kann ich irgendwo vergeben, die werden nicht geroutet. Zum Beispiel die ganzen Freifunk-Router geben üblicherweise
auch eine Unic Local-Adresse mit raus, wenn sie kein echtes IPv6 haben. Ich habe Link-Local-Adressen, fe80, slash10. Jedes Gerät, das IPv6 unterstützt hat, mindestens eine Link-Local-Adresse pro Interface. Manchmal sogar mehrere. Ich habe die IPv4-Mapped-Adressen.
Ich habe meine Lupec-Adresse, die ist immer doppel.doppel.1. Und im Vergleich zu IPv4 habe ich nur eine. Bei IPv4 wurde ja ein ganzes slash8 dafür verschwendet. Hier gibt es nur exakt eine. Und ich habe meine unspecified-Adresse.
Meine Default-Route ist einfach ein doppelter Doppelpunkt. Das heißt, es sind alles Nullen. Aber da haben wir gelogen, das wäre slash0. Nein. Jetzt habe ich gelogen. Bei IPv4 war es 1 slash0. Hier ist es 1 slash028, falls die unspecified-Adress ist.
Multicast kann ich auch relativ einfach unterscheiden. Bei IPv4 hatten wir 224 slash4. Hier haben wir ff00 slash8. Das heißt, auch da haben wir ausreichend Multicast-Adressen. Und es gibt keine Broadcast-Adressen.
Weil im IPv6 gibt es keinen Broadcast. Haben wir nicht, brauchen wir nicht mehr. Kriegen wir auch nicht wieder rein. Hier mal so ein IPv6-Header. Der ist deutlich einfacher als ein IPv4-Header, wo ich meinen Type of Service und so weiter habe. Aus einem einfachen Grund. Ich habe hier oben meinen Version-Header.
Da steht eine 6 drin, weil es IPv6 ist. Dann habe ich eine Traffic-Class. Damit kann ich relativ einfach angeben, was für ein Typ traffic-less ist. Das haben sie bei IPv4 im Type of Service-Field versteckt. Wer von euch hat mal irgendwie so ein bisschen Quality of Service gemacht?
Das mit den DSCP-Codepoints kennt ihr. Das ist hier ein bisschen einfacher, weil hier kann ich einfach Traffic Classes angeben. Das ist ein bisschen größer, das Label. Ich habe ein Flow-Label. Das heißt, ich kann identifizieren, welche Pakete zu welchem Flow gehören. Ich habe eine Payload-Länge. Die sagt mir, wie groß der Rest an Datengerümpel
da hinten dran ist. Also unser Packet-Overhead. Dann habe ich den Next-Header, der auf Nächste-Header zeigt. Das heißt, ich kann mehrere Header hintereinander hängen. Ich habe nicht mehr das Problem von einem Fixed-40-Byte-Header wie bei IPv4, wo dann alles Mögliche irgendwie reingepresst wurde, sondern ich kann sagen, ich habe ja noch neue Optionen,
die sind im nächsten Header. Guck mal danach. Und dann habe ich, was früher bei IPv4 TTL hieß, habe ich ein Hop-Limit. Das heißt, mein Paket darf x-Hops-weit geroutet werden. Danach ist es bitte wegzuwerfen. Dann habe ich eine große Source-Address. Klar, 128 Bit.
Und eine große Destination-Address. Und dann kommt üblicherweise auch schon mal entweder noch ein Next-Header, wenn ich noch irgendwelche Optionen dran kleben möchte, oder mein Payload. Machen wir weiter. Es gibt natürlich bei IPv6,
auch wie bei IPv4, ICMP. Das ICMPv6 macht deutlich mehr als das ICMP bei v4. Ich habe sogenannte Informational-Types. Die haben alle eine Nummer größer 127. Das heißt, 128 ist ein Echo-Request, 129 ein Echo-Reply.
Das ist der übliche IPv6-Ping. Dann habe ich so ein paar Error-Types. Ich habe ein Destination-Unreachable. Das heißt, dass der letzte Router sagt, ich weiß nicht wohin mit deinem Paket. Ihr hast es zurück. Ich habe ein Packet-Too-Big. Das war, bei IPv4
gab es damals diese Don't-Fragment-Bits, wo man dann Fehlermeldungen zurückgekriegt hat. Hier gibt es eine explizite Fehlermeldung, dass das Paket zu groß ist und man es doch bitte kleiner schneiden möchte. Dann habe ich ein Time Exceeded. Das heißt, mein Hop-Limit wurde erreicht. Ich habe das Paket weggeschmissen, sagt ihr aber Bescheid.
Und dann gibt es noch ein Parameter-Problem. Das heißt, dass irgendwas ganz komisch ist, was mir überhaupt nicht gefällt. Und deswegen schicke ich dir das jetzt zurück. Das möchte man alles nicht filtern. Genauso schon die Probleme mit ICMP-Filtern bei IPv4, gibt es die hier auch.
Wenn ich ICMPv6-Filter filtern will, filtern muss, aus regulatorischen Gründen, so Leute gibt es ja, gibt es dann RFC dazu 4890. Wenn ihr das machen müsst, lest das bitte. Ansonsten ist euer Netzwerk relativ schnell relativ aus.
Weil ich ja nicht nur Echo-Request, Echo-Replay oder Fehlermeldungen darüber verschicke. Nein. Das gesamte Neighbor Discovery unter IPv6 funktioniert mit ICMPv6. Das heißt, das sind alles ICMPv6-Nachrichten. Was ich bei einem IPv4 mit AAP oder sowas gemacht habe, heißt hier Neighbor Discovery.
Das ist eine ICMPv6-Message. Genauso eine Router Solicitation. Hallo, gibt es hier in diesem Netz irgendwo einen Router? Und dann gibt es noch das Router Advertisement. Kommen wir auch gleich nochmal zu. Das sagt, hallo, ich bin in diesem Netz dein zuständiger Router. Du hast folgendes Präfix und folgende Option.
Neighbor Solicitation, Neighbor Advertisement. Wer bist denn du? Hilfe, ich möchte mit B reden. Wo bist du denn? Also quasi der Ersatz für AAP im IPv4. Genau. Und dann habe ich noch das ICMP redirect. Nimm nicht mich als Router, nimm den da drüben. Weil da ist der Weg kürzer.
Und das Ganze ist durch IPv6 Multicast implementiert. Das heißt, wenn ich meinen Neighbor nicht finde, klar muss ich irgendwann eine Multicast-Adresse schicken. Und das heißt, ich kann auch nur an alle Router schicken oder nur an alle Rechner schicken. Das heißt, Router Advertisements gehen auch nur, oder zu
Router Solicitations, werden auch nur an alle Router geschickt, die auf diese Multicast-Gruppe hören. Das heißt, ich habe nicht mehr so viel Schrott im Netzwerk rumfliegen. Das kriegen zumindest weniger Leute den Schrott. Wofür wird das noch benutzt? Dinge wie Parameter Discovery, das heißt, wie groß ist denn meine MTU? Wie groß muss ich meine Ethernet-
Frames schnüren, damit sie noch durchs Kabel passen und nicht irgendwo verpuffen, weil sie nicht durchpassen? Gibt es diese Adresse schon? Es gibt einen Duplicate-Adress-Check, wer unter Linux oder unter Debian zumindest, da kenne ich es, Netzwerk-Interfaces konfiguriert oder hochfährt, sieht manchmal die Meldung Waiting for DAD. Das ist der Duplicate-Adress-Check. Das heißt,
ein Rechner fragt mal, hallo, gibt es die IP hier schon? Da kommen wir gleich noch zu. Na gut. So. Wie gesagt, da kommen wir gleich zu. Und zwar wie Rechner ihre Adressen kriegen. Damit wir das aber verstehen, muss ich vorher noch eine andere Sache erklären, nämlich EUI 64.
