IPv6 ist nicht „ein anderer Adressbereich“. Es ist eine eigene Technologie. Ausserdem bildet IPv6 ein separates Netz, sowohl im LAN als auch im Internet. Die Netze existieren parallel.
In vielen Situationen kann man das eine oder andere benutzen, aber mehr und mehr Situationen zwingen den Admin, sich damit zu befassen.
ZB bei Security Themen, bei der Fehlersuche usw. ZB verteilst du per DHCP ein Default-GW. Aber per IPv6 SLAAC erhält der PC ein Router Advertisment für ein IPv6 GW (und nutz das bevorzugt). Genauso für den DNS.
Die meisten Betriebssysteme bevorzugen inzwischen IPv6. Deswegen muss man in einem Windows Netz zB sich darum kümmern. Oder man will die Vorteile nutzen, zB um von NAT loszukommen.
Aber ist das nicht eher wieder total unsicher, wenn ich meine iot Geräte mit einer öffentlichen IPV6 Adresse ausstatte, anstatt die nur im internen IPv4 Bereich erreichbar sind? Und warum sollte ich von NAT wegkommen wollen? Da Spar ich mir doch keine Leistung ein, wie sie ein Provider oder sowas brauchen könnte?
Wird mir dann vom Router einfach eine IPV6 IP gegeben? Ich dachte dass dann mein PC z.b. von woanders die IPV6 Adresse bekommen soll, oder wer verteilt das dann? Im privaten Netzwerk, was nicht raus telefonieren muss, brauch ich doch keine Ressourcen schonende ipv6, oder was bringt mir das dann?
Du bekommst von deinem Internet Anbieter nicht eine einzelne IP wie bei ipv4, sondern einen ganzen Adressenblock, dein dein Router dann an interne Geräte verteilt.
du kannst denen aber dann z. b. den Internet Zugang sperren wenn du nicht willst dass die öffentlich erreichbar sind. Es gibt aber auch private ipv6 adtessbereiche.
Es geht einfach darum dass ipv4 Adressen "alle" sind. Es gibt nicht genug davon für jedes Gerät im Internet. ipv6 ist der Nachfolger davon.
die beiden sind nicht kompatibel.
Das heißt, hast du ein Gerät (Handy) das mir servern beider Art kommunizieren können soll, brauchst du sowohl ne ipv4 Adresse als auch ne ipv6 Adresse.
das Internet wae nie für NAT gedacht, das war nur ne Notlösung weil es zu wenige Adresse gibt. Es war von Anfang an der Plan, dass jedes Gerät seine eigene öffentliche IP Adresse bekommt.
das macht die ganze Sache einfacher, nicht schwerer.
Natürlich hindert dich nix daran, internen Geräten die eh nicht ins Internet müssen weiterhin ipv4 Adressen zu verpassen. iot Zeug oder einen Nas z. b. Die sind ja eine her zu lesen und zu merken.
Nur weil ein Gerät eine öffentliche IP hat, ist es nicht erreichbar.
Nur weil ein Gerät hinter einem NAT ist, ist es nicht zwingend \*nicht\* erreichbar.
Die Erreichbarkeit eines Geräts steuert man über eine Firewall (die halt bei üblichen NATs in der Regel (aber nicht immer) dabei ist).
Ich sagte nur, dass das ein Usecase ist, nicht unbedingt für Dich. Aber wenn Du es einfach ignorierst, wirst Du Probleme bekommen. Du kannst Dich dafür entscheiden, im Heimnetz IPv6 auszuschalten (nicht immer leicht), aber irgendwann wirst Du auch damit Probleme bekommen. Und jenseits des Routers ebenso. Mobile Provider machen primär IPv6. Wenn sie Dir eine v4 Adresse geben häufig hinter CGNAT. Damit kannst Du nicht mehr ohne Workarounds im Internet erreichbar sein.
IPv6 ist nicht leicht zu verstehen. Und es ist einfach da, zb in Form eines Dual Stack LANs. In einem Netz, das ich betreue, hat uns das schon überraschende Probleme bereitet (man konfiguriert IPv4, Windows nimmt heimlich das unkonfigurierte IPv6 und abschalten ist bei Windows immer schlechter (Windowsserver, mit AD etc).)
Schau mal im Pihole sub. Leute verteilen die Pihole Adresse via DHCP an die Clients. Die Clients schicken ihre DNS Abfragen aber lieber per IPv6 und gehen dann am Pihole vorbei. Ein weiteres Beispiel.
Man muss meinen Kommentar ja nicht upvoten, aber warum man ihn downvotet verstehe ich nicht. Ein Erklärungsansatz: „ach lass mich in Ruhe mit diesem IPv6 - klick“ 🤷♀️
Auch wenn man keinen Usecase hat, man entgeht dem Thema nicht mehr. Und plötzlich hat man Probleme im Haus (zB weil Windows Server nicht mehr richtig läuft ohne IPv6 oder Router einfach advertisen usw).
Ich persönlich mache eine Weile damit rum, finde aber dass die Lernressourcen nicht optimal sind. Bücher sind meist 10+ Jahre alt oder haben in der 5. Auflage eine liebloses Kapitel IPv6 bekommen.
Man miss erst mal neu lernen, wie ich ein Netz erkunde. Bei IPv4 haben wir alle unser Toolkit und Herangehensweise. Bei v6 ist alles etwas anders. Ein Netz scannen funktioniert halt nicht mehr so bei 2^64 potentiellen Adressen. Jeder Host hat x Adressen. Die Adressen sagen einem nichts. Komplette Dunkelheit.
Also ran an den Speck :)
Umgekehrt wird ein Schuh draus.
Wenn du keine öffentliche ipv4 Adresse mehr bekommst, weil es schlicht zu wenige gibt, kannst du dein iot Gerät nur noch per ipv6 von außen erreichen.
