IPv6-Tag: Die wichtigsten Antworten zu IPv6

Am 8. Juni werden zahlreiche Websites für einen Tag auch mit IPv6 erreichbar sein. Das kann auch für IPv4-Nutzer zu Problemen führen. silicon.de erläutert in FAQ, wie man auch am ‘IPv6 Day’ das Internet uneingeschränkt nutzen kann.

Was ist der Unterschied zwischen IPv4 und IPv6?

Neben Verbesserungen im Protokoll gibt es vor allem neue Adressen mit 128 Bit. IPv4 hat Adressen mit 32 Bit, weshalb die Anzahl der Adressen begrenzt ist. Eine typische öffentliche IPv6-Adresse ist zum Beispiel 2001:0db8:00ec:3091:0000:0000:0000:0001. Führende Nullen in den Blöcken zwischen den Doppelpunkten dürfen weggelassen werden. Aufeinander folgende Null-Blöcke dürfen einmal mit :: abgekürzt werden, so dass man für die genannte Adresse auch die verkürzte Schreibweise 2001:db8:ec:3091::1 verwenden kann.

Was passiert am IPv6 Day eigentlich genau?

Viele Anbieter im Internet werden für genau einen Tag ihre Dienste nicht nur nach dem alten IPv4-Standard, sondern zusätzlich auch über IPv6 anbieten. Das gilt nicht nur für das World Wide Web, sondern auch für viele andere Dienste und Protokolle wie SMTP, POP3, SIP und FTP.

Dabei soll untersucht werden, ob es zu Fehlern und Problemen kommt. Falls bestimmte Anbieter oder Dienste von einigen Nutzern nicht mehr erreicht werden können, ist der “Spuk” nach 24 Stunden vorbei, und die betroffenen Anbieter und Nutzer können sich an die Fehlersuche und -beseitigung machen.

Muss man am 8. Juni IPv6 eingeschaltet haben, um ins Internet zu kommen?

Nein, getestet wird der sogenannte Dual-Stack-Betrieb. Dabei stellen große Anbieter ihre Dienste sowohl über IPv4 als auch über IPv6 zur Verfügung. Es soll ja explizit sichergestellt werden, dass jeder Nutzer alle Anbieter wahlweise über IPv4 und IPv6 erreichen kann.

Kann man Probleme bekommen, wenn der eigene Internetprovider nur IPv4 anbietet?

Obwohl die Chance gering ist, dass es in diesem Fall zu Problemen kommt, ist das nicht ganz auszuschließen. Dazu muss man wissen, dass die meisten Betriebssysteme IPv6 unterstützen und standardmäßig aktivieren. Am 8. Juni werden viele DNS-Server auf eine Anfrage wie www.example.com mit einer IPv4- und einer IPv6-Adresse antworten.

Die Aufgabe eines modernen Betriebssystems ist es dann zu erkennen, dass keine IPv6-Verbindung ins Internet möglich ist, obwohl das Protokoll am eigenen Rechner aktiv ist. Das OS muss die Verbindung dann über IPv4 herstellen.

Probleme können aber auch daher rühren, dass einige Anbieter bei ihrer Konfiguration am IPv6 Day etwas falsch machen. Daher werden möglicherweise einige Server nicht erreichbar sein.

Soll man sich auf den IPv6 Day am 8. Juni irgendwie vorbereiten und seine Konfiguration ändern?

Nein, im Gegenteil. Sinn und Zweck des IPv6 Day ist es ja, möglichst festzustellen, ob es zu Problemen kommt, wenn Anbieter ihre Dienste auch über IPv6 bereitstellen, ohne dass die Nutzer etwas ändern.

Lässt sich vor dem 8. Juni überprüfen, ob eine Rechner-Konfiguration für den IPv6 Day geeignet ist?

Ja, da viele Serverbetreiber bereits dauerhaft IPv4 und IPv6 anbieten, kann man einfach eine solche Website ansurfen, beispielsweise www.kame.net oder www.sixxs.net. Wer keine Fehlermeldung bekommt, ist für den IPv6 Day bestens vorbereitet.

Wenn alles so perfekt funktioniert, warum wollen viele Anbieter IPv6 zunächst nur einen Tag ausprobieren?