Extended Unique Identifier in 64-Bit-Länge. Das heißt, ich habe ja eine Autodiscovery, das heißt, der Rechner muss sich seine Adresse irgendwie zusammenpuzzeln. Was nimmt man jetzt als Schlauestes? Man nimmt die MAC-Adresse des jeweiligen Interfaces. Die schneidet man
klein in zwei 24-Bit-Häppchen, tut einen FFFE dazwischen, zählt das siebte Bit von links hoch, hat einen Effekt, und zwar da drüben sind hier nochmal die MAC-Adressen aufgemalt. Und das siebte Bit von links sagt Globally Unique oder Locally Administered.
Damit flippe ich dieses Globally Unique Bit, was in der MAC-Adresse Globally Unique ist, flippe es auf Locally Administered. Muss eigentlich zwei beim ersten Dingsi dazuzählen. Und damit ist meine MAC-Adresse lokal administriert. Das heißt, ich habe mir das selber ausgedacht. Und daraus baue ich mir
quasi meinen Interface Identifier zusammen. Ich habe dann einen 64-Bit-Wert, den ich an eventuell gelieferte Präfixe ankleben kann. Schön wäre jetzt, wenn alle Systeme das so machen. Bei Unixen, bei Macs ist das so. Außer bei Windows. Die haben sich was anderes überlegt, was gar nicht doof ist. Sie machen es nur anders.
Wenn ich ein Windows installiere, würfelt er einmal einen 64-Bit-Wert und speichert das als Interface Identifier und nutzt den für alle Interfaces. Das heißt, wenn ich in einem Windows die Netzwerkarte tausche, kriege ich danach dieselbe IP. Mache ich das bei einem Unix oder Mac-System, kriege ich eine neue IP. Kann man sich jetzt darüber streiten, was cleverer ist?
Es gibt auf jeden Fall beide Welten. Genau. Eine Frage. Wenn ich jetzt im Gegensatz zu IPv4 diese Version benutze, dann habe ich ja grundsätzlich eine immer wiederkehrende oder gleichbleibende Adresse und bin damit im Internet immer identifizierbar, während ich bei IPv4 ja würfeln kann. Richtig.
Hast du? Gibt es aber einen RFC zu, der nennt sich Privacy Extensions und die haben wir auch noch auf dem Schirm. I'm glad you asked. Das kommt noch. Genau. Fangen wir mal an mit Stateless Autoconfiguration.
Wie kriegt das Ding jetzt eine IP-Adresse? Wir fangen damit an, wir stecken einen Kabel in einen Ethernet-Port. Damit merkt das Interface so, oh, ich muss hier was tun. Das heißt, es würfelt sich schon mal eine EUI 64 Identifier und baut sich damit eine Link-Local-Adresse. Die fängt üblicherweise mit FV80
an. Und das heißt, FV80, Doppelpunkt, mein Local Identifier. Jetzt fängt das Ding an mit diesem Local Identifier, weil der in dem Subnetz ja unik ist, Router Solicitations rauszuschicken. So, hallo, hier bin ich. Gibt's hier Router irgendwo? Ja, hier. Genau, da ist der Router. Der Router schickt daraufhin ein Router-Advertisement.
Das tut er üblicherweise periodisch, alle fünf Minuten, aber man kann ihn danach auch fragen. In diesem Router-Advertisement steht mein Netzpräfix drin, da steht die Lebenszeit des Netzpräfix drin. Ich kann da meinen DNS-Server reinschreiben für das Netz. Ich kann mein Default-Gate wieder reinschreiben und ich kann meine MTU da reinschreiben.
Unter anderem, da geht noch viel mehr, aber lassen wir das erst mal. Dann geht das Interface los, sagt, okay, ich habe hier einen Präfix von ihr bekommen, da klebe ich meinen Interface-Identifier dran und habe damit meine globale Unique-Adresse. Und mit dieser globalen Unique-Adresse
geht das Interface los und schickt ein Duplicate Address Detection. Das heißt, es versucht eine Neighbor Solicitation für seine IP-Adresse zu machen. Es fragt mit der Link-Local-Adresse, hey, gibt's für diese IP-Adresse jemanden, der sie benutzt? Wenn das nicht der Fall ist, weiß es, okay, ich kann die Adresse benutzen, das ist jetzt meine
und los geht's. Das geht innerhalb von wenigen Sekunden alles, das ist genauso schnell wie eine DHCP-Antwort und ich muss mich als Admin eigentlich um nichts mehr kümmern. Und das Schöne ist, wenn dieses Präfix irgendwo mal umziehen muss, ist auch das kein Problem, weil ich kann einfach auf dem Router sagen, hey, du hast jetzt ein neues Präfix
und das Alte lässt du verfallen. Da ich da üblicherweise einen Lifetime dran geklebt habe, die so, ich glaube, üblich sind eine Stunde oder sowas, kann ich innerhalb dieser Stunde neue Präfix-Advertisements schicken. Die Interfaces holen sich nach und nach neue IP-Adressen, die Alte geht ja noch und ich kann
sozusagen schleichen den Übergang von einem neuen auf ein altes Präfix machen. Das heißt, ich habe beim Renumbering schon mal nicht mehr die Schmerzen, die ich mit IPv4 habe. Solange alle Systeme in dem Netz Slack benutzen. Genau. Dann gibt es noch was Stateful Autoconfiguration
oder auch DHCPv6 genannt. DHCPv6 muss ich dann machen, wenn ich bestimmte Parameter übergeben will, wie zum Beispiel ein Bootfile, wenn ich meinen Pixi-Boot über IPv6 machen möchte. Dann muss ich natürlich dem Rechner sagen, ok, wo ist dein Next-Server, was ist dein Bootfile, was holst du dir woher
Und es gibt auch, wenn das Gerät zum Beispiel noch kein RD-NSS unterstützt, also DNS Server Advertisement über ein Router Solicitation, über ein Router Advertisement, dann muss ich das über DHCPv6 machen. Es gab eine Zeit lang Geräte, die kein RD-NSS
konnten, so Juniper Router zum Beispiel. Oder Cisco. Da musste ich dann meinen IPv6 DNS Server noch zusätzlich per DHCPv6 verteilen. Ansonsten hätte ich nur einen V4-Nameserver gehabt. DHCPv6 brauche ich zum Beispiel für eine Prefix Delegation. Was ich halt bei IPv6 auch machen kann.
Ich kann einem Host sagen, pass mal auf, du kriegst nicht nur eine IP-Adresse von mir, sondern du kriegst ein gesamtes Prefix, aus dem du die Netze ziehen darfst. Das macht zum Beispiel eine deutsche Telekom mit eurem Router zu Hause. Das heißt, ich kriege dann Slash 56 und der Router kann intern mehrere Netze verteilen. Das heißt, Geräte,
die hinter dem Router sitzen, müssen kein Net mehr benutzen, sondern können, wie gesagt, mehrere Subnetze nutzen. Das ist soweit ganz praktisch, weil, wie gesagt, ich muss dann kein Net mehr machen. Ich habe hinter dem Router ein zugeteiltes globales Präfix und muss mir dann nichts mehr ausdenken oder würfeln.