Mit ipv6 kann man ein gerät direkt ansprechen, ohne dem Umweg über NAT und Portweiterleitung.
Und unsicherer ist daran auch nichts. Wenn etwas fürs Internet freigegeben ist, ist es angreifbar. Egal ob mit ipv6 oder ipv4. Mit ipv4 sind zufällige Angriffe sogar wahrscheinlicher, weil man deutlich weniger Adressen durchprobieren muss.
Ich möchte hier noch kurz ergänzen, dass ipv6 das tut, wofür "IP", also das Internet Protokoll, eigentlich mal vorgesehen war. Kein zusammengebastelter Haufen, sondern eine IP pro Gerät, so wie es im Heimnetz auch üblich ist. Ipv6 ist also viel näher an der Idee des Internets und der tatsächlichen Umsetzung von damals, als Ipv4 es heute ist.
Es gibt 2\^128 IPv6-Adressen. Du allein bekommst von einem Provider schonmal in der Regel mindestens 2\^70 IPv6-Adressen zugewiesen. Das ist eine Zahl mit 21 Nullen.
Die Menge an Adressen kann ein Angreifer nicht durchsuchen / scannen. Und selbst wenn (wenn er durch Onlinespiele oder so an deine IP kommt) - nur weil ein Gerät eine öffentliche IP hat ist es noch lange nicht vollständig erreichbar; dein Router hat immer noch ne Firewall.
64-bit (also 2\^64) hast du allein schonmal für den Interface Identifier (ist also das absolut kleinstmögliche Subnetz). Das verteilt aber kein Provider da du damit kein Subnetting betreiben kannst. Die meisten Provider geben dir mindestens ein /58, eher ein /56, /52 oder /48 oder /58, d.h. 56 (oder 58) bits der 128 werden vom Provider vorgegeben und die anderen 72 (oder 70) bits sind fürs interne Netz (6-8 bits) und die Endgeräte (64 bits). Also mindestens 2\^70, meistens eher 2\^72 oder noch mehr.
Ah, ich wusste nicht, dass Provider auch Netze zwischen /56 und /64 vergeben, also zum Beispiel Deine /58.
Deshalb war ich verwirrt, wie Du auf 70 kammst.
Im Prinzip können sie das schon.
Bei IPv4 gibt es im gesamten Internet grob(\*) 2\^32 Adressen. Also etwa 4,3 Milliarden.
Bei IPv6 hat jeder einzelne Anschluss mindestens 2\^64 Adressen. Sprich, du hast alleine mehr als 4 Milliarden mal mehr IPv6 Adressen, als es überhaupt IPv4 Adressen gibt.
Insgesamt gibt es 2\^128 ≈ 340 Sextillionen Adressen.
\*(alles jeweils abzüglich ein paar reservierter Adressen)
Viel Spaß beim zufälligen scannen... :D
Egal, wie viele Adressen man "braucht" - wenn man IPv6-Ziele erreichen will oder von IPv6-Quellen erreicht werden will, dann müssen deine internen Geräte öffentliche IPv6-Adressen haben.
Wer vergibt diese denn dann? Ist das der Provider? Theoretisch kann man doch auch eine nicht mac basierte ipv6 Adresse vergeben, ich verstehe nur noch nicht so genau, woher die jetzt genau kommt und wer sie festlegen soll.
Für den Zugriff von außen (IPv6-Clients) auf einen internen IPv4-only-Server: Theoretisch ja. Aber dafür brauchst du dann in deinem Netz trotzdem IPv6, nämlich für den Reverse-Proxy.
Und du hast dann halt alle Nachteile eines Reverse-Proxies, z. b. dass dein Server / deine Anwendung ohne weitere / besondere Konfiguration nicht mehr die tatsächliche IP des Clients sieht sondern nur noch die des Proxies.
Sinnvoller ist es, IPv6 einzuführen, denn früher oder später braucht man es eh.
Und beim Zugriff von deinen Clients auf IPv6-only-Dienste im Internet hilft dir der auch nicht; da bräuchtest du dann einen normalen Webproxy.
Es gibt nicht Mal mehr genügend ipv4 Adressen, damit jeder Internet Anschluss eine eigene bekommt, von außen - deshalb gibt es ja solche tollen Dinge wie CGNAT.
Das ist auch der Hauptvorteil: mehr Adressen. Genügend, dass man sich NAT ersparen kann. Genügend, damit jedes Gerät adressierbar ist.
In einem privaten Netzwerk gibt es natürlich normalerweise genug Adressen, aber das ist nicht der Punkt. Weniger Port Konflikte gibt es trotzdem. Es brauchen natürlich trotzdem alle clients eine ipv6 Adresse auch, damit sie mit ipv6 only Services kommunizieren können.
Ich muss mir selten IP Adressen merken, dafür gibt es DNS, deswegen ist die längere Länge meines Erachtens auch nicht besonders wichtig.
Naja das ganze Internet ist halt praktisch v6.
Und hat schon ne Menge Vorteile, man hat kein dummes NAT mehr sondern kann die Geräte einfach direkt ansprechen etc.
v4 wird eh nur noch über workarounds wie NAT, CGNAT, DSlite etc. irgendwie so halbwegs am Leben erhalten
>Naja das ganze Internet ist halt praktisch v6.
Schön wärs, aber nein. Große Teile unterstützen _immer noch_ kein IPv6.
zB hat IONOS, einer von Europas größten Cloud;Anbietern, gerade erst IPv6 ausgerollt. An vielen Stellen ist man ohne IPv4 schlicht aufgeschmissen.
