IP V6 ist schon seit einiger Zeit auf dem „Markt“ und setzt sich nun auch so langsam aber sicher durch. Zumindest spürt man auch im privaten und im Homeoffice Umfeld mehr und mehr die Verbreitung. In der Vergangenheit war es eine nervige Sache das die ISPs jede Nacht Ihre Verbindung trennten und damit dem Client eine neue IP-Adresse zugewiesen haben. Wer nun zu Hause in seinem Netzwerk einen Service im Internet anbieten wollte war darauf angewiesen zu wissen, welche IP-Adresse sein DSL Anschluß hat. Sicherlich eines der verbreitesten Services ist VPN oder aber der Zugriff auf die SmartHome Geräte, die Webcam, das NAS, … Beispiele gibt es genug.
Wurde die Situation der wechselnden IP-Adresse mit DYNDNS gut gelöst und die Erreichbarkeit der hauseigenen Systeme sichergestellt, bringt IP Version 6 ganz neue Herausforderungen mit sich. Wer nun glaubt durch den Wechsel zu einem Provider wie beispielsweise „Deutsche Glasfaser“ einen schnellen Anschluß zu bekommen und alles läuft wie bisher, der wird sich wundern und muß sich damit anfreunden etwas in die Tiefe von IP V6 einzusteigen und bei ein paar Details nun doch tiefer einzusteigen. Warum sollte man das früh genug tun? Einige Provider geben an den Kunden keine echte öffentliche IP V4 Adresse mehr heraus – das bedeutet der Anschlußinhaber muß verstehen warum auf einmal seine Zugriffe aus dem Internet in sein privates LAN nicht mehr funktionieren. Erst wenn er das verstanden hat, besteht die Möglichkeit eine Lösung zu installieren.
Viele Internert Service Provider vergeben keine echte öffentliche IP an den Kunden. Damit ist eine Port Freischaltung im DSL/ FDDI Router sinnlos und funktioniert nicht
Szenario 1: Zugriff mit IPV4 auf einen Service im Homeoffice
Der Router (1.) baut die Verbindung zum Internet auf und registriert die erhaltene IP Adresse im DNS Server (5.) Durch die eingetragene Port Freischaltung ist der Service, in disem Fall der VPN Zugangsserver, aus dem Internet erreichbar. Startet der Client auf seinem Mobiltelefon (4.) jetzt die Software fragt die Client Software den DNS Namen beim DNS Server (5.) ab und kontaktiert über den Router (1.) den VPN-Server (6.). Nach erfolgreicher Anmeldung am VPN-Server (6.) ist das Mobiltelefon mit dem VPN verbunden.
Dieses ist das Szenario, welches state-of-the-art ist und in einem reinen IP V4 Umfeld sehr gut funktioniert.
Szenario 2: Zugriff mit IPV4 auf einen Homeofficeanschluß mit IPV6
In diesem Szenario baut der Router (2.) die Verbindung zum Internet auf. Die erhhaltene IP Adresse ist jetzt eine IPV6 Adresse. Diese Adresse kann technisch nicht in einem IPV4 DDNS Server (5.) registriert werden. Folglich kann der Service auch aus dem Internet NICHT erreicht werden (Weil die IP-Adresse des Routers nicht im DNS bekannt ist). Es gibt aber noch ein zweites Problem. IPV4 und IPV6 kommunizieren quasi nicht ohne weiteres miteinander. Man benötigt also eine Art Gateway zwischen diesen beiden Welten.
Zur Kommunikation zwischen IPV4 und IPV6 wird eine Software benötigt die die Datenpakete von IPV4 aufgreift und an die IPV6 Adresse weiterleitet und umgekehrt. Idealerweise ist dieses Gateway zwischen den Welten IPV4/IPV6 24×7 erreichbar und hat sowohl eine statische IPV4 und IPV6 Adresse. Dieses Gateway wird mit der IPV4 Adresse im DNS-Server (5.) registriert. Da die Adresse des Gateways 24×7 verfügbar und statisch ist kann diese fest eingetragen werden. Der bei einem IPV4 DSL Anschluß benötigte DDNS Service kann in dieser Konstellation entfallen.
