IPv6: Tunnel-Broker SixXS macht Druck

[Frogman]

Der eine oder andere wird etwas ratlos sein, wenn er seine IPv6-Erreichbarkeit aktuell über ein festes Subnet vom Tunnel-Broker SixXS sicherstellen möchte...
Der Broker hat heute verkündet, vorerst keine neuen Kunden mehr anzunehmen und bereits registrierten Kunden keine neuen Tunnel und Subnets zuzuteilen. Damit protestiert SixXS gegen die anhaltende Behäbigkeit vieler Provider, die immer noch kein natives IPv6 anbieten - und das trotz erschöpfter IPv4-Kontingente. Viele Provider würden sich offenbar darauf verlassen, dass Interessierte sich ihre Erreichbarkeit über einen Tunnel-Broker wie SixXS sicherstellen - und damit auch sehr zufrieden sind angesichts der sehr hohen Verfügbarkeit und Performance der Tunnel.
Vorausgegangen war in den vergangenen Monaten eine Initiative, die die User dazu aufrief, bei ihren Providern nachdrücklich natives IPv6 einzufordern - was offenbar noch nicht genügend Druck erzeugt hat. Mit diesem Schritt nun wird der deutlich steigen... - mal schauen, wie die Reaktionen der Provider sind.

 

[Aevin]

Na ich konnte mich auch schon Anfang März nicht mehr registrieren bei SixXS, aus deinem genannten Grund.

Liegen anderen Länder in dieser Hinsicht (IPv6) denn schon weiter vorne als Deutschland ? Ich kenne da keine Statistiken etc.

 

[Frogman]

Das ist ein internationales Versäumnis, Deutschland steht hier sogar eher noch gut da, wenn man dieser Liste von SixXS (ganz unten eine Übersicht) glauben kann. Die Angaben in Wikipedia stützen dieses schwache Bild gerade auch international.

 

[Iarn]

Meiner persönlichen Meinung nach hat das IPv6 Protokoll eine Menge Schwächen, so dass es mich nicht wundert, wieso so gut wie niemand es dann auch umsetzen will. Dazu kommt, dass viele Netzwerk Produkte wie auch die von Synology bei der Implementierung Fehler machen, so dass man als v6 Nutzer doppelt gestraft ist.

 

[Frogman]

Meiner persönlichen Meinung nach hat das IPv6 Protokoll eine Menge Schwächen, ....
Dazu kommt, dass viele Netzwerk Produkte wie auch die von Synology bei der Implementierung Fehler machen,..

Kannst Du das mal ausführen?

 

[Iarn]

Ich persönlich habe seit 5.1 bei mir im Netzwerk wegen diesem Bug http://www.synology-forum.de/showth...pdate-auf-DSM-5-1-5004-CPU-Auslastung-bei-100 IPv6 deaktiviert und wenn ich mich richtig entsinne, gab es auch bei 5.2 und 6.0 ähnliche Effekte.
Leider kann ich in dem Forum nicht innerhalb eines Themas suchen, deswegen finde ich auf die Schnelle nichts zu den IPv6 Bugs unter 5.2 und 6.0

 

[Frogman]

Naja, Bug... ich habe diese Probleme bisher nie gehabt, auf keiner DS. Dabei ging es offenbar auch um DDNS-Dienste, die kein IPv6 unterstützen.

Und was meinst Du mit "Schwächen im IPv6 Protokoll"?

 

[Iarn]

Selbst wenn da ein Dienst was nicht unterstützt, so eine CPU Last bezeichne ich schon als Bug.
Die Schwächen sehe ich hauptsächlich im Datenschutz und das mit den Präfixen überzeugt mich nicht wirklich. Weiterhin sind v6 Adressen schwer merkbar, während ich alle für mich wichtigen v4 I Kopf habe. Die Vorstellung mich per Remote Desktop am Telefon auf ne v6 zu vonseiten sind mir ein Horror.

Ich weiß, vieles ist subjektiv, aber ich zahle bei meinem Provider 5 € extra für natives v4 und das ist es mir wert. Eine Fehlerquelle im System weniger.