Die Tücke liegt oft im Detail. Dazu ein Beispiel: Auf dem Server server1.example.com läuft eine Website mit Apache auf TCP-Port 80. Dieser lässt sich schnell auf den Dual-Stack-Betrieb umkonfigurieren. Allerdings ist per USB noch eine Webcam angeschlossen, deren Treibersoftware einen eigenen Webserver mitbringt, der auf TCP-Port 81 läuft, aber nur IPv4 unterstützt.

Ein Dual-Stack-Client fragt zuerst die IPv6-Adresse ab und erhält beispielsweise die Antwort 2001:db8:9ec8:201e::1. Wenn sich ein Browser mit der URL http://server1.example.com:81 an die Webcam verbinden will, funktioniert das nicht, weil der Server auf Port 81 kein IPv6 beherrscht. Es ist nunmehr Aufgabe des Clients, die Fehlermeldung “Connection refused” richtig auszuwerten und es erneut über IPv4 zu probieren, was dann zum Erfolg führen sollte.

Diese Logik ist meist im Browser verankert und nicht im Betriebssystem, so dass es mit einigen Browsern funktionieren kann und mit anderen nicht. Solche Probleme sollen beim IPv6 Day erkannt werden.

Neben den reinen Verbindungsproblemen können auch andere auftreten. Ein E-Mail-Provider, der am IPv6 Day seinen SMTP-Server für IPv6 freischaltet, steht vor dem konkreten Problem, dass er Blacklistendienste wie Spamhaus.org zur Erkennung bekannter Spam-IP-Adressen nicht nutzen kann. Das heißt, der E-Mail-Anbieter muss allein mit inhaltsbasierter Spamerkennung auskommen.

Wann bieten Internetprovider in Deutschland IPv6 an?

Zum IPv6 Day am 8. Juni ist es bei den meisten großen Providern noch nicht so weit. Lediglich einige kleine Anbieter wie tal.de oder Portunity bieten bereits IPv6 für Privatkunden.

Die Deutsche Telekom hat angekündigt, IPv6 noch 2011 anzubieten. Bei Kabel Deutschland heißt es auf Nachfrage von ZDNet, dass man noch keinen Termin nennen könne, aber hoffe, ebenfalls Ende 2011 so weit zu sein. Generell kann man damit rechnen, dass es im Laufe des Jahres 2012 zahlreiche Anbieter gibt, die IPv6 nativ anbieten.

Die Anbieter wollen sich darüber differenzieren, ob sie ein /48-, /56- oder /64-Netz anbieten. Was ist das überhaupt?

/64 bedeutet, dass man ein Subnetz bekommt, bei dem der Anbieter die ersten 64 Bit der Adresse vorgibt. Die weiteren 64 Bit kann man in seinem Intranet frei vergeben. Die IANA schreibt vor, dass Privatkunden mindestens ein /64-Netz bekommen. Damit lassen sich “nur” 18 Trillionen Geräte im Heimnetz betreiben. Mit einem /56- oder /48-Netz kann man ein Vielfaches davon nutzen.

Für Privathaushalte und Firmen mit nur einem Standort ist ein /64-Netz daher völlig ausreichend. Früher mussten Ethernet-Netzwerke mit vielen Knoten häufig segmentiert und geroutet werden. Das ist heute nicht mehr erforderlich, weil selbst günstige Consumer-Ethernet-Verteiler als Switch und nicht mehr als Hub arbeiten. Man kann mehrere tausend Geräte ohne Routing miteinander zu einem LAN verbinden.

Für Firmen mit mehreren Standorten kann ein /56- oder ein /48-Netz sinnvoll sein, wenn sie eine private Leitung zwischen den Standorten verwenden. Meist werden die Standorte aber jeweils unabhängig voneinander ans Internet angebunden. Dann reicht es in der Regel aus, jedem Standort ein /64-Netz zu geben.

Die Deutsche Telekom will nach eigener Aussage auch Privatkunden ein /56-Netz anbieten. Das ist zwar für normale Anwender überflüssig, schadet aber auch nichts. So können etwa Privatnutzer neben ihrem “Hauptheimnetz” noch bis zu 255 Test- oder Gastnetze einrichten.

Kann man heute schon IPv6 nutzen, auch wenn es der Provider nicht anbietet?

