...spricht man in unseren Fachkreisen nur noch von "IP Legacy". So nennt man das hier "IP Legacy" und die IP Adressenknappheit interessiert Niemanden. IPv6 wird schon seit Jahren produktiv eingesetzt.
Interessant ist dass mache IT-ler denken dass es reicht IPv4 zu konfigurieren und zu nutzen und kein IPv6 anzubieten, dann ist man "relativ sicher." Mobile Endgeräte haben schon seit Jahren IPv6 aktiviert. Man muss den Wireshark anschmeissen und in ein Segment reinhorchen. Viele wiegen sich in falscher Sicherheit weil Sie denken nur IPv4, und es reicht wirlich nur einer der ein IPv6 relay service anbietet in einer Broadcastdomäne, so etwas merken die Wenigsten Benutzer dass auf einmal in einem angeblich IPv4 Netz ohne überhaupt die Endgeräte anzufassen, ohne fremde Hilfe auf einmal der Traffic über IPv6 rausgeht "Happy Eyeballs".
Toller Artikel, danke dafür. So etwas sollte öfters auftauchen damit die Verantwortlichen und Zuständigen IT-ler immer wieder daran erinnert werden, dass die Zeiten längst vorbei sind mit IP Legacy. Höchste Zeit um sich dadrum zu kümmern. Wer noch kein IPv6 hat der sollte damit jetzt anfangen.
Lektüre hab ich auf die Schnelle nicht parat, aber wenn du bereit bist ein paar Stunden dafür aufzubringen, funktionierts auch mit Kopfhörern ganz gut: CRE Folge 197 RFC-Podcast Folge 14
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 28. Jun 2018 um 22:22.
NAT ist kein Sicherheitsfeature. Ob du willst oder nicht, die meisten Endgeräte sprechen schon längst IPv6. Ob NAT aktiviert ist oder nicht, spielt gar keine Rolle, deine Endgeräte könnten bereits jetzt schon im IPv6 Internet erreichbar sein, ohne dass Du das überhaupt weisst.
Tja, weit gefehlt. Eben das ist was der Vorposter meinte, die falsche Sicherheit in der man sich so wiegt... Das ist ganz schön naiv was Du da geschrieben hast.
Was hier nicht erwähnt wird, ist das mit ipv6 jeder Haushalt einen eineindeutigen nicht veränderbaren Präfix vom Netzbetreiber erhält. Die Endgeräte verschleiern Ihre Mac-Adresse nur mit Tricks.
Sorry, dass Endgeräte out-of-box frei und offen via ipv6 im Internet verfügbar sind ist eine idiotische Designentscheidung für den Heimgebrauch. Und ja – NAT schützt davor wirkungsvoll im IPv4 Umfeld. Soll ich jetzt nach jedem Router-Update prüfen ob die Endgeräte auch wirklich nicht frei im Netz angreifbar sind? Bin ich jetzt dazu gezwungen auf jedem Endgerät erst eine Firewall einzurichten?
Ein weiterer Punkt in der Praxis: wer mal schnell einen Rechner im Keller anpingen möchte und aus welchen Gründen auch immer auf copy/paste verzichten muss - viel Spass beim abtippen der IP-Addresse...
Ich für meinen Teil werde freiwillig nicht so schnell nach IPv6 umstellen, vermutlich eher hinter dem router ein ipv4 subnetz betreiben falls iwann ipv6 seitens der Netzbetreiber zwingend wird.
>> Was hier nicht erwähnt wird, ist das mit ipv6 jeder Haushalt einen eineindeutigen nicht veränderbaren Präfix vom Netzbetreiber erhält. Die Endgeräte verschleiern Ihre Mac-Adresse nur mit Tricks.
Mit anderen Worten: Haushaltsbasierte Persönlichkeitsprofile sind erstellbar.
Das sind sie auch so - wenn alle am selben Browser hängen sowieso. Aber auch IPv4 Adressen sind recht gut geografisch zuordenbar.
Das ist sowieso in Zeiten, wo jeder mit dem Handy herumläuft nicht so interessant. Man verkauft ja Produkte nicht an Adressen, sondern an Menschen. Ich bekomme auch keine Werbung für Lippenstifte und Schuhe, bloß weil ich mit zwei erwachsenen Töchtern + Frau mir einen Internetanschluß teile
Auch der Geheimdienst von Gruselstan wird sich mehr für Individuen interessieren und mit wem sie kommunizieren und nicht für einen Anschluß, der bei mobilen Personen sowieso ständig wechselt.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 29. Jun 2018 um 10:21.
... jedenfalls nicht bei 1&1 - da bekommt man bei jeder Zwangstrennung einen neuen Präfix, was ziemlich häßlich ist. Neuland eben. Bei Kabelanbiern kann es besser aussehen.
in der Tat. NAT macht mehr Probleme als es löst. Jeder Router hat einen Firewall eingebaut, mit dem man die einzelnen Geräte getrennt administrieren kann. Jedenfalls meine Fritzbox. Standardmäßig ist alles zu und man muß es einzeln freigeben. Doof ist in einem solchen Zusammenhang, daß IPv4 und IPv6 noch eine Weile parallel existieren müssen - also eine Freigabe nach draußen impliziert eine Portweiterleitung und ein IPv& Firewall-Freigabe. Das ist nicht schön.
Hinzu kommt ein Fehler in der Fritzbox, die dazu führt, daß eine IPv6 Internetfreigabe über den eingebauten DynDNS immer auf die Fritzbox und nicht auf den freigegebenen Rechner auflöst. Damit funktionieren Dienste draußen prima, versagen aber im LAN.
Dank unserer famosen nicht statischen IPv6 Adressen hilft es auch nicht, einen AAAA Record auf die Domain zu setzen.
NAT ist zwar kein Sicherheitsfeature, aber die privaten IP-Bereiche wurden einmal eingeführt, damit Geräte nur lokal erreichbar sind - lange, bevor die Adressen knapp wurden.
Aber wo ist das Problem? Auf Geräten, die von außen nicht erreichbar sein sollen, konfiguriert man eben nur die Link-Local-Adresse (FE80::/16) oder - sofern es mehrere Subnetze innerhalb der Organisation gibt - eine ULA (FC00::/16).
Wieso denn bitte im Heimnetz oder in kleinen Firmen? Von mir zum ISP -> gerne, bin dabei! Aber hinter dem Modem herrscht zumindest bei mir (und wahrscheinlich den meisten kleineren Firmen) keine Knappheit an Adressen. Nebenbei erwähnt: IPv4 ist schneller als IPv6. Glaubt ihr mir nicht? Man merkt es nur auf sehr alten Geräten, da aber ziemlich
Jetzt fehlt nur noch eine robuste Möglichkeit, wie man der IP Kamera hinter der Fritzbox eine Internetadresse geben kann. Statt der sich ständig ändernden (zumindest Präfix) numerischen ipv6 Notation...
Wenn ich das richtig verstehe, würde das nichts helfen, da der Provider die Prefix regelmäßig zu ändern scheint. DynDNS-Dienste für IPv6 existieren. Wie das allerdings funktioniert, weiß ich auch nicht. Muss das Gerät selbst mit dem DynDNS-Dienst kommunizieren? Werden ja viele, speziell Embedded-Geräte mit geschlossener Firmware, nicht können. Oder kann man dem Router eintragen, für welche Suffixe er beim DynDNS-Dienst die Domains registrieren soll?
>> Wenn ich das richtig verstehe, würde das nichts helfen, da der Provider die Prefix regelmäßig zu ändern scheint. Upps, das hatte ich übersehen. DynDNS auf ipv6 ist eine gute frage - ich vermute das das müsste dann tatsächlich auf dem Endgerät laufen, oder man müsste dem DynDNS-Service Endgeräte zuweisen können oderso...
jopp, sowas wie selfhost und Fritzbox sollten so was dann schon unterstützen, dass man "die Freiheit hat "
geh erst mal an die ran, die das unterstützen sollten, dass man dann als kleiner die Freiheit hat dies zu nutzen, sicher, in meiner eigenem dribbelstern Topologie könnt ich das ja anwenden, aber 255 Adressen reichen mir dann doch auch für daheim .. selbst wenn ich 100 VM's emulier und damit dann auch noch via 100 Firewalls laufen zu lassen mit rerouting arbeite um das dann ab zu sichern und noch andere spielerreien.. weil ich es kann..
Schwachsinn dieser Artikel im Grunde..
zeigt einmal nur dass man nur Flausen als junger Reporter im Kopf hat *kopfschüttel* IP knappheit wurde schon 2000 und früher rum probagiert und.. was ordentliches hat sich nicht geändert .. wo es schon immer Wasser gab, gibt es auch weiterhin Wasser, ansonsten nimmt man Sand und lässt es dort durch.. wenn du weist/verstehst was ich meine ...
Schwachsinn.. das mit den ip6 sollte was für die Provider sein, die große Netze händeln und dann würden die IP4 wieder für ne gewisse Zeit lang genug ausreichen dann würde das auch langsam kommen und überall einfließen, inklusive die dyndns Anbieter, ich hab vor ein paar Jahren nach einem dyndns Anbieter für IP6 gesucht.. aber der Witz, die Fritzbox hat's nicht angeboten und updatet die dyndns Unterstützung auch so gut wie nicht.. vielleicht die letzten paar Monate, aber ich hab mit meiner 6360 immer noch keine Möglichkeit mich mit einem dyndns ip6 Anbieter zu connecten..
