Meine Meinung zu IPv6 mit Dual Stack Lite

[derjanni]

Allen Unkenrufen zum Trotz behaupte ich nämlich nach wie vor, daß die große Mehrheit der Kunden genau gar nichts davon merkt, ob sie Dual Stack, IPv4-only oder DS-lite haben. Meine Schwiegermutter z.B. könntest Du auf IPX umstellen und sie würde nichts merken, weil sie 3play nur deshalb hat, weil es nicht mehr kostet als Telefon+TV alleine.

Da stimme ich Dir auch voll zu. Grundsätzlich habe ich auch kein Problem damit, dass man Kunden auf DS-Lite migriert und dadurch v4 Adressen einspart. Nur kann man den Leute, die wissen was eine v4 Adresse ist und diese brauchen, zumindest das Angebot für echten Dual Stack machen. Die Adressen kann man aus dem Pool derer nehmen, die man migriert hat. Man sollte das mit den Kunden absprechen...

Mit DS-lite haben primär diejenigen Kunden Probleme, die bisher Port-Weiterleitungen brauchten. Freigaben sind aber über IPv6 (eigentlich) viel einfacher als vorher, weil ich nämlich beliebig viele Geräte auf beliebigen Ports erreichbar machen kann, statt nur eines, um dann von dort die Ports kreuz und quer weiterleiten zu müssen. Natürlich gibt es dabei die nicht unwesentliche Einschränkung, daß das freigegebene Gerät bzw. der darauf laufende Dienst auch IPv6 können und der zugreifende Rechner auch IPv6 haben muß, aber an dem generellen Vorteil ändert das ja nun nichts.

Wie gesagt "eigentlich". Niemand wird einfach so der Kaffemaschine erlauben auf TCP Ports für Anfragen aus dem öffentlichen Netz zu horchen. Das NAT-Problem mit Portfreigaben wird weiterhin bestehen. Es werden nur nicht Ports von v4 auf v4 Adresse weitergeleitet, sondern Ports für öffentliche v6 Adressen freigegeben. Ich lasse doch durch meinen Router nicht einfach TCP Port 22er Pakete an meine Unix-Systeme von außen durch routen. Zumal ich bei IPv6 definitiv massiv Masquerading einsetzen werde, um das dahinter liegende Netz und die Anzahl der Hosts zu verschleiern. Ansonsten kann ja jeder Kindergartenjunge OS-Fingerprinting auf alle meine Geräte machen... Das wird mein OpenWRT Router zu verhindern wissen.

Bzgl. Vorteile von IPv6:
Per se gar keine.
Ich wüßte auch nicht, wo das behauptet wird.

Im nationalen IPv6 Plan, der auch vom BMI mitgetragen wird:
http://www.ipv6council.de/fileadmin/sum ... nsplan.pdf
Ich habe aber auch irgendwo den Pressesprecher von UM auch schon sagen hören.

Es gibt kein Problem mit IPv6, nur ohne.

Da stimme Ich Dir ja auch voll zu. Bisher ist es jedoch so, dass lt. Google ~1,5% des Traffics in Deutschland über IPv6 laufen. Ich persönlich denke nicht, dass die Access-Provider als erstes hätten migriert werden müssen. Soviel wir aber auch diskutieren, der Zug ist ja nun abgefahren. Besonders bescheiden finde ich, dass ich kein einziges Ministerium oder Bundesamt gefunden habe, dessen Website über IPv6 erreichbar wäre. Nicht einmal die des BSI oder BMI. Letzteres ist ja für den nationalen IPv6 Plan zuständig.

Dynamischen Prefixes ist es zu verdanken, daß man sich auch weiterhin um DynDNS-Dienste Gedanken machen muß, vor allem um deren Updates für alle erreichbar zu haltenden LAN-Clients. Eigentlich war es ja Sinn der Sache, daß die IPs endlich statisch sind, damit hätte nämlich ein einmaliger Eintrag gereicht.

Genau solche Dinge meine ich aber mit den Märchen. Die IPv6 Theorie in den Büchern und die technische Umsetzung ist einwandfrei: es ist ein modernes, schnelles und absolut hochwertiges Netzwerkprotokoll und ich habe nie an dessen Sinnhaftigkeit oder Qualität gezweifelt. Keine Frage, IPv6 kommt und ist im Anmarsch. Ich freue mich darauf. Was jedoch nicht geht ist falsche und fehlerhafte Implementierung durch die ISPs. Genau das sehen wir zurzeit aber bei ein paar Kandidaten. Dynamische Präfixe sind so dermaßen unsinnig und gegen das Konzept von IPv6, dass eigentlich jeder sofort sein Diplom oder Abschluss-Zertifikat entzogen bekommen müsste, der sowas macht. Das ist auch die Grundlage für meine Bedenken.