Dann gibt es noch Stateless Autoconfiguration bei DHCPv6. Das heißt, ich mache mein ganzes Adressgemarmel per Stateless Autoconfig mit EUI64 Identifier. Ich konfigure meinen DNS-Server bei DHCPv6 oder ähnliche Sachen. Und Android supportet das nicht.
Google findet, das braucht man nicht. Google findet DHCPv6 doof. Liebe Moderatoren, dann ist es nicht auf der Aufzeichnung doof.
Der Grund dafür, dass Android das aber nicht supportet, ist auch gar nicht so doof. Das Tolle an Stateless Autoconfiguration ist, dass alle Clients ihren Identifier selbst auswürfeln und sich nicht aktiv beim Router melden müssen.
Dadurch kann kein Mapping von Adresse zu Gerät vorgenommen werden. Das dann getrackt und gespeichert werden, um dann später Dinge wegloggen und später noch ein paar Dinge abzuwürfen. Ich glaube, das Wissen ist nach der Grund, dass zumindest der Typ, der bei Android eben für diesen Teil des Stacks verantwortlich ist,
sagt, ich will nicht, dass das funktioniert und deshalb kann Android kein DHCPv6. Wo sich eben ja das Gerät aktiv beim Router meldet und der Router dann eben ein Mapping vorhalten kann. Ja, gut, das Mapping habe ich ja trotz Router-Solicitation immer noch. Ich glaube, du zielst auf das DHCP-Mapping ab.
Ich würde es aber trotzdem gut finden, wenn man dann mindestens einen DHCP-Server per DHCPv6 verteilen könnte. Einen DNS-Server meinst du? Ja, ich rede wirr. Android supportet gar keinen DHCPv6.
Ja, aber das Problem ist, wenn der Router kein RDNSS kann. So HANA-I-Problem und so. Also, Standards entwickeln sich relativ schnell, weil es motivierte Leute gibt, die sie schreiben, durch das RFC und IETF etc. etc. pushen. Dann haben wir einen Standard.
Bis das dann in so einem Stück Blech landet, dauert das eine Weile. Das muss nämlich in die neuen Chips und das hat Entwicklungszeiten und dann hat man noch ein paar Millionen von diesen anderen Chips da liegen etc. Also, RFC ist schnell da, aber das dann in Hardware zu kriegen, um es im Netz zu nutzen, ist ein Problem. Genau. So, aber wir hatten das Privacy-Issue, hatten wir schon.
Es gibt dafür die Privacy-Extensions nach RFC 4941. Ich habe ja eine globale IPv6-Adresse, ich habe einen Präfix. Was jetzt die Privacy-Extensions machen, ist, sie würfeln sich einen Random-Interface- Identifier und benutzen den für ausgehende Verbindungen.
Und das tun sie etwa so lange, wie die Verbindungen da sind. Das heißt, im Zweifelsfall hat mein Rechner plötzlich 10 oder 12 oder noch mehr Adressen, weil es sich für jede Verbindung neue Privacy-Extensions generiert hat. Die kann ich dann auch nicht mehr global tracken, weil die Adressen nach 10 Minuten wieder
verschwinden. Oder auch nur für die Verbindungen gültig sind. Und zufällig gepuzzelt sind. Genau. Das Zeug ist total random. Das ist übrigens auch ein lustiges Problem mit ARP-Adress oder mit Neighbor Caches bei größeren Routern.
Weil, wenn ich jetzt ein größeres Netz habe, wo sich so 4.000 Wireless-Geräte drin tummeln, die haben ja nicht nur eine Adresse. Die haben ihre Link-Local-Adresse, sie haben ihre Global-Adresse und sie haben diverse Privacy-Extensions-Adresse. Das heißt, ich habe plötzlich nicht mehr 4.000 Adressen in meinem Cache, sondern mindestens 8, 16,
20.000. Und da fällt so manches Hersteller-Equipment schon um. Genau. Und die Rechnung kannst du jetzt auch nochmal mit der Anzahl der Router
beziehungsweise der Router, die im Netz stehen, multiplizieren, weil jeder kann auch nochmal einen eigenen Präfix announceen, sodass du dann auch ganz schnell die vierfache Anzahl an Mappings in deiner ARP-Table hast. Genau. Und gerade wenn ich von einem Präfix aufs andere gehe, wird es plötzlich
verdoppelt. Das zieht sich. Das macht auch tatsächlich Router-Hersteller große Probleme, dass sie plötzlich große lokale Tabellen verhalten müssen. Ja, auch das. Es sind auch schon Kleins umgefallen, weil sie zu viele SSIDs gesehen haben. Das würde ja zum Glück niemand tun.
Aber das geht nur in Saal 1. Oder in Halle 2. Kommen wir zu Subnetting. Subnetting ist eigentlich bei IPv6 ein bisschen einfacher als bei IPv4, weil die eigentlich relevante Netzmaske für mich ein Slash 64 ist. Ein Slash 64 deshalb,
weil ich mit meinem 64-bit UI-Identifier mir meine Adresse würfeln kann. Und für einen LAN sollten 18 Quintillionen Adressen eigentlich ausreichen. So grob.
Zumindest für das LAN. Die Deutsche Telekom delegiert jedem ihrer Endkunden einen Slash 56. Das sind 256x18 Quintillionen Adressen. Das sollte für jeden Haushalt reichen. Genau. Wenn ihr zu Hause halt so ein paar Server,
Kubernetes-Cluster, sonst was betreibt, müsstet ihr damit relativ weit kommen. Ah ja, IoT, genau. Genau. Also auch für dieses ganze IoT-Geräffel, wobei dieses IoT-Geräffel meistens nur IPv4 spricht. Genau.
Es gibt so in der Adress-Vergabe-Policy die Idee, dass eine Site, also sprich ein großer Bürokomplex oder so was, ein Slash 48 kriegen sollte. Das sind 65.536 Slash 64-Subnetze oder jede Menge
Adressen. Damit kann man dann auch wunderbar so Sachen bauen wie ok, wir mappen, wir kodieren mal unsere VLANs in die Adresse mit rein, weil genug Platz ist ja da. Also zum Beispiel eine Uni kriegt vom DFN der Telekom der meisten deutschen Unis,
wer ist das Ding denn? Genau, deutsches Forschungsnetz, danke. Ein Slash 48 zum Beispiel, wir haben hier ein Slash 48 in unserer Infrastruktur, brauchen wir zwar alles nicht, haben wir trotzdem, wir sind eine Organisation. Das heißt, mit V6 hat man üblicherweise nicht zu wenig Adressen, wenn doch, kann man mal nett mit seinem Provider reden, dann kriegt man vielleicht auch ein bisschen mehr,
aber das ist dann schon, da muss man eine Unterhaltung für führen. Genau. Das RIPE delegiert möglicherweise einen Slash 29 IPv6 als LiR. Also drücken Sie einem auch quasi auf, wenn man was kleineres anfragt, kriegt man die Frage willst du wirklich so wenig? Echt? Also Sie haben angefangen mit einem
Slash 32, haben dann gemerkt, dass da irgendwie Subnetting so ein bisschen doof ist, wenn man mehr wie ein Data Center hat, haben dann auf einen Slash 29 gegangen. Und das sind 524.288 Sites mit 65.536
Subnets zu 18 Quintillionen Adressen. Wem das nicht reicht, der hat echt andere Probleme. Das sind immer ein paar weniger Adressen als Slash 8. Genau. Ja, Slash 8 Zeiten ist richtig, aber wenn ich überlege,
das gesamte Legacy Internet passt in ein Slash 96. Your Internet fits in my Subnet. In a small part of my Subnet. Zu Slash 29 sei noch was gesagt, für manche Leute reicht das nicht. Es gibt ein Leer, also eine Local Internet Registry in diesem unseren Land, die betreibt der Bund.
