Umstieg von IPv4 auf IPv6
Für viele ist IPv6 einfach nur ein IPv4 mit längeren Adressen. Doch diese Ansicht ist völlig falsch. IPv6 ist ein Protokoll mit vielen neuen Funktionen. Die Erfahrungen, die jemand aus der IPv4-Welt mitbringt, lassen sich nur bedingt auf IPv6 übertragen.
Die Anzahl der IPv6-User nimmt in Zukunft stark zu. Vor allem in Lateinamerika und Afrika. Dort befindet sich die Internet-Infrastruktur noch im Ausbau. Gleichzeitig nimmt die Anzahl der User stark zu. Und gleichzeitig gibt es dort die geringste Verfügbarkeit von IPv4-Adressen.
Für diejenigen, die Netzwerke betreiben oder administrieren ist deshalb dringend angeraten sich intensiv mit IPv6 zu beschäftigen. Wer Wissen und Erfahrung mit IPv4 mitbringt, hat aber nur geringe Vorteile. Denn IPv6 bringt zwar viele Dinge mit, die auch von IPv4 bekannt sind, trotzdem verfolgt IPv6 ganz andere Ideen und Ziele.
Beim Umstieg oder Umstellung von IPv4 auf IPv6 geht es nicht darum, IPv4 durch IPv6 auszutauschen, sondern neben IPv4 zusätzlich IPv6 zu betreiben. Der Parallelbetrieb treibt dabei den Aufwand für Netzplanung, Sicherheit und Konfiguration nach oben. Im Prinzip muss man jede Arbeit auf IP-Ebene doppelt machen. Einmal für IPv4 und dann auch noch für IPv6. Das zusätzliche Protokoll führt erst einmal zu mehr Arbeit und Komplexität. Dabei muss man berücksichtigen, dass der Parallelbetrieb einige Jahrzehnte dauern wird. IT-Verantwortliche müssen das bei der Personalplanung und den Kosten berücksichtigen.
Übergangsverfahren von IPv4 auf IPv6
Es ist praktisch unmöglich alle veralteten Geräte auf einmal zu aktualisieren und durch IPv6-fähige zu ersetzen. Deshalb gibt es eine Reihe von Übergangsverfahren, die IPv6-Pakete über die bestehende IPv4-Infrastruktur übertragen können.
- Übergangsverfahren von IPv4 auf IPv6
- Dual-Stack und Dual-Stack Lite (DS Lite)
- 6in4 / 6to4 / 6over4 / 4in6 (Tunneling)
- Teredo (Microsoft)
IPv6-Fähigkeit
Prinzipiell kommt man um IPv6 nicht mehr herum. Deshalb ist es erforderlich, dass beim Einkauf von Hardware und Software auf IPv6-Fähigkeit geachtet werden muss. Doch während man zu IPv4 in Ausschreibungen, Bedienungsanleitungen und Dokumentationen seitenweise Informationen findet, wird in einer Zeile gerade mal "IPv6-Fähigkeit" erwähnt. Doch was heißt das? Im Prinzip sagt "IPv6-Fähigkeit" oder "IPv6-fähig" gar nichts aus.
Viele Komponenten der Netzinfrastruktur, wie z. B. Router und Firewalls, können noch nicht korrekt mit IPv6 umgehen. Sie haben nur einen Teil von IPv6 implementiert.
Doch selbst wenn Hardware und Software IPv6 vollumfänglich unterstützen, dann sind in den Unternehmen und bei den Anwendern bei Weitem noch nicht alle Herausforderungen bei der Anschaffung, Installation und Betrieb für IPv6-geeignete Komponenten gelöst.
Verantwortliche und Administratoren betreten mit IPv6 zwangsläufig Neuland. Trotzdem sollte man die Migration kontinuierlich vorantreiben. Dazu gehört auch, bei Neuanschaffungen konsequent auf IPv6-Tauglichkeit zu achten und diese auch in einer Teststellung zu überprüfen. Nicht nur bei Routern und der Firewall. Auch bei jeder anderen Hardware und Software.
IPv6 in lokalen Netzwerken (LAN)
Der Wechsel von IPv4 auf IPv6 in einem LAN gelingt in der Regel problemlos. In Windows Vista, Windows 7 und 8, MacOS und Linux ist IPv6 bereits enthalten. Anwender mit einem aktuellen Betriebssystem können bereits in ihrem lokalen Netzwerk IPv6 nutzen. Verteilende Geräte, wie Hubs und Switche, ist es egal ob IPv4 oder IPv6 zum Einsatz kommt. Sie kümmern sich um die Netzwerk-Kommunikation unterhalb des Internet Protokolls.