Der Router (2.) benötigt zur Erreichbarkeit keinen DDNS – die Vergabe der IPV6 Adressen erfolgt in der Regel dauerhaft, bedeutet die wechseln auch nach einem re-connect NICHT.
Auf dem Gateway wird ein Stück Software betrieben, diese nennt sich beispielsweise 6Tunnel. 6Tunnel wird mit 3 Parametern aufgerufen und läuft danach im Hintergrund. 6Tunnel ist nur ein Beispiel, es gibt weitere Arten von Portmappern und auch Dienstanbieter für diesen Service.
6tunnel 88 2003:e5:f741:d800:431e:fa24:f8b6:990d 80
Parameter 1 = IPV4 Port
Parameter 2 = IPV6 Zieladresse
Parameter 3 = IPV6 Ziel Port
Alle Datenpakete die nun auf dem Gateway auf Parameter 1 ankommen, werden an die IPV6 Zieladresse mit dem IPV6 Zielport weitergeleitet und umgekehrt. 6Tunnel kann für unterschiedliche Quell- und Zielports, Adressen mehrfach auf dem System gestartet werden und bleibt solange aktiv bis der Service beendet wird. Eine Besonderheit ist jedoch zu beachten. 6Tunnel leitet KEINE UDP Paketet weiter, sondern nur TCP Pakete.
Das 6Tunnel nur TCP Pakete weiter leitet ist insbesondere bei openVPN wichtig, denn openVPN benutzt bevorzugt UDP. Hier muß ggf. eine Umstellung auf TCP Kommunikation erfolgen.
Die Daten der IPV6 Zieladresse und Zielport bekommt man jetzt aus dem Dialog der Freigabe in dem Router (2.). Bei der Zieladresse ist jetzt auch die IPV6 Adresse des Gerätes einzutragen, welches den Service (6.) erbringt. Hierbei ist jetzt zu beachten, das Gerät welches den Service erbringt (6.) muß eine IPV6 Adresse haben.
Auswirkungen
Wer Services in seinem LAN zu Hause aus dem öffentlichen Internet nutzen möchte muss nun einen anderen Lösungsweg einschlagen. Dazu ist min. der IPV4toIPV6 Gateway Service oder ein eigener Server notwendig. Die Kommunikation hat einen Kommunikationspartner mehr, dieses besagte Gateway. Wer hier einen Dienstanbieter in Anspruch nimmt sollte wissen das seine Daten in und aus dem Home-LAN jetzt über diesen Anbieter (Gateway 5.) laufen und das es hier nicht zu einem Datenstau kommt. Wer also einen 1GBIt/s FttH Anschluß hat und per VPN mit der Geschwindigkeit in sein Homelan möchte, sollte bei der Auswahl des Anbieters auch die Performance betrachten.
Administrativ ist es komplexer. Wer einen eigenen Server als Gateway nutzen möchte muss diesen auch pflegen. Diese Systeme sind in der Regel mit hoher Bandbreite im Internet und wer sich damit nicht auskennt muß jetzt Geld in die Hand nehmen um jemanden zu beauftragen. Die Administration des Service nimmt nicht viel Zeit in Anspruch, jedoch das System an für sich benötigt ab und an mal etwas Aufmerksamkeit für Updates etc.
Im Homeoffece-LAN kommt neben der IPV4 Thematik jetzt auch die IPV6 Ebene hinzu. Einmal installiert läuft es wie von selbst. Ein wenig Basiswissen zu IPV6 ist aber notwenig. Endgeräte im Homeoffce-LAN die keinen IPV6 Anschluß haben sind von außen schlimmsten Falls auch nicht erreichbar.
Vorbereitung
Wer nicht in das kalte Wasser geworfen werden will und die Umstellung vorbereiten möchte kann dieses heute schon tun. Vorraussetzung ist ein IPV6 fähiger DSL Anschluß, beispielsweise ein T-COM Anschluß. Dort hat man die Möglichkeit beide Protokoll versionen gleichzeitig zu aktivieren und damit zu testen, das Szenario 2 vorzubereiten. Ist dann der IPV6 fähige neue schnelle Anschluß verfügbar, ist die Migration nur noch eine Umstellung im DNS Server.
Hinterlasse einen Kommentar