Was spricht für/gegen IPv6?

Es gibt noch genügend IoT-Devices die nicht IPv6-tauglich sind. Betrachten wir die AVM Produkte, sehen wir auch, das erst ab FRITZ!OS 7.50 die IPv6-Unterstützung (zusätzlich zu IPv4) in den Grundeinstellungen aktiv ist. In den älteren Versionen muss die IPv6-Unterstützung erst vom Benutzer bewusst aktiviert werden.

Es war bis Anfang der 2020er Jahre schlicht nicht notwendig, das der Privatanwender sich mit IPv6 auseinandersetzen musste. Das beginnt erst gerade, da zunehmend CGNAT providerseitig Verwendung findet und in Folge nur mit Klimmzügen via IPv4 von außen auf das Heimnetz zugegriffen werden kann. Offensichtlich scheint genau diese Notwendigkeit bei vielen zu bestehen und kann sich positiv auf die Verbreitung von IPv6 auswirken.

Zitat von chrisw

Danke für die Recherche! Ich versuch Mal deinem Rat zu folgen.

Auch interessant dass grad mal je ein /24er Subnetz einem Ort mit 10000 Einwohnern zugeordnet ist...

Warum IN nicht auf IPv6 setzt um dem Geschachere zu entgehen verstehe ich ehrlich gesagt nicht. Dass die IPv4 Blöcke aufgebraucht sind, war ja schon vor 10 Jahren klar. Hat jemand ne Idee,was technisch dagegen spricht?

IPv6 ist nicht so trivial zu administrieren. Es ist nicht das Problem, dass die Geräte (wenige Ausnahmen, die man mit NAT bedienen kann) es nicht können. Aber ein Netzwerk mit all den schönen Funktionen stabil zu halten, ist nicht so einfach. Auch ist es deutlich anspruchsvoller den Normalo hinsichtlich FW nicht im Regen stehenzulassen.
Beispiel: Mobile IP. Dabei nimmt man seine feste IP vom Laptop mit in andere Netze am anderen Ende der Welt. Dabei gibt es dann Mechanismen, dass sich das Laptop erst eine IP aus dem fremden Netz holt, um dann mit seiner eigenen IP automatisch einen Tunnel (verschlüssel) ins Heimnetz aufbaut. Die sind Möglichkeiten, die in IPv6 implementiert sind. Und so etwas will gehändelt werden. RFC 6275.
IPv6 ist deutlich komplexer als V4, und da scheitern mache schon bei FW-Regeln oder VLAN.

Oder Neighbor Discovery, wodurch DHCP entfällt.
Oder das IP´s auf einem Gerät nicht mehr nur von der Netzwerkschnittstelle zugeteilt werden, sondern das auch Anwendungen sich IPv6-Adresse reservieren können.
Wenn man mal in einem IPv6 Netz ist und div Anwendungen von Google, Apple und Amazon (nicht Shop) nutzt, hat man ein Stapel von Adressen an seiner Netzwerkschnittstelle. Da werden dann FW-Regeln für den Router zu Herausforderung.

Sorry, aber da sind einige Aussagen drin, mit denen ich überhaupt nicht leben kann.

Zitat von Phino

IPv6 ist nicht so trivial zu administrieren.

Das stimmt so nicht. Ich erinnere mich noch gut an die Zeit, da funktionierte auch IPv4 so, wie heute IPv6 funktionierte, nämlich mit einer öffentlichen IP an jedem Endgerät. Und damals schimpften alle Anwender über die Einführung von NAT, was alles unnötig kompliziert macht und die Flexibilität beschneidet. Wie soll man Netzwerkverbindungen ordentlich planen, wenn mitten in der Verbindung eine Instanz sitzt, die Adressen und Ports nach unvorhersehbaren Regeln durcheinanderwürfelt?