Also, Resultat, erst mal muss die Unterstützung/er gegeben sein um es zu nutzen und nicht visa versa , denn das wäre.. bez. ist Schwachsinn ..
und da dann an zu fangen was zuerst da sein muss, das Huhn oder das Ei, ist auch Schwachsinn, da es hier an dieser Stelle um direkte Anwendung geht, erst muss die Unterstützung gegeben sein um das auch nutzen zu können als ... Endabnehmer/Endnutzer, punkt um -> .
Daher ist dieser Artikel, "Leute benutzt mehr IP6" totaler Nonsens und Schwachsinn weil man ja nicht mal daran dachte, dass erst mal die Unterstützung gegeben sein muss und daher dann erst mal zu propagieren, dass man mehr Unterstürzung für IP6 geben muss..
und das was ich hier sagte ist nur ein Resultat dessen, was mit IP6 abgeht, ich möcht's nicht schlecht reden und auch nicht gut reden, Schaut doch mal rum ..
Zumindestens die Fritzbox kann das - man kann über den Fritzbox DynDNS Dienst einen Port bzw. eine IPv6 Adresse nach draußen schleifen. Ob das immer eine gute Idee ist, steht auf einem anderen Blatt. Ich benutze einen eigenen DynDNS Dienst dafür.
Wie funktioniert das "nach-draußen-schleifen" einer ipv6 Adresse? Welchen DynDNS Dienst nutzt du? Habe etwas mit dynv6.com herumprobiert. Läuft aber nicht stabil...
... und damit all die Technologien, die notwendig sind eine verkurxte Technologie flicken. All die UPnP, STUN, ICE oder gar TURN Server oder Dienste können entfallen, wenn eine direkte Verbindung zwischen zwei Endpunkten möglich wird.
Solange jemand einfach nur "surfen" will ist alles gut. Aber wehe, jemand will ein dezentrales System aufbauen oder auch nur VoIP ohne die ganzen Dienstleister selber aufsetzen. Da ist NAT massiv im Wege und führt zu einer Zentralisierung dieser Dienste.
Solange jemand einfach nur "surfen" will ist alles gut.
So isses.
Und ich WILL NUR SURFEN - bin kein Hipster, der die Welt an seinem Leben teilhaben lassen will oder den Wunsch hat, seine heimische Klospülung per Smartphone zu betätigen, während er auf Arbeit ist.
Wie 90% der Leute. Und wir 90%sind mit IPV4 und NAT gut bedient, weil damit per Default alles dicht ist.
Und den IPV6-Kerneltreiber habe ich auf meinen Rechnern und im Router geblacklisted, damit da nix über IPV6 rausflutscht.
Irgendwann werde ich mich auf wohl IPV6 einlassen müssen, aber erst, wenn genügend Erfahrungen damit vorliegen (Erfahrungen von anderen Leuten, die Lehrgeld für ihre Neugier bezahlt haben).
Perfekt - daß sie mit IPv4 zufrieden sind - so wie 99,9% aller Internetbenutzer. Wir sind hier aber eine Seite für Techies - die auch Netze planen und betreuen. Wie gesagt - auch bei IPv6 ist mit einem vernünftigen Router dank Firewall "alles dicht" - und man muß die Geräte explizit freischalten.
Was mir nicht gefällt ist, ist, daß es dank NAT nicht möglich ist, eine direkte Verbindung zwischen zwei beliebigen Endpunkten herzustellen. Das spielt Frickellösungen in die Hände die zu Datenlecks und Angriffsvektoren auf System führen können.
Ein paar Beispiele: - Skype vs. direktes WebRTC - Teamviewer - dezentrale Spieleplattformen (denk Dir eins aus, ich spiele nicht) - jegliche Peer to Peer Systeme
Das alte IPv4 System hilft dem zentralisierten Monopol-Internet.
Web 3.0 mit seinen dezentralen Strukturen - P2P Storage, Collab, Smart Contracts, Krypto-Währungen usw. fährt mit IPv6 besser. Das gesagt: ich betreibe einen IPv4 Tunnel mit fester Adresse um ein Ethereum Testnetz zu betreiben. Das ist leider notwendig, denn geth mag (noch) kein IPv6 - jedenfalls funktioniert es dann nicht.
Mit IPv6 ist man mit der Anzahl der eigenen Netze vom Provider abhängig. Das ist für mich ein No-Go, da mein Provider nur ein einziges /64-Netz zur Verfügung stellt. Solange die deutschen Provider so hinterm Mond leben wird sich IPv6 hier nicht durchsetzen. Selbst die Fritzbox bietet von Hause aus 2 getrennte Netze an.
mit halbwegs vernünftigen routern solltest du dir beliebige subnetze bauen können - zb 4x /62 netze - welche du jeweils einem eigenen port zuweist
Ich denke in der Zukunft werden auch Billigrouter solche voreinstellungen mitliefern. Aber - wenn da gefuscht wird ist die tragweite weit höher als bis dato mit NAT.
Klar kann ich mir nahezu beliebig viele lokale Netzwerke bauen, nur wie verbinde ich die mit dem Internet wenn ich nur ein Netzwerk vom Provider bereitgestellt bekomme? Per Host-Routen im Router? Und wie greift dann ein Gerät aus Netzwerk A auf eine freigegebene Ressource in Netzwerk B zu? Soll der Route dafür dann das Discovery Protokoll faken?
Mehrere parallele Netze funktionieren mit IPv6 im Grundprinzip gleich wie mit IPv4: * Verbindung von zwei Netzen wird durch einen Router ermöglicht. * Die jeweiligen Geräte haben den halt als default Gateway hinterlegt. * Zugriff auf Freigaben dann über die IP oder DNS wen definiert. * Wenn dann die Firewall die Verbindung auch noch zulässt funktioniert es
Für daheim eine Firewall wie Pfsense oder Opensense und das ist möglich. Anleitungen dafür gibt es auch in den jeweiligen Wikis.
Es ging mir nicht um die Verbindung der lokalen Netze untereinander. Das kann natürlich jeder Router. Mir ging es um die Verbindung der (physikalisch getrennten) lokalen Netze mit dem Internet. Bei IPv4 wird dafür in der regeln NAT verwendet. Bei IPv6 gibt es nun mal kein NAT oder ähnliches. Du bist also auf das Wohlwollen deines Providers angewiesen und in meinem Fall bietet der halt nur ein /64-Netz (mein Backup-Provider hat bis heute kein IPv6).
Es ist bestimmt so - und letztlich auch wenn man mehr als surfen will - dass man immer etwas mit IPv4 basteln kann.
Aber wozu soll es sein? Was ist genau an IPv6 so furchtbar, dass man lieber endlos IPv4 bebasteln will, oder gar den ewigen Parallelbetrieb als Lösung sieht? Damit gehen ja auch Komplexitäten und Kosten einher.
Ich sehe hier überwiegend Ablehnung, aber an fast keinem Beitrag ist Fleisch dran. Wenn es da bswp. Privacy-Aspekte gibt, kann man die mal konkret benennen und diskutieren? Vielleicht sitzen ja hier irgendwo die Insider: Ist das Problem mit dem statischen Präfix - mit dem man dann identifizierbar ist - ein unabwendbares Problem? Oder könnten die Provider nicht auch dort immer neu auswürfeln? Gibt es Bestrebungen, sowas anzubieten? Natürlich hätte man dann halt wieder dynamische Adressen und die damit verbundenen Nachteile. Beides gleichzeitig geht halt nicht.
Oder ist es etwas anderes? Vielleicht können die Ablehner da mal ein paar Argumente gegen IPv6 nennen. Für IPv6 spricht wohl erstmal, dass man auf viel Bastelei in der Infrastruktur verzichten kann. Die Argumente mit dem erhöhten Datenaufkommen durch längere Adressen musste man wohl eher als Spaß lesen, oder?
ich sehe halt für mich 0 vorteile von ipv6. nat funktioniert für den heimbetrieb bei mir einwanfrei. wenn ich externe dienste anbieten möchte sind das 5mausklicks am router, oder ich miete mir einen externen server - fertig.
dem gegenüber stehen für "mich" diverse nachteil: * lange ip-blöcke * doppelgleisigkeit ipv4/ipv6 (lokale firewalls etc pp) * höhere komplexität auf os-ebene (3 ipv6-adressen) - ipv6 selbst ist auch erstmal komplexer zu begreifen * statische präfixe des providers (datenschutz) * höhere anforderungen an router (zwingende firewall) * nicht final ausgereifte router, apps, mögliche security-bugs etc. pp.
Schlägst du dann eher vor, das gesamte Internet weiterhin mit IPv4 und immer extremeren Tricksereien zu betreiben, oder eher der Parallelbetrieb mit IPv4 nur lokal bei dir und damit zwei unterschiedlichen Protokollwelten auf den beiden Seiten, die in Software überall beide gepflegt sein müssen (bis rauf zur Eingabeprüfung in der IP-Adress-Maske)?
