22
NAT für IPv6
Hallo,
ich habe hier mehrere virtuelle Maschinen welche mit Hyper-V virtualisiert werden. Als Gast wird Linux und BSD eingesetzt, der Host ist ein Hyper-V Server Standalone.
Die virtuellen Maschinen sind alle sowohl mit IPv4 als auch mit IPv6 angebunden und werden mit Portfreigaben an das öffentliche Internet angebunden.
Mein Problem bzw. meine Frage wäre ob ein NAT für IPv6 Sinn macht und wie ich es am besten einrichten könnte.
Denn ich möchte die virtuellen Maschinen ungern mit öffentlichen IPv6-Adressen ausstatten die alle ihre eigene Firewall haben.
Wäre sowas sinnvoll und brauchbar?
Ich bedanke mich im voraus.
Tiabeanie
ich habe hier mehrere virtuelle Maschinen welche mit Hyper-V virtualisiert werden. Als Gast wird Linux und BSD eingesetzt, der Host ist ein Hyper-V Server Standalone.
Die virtuellen Maschinen sind alle sowohl mit IPv4 als auch mit IPv6 angebunden und werden mit Portfreigaben an das öffentliche Internet angebunden.
Mein Problem bzw. meine Frage wäre ob ein NAT für IPv6 Sinn macht und wie ich es am besten einrichten könnte.
Denn ich möchte die virtuellen Maschinen ungern mit öffentlichen IPv6-Adressen ausstatten die alle ihre eigene Firewall haben.
Wäre sowas sinnvoll und brauchbar?
Ich bedanke mich im voraus.
Tiabeanie
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 386395
Url: https://administrator.de/contentid/386395
Printed on: April 23, 2024 at 16:04 o'clock
22 Comments
Latest comment
Guten Abend,
du solltest dich näher mit IPv6 beschäftigen. Es gibt grundsätzlich kein NAT mehr. NAT wurde nicht als Sicherheitsfunktion geschaffen, sondern auf Grund der Adressknappheit von IPv4.
Sprich du regelst den Zugriff vom und ins Internet wie bisher auch schon über eine zentrale Firewall.
Gruß,
Dani
du solltest dich näher mit IPv6 beschäftigen. Es gibt grundsätzlich kein NAT mehr. NAT wurde nicht als Sicherheitsfunktion geschaffen, sondern auf Grund der Adressknappheit von IPv4.
Sprich du regelst den Zugriff vom und ins Internet wie bisher auch schon über eine zentrale Firewall.
Gruß,
Dani
Unter v6 macht man kein NAT, sonndern vergibt routebare Adressen. Den Zugriff beschränkt dann eine Firewall vor den Kisten, wie auch bei v4.
Also: Steck alles in eine DMZ und mach eine Firewall davor!
lks
Edit: Typos (nachdem der Thread wieder ausgegraben wurde).
Mit IPv6 habe ich mich schon beschäftigt, allerdings glaube ich nicht dass es für IPv6 kein NAT mehr gibt. Ich finde es einfach nur aus Prinzip dämlich öffentliche IP-Adressen in einem LAN zu verteilen. Ich möchte mehrere Dienste innerhalb der virtuellen Maschinen (Beispiel: VM1 -> HTTP, VM2 -> FTP, …) über eine IPv6-Adresse erreichen können. Würde ich der Logik von IPv6 wirklich 1:1 folgen müsste ich mehrere IPv6-Adressen nutzen um die Dienste zu erreichen. Genau das möchte ich vermeiden.
Es gibt kein NAT mehr.
Es gab auch eigentlich die meiste Zeit bei IPv4 kein NAT.
Da hat man dann halt letztlich in seinem Netz unzählige weltweit geroutete IPv4-Adressen vergeben und sich an der Firewall erfreut, die den Zugriff limitiert hat.
An den meisten Universitäten gibt es bis heute nur weltweit geroutete IPv4-Netze, das ist dann das LAN.
"LAN" impliziert nicht, dass man nur RFC1918-Adressen für IPv4 benutzt sondern sagt nur, auf welcher Seite des Routers du dich befindest.
In deinem LAN hast du dann also globale IPv6-Adressen.
