Was ist IPv6?
Zu sagen IPv6 ist das Internetprotokoll der Zukunft, wäre falsch. Denn bereits jetzt, in der Gegenwart, wird es aktiv genutzt. Sicherlich wird IPv6 das altbekannte IPv4 in Zukunft ablösen. Bis dahin wird aber noch einige Zeit vergehen. In dieser Phase werden (oder sollten) beide Protokolle parallel zur Verfügung stehen, im sogenannten Dual Stack. Somit sind Hosts, welche sowohl als auch, sowie beide Protokolle gleichzeitig Unterstützen, erreichbar.Wieso IPv6?
Am 3. Februar 2011 hat IANA den letzten freien Adressraum vergeben. Der Pool an IPv4 Adressen ist somit ausgeschöpft. Zwar haben die Provider und Organisationen mehr oder weniger Adressen quasi auf Reserve. Die Lage ist zumindest hier in Europa also nicht prekär. Verschlafen sollte man die Angelegenheit allerdings nicht.
Die Adressknappheit durch IPv4 ist sicher das Hauptargument für IPv6. Mit einem Pool von 340 Sextillionen (340'000'000'000'000'000'000'000'000'000'000'000'000) Adressen, stehen genügend IP's zur Verfügung um dem Wachstum des Internets, sowie der stetig wachsenden Zahl an Devices gerecht zu werden. Laut einer Rechnung des IPv6 Forums stehen somit 655 570 793 348 866 943 898 599 Adressen pro Quadratmeter Erde zur Verfügung, oder für jedes Insekt der Erde eine IP.
Ich denke das sollte mal fürs Erste reichen, zumindest so lange man sich auf die Erde beschränkt und die Nanotechnologie noch nicht so richtig in Fahrt kommt. So gesehen: "Nach mir die Sinnflut"! :D
IPv6 bietet aber noch mehr.
- Routing Vorteile: IPv6 bringt eine strenge Hierarchie der Adressbereiche. Das bringt den Vorteil das in den Router Tabellen nur die eigene Ebene hinterlegt werden muss, was die Anzahl an Einträgen stark verkleinert.
- Header: Während die IPv6 Adresse im Vergleich zu einer IPv4 um ein vielfaches komplizierter erscheint (thank god there's DNS), ist der Header an sich einfacher strukturiert. Einige Felder des IPv4 Headers wurden in Erweiterungsfelder ausgelagert, was Netzwerkhardware das Lesen der Pakete vereinfacht und somit den Datenverkehr beschleunigt.
- Beliebige Anzahl IP Adressen: Jedem Interface kann eine beliebige Zahl an IP's zugewiesen werden. Wie gewohnt statisch oder mittels DHCPv6. Neu ist das sogenannte NDP. Dabei handelt zb. eine Ethernetkarte mit benachbarten Geräten und Routern eine eindeutige IP aus. Man spricht hier von Stateless bzw Statefull Address (Auto-)Configuration.
- kein NAT: Durch die schier unbegrenzte Zahl an Adressen wird NAT überflüssig. Fricklerleien mit NAT, NAPT usw sind nicht mehr nötig. Die Ursprüngliche Idee, dass End to End Internet ist mit IPv6 wieder möglich. NAT wird im Zusammenhang mit IPv4 auch als Sicherheitsfeature angesehen. Man sollte dem aber nicht nachtrauern. Schutz erlangt man durch eine Firewall. Auch im Bezug auf den Datenschutz ist man mit wechselnden IP Adressen und evtl Proxys gewappnet.
- Portscans schwieriger: Umfassende Netzwerkscans werden zurückgehen, da selbst bei nur einem Subnet in einem 64 Bit Adressbereich, bei einer Scangeschwindigkeit von 1 IP pro Sekunde, 500 Milliarden Jahre vergehen würden sämtliche IP's dieses Netzwerkes zu scannen. Klar in der Praxis werden die variablen Teile der IP sich auf 48 Bit beschränken und die MAC's der Hersteller sind bekannt. Aber auch hier läuft unter 2 Jahren nichts :)
- IPsec: Wurde ursprünglich für IPv6 entwickelt, aber auch auf IPv4 zurückportiert.
IPv6 bei Swisscom
Wie in diesem Blog Post schon beschrieben bringt auch Swisscom mit ihren Centro CPE's IPv6 zum Kunden. An dieser Stelle möchte ich etwas genauer auf die Technik eingehen.