> * lange ip-blöcke Ja, das stimmt in der Tat. Hier bei mir läuft seit einer Weile (ohne ausdrückliches Zutun) fast alles lokal auf IPv6, und ich merke auch, dass ich mir die Adressen nicht merken kann
> * doppelgleisigkeit ipv4/ipv6 (lokale firewalls etc pp) Naja, überall auf IPv6 zu verzichten lässt wohl die Tricksereien immer komplizierter werden. Das kann diverse Folgen haben.
> * höhere komplexität auf os-ebene (3 ipv6-adressen) - ipv6 selbst ist auch erstmal komplexer zu begreifen Naja, vom Adressbereich abgesehen ist das Wesentliche eh schon auf IPv4 zurückportiert worden und im Einsatz, oder?
> * statische präfixe des providers (datenschutz) Ja, das ist blöd. Können die das denn nicht auch anders?
> * höhere anforderungen an router (zwingende firewall) Naja, eine Abwesenheit einer Verbindung ist immer auch erstmal eine Firewall. Man könnte die Consumer-Router ja wieder so aufbauen wie heute, oder? Dann gäbe es das externe Netz und das Interne; und eine Vermittlung dazwischen. Ich sehe nur, dass die Vermittlung einfacher wird?!
> * nicht final ausgereifte router, apps, mögliche security-bugs etc. pp. Naja, klar, muss man durch. Die erste Postkutsche hatte sicher auch ihre Tücken. Die IPv6-Implementierungen von heute sind ja auch nicht so ganz neu, und sicherheitsrelevante Implementierungen aus den ganz alten Tagen fallen ja auch nicht immer durch Integrität auf
Von nicht vollständig am Fr, 29. Juni 2018 um 08:39 #
das Wort "final" erinnert mich immer an den "finalen Schuss" als letzte Lösung bei einer Geiselnahme
IPv6 gibt es bereits einige Jahre; dass die Geräte nicht ausgereift sind, zeigt, wie gering das Interesse der Hersteller war/ist, umzustellen. Zeit genug für intensivste, auch Langzeit-Tests war ja wohl da...
> * lange ip-blöcke Also gerade mit IPv6 merke ich mir die lokalen Addressen viel einfacher. Bei den Weltweit gültigen wird dann halt einfach DNS genommen ;) Stichwort: Link-Local-Unicast (oder Unique-Local-Unicast für mehr Anforderungen)
Dass die Geräte noch eine weitere , weltweit gültige, IPv6 haben interessiert mich nur initial beim beim konfigurieren der Firewall und für die MAC Reservierung mit DHCPv6 (mag die IPv6 Autokonfiguration irgendie nicht ...).
>> Die Argumente mit dem erhöhten Datenaufkommen durch längere Adressen musste man wohl eher als Spaß lesen, oder?
im lokalen lan bei schwacher hardware kann das ein unterschied darstellen weil auf einem 32bit-system mehr schritte zur verarbeitung notwendig sind.
ist genauso wie die behauptung das x64 grundsätzlich schneller ist als x32: das mag in vielen fällen korrekt sein, ich gehe aber gerne eine wette ein das "cat /etc/fstab" auf einem 32bit system weniger arbeitsspeicher-ressourcen benötigt als auf einem x64 system - zumal x64 systeme die corelibs auch noch aus compatibilitätsgründen als x32-compilierte fassungen vorhalten, und somit doppelt im speicher vorliegen.
Mag alles sein, aber sind das wirklich schlagende Kriterien? Wie schwach muss die Hardware wirklich sein, damit es eine praktische Auswirkung hat? Lohnt sich dafür NAT-Gefummel und/oder längerer Parallelbetrieb?
wo gibts bei NAT etwas zu fummeln wenn ich wie 98% aller haushalte primär eine webbrowser und emailclient verwende und meine gewünschten serverdienste extern anmiete?
und warum soll ich mir dann auch nur für einen einzelnen ping 128-adressen oder das manuelle pflegen von host-dateien antun? oder soll ich jetzt einen manuellen dns-service betreiben das ich die lokalen maschienen sinnvoll ansprechen kann? und nochmal wozu - wenn ipv4 die nächsten 10-20 jahre einwandrei funktionieren wird?
> ist genauso wie die behauptung das x64 grundsätzlich schneller ist als x32: jepp, aber Ausnahmebedingungen findet man nahezu in jedem Bereich: (auch ein LadaNiva legt 1KM schneller zurück als ein Koenigsegg, abhängig vom Gelände)
Im allgemeinen jedoch dürfte IPv6 für eine schnellere Kommunkation sorgen. Z.B. ist die Headerlänge bei IPv6 fest, die Routing, weniger Speicherverbrauch u.a. wg. NAT, schnelleres Routing, keine Prüfsummenberechnung mehr)
IMHO liegt das Problem wie so oft in den Köpfen "ihh was neues".... korrekt das bedeutet - neu lernen - neu konfigurieren - neue Probleme
Aber auf IPv4 verbleiben bedeutet - auf dauer langsamer - alte Probleme und Workarounds - mehr (Sonder-)Regeln und -lösungen lernen - stockende Weiterentwicklung - aufwendigere Neukonfiguratoinen - teurer (der Preis für ipv4 adressen würde steigen) - verzicht auf integrierte Sicherheit
Ein paar Punkte kann ich sicherlich nachvollziehen, aber der Gesamtaussage kann ich nur widersprechen. Einerseits ist der Artikel stark polarisierend und in Bild Manier geschrieben (paar Schlagwörter werfen, das Wort Hacker reinbringen und Zack Bild Artikel), andererseits sind manche Punkte einfach per se diskussionswürdig.
"Sie möchten einige Dienste aus Ihrem Heimnetzwerk öffentlich verfügbar machen? Dann können Sie mit NAT herumspielen, einige Proxies hacken und viel Zeit und Energie damit verschwenden. Mit IPv6 können Sie jedem Gerät in Ihrem Netzwerk eine öffentliche IPv6-Adresse zuweisen und über Ihren Router oder Ihre Firewall genau entscheiden, was Sie davon öffentlich verfügbar machen. "
Hab ich mit IPv4 gemacht, ging furchtbar schnell und seit Jahren dank DynDNS stabil - wo war da jetzt die Zeit- und Energieverschwendung? oO
Im ISP und generell öffentlichen Netzbereich kann ich der Umstellung auf IPv6 nur zustimmen (und schon gar nicht entgehen), aber im Heimnetz sicherlich nicht.
Dahingehend auch völlig unpassend ist der Vergleich mit dem Geld bzw. der Macht für genügend IPv4 Adressen. Mal sehen wann mir die große Firma in mein Heimnetz (von dem er im Satz danach spricht) so reinpfuscht das mir plötzlich alle IPv4 Adressen ausgehen.
Solange mir die Telekom (jaaa, die böse Telekom, danke für das FTTH ) noch IPv4 zur Verfügung stellt und mich nicht in meinem eigenen Heimnetzwerk entmachtet sehe ich keinen Grund, alle Geräte im Heimnetz zwangsweise auf IPv6 umzustellen... (richtig lustig wird es erst dann, wenn ein Gerät das vlt. nicht kann...)
Ich weiß daher immer noch nicht, ob dieser Artikel in dieser Art und Weise ernst gemeint ist, gerade der letzte Satz ist die reinste Lachnummer: "Und nun hören Sie bitte auf, den Kopf zu schütteln, und nutzen Sie IPv6 - das ist wichtig. Für Sie, für uns, für jeden." - Ja, ist wichtig für jeden! Definitiv!
Wenn es doch Ironie gewesen sein sollte (Stichwort Sicherheit, jedes Gerät im Netz etc.) dann doch bitte die korrekte Ironie Tags verwenden...
Dieser Beitrag wurde 2 mal editiert. Zuletzt am 29. Jun 2018 um 09:44.
Mal eine Frage: Was bringt mir IPv6 wenn viele Firmen und Geräte es immer noch nicht unterstützen? So wird das mit IPv6 leider nichts, da kann man noch so viele Artikel über IPv6 schreiben: Solange es Firmen und Geräte gibt die es nicht können oder wollen haben wir in 20 Jahren immer noch IPv4!
Was ist das für ein Ammenmärchen, dass viele Firmen und Geräte kein ipV6 unterstützen? Die Zeit bleibt nicht stehen, ein Großteil des Internets ist mit IPv6 erreichbar. Pro-Linux ist mit IPv6 erreichbar, und ich sehe in den Logs auch eine allmähliche Zunahme der IPv6-Adressen.
Ich sage nur mal Dual-Stack Lite (bei den Kabelanbietern üblich). Da hat man dann die Situation das man alles, was über Surfen und Downloaden hinausgeht, weder in IPv4 noch in IPv6 richtig machen kann.