Ich möchte IPv6 haben, aber ich möchte es so haben wie es vorgesehen ist in der Spezifikation - ohne NAT, ohne dynamische Präfixe und auf allen Systemen im Internet.
Vielleicht sollte man IPv6 Pakete einfach schneller routen als IPv4 Pakete? Dann könnte man zumindest einen Geschwindigkeitsvorteil verkaufen... Mal so als dumme Idee in die Runde gefragt.

[SpaceRat]

Allen Unkenrufen zum Trotz behaupte ich nämlich nach wie vor, daß die große Mehrheit der Kunden genau gar nichts davon merkt, ob sie Dual Stack, IPv4-only oder DS-lite haben. Meine Schwiegermutter z.B. könntest Du auf IPX umstellen und sie würde nichts merken, weil sie 3play nur deshalb hat, weil es nicht mehr kostet als Telefon+TV alleine.

Da stimme ich Dir auch voll zu. Grundsätzlich habe ich auch kein Problem damit, dass man Kunden auf DS-Lite migriert und dadurch v4 Adressen einspart. Nur kann man den Leute, die wissen was eine v4 Adresse ist und diese brauchen, zumindest das Angebot für echten Dual Stack machen. Die Adressen kann man aus dem Pool derer nehmen, die man migriert hat. Man sollte das mit den Kunden absprechen...

Nun gibt es aber auch andere Aspekte, als nur die technischen.
Ein Großteil der Kunden dürfte leicht verstört reagieren, wenn man sie anriefe um mal nachzufragen, ob sie ihre IPv4 noch brauchen oder ob die weg kann ...

Außerdem bin ich inzwischen zu der Überzeugung gekommen, daß dies das Problem nur aufschiebt und mangels guten Willens eine gewisse Reibung in Kauf genommen werden muß:
Wer von denjenigen, die dem DS-lite "noch einmal entronnen" sind, kümmert sich wohl jetzt um IPv6? Vermutlich die wenigsten: Kumpel xy hat gesagt, Portfreigaben gehen mit IPv6 nicht, also irgendwie wieder IPv4 besorgt, "Problem gelöst". Wer sich hingegen zwischen DSL384 und Kabel 100 MBit/s entscheiden mußte und sich trotz DS-lite für Kabel entschieden hat, wird vielleicht doch mal eine eMail an die diversen Firmen schreiben, wieso deren Schrott kein IPv6 kann.
Das Problem ist durch anderes Verteilen der IPs auch nicht gelöst, nur vertagt. Wenn Unitymedia verstärkt bei Business-Kunden punkten kann, die ja jeweils bis zu 5 IPs verbraten, und weiterhin auch allgemein Zuwachs hat, kriegt man das Symptom Adressmangel nicht mehr mit freiwilligem Verzicht (Was wohl in Wirklichkeit mit Preisnachlässen seitens UM bewirkt werden müßte) der einen Kunden zugunsten der anderen Kunden hin.
Wir sprächen uns also nur in einem Jahr wieder. Ein Jahr, in dem vermutlich immer noch nichts passiert wäre, da ja niemand die Notwendigkeit gesehen hat, sich endlich um IPv6 zu kümmern.

Mit DS-lite haben primär diejenigen Kunden Probleme, die bisher Port-Weiterleitungen brauchten. Freigaben sind aber über IPv6 (eigentlich) viel einfacher als vorher, weil ich nämlich beliebig viele Geräte auf beliebigen Ports erreichbar machen kann, statt nur eines, um dann von dort die Ports kreuz und quer weiterleiten zu müssen. Natürlich gibt es dabei die nicht unwesentliche Einschränkung, daß das freigegebene Gerät bzw. der darauf laufende Dienst auch IPv6 können und der zugreifende Rechner auch IPv6 haben muß, aber an dem generellen Vorteil ändert das ja nun nichts.

Wie gesagt "eigentlich". Niemand wird einfach so der Kaffemaschine erlauben auf TCP Ports für Anfragen aus dem öffentlichen Netz zu horchen.

