Start  |  Impressum  |  Kontakt  |  Disclaimer  |  AGB  |  Sitemap  

 
    advanced DynDNS service for professional use  
 
     
 
    

IPv6-Grundlagen



Mit DynAccess ist es möglich, dass Sie IPv6 ganz trivial nutzen können. Voraussetzung ist, dass Sie einen unserer Clients zur automatischen Account-Aktualisierung (oder gleichwertige Lösung) nutzen und den Unterschied zwischen IPv4 und IPv6 verstanden haben, um die notwendigen Konfigurationen durchführen zu können, so dass Sie IPv6 auch erfolgreich einsetzen können.


Es gibt kein NAT mehr!
Der wohl wesentliche Unterschied zwischen IPv4 und IPv6 ist, dass es kein NAT gibt!
Native Address Translation (NAT) wurde Mitte der 90-iger entwickelt, um der Adressknappheit von IPv4 zu begegnen. Es war nicht mehr notwendig, dass jeder PC eine eigene IPv4 hat, möchte er sich im InterNet bewegen. NAT haben Sie bislang in der Form kennen gelernt, als dass Sie Ports in Ihrem Router freischalten und hierbei ein Ziel im LAN definieren können. Entwickelt wurde NAT jedoch für "die andere Richtung", dass Sie von verschiedenen Arbeitsplätzen gleichzeitig surfen und auf Proxy-Server (wie z.B. AVM KEN! oder WinGate) verzichten können.
Seit 1998 boomen die heute bekannten Router. dynDNS.org wurde 1999 entwickelt - DynAccess startete seinen Beta-Test im Jahre 2000.


IPv6 ohne NAT? Wie spreche ich denn von Extern Ressourcen in meinem LAN an?
Bei IPv4 ist es so, dass Ihr Router eine öffentliche IP hat und durch PortForwarding Ressourcen im LAN mit privaten IPs (z.B. 192.168.1.10) ansprechbar sind. Sie können einmal Port 80 weiterleiten, um z.B. auf eine WebCam zu gelangen. Weitere Cams müssen über alternative Ports (z.B. 81, 82, ...) angesprochen werden, was nur bedingt praxistauglich ist.
Ports und TCP/UDP gibt es bei IPv6 nach wie vor. Es gibt aber kein NAT mehr. Vielmehr ist es so, dass jeder Rechner eine öffentliche IPv6 Adresse hat. Sie können somit von Extern auf zig Webcams im LAN über Port 80 direkt zugreifen, da jede Webcam eine eigene öffentliche IPv6 hat.


Sind meine Rechner bei IPv6 nun gänzlich ungeschützt?
Die ersten Router mit NAT-Technik wurden auch in der Form beworben, als das man die Firewall in den Vordergrund rückte. Rechner im LAN konnten von Extern nicht direkt angesprochen werden, gab man Ports nicht explizit frei. Ein "Durchhacken" wie durch den Proxy-Server war und ist nicht möglich.
Bei IPv6 ist es nun ähnlich. Sie müssen explizit Ports freischalten, um von Extern auf LAN-Ressourcen zugreifen zu können. Der einzige Unterschied ist nun, dass Sie neben dem Port auch die zugehörige IPv6 definieren können, die direkt durchgeroutet wird. Sie können somit auf unbegrenzt viele Cams in Ihrem LAN direkt via Port 80 zugreifen.
Alles nicht explizit freigeschaltete wird von Ihrem Router geblockt. IPv6 ist somit nicht "gefährlicher" als IPv4.


Kann man eine IPv4 in eine IPv6 umrechnen?
Nein - das ist nicht möglich. IPv4 und IPv6 sind 2 gänzlich unterschiedliche parallel existierende Welten, für die es keine "Umrechnung" gibt. Es gibt zwar Techniken wie Tunnelbroker/Teredo, dass Sie an einem reinen IPv4-Anschluss mit einem Trick IPv6 bereit stellen können, was jedoch kein Gateway ist, um durch "Umrechnung" von der einen Welt in die andere zu springen. Auf die Möglichkeiten, die einem ein Tunnelbroker bietet, gehen wir separat ein. Begriffe wie "Dual-Stack" oder "DS-Lite" zeigen bei einem InterNet-Zugang, ob beide IP-Welten parallel zur Verfügung gestellt werden und ob IPv4 vollwertig, d.h. mit öffentlicher und erreichbarer IP (Dual-Stack) oder wie bei DS-Lite als CGN (Carrier-grade NAT) bereit gestellt wird.


NAT64?
NAT64 möchten wir an dieser Stelle ignorieren und den Absatz zuvor mit einem Ausrufezeichen versehen. Es gibt verschiedene IPv6-Übergangsmechanismen, wie z.B. Tunnelbroker/Teredo, auf die wir separat eingehen.