Solange dein Router resp. die Firewall stateful nur die Verbindungen von außen herein lässt, die man haben will, ist alles genau so sicher wie bei IPv4.
Es gab auch eigentlich die meiste Zeit bei IPv4 kein NAT.
Da hat man dann halt letztlich in seinem Netz unzählige weltweit geroutete IPv4-Adressen vergeben und sich an der Firewall erfreut, die den Zugriff limitiert hat.
An den meisten Universitäten gibt es bis heute nur weltweit geroutete IPv4-Netze, das ist dann das LAN.
"LAN" impliziert nicht, dass man nur RFC1918-Adressen für IPv4 benutzt sondern sagt nur, auf welcher Seite des Routers du dich befindest.
In deinem LAN hast du dann also globale IPv6-Adressen.
Solange dein Router resp. die Firewall stateful nur die Verbindungen von außen herein lässt, die man haben will, ist alles genau so sicher wie bei IPv4.
Zitat von @Tiabeanie:
Mit IPv6 habe ich mich schon beschäftigt, allerdings glaube ich nicht dass es für IPv6 kein NAT mehr gibt.
Glauben kannst du in der Kirche.Mit IPv6 habe ich mich schon beschäftigt, allerdings glaube ich nicht dass es für IPv6 kein NAT mehr gibt.
Ich finde es einfach nur aus Prinzip dämlich öffentliche IP-Adressen in einem LAN zu verteilen.
Das was du "aus Prinzip dämlich" findest ist der gewollte Normalzustand, auch schon unter IPv4.Ich möchte mehrere Dienste innerhalb der virtuellen Maschinen (Beispiel: VM1 -> HTTP, VM2 -> FTP, …) über eine IPv6-Adresse erreichen können. Würde ich der Logik von IPv6 wirklich 1:1 folgen müsste ich mehrere IPv6-Adressen nutzen um die Dienste zu erreichen. Genau das möchte ich vermeiden.
Dann solltest du dich mit dem Thema Loadbalancing beschäftigen.
/Thomas
NAT gibt es nicht. Dafür aber Private IPv6 Adressen, die nicht über ein GW nach außen finden.
Da zum Thema NAT schon alles gesagt wurde der Hinweis das du dir sinnigerweise eine Firewall auf deinem Hypervisor installierst.
Das Thema virtuelle Firewall ist zwar zwiespältig, da man eine Firewall besser nicht virtualisieren sollte aber es ist besser als nix.
Damit kannst du deine IPv6 VMs dann zusätzlich schützen sofern dir dein Heimrouter nicht vertrauenswürdig genug ist.
Die allseits bekannte pfSense wäre z.B. ein geeigneter Kandidat dafür !
Das Thema virtuelle Firewall ist zwar zwiespältig, da man eine Firewall besser nicht virtualisieren sollte aber es ist besser als nix.
Damit kannst du deine IPv6 VMs dann zusätzlich schützen sofern dir dein Heimrouter nicht vertrauenswürdig genug ist.
Die allseits bekannte pfSense wäre z.B. ein geeigneter Kandidat dafür !
Ich habe ein ähnlich gelagertes Problem. LXC Container auf einem Linux Server, die im Normalfall nicht mit dem Internet verbunden sind und bei denen einige (internet facing services) via SNAT und DNAT selektiv mit dem Internet (mit public IPs) verbunden werden. Die Applikationen in den Containern sollen agnostisch unabhängig von der von außen zugeschalteten public IP Adresse funktionieren und austauschbar sein. Das ist auch kein 1:1 mapping (public IP -> private IP), sondern die DNAT rules sind abhängig von Portnummern. Das heist der Traffic auf eine public IP (auf einen FQDN) kann auf mehrere Container abhängig von der Portnummer verteilt werden.
Das geht sehr gut mit IPv4 und iptables. Geht das auch 1:1 für IPv6 mit ip6tables?
iptables -t nat -A POSTROUTING -s INTERNE_IP_CONTAINER1 -j SNAT --to PUBLIC_IP_1
iptables -t nat -A PREROUTING -p tcp -d PUBLIC_IP_1 --dport 80 -j DNAT --to INTERNE_IP_CONTAINER1Das geht sehr gut mit IPv4 und iptables. Geht das auch 1:1 für IPv6 mit ip6tables?
