RSS Feed  •  Profil  •  Private Nachrichten  •  Registrieren  •  Login 
  
 
im Forum




Blog-Übersicht -> Über IPv6, Tunnelbroker und Goodies für Nerds... RPi im RZ: Zwischenbericht #3 :: Catch The Bim: Weltrekordversuch mit der Wiener Straßenbahn
Über IPv6, Tunnelbroker und Goodies für Nerds...
Verfasst am: 17.04.2015, 18:54   Autor: killerbees19
Dieser Beitrag soll in keinster Weiße einen tiefen Einblick in die ganze Thematik geben. Er dient nur zum Niederschreiben einiger persönlicher Gedanken! Wink

RFC 2460, besser bekannt als IPv6, ist eigentlich schon erwachsen. Trotzdem steckt es vielerorts noch immer in den Kinderschuhen. An vielen Stellen fehlt das entsprechende Know-How, wodurch trotz Verfügbarkeit alles schnell zum Krampf werden kann. Ich will mich da selbst nicht einmal ausnehmen. Obwohl ich mich seit Jahren mit IPv6 beschäftige und mindestens genauso lange öffentliche Serverdienste darüber anbiete, ist mein Wissensstand bedauerlicherweise nicht auf dem Niveau, das ich selbst gerne vorzuweisen hätte. Diese Tatsache wird natürlich auch durch das übliche Problem gefördert, dass der praktische Nutzen oftmals noch immer nicht gegeben ist und vieles Theorie bleibt. Das typische Henne-Ei Problem ist beim Thema IPv6 allgegenwärtig und es sieht leider noch immer nicht danach aus, dass es in naher Zukunft vollständig verschwinden wird.

Fakt ist, das Vorgängerprotokoll IPv4 ist am Ende seiner Lebenszeit angekommen. Nicht unbedingt, weil es hoffnungslos veraltet ist (es funktioniert immer noch einwandfrei), aber die Knappheit oder besser gesagt die Nicht-Verfügbarkeit von freien Adressen ist an einem Punkt angekommen, wo es nicht mehr lustig ist. Man könnte das durch diverse Einsparungen (NAT, CGN, Rückgabe extrem großer und ungenutzter Subnetze, ...) sicherlich noch weiter hinauszögern, aber jeder neue Versuch verlängert nur die Liste der fast lächerlichen Notfallmaßnahmen. IPv6 bringt einige Vorteile mit sich, die man endlich nutzen sollte.

IPv6 erfordert teilweise ein Umdenken, auch in Bezug auf die Sicherheit. Es bedeutet zur Zeit auch einen nicht unerheblichen Doppel- oder sogar Dreifachaufwand durch den Dual-Stack Betrieb. Fehlende Anonymität, an der selbst die Privacy Extensions nicht viel helfen können, und geschürte Ängste durch den standardmäßigen Wegfall von NAT bekommt man immer wieder zu hören. Richtig umgesetzt sollte aber beides kein größeres Problem darstellen, als es nicht schon zu IPv4-Zeiten der Fall war. Für ersteres gibt es immer noch Möglichkeiten der Prefix-Verwürfelung und für letzteres bleiben Firewalls weiterhin die erste Wahl. NAT wurde zwar oft als Sicherheitsfeature angesehen, zu dem es indirekt auch wurde, aber genau genommen ist es eher eine unliebsame Krücke, die eine Firewall trotzdem nicht ersetzen konnte. Den Pseudo-Sicherheitsgewinn eines NAT kann man jedenfalls sehr leicht nachbauen, indem man eine Stateful Packet Inspection einsetzt und in Richtung Client nichts unangefordertes durchlässt.

Wie auch immer, es nützt alles nichts: IPv6 wird kommen! Und IPv4 steht schon jetzt am Abstellgleis, um langsam aber sicher zu verrosten. Vielleicht nicht in fünf oder zehn Jahren. Aber irgendwann wird auch dafür der Netzschalter für immer umgelegt werden. Wer das nicht einsieht, wird irgendwann offline sein...