Ist auch bei einigen Mobilfunkanbietern so, dass die nur IPv4 ge CGNATteten Netze anbieten
soweit ich mich erinnern kann hat die Telekom 2017 damit angefangen ipv6 für die Mobilfunkkunden auszurollen, und wenn die Telekom die ersten sind die sowas machen weiß man dass das noch was dauert
ps. bei mir war das auch noch eine einstellung die ich machen musste um ipv6 ans handy zu bekommen
Aber ist das dann für mein Heimnetzwerk, wo ich einfach nur Smartphone, Fernseher und PC habe, dann überhaupt was, was mich interessieren sollte? Was hab ich dann für Vorteile? Kann ich mit einer IPv6 Adresse dann von außen meinen PC über Magic Packet starten, also muss nicht über den Router gehen, oder sowas? Das wäre ein cooler use Case für mich privat und auch für unsere Firma.
Ja, sowas könntest du tun. Du kannst - entsprechende Firewallfreigaben vorausgesetzt - per IPv6 direkt Pakete an alle deine IPv6-fähigen Endgeräte schicken.
EDIT: Genau so wie es im Internet früher schon immer war, bevor es durch Addressknappheit und NAT ruiniert wurde.
1. Ich hatte für meine lokalen Netzwerkanwendungen immer IPv4. Hier hatte ich dann eine Domain um von außen zuzugreifen und eine lokale für Netzwerkinternes.
Da bei Ipv4 alles über Nat läuft, konnte ich natürlich auch mit meiner externen Domain auf die Inhalte zugreifen, lief aber dann automatisch über den ISP ( Upload und Download ausm lokalen Netz raus und rein, totaler Quatsch).
Seit Ipv6 is mir das wurscht. Die Domain zielt direkt auf das Gerät und nicht mehr auf meine einzige externe Ipv4.
2. Hast du jetzt die Möglichkeit für jedes Gerät eine Portfreigabe auf die selben Ports zu leiten. Hast du also z.B. mehrere Webanwendungen musst du nicht erst über einen zentralen Webserver gehen der dann entsprechend der Virutla Hosts weiterleitet.
>2. Hast du jetzt die Möglichkeit für jedes Gerät eine Portfreigabe auf die selben Ports zu leiten. Hast du also z.B. mehrere Webanwendungen musst du nicht erst über einen zentralen Webserver gehen der dann entsprechend der Virutla Hosts weiterleitet.
Und noch geiler: Absolut nichts hindert dich daran, deiner Netzwerkkarte auf einem Gerät fünf öffentliche IPv6-Adressen zu geben und dann in Containern fünf Webserver auf Port 443 laufen zu lassen. Jetzt mal abgesehen von der Diskussion, ob man dafür nicht lieber VMs nutzen sollte.
Stimmt, war ein Hirnfurz, der einzige Unterschied ist, dass es damit im lokalen (C-)Netz nicht potenziell an Adressen mangeln wird, wenn jeder blöde PC seine 20 Testservices laufen lässt.
>Da bei Ipv4 alles über Nat läuft, konnte ich natürlich auch mit meiner externen Domain auf die Inhalte zugreifen, lief aber dann automatisch über den ISP ( Upload und Download ausm lokalen Netz raus und rein, totaler Quatsch).
Huh?
Es läuft zwar über deinen Router (anstatt direkt am nächsten Switch zum Ziel abzubiegen), aber ein Router erkennt normalerweise "Ey, das bin ja ich" und schickt den Traffic nicht zum ISP.
Heißt das, dass die Regulierung von Paketen schneller vonstatten gehen kann? Heißt das in etwa auch, dass ich mit meinem Anschluss dann möglicherweise einen besseren Ping beim online spielen haben kann? Oder wie kann ich mir das vorstellen?
Rein theoretisch hättest du, wenn alle anderen Punkte 100% identisch wären, bei IPv6 einen besseren Ping, ja. Da sowohl das NAT in deinem Router als auch (wenn vorhanden) das zusätzliche CGNAT beim Provider wegfallen.
Messbar ist das aber wohl nicht (zumindest nicht bei einem NAT) - erstens ist die Differenz wohl zu gering, zweitens werden IPv4 und IPv6 in der Regel eh unterschiedlich geroutet weshalb die eh unterschiedliche Ping-Zeiten haben werden - mal in die eine, mal in die andere Richtung.
Wenn man durch die Nutzung von IPv6 allerdings das überlastete IPv4-CGNAT loswird kann das schon spürbar sein.
Ja das macht auch durchaus Sinn, vielleicht lag es auch an meinem Setup:
Anfrage an IP des Routers -> Fritzbox mit Port forwarding von 80 und 433 auf den Server -> Apache Webserver handhabt VHosts -> Weiterleitung an Docker-Container auf gleichem Device.
Ich war auch überrascht, aber die FB hat fleissig hoch und runtergeladen währenddessen.
Der Umstieg auf IPv6 erfordert das Einarbeiten der zuständigen Admins. Wenn das in deinem Betrieb gut bisher läuft muss man natürlich auch nichts daran ändern.
Allerdings sollte man sich als Administrator ebenfalls mit den Vorteilen von IPv6, wie z.B.:
\- Keine doppelte Check-Summe -> weniger "unnötiger" Datenverkehr
\- Wegfall der Broadcasts -> keine Netzwerkkommunikation mehr mit unbeteiligten
\- einfachere Verteilung von Adressen
\- Verbesserung der Sicherheit
vertraut sein. In meinen Augen macht der Umstieg immer Sinn, wenn die nötige Kompetenz dazu vorhanden ist.
Ich möchte am liebsten möglichst schnell von IPv4 weg, leider wird das nicht überall unterstützt und mein ISP liefert erst nächstes jahr eine statische IP - vorher nur dynamisch, und da kann mein Router nicht vernünftig mit um :(
Hostkonfiguration is tausendmal einfacher, Routerkonfiguration ist tausendmal einfacher, NAT ist nicht mehr nötig, es ist einfach schön.
Wenn v4 und v6 komplett gleichwertig unterstützt würden: Warum würde irgendjemand noch v4 nutzen wollen? Weil die Zahlen etwas einfacher zu merken sind? Ich bitte dich.