Und der Bund vergibt global IP Adressen für die Länder. Das heißt, es wird runtergebrochen jedes Bundesland, kriegt einen Block, ich weiß gerade nicht wie groß die sind, weiß das zufällig wie auswendig. Also das Bundesrepublik Deutschland hat einen Slash 26, glaube ich, gekriegt. Teilt das in große Häppchen und die Länder teilen das selber auf, auf
Ministerien, Polizeibehörden etc. pp., damit man deutschlandweit einen großen Adressblock hat, der über VPNs, Sina Boxen, Magiedinge und Sachen verbunden ist und man ein globales Adressschema hat. Das hat, glaube ich, ein Jahr Diskussion mit dem Rap gekostet, diese Tatsache. Munkelt man. Und wer weiß wie lange interne Diskussionen, aber
gut. Es gibt Leute, die benutzen ein Slash 127 auf einem Link, damit sie einfach die schöne Doppelpunkt eins und Doppelpunkt zwei hinten verwenden können und den Rest einfach nicht mehr brauchen. Das geht ja bei einer 127 nicht. Das war mit dem 126. Man kann auch das 127 mit 0 und 1 verwenden oder mit 2 und 3.
Warum tut man das? Wenn ich einen Link habe, wo nur zwei Geräte dran hängen, was ich jetzt durch das Handtuch leider verdeckt habe, brauche ich ja keinen Slash 64. Ist einfach Adressverschwendung. Das könnte man sagen. Ist ja egal, wir haben ja genug. Aber wenn mich jetzt jemand ärgern will und weiß welches Transfernetz ich zwischen zwei Routern zum Beispiel benutze, kann er die IPs der Reihe nach pingen
und auf beiden Seiten oder mindestens einer Seite des Netzes füllen sich die Neighbor Tables. Mit Einträgen mit da wollte wer hin, ich weiß aber nicht wo es ist. Das heißt, wenn jemand doof ist und mich ärgern will, kann er mir in meinen Routern die Neighbor Tables füllen, weil ich 18 Quintillionen mögliche Adressen in jedem Transfernetz habe.
Wenn ich das verhindern will, nehme ich einfach einen Slash 127 oder wenn ich eins und zwei schöner finde, einen Slash 126, dann kann das niemand tun. Das kann von außen passieren. Du hast ja globale routbare IPs, üblicherweise, in deinem Backbone. Das heißt, hier in diesem ganzen
Gelöte, was hier rumsteht, das sind ja internetweit erreichbare V6-Adressen. Das heißt, wenn jetzt jemand aus was ist gerade politisch opportun, weiß ich nicht, dumme Ideen kriegt und meint uns ärgern zu wollen, kann er einfach ganz viele Pings schicken, guckt sich an, was für Netze haben wir hier, kriegt man durch TraceRoute heraus und pingt dann von irgendeinem Netz die ganzen IPs durch. Das wird hier nicht funktionieren,
weil ich es so konfiguriert habe, dass mich keiner ärgern kann, aber grundsätzlich wäre das denkbar. Noch eine kurze Frage. Ich kannte die Empfehlung für Transfernetze zwischen Routern und Link-Local-Adressen zu verwenden. Ist da eure Meinung zu?
Kann man auch machen. Spricht nichts gegen. Das ist ein bisschen unpraktisch für den Fall, dass irgendwelche Fehler passieren. Netzwerk nicht erreichbar, Paket zu groß an der Stelle, weil ab da ist das Kabel kleiner oder der Tunnel oder was auch immer. Dann kriege ich möglicherweise keine
Antwort, weil die Link-Local-Adresse als Antwort für eine Fehlermeldung nicht funktioniert. Üblicherweise sollte ein Router noch so ein paar andere Adressen haben, mit denen das dann wieder geht. Kann man machen, muss man nicht. Hat operativ gegebenenfalls Nachteile, dass ich zum Beispiel den TraceRoute nicht mehr sinnvoll einordnen kann. Es sei denn, ich arbeite da wieder drum rum.
Ich persönlich tue es nicht. Ich habe eine Frage zum Thema MTU. Path MTU bei IPv4 ist ja ziemlich kaputt. Also das funktioniert so gut wie nie. Ist das bei IPv6 besser gelöst oder ist das genauso im Range?
Wir hatten ja vorhin die Diskussion, ob man ICMPv6 filtern sollte. Das war jetzt eigentlich keine Diskussion, das war ein Nein. Das war die Feststellung, dass man es nicht tun sollte. Prinzipiell, wenn jemand zwischendurch ICMPv6 kaputt macht, hast du dasselbe Problem wie bei IPv4.
So, kommen wir ein bisschen zu Transition Technologies. Max, wie schützt du dich gegen diese Ping Versuche? Gegen deine Transfernetze?
Du hast gesagt, konfigurier sie, dass man dich von außen nicht ärgern kann. Ist das dann eben passende IPv6 Messerschutz, geblockt von außen auf deine Transfernetze? Zurück auf die richtige Slide bitte. Ich reserviere mir in meinem IP-Management-Tool
einen Slash64 für jedes Transfernetz. Ich konfiguriere aber nur die IP1 und die IP2 mit einem Slash126 Netzmaske. Das heißt, das Netz ist so klein, es hat nur vier mögliche IPs. Wenn du außerhalb dieses Bereiches Pings, der noch in dem Slash64 drin wäre, ist das Lokal ja nicht konfiguriert, weil meine Netzmaske kleiner ist. Das heißt, der Router einfach weg.
Damit wird es kein Eintrag in der Neighbor-Tabelle und das Problem ist gelöst. Deswegen gibt es das RFC, was Slash127 vorschlägt. Ich weiß gerade aus dem Stand nicht die Nummer, aber das hat mal jemand aufgeschrieben. Es gibt auch Leute, die kein komplettes Slash64 reservieren
in ihrem IPum, sondern wirklich Slash127 der Reihe nach vergeben. Da rümpfen Menschen die Nase, kann man aber auch machen. Dann machen wir mal weiter. Getting from 4 to 6. Wie kommen wir aus dieser alten V4 Legacy Hölle raus?
Es gibt eine Menge Möglichkeiten. Es gibt Tunnelbroker, die entsprechende V6 Tunnel anbieten. Wir hatten vorhin schon Hurricane Electric. 6XS hat den Betrieb eingestellt. Es gibt, glaube ich, noch mehr Tunnelbroker da draußen. Über Teredo rede ich nicht mehr. Das ist aus. Es sei denn, man benutzt noch alte Windows-Systeme.
Das tut man ja nicht, oder? Dann haben wir natürlich ganz klar DualStack. Ich könnte mich treuchen, aber ich hatte kürzlich den Eindruck, dass
Teredo auch in aktuellen Windows-Szenen Professional noch aktiv ist. Wenn man es nicht wieder von Hand ausschaltet. Kann durchaus sein. Da habe ich jetzt nicht den Einblick, aber Teredo wird eigentlich nicht mehr genutzt. So sollte man auch nicht mehr nutzen. Wenn das so ist, würde ich das als belastend betrachten.
