Get best of the week

IPv6 - Sie machen es falsch



Es gibt viele Missverständnisse und Mythen rund um IPv6. Häufig verstehen Hosting-Anbieter die Verwendung falsch und denken an veraltete Ansätze aus der IPv4-Welt. Mit beispielsweise Oktillionen von IPv6-Adressen verkauft der Hoster Adressen einzeln an Clients, anstatt ein vollwertiges Netzwerk / 64 zuzuweisen, wie aus den Empfehlungen hervorgeht.

Es kommt vor, dass Hoster verschiedenen Clients innerhalb desselben / 64-Netzwerks IPv6-Adressen zuweisen. Gleichzeitig nehmen große Dienste wie Google alle Adressen im Bereich / 64 als einen Client wahr. Infolgedessen können Kunden unter den Aktivitäten eines Bandkollegen leiden.

Durch die Verfügbarkeit von IPv6-Adressen können Sie internen Ressourcen wie Containern oder VPN-Clients vollständige externe Adressen zuweisen. Dazu muss der Host dem Client ein separates geroutetes Netzwerk zur Verfügung stellen. Leider kann das fast niemand.

In diesem Artikel werden die Hauptfehler bei der Verwendung von IPv6-Anbietern analysiert.

Handlung: RFC 3177


Im Jahr 2001 wurden die Empfehlungen zur Zuweisung von Adressen empfohlen (Entschuldigung für die Tautologie, dies ist wichtig), um Folgendes hervorzuheben:

  • / 48 im Allgemeinen
  • / 64 wenn dahinter nur ein Subnetz
  • / 128 wenn ein und nur ein Gerät

Das anstößige Dokument RFC 2119, das die Anwendung verschiedener Ebenen der obligatorischen Einhaltung von Anweisungen regelt, definiert „empfohlen“ wie folgt:
Die Wörter „sollte“ oder „empfohlen“ bedeuten, dass es unter bestimmten Umständen vernünftige Gründe geben kann, nicht auf diese Weise zu handeln, jedoch die Wahl einer anderen Verhaltenslinie muss eine ausgewogene Entscheidung sein, die mit vollem Verständnis der Konsequenzen getroffen wird.
Vielleicht hatte zu diesem Zeitpunkt niemand ein vollständiges Verständnis der Konsequenzen, vielleicht wurden „bestimmte Umstände“ nicht definiert, aber auf die eine oder andere Weise folgten alle den Empfehlungen.

Im Allgemeinen war IPv6-Verkehr zum Zeitpunkt des Schreibens des Dokuments äußerst selten und wurde größtenteils in Instituten und persönlichen Netzwerken neugieriger Enthusiasten gefunden. Einige echte Probleme häuften sich und analysierten sich, aber es dauerte viel Zeit.
Das Umdenken begann im Jahr 2005. Schließlich wurden diese Empfehlungen im Jahr 2011 abgelehnt.

Kenntnis des Problems: RFC 6177


Die neue Adressierungsrichtlinie besagt ausdrücklich, dass / 48 nur ein Wunsch ist, keine Anforderung. Es wird kein Hinweis auf bestimmte Nummern gegeben, es wird jedoch angegeben, dass / 64 oder kürzer unter normalen Bedingungen funktioniert.

Die Hauptlogik bei der Empfehlung der Größe der Ausgabe des Blocks / 48 an den Endverbraucher verfolgte drei Ziele.

Erstens sollte der zugewiesene Adressraum für Verbraucherzwecke ausreichend und leicht erweiterbar sein, ohne Langhantelkniebeugen. Ja, genau das steht, nur in der englischen Version - springe durch Reifen. Einer der wichtigen Gründe für den Wechsel zu IPv6 besteht darin, die vorhandene Zielgröße von "einzelne Adresse" in "mehrere Subnetze" zu ändern.

Zweitens sollte der Anbieterwechsel mit einem Minimum an Problemen durchgeführt werden. Wenn Sie das alte Subnetz-Adressschema speichern können, wenn Sie in einen neuen Adressraum wechseln, spart dies viel Arbeit

. Drittens sollte die Zuweisung von Block / 48 die Zunahme der Anforderungen des Adressraums eines sich entwickelnden Verbrauchers abdecken.

Obwohl alle diese Bedingungen erfüllt waren, stellte sich heraus, dass die Empfehlung / 48, gelinde gesagt, überflüssig war.

Pin / 64 als Ausgabeeinheiten


Neben der Verteilungsreihenfolge gab es noch weitere Punkte. Es stellte sich heraus, dass viele Funktionen von IPv6 nicht funktionieren, wenn das Netzwerkpräfix nicht / 64 ist. Sie funktionieren nämlich nicht:

  • Nachbarentdeckung (ND)
  • Sichere Nachbarschaftsentdeckung (SENDEN)
  • Einige Teile von Mobile IPv6
  • Site-Multihoming durch IPv6-Vermittlung
  • viele verschiedene kleine Dinge

Ein weiterer Faktor war die Tatsache, dass viele der entwickelten Technologien genau auf einem solchen Netzwerkpräfix beruhten.