Nun verlässt man sich auf ein Firewall Feature von NAT - was eigentlich ein Abfallprodukt ist - und will damit einen Nachteil von IPv6 argumentieren? Sorry, Setzen: 6. Thema verfehlt.

Wenn man sich die Funktionsprinzipien von IP (nicht von NAT, nicht von IPv4 oder IPv6, sondern einfach von IP), dann ist es sogar erheblich einfacher, so ein Netz zu administrieren. Sich auf NAT anstatt auf eine ordentliche Firewall zu verlassen, ist der erste Schritt in die Hölle. Auch bei IPv4.

Zitat von Phino

Beispiel: Mobile IP. Dabei nimmt man seine feste IP vom Laptop mit in andere Netze am anderen Ende der Welt. Dabei gibt es dann Mechanismen, dass sich das Laptop erst eine IP aus dem fremden Netz holt, um dann mit seiner eigenen IP automatisch einen Tunnel (verschlüssel) ins Heimnetz aufbaut. Die sind Möglichkeiten, die in IPv6 implementiert sind. Und so etwas will gehändelt werden. RFC 6275.

Nur weil es optionale Zusatzfeatures gibt, die aktuell praktisch keine Relevanz haben, weil es einfach keine Anwendungsfälle dafür gibt, kann man ebenfalls keinen Nachteil von IPv6 argumentieren. Niemand muss Mobile IP aufsetzen, weil es aktuell niemand vermisst. Das kann man in Ruhe machen, wenn alles andere funktioniert.

Übrigens: In modernen Mobilfunknetzen funktioniert es für das Mobility Management schon sehr gut. So gut, dass es niemand bemerkt.

Zitat von Phino

Oder Neighbor Discovery, wodurch DHCP entfällt.

Neighbor Discovery ersetzt nicht DHCP, sondern ARP. SLAAC kann DHCP in gewissen Grenzen ersetzen, aber eigentlich sollte man sagen: ergänzen.

Zitat von Phino

Wenn man mal in einem IPv6 Netz ist und div Anwendungen von Google, Apple und Amazon (nicht Shop) nutzt, hat man ein Stapel von Adressen an seiner Netzwerkschnittstelle. Da werden dann FW-Regeln für den Router zu Herausforderung.

Der Stapel von IP-Adressen wird durch Privacy Extensions erzeugt, nicht durch die Apps. Und der Router hat damit gar nichts zu tun, denn diese Adressen sind explizit nicht dafür vorgesehen, Gegenstand von Firewall Regeln zu sein. Wenn Geräte Portöffnungen in der Firewall brauchen, dann macht man das auf den statischen Host-IDs, also z.B. denen per EUI-64 zugewiesenen, aber nicht auf temporären Adressen.

Man spürt momentan eine hohe Skepsis gegenüber IPv6. Ein Großteil dieser Skepsis ist auf so - sorry - Panik-Beiträgen wie diesen zurückzuführen, die jeder technischen Grundlage entbehren. Und steht es erst mal in einem Forum, dann wird es zigfach gelesen, und es gibt tatsächlich Leute, die das auch noch glauben. Wo könnten wir heute sein, wenn es so einen Unsinn nicht gäbe?

Zitat von alfalfa

Das geht jetzt aber ganz schön weit vom Thema weg.

Das stimmt. Also nur ganz kurz noch an frank_m

Insgesamt war meine Aussage in Richtung Admin eines IPS gemeint, nicht zu Hause.
Ich fand NAT nie kompliziert, schon meine erste DSL-Leitung vor 30 Jahren kam mit NAT. Vorher SLIP über Modem und ISDN-Card.

Zitat von frank_m

Nur weil es optionale Zusatzfeatures gibt, die aktuell praktisch keine Relevanz haben, weil es einfach keine Anwendungsfälle dafür gibt, kann man ebenfalls keinen Nachteil von IPv6 argumentieren. Niemand muss Mobile IP aufsetzen, weil es aktuell niemand vermisst. Das kann man in Ruhe machen, wenn alles andere funktioniert.