Mein persönlicher IPv6-Einstieg hat irgendwann 2010 begonnen. Durch die Verfügbarkeit von nativem IPv6 bei einem Hoster meiner Wahl, wollte ich mich der für mich recht neuen Thematik nicht verschließen. Doch was tun? IPv6 war (und ist teilweise immer noch) ein Fremdwort, wenn man es gegenüber den großen ISP's anspricht. Doch ohne Zugang zum weltweiten Netz der Zukunft, wird es schwer darüber Serverdienste zu testen und anzubieten. Meine Wahl fiel damals sehr schnell auf einen etablierten Tunnelbroker: SixXS - ein sehr ambitioniertes Projekt, das es bereits gab, als ich nicht einmal wusste, was QWERTZ genau ist! Very Happy

Am 09. August registrierte ich mir also einen Account auf der für mich unbekannten Website. Das ganze Credits-System (ISK) zwang einem sehr gut dazu, alle Eingaben mehrfach zu überdenken. Es verursacht zwar keine Kosten, aber man kann virtuell Pleite gehen, wodurch man vorerst einmal ein kleines Problem hat. Noch am selben Tag wurde auch mein erster Tunnel am Tunnelserver in Maribor genehmigt und ich konnte loslegen. Noch ganz klassisch mit ein paar kleinen Windows-Programmen, der Eingabeaufforderung und einer simplen Start/Stop Verknüpfung am Desktop. Den damals eingerichteten Tunnel verwende ich übrigens immer noch sporadisch, der bleibt ein historisches Überbleibsel, das ich gerne in Erinnerung behalte. Durch die relativ einzigartige Nutzungsmöglichkeit hinter NAT's (Dank AICCU), ist es in vielen Situationen noch immer die erste Wahl.

Etwas später, am 09. März des Folgejahres, entdeckte ich aus Bedarf heraus den Tunnelbroker-Service von Hurricane Electric. Nicht geeignet für eine NAT-Umgebung, aber dafür wollte ich es auch nicht nutzen. Der eigentliche Verwendungszweck bestand in der IPv6-Nachrüstung einer JiffyBox. Dort gab es zu damaliger Zeit nämlich noch keinen IPv6-Betabtrieb. Ein Tunnel schien also die erste Wahl zu sein und war kurze später auch schon für mehr als zwei Jahre dauerhaft in Betrieb. Auch diesen Service nutze ich sporadisch noch immer. Durch die zahlreichen frei auswählbaren Standorte ergeben sich interessante Nutzungsmöglichkeiten. Das ebenfalls kostenlose DNS Angebot rundet das Angebot ab, und sei es nur für die PTR-Records der genutzten IP-Adressen. Was Hurricane Electric sonst noch alles anbietet, darauf komme ich weiter unten nochmals zurück.

Mittlerweile nutze ich für den Internetzugang über IPv6 noch immer eine Tunnellösung, allerdings nicht lokal für jeden PC sondern zentral für das ganze Netzwerk, bereitgestellt über einen OpenWrt-Router. Wir schreiben zwar bereits das Jahr 2015, selbst der 1st-Level Support der großen Provider weiß mittlerweile was IPv6 ist, das Angebot dafür ist vielerorts aber leider noch immer spärlich oder gar nicht vorhanden. Anstatt nativer Verfügbarkeit heißt es also weiterhin brav Pakete in Pakete packen und durch die Leitung stopfen. Die technische Lösung hat sich zu mindestens bei mir leicht verändert. Seit 2013 packe ich meinen IPv6-Traffic schön verschlüsselt in ein VPN und wickle alles über einen KVM-Server von EDIS ab. Richtig, das sind die mit der RPi Colocation! Mr. Green So wurde ich 2012 auch erstmals auf diesen Provider aufmerksam, der mit RZ-Standorten in Wien und Graz für solche Latenzkritischen Dienste ideal ist. Dort habe mein eigenes /48-er Subnetz, das ich beliebig intern weiter routen kann, um reine IPv4-Verbindungen aufzuwerten. Mit diesem Setup fahre ich relativ gut und stabil, ich habe auch nicht vor das in absehbarer Zeit aufzugeben. Könnte ich auch gar nicht, da vor 2016 sowieso keine IPv6-Einführung bei A1 geplant ist... Rolling Eyes