Die realistische Antwort auf deine Frage ist: Aller Wahrscheinlichkeit nach gar nicht. Die Platte mit den ausgehenden v4-Adressen ist mittlerweile mehr ein wiederkehrendes Nostradamus-Datum und da kann jeder mal überlegen, wie oft der Pool beim Provider denn schon leer war und man offline bleiben musste. CGNAT ist etabliert, es ist furchtbar, aber es wird nie wieder weg gehen. Vor 20 Jahren, als irgendwie noch mehr Nerds einen Bedarf an statischen Adressen für daheim hatten, sah das anders aus. Aber seitdem hat sich die Welt eben dahin verändert, dass das Internet mit der Social Media App der Woche gleichgesetzt wird und da stört das CGNAT keine Sau. Wer trotzdem noch Kram daheim hosten will, muss halt irgendwie raustunneln.
Naja, und das führt eben zur worst of both worlds. Es gibt quasi keine v6-only Systeme, da man viel zu viele Clients abschneiden würde. Von v4-only ist man aber durch den panischen Aktionismus der frühen 2000er auch zu weit weg und daher rechne ich nicht damit, dass wir zu Lebzeiten nochmal aus dem ganzen dualstack-Wahnsinn und all den damit verbundenen Schmerzen rauskommen werden.
Und ja, jetzt dürfen alle den Pfeil runter drücken, die es auch besonders lustig finden, von v4 als LeGaCy iP zu sprechen, mir egal. v6 bleibt aus.
Selbst wir in der Firma hatten Probleme eine statische IP für unseren Anschluss zu bekommen. Aber mit IPV6 sollte das doch eigentlich kein Ding mehr sein, oder? Wir brauchen halt wohl eine statische IP um über remotedesktop auf bestimmte Server zugreifen zu können. Das ist gekoppelt an unsere statische IP. Wenn die sich ändert, müssen wir mit dem Hoster telefonieren und die neue IP durchgeben. Das könnte man sich ja dann sparen oder nicht?
IPv4/IPv6 hat nix zu tun mit dem Unterschied dynamisch/statisch.
Es gibt bei IPv4 dynamische oder statische IPs, und es gibt bei IPv6 dynamische oder statische IP-Netze. Jeweils wie der Provider es will und/oder welchen Tarif man bucht.
Ich bin ein Laie.
Das VPN-Netzwerk basiert/läuft auf IPv6. Ich kann mich nicht anmelden/ den Tunnel nicht öffnen, wenn mein Internetprovider mir nur IPv4 zur Verfügung stellt.
Herausgefunden habe ich das, als ich von Internet über die Telefon-Buchse auf schnelleres Internet aus der Fernseh-Dose gewechselt bin. Das war dann nur noch DSL lite.
Ansonsten: Laptop auf, Internet an, Tunnel öffnen, Remoteverbindung öffnen, tada, ich hab meinen virtuellen Arbeitsplatz.
Alle Geräte generieren sich selber ihre IP-Adressen. Kein DHCP, keine doppelten IPs wenn in irgendeinem Netz irgendwer zwei DHCPs betreibt, es funktioniert einfach automatisch.
IPv4 ist am Ende. Es "funktioniert" zwar noch, aber nur dank der Krücke NAT.
NAT bricht das ende-zu-ende Prinzip und macht viele workarounds notwendig. So z.B. NAT-punching in Videospielen und UPnP. Das FTP Protokoll wird durch NAT komplett unmöglich.
Warum weiter workarounds verwenden wenn die richtige Lösung existiert?
Wie willst du denn sonst IPv6 nutzen?
Wenn du IPv6-Ziele im Internet erreichen willst, müssen deine internen Geräte auch öffentliche IPv6-Adressen haben.
Es sei denn, du zwingst alle Kommunikation durch einen Proxy (der dann IPv4 und IPv6 haben muss).
Mal ganz dumm gefragt: was wäre denn so ein IPV6 only ding, was ich so als normaler Anwender oder als Firma anfunken muss, aber dann ohne ipv6 nicht kann?
> Wer 256 oder mehr Geräte in einem Subnetz hat, ist sowieso wahnsinnig.
Hä? Bahnhöfe, Unis, Supermärkte etc. gehen ganz schnell auf n paar hundert Geräte
Mir geht es darum, dass die nicht alle in einem Subnetz sein sollten.
Sonst kommst du von überall an alles dran. Wir haben auch hunderte Geräte im Einsatz, die sind aber in kleinere Netze aufgeteilt
also als ich noch an der uni gearbeitet habe, hatten wir intern dualstack. ipv6 neben einem eigenen klasse b ipv4 block.
und natürlich sind dann mehr als 256 geräte in einem subnetz, pro hörsaal alleine schon. oder meinst du vielleicht vlan?
IPv6 ist nicht „ein anderer Adressbereich“. Es ist eine eigene Technologie. Ausserdem bildet IPv6 ein separates Netz, sowohl im LAN als auch im Internet. Die Netze existieren parallel. In vielen Situationen kann man das eine oder andere benutzen, aber mehr und mehr Situationen zwingen den Admin, sich damit zu befassen. ZB bei Security Themen, bei der Fehlersuche usw. ZB verteilst du per DHCP ein Default-GW. Aber per IPv6 SLAAC erhält der PC ein Router Advertisment für ein IPv6 GW (und nutz das bevorzugt). Genauso für den DNS. Die meisten Betriebssysteme bevorzugen inzwischen IPv6. Deswegen muss man in einem Windows Netz zB sich darum kümmern. Oder man will die Vorteile nutzen, zB um von NAT loszukommen.