Ja, für technische Interessierte ist es sogar sinnvoll, am IPv6 Day nicht nur IPv4 einzusetzen. Dazu gibt es verschiedene Möglichkeiten: Ganz ohne Anmeldung kann man von jedem Internetanschluss das Tunnelprotokoll 6to4 nutzen. Das funktioniert aber nur von einem Rechner aus, der direkt am DSL- oder Kabelanschluss hängt. Wenn ein NAT-Router dazwischen ist, funktioniert es nicht. Unter Windows und Linux ist keine zusätzliche Software erforderlich, um 6to4 zu nutzen.

Viele Anwender werden aber 6to4 nicht an ihrem Rechner einrichten können, weil sie mit einer privaten IPv4-Adresse hinter einem NAT-Router hängen. Viele NAT-Router, etwa die Fritzbox-Modelle 7270 und 7390 bieten von sich aus die Möglichkeit, IPv6 über 6to4 zu nutzen.

Eine andere Möglichkeit, an eine IPv6-Anbindung mit einem IPv4-only-Internetanschluss zu kommen, bietet der Tunnelbroker SixXS. Er bietet mehrere Protokolle an. Das sogenannte AYIYA-Protokoll kann auch von Rechnern hinter einem NAT-Router genutzt werden, da die IPv6-Pakete in UDP getunnelt werden. Man kann entweder seinen Rechner als IPv6-Client oder IPv6-Router einrichten oder einen mit SixXS kompatiblen NAT-Router nutzen.

Wie kann man testen, ob die eigene IPv6-Installation funktioniert?

Dazu besucht am besten mit einem Browser die Website test-ipv6.com.

Welche Websites werden am IPv6 Day über IPv6 erreichbar sein?

Unter anderem die Websites von Google, Yahoo und Facebook. Mit dabei ist auch das Content Distribution Network Akamai, über das Websites wie microsoft.com und apple.com gehostet werden. Möglicherweise werden aber einige Akamai-Kunden entscheiden, nicht am IPv6 Day teilzunehmen.

Wie kann man am 8. Juni feststellen, ob eine Website über IPv6 erreichbar ist?

Indem man versucht, den DNS-Namen über einen AAAA Resource Record aufzulösen. Unter Windows kann man dazu den Kommandozeilenbefehl nslookup -type=AAAA Domain verwenden, beispielsweise nslookup -type=AAAA www.microsoft.com. Wenn daraufhin eine IPv6-Adresse zurückgeliefert wird, ist die Domain per IPv6 erreichbar.

Unter Linux und Mac OS X kann man die Konsolenbefehle host -t AAAA Domain oder dig +short Domain AAAA verwenden. Einige Linux-Distributionen haben die Befehle host und dig nicht standardmäßig installiert. Moderne Distributionen zeigen bei der Befehlseingabe an, welches Paket man dazu installieren muss.

Die Website X nimmt definitiv am IPv6 Day teil. Per DNS-Auflösung wird jedoch nur eine IPv4-Adresse geliefert. Woran kann das liegen?

Das dürfte in der Regel ein DNS-Caching-Problem sein. Das heißt, man bekommt noch alte DNS-Daten, etwa vom Vortag, weil der Anbieter die Cache-Zeiten zu hoch gesetzt hat. Das alleinige Löschen des lokalen Cache löst das Problem nicht. Man muss zusätzlich noch einen anderen DNS-Server eintragen, der keine gecachte Information über die jeweilige Domain besitzt. Man kann dazu die DNS-Server von Google 8.8.8.8 und 8.8.4.4 probieren. Es ist davon auszugehen, dass Google die Caches seiner Server zum IPv6 Day löscht.

Welche Betriebssysteme unterstützen IPv6?

Stabile Unterstützung bieten unter anderem Windows ab XP, Mac OS X ab 10.2, Linux ab Kernel 2.6, BSD-Betriebssysteme (FreeBSD, OpenBSD, NetBSD) seit dem Jahr 2000 und Solaris ab Version 8.

Von den Mobilbetriebssystemen beherrschen iOS ab Version 4 und Android ab Version 2.1 das neue Protokoll. Bei Android gilt die Einschränkung, dass es über die Mobilfunkschnittstelle nicht in allen Netzen und mit allen Protokollen funktioniert. Die WLAN-Schnittstelle unterstützt IPv6 uneingeschränkt.