Weiter im Text. Was habe ich noch an Transition Technologies? DualStack. Ich kann V4, V6 gleichzeitig benutzen. Ich habe DS Lite. Das ist DualStack Lite. Das erkläre ich gleich nochmal. Das ist ein bisschen komplexer. Ich habe NAT64 und DNS64. Und V6VXLAT.
Das nur der Vollständigkeit halber genannt. Die Erklärung spare ich mir heute, weil damit könnte ich glaube ich die ganze Dreiviertelstunde füllen. Komplex und Scheiße. Und Scheiße komplex. Auch das. Tunnelbroker hatten wir schon. Ich kriege einen GRE-Tunnel von
irgendwem geliefert, der mir V6 und IPv4 einpackt. Und ich kann das auf meiner Seite wieder auspacken und umgekehrt. DualStack. Ich habe zwei IP-Adressen. Eine V4-IP-Adresse, eine V6-IP-Adresse. Damit auch eine V4-Rooting-Tabelle und eine V6-Rooting-Tabelle. Und es wird halt immer komplexer.
Das ist so das Übliche, was die meisten Leute machen oder auch zu Hause betreiben. DS Lite. DS Lite ist relativ spannend, weil es das schlechteste aller Welten verbindet. Und DS Lite ist der Grund, warum euer Unity-Media-Anschluss oder Kabel-Deutschland-Anschluss üblicherweise
die Kabel-Anschlüsse manchmal Katzenbilder sehr schlecht lädt. Genau, weil wenn die Katzenbilder über IPv4 kommen, habe ich das Problem, ich habe zu Hause eine Look, also RFC1918-IP-Adresse. Üblicherweise als Public-IP-Adresse. Diese wird getunnelt zu
meinem CGN-Gateway. Und da wieder durch IPv6 zum CGN-Gateway getunnelt. Das heißt, ich muss erstmal mein IPv4-Paket nutten. Dein CPE nuttet das auf die Public-Adresse, die es bekommen hat.
Diese Public-Adresse wird in ein IPv6-Tunnel gepackt, zum CGN-Gateway geschickt, dort ausgepackt, nochmal genuttet und dann ins freie Internet gelassen. Ok, der volle Wahnsinn war mir nicht bewusst. Genau. So. Das ist vor allen Dingen
Geschäftsmodell für die CGN-Boxenhersteller. Die MTU ist damit zum Teufel, das heißt, ich kriege da eigentlich nichts mehr durch. Dieses DSLite-CGN-Gateway ist üblicherweise chronisch überlastet, weil natürlich Katzenbilder und so Sachen wie BitTorrent auch darüber gehen. Wenn ich mein BitTorrent über IPv4 mache, damit kriegt man die Dinger regelmäßig
tot. Und das Ding sich natürlich merken muss, was es wohin genuttet hat, das heißt, die Tabelle, die früher relativ klein auf eurer Fritz-Box war, ist jetzt relativ groß für ganz viele Kunden auf diesem großen Hobel. Und wir hatten ja vorhin schon das Problem, Speicher ist teuer. IPv6 geht komischerweise direkt durch. Da spart man sich das Ganze im Nattgerümpel,
weil ich habe ja global erreichbare IP-Adressen. Das heißt, je mehr Dienstanbieter IPv6 machen, umso besser für die Kabelkunden. Jetzt gucken wir uns mal ein bisschen
Natt64DNS64 an. Das ist so ein kleines Hobby. Gut, jetzt. Ja, nicht nur Kabelkunden, auch 1&1 Kunden haben anscheinend das Problem, dass neuere 1&1 Anschlüsse auch DS Lite mit CG Natt
machen. So, ich hoffe, dass meine Frage vollständig ist, dass sie beantwortet werden kann. Und zwar, was macht man, wenn man auf der einen Seite einen DS Lite-Anschluss hat und da gerne einen VPN aufbauen möchte? Was ist der
Weg der geringsten Schmerzen? Ich würde erstmal sagen, dicke Backen. Dann würde ich bei deinem Provider anrufen, dass du gerne richtiges Internet hättest, weil du ja VPN benutzen musst. Oder du konfigurierst deine Gegenseite mit IPv6.
Oder du versuchst dein Glück und konfigurierst das VPN so, dass du es von zu Hause zu irgendeinem Server aufmachst und betest, dass diese Session im großen Natt-Gerät einfach bestehen bleibt. Das kannst du vergessen, weil die großen Natt-Geräte Sessions an 30 Minuten hart terminieren. Das funktioniert bei Unity Media mit OpenVPN erstaunlich gut.
Na gut. Vielleicht habe ich die richtigen Stoßgebete an die alten und neuen Götter gekriegt. Natt 64 ist eine sehr spannende Transition Technology, weil ich eigentlich nicht viel State dazwischen habe. So, dann noch eine Frage. Also kurz zum Thema VPN-Tunnel über Unity Media Anschlüsse. Wir haben
reinweises Problem, dass unsere Ikv2 Road Warrior Tunnel eben nicht gehen, über diese CGN Gateways. Und wir halt auch reinweise mittlerweile unseren Mitarbeitern den Aufpreis für den Geschäftskundenanschluss bei Unity Media bezahlen dürfen. Genau. Das ist auch ein Problem. Man könnte auch v6 deployen,
aber das kostet auch Geld. Richtig. Wäre aber nachhaltiger. Natt 64. Wir hatten ja vorhin, dass wir uns unser bisheriges IPv4-Internet in ein Subnet
mappen können. Das wird bei Natt 64 gemacht. Das gesamte Internet wird in einen well-known Prefix gemapped, nämlich 64 ff9b. Und funktioniert folgendermaßen. Ich habe als IPv6-Only-Client stelle ich meinem DNS 64 Server eine DNS-Anfrage.
Der kriegt ein A-Record zurück für eine IPv4-Adresse. Sieht dann okay. Ich habe da nur eine IPv4-Adresse drin. Die muss ich umschreiben. Und mappt diese mit der IPv4-Adresse als hexadezimal. Und auf das well-known Prefix. Das heißt, ich kriege in meiner Antwort einen sogenannten Quad-A-Record zurück, wo eine IPv6-Adresse
drin steht, statt der IPv4-Adresse. Sprich, sieht man hier unten als Beispiel. Der Client fragt nach h2example.com, unseren DNS 64 Server. Könnte ein Bind oder irgendwas anderes sein. Der versucht das aufzulösen, stellt fest, hoppala, ist ja nur eine V4-Adresse. Diese Seite hat noch keinen V6. Die ist noch nicht im echten Internet angekommen.
Das mappen wir also auf, das hier ist die hexadezimale Darstellung der IP dahinten, plus kleben da unser Prefix davor und geben das an den Client zurück. Genau, und jetzt habe ich meinen NAT64-Router, der meinen well-known Prefix kennt und weiß alles, was auf dieses well-known Prefix geht, muss ich entsprechend auf
IPv4 umsetzen. Das tut er auch, das macht er auch relativ zuverlässig üblicherweise. Das Schöne ist, dass ich solche NAT64-Router bei mir direkt irgendwo hin kleben kann. DNS64 muss ich im Zweifelsfall nicht selber machen, es gibt einen experimentellen Dienst von Google.
Entschuldigung, dass ich dann doch nochmal eine Frage habe. Das heißt, ich habe da eine Box dazwischen, die schreibt mir DNS-Antworten um. Richtig, das macht ihr DNS-Sack kaputt. Genau, das wäre die Frage gewesen. Okay.