 

[Frogman]

Klar ist eine längere Adresse schwerer zu merken als eine kurze - aber die Kürze ist ja eben auch genau das Problem von IPv4...
Allerdings gestattet Dir IPv6 für die Interface-Identifier ja eben eine Flexibilität, die IPv4 niemals bot. Bspw. kannst Du jeden Dienst unter beliebig vielen IPv6-Adresse verfügbar machen, d.h. Du kannst zB. vom System temporäre Interface-Identifier erzeugen lassen und zusätzlich globale Adresse definieren, die sich einfach merken lassen - die DS reagiert dann auf beide.
Beispiel:
Zugeteilter Präfix: 2001:9aef:1932::/48
Definierter Interface-Identifier einer DS: :1111
d.h. die DS wäre fest erreichbar mit 2001:9aef:1932::1111 (und daneben über zahllose andere Adressen, die sich im Präfix (selbst definierte Subnets) wie auch im Interface-Identifier unterscheiden können).
Fixe Adressen kann man auch als feste Adresse in den AAAA-Record einer eigenen (Sub-)Domain schreiben.
Abgesehen davon braucht man sich die Adresse auch nicht merken, denn auch DDNS-Dienste funktionieren ebenfalls zunehmend mit IPv6, ob nun fix oder dynamsich - es ändert sich oberflächlich also rein gar nichts beim Aufruf.

Als Schwäche kann ich das Konzept auch nicht sehen, im Gegenteil. Klar kann ich ein statisches Präfix bei Überwachung einem bestimmten Anschluss zuordnen, mehr aber auch nicht (dagegen werden im Übrigen ja auch dynamische Präfix genutzt). Du kannst Dir aber auch bewußt mehrere Präfixe zulegen. Die Möglichkeit, zahllose temporäre wie auch fixe Adressen parallel zu nutzen, liefert mehr Datenschutz als IPv4. Dazu ist dieser Artikel ganz informativ.

 

[whitbread]

Also ich habe in meinem Netzwerk bisher weder im LAN noch am WAN-Anschluss auch nur eine einzige IPv6-Verbindung gesehen.

Ich vermute, dass wird so wie bei der aktuell laufenden Telefonie-Umstellung laufen; die meisten Betroffenen kapieren überhaupt nicht was da passiert. Und von Seiten der Betreiber wird überhaupt nix getan, um Lösungen für objektiv bestehende Probleme aufzuzeigen!

 

[Frogman]

Naja, Geräte wie TV usw. beherrschen in der Regel IPv6 noch nicht, gerade wenn sie ein paar Jahre alt sind. Ansonsten haben Rechner bspw. heute eigentlich immer eine linklokale Adresse fe80::, die sich aus der MAC-Adresse ableitet. Das merkst Du nur nicht, wenn Dein Router kein IPv6 nutzt, dann läuft halt alles über IPv4.

 

[whitbread]

Solange aussen kein ipv6 anliegt machts ja drinnen auch keinen Sinn.

Nee im Ernst: hatte schonmal erste Gehversuche gemacht, halte ipv6 aber ohne fundiertes Wissen darüber für gefährlich. Ich müsste bspw. sämtliche Firewall-Regeln für ipv6 neu anlegen und wäre ohne diese kpl. ungeschützt im Netz. Daher habe ich es in den Routern und im Switch kpl. deaktiviert.

 

[Frogman]

Du brauchst in der DS-Firewall eigentlich nur die lokalen Freigaberegeln für die Subnets anlegen, ansonsten gibst Du ja Ports frei.
Die Router haben heute eigentlich alle eine aktivierte FW für IPv6, da kommt nur etwas durch, wenn Du dafür einen Ports öffnest.

 

[whitbread]

Ich steuere den Zugriff auf meine NASen über die Router und nicht über die Firewall im DSM.

Meine Router sind keine Consumergeräte und kommen ohne Regelsatz in der ipv6-Firewall.

 

[Frogman]

Eine Router-Firewall, die per default keine Regel für IPv6 enthält? Ziemlich schräg... Dann wäre vielleicht auch eine dedizierte Hardware-Firewall etwas für Dich

 

[whitbread]

Der Begriff war mir neu; interessant ist, dass es lt. wikipedia gar keine HW-FW gibt ;-)

Je nachdem, wie Du den Begriff definierst habe ich dann aber bereits eine sog. HW-FW. Ist jedenfalls dedizierte HW/SW-Lösung, wobei auch 'ne Fritzbox als HW-FW verkauft wird...

 

[Frogman]

Ach, und weil das bei Wikipedia so steht, glaubst Du das? Drollig...
Nun ja, klar sollte sein, dass auf jedem Stück Silizium eine Software laufen muss... aber das ist auch schon alles. Ein dediziertes Stück Firewall, welches die höchste Zertifizierung erreicht, kannst Du zB. hier sehen.