Ja, wenn du statische IPv6 Adressen hast.
Es geht nicht bei den Consumer Anschlüssen mit dynamischer Prefix Delegation weil dort statisches NAT wegen der wechselnden IPv6 Adressen ins Leere rennt.
Mit statischen v6 Adressen klappt es problemlos.
Es geht nicht bei den Consumer Anschlüssen mit dynamischer Prefix Delegation weil dort statisches NAT wegen der wechselnden IPv6 Adressen ins Leere rennt.
Mit statischen v6 Adressen klappt es problemlos.
Das hört sich gut an. Dann steht dem Einsatz von IPv6 auf meinen Servern nichts mehr im Wege (hoffe ich).
Das ist auch lesenswert zu dem Thema:
https://www.heise.de/select/ct/2018/19/1536650923067816
https://www.heise.de/select/ct/2018/19/1536650923067816
Meine Frage bezieht sich auf "dedizierte"/"Root" Server, die bei einem Hosting Provider im Rechenzentrum stehen. Und da sollten dynamischen IPv6-Adressen ein No-Go sein.
Das ist richtig !
Der Erfolg des Internet mit IPv4 basierte nicht auf Dogmatismus, sondern Anpassungsfähigkeit, Verständlichkeit, Einfachheit. IPv6 trug von Beginn an den Ballast des bewusst Elitären und schwer Verständlichen mit sich.
In der Folge wurde durch IPv6 das intuitive und schnelle Verständnis von Zusammenhängen und Topologien in Netzwerken erheblich gestört.
Dadurch steigt nicht etwa die Qualität und Sicherheit, sondern das Gegenteil ist der Fall, schließlich sind lokale Netzwerke auf der ganzen Welt erforderlich und nicht nur in idealen Umgebungen.
Weiterhin ist es durchaus ein berechtigtes Anliegen, globale und lokale Adressen 1) soweit irgend möglich zu entkoppeln und 2) nur sparsam zu exponieren, wenn dies unverzichtbar ist, im Sinne der die Sicherheit fördernden Datensparsamkeit.
Viele der mit IPv6 einst verbundenen Vorhersagen haben sich erfüllt, andere überhaupt nicht.
So sind meines Wissens nach wie vor die meisten lokalen Netzwerke in Betrieben, Organisationen, Behörden nach wie vor mit IPv4 und NAT angebunden.
In der Folge wurde durch IPv6 das intuitive und schnelle Verständnis von Zusammenhängen und Topologien in Netzwerken erheblich gestört.
Dadurch steigt nicht etwa die Qualität und Sicherheit, sondern das Gegenteil ist der Fall, schließlich sind lokale Netzwerke auf der ganzen Welt erforderlich und nicht nur in idealen Umgebungen.
Weiterhin ist es durchaus ein berechtigtes Anliegen, globale und lokale Adressen 1) soweit irgend möglich zu entkoppeln und 2) nur sparsam zu exponieren, wenn dies unverzichtbar ist, im Sinne der die Sicherheit fördernden Datensparsamkeit.
Viele der mit IPv6 einst verbundenen Vorhersagen haben sich erfüllt, andere überhaupt nicht.
So sind meines Wissens nach wie vor die meisten lokalen Netzwerke in Betrieben, Organisationen, Behörden nach wie vor mit IPv4 und NAT angebunden.
Na ja....mental sicher etwas übertrieben und...so oder so jetzt völlig egal, denn äußere Umstände erzwingen schlicht und einfach den Wechsel !
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Alles eine Frage der Zeit...
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Alles eine Frage der Zeit...
Da hat sich jemand extra registriert, um sich als Totengräber für einen Thread zu betätigen, der schon ein Jahr da liegt.
Klar, dass diese Person auch an toten Protokollen festhält
Zumal die Kritik auch fehlendes Wissen über IPv6 offenbart, wie z.B. das angebliche Fehlen "interner" IPs, wofür man ULA benutzen würde.