Zurück zu den Amerikanern aus Fremont. Neben einem Tunnelbroker sowie DNS Service wird noch mehr angeboten. Es gibt diverse Tools (BGB, Netzwerktools, ...) sowie Online-Anfängerkurse für diverse Programmiersprachen und auch eine nette IPv6-Zertifizierung. Der Nutzen von letzterem mag umstritten sein, trotzdem ist es eine nette Spielerei, um den eigenen Wissensstand rund um IPv6 einschätzen zu können. Bei Falschantworten auf die diversen Fragen bekommt man den Fehler nicht direkt angezeigt, wodurch man gleich einmal 10-20 Einzelfragen neu beantworten darf. Man muss dort außerdem zeigen, dass man typische Anwendungsszenarien (IPv6 NS, AAAA-Records, Glue-Records, Web-/Mailserver mit IPv6, ...) problemlos abdecken kann, indem man dafür einen eigenen Domainnamen nutzt. Die volle Punktezahl von 1500 kann man außerdem nur erreichen, wenn man mehr als drei Monate lang täglich diverse dig/whois/ping6/traceroute6 Ausgaben zu IPv6-Zielen liefert. Natürlich ohne Wiederholung bereits genutzter IPv6-Adressen!

Der Nerdfaktor frei nach dem Motto "das muss man einfach gemacht haben" wird noch weiter unterstützt, indem es nach erfolgreicher Zertifizierung zum IPv6 Certified SAGE ein kostenloses T-Shirt gibt. Der Versand erfolgt nur alle paar Monate, dann darf man sich über ein nettes Päckchen aus Übersee freuen, wieder vollkommen kostenlos.



Ich hatte ja vermutet, dass dort drüben alles ein wenig größer ist, aber das war dann doch ein klein wenig zu groß, selbst für mich... Laughing



Nichtsdestotrotz ist es ein nettes Goodie, mit vielen wertvollen Informationen für die eigene Umgebung! Zwinker / Razz



Seit letztem Jahr betreibe ich außerdem ein reines IPv6-VLAN zu Hause (wie leer die Welt doch sein kann!) und plane bereits seit einiger Zeit ein reines IPv6-Forum für Interessierte sowie zum Rumtesten, wo IPv4-Nutzer leider draußen bleiben müssen. HAPPYTEC wurde erst vor kurzem auf IPv6 umgestellt, hier allerdings verständlicherweise im Dual-Stack Betrieb. Außerdem muss ich irgendwann noch etwas zum RFC 6555 bloggen, der zwar sehr zu begrüßen ist, einem das Leben aber unnötig schwer machen kann, wenn man nicht damit rechnet...

Das war mein bisheriges IPv6-Leben. (TBC) saufen
Und welche ist Deine persönliche Geschichte?



Autor Nachricht
Für diesen Beitrag können zur Zeit keine neuen Kommentare verfasst werden.

Kontaktiere den Autor des Beitrages, falls du Fragen dazu hast.


 

Alle Zeiten sind GMT + 2 Stunden (Sommerzeit)
Aktuelles Datum und Uhrzeit: 19.08.2018, 07:19
Nach oben
Valid HTML 4.01 Transitional
Valid CSS!

netcup - Internetdienstleistungen
 
 
[ happytec.at | forum.happytec.at | blog.happytec.at | esports.happytec.at | event.happytec.at ]