falscher-sperrstatus
Goto Top

Hand aufs Herz: Einsatz von IPv6

Guten Abend Mitleser und -Helfer,

da ich meine Netze gerade durchgehend am auf IPv6 umstellen bin stellt sich mir die Frage, wie weit verbreitet dies derzeit ist. Daher die konkreten Fragen, wer hat es im Einsatz:
a) als Teststellung bzw produktiv
b) in welcher (ca) Größenordnung

abschliessend zu denen, die es produktiv im Einsatz haben ggf. Tipps oder Anmerkungen zu Fallstricken bzw Punkten, die man im Hinterkopf behalten sollte.

Stichwort: Sämtliche Geräte, die ich in die Hand bekomme sind erstmal nur auf IPv4 vorkonfiguriert und müssen erstmal mehr oder weniger umständlich auf IPv6 vorbereitet werden.

Freue mich aufs muntere Brainstormen.

Christian
certified IT

Content-Key: 338451

Url: https://administrator.de/contentid/338451

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: LordGurke
LordGurke 21.05.2017 um 00:25:48 Uhr
Goto Top
Ich habe seit 2009 IPv6 in unserem Netz im Einsatz und seit etwa 2011 ist es vollständig produktiv - allerdings betreue ich auch nur das Netz im Rechenzentrum.
Da haben wir uns schlicht und ergreifend damals vorgenommen, dass alle Systeme welche wir seitdem installieren oder upgraden auch IPv6 bekommen. Das setzen wir allerdings nicht mit Gewalt um, sondern stellen wirklich nur die Systeme um, bei denen es problemlos möglich ist und wo eine signifikante Menge an Personen von außen zugreifen soll.
Bisher haben wir nur sehr, sehr wenig Software gehabt, die mit IPv6 nicht zuverlässig funktionierte. Auch generell haben wir mit IPv6 nicht mehr Routingprobleme als mit IPv4 auch.

Wir haben eine /32-Allocation vom RIPE, von der ca. ein /40-Präfix von uns genutzt wird.
Der Anteil von IPv6-Traffic an der Gesamtbandbreite liegt bei derzeit ca. 28%.

Fallstricke - wenn überhaupt - gibt es höchstens beim Netzdesign. Hier sollte man ausreichend große Präfixe bilden, um die Routingtabellen nicht unnötig aufzupusten. Wir haben damals teilweise /96- oder sogar /112-Präfixe gebildet, was sich nach kurzer Zeit als unhandlich erwiesen hat face-wink

Meiner Meinung nach ist es zum jetzigen Zeitpunkt auch nicht unbedingt sinnvoll, ein Netz wirklich auf IPv6 only umzustellen. Ein Parallelbetrieb von beidem ist momentan noch am sinnvollsten und wird es IMHO auch noch einige Jahre bleiben.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.05.2017 um 00:33:05 Uhr
Goto Top
Moin LordGurke,

Danke!

Ich übersprich mal den ersten Teil - womit ich Ihm nicht weniger Relevanz zusprechen will - aber gerade der Punkt "ausreichend große Präfixe interessiert mich - was empfiehlst du denn, wenn du sagst /96 bzw /112 waren unhandlich? Vielleicht kannst du dazu auch die Bemessungsgröße ein wenig umreissen.

VG
Mitglied: tikayevent
tikayevent 21.05.2017 um 00:39:38 Uhr
Goto Top
Privat hab ich mit IPv6 vor 15 Jahren angefangen, seit 9 Jahren ist mein privates Netz vollständig IPv6 tauglich, auch wenn es bis heute über nen 6in4-Tunnel läuft.

Uffe Arbeit hab ich vor 2 Jahren mit IPv6 angefangen, bin aber noch nicht fertig, da unser Core-Router es zwar beherrscht, aber die notwendige Lizenz etwa so teuer ist, wie ein neuer Core-Router, der IPv6 mitbringt. Zur Zeit ist nur die DMZ und der komplette VPN-Cluster per IPv6 erreichbar. Mit Ausnahme des Mailversand gab es keine großartigen Probleme. Sobald die Server per IPv6 angebrochen werden konnten und die entsprechenden Dienste für IPv6 konfiguriert waren, gab es nur einen kurzen Test und dann wurde die Adresse direkt per DNS veröffentlicht. Bemerkt hat niemand was.

Beim Mailversand war es etwas heikler, da die IPv6-Subnetze so groß sind, dass das übliche Blacklisting nicht mehr richtig funktioniert. Wichtig ist hier, dass man auf saubere Reverse-DNS-Einträge achtet, was man auch bei IPv4 tun sollte, aber Google ist manchmal etwas heikel. Google gibt aber auch entsprechende Hinweise, worauf man achten soll.