Ich bin mit VDSL bei Congstar im Telekom Netz. Ist in 2018 noch IPv4 only (das Netz sicher nicht, aber die Kunden bekommen nur IPv4-Adressen). Es gibt auch beim Provider selbst noch keine Infos, wann sich das ändern wird. Also vermutlich noch einige Jahre nicht. Ich bin aber trotzdem froh darüber, für mich war das sogar ein Kriterium, zu Congstar zu gehen. Weil zumindest über IPv4 in Verbindung mit einem DynDNS-Dienst (Mein Tipp: spdyn.de) alles funktioniert, also Portweiterleitungen, VPN mit IPSec etc. Im Gegensatz zu DualStackLite-Anbietern (s.o.)
Bin zwar bei einem regionalen Anbieter der nicht bundesweit verfügbar ist, aber selbst die setzen auf DS-Lite. Immerhin darf man ohne wenn und aber auf echtes DS wechseln, man muss nur nett fragen. Aber dann fingen die Probleme an dass viele meiner Geräte noch nie was von IPv6 gesehen haben (= Sie können kein IPv6 weil die Hersteller entweder zu faul oder zu blöd sind) und viele Softwareprogramme die mit IPv6 restlos überfordert sind, teilweise stürzt mit IPv6 das Netzwerk ab und an mal zusammen... die Lösung war IPv6 auf den Clients zu deaktivieren und IPv6 im Router unangefasst anzulassen und zu ignorieren.
Solange sich an der oben beschrieben Situation nichts ändert werden wir in nie IPv4 friedlich sterben lassen können!
In meinen Augen ist IPv6 fail-by-design und wurde viel zu schnell, aufgrund des IPv4 Mangels, aufgezwungen und heute teilweise schon ein "musthave", da es schon Server gibt, die nur noch via IPv6 ansprechbar sind. Jetzt macht quasi keiner mehr was am Protokoll selbst, aber es ist immer noch an einigen stellen roh.
Habe seit ca 2013 IPv6 auf meinen beiden privaten Internetleitungen aktiv. Geht schon los, mit den Problemen, wenn man eine stateful Firewall will, dass z.B. Facebook (gibt Frauen, die nutzen das) willkürlich mit einer anderen IPv6 antwortet, als bei den vorherigen Paketen. Daher funktioniert related,establesh halt überhaupt nicht. Das ist der Preis, wenn man einzelnen Servern ganze Netze gibt ... Das und fehlende Features, wie z.B. NAT, die alles viel einfacher machen würden, machen IPv6 unattraktiv. War z.B. auch so vor ein paar Jahren noch das radv Probleme hatte mit dynamischen IPs. Man musste jedes Mal in die Config das neue IPv6 Netz, wenn es dynamisch war, eintragen. War auch ein Grund, wieso Fritzbox und Router auf Basis von OpenWRT usw. lange kein IPv6 machten. Da hatte ich damals ein Script gebastelt, welches die Welt nutzte. Heute kann man das Feld leer lassen und er fragt die Daten vom Interface direkt ab, ohne das Script. Meine Versuche IPv6, so sicher wie IPv4 zu gestalten, scheiterten schon an solchen simplen Geschichten.
Beruflich habe ich auch noch gerne mit anderen Firmen den Kontakt, wo IPv6 selbige problematiken aufzeigt. Da wurde sogar Mal ein "Experte" eingeflogen, der da in Europa zu den Firmen kommt und die bzgl. IPv6 berät. Will hier jetzt keine Namen nennen, vermutlich wissen einige, wen ich mein ... ist auch egal ... auf jeden Fall wurden da mehrere Problematiken bestätigt.
Dazu kommt, wenn man einen handelsüblichen Router hat, dass jeder IPv6 Bereich tatsächlich in der "normal" Config häufig automatisch direkt im Internet ist. Selten machen das die handelsüblichen vernünftig/richtig und forwarden IPv6 nicht ohne weiteres rein. Das mag vielleicht einige erstmal nicht stören, aber das ist Wahnsinn. Die Netze sind zwar groß, aber ich habe schon verschiedene Portscans auf meine IPv6 Bereiche wahrgenommen. Daher ist das also überhaupt nicht unwahrscheinlich, dass da auch zukünftig wieder Angriffe auf Systeme direkt laufen. Außerdem macht man sein Netz durch Kommunikationen mit Außen so wieso bekannt. Gezielte Angriffe auf Besucher einer Webseite sind da vermutlich noch sinnvoller/wahrscheinlicher als Portscans und vor allem ergiebiger. Gerade so Geschichten wie Probleme im ICMPv6 waren ja in der Vergangenheit nicht gerade Vertrauens erweckend. So etwas direkt im Netz? "Dumm ist der, der Dummes tut"
Zu meiner Person: Ich arbeite seit über 15 Jahren als Linux Netzwerk- und Systemadministrator für große Unternehmen. Mit Politik usw. habe ich nichts zu tun, aber mit teuren Rechenzentren und deren Systemen, so wie freilich auch mit dem zugehörigen Netzwerk. Seit ca. 1998 habe ich Linux als Server und Desktop System im Einsatz. Das ging damals mit Red Hat los, wo ich nach der "Hausverkabelung mit RJ45" noch einen vernünftigen "Proxy/Router" gebraucht hatte und der Markt noch keine vernünftigen und bezahlbaren Geräte bot. Da kam quasi das große Interesse am Pinguin. Sehr viel später bin ich bei Debian hängen geblieben, weil Fedora auf dem Desktop zu viel gegen meine Nase macht. Dürfte so 2008 rum gewesen sein. Viele anderen Linux Distributionen habe ich schon verwendet oder gesehen. Eine Zeit Lang war ich auch mit BSD zumindest auf dem Server unterwegs. Auf meinem Smartphone betreibe ich ein LFS Windows ist bei mir in der KVM zum zocken ... Zuhause habe ich zwei Internet Leitungen, eine davon mit festen IPs. Beide Leitungen nutzen IPv6. Mein Router ist ein Debian, wo viel per Hand gebastelt und auf fertige Lösungen bewusst verzichtet wurde ...
Mit der Entwicklung des IPv6-Protokolls wurde bereits kurz nach der Kommerzialisierung des Internets begonnen. Bereits 1995 gab es ein öffentliches Testnetz in Form des 6Bones.
Fällt den Leuten nun über 20 Jahre auf, dass sie IPv6 nicht mögen und auch nicht wollen, ist das einwenig spät. Man hätte am Design des Protokolls Ende der 1990er oder Anfang der 2000er Jahre noch etwas optimieren können. Doch jetzt, über 20 Jahre später ist dieser Zug definitiv abgefahren.
Jegliche Kritiker haben 20 Jahre gepennt und jetzt tut es ihnen weh, dass der Nachfolgestandard zum Teil eingeführt ist.
Technisch kann ein Router auch eine Client-IPv4 auf eine IPv6-Adresse NATten. Wenns wirklich nötig ist, dann wird jede Fritzbox nach diesem Prinzip einen IPv6-Kompatibilitätsmodus bieten.
NAT mag eine Lösung sein, damit nicht jeder Client, der Daten aus dem Netz abruft, eine öffentliche IP-Adresse braucht. Doch in Zeiten, in denen nicht nur Power-User den Anspruch haben, von unterwegs auf Smarthome-Geräte zuzugreifen und einen gemeinsamen Speicher für alle Geräte parat zu haben, wird das Problem der Adressknappheit damit umgangen, dass jegliche Geräte client-seitig permanent mit den Servern eines Anbieters verbunden sind und jegliche Informationen von Diesen verwertet werden können.
In einer absoluten Luftikus-Mentalität denken sich die Wenigsten etwas dabei oder sind schon glücklich, wenn die Übertragung SSL-verschlüsselt geschieht (ohne dass den Leuten bewusst ist, dass der Anbieter die Daten trotzdem hat).
Wir brauchen nicht nur eine offensive Einführung von IPv6, sondern auch eine aktive Förderung von Lösungen, über die Nutzer von unterwegs direkt "nach Hause telefonieren" können, ohne dass Anbieter dazwischen stecken.
Endlich mal jemand, der meiner Meinung ist.
...spricht man in unseren Fachkreisen nur noch von "IP Legacy". So nennt man das hier "IP Legacy" und die IP Adressenknappheit interessiert Niemanden. IPv6 wird schon seit Jahren produktiv eingesetzt.
Interessant ist dass mache IT-ler denken dass es reicht IPv4 zu konfigurieren und zu nutzen und kein IPv6 anzubieten, dann ist man "relativ sicher." Mobile Endgeräte haben schon seit Jahren IPv6 aktiviert. Man muss den Wireshark anschmeissen und in ein Segment reinhorchen. Viele wiegen sich in falscher Sicherheit weil Sie denken nur IPv4, und es reicht wirlich nur einer der ein IPv6 relay service anbietet in einer Broadcastdomäne, so etwas merken die Wenigsten Benutzer dass auf einmal in einem angeblich IPv4 Netz ohne überhaupt die Endgeräte anzufassen, ohne fremde Hilfe auf einmal der Traffic über IPv6 rausgeht "Happy Eyeballs".
Toller Artikel, danke dafür. So etwas sollte öfters auftauchen damit die Verantwortlichen und Zuständigen IT-ler immer wieder daran erinnert werden, dass die Zeiten längst vorbei sind mit IP Legacy. Höchste Zeit um sich dadrum zu kümmern. Wer noch kein IPv6 hat der sollte damit jetzt anfangen.
