Der IPv6 Kongress ist gerade zu Ende und das Thema IPv6 ist mal wieder etwas mehr im Rampenlicht, oder besser gesagt es bekommt durch die viele Presse mal wieder ein klein Wenig mehr Aufmerksamkeit als normal. So ist ebenfalls das Thema Verbreitung noch einmal etwas aufgewärmt worden.

Google hat hier meist eine ganz gute Übersicht: http://www.google.de/ipv6/statistics.html

Eine sicher noch bessere Auflistung findet sich hier: https://www.vyncke.org/ipv6status/detailed.php?country=de

Zusammengefasst kann man sagen, nach über 15 Jahren IPv6 ist die „Umstellung“ noch immer nicht weit genug. Alle Empfehlungen von Experten wurden ignoriert, es gab halt bisher noch keine Nachfrage…. Dumm nur dass inzwischen den ISPs, vor allem den Kabelnetzbetreibern, die IPv4 Adressen ausgehen! Wer in Deutschland einen neuen Internetzugang bei einem Kabelnetzbetreiber bekommt, der bekommt einen Carrier Grade NAT (CGN) Anschluss. Das bedeutet man bekommt nur noch eine private IPv4 Adresse vom ISP und geht bei diesem über einen zentralen Router ins Internet. Dieses versteckt sich oft hinter den Bezeichnungen DS-Lite oder DS64-Lite. Bei einer Lösung bekommt man direkt eine private IPv4 Adresse aus dem Netz des ISP bei der anderen Lösung bekommt man eine über das IPv6 Netz getunnelte private IPv4 Adresse des ISP.

Testen ob man hinter so einem Anschluss sitzt lässt sich schnell über folgenden Link: http://ip.bieringer.de/cgn-test.html

Beide Lösungen helfen zwar dem ISP beim sparen von IPv4 Adressen (im Mobilfunk-Internet wird dieses seit Jahren praktiziert, nur ohne IPv6), es bringt nur leider noch mehr Probleme mit.

Viele Probleme finden sich bei CGN-Anschlüssen im Detail. Als Beispiel: Jede TCP/IP Verbindung verbraucht bei der abgehenden IP-Adresse mindestens einen Port. Ports sind 16-Bit-Zahlen (Portnummern) und reichen von 0 bis 65535. Ports von 0 bis 1023 sind reserviert und werden von der IANA vergeben. Das bedeutet es können maximal 65535-1023=64512 gleichzeitige Verbindungen aufgebaut werden. OK, mal angenommen man nutzt den reservierten Bereich ebenfalls um abgehende Verbindungen zu realisieren ist es etwas mehr, einen höheren Wert als 65535 wird man denn noch nicht überschreiten können. Das ist schon nicht viel, vor allem baut ein User ja schnell mehrere Verbindungen gleichzeitig auf. E-Mails abrufen, Messanger auf, Surfen (aktuelle Browser bauen gleichzeitig mehrere Verbindungen zum Webserver auf um direkt mehrere Teile der Webseite gleichzeitig zu laden!), usw. usw… Da kommt ein User schnell auf 50 und mehr offenen Verbindungen. Jede Verbindung kann zwar sauber geschlossen werden, denn noch kommt es nicht selten vor das Verbindungen nicht sauber geschlossen werden. Das bedeutet die jeweilige Verbindung ist bis zum Ablauf des Timeouts offen. Das kann schon mal ein paar Minuten sein!

Unter Linux lassen sich die offenen Verbindungen schnell anzeigen mit:

$ netstat -tapen

Sind alle möglichen Verbindungen aufgebaut, können keine weiteren mehr aufgebaut werden. Um dieses zu verhindern, könnte man als ISP am Router an den Verbindungen arbeiten… So könnte man bestehende Verbindungen nach 10 Minuten einfach hart zurücksetzten… Dann müsste der jeweilige Client halt eine neue Verbindung aufbauen, wenn sie noch benötigt wird. Was alles passieren kann, wenn bestehende Verbindungen einfach zurückgesetzt werden, kann man sich selbst schnell ausmalen. Ein weiterer Punkt wäre auch die maximale Anzahl gleichzeitiger Verbindungen von einer IP. Jeder der schon einmal einen Web oder Mailserver konfiguriert hat, ist irgendwann sicher an dem Punkt angekommen an welchem er die Zahl der maximal gleichzeitigen Verbindungen von einer IP Adresse beschränken konnte/musste. Lässt man von einer IP Adresse zu viele gleichzeitige Verbindungen zu, kann ein möglicher Angreifer bereits mit sehr wenigen Systemen einen wirkungsvollen DDoS-Angriff auf das eigene System durchführen. Ein einziger Client kann also so schnell einen größeren Teil der vorhandenen Systemressourcen binden. Dieses möchte man als Diensteanbieter nicht, daher beschränkt man oft die Anzahl der gleichzeitigen Verbindungen von einer IP. Schiebt ein ISP seine Kunden über CGN ins Internet. Kommen zwangsläufig mehrere Verbindungen von ein und der selben IPv4 Adresse. Es könnte also passieren das Dienste einfach nicht mehr erreichbar sind. Das ist doof! Dabei darf man jetzt auf keinen Fall mit dem Finger auf den ISP zeigen!!! Der Schuldige sitzt nämlich an anderer Stelle…

So jammert zum Beispiel der VoIP-Anbieter Sipgate das seine Kunden hinter CGN-Anschlüssen sich bei ihm (also Sipgate) beschweren dass ihre Sipgate-Anschlüsse nicht sauber arbeiten. Schaut mal hier: http://www.sipgateblog.de/sipgate-am-ipv6-kabelanschluss/ Oh, die Kommentare sind zum Teil lesenswert! Zurück zum Thema…. Man muss sich nun also auf der Zunge zergehen lassen was hier gerade abläuft:

Sipgate „beschwert“ sich darüber das Unitymedia CGN nicht ganz ~korrekt~ implementiert hätten und hoffen nun darauf das sich jemand von Unitymedia bei ihnen meldet, damit man zusammen das Problem analysieren könnte. Na habt ihr es schon? Nein… Ok, dann noch mal anders!

Unitymedia hat für Diensteanbieter, welche es 2014 trotz vieler Warnungen und jahrelanger Vorlaufzeit, noch immer nicht geschafft haben ihre Dienste IPv6 fähig zu machen, einen Workaround eingerichtet, damit deren Dienste überhaupt noch irgendwie erreichbar sind. Unitymedia (sowie viele andere ISPs auch) haben nun also auf eigene Kosten (klingt dramatischer als es ist) eine Sonderlösung geschaffen. Dann kommt so ein Sipgate und sagt. Toll was du da gemacht hast, es klappt mit unserem System nur leider nicht ganz perfekt. Kannst du da bitte noch mal etwas nachstellen?

LEUTE…. Kommt aus den Puschen und macht eure Dienste IPv6 fähig. Da schieben die Jungs von Sipgate den schwarzen Peter weiter an den ISP und machen ein Fass auf, nur weil sie es noch immer nicht geschafft haben ihre Dienste fähig für die Realität zu machen. Dann rennen die Jungs da im Kreis und blubbern was von keiner Nachfrage?!?!? Aaaarrrrrggghhhhh.

Wenn ihr also gerade hinter einem CGN-Internetanschluss sitzt und dadurch Probleme mit einigen Diensten oder dem Internet generell haben (told you so) dann lasst bitte euren ISP in ruhe sondern geht dem jeweiligen Diensteanbieter auf die Nervern mit der Frage: „IPv6, was da los?“

Das für heute!