Nicht nur die Drohung, den neu entdeckten Standard zu brechen, war der Grund für das Schreiben neuer Empfehlungen. Zwei Meinungen von zweifelhafter Gültigkeit waren ebenfalls sehr beliebt.
Erstens implementieren viele Geräte das IPv6-Routing programmgesteuert mit Krücken und Fahrrädern und sind daher nicht für einen vollständigen Übergang bereit. Eine mögliche Erhöhung der Verzögerung aufgrund dieser kann sich um ein Vielfaches erhöhen, wenn nicht sogar um eine Größenordnung. Die Standarddefinition des / 64-Subnetzes würde diese Verzögerungen erheblich reduzieren.

Zweitens ist die Umstellung auf einen neuen Standard für den technischen Support und die Systemadministratoren immer ein Problem. Ein einzelnes / 64-Präfix sollte diesen Schmerz auf einen akzeptablen Wert reduzieren.

Die Situation an den Fronten


Wie bereits im Jahr 2001 wurde Empfehlung / 64 von vielen großen Internet-Playern als Standard angesehen. Einerseits ist es gut, andererseits nicht so gut.

Bei vielen Bewertungssystemen, beispielsweise zur Spam-Erkennung, werden alle Adressen aus einem Block als zu einem Spammer gehörend betrachtet. Theoretisch sollte dies dem Benutzer das Leben erleichtern, im Gegenteil.

Oft beschäftigen sich Anbieter nicht mit Dingen wie dem Erlernen gängiger Praktiken. Adressen können nach jedem Prinzip vergeben werden, zumindest sogar nach dem Horoskop.

Es gibt mehrere typische Probleme, die alle auf die Verletzung der Empfehlungen des Anbieters einerseits und die strikte Einhaltung durch einige andere Organisationen andererseits zurückzuführen sind.
Das Ausgeben von Adressen von einem Block an mehrere Benutzer kann dazu führen, dass alle als ein tatsächlicher Benutzer betrachtet werden, z. B. Maschinen im Netzwerk des Unternehmens.

Wenn mehrere Personen aus diesem Block gleichzeitig nach Katzen suchen, kann Google entscheiden, dass dieses Botnetz Anfragen nach Suchbetrug oder anderen nicht sehr guten Dingen sendet. Aus seiner Sicht ist dies alles ein Benutzer. Das logische Ergebnis ist ein zunehmend komplizierteres Captcha.

Wie Sie wissen, ist dies die harmloseste Antwort auf einen hypothetischen Betrug.
Die umgekehrte Situation ist die Ausgabe von Adressen aus verschiedenen Blöcken an einen Benutzer. Wenn Benutzer dieser Blöcke in die schwarze Liste einer anderen Person fallen, fallen die Adressen eines ehrlichen Benutzers mit. Besonders interessante Geschichte: Einige Ihrer Adressen wurden von einem Werbenetzwerk gesperrt, andere von einem anderen.

Darüber hinaus sind weitere unangenehme Überraschungen möglich. Sie haben beispielsweise Block / 64 für Ihre Verwendung erhalten, dies ist jedoch ein dynamischer Block als dynamische Adresse - heute 2001: DA8: 1D01: FA13 :: / 64, morgen 2001: DA8: 1D01: FC15 :: / 64. Jeden Tag neue Abenteuer!
Es besteht eine beträchtliche Chance, verschiedene Kombinationen dieser Probleme und anderer phantasievoll gekrümmter Rechen im Anhang zu treffen.

Stellen Sie IPv6 von unserem Server aus


Wenn wir über eine Billion IP-Adressen verfügen, geben Sie beispielsweise VPN-Clients echte IP-Adressen, damit diese ohne NAT ins Internet gehen und eingehende Verbindungen aus der ganzen Welt akzeptieren können. Es klingt großartig, aber in der Praxis ist es nicht so einfach. Dies erfordert ein separates IPv6-Netzwerk, das über die der Serverschnittstelle zugewiesene IP-Adresse geleitet wird.

Angenommen, einem Server wird eine Adresse zugewiesen 2a01:baba::c0fee:dead/64, dann benötigen VPN-Clients ein separates Netzwerk, z. 2a01:baba:fafa:0f0f::/64B. über die Adresse weitergeleitet 2a01:baba::c0fee:dead/64.

Leider verfügen nur sehr wenige Hosting-Anbieter über Tools, mit denen solche Netzwerke an Clients ausgegeben werden können . Deshalb müssen Sie Krücken wie ND Proxy verwenden .

Fazit


Das Lesen von IETF-Empfehlungen ist nicht die interessanteste Aktivität, aber äußerst nützlich. Es lohnt sich natürlich nicht, sie mit langen Winterabenden zu füllen, aber es ist auch unerwünscht, die für Sie wichtigen Abschnitte nicht zu lesen.

Stellen Sie bei der Auswahl eines Anbieters sicher, dass er diesen Standpunkt teilt.

Sie müssen verstehen, dass der falsche Ansatz bei der Zuweisung von Adressen dem Anbieter keinen Schaden zufügt und bei den meisten Verträgen nicht einmal die Grundlage für eine Entschädigung sein kann.
Dies kann sich jedoch als Schlüsselfaktor für Sie herausstellen, obwohl Sie es selbst noch nicht vermuten.

More articles:


All Articles