Nur bei den DSL- und WLAN-Routern im Privat-Bereich gibt es so gut wie keine IPv6-Unterstützung. Das bedeutet, innerhalb eines lokalen Netzwerks sind IPv6-Verbindungen möglich. Um auch IPv6-Verbindungen ins Internet aufbauen zu können, bedarf es der Unterstützung von IPv6 im Internet-Zugangs-Router und einer "nativen" IPv6-Anbindung des Internet-Providers. Das bedeutet, der Internet-Zugangs-Router muss einen globalen Präfix vom Provider-Netz bekommen und diesen auch im lokalen Netzwerk per Router Advertisement verteilen.
IPv6 im Zugangsnetz (Netzbetreiber)
Seit Ende 2012 werden Internet-Anschlüsse Schritt für Schritt auf IPv6 umgestellt. Wobei es sich bei der Umstellung um einen Parallelbetrieb von IPv4 und IPv6 (Dual-Stack-Modus) handelt. Die Deutsche Telekom als größter Netzbetreiber hat damit begonnen. Weitere Netzbetreiber folgen.
Leider erschweren ausschließlich IPv4-taugliche DSL- und WLAN-Router auf der Kundenseite die IPv6-Einführung erheblich. Das erfordert umständliche und teure Übergangsverfahren.
IPv6 im Internet
Damit ein Server im Internet per IPv6 erreichbar ist, muss im DNS-Server die IPv6-Adresse eingetragen sein. Zusätzlich müssen die Netze und kontaktierten Stationen IPv6 beherrschen.
Als nächste Schwierigkeit folgen Router, die IPv6 unzureichend unterstützen. Wer IPv6 ernsthaft nutzen will, der benötigt sowohl auf der LAN- wie auch auf der WAN-Seite IPv6-Fähigkeit.
Das Hauptproblem sind jedoch Plattformen, die auf Basis von IPv4 entwickelt wurden und nur mit IPv4 funktionieren. Ohne spezielle IPv6-Anwendungen wird es über eine lange Zeit kein reines IPv6-Internet geben. Server, die nur mit IPv4 adressierbar sind, sind für reine IPv6-User unerreichbar. Aus Kompatibilitätsgründen muss IPv4 noch eine lange Zeit unterstützt werden.
DNS und IPv6
Damit ein Server von außen über IPv6 erreichbar ist, müssen im DNS neben dem bestehenden A-Record für die IPv4-Adresse auch der AAAA-Record für die IPv6-Adresse eingetragen sein.
example.com. MX 10 mx1.example.com example.com. MX 20 mx1.example.com mx1.example.com. A 192.0.2.10 mx1.example.com. AAAA 2001:db8::2 mx2.example.com. A 192.0.2.20
Server-Dienste auf IPv6 umstellen
Das Augenmerk bei allen Serverdiensten ist die parallele Nutzung von IPv6 und IPv4.
Beim Einrichten eines neuen Servers muss man sich die Frage stellen, wie dieser zu seiner IPv6-Adresse kommt. Entweder per Hand, DHCPv6 oder eine andere zentrale Adressverwaltung. Auch der zuständige DNS-Server, der für einen Host-Namen die entsprechende IPv4-Adresse ausliefern muss per IPv6 ansprechbar sein und IPv6-Adressen ausliefern können. Erst danach ist die folgende Vorgehensweise in drei Schritten möglich.
- Konfiguration von IPv6-Adressen auf dem Server
- IPv6 für die einzelnen Dienste aktivieren
- Dienste per IPv6 über DNS erreichbar machen (AAAA-Records mit IPv6-Adressen versehen)
Nach dem Einrichten der IPv6-Adressen und aktivieren von IPv6 sollte man versuchen eine Verbindung über die IPv6-Adresse aufzubauen. Am einfachsten mit einem Ping. Hierzu sollte man zuerst einen Server anpingen, der nur per IPv6 erreichbar ist.
Wenn der Ping-Test geklappt hat, kann man die Erreichbarkeit von außen prüfen. Hierzu pingt man von einem externen IPv6-fähigen Internet-Anschluss den neu konfigurierten Server an.
Abschließend sollte in jedem Fall ein Port-Scan auf die neu eingerichteten IPv6-Adressen erfolgen, um zu überprüfen, ob eventuell Ports offen sind, die es nicht sein sollten.
- nmap -6 {IPv6-Adresse}
Troubleshooting
Während einer Übergangszeit wird man mit Aussagen konfrontiert sein wie "Der Server ist nicht erreichbar". Um Fehlerquellen durch IPv4 und IPv6 berücksichtigen zu können, sollte man sowohl einen IPv4- und einen separaten IPv6-Test-Server installieren, damit Kunden, Anwender und Supporter Dual-Stack-Probleme und in der kombinierten IPv4/IPv6-Anbindung erkennen können. Oder anders ausgedrückt, um herauszufinden, ob der Fehler in der fremden oder eigenen Infrastruktur zu suchen ist.