6RD
Swisscom verwendet mit 6RD eine Tunneltechnik. Sämtliche ins Internet gerichtete IPv6 Pakete werden vom CPE in ein IPv4 Paket gepackt und an ein sogenannten Border Relay gesendet. Dieses Border Relay ist mit dem IPv6 Internet verbunden. In die Gegenrichtung, also ankommend, nimmt wieder das Border Relay die Pakete an und sendet diese mittels IPv4 Paket an das richtige CPE welches aus dem IPv4 Paket wieder ein IPv6 erstellt.
Die IPv6 Adresse besteht bei Swisscom aus folgenden Teilen.
- 6RD prefix. Jeder Provider hat einen eindeutigen Prefix. Bei Swisscom 6RD ist dieser 2A02:1200
- Der public IP des IPv4 Anschlusses umgewandelt in Hex
- Der Subnet ID und der Interface ID
Hier noch ein Video welches dies besser veranschaulicht. Es lohnt sich dieses Video ganz anzuschauen. Der für diese Part wichtigen Teil habe ich mittels Zeitmarker verlinkt.
http://www.youtube.com/watch?v=PrnFWgqlhj0#t=9m17sEbenfalls Interessant ist der Vergleich verschiedener 6RD Provider.
http://meetings.apnic.net/__data/assets/file/0005/38651/apnic32-apops-shtsuchi-6rd-final.pdf
Kompliziert, was brauch ich dazu?
Ich habe kein Centro CPE, was jetzt?
Es gibt Router die sind 6RD fähig. An dieser Stelle seien vor allem die Linux basierten Geräte erwähnt.
Bei den Swisscom Labs gibt es Ideen dies zB auf einem dd-wrt Gerät zu aktivieren.
Grundsätzlich werden folgende Angaben benötigt.
- The IPv4 address of the 6rd Border Relay: 6rd.swisscom.com
(193.5.122.254)193.5.29.1 per 09.04.2013 - The 6rd IPv6 prefix: 2a02:1200::/28
- The IPv4 mask length: 0 (default)
Da 6RD Verwandt mit 6to4 ist, wäre es im Notfall auch möglich diese Technik zu verwenden. Auch dies wird in den Labs beschrieben.Ebenfalls bieten die Labs eine Virtuelle Maschine an und ein Script welches ein kompatibles Linux zu einem 6RD Router konfiguriert, an. Ein Besuch lohnt sich also auf jeden Fall. http://labs.swisscom.ch/de/trial/ipv6-sneak-preview
Wer also keine Kenntnisse in Konfiguration solcher Devices hat kann im Notfall erste Versuche mittels der VM machen.
6RD auf der Fritz
Ebenfalls eine Option ist es 6RD auf einer Fritzbox 7390 zu konfigurieren. Dieses Gerät ist dank der einfachen Konfiguration, dem VDSL2 fähigem Chipsatz und dem Umstand der relativen Swisscom TV Kompatibilität, bei Swisscom Kunden sehr beliebt. Das die Swisscom mit ihren CPE's noch für Firmwarefiaskos gesorgt hat, tut noch ihr übriges zur Sache.
Auch wenn die Fritzbox in anderen Tümpeln ebenfalls ins Rudern gerät, sei diese Konfiguration hier ebenfalls noch erwähnt.
Mit den Angaben von oben ist es möglich unter Internet > Zugangsdaten > IPv6 die Einstellungen vorzunehmen.
Durch einen Fehler in der WUI Konfiguration kann es aber sein, dass die geforderte Einstellung nicht möglich ist. Bis dies gefixt ist gibt es natürlich einen Workaround :)
So klappt der Zugang auch mit dem gewohnt etwas "lustigem" Verhalten der Fritzbox aka Witzbox aka Sauladen.
An andere Stelle zeige ich schon auf, dass eine Firewall essentieller Bestandteil von IPv6 Sicherheit ist. Hier ist die Fritzbox im Privatkundenbereich sogar auf einer Vorreiter Position.
Auf selbsterklärende einfache Art ist es bei diesem Gerät möglich, die Statefull Firewall für einen Host ganz oder nur für gewisse Ports zu deaktivieren.
Diese Konfiguration tätigt man unter Internet > Freigaben >IPv6
Was nun?
Das sei zu Hause jedem selber überlassen. Wichtig ist das die Provider ihren Kunden eine IPv6 Konnektivität bieten. Der Tag an dem gewisse Host's nur noch via IPv6 erreichbar sind wird kommen.
Falls du also ein Centro CPE zu Hause hast, die Welt liegt nur wenige Klicks entfernt :)