Vielleicht ist das Problem mit IPv6 bei den meisten Leuten, die das fehlende NAT verteifeln, viel mehr, dass man sich jetzt mit ordentlichem Routing befassen muss und nicht jeden Pfusch wie bei IPv4 einfach mit einer oder mehreren Schichten NAT überdecken kann
P.S.: Mag ja sein, dass Firmen mit IPv4 schön arbeiten können. Privatkunden bekommen aber zunehmend kein IPv4 mehr und haben dementsprechend Probleme mit VPN in die Firma. Probleme, deren Behebung Zeit = Geld kostet. Probleme, die mit IPv6 dann nicht mehr da wären. Nur so als Gedankenansatz...
Klar, dass diese Person auch an toten Protokollen festhält
Zumal die Kritik auch fehlendes Wissen über IPv6 offenbart, wie z.B. das angebliche Fehlen "interner" IPs, wofür man ULA benutzen würde.
Vielleicht ist das Problem mit IPv6 bei den meisten Leuten, die das fehlende NAT verteifeln, viel mehr, dass man sich jetzt mit ordentlichem Routing befassen muss und nicht jeden Pfusch wie bei IPv4 einfach mit einer oder mehreren Schichten NAT überdecken kann
P.S.: Mag ja sein, dass Firmen mit IPv4 schön arbeiten können. Privatkunden bekommen aber zunehmend kein IPv4 mehr und haben dementsprechend Probleme mit VPN in die Firma. Probleme, deren Behebung Zeit = Geld kostet. Probleme, die mit IPv6 dann nicht mehr da wären. Nur so als Gedankenansatz...
Klar, dass diese Person auch an toten Protokollen festhält
Besser hätte man es nicht sagen können... 👍
Umso interessanter war festzustellen, wer es nötig hat, in einem von ihm selber als tot bezeichneten Thread ungefragt Diagnosen über andere zu stellen, die auf die Schwächen des IPv6 hinweisen.
Ich hatte früher schon mal einen Account bei Administrator.de, der war allerdings nicht mehr nutzbar, weil die dazu gehörende Emailadresse offenbar auch tot ist.
Wer nun tatsächlich mehr oder weniger von Routing vertehen mag sei dahingestellt, ich glaube es geht in solchen Threads nicht darum, anderen Foristen Blödheit zu unterstellen.
Es gibt durchaus sehr intelligente Informatiker oder Softwaredesigner, die freimütig einräumen, daß sie die Feinheiten der Netzwerkprotokolle weder kennen noch jucken, aber trotzdem müssen sie sich vor allem auf die versprochenen Eigenschaften verlassen.
Und da gibt es eben gewaltige Defizite bei IPv6. Die schlechte menschliche Lesbarkeit der Adressen ist bereits ein Defizit, weil dies gerade bei Anwendern, die kleine lokale Aufgaben bewältigen müssen, die Unsicherheit und Fehlerhäufigkeit gewiss steigert anstatt mindert.
Ich hatte früher schon mal einen Account bei Administrator.de, der war allerdings nicht mehr nutzbar, weil die dazu gehörende Emailadresse offenbar auch tot ist.
Wer nun tatsächlich mehr oder weniger von Routing vertehen mag sei dahingestellt, ich glaube es geht in solchen Threads nicht darum, anderen Foristen Blödheit zu unterstellen.
Es gibt durchaus sehr intelligente Informatiker oder Softwaredesigner, die freimütig einräumen, daß sie die Feinheiten der Netzwerkprotokolle weder kennen noch jucken, aber trotzdem müssen sie sich vor allem auf die versprochenen Eigenschaften verlassen.
Und da gibt es eben gewaltige Defizite bei IPv6. Die schlechte menschliche Lesbarkeit der Adressen ist bereits ein Defizit, weil dies gerade bei Anwendern, die kleine lokale Aufgaben bewältigen müssen, die Unsicherheit und Fehlerhäufigkeit gewiss steigert anstatt mindert.
Ich wollte nicht beleidigen - ich wollte nur sagen, dass es für fundierte Kritik eben nunmal auch Voraussetzung ist, dass man mit der Sache, an der man Kritik übt, auch ausreichend vertraut ist. Und das kann ich bei dir eben nicht erkennen.
Hast du irgendwo IPv6 über einen Zeitraum von wenigstens ein paar Wochen mal produktiv eingesetzt?