Wichtig: Erst planen, dann aktiv werden. Dadurch, dass die IP-Adressen öffentlich geroutet werden, kann man nicht mal eben so wie bei IPv4 mit privaten IPs "auffüllen". Es gibt zwar ULA, aber da NAT66 noch nicht so lange definiert ist, ist es noch kein gängiges Feature.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.05.2017 aktualisiert um 01:22:13 Uhr
Goto Top
Moin,

seit ca. 15 Jahren "spiele" ich mit v6. Seit 12Jahren im LAN produktiv und seit 8 Jahren auch im WAN. bis vor ca. 6 Monaten über Tunnelprovider wie sixxs, inzwischen nativ von der Telekom.

lks
Mitglied: LordGurke
LordGurke 21.05.2017 um 02:06:53 Uhr
Goto Top
Was die Präfixlänge angeht, ist der sinnvollste Weg bisher, immer /64-Präfixe zu bilden.
Allerdings sind bei uns die Voraussetzungen auch andere - wir müssen sogar /48-Präfixe planen, da wir längere Präfixe nicht per BGP an unsere Upstreams advertisen können und so der Routing-Failover zwischen unseren Standorten nicht wie gewollt funktionieren würde.

Wenn du das Problem nicht hast, würde ich dennoch (ausreichend großes Präfix vorausgesetzt) immer nur /64-Zonen bauen - für Transfernetze o.Ä. gilt das nicht unbedingt.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.05.2017 aktualisiert um 02:32:13 Uhr
Goto Top
Also ich habe mit /56 Präfixen eigentlich genug. Okay, dann hab ich den ersten Stolperstein - nach den damaligen Sixxs Versuchen (Gruß an LKS) - schonmal identifiziert.

Wie würdest du aufgrund deiner Erfahrung Transfernetze designen?
Mitglied: Dani
Dani 21.05.2017 um 17:57:20 Uhr
Goto Top
Moin,
Daher die konkreten Fragen, wer hat es im Einsatz:
a) Beides
b) Puh... ich meine mehrere /48

... ggf. Tipps oder Anmerkungen zu Fallstricken bzw Punkten, die man im Hinterkopf behalten sollte.
Jedes Gerät welches mit IPv6 umgehen kann, hat auch eine IP-Adresse. Aber meist liegt es an der Software, welche eben nur IPv4 nutzen kann... das macht einem mehr Sorgen.


Gruß,
Dani
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.05.2017 um 05:53:58 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Okay, dann hab ich den ersten Stolperstein - nach den damaligen Sixxs Versuchen (Gruß an LKS) - schonmal identifiziert.

Ja mit sixxs war es nicht immer ganz einfach, aber war eine Notlösung, solange es kein natives v6 vom Provider gab.

lks
Mitglied: departure69
departure69 22.05.2017 um 08:07:26 Uhr
Goto Top
@certifiedit.net:

Hallo.

Ganz ehrlich?

Ich weiß gerade so, daß es IPv6 gibt, also, daß es existiert.

Beruflich wie privat nehme ich alle Konfigurationen nach wie vor mit IPv4 vor, zumindest an den Stellen, wo ich bewußt etwas damit tue. Ob und inwieweit manche Geräte, Dienste, Protokolle, Software oder sonstiges bereits IPv6 nutzen, ohne daß ich es mitkriege oder etwas dafür tun müßte, kann ich nicht beurteilen, kann aber natürlich sein.

Ich meine, daß es mit der bewußt gelebten Verbreitung von IPv6 solange noch nicht so weit her sein kann, solange öffentliche IP-Adressen vom Provider immer noch mittels IPv4 vergeben werden (obwohl ich seit Jahren höre, daß diese allmählich am Ausgehen sind). Ist schon ein Indikator dafür, finde ich.

Und, nochmal ganz ehrlich:

Ich muß noch 20 Jahre arbeiten und hätte überhaupt nichts dagegen, wenn dieser Kelch bis dahin noch an mir vorüber ginge. Wunschdenken.


Viele Grüße

von

departure69
Mitglied: Herbrich19
Herbrich19 22.05.2017 um 10:02:18 Uhr
Goto Top
Hallo,

Ich habe ein Tunnel von Hurricane so dass ich Statische IPv6 Präfixe habe die ich auch Routen kann (/48) und so es läuft super wen ich MyFrfitz als DDNS Nutze und DDNS für Dynamische Updates der client ip.

Geplahnt ist eine Umstellung auf ein Cisco Router + Vigor VDSL Modem face-smile

Gruß an die IT-Welt,
J Herbrich
Mitglied: 117471
117471 22.05.2017 um 10:31:57 Uhr
Goto Top
Hallo,

Zitat von @falscher-sperrstatus:

da ich meine Netze gerade durchgehend am auf IPv6 umstellen bin stellt sich mir die Frage, wie weit verbreitet dies derzeit ist.

Bei uns reduziert sich der Einsatz auf das, was "standardmäßig mitinstalliert wird". Konfigurationen klemmen wir grundsätzlich an das IPv4.

Wir sind noch nicht mal in der Testphase was u.A. auch damit zusammenhängt, dass der Anbieter von unserer Teststandleitung auf dem Produkt kein IPv6 anbietet.

Ich bezweifle, dass es irgendwann flächendeckend IPv6 geben wird, da es seinerzeit bei der Schaffung des Standards nicht ausreichend bilaterale Abstimmungen gegeben hat bzw. nicht ausreichend auf Einwände eingegangen wurde.