Nun, mußt Du ja nicht. Aber Du kannst. Im Gegensatz zu jetzt, wo das mit Verrenkungen verbunden ist, da eben jeder Port nur ein einziges Mal zur Verfügung steht. Du mußt also mindestens unterschiedliche Ports benutzen, wenn derselbe Dienst auf mehreren Rechnern erreicht werden soll und bei manchen Diensten ist ein vernünftiger Betrieb auf Nicht-Standard-Ports auch kaum möglich.

Das NAT-Problem mit Portfreigaben wird weiterhin bestehen.

Nein.

Es werden nur nicht Ports von v4 auf v4 Adresse weitergeleitet, sondern Ports für öffentliche v6 Adressen freigegeben.

Und eben das ist ein gewaltiger Unterschied. Wahlweise DROP, ALLOW oder REJECT auf einem Port ist ein Klacks, die Port-Weiterleitung so gesehen auch, aber das eigentliche NAT, also Antwortpakete von draußen der darauf wartenden Maschine intern zuzuordnen ist eine Qual für den Router.
Der Punkt ist der: Wenn Facebook unserem Router derzeit ein Paket schickt, dann muß dieser noch rausfinden, zu welcher von innen verursachten Anfrage dieses Paket denn nun gehört. Immerhin will ich nach dem Einloggen nicht die Startseite meiner Frau sehen und sie nicht meine ... in beiden Antwortpaketen steht aber nun einmal dieselbe Zieladresse ... die Deines Routers (Meines nicht, da ich über IPv6 auf Facebook gehe ).
Bei IPv6 steht in der Antwort für mich meine IPv6 und in der für meine Frau die ihres Rechners ... das kann der Router ohne "Nachdenken" durchleiten.

Ich lasse doch durch meinen Router nicht einfach TCP Port 22er Pakete an meine Unix-Systeme von außen durch routen.

Da zwingt Dich ja auch niemand zu.

Zumal ich bei IPv6 definitiv massiv Masquerading einsetzen werde, um das dahinter liegende Netz und die Anzahl der Hosts zu verschleiern. Ansonsten kann ja jeder Kindergartenjunge OS-Fingerprinting auf alle meine Geräte machen... Das wird mein OpenWRT Router zu verhindern wissen.

Da hat der Kindergartenjunge sich aber eine Menge vorgenommen.
18446744073709551616 Adressen in meinem Subnetz abklappern, nur um dann am Ende festzustellen, daß da 1,2,3,4,5 oder 6 Geräte drin laufen und welches OS darauf installiert ist ... da kann ich mir Zielführenderes vorstellen.
Kann der Kindergartenjunge auch einfacher haben:
2x Windows 7 Build 7601 Service Pack 1
1x Windows XP SP3
jeweils plus allen aktuellen Hotfixes und natürlich jeweils nur die benötigten Ports offen.
2x Linux, Kernel-Versionen suche ich jetzt nicht extra raus, wiederum nur die notwendigen Ports offen
2x Android, ...
Ich wünsche dem Kindergartenjungen viel Spaß, immerhin spricht er auf ca. 65530 Ports je Gerät mit der Firewall der Fritz!Box ...

Es gibt kein Problem mit IPv6, nur ohne.

Da stimme Ich Dir ja auch voll zu. Bisher ist es jedoch so, dass lt. Google ~1,5% des Traffics in Deutschland über IPv6 laufen.

Wobei ein Großteil davon banaler Web- oder eMail-Traffic sein dürfte. Der würde ohne weiteres Zutun sprunghaft ansteigen, wenn die Endpunkte einfach nur IPv6-tauglich wären.
Sowohl Firefox, als auch Internepp Exploder und Chrome bzw. das darunterliegende Windows (Linux i.d.R. genauso) bevorzugen in der Standardeinstellung die Kommunikation mit IPv6, wenn verfügbar.

Ich persönlich denke nicht, dass die Access-Provider als erstes hätten migriert werden müssen.

Ursprünglich war es eine Henne<>Ei-Diskussion:
Die Hard- & Softwareanbieter haben IPv6 vertagt, da es ja noch kaum Anschlüsse damit gab und die Provider haben es vertagt, weil es ja kaum Dienste/Hardware/Software dafür gab.
Viel weiter sind wir eigentlich gar nicht, außer daß inzwischen jeder das einführt, was er gerade muß.
Am Beispiel UM ist das eben DS-lite für die einen, während die anderen weiterhin IPv4-only statt DualStack kriegen ...