Übrigens: In modernen Mobilfunknetzen funktioniert es für das Mobility Management schon sehr gut. So gut, dass es niemand bemerkt.

Ich glaube schon, dass der Bedarf dabei sehr hoch ist. Warum geht es überall aktuelle um Wiregard etc. und die Probleme, weil IPv6 nicht richtig implementiert ist beim Provider.
Aber dies würde ja den ganzen VPN-Anbieter ihr Geschäft verhageln, wenn einfach so ein Gerät von ausserhalb geschützt ins heimische/firmen Netz kommt.

Zitat von frank_m

Neighbor Discovery ersetzt nicht DHCP, sondern ARP. SLAAC kann DHCP in gewissen Grenzen ersetzen, aber eigentlich sollte man sagen: ergänzen.

Doch Ich benötige in einem IPv6 Netz kein DHCP, neue Geräte bekommen alle notwendigen Daten über das ND-Protokoll, um sich ins Netz einzubringen und den nächsten Router zu nutzen, wenn er IPv6 kann.

Zitat von frank_m

Man spürt momentan eine hohe Skepsis gegenüber IPv6. Ein Großteil dieser Skepsis ist auf so - sorry - Panik-Beiträgen wie diesen zurückzuführen, die jeder technischen Grundlage entbehren. Und steht es erst mal in einem Forum, dann wird es zigfach gelesen, und es gibt tatsächlich Leute, die das auch noch glauben. Wo könnten wir heute sein, wenn es so einen Unsinn nicht gäbe?

Ich bin damit jetzt mit dem Thema seit 10 Jahren beschäftigt und nutze, weil zu Hause noch nie IPv6 bekommen habe, dort den Tunnelbroker (HE). Ich bin voll Pro IPv6.
Ich verstehe aber schon Admin bei ISP, nachdem ich @work reine IPv6 - Netze betrieben habe.
Eins konnten wir durch Messungen feststellen, dass IPv6 durch die großen Dienstanbieter stark bevorzugt wird, der Verbindungsaufbau ist dabei zu Google etc. deutlich schneller. Ein Android-Handy versucht immer erstmal IPv6, es seiden man schaltet es explizit ab.

Zitat von frank_m

Der Stapel von IP-Adressen wird durch Privacy Extensions erzeugt, nicht durch die Apps. Und der Router hat damit gar nichts zu tun, denn diese Adressen sind explizit nicht dafür vorgesehen, Gegenstand von Firewall Regeln zu sein. Wenn Geräte Portöffnungen in der Firewall brauchen, dann macht man das auf den statischen Host-IDs, also z.B. denen per EUI-64 zugewiesenen, aber nicht auf temporären Adressen.

Das habe ich wohl nicht genau beschrieben, du hast da die Sache von einer anderen Seite betrachtet.
Ja, die Adressen werden meist durch Privacy Extensions erzeugt. Aber die Anforderung nach einer IPv6 Adresse kommt von den Anwendungen selber, wenn man sich z.B. mit Google Foto verbindet oder mit Amazon Prime Video. Jeder bekommt eine eigene IP. Woher soll die Funktion PE im Netzkartentreiber selber wissen, welcher Anwendung er eine neue Adresse zuweisen soll? Letztendlich ist es eine Vereinfachung gegenüber der Vergabe von Portadressen in IPv4 für ausgehenden Verkehr.

Und das Problem ist dann zum Beispiel für die FW, wenn sie AD- oder Kids-Filter sinnvoll einsetzen soll.
Schau mal warum es diese Art von Filterung bei den Herstellern in den FW eigentlich nur für IPv4 angeboten wird.
Die Port-Öffnungen für eingehenden Verkehr habe ich gar nicht gemeint/betrachte.
Server-Dienste erhalten grundsätzlich statische Adressen bei mir, um sie in der FW zu nutzen.

