IPv6 privat umsetzen und nutzen (Vodafone Festnetz, Drillisch Mobilfunk)

[Schnitz]

Ahoi Forumbaseler,

ich habe kürzlich eine Fortbildung zum Thema IPv6 durchlaufen und muss sagen das ich sehr von den Möglichkeiten die IPv6 bietet angetan bin.

Das Problem ist jedoch das die Fortbildung auf den Enterprise-Bereich beschränkt war in dem die Umsetzung technisch kein Thema darstellt.

Ich würde mich aber gerne im Bezug auf meine Heimumgebung gerne von allen Cloudlösungen verabschieden was bisher wegen der Unzulänglichkeiten von IPv4 (Stichwort NAT) nicht möglich war. Gerne hätte ich rückblickend früher IPv6 kapiert, aber jetzt liegt das Kind im Brunnen aber ein Seil schwebt glücklicherweise vor seiner Nase. Also rausziehen!

Im privaten Labor habe ich jetzt auf einer Fritzbox 7490 mit Vodafone DSL Anschluß IPv6 per 6to4 realisiert und alle Linux-Systeme auf IPv6 only umgestellt. VF bietet nativ im DSL-Netz schwacherweise leider nicht mal DS-Lite.

1. Frage: ist 6to4 eine gute Lösung oder sollte ich lieber einen Tunnelanbieter verwenden? Welcher wäre da zu empfehlen und wie lange ist dann mein IP-Netzbereich exklusiv für mich?

Zum anderen benutze ich auf dem Phone einen Drillisch Vertrag, also O2 die auch kein IPv6 im Mobilfunknetz nutzen.

2. Frage: Wie kriege ich für mein Phone (Android 7, kein root) eine IPv6 um auf meine Heimgeräte zugreifen zu können? Möglichst ohne Zusatzkosten? VPN sollte weiterhin nutzbar bleiben. Alle Lösungen die ich finden konnte werden über VPN realisiert, so dass man keine separates VPN mehr aufbauen kann.
Sollte ich eine zweite Sim (Phone kann Dualsim) von Congstar mit der Messenger-Option (=kostenlos - 1GB mit 32kbit) dafür nutzen? Im D1 Netz bekommt man ja eine IPv6. Wie kann ich es realisieren das ich über diese IPv6 meine Geräte ansteuere? Kann ich das dann irgendwie noch über meine O2-Flat laufen lassen? Oder muss ich hier nen ordentlichen Umstieg hinlegen? Oder gibt es eine gute Alternative?

Fragen über Fragen...

Danke schon mal für eure Hilfe und wenn noch irgendwelche Infos fehlen sagt mir einfach was ihr noch braucht

Grüße
Schnitz

 

[Ic3HanDs]

Wie du selbst festgestellt hast ist das Problem das deine Provider es alle noch nicht umgesetzt haben, was ziemlich traurig ist..

Ich habe D1 mobil mit IPv4 und IPv6, privat einen lokalen Anbieter für Internet der mir auch beides ohne Probleme per Dual-Stack bereitstellt. Da wirst du ohne das die Provider es nicht endlich sauber umsetzen auch nicht viel machen können.

Übrigens nutzen alle Geräte von sich aus primär IPv6 wenn Sie können da es schneller dank fester Header Größen. Ich würde da nicht extra auf IPv6 exklusiv umstellen.

PS: Habe selber auch beim RIPE die entsprechenden IPv6 Lehrgänge gemacht und damals einen Kurs dafür gemacht

 

[Schnitz]

Ich würde da nicht extra auf IPv6 exklusiv umstellen.

Warum sollte ich zwei Firewall-Regeln pflegen wenn es in meinem Szenario nicht notwendig ist?

Das meine Provider nix taugen ist mir ja bekannt, deswegen suche ich ja nach Lösungen. Wenn in 2 Jahren nichts bei VF/O2 passiert ist gehe ich sowieso ganz zum rosa Riesen.

Trotzdem: Jetzt hätte ich auch gerne eine brauchbare Lösung.

 

[TheCadillacMan]

Wie praktikabel IPv6-only ist hängt natürlich vom eigenen Nutzungsprofil ab.
Man muss leider immer noch damit rechnen, dass manche Seiten (z. B. sogar Twitter) nicht erreichbar sind. Ich persönlich könnte auf Dual Stack aktuell noch nicht verzichten.