Besonders bescheiden finde ich, dass ich kein einziges Ministerium oder Bundesamt gefunden habe, dessen Website über IPv6 erreichbar wäre. Nicht einmal die des BSI oder BMI. Letzteres ist ja für den nationalen IPv6 Plan zuständig.

Meine Güte, die sind froh, wenn die zwischen Solitär und Minesweeper die Umrüstung auf Windows 7 gewuppt kriegen.

Dynamische Präfixe sind so dermaßen unsinnig und gegen das Konzept von IPv6, dass eigentlich jeder sofort sein Diplom oder Abschluss-Zertifikat entzogen bekommen müsste, der sowas macht. Das ist auch die Grundlage für meine Bedenken.

Naja, das wird wahrscheinlich ein vorrangig deutscher Sonderweg, wie Blurmany auch schon. Die Bundesrepublik Deutschland ist ein Überwachungsstaat geworden, von dessen Möglichkeiten der Hobbyverein Stasi nur träumen konnte. In einem solchen Überwachungsstaat müssen irgendwelche Ablenkmanöver her, also eben StreetView (Wo man eigentlich nur Straßenansichten sieht, wie jeder Passant auch), Facebook (Wo ich die freie Wahl habe, ob und was ich da poste, im Gegensatz z.B. zur Volkszählung, bei der ich Sachen angeben muß, die niemanden auch nur einen Dreck angehen) und die Pseudo-Privatsphäre durch dynamische IPs und Prefixes, während gleichzeitig jeder ohne Berechtigungsnachweis und gegen meine Interessen meine komplette Adresse aus dieser dynamischen IP beziehen kann.
Wenn ich Privatsphäre will, dann muß ich eh einen Tunnel nutzen, also kann meine normale IP bzw. mein Prefix auch technisch sauberer und stabiler statisch sein.

Vielleicht sollte man IPv6 Pakete einfach schneller routen als IPv4 Pakete? Dann könnte man zumindest einen Geschwindigkeitsvorteil verkaufen... Mal so als dumme Idee in die Runde gefragt.

Ist ja schon so: Bestell Dir einen SixXS-Tunnel über Netcologne und Du bist Aorta teilweise los, nämlich für allen IPv6-Traffic

Tunnel Information for T48xxx
The configuration for this tunnel looks like:

Tunnel Name Home Network
PoP Name decgn01
PoP Location Cologne, Germany Germany
PoP IPv4 78.35.24.124
TIC Server tic.sixxs.net (default in AICCU)
Your Location Germany
Your IPv4 Heartbeat, currently 109.91.x.y
...
Created 2010-12-08 10:32:41 UTC
Last Alive 2013-07-24 10:00:24 UTC
Last Dead 2010-12-08 09:32:41 UTC
Uptime 959 days (based on latency check)

[pascallehall]

Was der TE teilweise von sich gibt klingt nach extremen Halbwissen und hat den Charakter den Kunden hier die Stimmung zu versauen.

Punkt 1. Ja jedes Gerät hat wirklich, wenn es dazu fähig ist eine eigene IPv6 Adresse und in der Fritbox 6320 wie man sie derzeit als Neukunde erhält lassen sich zu diesen spielend leicht IPv6 Port forwardings zu genau diesen Geräten machen, bzw direkt das ganze Gerät durchschalten. Ich habs gerade eben extra getestet, Galaxy S3 LTE, iPhone 5, und mein Rechner selbst, alle hatten eine eigene IPv6 Adresse, welche auch im Internet also z.B. von meinem Rootserver mittels IPv6 erreichbar ist (z.b. Ping).

Ja ich nutze IP Symcon, eine Moderne Haussteuerung (SmartHome... so wurde es ja genannt..) und ich habe mittels eines einfachen Site-to-Site VPN Tunnels zu meinem Rootserver die Lösung geschaffen Ports auf Geräte in meinem Heimnetz an eine der öffentlichen IP's weiterzuleiten. Ich gebe zu ich bin kein Netzwerkprofi, aber 1-2 Tage Google und es war am laufen.

Warum immer alle denken sie könnten mit IPv6 DS-Lite Ports auf IPv4 freigeben verstehe ich nicht, das sind wohl genau die Leute, die ihre verwirrenden Meinung in Foren reinhauen... Natürlich geht das nicht, da die IPv4 Adresse eine mit anderen geteilten Adresse ist. Stell es dir vor wie ein Proxy, alle haben nach außen hin dieselbe IP.. Einen Weg IPv4 zurück auf dem IPv46DS-Lite gibt es in dem Sinne also nicht.