Diese Ängste stehen natürlich im Raum, zerstreuen sich aber relativ schnell. Bspw. weil man feststellt, dass man eigentlich nie die vollständige Adresse braucht sondern (weil man das Präfix ja bereits kennt) nur die letzten 2-3 Hextette interessant sind.
Und es spricht auch nichts dagegen, IPv4 und IPv6 parallel zu betreiben und die IPv4-Adresse in die IPv6-Adresse hineinzuwerfen:
192.168.111.222 = fd0a:1::192:168:111:222
Ja, die Adressen sind natürlich länger und ja, die HEX-Repräsentation ist für manche mehr gewöhnungsbedürftig als für andere. Aber das ist zu schaffen, glaube es mir. Man muss sich nur mal *wirklich* damit beschäftigen und irgendwann wird auch bei dir der Punkt kommen, wo du dich über das "fehlende" NAT freust. Und wo du irgendwann von IPv4 sogar genervt bist
Besorge dir doch einfach mal irgendwo ein IPv6-Präfix (gibt dir dein Provider vermutlich bereits unaufgefordert) und spiele damit ein paar Wochen herum. Hier gibt es genug Leute, die dir da Unterstützung bieten.
Und was meinst du, was die Leute damals über IPv4 gesagt haben, als sie ihr geliebtes IPX/SPX aufgeben sollten?
Ich arbeite seit 2010 produktiv mit IPv6-Netzen in unseren Rechenzentren, seit etwa 2013 oder 2014 haben wir in unserem Büro-LAN ebenfalls wirklich alles mit IPv6 angebunden. Das fängt bei der Workstation an, geht über Drucker und Scanner bis zu den Telefonen und IP-Kameras.
Alles hat IPv6 mit öffentlichen Adressen aus unserer Allocation - allerdings filtern natürlich die Firewalls den eingehenden Traffic.
Wenn hier jemand eine IPv6-Adresse durchgeben soll, dann frage ich bereits nur "Die Adresse fängt ja mit 2a02:aaaa:bbbb:cccc an, mich interessieren nur die letzten drei Blöcke".
Und - natürlich - findet die VPN-Einwahl per IPv6 statt, was das Carrier-NAT bei den ganzen Kabel- und Glasfaseranbietern umgeht. Und natürlich auch per LTE im Sommer interessant wird, wenn wieder alle im Schrebergarten hocken
Wir betreiben das Dual-Stacked, weil manche noch IPv4-only-Anschlüsse von Vodafone (DSL) haben, aber knapp 80% der VPN-Einwahlen sind IPv6, nur durch das reine Anbieten, nicht durch explizites Auffordern.
Selbst die technisch eher uninteressierten Menschen aus der Buchhaltung oder dem Vertrieb sind per IPv6 eingewählt, aber das wissen die nichtmal.
Aber das ist auch, was ich vorher meinte: Es mag ja sein, dass für Firmen erstmal augenscheinlich IPv6 vollkommen uninteressant ist. Für die VPN-Einwahl und (wenn es nicht per VPN erfolgt) die Telefonie sollte man IPv6 mit anbieten. Dass die Firma einen Business-Anschluss mit IPv4 hat ist ja schön für die Firma - aber die Mitarbeiter haben allesamt Privatkundenanschlüsse und da wird, je nach Zugangsart und Anbieter, überhaupt kein IPv4 mehr drauf angeboten. Wenn sich die Home-Office-Leute per IPv6 einwählen können, müssten diese nicht über mal mehr mal weniger gute AFTRs quetschen
Weiteres Problem, was sich dadurch in Luft auflöst:
Bei der VPN-Einwahl vergeben wir natürlich ebenfalls IPv6-Adressen, für IPv4 vergeben wir nur ein Dummy-Netz (je /30) aus RF5737 damit die VPN-Clients glücklich sind. Der gesamte produktive Traffic ist IPv6-Only.
Damit ist schonmal garantiert, dass diese Adressen niemals irgendwo kollidieren, weil es prinzipbedingt diese Adressen nirgendwo anders geben darf. Sind ja eure Adressen, die hat niemand anderes zu verwenden.
Die Suche nach "krummen" IPv4-Netzen, die im Netzwerk des Einwählenden nicht genutzt werden damit es nicht zu Routingproblemen bei VPN kommt, entfällt damit schonmal.
