Routing-Probleme IPv4(!) Deutsche Glasfaser (connection resets)

Vodafone buchen geht noch nicht? Dort kann man ja um Dual Stack quengeln.

Zitat von kreppelesser

Es hängen nicht viele Hosts dran, evtl. ein Subnet mit vielleicht 100 Hosts.

Klingt nach einer kleinen Firma. Da ist ein Privat-Anschluss vielleicht nicht mehr so ganz angemessen. Mit einem Business-Vertrag bekämst du mindestens eine öffentlichen IP-Adresse ohne CGNAT bzw. nur 1x NAT (bzw. genauer PAT) an deinem Router und einem vollständigen Range von 65K TCP- bzw. UDP-Quellports.

Zitat

wenn die DG wenigstens echtes Dual Stack anbieten würde, gerne auch für Mehrkosten...

Also, es gibt doch auch bei DG Geschäftskundenanschlüsse.

Zitat von kreppelesser

DG wenigstens echtes Dual Stack anbieten würde, gerne auch für Mehrkosten...

Es ist ein echtes Dual Stack. Allerdings mit einer IPv4 aus dem CGNAT Range. Nur in einem Geschäftskundentarif erhältst Du eine IPv4 Adresse außerhalb des CGNAT Bereiches, das schrieb ::1 bereits.

Zitat von HubeBube

Es ist ein echtes Dual Stack. Allerdings mit einer IPv4 aus dem CGNAT Range.

<Klugscheiß> :

Offiziell heißt der Range 100.64.0.0/10 "IPv4 shared address space" - er ist analog RFC1918-Adressen privater Adress-Space, der im Internet nicht geroutet wird, siehe WIKIPEDIA.

Offiziell heißt das Hintereinander von NAT am eigenen Router (übersetzt private RFC1918-Adresse aus dem LAN auf die WAN-Portadresse des Routers aus 100.64.0.0/10) und CGNAT beim ISP (setzt WAN-Portadresse des Routers aus 100.64.0.0/10 auf eine "echte" öffentliche IP-Adresse um) NAT444 (weil es 2x NAT44 ist). Das ist das Verfahren bei DG.

Das wird gerne mit DS-Lite verwechselt: Da bekommt man für den WAN-Port des Routers nur noch eine IPv6-Adresse (und keine IPv4-Adresse), sowie für das LAN einen delegierten IPv6-Block. z.B. einen /56. IPv4 ist LAN-intern beliebig definierbar, z.B. 192.168.1.0/24. IPv4 Kommunikation mit dem Internet funktioniert mit DS-Lite, indem IPv4-Pakete über die IPv6-Verbindung zu einem CGNAT-Router beim ISP getunnelt werden. Der übersetzt dann die private IPv4-Adresse in einem öffentliche IP-Adresse, wie gehabt. Zusätzlich muss sich der CGNAT-Router in diesem Szenario in seiner NAT-Session-Table noch merken, welchem IPv6-Tunnel die private IP-Adresse zuzuordnen ist, damit alles eindeutig bleibt (schließlich können andere Kunden ja auch mit privaten IP-Adressen aus dem Beispiel-Range 192.168.1.0/24 aufschlagen). Bei DS-Lite wird also nur 1x "ge-nat-tet", nämlich im CGNAT-Router des ISP.

</Klugscheiß>.

Für den Kunden ist der Unterschied marginal. Nur von Bedeutung bei der Konfiguration des Routers.

Ob ich nun die eine oder andere Variante habe, ist egal. Es sind beides keine vollwertigen Internetanschlüsse, da in ihrer Funktion limitiert.

Wenn hier jemand von Dual Stack schreibt, meint er immer, öffentliche Adressen IPv4/IPv6 zu bekommen.

Na ja, bei inzwischen >> 4 Milliarden mit dem Internet verbundenen Geraeten sollte klar sein, dass Deine Definition eines vollwertigen Internetanschlusses fuer viele schlicht unerfuellbar ist. Ich persoenlich wuerde einen vollwertigen Internetanschluss eher so definieren, dass das Internet per IPv6 UND IPv4 erreichbar ist (zumindest solange es noch reine IPv4 Inseln gibt), und dass jeder Anschluss per IPv6 UND/ODER IPv4 von aussen erreichbar ist.