Kannst du dazu gute Lektüre im Netz empfehlen? Danke!
Lektüre hab ich auf die Schnelle nicht parat, aber wenn du bereit bist ein paar Stunden dafür aufzubringen, funktionierts auch mit Kopfhörern ganz gut:
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 28. Jun 2018 um 22:22.CRE Folge 197
RFC-Podcast Folge 14
Oh ja, super Idee. Bitte stellt alle eure Geräte direkt ins Internet !!!
NAT ist kein Sicherheitsfeature.
Ob du willst oder nicht, die meisten Endgeräte sprechen schon längst IPv6. Ob NAT aktiviert ist oder nicht, spielt gar keine Rolle, deine Endgeräte könnten bereits jetzt schon im IPv6 Internet erreichbar sein, ohne dass Du das überhaupt weisst.
Schön, dass die Endgeräte es können. Da aber weder meine 7170-Fritzbox, noch mein DSL-Produkt IP6 unterstützt, bin ich davor doch ziemlich "sicher".
Tja, weit gefehlt. Eben das ist was der Vorposter meinte, die falsche Sicherheit in der man sich so wiegt...
Das ist ganz schön naiv was Du da geschrieben hast.
Kannst du dazu gute Lektüre im Netz empfehlen? Danke!
Fritz!Box End off Support: 1.12.2013
Guckst Du:
https://avm.de/service/eos-liste/fritzbox/
Mit so einer Gurke würde ich überhaupt nicht mehr ins Internet gehen!
Was hier nicht erwähnt wird, ist das mit ipv6 jeder Haushalt einen eineindeutigen nicht veränderbaren Präfix vom Netzbetreiber erhält. Die Endgeräte verschleiern Ihre Mac-Adresse nur mit Tricks.
Sorry, dass Endgeräte out-of-box frei und offen via ipv6 im Internet verfügbar sind ist eine idiotische Designentscheidung für den Heimgebrauch. Und ja – NAT schützt davor wirkungsvoll im IPv4 Umfeld.
Soll ich jetzt nach jedem Router-Update prüfen ob die Endgeräte auch wirklich nicht frei im Netz angreifbar sind? Bin ich jetzt dazu gezwungen auf jedem Endgerät erst eine Firewall einzurichten?
Ein weiterer Punkt in der Praxis: wer mal schnell einen Rechner im Keller anpingen möchte und aus welchen Gründen auch immer auf copy/paste verzichten muss - viel Spass beim abtippen der IP-Addresse...
Ich für meinen Teil werde freiwillig nicht so schnell nach IPv6 umstellen, vermutlich eher hinter dem router ein ipv4 subnetz betreiben falls iwann ipv6 seitens der Netzbetreiber zwingend wird.
>> Was hier nicht erwähnt wird, ist das mit ipv6 jeder Haushalt einen eineindeutigen nicht veränderbaren Präfix vom Netzbetreiber erhält. Die Endgeräte verschleiern Ihre Mac-Adresse nur mit Tricks.
Mit anderen Worten:
Haushaltsbasierte Persönlichkeitsprofile sind erstellbar.
Das sind sie auch so - wenn alle am selben Browser hängen sowieso. Aber auch IPv4 Adressen sind recht gut geografisch zuordenbar.
Das ist sowieso in Zeiten, wo jeder mit dem Handy herumläuft nicht so interessant. Man verkauft ja Produkte nicht an Adressen, sondern an Menschen. Ich bekomme auch keine Werbung für Lippenstifte und Schuhe, bloß weil ich mit zwei erwachsenen Töchtern + Frau mir einen Internetanschluß teile
Auch der Geheimdienst von Gruselstan wird sich mehr für Individuen interessieren und mit wem sie kommunizieren und nicht für einen Anschluß, der bei mobilen Personen sowieso ständig wechselt.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 29. Jun 2018 um 10:21.... jedenfalls nicht bei 1&1 - da bekommt man bei jeder Zwangstrennung einen neuen Präfix, was ziemlich häßlich ist. Neuland eben. Bei Kabelanbiern kann es besser aussehen.
in der Tat. NAT macht mehr Probleme als es löst. Jeder Router hat einen Firewall eingebaut, mit dem man die einzelnen Geräte getrennt administrieren kann. Jedenfalls meine Fritzbox. Standardmäßig ist alles zu und man muß es einzeln freigeben. Doof ist in einem solchen Zusammenhang, daß IPv4 und IPv6 noch eine Weile parallel existieren müssen - also eine Freigabe nach draußen impliziert eine Portweiterleitung und ein IPv& Firewall-Freigabe. Das ist nicht schön.
Hinzu kommt ein Fehler in der Fritzbox, die dazu führt, daß eine IPv6 Internetfreigabe über den eingebauten DynDNS immer auf die Fritzbox und nicht auf den freigegebenen Rechner auflöst. Damit funktionieren Dienste draußen prima, versagen aber im LAN.
Dank unserer famosen nicht statischen IPv6 Adressen hilft es auch nicht, einen AAAA Record auf die Domain zu setzen.
NAT ist zwar kein Sicherheitsfeature, aber die privaten IP-Bereiche wurden einmal eingeführt, damit Geräte nur lokal erreichbar sind - lange, bevor die Adressen knapp wurden.
Aber wo ist das Problem? Auf Geräten, die von außen nicht erreichbar sein sollen, konfiguriert man eben nur die Link-Local-Adresse (FE80::/16) oder - sofern es mehrere Subnetze innerhalb der Organisation gibt - eine ULA (FC00::/16).
Wieso denn bitte im Heimnetz oder in kleinen Firmen? Von mir zum ISP -> gerne, bin dabei!
Aber hinter dem Modem herrscht zumindest bei mir (und wahrscheinlich den meisten kleineren Firmen) keine Knappheit an Adressen.
Nebenbei erwähnt: IPv4 ist schneller als IPv6. Glaubt ihr mir nicht? Man merkt es nur auf sehr alten Geräten, da aber ziemlich
natürlich ist ipv4 schneller - 32bit vs 128bit - das bei x mio paketen.
wobei das nur fürs lokale netz im heim/firmenbereich gilt...
bei den grossen netzbetreibern wird ipv6 aufgrund vereinfachter routingmechanismen wohl die performance verbessern.
wobei das nur fürs lokale netz im heim/firmenbereich gilt...
bei den grossen netzbetreibern wird ipv6 aufgrund vereinfachter routingmechanismen wohl die performance verbessern.
Wen interessieren in Zeiten von Jumbo Frames denn 96 Bit mehr oder weniger?
Jetzt fehlt nur noch eine robuste Möglichkeit, wie man der IP Kamera hinter der Fritzbox eine Internetadresse geben kann. Statt der sich ständig ändernden (zumindest Präfix) numerischen ipv6 Notation...
gib deiner cam halt eine statische ipv6 adresse oder installiere einen dhcp server.
Wenn ich das richtig verstehe, würde das nichts helfen, da der Provider die Prefix regelmäßig zu ändern scheint.
DynDNS-Dienste für IPv6 existieren. Wie das allerdings funktioniert, weiß ich auch nicht. Muss das Gerät selbst mit dem DynDNS-Dienst kommunizieren? Werden ja viele, speziell Embedded-Geräte mit geschlossener Firmware, nicht können. Oder kann man dem Router eintragen, für welche Suffixe er beim DynDNS-Dienst die Domains registrieren soll?
>> Wenn ich das richtig verstehe, würde das nichts helfen, da der Provider die Prefix regelmäßig zu ändern scheint.
Upps, das hatte ich übersehen.
DynDNS auf ipv6 ist eine gute frage - ich vermute das das müsste dann tatsächlich auf dem Endgerät laufen, oder man müsste dem DynDNS-Service Endgeräte zuweisen können oderso...
jopp, sowas wie selfhost und Fritzbox sollten so was dann schon unterstützen, dass man "die Freiheit hat "
geh erst mal an die ran, die das unterstützen sollten, dass man dann als kleiner die Freiheit hat dies zu nutzen, sicher, in meiner eigenem dribbelstern Topologie könnt ich das ja anwenden, aber 255 Adressen reichen mir dann doch auch für daheim ..
selbst wenn ich 100 VM's emulier und damit dann auch noch via 100 Firewalls laufen zu lassen mit rerouting arbeite um das dann ab zu sichern und noch andere spielerreien.. weil ich es kann..
Schwachsinn dieser Artikel im Grunde..
zeigt einmal nur dass man nur Flausen als junger Reporter im Kopf hat *kopfschüttel* IP knappheit wurde schon 2000 und früher rum probagiert und.. was ordentliches hat sich nicht geändert ..
wo es schon immer Wasser gab, gibt es auch weiterhin Wasser, ansonsten nimmt man Sand und lässt es dort durch.. wenn du weist/verstehst was ich meine ...
Schwachsinn.. das mit den ip6 sollte was für die Provider sein,
die große Netze händeln und dann würden die IP4 wieder für ne gewisse Zeit lang genug ausreichen dann würde das auch langsam kommen und überall einfließen, inklusive die dyndns Anbieter, ich hab vor ein paar Jahren nach einem dyndns Anbieter für IP6 gesucht.. aber der Witz, die Fritzbox hat's nicht angeboten und updatet die dyndns Unterstützung auch so gut wie nicht.. vielleicht die letzten paar Monate, aber ich hab mit meiner 6360 immer noch keine Möglichkeit mich mit einem dyndns ip6 Anbieter zu connecten..