Zitat von Phino

Ich glaube schon, dass der Bedarf dabei sehr hoch ist. Warum geht es überall aktuelle um Wiregard etc. und die Probleme, weil IPv6 nicht richtig implementiert ist beim Provider.

Was meinst du denn damit? Wo ist IPv6 beim Provider nicht richtig implementiert, und warum erzeugt das Probleme mit Wireguard?

Setze Mobile IP nicht mit VPN gleich. Mobile IP hat erst mal nur den Zweck, dass ein Gerät unter seiner bekannten IP mobil erreichbar bleibt. Abgehend kommuniziert es im Gastnetz, nicht mit seiner Heim-IP.

Zitat von Phino

Doch Ich benötige in einem IPv6 Netz kein DHCP, neue Geräte bekommen alle notwendigen Daten über das ND-Protokoll, um sich ins Netz einzubringen und den nächsten Router zu nutzen, wenn er IPv6 kann.

Deshalb schrieb ich "in gewissen Grenzen" kann SLAAC DHCP ersetzen. Für ein einfaches mobiles Endgerät reicht es. Aber auch im Heimnetz werden viele Informationen zu DNS auch so schon per DHCPv6 ausgetauscht, und spätestens bei Prefix Delegation ist man mit SLAAC raus.

Zitat von Phino

Aber die Anforderung nach einer IPv6 Adresse kommt von den Anwendungen selber, wenn man sich z.B. mit Google Foto verbindet oder mit Amazon Prime Video.

Das wäre mir neu, und kann ich auf meinen Endgeräten auch nicht nachvollziehen. Ich habs gerade auf einem Android Tablet ausprobiert, das hatte vor der Nutzung von Prime Video seine statische und eine temporäre Adresse, und danach genau so.

Wo hast du das beobachtet?

Zitat von frank_m

Was meinst du denn damit? Wo ist IPv6 beim Provider nicht richtig implementiert, und warum erzeugt das Probleme mit Wireguard?

z.B. DS-Lite ohne Port Control Protocol! Das Ubiqiti-Forum ist voll mit Problemen.

Zitat von frank_m

Setze Mobile IP nicht mit VPN gleich. Mobile IP hat erst mal nur den Zweck, dass ein Gerät unter seiner bekannten IP mobil erreichbar bleibt. Abgehend kommuniziert es im Gastnetz, nicht mit seiner Heim-IP.

Dies stimmt nur zum Teil, es kommuniziert immer auch mit dem Home Agent, das funktioniert sogar, wenn sich Änderungen des Präfixes der Heimnetze ergeben. Und er ist durch IPSec-Kommunikation Teil vom Heimnetzes. RFC 3776"Using IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes and Home Agents".
Da würde ich keine VPN mehr nach Hause benötigen.

Zitat von frank_m

Das wäre mir neu, und kann ich auf meinen Endgeräten auch nicht nachvollziehen. Ich habs gerade auf einem Android Tablet ausprobiert, das hatte vor der Nutzung von Prime Video seine statische und eine temporäre Adresse, und danach genau so.

Wo hast du das beobachtet?

Mit netstat.

Hier die hübsche Ausgabe für PowerShell, in dem auch die Prozesse/Anwendungen gezeigt werden.

Get-NetTCPConnection | Where-Object state -ne Bound | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,State,OwningProcess, @{n="ProzessName"; e={( Get-Process -Id $_.OwningProcess).ProcessName}} | Out-GridView

Da sieht man dann die IPv6-Adressen die nur von Anwendungen (Dropbox, Google Drive etc.) genutzt werden und dann verschwinden, wenn die Prozesse gekillt werde. Alles in einem reinem v6 Netz.

Zitat von frank_m

Deshalb schrieb ich "in gewissen Grenzen" kann SLAAC DHCP ersetzen. Für ein einfaches mobiles Endgerät reicht es. Aber auch im Heimnetz werden viele Informationen zu DNS auch so schon per DHCPv6 ausgetauscht, und spätestens bei Prefix Delegation ist man mit SLAAC raus.