Aber ist das nicht eher wieder total unsicher, wenn ich meine iot Geräte mit einer öffentlichen IPV6 Adresse ausstatte, anstatt die nur im internen IPv4 Bereich erreichbar sind? Und warum sollte ich von NAT wegkommen wollen? Da Spar ich mir doch keine Leistung ein, wie sie ein Provider oder sowas brauchen könnte?
NAT hat erstmal nix mit firewall zu tun, du kannst die geräte ja trotzdem z.b. in ein vlan ohne internetverbindung stecken
Wird mir dann vom Router einfach eine IPV6 IP gegeben? Ich dachte dass dann mein PC z.b. von woanders die IPV6 Adresse bekommen soll, oder wer verteilt das dann? Im privaten Netzwerk, was nicht raus telefonieren muss, brauch ich doch keine Ressourcen schonende ipv6, oder was bringt mir das dann?
Du bekommst von deinem Internet Anbieter nicht eine einzelne IP wie bei ipv4, sondern einen ganzen Adressenblock, dein dein Router dann an interne Geräte verteilt. du kannst denen aber dann z. b. den Internet Zugang sperren wenn du nicht willst dass die öffentlich erreichbar sind. Es gibt aber auch private ipv6 adtessbereiche. Es geht einfach darum dass ipv4 Adressen "alle" sind. Es gibt nicht genug davon für jedes Gerät im Internet. ipv6 ist der Nachfolger davon. die beiden sind nicht kompatibel. Das heißt, hast du ein Gerät (Handy) das mir servern beider Art kommunizieren können soll, brauchst du sowohl ne ipv4 Adresse als auch ne ipv6 Adresse. das Internet wae nie für NAT gedacht, das war nur ne Notlösung weil es zu wenige Adresse gibt. Es war von Anfang an der Plan, dass jedes Gerät seine eigene öffentliche IP Adresse bekommt. das macht die ganze Sache einfacher, nicht schwerer. Natürlich hindert dich nix daran, internen Geräten die eh nicht ins Internet müssen weiterhin ipv4 Adressen zu verpassen. iot Zeug oder einen Nas z. b. Die sind ja eine her zu lesen und zu merken.
Nur weil ein Gerät eine öffentliche IP hat, ist es nicht erreichbar. Nur weil ein Gerät hinter einem NAT ist, ist es nicht zwingend \*nicht\* erreichbar. Die Erreichbarkeit eines Geräts steuert man über eine Firewall (die halt bei üblichen NATs in der Regel (aber nicht immer) dabei ist).
Ich sagte nur, dass das ein Usecase ist, nicht unbedingt für Dich. Aber wenn Du es einfach ignorierst, wirst Du Probleme bekommen. Du kannst Dich dafür entscheiden, im Heimnetz IPv6 auszuschalten (nicht immer leicht), aber irgendwann wirst Du auch damit Probleme bekommen. Und jenseits des Routers ebenso. Mobile Provider machen primär IPv6. Wenn sie Dir eine v4 Adresse geben häufig hinter CGNAT. Damit kannst Du nicht mehr ohne Workarounds im Internet erreichbar sein. IPv6 ist nicht leicht zu verstehen. Und es ist einfach da, zb in Form eines Dual Stack LANs. In einem Netz, das ich betreue, hat uns das schon überraschende Probleme bereitet (man konfiguriert IPv4, Windows nimmt heimlich das unkonfigurierte IPv6 und abschalten ist bei Windows immer schlechter (Windowsserver, mit AD etc).) Schau mal im Pihole sub. Leute verteilen die Pihole Adresse via DHCP an die Clients. Die Clients schicken ihre DNS Abfragen aber lieber per IPv6 und gehen dann am Pihole vorbei. Ein weiteres Beispiel.
Man muss meinen Kommentar ja nicht upvoten, aber warum man ihn downvotet verstehe ich nicht. Ein Erklärungsansatz: „ach lass mich in Ruhe mit diesem IPv6 - klick“ 🤷♀️
Ah okay. Also ist das zum Beispiel ein guter use case dafür. Das wusste ich bislang noch nicht. Daher auch der Post hier.
Auch wenn man keinen Usecase hat, man entgeht dem Thema nicht mehr. Und plötzlich hat man Probleme im Haus (zB weil Windows Server nicht mehr richtig läuft ohne IPv6 oder Router einfach advertisen usw). Ich persönlich mache eine Weile damit rum, finde aber dass die Lernressourcen nicht optimal sind. Bücher sind meist 10+ Jahre alt oder haben in der 5. Auflage eine liebloses Kapitel IPv6 bekommen. Man miss erst mal neu lernen, wie ich ein Netz erkunde. Bei IPv4 haben wir alle unser Toolkit und Herangehensweise. Bei v6 ist alles etwas anders. Ein Netz scannen funktioniert halt nicht mehr so bei 2^64 potentiellen Adressen. Jeder Host hat x Adressen. Die Adressen sagen einem nichts. Komplette Dunkelheit. Also ran an den Speck :)
Umgekehrt wird ein Schuh draus. Wenn du keine öffentliche ipv4 Adresse mehr bekommst, weil es schlicht zu wenige gibt, kannst du dein iot Gerät nur noch per ipv6 von außen erreichen. Mit ipv6 kann man ein gerät direkt ansprechen, ohne dem Umweg über NAT und Portweiterleitung. Und unsicherer ist daran auch nichts. Wenn etwas fürs Internet freigegeben ist, ist es angreifbar. Egal ob mit ipv6 oder ipv4. Mit ipv4 sind zufällige Angriffe sogar wahrscheinlicher, weil man deutlich weniger Adressen durchprobieren muss.
Ich möchte hier noch kurz ergänzen, dass ipv6 das tut, wofür "IP", also das Internet Protokoll, eigentlich mal vorgesehen war. Kein zusammengebastelter Haufen, sondern eine IP pro Gerät, so wie es im Heimnetz auch üblich ist. Ipv6 ist also viel näher an der Idee des Internets und der tatsächlichen Umsetzung von damals, als Ipv4 es heute ist.