Ich habe mir nicht den kompletten Text durchgelesen, aber holt euch die Infos nicht über solche Forenbeiträge.

Klar das ganze ist nicht unbedingt Fair vom Kabelbetreiber und wird natürlich noch viele traurige Kunden mit sich ziehen, welche eben keine Lust haben sich einen Site-to-Site einzurichten bzw die Fähigkeiten dazu überhaupt haben.

Aber dank der IPv-6 Only Erreichbarkeit von außen fühle ich mich schon dezent sicherer, da ich keine Ports offen habe und auch UPNP aus ist =).. Also warum sollte dies auch schon wieder unsicher sein, wenn man mit Portforwarding und IPtables umzugehen weiß?.. Standardmäßig würde auch niemals irgendein Paket von Außerhalb dein IPv6 Engerät hinter der Fritzbox sehen, da es nicht vorgesehen ist, und erst mit 2-4 Mausklicks aktiviert werden muss. Noch Fragen?....

[SpaceRat]

Noch Fragen?....

Ja: Wozu dieser Post nach der Devise "Es wurde schon alles gesagt .. nur noch nicht von jedem"?

[derjanni]

Punkt 1. Ja jedes Gerät hat wirklich, wenn es dazu fähig ist eine eigene IPv6 Adresse und in der Fritbox 6320 wie man sie derzeit als Neukunde erhält lassen sich zu diesen spielend leicht IPv6 Port forwardings zu genau diesen Geräten machen, bzw direkt das ganze Gerät durchschalten. Ich habs gerade eben extra getestet, Galaxy S3 LTE, iPhone 5, und mein Rechner selbst, alle hatten eine eigene IPv6 Adresse, welche auch im Internet also z.B. von meinem Rootserver mittels IPv6 erreichbar ist (z.b. Ping).

Solange bis Du einen neuen Präfix bekommst Dann kannste den Schmarn nochmal von Vorne machen. Wie willst Du denn die Geräte über WAN erreichen, wenn sich er Präfix ständig ändert? Soweit mir bekannt ist, gibt es weder bei DTAG noch bei UM feste Präfixe, oder nicht?

Ja ich nutze IP Symcon, eine Moderne Haussteuerung (SmartHome... so wurde es ja genannt..) und ich habe mittels eines einfachen Site-to-Site VPN Tunnels zu meinem Rootserver die Lösung geschaffen Ports auf Geräte in meinem Heimnetz an eine der öffentlichen IP's weiterzuleiten. Ich gebe zu ich bin kein Netzwerkprofi, aber 1-2 Tage Google und es war am laufen.

Oh ja, das ist natürlich für den Durchschnittsnutzer die ideale Lösung: einfach schnell für 5€/Monat einen vServer mieten, Linux installieren, VPN konfigurieren und dann noch ein bisschen iptables konfigurieren und fertig ist der Spaß. Das meinst Du doch nicht Ernst, oder?

Warum immer alle denken sie könnten mit IPv6 DS-Lite Ports auf IPv4 freigeben verstehe ich nicht, das sind wohl genau die Leute, die ihre verwirrenden Meinung in Foren reinhauen... Natürlich geht das nicht, da die IPv4 Adresse eine mit anderen geteilten Adresse ist. Stell es dir vor wie ein Proxy, alle haben nach außen hin dieselbe IP.. Einen Weg IPv4 zurück auf dem IPv46DS-Lite gibt es in dem Sinne also nicht.

Oh, das hört sich aber nach "gefährlichem Halbwissen an" (Zitat ende) Wer hat das denn behauptet? Lässt sich ja hier schlecht belegen, wenn Du kein Interesse verspürst den Originalbeitrag zu zitieren (Siehe "Zitat"-Button und "Quote"-Button im Editor).

Ich habe mir nicht den kompletten Text durchgelesen, aber holt euch die Infos nicht über solche Forenbeiträge.

Standardmäßig würde auch niemals irgendein Paket von Außerhalb dein IPv6 Engerät hinter der Fritzbox sehen, da es nicht vorgesehen ist, und erst mit 2-4 Mausklicks aktiviert werden muss. Noch Fragen?....

Na zum Glück nur 2-4 Wie kann man eingangs erstmal rüpelhaft die Vermutung von "Gefährlichem Halbwissen" äußern und dann mit so einem Satzbau daher kommen?

Ich geb's auf... Was soll man dazu noch sagen?!