An der Stelle sind wir aber nicht mehr im Heimnetz. Dies mit Prefix Delegation ist ja die Weitergabe-Methode zur Konfiguration für einen nachgelagerten Router.

Insgesamt ist aber gerade dieser Bereich für DNS bei IPv6 heiß diskutiert.

Die Unterstützung für die automatische DNS-Konfiguration in IPv6 wurde am Ende zum Gegenstand einer erbitterten Auseinandersetzung in bestimmten Kreisen der Internet Engineering Task Force zwischen Befürwortern von SLAAC und DHCPv6. Die SLAAC-Anhänger (zum Beispiel Googles Android) weigerten sich, DHCPv6 zu implementieren, während sich die DHCPv6-Anhänger (zum Beispiel Microsoft) weigerten, die DNS-Optionen von SLAAC zu implementieren.

Der Streit wirkte sich nicht nur auf Host-Implementierungen aus, sondern betraf ebenso Router- und Serverimplementierungen. Beispielsweise implementieren einige Router SLAAC, setzen die DNS-bezogenen Optionen für SLAAC aber nicht um. Ähnlich verzichten einige Netzwerkgeräte, die Informationen zur Netzwerkkonfiguration liefern sollen, auf die Implementierung von DHCPv6 – selbst die grundlegende DHCPv6-Serverfunktionalität fehlt, die es ihnen erlauben würde, DNS-bezogene Informationen via DHCPv6 zu übermitteln.

Insgesamt sollten wir das Thema hier beerdigen, passt nicht so ganz wie @alfalfa schon feststellte zum Thema und geht wohl über die meisten Heimkonfigurationen hinaus.

Zitat von Phino

Insgesamt sollten wir das Thema hier beerdigen, passt nicht so ganz wie alfalfa schon feststellte zum Thema und geht wohl über die meisten Heimkonfigurationen hinaus.

Vielleicht kann man es in einen eigenen Thread auslagern, weil die Diskussion an sich finde ich hochinteressant.

Zitat von Phino

z.B. DS-Lite ohne Port Control Protocol! Das Ubiqiti-Forum ist voll mit Problemen.

Aber das ist dann doch ein IPv4 Problem. IPv6 ist doch lokal am Router des Kunden vorhanden.

Zitat von Phino

Da sieht man dann die IPv6-Adressen die nur von Anwendungen (Dropbox, Google Drive etc.) genutzt werden und dann verschwinden, wenn die Prozesse gekillt werde. Alles in einem reinem v6 Netz.

Bei mir wird nur eine Abgangs-IP benutzt, und das ist meine aktuelle temporäre Adresse, wovon es auch nur eine gibt. Es laufen u.a. Dropbox, Google Drive, Onedrive.

Zitat von Phino

An der Stelle sind wir aber nicht mehr im Heimnetz.

Doch, klar. Wofür hab ich denn ein /56 Netz?

Den Streit um DHCPv6 und SLAAC kenne ich. Eigentlich ist das der Grund, warum ich sagte, SLAAC kann DHCPv6 nur in gewissen Grenzen ersetzen, da es Clients gibt, die drauf angewiesen sind.

Zitat von frank_m

Doch, klar. Wofür hab ich denn ein /56 Netz?

Ich habe nur /64 (18.446.744.073.709.551.616).

Da hast du /56 (4.722.366.482.869.645.213.696) ein paar mehr.

Zitat von Phino

Ich habe nur /64 (18.446.744.073.709.551.616).

Da hast du /56 (4.722.366.482.869.645.213.696) ein paar mehr.

Es ist üblich, dass /56 via PD bei den gängingen Internetanbietern angeboten wird. Kann man dann bequem auf /64 aufteilen..