Also, Resultat, erst mal muss die Unterstützung/er gegeben sein um es zu nutzen und nicht visa versa , denn das wäre.. bez. ist Schwachsinn ..
und da dann an zu fangen was zuerst da sein muss, das Huhn oder das Ei, ist auch Schwachsinn, da es hier an dieser Stelle um direkte Anwendung geht, erst muss die Unterstützung gegeben sein um das auch nutzen zu können als ... Endabnehmer/Endnutzer, punkt um -> .
Daher ist dieser Artikel, "Leute benutzt mehr IP6"
totaler Nonsens und Schwachsinn weil man ja nicht mal daran dachte, dass erst mal die Unterstützung gegeben sein muss und daher dann erst mal zu propagieren, dass man mehr Unterstürzung für IP6 geben muss..
und das was ich hier sagte ist nur ein Resultat dessen, was mit IP6 abgeht, ich möcht's nicht schlecht reden und auch nicht gut reden, Schaut doch mal rum ..
liebe Grüße
Blacky
Zumindestens die Fritzbox kann das - man kann über den Fritzbox DynDNS Dienst einen Port bzw. eine IPv6 Adresse nach draußen schleifen. Ob das immer eine gute Idee ist, steht auf einem anderen Blatt. Ich benutze einen eigenen DynDNS Dienst dafür.
Wie funktioniert das "nach-draußen-schleifen" einer ipv6 Adresse?
Welchen DynDNS Dienst nutzt du?
Habe etwas mit dynv6.com herumprobiert. Läuft aber nicht stabil...
bei der privaten IPv6 (ULA) bleibt das Präfix doch stabil
mehr infos @https://tools.ietf.org/rfc/rfc4193.txt
... und damit all die Technologien, die notwendig sind eine verkurxte Technologie flicken. All die UPnP, STUN, ICE oder gar TURN Server oder Dienste können entfallen, wenn eine direkte Verbindung zwischen zwei Endpunkten möglich wird.
Solange jemand einfach nur "surfen" will ist alles gut. Aber wehe, jemand will ein dezentrales System aufbauen oder auch nur VoIP ohne die ganzen Dienstleister selber aufsetzen. Da ist NAT massiv im Wege und führt zu einer Zentralisierung dieser Dienste.
So isses.
Und ich WILL NUR SURFEN - bin kein Hipster, der die Welt an seinem Leben teilhaben lassen will oder den Wunsch hat, seine heimische Klospülung per Smartphone zu betätigen, während er auf Arbeit ist.
Wie 90% der Leute. Und wir 90%sind mit IPV4 und NAT gut bedient, weil damit per Default alles dicht ist.
Und den IPV6-Kerneltreiber habe ich auf meinen Rechnern und im Router geblacklisted, damit da nix über IPV6 rausflutscht.
Irgendwann werde ich mich auf wohl IPV6 einlassen müssen, aber erst, wenn genügend Erfahrungen damit vorliegen (Erfahrungen von anderen Leuten, die Lehrgeld für ihre Neugier bezahlt haben).
Perfekt - daß sie mit IPv4 zufrieden sind - so wie 99,9% aller Internetbenutzer. Wir sind hier aber eine Seite für Techies - die auch Netze planen und betreuen. Wie gesagt - auch bei IPv6 ist mit einem vernünftigen Router dank Firewall "alles dicht" - und man muß die Geräte explizit freischalten.
Was mir nicht gefällt ist, ist, daß es dank NAT nicht möglich ist, eine direkte Verbindung zwischen zwei beliebigen Endpunkten herzustellen. Das spielt Frickellösungen in die Hände die zu Datenlecks und Angriffsvektoren auf System führen können.
Ein paar Beispiele:
- Skype vs. direktes WebRTC
- Teamviewer
- dezentrale Spieleplattformen (denk Dir eins aus, ich spiele nicht)
- jegliche Peer to Peer Systeme
Das alte IPv4 System hilft dem zentralisierten Monopol-Internet.
Web 3.0 mit seinen dezentralen Strukturen - P2P Storage, Collab, Smart Contracts, Krypto-Währungen usw. fährt mit IPv6 besser. Das gesagt: ich betreibe einen IPv4 Tunnel mit fester Adresse um ein Ethereum Testnetz zu betreiben. Das ist leider notwendig, denn geth mag (noch) kein IPv6 - jedenfalls funktioniert es dann nicht.
Mit IPv6 ist man mit der Anzahl der eigenen Netze vom Provider abhängig. Das ist für mich ein No-Go, da mein Provider nur ein einziges /64-Netz zur Verfügung stellt. Solange die deutschen Provider so hinterm Mond leben wird sich IPv6 hier nicht durchsetzen. Selbst die Fritzbox bietet von Hause aus 2 getrennte Netze an.
mit halbwegs vernünftigen routern solltest du dir beliebige subnetze bauen können - zb 4x /62 netze - welche du jeweils einem eigenen port zuweist
Ich denke in der Zukunft werden auch Billigrouter solche voreinstellungen mitliefern. Aber - wenn da gefuscht wird ist die tragweite weit höher als bis dato mit NAT.
Klar kann ich mir nahezu beliebig viele lokale Netzwerke bauen, nur wie verbinde ich die mit dem Internet wenn ich nur ein Netzwerk vom Provider bereitgestellt bekomme? Per Host-Routen im Router? Und wie greift dann ein Gerät aus Netzwerk A auf eine freigegebene Ressource in Netzwerk B zu? Soll der Route dafür dann das Discovery Protokoll faken?
Mehrere parallele Netze funktionieren mit IPv6 im Grundprinzip gleich wie mit IPv4:
* Verbindung von zwei Netzen wird durch einen Router ermöglicht.
* Die jeweiligen Geräte haben den halt als default Gateway hinterlegt.
* Zugriff auf Freigaben dann über die IP oder DNS wen definiert.
* Wenn dann die Firewall die Verbindung auch noch zulässt funktioniert es
Für daheim eine Firewall wie Pfsense oder Opensense und das ist möglich.
Anleitungen dafür gibt es auch in den jeweiligen Wikis.
Es ging mir nicht um die Verbindung der lokalen Netze untereinander. Das kann natürlich jeder Router. Mir ging es um die Verbindung der (physikalisch getrennten) lokalen Netze mit dem Internet. Bei IPv4 wird dafür in der regeln NAT verwendet. Bei IPv6 gibt es nun mal kein NAT oder ähnliches. Du bist also auf das Wohlwollen deines Providers angewiesen und in meinem Fall bietet der halt nur ein /64-Netz (mein Backup-Provider hat bis heute kein IPv6).
Es ist bestimmt so - und letztlich auch wenn man mehr als surfen will - dass man immer etwas mit IPv4 basteln kann.
Aber wozu soll es sein? Was ist genau an IPv6 so furchtbar, dass man lieber endlos IPv4 bebasteln will, oder gar den ewigen Parallelbetrieb als Lösung sieht? Damit gehen ja auch Komplexitäten und Kosten einher.
Ich sehe hier überwiegend Ablehnung, aber an fast keinem Beitrag ist Fleisch dran. Wenn es da bswp. Privacy-Aspekte gibt, kann man die mal konkret benennen und diskutieren? Vielleicht sitzen ja hier irgendwo die Insider: Ist das Problem mit dem statischen Präfix - mit dem man dann identifizierbar ist - ein unabwendbares Problem? Oder könnten die Provider nicht auch dort immer neu auswürfeln? Gibt es Bestrebungen, sowas anzubieten? Natürlich hätte man dann halt wieder dynamische Adressen und die damit verbundenen Nachteile. Beides gleichzeitig geht halt nicht.
Oder ist es etwas anderes? Vielleicht können die Ablehner da mal ein paar Argumente gegen IPv6 nennen. Für IPv6 spricht wohl erstmal, dass man auf viel Bastelei in der Infrastruktur verzichten kann. Die Argumente mit dem erhöhten Datenaufkommen durch längere Adressen musste man wohl eher als Spaß lesen, oder?
ich sehe halt für mich 0 vorteile von ipv6. nat funktioniert für den heimbetrieb bei mir einwanfrei. wenn ich externe dienste anbieten möchte sind das 5mausklicks am router, oder ich miete mir einen externen server - fertig.
dem gegenüber stehen für "mich" diverse nachteil:
* lange ip-blöcke
* doppelgleisigkeit ipv4/ipv6 (lokale firewalls etc pp)
* höhere komplexität auf os-ebene (3 ipv6-adressen) - ipv6 selbst ist auch erstmal komplexer zu begreifen
* statische präfixe des providers (datenschutz)
* höhere anforderungen an router (zwingende firewall)
* nicht final ausgereifte router, apps, mögliche security-bugs etc. pp.
und wozu? es läuft doch alles.