1. Frage: ist 6to4 eine gute Lösung oder sollte ich lieber einen Tunnelanbieter verwenden? Welcher wäre da zu empfehlen und wie lange ist dann mein IP-Netzbereich exklusiv für mich?

Ich nutze den Tunnel Broker von Hurricane Electric. Der basiert auf dem etwas robusteren 6in4. Dort bekommst du einen eigenen /48-Prefix zugeteilt den du nach belieben und zeitlich unbegrenzt* nutzen kannst.
*Solange der Tunnel Broker eben betrieben wird. Theoretisch kann der Dienst natürlich jederzeit eingestellt werden, siehe SixXS.

Sollte ich eine zweite Sim (Phone kann Dualsim) von Congstar mit der Messenger-Option (=kostenlos - 1GB mit 32kbit) dafür nutzen? Im D1 Netz bekommt man ja eine IPv6. Wie kann ich es realisieren das ich über diese IPv6 meine Geräte ansteuere? Kann ich das dann irgendwie noch über meine O2-Flat laufen lassen?

Nein, das geht nicht, weil die D1-IP logischerweise nicht nicht über das O2 geroutet wird.
Wenn du die VPN-Lösungen nicht nutzen willst wirst du wohl oder übel das Netz wechseln müssen.

 

[Schnitz]

Ich nutze den Tunnel Broker von Hurricane Electric. Der basiert auf dem etwas robusteren 6in4. Dort bekommst du einen eigenen /48-Prefix zugeteilt den du nach belieben und zeitlich unbegrenzt* nutzen kannst.

Danke!
Wäre es möglich den zugewiesen Prefix dann irgendwie auf den Anschluss meines Providers umzuziehen sobald dieser IPv6 unterstützt oder ich zur Telekom wechsle?

Nein, das geht nicht, weil die D1-IP logischerweise nicht nicht über das O2 geroutet wird.

Ich hatte gehofft das man das irgendwie bridgen oder umleiten könnte, aber ja es ist immer noch 2018 und ich bin immer noch technologisch im Steinzeitland namens Deutschland. Hier geht es ohne Providerwechsel also nicht.

 

[TheCadillacMan]

Wäre es möglich den zugewiesen Prefix dann irgendwie auf den Anschluss meines Providers umzuziehen sobald dieser IPv6 unterstützt oder ich zur Telekom wechsle?

Nein, denn der Prefix ist Teil eines sog. "Provider Aggregatable (PA)-Block". Daraus kann man nicht einzelne Blöcke herauslösen und zu einem anderen Provider routen. Wenn man das machen würde, würde die Routing Tabelle des Internets noch unüberschaubarer als sie eh schon ist.
Mit einem PI-Block wäre das theoretisch anders, allerdings sind die auf Providerseite mit erheblichem Aufwand verbunden weshalb die auch kein "haushaltsüblicher" Internet-Provider für dich routen würde.

Ich hatte gehofft das man das irgendwie bridgen oder umleiten könnte, aber ja es ist immer noch 2018 und ich bin immer noch technologisch im Steinzeitland namens Deutschland. Hier geht es ohne Providerwechsel also nicht.

Grundsätzlich technisch möglich wäre das schon, allerdings gilt auch hier die Einschränkung von oben.

 

[Schnitz]

Nein, denn der Prefix ist Teil eines sog. "Provider Aggregatable (PA)-Block". Daraus kann man nicht einzelne Blöcke herauslösen und zu einem anderen Provider routen.

Dann wäre es also sinnvoll wenn man eine dauerhafte Konfiguration nutzen will ohnehin einen externen Anbieter zu nutzen um mit seinem Block auch Privat-Provider-unabhängig zu bleiben.

Gibt es eigentlich eine Möglichkeit als Privatmensch dauerhaft einen Block für sich zu sichern (sponsoring LIR und Ripe-Mirgliedschaft mal ausgeschlossen )? Denn Dienstleister für IPv6 Services können ja wie schon erwähnt auch aufhören zu existieren :/ (Aber ich will mal nicht schwarz malen, vorerst ist das eine gute Lösung )
Ich habe keine Lust dann irgendwann mal IPs im dreistelligen Bereich ändern zu müssen

 

[TheCadillacMan]

Dann wäre es also sinnvoll wenn man eine dauerhafte Konfiguration nutzen will ohnehin einen externen Anbieter zu nutzen um mit seinem Block auch Privat-Provider-unabhängig zu bleiben.