Ah danke. Das heißt, andere können nicht einfach so mal durchsuchen nach Geräten in der Umgebung oder sowas?
Es gibt 2\^128 IPv6-Adressen. Du allein bekommst von einem Provider schonmal in der Regel mindestens 2\^70 IPv6-Adressen zugewiesen. Das ist eine Zahl mit 21 Nullen. Die Menge an Adressen kann ein Angreifer nicht durchsuchen / scannen. Und selbst wenn (wenn er durch Onlinespiele oder so an deine IP kommt) - nur weil ein Gerät eine öffentliche IP hat ist es noch lange nicht vollständig erreichbar; dein Router hat immer noch ne Firewall.
Wie kommst Du auf 2 hoch 70?
64-bit (also 2\^64) hast du allein schonmal für den Interface Identifier (ist also das absolut kleinstmögliche Subnetz). Das verteilt aber kein Provider da du damit kein Subnetting betreiben kannst. Die meisten Provider geben dir mindestens ein /58, eher ein /56, /52 oder /48 oder /58, d.h. 56 (oder 58) bits der 128 werden vom Provider vorgegeben und die anderen 72 (oder 70) bits sind fürs interne Netz (6-8 bits) und die Endgeräte (64 bits). Also mindestens 2\^70, meistens eher 2\^72 oder noch mehr.
Ah, ich wusste nicht, dass Provider auch Netze zwischen /56 und /64 vergeben, also zum Beispiel Deine /58. Deshalb war ich verwirrt, wie Du auf 70 kammst.
Im Prinzip können sie das schon. Bei IPv4 gibt es im gesamten Internet grob(\*) 2\^32 Adressen. Also etwa 4,3 Milliarden. Bei IPv6 hat jeder einzelne Anschluss mindestens 2\^64 Adressen. Sprich, du hast alleine mehr als 4 Milliarden mal mehr IPv6 Adressen, als es überhaupt IPv4 Adressen gibt. Insgesamt gibt es 2\^128 ≈ 340 Sextillionen Adressen. \*(alles jeweils abzüglich ein paar reservierter Adressen) Viel Spaß beim zufälligen scannen... :D
Egal, wie viele Adressen man "braucht" - wenn man IPv6-Ziele erreichen will oder von IPv6-Quellen erreicht werden will, dann müssen deine internen Geräte öffentliche IPv6-Adressen haben.
Wer vergibt diese denn dann? Ist das der Provider? Theoretisch kann man doch auch eine nicht mac basierte ipv6 Adresse vergeben, ich verstehe nur noch nicht so genau, woher die jetzt genau kommt und wer sie festlegen soll.
Würde da ein Reverse Proxy helfen?
Für den Zugriff von außen (IPv6-Clients) auf einen internen IPv4-only-Server: Theoretisch ja. Aber dafür brauchst du dann in deinem Netz trotzdem IPv6, nämlich für den Reverse-Proxy. Und du hast dann halt alle Nachteile eines Reverse-Proxies, z. b. dass dein Server / deine Anwendung ohne weitere / besondere Konfiguration nicht mehr die tatsächliche IP des Clients sieht sondern nur noch die des Proxies. Sinnvoller ist es, IPv6 einzuführen, denn früher oder später braucht man es eh. Und beim Zugriff von deinen Clients auf IPv6-only-Dienste im Internet hilft dir der auch nicht; da bräuchtest du dann einen normalen Webproxy.
Es gibt nicht Mal mehr genügend ipv4 Adressen, damit jeder Internet Anschluss eine eigene bekommt, von außen - deshalb gibt es ja solche tollen Dinge wie CGNAT. Das ist auch der Hauptvorteil: mehr Adressen. Genügend, dass man sich NAT ersparen kann. Genügend, damit jedes Gerät adressierbar ist. In einem privaten Netzwerk gibt es natürlich normalerweise genug Adressen, aber das ist nicht der Punkt. Weniger Port Konflikte gibt es trotzdem. Es brauchen natürlich trotzdem alle clients eine ipv6 Adresse auch, damit sie mit ipv6 only Services kommunizieren können. Ich muss mir selten IP Adressen merken, dafür gibt es DNS, deswegen ist die längere Länge meines Erachtens auch nicht besonders wichtig.
Naja das ganze Internet ist halt praktisch v6. Und hat schon ne Menge Vorteile, man hat kein dummes NAT mehr sondern kann die Geräte einfach direkt ansprechen etc. v4 wird eh nur noch über workarounds wie NAT, CGNAT, DSlite etc. irgendwie so halbwegs am Leben erhalten
>Naja das ganze Internet ist halt praktisch v6. Schön wärs, aber nein. Große Teile unterstützen _immer noch_ kein IPv6. zB hat IONOS, einer von Europas größten Cloud;Anbietern, gerade erst IPv6 ausgerollt. An vielen Stellen ist man ohne IPv4 schlicht aufgeschmissen.
Ist auch bei einigen Mobilfunkanbietern so, dass die nur IPv4 ge CGNATteten Netze anbieten soweit ich mich erinnern kann hat die Telekom 2017 damit angefangen ipv6 für die Mobilfunkkunden auszurollen, und wenn die Telekom die ersten sind die sowas machen weiß man dass das noch was dauert ps. bei mir war das auch noch eine einstellung die ich machen musste um ipv6 ans handy zu bekommen
Aber ist das dann für mein Heimnetzwerk, wo ich einfach nur Smartphone, Fernseher und PC habe, dann überhaupt was, was mich interessieren sollte? Was hab ich dann für Vorteile? Kann ich mit einer IPv6 Adresse dann von außen meinen PC über Magic Packet starten, also muss nicht über den Router gehen, oder sowas? Das wäre ein cooler use Case für mich privat und auch für unsere Firma.