Tunnelbroker/Teredo
Um IPv6 zu einem besseren Start zu verhelfen, wurden Gateway-Dienste entwickelt, die jedem und überall unabhängig vom Carrier (InterNet-Provider) IPv6 ermöglicht(e). Hierzu zählen Techniken wie 6in4, 6over4, 6to4 und Teredo.
Das Ziel, IPv6 zu einer größeren Akzeptanz und schnelleren Verbreitung zu verhelfen, gelang hierdurch nicht wirklich. Teredo hat es Dank Microsoft zu einer größeren Verbreitung gebracht.
Eine Ende-Ende IPv6-Verbindung ist jedoch nur mit echtem IPv6, welches durch den Carrier bereit gestellt wird, möglich.


Wie sieht eine IPv6 aus? Was sind Präfix und Interface Identifier?
Im Gegensatz zur IPv4 sieht eine IPv6 anders aus - salopp gesagt. IPv4-Adressen erkennt man an 4 mit Punkten getrennten Zahlen, die jeweils Werte bis 255 annehmen können. Bei IPv6 hingegen sind es 8 4-er Gruppen, die mit Doppelpunkten getrennt werden.

         2001:0db8:85a3:08d3:1319:8a2e:0370:7347

Der Präfix ist erste farbliche Part und der "Interface Identifier" der 2. Part. Beide Parts sind gleich lang, d.h. sie haben 4 4-er Gruppen. Als Wert kann eine 4-er Gruppen hexadezimale Zahlen zwischen 0000 und FFFF annehmen - dezimal gesprochen einen Wert zwischen 0 und 65536.

Da die Zahl der möglichen IPv6-Adressen so derart groß ist, hat man sinnvolle Gruppierungen vorgenommen. Die erste Gruppierung, die wir hier sehr stark pauschalieren wollen, ist die von Präfix und Interface Identifier.
Fakt ist, dass jede Ihrer IPv6 in Ihrem LAN den gleichen Präfix hat. D.h. der Präfix beschreibt Ihren InterNet-Anschluss - vergleichbar mir Ihrer IPv4. Jeder Router auf der Welt hat einen unterschiedlichen und somit eindeutigen Präfix. Auf diesen Präfix haben Sie selber keinen Einfluss, da er von Ihrem InterNet-Provider vorgegeben wird.
Beim Interface Identifier hingegen haben Sie die freie Wahl. Jedes Ihrer Geräte können Sie einen eigenen Interface Identifier zuweisen. Vergleichbar ist dies, vergeben Sie im LAN private IPs aus dem Bereich 192.168.0.0/24. Hierdurch ist es möglich, dass die Interface Identifier weltweit nicht eindeutig sind, weil jeder in seinem LAN ein Gerät mit dem Interface Identifier 1319:8a2e:0370:7347 definieren kann. In Kombination von Präfix und Interface Identifier wird jede IPv6 jedoch eindeutig.
Die zur Verfügung stehenden möglichen Adressen ist derart hoch, dass jeder Mensch über 3 Milliarden unabhängige InterNet-Anschlüsse verfügen kann. Die Zahl der mögliche Interface Identifier ist identisch hoch, was in Kombination eine Zahl an mögliche IPv6 ergibt, dass man jedem Sandkorn aller Wüsten eine eigene IPv6 geben könnte.


Doppelter Doppelpunkt? ::?
IPv6-Adressen sind aufgrund ihrer Länge nicht sehr griffig. Es gibt Vereinfachungsregeln, wo man sich verständigt auf Nullen zu verzichten, ändert sich der Wert nicht.

         2001:0db8:85a3:08d3:1319:8a2e:0370:7347

ist identisch mit

         2001:db8:85a3:8d3:1319:8a2e:370:7347

Weitere Nullen dürfen jedoch nicht weggelassen werden, da sonst der Zahlenwert verändert werden würde. Bestehen ganze Blöcke aus Nullen, so können diese komplett weg gelassen werden und durch einen doppelten Doppelpunkt ersetzt werden. Gibt es jedoch mehrere Blöcke mit Nullen, muss man sich für einen Block entscheiden, der durch einen doppelten Doppelpunkt ersetzt werden soll, ansonsten nicht eindeutig ist, wie viele Nullen jeweils durch einen doppelten Doppelpunkt ersetzt wurden.

Identisch sind   2001:0db8:85a3:0000:0000:0000:0370:7347    und    2001:db8:85a3::370:7347

2 Doppelpunkte können somit gleichzeitig Nullen aus Präfix und Interface Identifier ersetzen.


Netzmasken wie z.B. /56 oder /64?
Der Begriff der Netzmaske war uns schon zu IPv4-Zeiten geläufig. Private Netze wurden mit 192.168.0.0/24 oder 192.168/24 bezeichnet. Die /24 gibt an, wie viele Bits von einem Netz festgeschrieben, d.h. identisch sind. Eine IPv4 besteht aus 4 Blöcken zu je 8 Bits. 24 Bits, d.h. 3 Blöcke sind festgeschrieben. Man könnte auch schreiben: 192.168.0.x - d.h. ein /24-Netz besteht aus 256 IP-Nummer. Im Volksmund sagt man hierzu gelegentlich Class C Netz.
Obwohl die CIDR-Notation bereits 1993 eingeführt wurde, also zu einem Zeitpunkt wo das InterNet noch Dienste wie Gopher kannte, was wiederum 95% aller Leser dieses Satzes nicht mehr kennen (Gopher ist der Vorgänger von Google), halten sich Begriffe wie Class C bis heute.