Es bleibt dir natürlich unbenommen den Tunnel auch an einem Dual Stack-Anschluss weiter zu betreiben.
Das mache ich z. B. an meinem Telekom-Anschluss um einige Geräte mit statischen IPv6-Adressen versorgen zu können, da der Telekom-Prefix nicht fest ist.

Gibt es eigentlich eine Möglichkeit als Privatmensch dauerhaft einen Block für sich zu sichern (sponsoring LIR und Ripe-Mirgliedschaft mal ausgeschlossen )?

Abgesehen vom erwähnten PI-Space meines Wissens nicht, da der Block ja dann zwangsläufig jemand anderem zugewiesen sein muss. Wenn diese Entität nicht mehr existiert oder den Block zurückgibt hast du Pech.
PI-Space routen zu lassen ist als Privatanwender wie gesagt auch nicht ganz einfach, sodass auch die Nützlichkeit eines solchen Blocks nicht selbstverständlich ist.

Ich habe keine Lust dann irgendwann mal IPs im dreistelligen Bereich ändern zu müssen

IPv6-Adressen lassen sich genau wie IPv4 per DHCP(v6) verteilen. Halbwegs aktuelle Linux und Windows-Versionen unterstützen das.
Android kann bislang nur SLAAC, aber solchen Geräten weißt man vergleichsweise selten eine statische IP zu.

 

[Schnitz]

IPv6-Adressen lassen sich genau wie IPv4 per DHCP(v6) verteilen. Halbwegs aktuelle Linux und Windows-Versionen unterstützen das.

Kannst Du bitte mal genauer erklären was Du damit meinst? Mein Gedanke war das jedes Geräte eine (bzw. so viele wie notwendige - also Sensoren, Display usw. mit eigener IP ansteuern) feste IP bekommen auf die ich direkt von überall zugreifen kann. Dazu brauche ich doch eigentlich anerkannte unique-IPs für jeden Endpunkt oder habe ich gerade einen Denkfehler drin?

 

[Yuuri]

Wie praktikabel IPv6-only ist hängt natürlich vom eigenen Nutzungsprofil ab.

Imho komplett, für jeden, ganz unabhängig vom Profil des Nutzers.

Domain	Record Type	Host Name	IP Address
alternate.de	A	alternate.de	138.201.88.167
alternate.de	AAAA
www.alternate.de	A	www.alternate.de	195.234.50.235
www.alternate.de	AAAA
otto.de	A	otto.de	194.195.11.30
otto.de	AAAA
www.otto.de	A	ingress.live.scalewaf.cloud.otto.de	18.197.125.165
www.otto.de	A	ingress.live.scalewaf.cloud.otto.de	18.197.125.165
www.otto.de	A	ingress.live.scalewaf.cloud.otto.de	18.184.130.138
amazon.de	A	amazon.de	176.32.108.185
amazon.de	A	amazon.de	52.95.120.34
amazon.de	A	amazon.de	52.95.120.34
amazon.de	AAAA
www.amazon.de	A	djvbdz1obemzo.cloudfront.net	13.32.113.200
google.de	A	google.de	172.217.19.195
google.de	AAAA	google.de	2a00:1450:4001:81f::2003
www.google.de	A	www.google.de	172.217.19.195
www.google.de	AAAA	www.google.de	2a00:1450:400e:808::2003
golem.de	A	golem.de	77.247.84.129
golem.de	AAAA
www.golem.de	A	www.golem.de	77.247.84.129
www.golem.de	AAAA

Die Hälfte hat kein IPv6 aktiviert und mal sehen wann da Bewegung rein kommt... Extrem fragwürdig heutzutage... Vor allem hätte ich bei Amazon mehr erwartet.

 

[TheCadillacMan]

Kannst Du bitte mal genauer erklären was Du damit meinst?