Schlägst du dann eher vor, das gesamte Internet weiterhin mit IPv4 und immer extremeren Tricksereien zu betreiben, oder eher der Parallelbetrieb mit IPv4 nur lokal bei dir und damit zwei unterschiedlichen Protokollwelten auf den beiden Seiten, die in Software überall beide gepflegt sein müssen (bis rauf zur Eingabeprüfung in der IP-Adress-Maske)?
Sorry; zu den Einzelpunkten:
> * lange ip-blöcke
Ja, das stimmt in der Tat. Hier bei mir läuft seit einer Weile (ohne ausdrückliches Zutun) fast alles lokal auf IPv6, und ich merke auch, dass ich mir die Adressen nicht merken kann
> * doppelgleisigkeit ipv4/ipv6 (lokale firewalls etc pp)
Naja, überall auf IPv6 zu verzichten lässt wohl die Tricksereien immer komplizierter werden. Das kann diverse Folgen haben.
> * höhere komplexität auf os-ebene (3 ipv6-adressen) - ipv6 selbst ist auch erstmal komplexer zu begreifen
Naja, vom Adressbereich abgesehen ist das Wesentliche eh schon auf IPv4 zurückportiert worden und im Einsatz, oder?
> * statische präfixe des providers (datenschutz)
Ja, das ist blöd. Können die das denn nicht auch anders?
> * höhere anforderungen an router (zwingende firewall)
Naja, eine Abwesenheit einer Verbindung ist immer auch erstmal eine Firewall. Man könnte die Consumer-Router ja wieder so aufbauen wie heute, oder? Dann gäbe es das externe Netz und das Interne; und eine Vermittlung dazwischen. Ich sehe nur, dass die Vermittlung einfacher wird?!
> * nicht final ausgereifte router, apps, mögliche security-bugs etc. pp.
Naja, klar, muss man durch. Die erste Postkutsche hatte sicher auch ihre Tücken. Die IPv6-Implementierungen von heute sind ja auch nicht so ganz neu, und sicherheitsrelevante Implementierungen aus den ganz alten Tagen fallen ja auch nicht immer durch Integrität auf
das Wort "final" erinnert mich immer an den "finalen Schuss" als letzte Lösung bei einer Geiselnahme
IPv6 gibt es bereits einige Jahre; dass die Geräte nicht ausgereift sind, zeigt, wie gering das Interesse der Hersteller war/ist, umzustellen. Zeit genug für intensivste, auch Langzeit-Tests war ja wohl da...
> * lange ip-blöcke
Also gerade mit IPv6 merke ich mir die lokalen Addressen viel einfacher.
Bei den Weltweit gültigen wird dann halt einfach DNS genommen ;)
Stichwort: Link-Local-Unicast (oder Unique-Local-Unicast für mehr Anforderungen)
Dass die Geräte noch eine weitere , weltweit gültige, IPv6 haben interessiert mich nur initial beim beim konfigurieren der Firewall und für die MAC Reservierung mit DHCPv6 (mag die IPv6 Autokonfiguration irgendie nicht ...).
z.B.:
* Firewall: fe80::1:1
* PC: fe80::1:10
* Drucker: fe80::1:200
* IoT Gerät: fe80::2:50
* ...
Im Vergleich zu Früher:
IPv4: 10.0.1.1
IPv6: fe80::1.1
Das ist doch merkbar oder?
>> Die Argumente mit dem erhöhten Datenaufkommen durch längere Adressen musste man wohl eher als Spaß lesen, oder?
im lokalen lan bei schwacher hardware kann das ein unterschied darstellen weil auf einem 32bit-system mehr schritte zur verarbeitung notwendig sind.
ist genauso wie die behauptung das x64 grundsätzlich schneller ist als x32:
das mag in vielen fällen korrekt sein, ich gehe aber gerne eine wette ein das "cat /etc/fstab" auf einem 32bit system weniger arbeitsspeicher-ressourcen benötigt als auf einem x64 system - zumal x64 systeme die corelibs auch noch aus compatibilitätsgründen als x32-compilierte fassungen vorhalten, und somit doppelt im speicher vorliegen.
Mag alles sein, aber sind das wirklich schlagende Kriterien? Wie schwach muss die Hardware wirklich sein, damit es eine praktische Auswirkung hat? Lohnt sich dafür NAT-Gefummel und/oder längerer Parallelbetrieb?
wo gibts bei NAT etwas zu fummeln wenn ich wie 98% aller haushalte primär eine webbrowser und emailclient verwende und meine gewünschten serverdienste extern anmiete?
und warum soll ich mir dann auch nur für einen einzelnen ping 128-adressen oder das manuelle pflegen von host-dateien antun? oder soll ich jetzt einen manuellen dns-service betreiben das ich die lokalen maschienen sinnvoll ansprechen kann? und nochmal wozu - wenn ipv4 die nächsten 10-20 jahre einwandrei funktionieren wird?
> ist genauso wie die behauptung das x64 grundsätzlich schneller ist als x32:
jepp, aber Ausnahmebedingungen findet man nahezu in jedem Bereich: (auch ein LadaNiva legt 1KM schneller zurück als ein Koenigsegg, abhängig vom Gelände)
Im allgemeinen jedoch dürfte IPv6 für eine schnellere Kommunkation sorgen. Z.B. ist die Headerlänge bei IPv6 fest, die Routing, weniger Speicherverbrauch u.a. wg. NAT, schnelleres Routing, keine Prüfsummenberechnung mehr)
IMHO liegt das Problem wie so oft in den Köpfen
"ihh was neues"....
korrekt das bedeutet
- neu lernen
- neu konfigurieren
- neue Probleme
Aber auf IPv4 verbleiben bedeutet
- auf dauer langsamer
- alte Probleme und Workarounds
- mehr (Sonder-)Regeln und -lösungen lernen
- stockende Weiterentwicklung
- aufwendigere Neukonfiguratoinen
- teurer (der Preis für ipv4 adressen würde steigen)
- verzicht auf integrierte Sicherheit
Ein paar Punkte kann ich sicherlich nachvollziehen, aber der Gesamtaussage kann ich nur widersprechen. Einerseits ist der Artikel stark polarisierend und in Bild Manier geschrieben (paar Schlagwörter werfen, das Wort Hacker reinbringen und Zack Bild Artikel), andererseits sind manche Punkte einfach per se diskussionswürdig.
"Sie möchten einige Dienste aus Ihrem Heimnetzwerk öffentlich verfügbar machen? Dann können Sie mit NAT herumspielen, einige Proxies hacken und viel Zeit und Energie damit verschwenden. Mit IPv6 können Sie jedem Gerät in Ihrem Netzwerk eine öffentliche IPv6-Adresse zuweisen und über Ihren Router oder Ihre Firewall genau entscheiden, was Sie davon öffentlich verfügbar machen. "
Hab ich mit IPv4 gemacht, ging furchtbar schnell und seit Jahren dank DynDNS stabil - wo war da jetzt die Zeit- und Energieverschwendung? oO
Im ISP und generell öffentlichen Netzbereich kann ich der Umstellung auf IPv6 nur zustimmen (und schon gar nicht entgehen), aber im Heimnetz sicherlich nicht.
Dahingehend auch völlig unpassend ist der Vergleich mit dem Geld bzw. der Macht für genügend IPv4 Adressen. Mal sehen wann mir die große Firma in mein Heimnetz (von dem er im Satz danach spricht) so reinpfuscht das mir plötzlich alle IPv4 Adressen ausgehen.
Solange mir die Telekom (jaaa, die böse Telekom, danke für das FTTH
) noch IPv4 zur Verfügung stellt und mich nicht in meinem eigenen Heimnetzwerk entmachtet sehe ich keinen Grund, alle Geräte im Heimnetz zwangsweise auf IPv6 umzustellen... (richtig lustig wird es erst dann, wenn ein Gerät das vlt. nicht kann...)
Ich weiß daher immer noch nicht, ob dieser Artikel in dieser Art und Weise ernst gemeint ist, gerade der letzte Satz ist die reinste Lachnummer: "Und nun hören Sie bitte auf, den Kopf zu schütteln, und nutzen Sie IPv6 - das ist wichtig. Für Sie, für uns, für jeden." - Ja, ist wichtig für jeden! Definitiv!
Wenn es doch Ironie gewesen sein sollte (Stichwort Sicherheit, jedes Gerät im Netz etc.) dann doch bitte die korrekte Ironie Tags verwenden...
Dieser Beitrag wurde 2 mal editiert. Zuletzt am 29. Jun 2018 um 09:44.Mal eine Frage: Was bringt mir IPv6 wenn viele Firmen und Geräte es immer noch nicht unterstützen? So wird das mit IPv6 leider nichts, da kann man noch so viele Artikel über IPv6 schreiben: Solange es Firmen und Geräte gibt die es nicht können oder wollen haben wir in 20 Jahren immer noch IPv4!
Was ist das für ein Ammenmärchen, dass viele Firmen und Geräte kein ipV6 unterstützen? Die Zeit bleibt nicht stehen, ein Großteil des Internets ist mit IPv6 erreichbar. Pro-Linux ist mit IPv6 erreichbar, und ich sehe in den Logs auch eine allmähliche Zunahme der IPv6-Adressen.