Und die schier endlose Zahl von Adressen ermöglicht auch Firmen, Dienste ordentlich ins Internet zu stellen, ohne irgendwelche krummen Ports zu verwenden. Mehrere Dienste unter dem selben Port, die nicht zusammenwachsen können? Dann einfach eine separate IPv6-Adresse dafür nehmen!
Schönes Beispiel: http://42.be (funktioniert aber nur mit IPv6)
Hast du irgendwo IPv6 über einen Zeitraum von wenigstens ein paar Wochen mal produktiv eingesetzt?
Diese Ängste stehen natürlich im Raum, zerstreuen sich aber relativ schnell. Bspw. weil man feststellt, dass man eigentlich nie die vollständige Adresse braucht sondern (weil man das Präfix ja bereits kennt) nur die letzten 2-3 Hextette interessant sind.
Und es spricht auch nichts dagegen, IPv4 und IPv6 parallel zu betreiben und die IPv4-Adresse in die IPv6-Adresse hineinzuwerfen:
192.168.111.222 = fd0a:1::192:168:111:222
Ja, die Adressen sind natürlich länger und ja, die HEX-Repräsentation ist für manche mehr gewöhnungsbedürftig als für andere. Aber das ist zu schaffen, glaube es mir. Man muss sich nur mal *wirklich* damit beschäftigen und irgendwann wird auch bei dir der Punkt kommen, wo du dich über das "fehlende" NAT freust. Und wo du irgendwann von IPv4 sogar genervt bist
Besorge dir doch einfach mal irgendwo ein IPv6-Präfix (gibt dir dein Provider vermutlich bereits unaufgefordert) und spiele damit ein paar Wochen herum. Hier gibt es genug Leute, die dir da Unterstützung bieten.
Und was meinst du, was die Leute damals über IPv4 gesagt haben, als sie ihr geliebtes IPX/SPX aufgeben sollten?
Ich arbeite seit 2010 produktiv mit IPv6-Netzen in unseren Rechenzentren, seit etwa 2013 oder 2014 haben wir in unserem Büro-LAN ebenfalls wirklich alles mit IPv6 angebunden. Das fängt bei der Workstation an, geht über Drucker und Scanner bis zu den Telefonen und IP-Kameras.
Alles hat IPv6 mit öffentlichen Adressen aus unserer Allocation - allerdings filtern natürlich die Firewalls den eingehenden Traffic.
Wenn hier jemand eine IPv6-Adresse durchgeben soll, dann frage ich bereits nur "Die Adresse fängt ja mit 2a02:aaaa:bbbb:cccc an, mich interessieren nur die letzten drei Blöcke".
Und - natürlich - findet die VPN-Einwahl per IPv6 statt, was das Carrier-NAT bei den ganzen Kabel- und Glasfaseranbietern umgeht. Und natürlich auch per LTE im Sommer interessant wird, wenn wieder alle im Schrebergarten hocken
Wir betreiben das Dual-Stacked, weil manche noch IPv4-only-Anschlüsse von Vodafone (DSL) haben, aber knapp 80% der VPN-Einwahlen sind IPv6, nur durch das reine Anbieten, nicht durch explizites Auffordern.
Selbst die technisch eher uninteressierten Menschen aus der Buchhaltung oder dem Vertrieb sind per IPv6 eingewählt, aber das wissen die nichtmal.
Aber das ist auch, was ich vorher meinte: Es mag ja sein, dass für Firmen erstmal augenscheinlich IPv6 vollkommen uninteressant ist. Für die VPN-Einwahl und (wenn es nicht per VPN erfolgt) die Telefonie sollte man IPv6 mit anbieten. Dass die Firma einen Business-Anschluss mit IPv4 hat ist ja schön für die Firma - aber die Mitarbeiter haben allesamt Privatkundenanschlüsse und da wird, je nach Zugangsart und Anbieter, überhaupt kein IPv4 mehr drauf angeboten. Wenn sich die Home-Office-Leute per IPv6 einwählen können, müssten diese nicht über mal mehr mal weniger gute AFTRs quetschen
Weiteres Problem, was sich dadurch in Luft auflöst:
Bei der VPN-Einwahl vergeben wir natürlich ebenfalls IPv6-Adressen, für IPv4 vergeben wir nur ein Dummy-Netz (je /30) aus RF5737 damit die VPN-Clients glücklich sind. Der gesamte produktive Traffic ist IPv6-Only.