Aber das benutzt ja auch eh keiner, DNS-Sack. Macht ja auch keiner, wozu auch? Noch eine Sache zu NAT64 ist mittlerweile von Apple required, dass jede App, die sie in den App-Store lassen, mit NAT64 umgehen kann. Weil eine T-Mobile in den USA das so
ausgerollt hat. Das hat übrigens die Ausrollung davon etwas gepusht. Man wundert sich. Genau, weil plötzlich alle Entwickler kamen. Oh, wir müssen IPv6 machen. Apple sagt, wir müssen das. Ich sag, nee, ihr müsst bloß nur anständig mit DNS-Antworten umgehen können. Gut, wenn wir so Transition Technologies haben, haben wir,
machst du mal die nächste? Müssen natürlich auch wissen, okay, was nehmen wir denn jetzt? Und dafür gibt es den Happy Eyeballs-Algorithmus. Happy Eyeballs möchte die User glücklich machen. Das heißt, man möchte immer die schnellste Technologie präferieren. Und man ist mittlerweile dazu übergegangen
bei DNS-Ampfragen, die sowohl einen Quad-A als auch einen A-Record zurückliefern, einfach zwei Synths loszuschicken und die Verbindung zu nehmen, die als erstes antwortet. Mittlerweile ist das tatsächlich üblicherweise IPv6. Weil da weniger Mittelboxen zwischenstehen, weniger Nuts
zwischenstehen und ich weniger Packet-Delay habe, also weniger Routing- Delay habe. Implementiert ist das Ganze in Chrome, Opera, Firefox. Apple hat gesagt, ja, geil, das machen wir für alles. Das bauen wir mal einfach ins System ein. Und Karl macht das genauso.
Damit hat sich die ganze IPv6-Nutzung deutlich in Richtung IPv6 verschoben. Das heißt, wer Dual-Stack macht, wird üblicherweise, wenn er diese Tools benutzt, IPv6 präferieren. Daran merkt man auch relativ schnell, wenn irgendwo v6 kaputt ist, dann ist nämlich alles langsam. Wer nutzt das denn so?
Einige der Großen, Heise, Google, YouTube. Oh, da ist noch eine Frage. Eine Frage kurz. Gibt es irgendein Mobilfunk-Netz, aus dem IPv6 erreichbar ist mittlerweile? T-Mobile. Sonst nichts. Okay, danke.
Genau, aus eben zum Beispiel T-Mobile könnte man auf Google, YouTube, etc. per v6 zugreifen. Wird das dann auch tun? Die haben auch selber ein paar Statistiken. Wir haben jetzt hier eine Statistik vom RIPE. Es gibt bei Google selbst Statistiken. Facebook hat offizielle Statistiken. Wenn man danach sucht, findet man die. Wie viele Leute von wo ungefähr auf diese Dienste per IPv6 zugreifen.
Microsoft ist sehr stark dabei, v6 zu pushen. Die wollen intern v6 only fahren. Wer neuere Windows-Systeme oder Windows-Server-Systeme aufsetzt, inklusive so Dinge wie SharePoint, Exchange, etc. pp, wird feststellen, dass die sehr viel über v6 machen. Wenn man auf die absurd dämliche Idee kommt, das zu deaktivieren, weil das eine nicht verstandene Technologie ist,
stellt man relativ fest, dass einem sein Exchange auseinanderfällt. Also, nicht tun. Generell v6 deaktivieren, nicht tun. Ihr habt ja jetzt verstanden, wie es geht. Genau. Und das RIPE Labs hat viele schöne Artikel über den Zustand dieses Internets,
des Internats und auch IPv6-Statistiken. Da kann man mal gucken, wer so Dinge tut. Die Motivation für Microsoft übrigens, intern nur IPv6 zu machen, war, dass sie irgendwann ein Overlap hatten, weil sie so viel zugekauft haben, dass sie intern den sämtlichen RFC-1918-Adressraum
ausgeschöpft hatten. Und alles mögliche in reservierten Adressen auch noch. Und so viele NAT-Gateways unterwegs hatten, dass sie immer gar nicht mehr wussten, wer jetzt mit wem wie warum reden muss. Außer bei Azure. Außer bei Azure. Aber der ganze Rest der Netze wird halt tatsächlich IPv6-only. Dann kommen wir jetzt direkt zu dem Teil Fragen. Genau, da ist die erste.
Super, dann ist der Stil ja auch nicht mehr so schlimm. Du hättest eben einmal angemerkt, wenn IPv4 ausfällt, dann merkt man sofort, dass es langsam wird. V6. Ja, genau, sorry. Relativ viele Vorteile wurden erklärt, aber warum V6 automatisch schneller ist, ist mir tatsächlich noch nicht klar geworden. Bei V6 hast du klassischerweise in Backbones reines Routing. Das heißt, Paket kommt rein, wo muss es hin, da lang.
Das heißt, ich hab keinerlei NAT-Boxen dazwischen, die kosten Latenz. Der muss das Paket einmal an, muss da neuer Aufkleber draufkleben und das weiter schicken, vielleicht sich State irgendwo merken, das kostet ein bisschen Zeit. Bei V4 hab ich vielleicht noch so ein bisschen andere Magie, dass das in MPLS sonst wo eingepackt wird, ausgepackt wird. Das heißt, der ganze Stack an
Backbone-Infrastruktur, die dahinter hängt, ist im Zweifel für V4 größer, ob dieser ganze NAT-Geschichten und sonstiger Sachen. Das kostet einfach ein bisschen Latenz, das ist merkbar manchmal. Bei V6 hab ich da viel weniger, weil ich zum Beispiel kein NAT brauche. Frage war nach wieviel Millisekunden.
Ungefähr eine Hand voll, also vier, fünf Millisekunden, kriegst du da bestimmt raus. Wie sieht denn das mit der Wolke aus? Amazon, Google, Azure, mein Kenntnisstand ist so, bis zum Load Balancer kriege ich V6, aber intern reden die alle nach V4. Genau.
Intern machen die alle V4, warum auch immer. Bei Amazon kriege ich mittlerweile einen Load Balancer V6, bei Google kriege ich es glaube ich auch extern. Intern alle V4. Ich weiß jetzt nicht, wie es bei Azure ausschaut. Kopfschütteln.
Azure macht intern auch V4. Extern auch. Kein V6 extern? Okay, also auch kein V6 extern. Schade. Was mich tatsächlich wundert, weil es Microsoft ist. Ja, hi. Mir ist vorhin bei ICMP V6 ein scheinbarer Widerspruch
aufgefallen. Und zwar ging es da einmal um die Anzahl der Hops und einmal um die Slide. Die Anzahl der Hops bestimmt aber nicht unbedingt, wie lange ein Paket braucht. Nein, das war tatsächlich, dass das HOP Limit Exceeded ist. Time Exceeded stand da, aber gemeint sind die Hops. Dann ist es HOP Limit Exceeded. Dann habe ich einen Fehler auf der Slide, das werden wir korrigieren.