Was unabhaengig davon ist, dass DualStack mit oeffentlicher IPv4 Adresse und oeffentlichem IPv6 Praefix fuer Endkunden die schoenste Loesung ist. Und ich wuerde auch dazu neigen die Altefnativen mit genattetem IPv4 nicht unqualifiziert als DualStack zu beschreiben... (wobei IMHO ::1 schon recht hat, der Begriff ds-lite wird wohl oefters falsch verwendet).

Dass es die Notwendigkeit für diese Lösungen gibt, ist ja völlig unbestritten. Ich hätte auch nichts dagegen, wenn die Option auf eine öffentliche IPv4 grundsätzlich kostenpflichtig wäre und der Kunde erst mal eine Lösung ohne diese bekommt.

Manche nehmen 3 €/Monat, was ich als fair empfinden würde. Einige machen das so, bei anderen muss man "betteln". Bei net services kostet es einmalig 20 €, wenn man den Bedarf "nachweist". Da werde ich mir noch etwas aus den Fingern saugen. Irgendwas wegen Firmen-VPN oder Alarmanlage etc.

Weit über 90% der Kunden würden das auch gar nicht nutzen wollen oder überhaupt den Unterschied verstehen.

In meinen Augen besteht die eigentliche Herausforderung aus der Notwendigkeit von immer noch Wenigen (geschuldet der demografischen Entwicklung) aus dem Internet auf ihr Heimnetz zuzugreifen. Ein Problem entsteht erst dann, wenn das Zieldevice nicht IPv6-tauglich ist.

Zusätzlich nimmt in den letzten Jahren der Einsatz von IoT-Geräten immer weiter zu. Dort werden die billigsten Komponenten verbaut, die u.a. nur 2,4 GHz WLAN/WiFi beherrschen und über gar keinen IPv6 Stack verfügen. Letzteres bremst wiederum die Verbreitung von IPv6 und so entsteht ein Teufelskreis der schwerlich zu durchbrechen ist.

Die Nachteile der nicht-öffentlichen IPv4 ist hingegen durch die Architektur der IoT Anbieter lösbar. Ist das IoT Device der Initiator und das Target die Anbieter, erreichen die Antworten problemlos auch die Geräte im Heimnetz. Mein Lieblingsbeispiel Thermomix: Der billigst produzierte Cookey (ESP32 mit SD-Karte), mittlerweile im Thermomix integriert, verbindet sich aus dem Heimnetz via IPv4 auf die Vorwerk-Infrastruktur (Rezeptdatenbank, Updates der Firmware,...). Der Anwender verbindet sich ebenfalls auf die Infrastruktur (Webbrowser oder App) und wählt die Rezepte aus, die auf dem Cookey gespeichert werden sollen. Funktioniert im Netz von DG problemlos.

Um das alles abzuschließen: als Konsument kann ich auf die Entwicklung nur beschränkt Einfluss nehmen, nämlich nur durch mein Kaufverhalten. Einfacher geschrieben als getan: nur IPv6 taugliche IoT Devices kaufen, die alle WLAN Frequenzbereiche nutzen (aktuell 2,4; 5 und 6 GHz) bzw. einen RJ-45 Port besitzen.

Zitat von kreppelesser

mir war anfangs nicht bewusst, dass selbstverständlich jeder Nutzer mit einer CGNAT-IP nur einen Teil der Ports der Public-IP zugewiesen bekommt.

Man kann auch sagen: CGNAT ist der Versuch, den (aus heutiger Sicht) mit <=2^32 zu kleinen Adress-Space von IPv4 auf Kosten von Quellports zu erweitern. Damit werden Quellports zu einem knappen Gut. Es ist eine Flickwerk-Lösung aus dem Reparaturbetrieb des kaputten IPv4-Internets.