Damit ist schonmal garantiert, dass diese Adressen niemals irgendwo kollidieren, weil es prinzipbedingt diese Adressen nirgendwo anders geben darf. Sind ja eure Adressen, die hat niemand anderes zu verwenden.
Die Suche nach "krummen" IPv4-Netzen, die im Netzwerk des Einwählenden nicht genutzt werden damit es nicht zu Routingproblemen bei VPN kommt, entfällt damit schonmal.
Und die schier endlose Zahl von Adressen ermöglicht auch Firmen, Dienste ordentlich ins Internet zu stellen, ohne irgendwelche krummen Ports zu verwenden. Mehrere Dienste unter dem selben Port, die nicht zusammenwachsen können? Dann einfach eine separate IPv6-Adresse dafür nehmen!
Schönes Beispiel: http://42.be (funktioniert aber nur mit IPv6)
Zitat von @LordGurke:
Dann einfach eine separate IPv6-Adresse dafür nehmen!
Schönes Beispiel: http://42.be (funktioniert aber nur mit IPv6)
Dann einfach eine separate IPv6-Adresse dafür nehmen!
Schönes Beispiel: http://42.be (funktioniert aber nur mit IPv6)
Und dann sich wundern, daß Adressen knapp werden.
lks
Zunächst mal danke für die Antwort, meine vorläufige Reaktion:
- zunächst: man darf sehr wohl Kritik an einer technischen Innovation äußern, ohne die Innovation technisch vollständig durchdrungen zu haben. Ich beziehe mich mit meiner Kritik auf jene Aspekte, denen ich im Zusammenhang mit dem Vergleich IPv4 und IPv6 begegne.
- ja ich habe IPv6 häufig produktiv eingesetzt, aber glücklicherweise war ich nie verantwortlich für die Sicherheit des Netzwerks vor Ausfall oder Leaks in der Firma, damit habe ich mich nur zu reinen IPv4 Zeiten beschäftigt
- es ist nicht unbedingt so, daß mich IPv6 intellektull grundsätzlich überfordert, es scheint mir ab so zu sein, daß auch Administratoren, die sich häufig zwangsläufig damit befassen, bei IPv6 viel häufiger ins Schwimmen kommen als früher bei IPv4. Aufgaben, die früher banal und stabil zu erledigen waren, ebreiten heute ständig Kopfschmerzen.
- eben mal für Laptops per Smartphone einen IPv6 fähigen Hotspot geben funktionirt auch nicht. Ja ich weiß, man kann sicher stundenlang darüber reden, warum es nicht funktioniert und was man alles toll probieren kann, aber es funktiniert nicht und daher ist es ###e.
- zunächst: man darf sehr wohl Kritik an einer technischen Innovation äußern, ohne die Innovation technisch vollständig durchdrungen zu haben. Ich beziehe mich mit meiner Kritik auf jene Aspekte, denen ich im Zusammenhang mit dem Vergleich IPv4 und IPv6 begegne.
- ja ich habe IPv6 häufig produktiv eingesetzt, aber glücklicherweise war ich nie verantwortlich für die Sicherheit des Netzwerks vor Ausfall oder Leaks in der Firma, damit habe ich mich nur zu reinen IPv4 Zeiten beschäftigt
- es ist nicht unbedingt so, daß mich IPv6 intellektull grundsätzlich überfordert, es scheint mir ab so zu sein, daß auch Administratoren, die sich häufig zwangsläufig damit befassen, bei IPv6 viel häufiger ins Schwimmen kommen als früher bei IPv4. Aufgaben, die früher banal und stabil zu erledigen waren, ebreiten heute ständig Kopfschmerzen.
- eben mal für Laptops per Smartphone einen IPv6 fähigen Hotspot geben funktionirt auch nicht. Ja ich weiß, man kann sicher stundenlang darüber reden, warum es nicht funktioniert und was man alles toll probieren kann, aber es funktiniert nicht und daher ist es ###e.
Ich habe IPv6 aktiv, aber es erscheinen keine Bilder sondern nur Platzhalter.