Also bei IPv4 hieß das TTL, Time to Live, aber auch da waren es die Hops. Hier vorne war noch eine Frage. Mal ganz doof, ein Problem,
ein Bauchgefühl. Beim IPv4 Netz, das ich selbst betreibe, kriege ich relativ schnell Durchblick, was da los ist. Im Sinne von? Ich lasse ein Nmap drüber laufen und sehe, was für Geräte aktiv sind. Wenn ich ein 64 Bit großes Netz vor mir habe, braucht ein Nmap, also wenn es nicht,
ich weiß nicht, ob die auf IP... Solche Geräte würden relativ, oder solche Programme würden relativ lange brauchen, um das einmal durchzusteppen. Welche Hilfsmittel benutzt man da, um Durchblick zu behalten? DNS, Neighbor-Tabellen, vom Router zum Beispiel. Oder ein iPum, wo ich meine, wenn es
Server sind, durchnummeriert habe, also IP Address Management. Na ja, ein iPum nutzt mir nur was, wenn ich es gepflegt habe, aber optimaler Weise kommt meine Konfiguration der Server aus einem iPum, beispielsweise Netbox I do it oder sowas, wo ich meine Netze pflege. Also diese Netze habe ich,
die erste IP zum Beispiel ist konfiguriert auf dem Router und da drin hängen diese IPs, die hängen an diesem System. Richtig cool ist, wenn ich das pflege und meine Automatisierung so baue, dass alle Geräte sich entsprechend diesen Informationen konfigurieren. Dann weiß ich das nämlich, also dann habe ich meine Single Point of Truth in meinem iPum und muss es nicht rausfinden. Tun die das denn auch alle, oder gibt es böse Geräte?
Oder böse Programme? Das kommt jetzt drauf an. Also Privacy Extensions kriege ich damit zum Beispiel nicht mit, dann müsste ich schon in die Neighbor-Tabelle des Routers gucken, wer es dann ist, das ist ja Sinn der Übung. Wenn es ein Client-Netz ist, wie zum Beispiel hier das WLAN, was wir gezaubert haben,
habe ich keine Ahnung, wer von euch da jetzt drin ist, aber muss ich an der Stelle ja auch nicht wissen. Also ich glaube, an der Stelle muss man unterscheiden zwischen eben Access-Netzen, wo dann Endgeräte mit einem Bildschirm dran sind, wo jemand braucht oder eben Infrastruktur, die ich selbst betreibe. Für mich die Frage an der Stelle ist wahrscheinlich eine spaltende, weil es verschiedene Meinungen gibt. Wie macht ihr die Adressvergabe
von Servern? Nehmt ihr Gießkanne und jeder zufällig irgendeine oder gibt es das alte V4 Schema ich gruppiere ähnliche Sachen zusammen mit irgendwelchen IPs aus, das ist Fileserver, das ist Druckserver, bla, oder sogar der Versuch mit, ich setze meine V4 Adressen um in die V6 Adresse, damit ich sie dann genauso lesen kann im
Teilsrout, bla. Wie macht ihr es? Ich fange mal an. Ich mache primär Letzteres. Also ich versuche, zumindest in den Freifunkumgebungen, wo ja schon so eine Handvoll Netze und IPs unterwegs sind, ähnliche IPs zu nehmen, also in der letzten Stelle zumindest.
Andererseits, wenn ich einen IPam habe, kann ich es auch stumm von vorne durchnummerieren und im DNS habe ich es eh gepflegt. Optimalerweise direkt aus meinem IPam, gerade für Infrastruktur, das heißt, ist mir sowieso egal, was das Ding für eine IP hat, da steht ein Name. Irgendwo dazwischen. Ja, also würde ich tatsächlich ähnlich sehen. Server würde ich nicht in Autoconfiguration überlassen.
Die würde ich statisch konfigurieren. Dazu habe ich meinen DNS-Eintrag vorwärts wie rückwärts. Und damit ist das Thema eigentlich durch. Ich würde sie tatsächlich fortlaufend nummerieren, einfach ähnlich wie bei IPv4. Wenn ich das Netz durchgehe, würde ich es bei V6 auch machen. Meine Server
Netze, wo ich V6 Adressen austeilen will, wie würde ich da bei V6 für die Hochverfügbarkeit meiner Router sorgen? Ich würde jetzt VRP bei V4 verwenden. Da gibt es mehrere Konstrukte. Der Greenbox-Vendor hat dafür je nach Plattform HSRP, manchmal auch nicht. Also
Hot Standby Router Protokoll. Was die Cisco Implementation für VRP ist. Alternativ gibt es noch GLBP. Weiß ich gerade nicht wofür es steht. Gateway Load Balancing Protokoll. Wobei das, glaube ich, auf Nexus zum Beispiel für V6 nicht existiert. Da muss ich gucken, was mein Router-Vendor kann. Bei Linux
würde ich wahrscheinlich einen Karp kann es auch nicht. Keep Alive D oder ein Heartbeat oder sowas nehmen. Es ist vorgesehen in V6, dass ich verschiedene Router habe und in den Router-Advertisements eine Priorität ist, glaube ich, das Zauberwort steht. Die kann High, Middle oder Low sein. Das heißt, wenn mein Normal-Router,
also wenn ich das nicht konfiguriere, ist das Middle. Wenn ich davon zwei habe, sucht der Kleinstich einen aus, was okay ist. Ich kann einen auf High und einen auf Middle setzen. Das heißt aber, solange der Router mit High da ist, ist alles gut. Fällt der jetzt um, weil ich das Stromkabel rausziehe, die Putzfrau kommt oder was auch immer passiert,
habe ich noch die Lifetime davon auf den Kleinst stehen. Das heißt, das ist relativ unpraktisch, weil niemand den Kleinst sagen kann, der ist nicht mehr da. Das heißt, da habe ich zwischendrin dann ein schwarzes Loch im Netz. Üblicherweise baue ich irgendeine Art von VRRP. Weil der Rest einfach schlecht steuerbar ist. Passt das noch in das Subnet-Schema mit dem
Slash127? Zumindest bei V4 braucht ich ja noch für jede Note eine eigene IPv4-Adresse für VRP. Slash128 benutze ich ja zwischen zwei Routern. Da habe ich ja nur zwei Geräte in dem Netz. Da brauche ich das Konstrukt nicht. Normales Subnet, wie hier im WLAN wäre zum Beispiel ein Slash64, da habe ich genug IPs.
Okay, du kümmerst dich um die Hochverfügbarkeit im Routing-Protokoll? Bei Routern schon, klar. Das würde ein OSPF, IBGP etc. pp machen.
Jetzt habe ich ja bei V4 im Normalfall für einigermaßen Sicherheit zu sorgen auf dem Switch DRCP-Snooping, damit nicht irgendwelche Leute DRCP-Server in mein Netz stellen. Was hindert mich denn jetzt bei V6 dran, hier einfach für das Froskon-Netz zum Beispiel
eine Default-Route zu annoucen? Der RR-Guard auf deinem Router, Router Advertisement Guard gibt es auch. Und das ist ausreichend weit verbreitet in aktueller Hardware oder muss man da darauf achten, dass man das kauft. Man sollte darauf achten, dass das Gerät es kann.
Wie hieß das genau? RR-Guard, Router Advertisement Guard. Alles klar, vielen Dank. Dazu noch ein Stichwort, das ist ein gutes Stichwort oder noch zwei Sätze dazu. Wenn ihr Netzwerk-Komponenten kauft, kauft die nicht erst und testet sie dann. Macht vorher POX, lasst euch das Zeug dahinstellen und testet das Zeug durch. Und wenn es anfängt zu brennen, kauft es nicht.
Und sagt dem Hersteller, warum ihr das nicht kauft. Und wenn das Feature ist, es hat kein RR-Guard, dann sagt dem Hersteller das genau so. Also ich habe auch schon erfolgreich die O2-VDSL-Hotline mit. Ihr habt kein IPv6 abgewimmelt.