Müssen alle Programme komplett umgeschrieben werden, damit sie mit IPv6 laufen?

Nein, Anwendungsprogramme und Serverdienste nutzen meist höhere Protokolle wie TCP und UDP. An diesen Protokollen ändert sich nichts. Wenn das Betriebssystem IPv6 unterstützt, können TCP und UDP sowohl über IPv4 als auch über IPv6 transportiert werden.

Warum gibt es dann Programme, die IPv6 nicht unterstützen?

Das liegt in der Regel an Kleinigkeiten: Bevor sie eine IP-Adresse als String an das Socket-API übergeben, untersuchen manche Programme den String und erkennen nicht, dass 2001:db8::1 eine IP-Adresse und kein Hostname ist und versuchen den String über DNS aufzulösen, was aber die falsche Vorgehensweise ist.

Wenn eine IPv6-Adresse binär übergeben wird, müssen dafür 16 Byte (128 Bit) reserviert werden. Für IPv4 reichen 4 Byte (32 Bit). Programme die maximal vier Byte akzeptieren, sind daher nicht IPv6-fähig.

Gibt es viele Programme, die nicht IPv6-fähig sind?

Aktuelle Versionen kommen mit IPv6 meist problemlos zurecht. Wer ältere Software einsetzt, muss damit rechnen, dass sie kein IPv6 unterstützt. Ein bekanntes Beispiel ist die VoIP-Telefonanlage Asterisk, die erst seit der Version 1.8 mit IPv6 umgehen kann. Viele VoIP-Anbieter setzen noch die Versionen 1.2, 1.4 oder 1.6 ein, weil ihre auf Asterisk basierenden Eigenentwicklungen mit der Version 1.8 nicht zurechtkommen.

Warum muss man IPv6-Adressen meistens in eckige Klammern setzen?

Normalerweise wird die Kombination von IP-Adresse und Port mit einem Doppelpunkt getrennt, zum Beispiel http://192.168.0.1:8080. Da IPv6-Adressen ebenfalls Doppelpunkte enthalten, muss man erkennen können, wann der Port bezeichnet wird. Eine gültige IPv6-URI ist daher beispielsweise http://[2001:db8::1]:8080. Nicht erlaubt ist hingegen http://2001:db8::1:8080, weil nicht eindeutig erkennbar ist, ob 8080 einen TCP-Port bezeichnet oder zur IPv6-Adresse gehört.

Wann ist eine IPv6-Adresse eine öffentliche IP-Adresse?

Wenn sie der CIDR-Notation 2000::/3 entspricht. Etwas einfacher ausgedrückt: Eine IPv6-Adresse ist nur dann öffentlich, wenn sie mit einer zwei oder einer drei beginnt.

Der Umstieg auf IPv6 soll nötig sein, weil die IPv4-Adressen langsam knapp werden. Stimmt das überhaupt?

Eindeutig nein. In Wahrheit gibt es bereits seit vielen Jahren zu wenig IPv4-Adressen. In einem echten Internet hat jedes Gerät mindestens eine öffentliche IP-Adresse. Bereits heute vergeben Breitbandanbieter jedoch wegen der Knappheit der Adressen nur eine öffentliche Adresse pro Anschluss. Wer mehrere Geräte zum Beispiel PCs, Smartphones, digitale Videorekorder und NAS-Speicher in seinem Intranet betreibt, muss mit Hilftechnologien wie NAT und Portforwarding arbeiten. Man spricht daher oft davon, dass sich das Internet zu einem InterNAT entwickelt hat.

Was ist so schlecht an NAT?

Die Erreichbarkeit von Geräten zu Hause ist dadurch schwieriger und komplizierter. Dem Geiste des Internet entspricht es, dass jedes Gerät mit jedem beliebigen anderen ohne Einschränkung kommunizieren kann. Wer den Zugang begrenzen möchte, soll eine Firewall einsetzen. Das Internet als solches darf hingegen nicht allein aus technischen Gründen eine Reglementierung vornehmen.