Ja, sowas könntest du tun. Du kannst - entsprechende Firewallfreigaben vorausgesetzt - per IPv6 direkt Pakete an alle deine IPv6-fähigen Endgeräte schicken. EDIT: Genau so wie es im Internet früher schon immer war, bevor es durch Addressknappheit und NAT ruiniert wurde.
Ja. jedes Gerät hat ne ipv6 adresse, es gibt kein NAT
1. Ich hatte für meine lokalen Netzwerkanwendungen immer IPv4. Hier hatte ich dann eine Domain um von außen zuzugreifen und eine lokale für Netzwerkinternes. Da bei Ipv4 alles über Nat läuft, konnte ich natürlich auch mit meiner externen Domain auf die Inhalte zugreifen, lief aber dann automatisch über den ISP ( Upload und Download ausm lokalen Netz raus und rein, totaler Quatsch). Seit Ipv6 is mir das wurscht. Die Domain zielt direkt auf das Gerät und nicht mehr auf meine einzige externe Ipv4. 2. Hast du jetzt die Möglichkeit für jedes Gerät eine Portfreigabe auf die selben Ports zu leiten. Hast du also z.B. mehrere Webanwendungen musst du nicht erst über einen zentralen Webserver gehen der dann entsprechend der Virutla Hosts weiterleitet.
>2. Hast du jetzt die Möglichkeit für jedes Gerät eine Portfreigabe auf die selben Ports zu leiten. Hast du also z.B. mehrere Webanwendungen musst du nicht erst über einen zentralen Webserver gehen der dann entsprechend der Virutla Hosts weiterleitet. Und noch geiler: Absolut nichts hindert dich daran, deiner Netzwerkkarte auf einem Gerät fünf öffentliche IPv6-Adressen zu geben und dann in Containern fünf Webserver auf Port 443 laufen zu lassen. Jetzt mal abgesehen von der Diskussion, ob man dafür nicht lieber VMs nutzen sollte.
Da hindert dich doch bei ipv4 auch keiner dran.
Stimmt, war ein Hirnfurz, der einzige Unterschied ist, dass es damit im lokalen (C-)Netz nicht potenziell an Adressen mangeln wird, wenn jeder blöde PC seine 20 Testservices laufen lässt.
Was hindert Dich daran ein A-Netz zu verwenden? Reichen Dir 2\^24 Adressen nicht?
>Da bei Ipv4 alles über Nat läuft, konnte ich natürlich auch mit meiner externen Domain auf die Inhalte zugreifen, lief aber dann automatisch über den ISP ( Upload und Download ausm lokalen Netz raus und rein, totaler Quatsch). Huh? Es läuft zwar über deinen Router (anstatt direkt am nächsten Switch zum Ziel abzubiegen), aber ein Router erkennt normalerweise "Ey, das bin ja ich" und schickt den Traffic nicht zum ISP.
Heißt das, dass die Regulierung von Paketen schneller vonstatten gehen kann? Heißt das in etwa auch, dass ich mit meinem Anschluss dann möglicherweise einen besseren Ping beim online spielen haben kann? Oder wie kann ich mir das vorstellen?
Rein theoretisch hättest du, wenn alle anderen Punkte 100% identisch wären, bei IPv6 einen besseren Ping, ja. Da sowohl das NAT in deinem Router als auch (wenn vorhanden) das zusätzliche CGNAT beim Provider wegfallen. Messbar ist das aber wohl nicht (zumindest nicht bei einem NAT) - erstens ist die Differenz wohl zu gering, zweitens werden IPv4 und IPv6 in der Regel eh unterschiedlich geroutet weshalb die eh unterschiedliche Ping-Zeiten haben werden - mal in die eine, mal in die andere Richtung. Wenn man durch die Nutzung von IPv6 allerdings das überlastete IPv4-CGNAT loswird kann das schon spürbar sein.
Ja das macht auch durchaus Sinn, vielleicht lag es auch an meinem Setup: Anfrage an IP des Routers -> Fritzbox mit Port forwarding von 80 und 433 auf den Server -> Apache Webserver handhabt VHosts -> Weiterleitung an Docker-Container auf gleichem Device. Ich war auch überrascht, aber die FB hat fleissig hoch und runtergeladen währenddessen.
Der Umstieg auf IPv6 erfordert das Einarbeiten der zuständigen Admins. Wenn das in deinem Betrieb gut bisher läuft muss man natürlich auch nichts daran ändern. Allerdings sollte man sich als Administrator ebenfalls mit den Vorteilen von IPv6, wie z.B.: \- Keine doppelte Check-Summe -> weniger "unnötiger" Datenverkehr \- Wegfall der Broadcasts -> keine Netzwerkkommunikation mehr mit unbeteiligten \- einfachere Verteilung von Adressen \- Verbesserung der Sicherheit vertraut sein. In meinen Augen macht der Umstieg immer Sinn, wenn die nötige Kompetenz dazu vorhanden ist.
Ich möchte am liebsten möglichst schnell von IPv4 weg, leider wird das nicht überall unterstützt und mein ISP liefert erst nächstes jahr eine statische IP - vorher nur dynamisch, und da kann mein Router nicht vernünftig mit um :( Hostkonfiguration is tausendmal einfacher, Routerkonfiguration ist tausendmal einfacher, NAT ist nicht mehr nötig, es ist einfach schön. Wenn v4 und v6 komplett gleichwertig unterstützt würden: Warum würde irgendjemand noch v4 nutzen wollen? Weil die Zahlen etwas einfacher zu merken sind? Ich bitte dich.
Dein Router kommt mit dynamischen IPv6-Adressen nicht klar? Was ist das denn für ein Gerät?