Frage für den Privatanwender zum Beispiel. IPv6-Adresse kriegt man in der Regel dann vom Provider zugewiesen. Macht es Sinn sich ein eigenes IPv6-Netz registrieren zu lassen? Nein, weil du das üblicherweise dann nicht wirklich geroutet kriegst.
Also du müsstest das dann halt per Tunnel oder irgendwas zu dir nach Hause ziehen. Wenn du eine IPv6-Adresse von deinem Provider kriegst, benutzen, fertig. Ich bin jetzt mal aus der Perspektive eines normalen Privatanwender, der vielleicht ein high sophisticated Home-Netzwerk hat mit dem wie viele wahrscheinlich hier auch.
Und diese Informationen, die ich heute wieder gehört habe, sind wie viele andere IPv6-Vorträge mit Sicherheit alle sehr wertvoll. Aber ich bin immer noch auf der Suche nach einer Erklärung, die da lautet. Stellen wir uns mal dumm. Homeoffice, 30 PC, zwei Server, VoiceOver-IP.
Wie komme ich von dort? IPv4 sinnvoll nach IPv6. Gibt es sowas? Weil ich gebe ganz ehrlich zu, ich bin mit diesen Informationen nicht in der Lage, mit IPv6 etwas anzufangen. Und ich, wahrscheinlich bin ich der Einzige hier in diesem Raum, aber ich habe den Verdacht, dass diese fehlende Transaktion zwischen
wo sind die Leute heute und was brauchen sie morgen? Dazu führt, dass IPv6 nicht verbreitet wird. Weil gibt es irgendwie eine Erklärung, die so ein Dummy-Buch ist für mein Netz zu Hause und IPv6? Warum ist das cool? Ich hätte noch eine Rückfrage. Habe ich das Szenario richtig verstanden? Du hast zu Hause ein bisschen Hardware-Gerümpel rumstehen,
das hat nur V4 und du möchtest mit V6 reden? Und ich will mit V6 beginnen. Bis heute habe ich ja kein Problem. Also, Natt ist schon wieder jetzt eine technische Begründung, die die meisten nicht verstehen. Ich habe es verstanden, aber ich habe kein Problem mit Natt.
Aber das, was ich heute zu Hause mache, funktioniert perfekt. Warum, erstens warum, soll ich heute anfangen? Und da ist die Antwort nicht Natt, weil das ist kein Value für mich. Das nutzt mir nichts, das ist kein Problem für mich. Erstens, warum soll ich es heute machen? Schneller habe ich gehört, wäre ja cool. Aber kann ich jetzt nur auf heise.de schneller zugreifen
und auf blumenkinder.de nicht mehr? Und wie komme ich zum Laufen? Da brauche ich echt mal, wenn ich auf der Suche nach einer Erklärung, wie die mich da hinleitet, weil diese ganze Erklärung mit Begrifflichkeiten, IP-Adressen, ICMP, bla, bla, bla, alles wichtig für Leute, die das beherrschen müssen,
aber ich komme damit nicht klar. Das ist tatsächlich genau das Problem, das wir bei der IPv6-Verbreitung haben. Das alte Zeug funktioniert zu gut. Diese ganzen kleinen Boxen, die überall zwischenstehen und Adressübersetzungen machen und Löcher in Firewalls bohren, damit das Port-Forwarding auch für das SIP anständig funktioniert
und für die Telefonanlage, das Zeug funktioniert zu gut. Ich habe keinen echten Grund für IPv6. Das ist das große Problem. Und man könnte diese ganzen Boxen deutlich einfacher bauen und weniger state heighten und sicherer bauen, wenn man den IPv6 nutzen würde. Dazu muss aber erst mal irgendwer anfangen, IPv6 auszuräumen. Deutsche Telekom hat es getan.
Die Kabelprovider tun es auch. Jetzt müssen dann die Dienstanbieter irgendwo mal hinkommen mit, ja, es benutzt ja keine IPv6. Nein, Bullshit. Draußen gibt es, ich weiß nicht, genug Leute, die eine IPv6-Adresse haben, die darüber auch die Dienste nutzen können. Das ist wie das übliche Henne-Ei-Problem.
Das alte Zeug geht einfach noch zu gut. Dem hätte ich noch was hinzuzufügen. Stand heute funktionieren die meisten Dinge tatsächlich sehr gut per V4. Es gibt einige Sachen, die kommen mit NAT nicht klar. Dann gucke ich ziemlich dumm in die Röhre. Das scheint dich jetzt nicht zu beißen, aber es wird einige Sachen geben. Natürlich wird das auch immer weiterentwickelt. Er sagte gerade NAT-Special Handling für SIP zum Beispiel,
für Voice-over-IP, sprich Internet-Telefonie. Da ist einiges passiert. Das war früher auch ein Problem. Da ist sehr viel Magie entstanden. Diese ganze Magie in den ganzen Boxen funktioniert auch erstaunlich gut heutzutage. Da haben Menschen Geld draufgeworfen. Wir haben vorhin erzählt, im ersten Talk, V4-Adressen gehen langsam zur Neige.
Das heißt, man hat nicht mehr viele, die sind mittlerweile sehr viel wert. Ich glaube, eine IP-Adresse ist mittlerweile bei knapp 20 Euro angekommen. Das Zeug wird gehandelt, ernsthaft. Wenn ich also jetzt welche noch brauche und keine habe, kann ich das mit Geld bewerfen, aber das wird irgendwann auch zur Neige gehen. Das heißt, es wird der Zeitpunkt kommen. Meines Wissens gibt es noch keine großen Beispiele dafür, wo Menschen nur per IPv6 oder irgendwelche Dienste nur per IPv6 erreichbar sind.
Dann hast du mit einer V4-Adresse verloren, weil du da nicht drankommst, wenn nicht irgendwer groß zaubert zwischendrin und für dich dieses Problem weg abstrahiert. Ich glaube, dass dieser Zeitpunkt noch nicht erreicht ist, aber binnen den nächsten, ich schätze jetzt mal fünf Jahre, maximal zehn Jahre wird er erreicht sein.
Ich befürchte, der Kollege hat recht mit. In zehn Jahren merken wir es noch nicht, weil leider traurigerweise das, was wir im Internet machen als End-User, immer weniger wird. Früher haben wir alles Mögliche gemacht, FTP, Blah, Gopher, Co.
Heutzutage machen wir HTTPS zu Facebook, und das ist das, was gehen muss, und das ist die Messlatte für den End-User, ein bisschen polemisiert. Aber ich wollte eigentlich was anderes noch fragen, und zwar Beschaffung von Hardware. Da habt ihr schön vorhin gesagt, die Vendors müssen es halt können
und ich gucke also in der Checkliste V6 steht und teste es. Das Testen ist ein wichtiger Punkt, weil ich kaufe lieber, wenn ich ein Device brauche, eins, was V4 Only ist, als eins, was V6 als Checkbox hat und das dann ein bisschen lieblos implementiert ist, sagen wir mal, und womöglich dann komische Effekte produziert.
Ich weiß nicht, meine letzten Tests in der Hinsicht waren irgendwie vor zehn Jahren. Vielleicht hat sich da inzwischen was getan. Okay, damit würde ich das dann jetzt auch abschließen wollen mit diesem schönen Schlusswort, da wir schon am Überziehen sind. Im Zweifel sehen wir uns heute Abend auf dem Social.
Ach ja, einen noch. Da steht so eine schöne, schicke Box. Da dürft ihr uns bewerten, also alle auf den blauen Knopf drücken. Vielen Dank.