Zitat von ConiKost

Es ist üblich, dass /56 via PD bei den gängingen Internetanbietern angeboten wird. Kann man dann bequem auf /64 aufteilen..

Ich habe meine von Tunnelbroker (Hurricane Electric Free IPv6), da gibt es nur /64 Netze, ich kann aber bis zu 5 konfigurieren. Dies funktioniert IPS unabhängig.
Man benötigt eine öffentliche IPv4-Adresse, kann auch dynamisch sein.
Konfig-Beispiele sind dann gleich mit den eigen Daten für 15 OS/Router hinterlegt. Funktioniert auch mit Fritz!Box*.

Mein ISP DNS:NET will bald IPv6 einführen. Das Unbekannte ist, in welcher Art und Umfang.

* in der FB nimmt man den Bereich dDNSzum Einrichten bei dynamischen IPv4.

Ich hab von HE auch ein /48 Prefix bekommen. Gibt es das heute nicht mehr? Das ist einige Jahre her, dass ich die benutzt habe.

Zitat von frank_m

Ich hab von HE auch ein /48 Prefix bekommen. Gibt es das heute nicht mehr? Das ist einige Jahre her, dass ich die benutzt habe.

Kann ich so bestätigen. Hatte früher bei HE auch ein /48.

Zitat von frank_m

Ich hab von HE auch ein /48 Prefix bekommen. Gibt es das heute nicht mehr? Das ist einige Jahre her, dass ich die benutzt habe.

Habe mal einen Test-Tunnel angelegt. Nutze Tunnelbroker seit 2012. Ich hatte immer /64.
Gibt es da eine 2-Klassengesellschaft. Wobei ich 5 Tunnel einrichten kann.

Zitat von Phino

Habe mal einen Test-Tunnel angelegt.

Wenn du dort auf "Assign /48" klickst, dann solltest du die Möglichkeit bekommen, ein /48 zu beantragen, dass auf den Tunnelendpunkt bei dir geroutet wird.

Für eine IPv6 Akzeptanz müsste man mindestens in der ges. EU alle Provider zu IPv6 zwingen. Ich lasse für Verwandte und Freunde mehrere Sachen auf meinem Anschluss (2,5 Gbit InternetNord) laufen. Die IPv6 Quote der Clients ist bei ca. 80%. Wenn das 100% werden und InternetNord mit min. ne /56 (besser 48) IPv6 gibt stelle ich gerne um!
Solange diese beiden Bedingungen nicht erfüllt werden sehe ich einen Haushaltsanschluss ohne öffentliche IPv4 Adresse als nicht funktionsfähig an bzw. sehe dies als Störung die zu beseitigen ist.

ps. Im Moment sagt wieistmeineIP, dass ich Schweizer bin Internet Nord ist kreativ mit der IPv4 Beschaffung

Zitat von PeterE

ps. Im Moment sagt wieistmeineIP, dass ich Schweizer bin Internet Nord ist kreativ mit der IPv4 Beschaffung

Ja, mehr davon!

Ich bin Schweizer, wohne in Deutschland, habe einen Deutsche Glasfaser Anschluss mit eigentlich IPv6 only (CG-NAT, hier im Forum bekannt). Damit kann ich aber leider kein Internet-TV des Schweizer Rundfunks (SRF) aufgrund Geoblocking sehen. Im Free-TV der Schweiz kommen manchmal Sportveranstaltungen (z.B. einige Spiele der Quatar-WM, Formel 1, Schneesportveranstaltungen), welche in Deutschland ansonsten im Free-TV nicht zu empfangen sind.

Zu meinem Schwager mit Wohnung in der Schweiz und Sunrise Kupfer Anschluss mit IPv4 habe ich ein VPN (je ein RasPi) zu diesem Zweck. Über diesen VPN-Umweg und einem eigens angeschaften Surf-Stick an meinem TV lässt sich SRF hier sehen.