Neulich nachts trug es sich zu, ich schlief, dass Kabel Deutschland auf meinem schönen 100’er Kabel-Internet IPv6 aktiviert hat. Schön. Was kann das? Neues Internet? Und was zum Henker kann man nun damit machen? Wie richtig man halbwegs sinnvoll eine Router-Kaskade ein und wieso haben das Zetteltheoretiker erfunden?
Kabel-Deutschland gibt, wenn man eine Fritzbox 6360 hat einen DualStack aus. Bedeutet, es gibt eine richtige IPv4 und eine IPv6 Adresse. Das hat den Vorteil, dass sich betreffend der v4 Adresse nichts ändert. DualStack-Lite wäre übel, weil man dann eine „interne“ v4 Adresse wie 192.168.0.45 bekommen würde und alle Portfreigaben hinfällig wären. Das passiert, wenn man ein Modem vom KabelD hat. Die Mutti wird davon nichts bemerken, außer das halt das v4-Internet komisch langsam wird. Der Power-User oder ein normaler User mit Geräten die vom Internet aus erreichbar sein sollen ist allerdings stark betroffen. Kein Zugriff mehr aufs NAS, keine Webcam und keine Heizungssteuerung. Yeah! Nicht so mit einem DualStack. Die FritzBox ist okay, aber manch einer, so ich auch, betreibt hinter der Kabelbox noch einen Router. Vielleicht will man eigene VoIP-Nummern nutzen, oder man mag einfach schnelles Internet. Was ist nun zu beachten hinsichtlich v6?
Eine Kaskade von 2 Routern mit IPv4 ist normal nicht so optimal, weil 2x NAT statt findet. Der erste Router muss eine Tabelle pflegen um sich zu merken, welches Gerät die Antworten bekommen soll, wenn der Client mit der internen Adresse 192.168.0.2 bei der Webseite mit der 213.215.22.55 was anforderte. Der Server sieht nur die 178.80.65.33 die die Fritzbox nach außen hat. Er muss sich merken, dass die Antwort die er bekommt für den dahinter befindlichen Client bestimmt ist. Je mehr Geräte, desto umfangreicher und rechenintensiver wird die Verwaltung dieser Tabelle. NAT nennt man das. Bei 2 Routern, die beide NAT machen, ist es zwar einfach für den Router der nur ein Gerät in seiner Tabelle hat, aber eben sinnlos. Die von KabelD gestellte Fritzbox kann mal leider nicht umschalten. Mit IPv6 sollte das einfacher werden, weil praktisch kein NAT mehr stattfindet. Der Router bekommt nicht nur eine einzige IP, er bekommt ein ganzes Subnetz von KabelD delegiert. Aus diesem Subnetz kann er selber Adressen an die Clients vergeben. In der Tat bekommt der Router eine Adresse und ganz anderes Subnet zur Delegation mit der Metrik /62. Das sind 4 Subnetze mit /64 Metrik. Die Fritzbox bekommt also direkt 4x(2^64) Adressen. Das sollte ausreichen um allen Geräten im Haushalt eine weltweit eindeutige IP zu geben, wahrscheinlich sogar jedem Staubkorn in der Wohnung! Ein /64 Subnetz umfasst 18.446.744.073.709.551.616 einzelne Adressen.
Praktisch gesehen hat also die Fritzbox 4×18.446.744.073.709.551.616 zu vergeben. In der Kaskade sagt man dem zweiten Router, er soll von der Fritzbox ein /64 anfordern. Dann kann der zweite Router 18 Trillionen Adresse verteilen und wenn das nicht reichen sollte, hat man noch 3x so viel in Reserve. Es findet kein NAT mehr statt, weil die Adressen sind weltweit eindeutig und jeder Client kann seine eigene Adresse bekommen. Die Einstellungen dazu sehen so aus:
So schaut es aus und funktioniert. Womöglich ist es vollkommener Blödsinn. Dann bitte ich um Kommentar. Ergebnis der Aktion ist, alle Geräte die es können bekommen mehrere IPv6 Adressen. Nun sollte man annehmen, alles ist gut. In der Fritzbox findet man immerhin Einstellungen für die Firewall. Man kann Ports auf verschiedenen Geräten frei geben. Diese werden durch eine Link-ID identifiziert. Denn, und da zeigt sich der erste Punkt der etwas schwer werden wird: Es ändert sich potentiell das Prefix des Netzes. Alle Adressen sind aus dem Adressraum xxxx:xxxx:xxxx:xxxx:yyyy:yyyy:yyyy:yyyy und die x kann sich aller 24h ändern. Holy! Früher war die Sache klar: Der Router bekommt eine IP, diese wird mittels DynDNS einem Namen zugeordnet. Der Router gibt Port 21 für FTP frei und leitet den Traffic an die 192.168.0.200 hinter sich, das NAS. Das bleibt immer so, der dynamische Zeil des Ganzen wird mittels DynDNS aufgefangen. Nun ändert sich bei Neueinwahl aber auch die Adresse im lokalen Netzwerk! In eine von 18 Trillionen möglichen. Die sich kein Mensch merken kann. Und der Firewall muss man irgendwie bei bringen, dass Port 21 auf die Adresse (die sich dauernd ändert) durch zu lassen sei.
Wie die Identifizierung im lokalen Netzwerk aussehen soll hat sich auch keiner überlegt. Ohne lokalen DNS ist man draußen. Man muss dem NAS einen Namen geben, weil man sonst wie wieder hin findet… Ja, eh gibt lokale Adressen und es gibt ULA. Aber in keinem der Router ist dazu irgendwas schlaues zum Einstellen. Und früher oder später kommt man ja doch wieder bei NAT raus. Hinter jedem Stein kommt jemand hervor gesprungen der ruft, IPv6 gibt es schon seit ewig langen Jahren und es sei an der Zeit, dass das mal angeschaltet werden solle. Aber kaum ein Gerät ist dafür wirklich schon bereit. So lange man nur am Internet teil nehmen will mag es gehen, wenn man aber drauf kommt, dass man mit der schönen neuen Welt auch schöne neue Dinge machen will ist Ende im Gelände! Es scheint derzeit, ist es nett, wenn man IPv6 von Kabel-Deutschland, der Telekom oder wem auch immer aktiviert bekommt, aber dann her gehen und vom Office-Rechner das NAS zu Hause direkt ohne suspekte NAT-Dinge zu verbinden scheitert.
Schreibe einen Kommentar