Das geht nur mit mindestens einer öffentlichen IP-Adresse pro Gerät. Das erlaubt beispielsweise ohne spezielle Kenntnisse

  • Dateien von seinem NAS-Speichersystem auch Freunden und Verwandten zugänglich zu machen beziehungsweise selbst von unterwegs darauf zuzugreifen

  • kostenlos weltweit Telefongespräche in alle Fest- und Handynetze vom normalen Festnetztelefon oder Smartphone zu führen, ohne dass der Angerufene bei einem bestimmten Dienst wie Skype registriert sein muss

  • Musiksammlungen vom eigenen DLNA-Mediaserver mit anderen zu teilen

  • bei einem ausreichend schnellen Anschluss, zum Beispiel VDSL50, sich schnell online einen Film anzuschauen, den ein Bekannter auf seinem Festplattenrekorder im Fernsehen aufgenommen hat

Die neuen Möglichkeiten hören sich toll an, kann man die nutzen, sobald der Internetprovider IPv6 anbietet?

Grundsätzlich geht das nur mit Rechnern und Geräten, die IPv6 beherrschen. Man kann zwar für IPv4-only-Geräte eingehende TCPv6- und UDPv6-Tunnel realisieren, zum Beispiel am WLAN-Router. Dieses Verfahren hat aber wie NAT Einschränkungen, beispielsweise kann ein IPv4-only Gerät nicht ohne Weiteres eine Verbindung zu einer IPv6-Adresse aufbauen.

Die Datenschützer mahnen dynamische IPv6-Adressen an, die sich regelmäßig ändern, um die Anonymität zu wahren. Kann man dann Geräte im Intranet noch erreichen?

Das ist in der Tat ein Problem, das sich aber lösen lässt. Zum Beispiel durch DynDNS-Dienste, wenn diese später IPv6 adäquat unterstützen. Heutige DynDNS-Dienste oder ihre Clients in Home-Routern unterstützen meist nur IPv4.

Viele Datenschützer haben ferner bisher nicht realisiert, dass die Zuteilung eines neuen IPv6-Netzes bei jeder Einwahl alleine keine Anonymität bietet. Bei IPv6 konfigurieren die Geräte und PCs die letzten 64 Bit der Adresse in der Regel automatisch anhand der Mac-Adresse. Das reicht aus, damit Websites jeden Nutzer jederzeit wiedererkennen können.

Dagegen kann man sich mit den IPv6 Privacy Extension schützen. Dann werden die letzten 64 Bit per Zufallsgenerator ermittelt und regelmäßig, beispielsweise täglich oder stündlich, gewechselt. Eine Erreichbarkeit ist dann aber nur durch DynDNS-Dienste möglich.

Es gibt aber den grundsätzlichen Konflikt zwischen Datenschutz und Erreichbarkeit. Eine feste Adresse sorgt dafür, dass ein Gerät, zum Beispiel ein VoIP-Telefon immer unter derselben IPv6-Adresse erreichbar ist. Anonymität der Adresse ist aber nur gewährleistet, wenn sich sowohl der Netzteil (obere 64 Bit) als auch der Hostteil (untere 64 Bit) regelmäßig ändern.

Ferner ist zu bedenken, dass andere Identifikationsdaten, etwa Cookies oder der Fingerabdruck im Browser, sowohl mit IPv4 als auch mit IPv6 von Serverbetreibern missbraucht werden können.

Welche Betriebssysteme unterstützen die Privacy Extensions?

Alle modernen Betriebssysteme beherrschen die Privacy Extensions. Sie sind aber möglicherweise standardmäßig deaktiviert. Bei Windows sind sie auf Client-Betriebssystemen voreingestellt, bei den Servervarianten jedoch deaktiviert.

Die meisten Linux-Distributionen haben die Privacy Extensions deaktiviert. Man aktiviert sie mit dem Befehl sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2. Um sie gleich beim Booten einzuschalten, trägt man die Zeile net.ipv6.conf.all.use_tempaddr=2 in die Datei /etc/sysctl.conf ein.

Bei Mac OS X ist es ähnlich wie bei Linux. Man kann die Privacy Extensions mit dem Befehl sudo sysctl -w net.inet6.ip6.use_tempaddr=1 einschalten und durch Hinzufügen der Zeile net.inet6.ip6.use_tempaddr=1 in der Datei /etc/sysctl.conf dauerhaft aktivieren. Falls die Datei nicht existiert, legt man sie einfach neu an.

Bei Android und iOS kann man die Privacy Extensions nur auf gerooteten oder gejailbreakten Geräten aktivieren. Für normale Nutzer ist das nicht möglich.