Ich rede von SmartTV, Spielekonsolen, Cisco-Router und -Switches, ... ich könnte endlos so weitermachen.
Softwareseitg sieht's noch schlimmer aus.
Auch Providerseitig ist es teilweise schlimm.
Ich sage nur mal Dual-Stack Lite (bei den Kabelanbietern üblich).
Da hat man dann die Situation das man alles, was über Surfen und Downloaden hinausgeht, weder in IPv4 noch in IPv6 richtig machen kann.
Ich bin mit VDSL bei Congstar im Telekom Netz. Ist in 2018 noch IPv4 only (das Netz sicher nicht, aber die Kunden bekommen nur IPv4-Adressen). Es gibt auch beim Provider selbst noch keine Infos, wann sich das ändern wird. Also vermutlich noch einige Jahre nicht.
Ich bin aber trotzdem froh darüber, für mich war das sogar ein Kriterium, zu Congstar zu gehen. Weil zumindest über IPv4 in Verbindung mit einem DynDNS-Dienst (Mein Tipp: spdyn.de) alles funktioniert, also Portweiterleitungen, VPN mit IPSec etc. Im Gegensatz zu DualStackLite-Anbietern (s.o.)
Bin zwar bei einem regionalen Anbieter der nicht bundesweit verfügbar ist, aber selbst die setzen auf DS-Lite. Immerhin darf man ohne wenn und aber auf echtes DS wechseln, man muss nur nett fragen. Aber dann fingen die Probleme an dass viele meiner Geräte noch nie was von IPv6 gesehen haben (= Sie können kein IPv6 weil die Hersteller entweder zu faul oder zu blöd sind) und viele Softwareprogramme die mit IPv6 restlos überfordert sind, teilweise stürzt mit IPv6 das Netzwerk ab und an mal zusammen... die Lösung war IPv6 auf den Clients zu deaktivieren und IPv6 im Router unangefasst anzulassen und zu ignorieren.
Solange sich an der oben beschrieben Situation nichts ändert werden wir in nie IPv4 friedlich sterben lassen können!
In meinen Augen ist IPv6 fail-by-design und wurde viel zu schnell, aufgrund des IPv4 Mangels, aufgezwungen und heute teilweise schon ein "musthave", da es schon Server gibt, die nur noch via IPv6 ansprechbar sind. Jetzt macht quasi keiner mehr was am Protokoll selbst, aber es ist immer noch an einigen stellen roh.
Habe seit ca 2013 IPv6 auf meinen beiden privaten Internetleitungen aktiv.
Geht schon los, mit den Problemen, wenn man eine stateful Firewall will, dass z.B. Facebook (gibt Frauen, die nutzen das) willkürlich mit einer anderen IPv6 antwortet, als bei den vorherigen Paketen. Daher funktioniert related,establesh halt überhaupt nicht. Das ist der Preis, wenn man einzelnen Servern ganze Netze gibt ...
Das und fehlende Features, wie z.B. NAT, die alles viel einfacher machen würden, machen IPv6 unattraktiv. War z.B. auch so vor ein paar Jahren noch das radv Probleme hatte mit dynamischen IPs. Man musste jedes Mal in die Config das neue IPv6 Netz, wenn es dynamisch war, eintragen.
War auch ein Grund, wieso Fritzbox und Router auf Basis von OpenWRT usw. lange kein IPv6 machten. Da hatte ich damals ein Script gebastelt, welches die Welt nutzte. Heute kann man das Feld leer lassen und er fragt die Daten vom Interface direkt ab, ohne das Script.
Meine Versuche IPv6, so sicher wie IPv4 zu gestalten, scheiterten schon an solchen simplen Geschichten.
Beruflich habe ich auch noch gerne mit anderen Firmen den Kontakt, wo IPv6 selbige problematiken aufzeigt. Da wurde sogar Mal ein "Experte" eingeflogen, der da in Europa zu den Firmen kommt und die bzgl. IPv6 berät. Will hier jetzt keine Namen nennen, vermutlich wissen einige, wen ich mein ... ist auch egal ... auf jeden Fall wurden da mehrere Problematiken bestätigt.
Dazu kommt, wenn man einen handelsüblichen Router hat, dass jeder IPv6 Bereich tatsächlich in der "normal" Config häufig automatisch direkt im Internet ist. Selten machen das die handelsüblichen vernünftig/richtig und forwarden IPv6 nicht ohne weiteres rein.
Das mag vielleicht einige erstmal nicht stören, aber das ist Wahnsinn. Die Netze sind zwar groß, aber ich habe schon verschiedene Portscans auf meine IPv6 Bereiche wahrgenommen. Daher ist das also überhaupt nicht unwahrscheinlich, dass da auch zukünftig wieder Angriffe auf Systeme direkt laufen.
Außerdem macht man sein Netz durch Kommunikationen mit Außen so wieso bekannt. Gezielte Angriffe auf Besucher einer Webseite sind da vermutlich noch sinnvoller/wahrscheinlicher als Portscans und vor allem ergiebiger. Gerade so Geschichten wie Probleme im ICMPv6 waren ja in der Vergangenheit nicht gerade Vertrauens erweckend. So etwas direkt im Netz? "Dumm ist der, der Dummes tut"
Zu meiner Person:
Ich arbeite seit über 15 Jahren als Linux Netzwerk- und Systemadministrator für große Unternehmen. Mit Politik usw. habe ich nichts zu tun, aber mit teuren Rechenzentren und deren Systemen, so wie freilich auch mit dem zugehörigen Netzwerk.
Seit ca. 1998 habe ich Linux als Server und Desktop System im Einsatz. Das ging damals mit Red Hat los, wo ich nach der "Hausverkabelung mit RJ45" noch einen vernünftigen "Proxy/Router" gebraucht hatte und der Markt noch keine vernünftigen und bezahlbaren Geräte bot. Da kam quasi das große Interesse am Pinguin. Sehr viel später bin ich bei Debian hängen geblieben, weil Fedora auf dem Desktop zu viel gegen meine Nase macht. Dürfte so 2008 rum gewesen sein. Viele anderen Linux Distributionen habe ich schon verwendet oder gesehen. Eine Zeit Lang war ich auch mit BSD zumindest auf dem Server unterwegs. Auf meinem Smartphone betreibe ich ein LFS
Windows ist bei mir in der KVM zum zocken ...
Zuhause habe ich zwei Internet Leitungen, eine davon mit festen IPs. Beide Leitungen nutzen IPv6. Mein Router ist ein Debian, wo viel per Hand gebastelt und auf fertige Lösungen bewusst verzichtet wurde ...
Mit der Entwicklung des IPv6-Protokolls wurde bereits kurz nach der Kommerzialisierung des Internets begonnen. Bereits 1995 gab es ein öffentliches Testnetz in Form des 6Bones.
Fällt den Leuten nun über 20 Jahre auf, dass sie IPv6 nicht mögen und auch nicht wollen, ist das einwenig spät. Man hätte am Design des Protokolls Ende der 1990er oder Anfang der 2000er Jahre noch etwas optimieren können. Doch jetzt, über 20 Jahre später ist dieser Zug definitiv abgefahren.
Jegliche Kritiker haben 20 Jahre gepennt und jetzt tut es ihnen weh, dass der Nachfolgestandard zum Teil eingeführt ist.
DDoS over IPv6 wird nicht erwähnt. Ist einer der Punkte gegen IPv6 (mMn)
Das ganze Embeddedzeugs kann teilweise kein IPv6. Das wirft keiner ohne Not einfach weg, bzw die Gerätschaften die dranhängen.
Ich brauche vieles aber zuallerletzt IPv6, das macht nur Arbeit und Ärger, beides brauche ich nicht.
Technisch kann ein Router auch eine Client-IPv4 auf eine IPv6-Adresse NATten. Wenns wirklich nötig ist, dann wird jede Fritzbox nach diesem Prinzip einen IPv6-Kompatibilitätsmodus bieten.
> IPv6 enthält technisch gesehen nichts, was IPv4 nicht auch könnte.
Uff, das ist höchtens aus naiver Anwendersicht richtig, wenn man sich nicht zu sehr in die Details kniet.
NAT mag eine Lösung sein, damit nicht jeder Client, der Daten aus dem Netz abruft, eine öffentliche IP-Adresse braucht. Doch in Zeiten, in denen nicht nur Power-User den Anspruch haben, von unterwegs auf Smarthome-Geräte zuzugreifen und einen gemeinsamen Speicher für alle Geräte parat zu haben, wird das Problem der Adressknappheit damit umgangen, dass jegliche Geräte client-seitig permanent mit den Servern eines Anbieters verbunden sind und jegliche Informationen von Diesen verwertet werden können.
In einer absoluten Luftikus-Mentalität denken sich die Wenigsten etwas dabei oder sind schon glücklich, wenn die Übertragung SSL-verschlüsselt geschieht (ohne dass den Leuten bewusst ist, dass der Anbieter die Daten trotzdem hat).
Wir brauchen nicht nur eine offensive Einführung von IPv6, sondern auch eine aktive Förderung von Lösungen, über die Nutzer von unterwegs direkt "nach Hause telefonieren" können, ohne dass Anbieter dazwischen stecken.