Du lässt die IPv6-Adressen direkt von einem DHCPv6-Server vergeben. Wenn du feste IPs haben willst nutzt du eine Reservierung. Alles wie bei IPv4/DHCPv4. Dann kannst du im Fall des Falles einfach die Ranges/Reservierungen anpassen ohne jedes Gerät einzeln umzukonfigurieren. Bei IoT-Geräten ist die DHCPv6-Unterstützung natürlich nicht garantiert. Das müsste man dann Gerät zu Gerät sehen.

Wenn du wirklich tiefer in IPv6 einsteigen willst würde ich aber die FritzBox gegen was besseres tauschen. Ich z. B. nutze pfSense womit man erheblich mehr Einstellmöglichkeiten hat als mit einer FritzBox.
Andere Optionen wären z. B. der pfSense-Fork OPNsense oder auch die Geräte von MirkoTik. Von den sonst empfehlenswerten Ubiquit-Geräten würde ich in deinem Fall Abstand nehmen, weil UBNT IPv6 immer noch etwas zweitrangig behandelt.

 

[Schnitz]

Du lässt die IPv6-Adressen direkt von einem DHCPv6-Server vergeben. Wenn du feste IPs haben willst nutzt du eine Reservierung. Alles wie bei IPv4/DHCPv4.

Also wie gesagt ich will jedes Gerät direkt aus dem Internet erreichen können auch noch in 10 Jahren unter der selben Adresse. Ob ich nun die Adressen auf seiten des DHCP fixiere oder im Gerät/System selbst macht dann ja eigentlich nur in sofern einen Unterschied das ich noch einen DHCP pflegen muss, was, wie Du schon schon zu recht befürchtest, bei IoT ohnehin ein Problem werden könnte.

Wenn du wirklich tiefer in IPv6 einsteigen willst würde ich aber die FritzBox gegen was besseres tauschen. Ich z. B. nutze pfSense womit man erheblich mehr Einstellmöglichkeiten hat als mit einer FritzBox.

Die Fritzbox steht wie eingangs erwähnt

Im privaten Labor

Bevor ich mein produktives Heim umstelle brauche ich noch etwas freie Zeit und die DAU_Box ist für erste Übungen einfach schneller und einfacher zu konfigurieren - und ja es ist so gesehen die Dunkle Seite

Am Ende wird das ganze aber über produktiv OPNsense laufen.

 

[TheCadillacMan]

Also wie gesagt ich will jedes Gerät direkt aus dem Internet erreichen können auch noch in 10 Jahren unter der selben Adresse.

Das kann dir niemand garantieren, weil der Prefix innerhalb von 10 Jahren durchaus mal wechseln kann (hatten wir ja schon diskutiert). Wobei du selbst mit SLAAC zumindest relativ feste Suffixe hast, weil sie aus der MAC-Adresse erzeugt werden.
Die pragmatische Lösung ist meiner Meinung nach DNS allein schon, weil IPv6-Adressen nicht unbedingt "handlich" sind.

Ob ich nun die Adressen auf seiten des DHCP fixiere oder im Gerät/System selbst macht dann ja eigentlich nur in sofern einen Unterschied das ich noch einen DHCP pflegen muss

Du hast halt die zentrale Kontrolle über die IP-Vergabe. Die IPs auf den Geräten musst du dann nicht mehr pflegen.
Einen DHCPv6-Server brauchst du wahrscheinlich sowieso um z. B. DNS-Server zu verteilen. Das geht grundsätzlich auch im Router Advertisement wird darüber aber bei Windows nur von den neuesten Versionen unterstützt.

 

[Schnitz]

Die pragmatische Lösung ist meiner Meinung nach DNS allein schon, weil IPv6-Adressen nicht unbedingt "handlich" sind.

Das kann man wohl sagen

Einen DHCPv6-Server brauchst du wahrscheinlich sowieso um z. B. DNS-Server zu verteilen.

Das ist ein gutes Argument!

aber bei Windows

Gibt es bei mir im Haus schon lange nicht mehr und schlage ich beruflich mittlerweile auch aus


Vielen Dank für Deine Hilfe muss ich an dieser Stelle mal aussprechen, dass war alles sehr erhellend für mich.

Die Hälfte hat kein IPv6 aktiviert und mal sehen wann da Bewegung rein kommt... Extrem fragwürdig heutzutage... Vor allem hätte ich bei Amazon mehr erwartet.

Die betroffenen Systeme sollen ja keine Webseiten ansteuern sondern nur für mich erreichbar sein