Einen Standard aufs Reißbrett malen und den dann als Befehl in die Welt herauszubrüllen, reicht halt manchmal nicht aus... face-smile

Von den Datenschutz- und Sicherheitsbedenken mal ganz abgesehen.

Gruß,
Jörg
Mitglied: rzlbrnft
rzlbrnft 22.05.2017 aktualisiert um 13:45:33 Uhr
Goto Top
Da unser Netz eher dezentral ist, und kein Standort auch nur annähernd die Größe hat das sich ein Einsatz lohnt wird das auch in Zukunft für uns wenig relevant sein. Warum sollte man was ändern wenn doch alles problemlos auf IPv4 funktioniert?

Ich seh da in einem Netzwerk mit privaten nicht ins Internet gerouteten Adressen wenig Sinn dahinter.
Ist für mich eher noch eine zusätzliche Fehlerquelle.

Wir haben daher per GPO die Verwendung von IPv6 zur Kommunikation unterbunden.
Mitglied: 132934
132934 22.05.2017 aktualisiert um 13:56:47 Uhr
Goto Top
Zitat von @rzlbrnft:
Ich seh da in einem Netzwerk mit privaten nicht ins Internet gerouteten Adressen wenig Sinn dahinter.
Ist für mich eher noch eine zusätzliche Fehlerquelle.

Ich nutze privat IPv6 meines FTTH Providers im Dual Stack Modus. Google kann ich noch über IPv6 erreichen, alle anderen Dienste lassen sich mit wenigen Ausnahmen so gut wie nur über IPv4 erreichen. Im privaten Bereich macht das meiner Meinung nach leider gar keinen Sinn ... unbenutzbar.
Mitglied: LordGurke
LordGurke 23.05.2017 um 13:40:04 Uhr
Goto Top
Das mit den Datenschutz- und Sicherheitsbedenken höre ich immer. Aber nie hat mal jemand ausgeführt, was er denn da genau für Bedenken hat face-wink

Ich sehe IPv6 aus der Sicht desjenigen, der im RZ das Netzwerk bereitstellt für Leute, die über das Internet darauf zugreifen.
Hier hat sich IPv6 als Segen für die Nutzer von Kabel- und LTE-Zugängen mit Carrier-NAT herausgestellt.
Der Verbindungsaufbau per IPv4-NAT ist zuweilen recht träge und manchmal auch ein wenig fehleranfällig. Gerade wenn man Protokolle (z.B. ESP oder GRE) verwenden will, die in NAT-Umgebungen eher nicht funktionieren.
Genau da ist IPv6 der große Vorteil und genau deshalb ist es nicht unsinnig, das serverseitig bereitzustellen.

Was die Verbreitung beim Client angeht:
Neben den bereits erwähnten Google-Diensten setzen auch z.B. Facebook und Microsoft fast flächendeckend IPv6 ein. Die Updates, die Windows herunterlädt, werden z.B. auch wenn möglich per IPv6 geladen.
Akamai und Cloudflare bieten ebenfalls IPv6 an, allerdings nutzen es dort nicht alle Seitenbetreiber.

Und auf der Clientseite hat man mit IPv6 sogar manchmal spürbare Vorteile:
Wenn du per Carrier-NAT angeschlossen bist und dein Provider entsprechend große NAT-Pools hat, ist der TCP-Handshake unter IPv4 zuweilen spürbar träge. Ich habe das mal an einem Kabelanschluss von Unitymedia messen können und hatte im Median fast 600ms Zeit gebraucht zwischen dem ersten SYN-Paket und dem SYN-ACK-ACK.
Zum gleichen Server über den gleichen Routingweg, nur per IPv6 waren es nur noch ca. 190ms. Einfach, weil der überlastete NAT-Router meine Pakete nicht mehr verändern musste.
Will heißen: Man tut den Nutzern solcher CGN-Anschlüsse etwas gutes und macht für sie mit IPv6 das Internet schneller und zuverlässiger face-smile
Mitglied: Herbrich19
Herbrich19 23.05.2017 um 14:21:36 Uhr
Goto Top
Hallo,

Ja, CNAT ist immer ein Problem auch bei VPN Lösungen von AVM. Ich habe Zuhause noch eine IP-Adresse die ich selber NAT,en kann / muss und auch alle Ports können Freigegeben werden so wie ich will oder halt auch nicht will. Aber ich kann von außen einfach zugreifen und dass ist für mich ja das Kriterium #1 warum ich mir ein Anschluss hole der sowas kann.

Ich habe mir noch ein 48.er Subnetz bei HE geholt und kann darüber einfach meine Geräte Freigeben wie ich will und jeder Server bekommt seine eigene IPv6 so dass ich direkt drauf zugreifen kann.

Schöner ist auch dass ich so viele IP,s wie ich will rausgeben kann was für z.B. ftp sehr von nutzen ist face-smile

Würden die jetzt mit CNAT Anfangen währe das ein klarer Kündigungsgrund.

Gruß an die IT-Welt,
J Herbrich