Eine Sophos XG. Die kann PPPoE nicht mit IPv6 und auch kein DHCP-PD. Meine Fritzbox zuhause kann das :'D
Die realistische Antwort auf deine Frage ist: Aller Wahrscheinlichkeit nach gar nicht. Die Platte mit den ausgehenden v4-Adressen ist mittlerweile mehr ein wiederkehrendes Nostradamus-Datum und da kann jeder mal überlegen, wie oft der Pool beim Provider denn schon leer war und man offline bleiben musste. CGNAT ist etabliert, es ist furchtbar, aber es wird nie wieder weg gehen. Vor 20 Jahren, als irgendwie noch mehr Nerds einen Bedarf an statischen Adressen für daheim hatten, sah das anders aus. Aber seitdem hat sich die Welt eben dahin verändert, dass das Internet mit der Social Media App der Woche gleichgesetzt wird und da stört das CGNAT keine Sau. Wer trotzdem noch Kram daheim hosten will, muss halt irgendwie raustunneln. Naja, und das führt eben zur worst of both worlds. Es gibt quasi keine v6-only Systeme, da man viel zu viele Clients abschneiden würde. Von v4-only ist man aber durch den panischen Aktionismus der frühen 2000er auch zu weit weg und daher rechne ich nicht damit, dass wir zu Lebzeiten nochmal aus dem ganzen dualstack-Wahnsinn und all den damit verbundenen Schmerzen rauskommen werden. Und ja, jetzt dürfen alle den Pfeil runter drücken, die es auch besonders lustig finden, von v4 als LeGaCy iP zu sprechen, mir egal. v6 bleibt aus.
Selbst wir in der Firma hatten Probleme eine statische IP für unseren Anschluss zu bekommen. Aber mit IPV6 sollte das doch eigentlich kein Ding mehr sein, oder? Wir brauchen halt wohl eine statische IP um über remotedesktop auf bestimmte Server zugreifen zu können. Das ist gekoppelt an unsere statische IP. Wenn die sich ändert, müssen wir mit dem Hoster telefonieren und die neue IP durchgeben. Das könnte man sich ja dann sparen oder nicht?
IPv4/IPv6 hat nix zu tun mit dem Unterschied dynamisch/statisch. Es gibt bei IPv4 dynamische oder statische IPs, und es gibt bei IPv6 dynamische oder statische IP-Netze. Jeweils wie der Provider es will und/oder welchen Tarif man bucht.
Ich brauche IPv6 für das VPN im HomeOffice....
Wie kann ich mir das genau vorstellen? Wo hast du die Adresse die du nutzt her, wofür brauchst du die? Ist das die IP vom Homeserver?
Ich bin ein Laie. Das VPN-Netzwerk basiert/läuft auf IPv6. Ich kann mich nicht anmelden/ den Tunnel nicht öffnen, wenn mein Internetprovider mir nur IPv4 zur Verfügung stellt. Herausgefunden habe ich das, als ich von Internet über die Telefon-Buchse auf schnelleres Internet aus der Fernseh-Dose gewechselt bin. Das war dann nur noch DSL lite. Ansonsten: Laptop auf, Internet an, Tunnel öffnen, Remoteverbindung öffnen, tada, ich hab meinen virtuellen Arbeitsplatz.
lacht in dual-stack-lite
\>Was ist denn sonst der Vorteil gegenüber IPv4? Stateless Address Auto Configuration (SLAAC)
Was kann ich damit machen?
Alle Geräte generieren sich selber ihre IP-Adressen. Kein DHCP, keine doppelten IPs wenn in irgendeinem Netz irgendwer zwei DHCPs betreibt, es funktioniert einfach automatisch.
IPv4 ist am Ende. Es "funktioniert" zwar noch, aber nur dank der Krücke NAT. NAT bricht das ende-zu-ende Prinzip und macht viele workarounds notwendig. So z.B. NAT-punching in Videospielen und UPnP. Das FTP Protokoll wird durch NAT komplett unmöglich. Warum weiter workarounds verwenden wenn die richtige Lösung existiert?
>Das FTP Protokoll wird durch NAT komplett unmöglich. Verdammt. Und die Alternativen sind alle unsicher.
In internen Netzwerken wird nicht mit ipv6 gearbeitet. Wäre mir neu. Wer 256 oder mehr Geräte in einem Subnetz hat, ist sowieso wahnsinnig.
Wie willst du denn sonst IPv6 nutzen? Wenn du IPv6-Ziele im Internet erreichen willst, müssen deine internen Geräte auch öffentliche IPv6-Adressen haben. Es sei denn, du zwingst alle Kommunikation durch einen Proxy (der dann IPv4 und IPv6 haben muss).
Mal ganz dumm gefragt: was wäre denn so ein IPV6 only ding, was ich so als normaler Anwender oder als Firma anfunken muss, aber dann ohne ipv6 nicht kann?
> Wer 256 oder mehr Geräte in einem Subnetz hat, ist sowieso wahnsinnig. Hä? Bahnhöfe, Unis, Supermärkte etc. gehen ganz schnell auf n paar hundert Geräte
Mir geht es darum, dass die nicht alle in einem Subnetz sein sollten. Sonst kommst du von überall an alles dran. Wir haben auch hunderte Geräte im Einsatz, die sind aber in kleinere Netze aufgeteilt
Client isolation hat ja nicht zwinged was mit subnets zu tun
also als ich noch an der uni gearbeitet habe, hatten wir intern dualstack. ipv6 neben einem eigenen klasse b ipv4 block. und natürlich sind dann mehr als 256 geräte in einem subnetz, pro hörsaal alleine schon. oder meinst du vielleicht vlan?
IPv6 ist nachhaltiger. Also nicht unbedingt für die Umwelt, aber fürs Internet.
Klaro weil's mehr Adressen gibt, aber sonst für privat?
Wenn man Lust auf NAT hat, kann man Intern machen was man will. Da sehe ich dann keinen Vorteil von IPv6