Die Probleme wären gelöst, wenn man endlich flächendeckend IPv6 ausgerollt hätte

Zitat von ConiKost

Die Probleme wären gelöst, wenn man endlich flächendeckend IPv6 ausgerollt hätte

Das geht halt nur Schritt fuer Schritt, ISP fuer ISP... wie schon mal gesagt, IMHO wuerde es helfen, wenn die EU hier klarere Vorgaben machen wuerde ohne ihren Technologieneutralitaetsfetisch vor sich herzutragen...

Wobei ich 700 parallele ausgehende TCP Verbindungen für einen Privathaushalt schon üppig finde. Kennt jemand einen einfachen Weg, die NAT Tabelle einer Fritzbox auszulesen?

Na ja, gerade ohne aktive Nutzer im Netz (ausser einer OpenVPN Session um die Werte auszulesen):

Allerdings laeuft auf dem Router ein RIPE Atlas Client... und das sind Zahlen aus Conntrack, und Conntrack verwirft den State nicht sofort, daher sind das offene Sessions und nicht offene und aktive Sessions...

EDIT: die Werte in der Tabelle sind nicht seit Booot oder PPPoE-Reconnect sondern in einem gleitenden Fenster von ein 3 Minuten Laenge... der 3760er Peak ist inzwischen rausgealtert...:

Ja, das erklärt die UDP Sessions, RIPE Atlas stellt ja viele DNS Anfragen. Bei TCP sieht man aber, dass es verhältnismäßig eng um die 200 pendelt.

Die Werte sind komplett ausserhalb der Kernnutzungszeiten (wegen erzwungenem PPPoE reconnect all 24 Stunden, gestern um 23:30).

Ich schau mal, dass ich heute Abend mal Zahlen mit der Kernutzung abgreife... (Ich habe auch Conntrack zu meinen Collectd Scripts hinzugefuegt und sollte in ein paar Tagen etwas zur bei mir ueblichen Zahl sagen koennen).

Ach ja, soweit ich weiss laeuft bei momentan kein torrent node...

Zitat von ConiKost

Die Probleme wären gelöst, wenn man endlich flächendeckend IPv6 ausgerollt hätte

Zitat von pufferueberlauf

Das geht halt nur Schritt fuer Schritt, ISP fuer ISP...

Das Problem hierbei sind nicht die ISPs - die sind damit eigentlich schon fertig. Die müssen eben "noch" IPv4 in Form von CGNAT-Krücken anbieten.

Das Problem sind die Enterprises, Behörden, bzw. allgemein die Institutionen, die Services im Internet bereitstellen - da sträubt sich die Mehrheit der Netz-Admins, in deren jeweils zugrunde liegenden Netzinfrastrukturen IPv6 einzuführen. Die meiden das, wie der Teufel das Weihwasser...

Bestes Beispiel: Dieses Forum ist noch immer nicht über IPv6 zu erreichen.

Hierzu ein unterhaltsamer Link. Und der hier ist auch nicht zu verachten.

Schon fertig halte ich für übertrieben. IPv6 mag bei ein paar größeren Providern reibungslos laufen, aber unter den Kleineren gibt's da doch auch noch ne Menge Schluckauf und stellenweise auch noch komplette Unkenntnis.

Zitat von ::1

Hierzu ein unterhaltsamer Link. Und der hier ist auch nicht zu verachten.

Der Hauptgrund fehlt halt: wer soll es machen? Bei uns in der Firma (RZ-Betreiber) kämpfen wir damit, überhaupt fähige Leute zu finden, mit denen man das stemmen kann. Das, was man von Dienstleistern angeboten bekommt, kommt nichtmal mit IPv4 wirklich klar, und auf die offenen Stellen gibts keine Bewerbungen. Wir haben schon im IPv4 so viele "offene Baustellen" durch fehlendes Personal, dass IPv6 ganz weit hinten steht. IPv4-Mangel ist dagegen kein Thema, weil fast alles nur intern läuft und für die Gateways Richtung Internet hat es genug IPs (die dann auch als IPv6)