IPv6 greift zur Beschreibung von Netzen ebenfalls auf CIDR zurück. Bei IPv6 ist nur der Vorteil, dass der Adressraum so groß ist, dass wir auf komplexes Subnetting verzichten können. Subnetting ist, wenn wir wie bei IPv4 nicht in /8, /16 oder /24 Dimensionen denken, sondern mathematisch nicht unbegabt sein sollten, gehen wir mit Teilnetzen wie /25, /26 oder /27 um.
CIDR wurde 1993 für IPv4 eingeführt, um Netze (d.h. IP-Kreise) kleiner zu gestalten, um die Zahl der IPs besser auszunutzen. Zusammen mit NAT war CIDR eine Entwicklung, um das Ende von IPv4 hinauszuzögern und um die Übergangszeit von IPv6 zu verlängern. IPv6 wurde nämlich schon 1995 entwickelt - d.h. vor über 20 Jahren und zu einer Zeit, wo es weniger als 10.000 .de-Domains gab.

Das Präfix aus unserem Beispiel lautet 2001:0db8:85a3:08d3. Ganz korrekt geschrieben lautet es 2001:0db8:85a3:08d3/64, denn das Präfix beschreibt ein Netz, wo die ersten 64 Bits der IPv6 festgeschrieben sind.
Für Provider sind Netzmasken von weniger als /64 (d.h. /56, /48, /32 oder /16) von Interesse. Die IANA (die Herrscherin über die IPs) hat /12 bzw. /16 große Netze an die untergeordneten Organisationen wie RIPE NCC, ARIN, APNIC, LACNIC und AFRINIC vergeben. Das RIPE NCC ist in Europa dafür zuständig an seine Mitglieder (i.d.R. InterNet-Service Provider) IPv6 Netze zu vergeben. Diese Netze, die die Provider erhalten, sind id.R. /32 groß. Kunden von diesen Providern, die nicht RIPE-Mitglied sind, erhalten id.R. Netze der Größe /48 zugeteilt.
Endkunden erhalten bei Ihrer InterNet-Einwahl nun i.d.R. ein /56-Netz - d.h. 8 weitere Bits zur freien Verfügung.


Man kann nun vereinfacht sagen, dass die erste Hälfte der IPv6-Adresse den DSL-Router und den Anschluss beschreibt und die 2. Hälfte frei definierbar ist. Das gilt, stellt Ihnen Ihr Provider ein /64 Netz bereit. Erhalten Sie jedoch ein /60, /56 oder gar /52 oder /48 Netz, erhalten Sie weitere Bits zur freien Konfiguration.


Privacy Extensions
Der Datenschutz-sensible Leser wird bereits festgestellt haben, dass anonymes Surfen der Vergangenheit angehören könnte, da jeder Computer über den Interface Identifier sehr einfach identifizierbar sein würde. Auch wenn diese Interface Identifier nicht eindeutig (da frei wählbar) sind, so ist dennoch die Chance recht hoch, dass es nur selten 2 identische Suffixe gibt.
So ist bislang ein großer Vorteil der dynamischen IP gegenüber der statischen, dass ein Surfer sich relativ anonym auf Webseiten bewegen kann, zumal die Reichweite von Cookies, die dies unterwandern können, bewusst beschränkt ist und Google Analytics nicht überall genutzt wird.

Die Lösung dieses Problems heißt Privacy Extensions. Jeder Client, d.h. jeder Computer gibt sich in relativ kurzem Zeitinterval regelmäßig ein neues Suffix, um die Anonymisierung "etwas" zu verbessern. Je nachdem, ob man an seinem Anschluss eine statische oder dynamische IPv6 hat, würde man sicherlich wie bei statischen IPv4 auch, bedingt identifizierbar sein.


MAC-basierte IPv6 für den Zugriff von Extern
Um die IPv6-Konfiguration von Endgeräten zu vereinfachen und unabhängig von statischen Konfigurationen und erreichbaren DHCP-Servern zu machen, haben Netzwerkschnittstellen voll automatisch eine MAC-Adressen basierte IPv6.
Dies bietet sich an, da MAC-Adressen weltweit eindeutig sind und eine hierauf basierende IPv6 es somit ebenfalls ist.
Da MAC-Adressen jedoch eine Länge von 48 Bit haben, der Interface Identifier jedoch 64 Bit hat, erhält der Interface Identifier 16 zusätzliche Bit, woran eine entsprechende Adresse auch leicht zu erkennen ist.
Vereinfacht gesagt, wird die MAC-Adresse in der Mitte halbiert, "fffe" in der Mitte eingefügt und nach dem Invertieren des 7. Bit Doppelpunkte für die IPv6-Notation gleichmäßig verteilt.
Beispiel: 2001:0db8:85a3:0000: ba27:ebff:fe16:de57

    
 

AIScms © by Ambos InterNet-Solutions e.K. in 2016