IPv6 Event

Geschrieben von Beat Rubischon (Link) am Donnerstag, 29. November 2012, 22:06 aus dem *aus-dem-asbestanzug* dept. Das Swiss IPv6 Council lud mich zu einem Event am CSCS ein und ich verband das Nützliche mit dem Interessanten. Mein Weg führte durch den Bündner Schnee nach Lugano, ein kurzer Abstecher am See verführte mich zu ein paar Bildern. Nach einem etwas längeren Vortrag über die Notwendigkeit und den möglichen Ablauf eines IPv6 Deployments im Enterprise Umfeld gab es eine nette Präsentation des aktuellen Statusses an der ETH und dem CSCS. Beide Institutionen kämpfen mit der Tücke der Details, Firmware Issues auf Routern, RADV Paketen von unerlaubten Quellen, unfertigen Management Interfaces und dem Ueberlauf von Routertabellen bei grossflächigen Scans. Beide haben komplett unterschiedliche Strategien gewählt - selbstverständlich noch einmal ganz andere als ich bei mir zuhause im Einsatz habe :-) Zusammenfassend kamen wohl alle Teilnehmer zum Schluss: IPv6 ist noch nicht Enterprise Ready. Es ist gut für Dienstanbieter im Internet (Google, Facebook, 0x1b.ch), es ist auf dem Weg für Access Provider brauchbar zu werden (DOCSYS 3, DHCPv6 Prefix Delegation), aber noch lange davon entfernt, für Firmen brauchbar zu sein. Auf der Heimfahrt, San Bernadino bei Nacht bietet viel Platz für Gedanken, kam ich noch zu einem weiteren Schluss. Er tut mir als Early Adopter im Herzen weh und ich weiss, dass ich von vielen auf den Deckel kriege: Wir brauchen NATv6. IPv6 ist die optimale Lösung für die Probleme des Internets, die wir vor 20 Jahren hatten. Automatische Adressierung inklusive automatischem Renumbering, genug Adressen für End to End Verbindungen, mandatory IPsec, ein Routingkonzept, das Memory in den Routern spart. Sukzessive wurde einer der Vorteile um den anderen gekippt, wir wollen ja nicht IPv4 1992, sondern IPv4 2012 ersetzen. Da kam DHCPv6 und killte das automatische Renumbering und multiple Uplinks - zugunsten eines Trackings von Benutzern und der Möglichkeit, weniger als ein ganzes /64 pro Subnetz auf dem Border zu erlauben und Scans auf 18'446'744'073'709'551'616 IPs zu verunmöglichen. Dann kam IPv6 PI Adress Space, welcher die globale Routing Tabelle explodieren lassen wird - zugunsten der Möglichkeit, mehrere Uplinks zu benutzen ohne intern unterschiedliche Adressbereiche zu announcen. Und IPsec wird auch nur noch im Tunnel Modus verwendet, der Client draussen soll doch bitte eine "interne" Adresse bekommen. Was fehlt noch, um die heutigen IPv4 Konzepte zu behalten? Beziehungsweise um unseren CEO zu beruhigen, dass seine interne IT Struktur nicht nach aussen dringt? Richtig, NAT. Damit können wir unsere Strukturen verstecken, die bestehenden Netzwerkpläne 1:1 übernehmen, ja selbst das Tethering mit unseren iPhones und Androids weiter benutzen. Wenn man mit der Idee von NAT kommt, fällt das Argument, NAT sei das Böse am Internet. Ich bin überzeugt davon, dass es primär Firewalls sind und NAT nur die "kleine" Variante davon ist. IPv6 mit End to End Connectivity macht nur dann Sinn, wenn sich beide Enden auch "sehen" - jede Firewall dazwischen macht das Konzept kaputt. Ein Teil steckt bereits im Linux Kernel. Seit 3.irgendetwas gibt es ein Prefix NAT. Es braucht "nur" noch einen Programmierer, der die Geschichte von IPv6 nicht kennt bzw. den Fatalismus der Designer in den Wind schiesst und ein passendes Modul schreibt. Die Infrastruktur vom Connection Tracking ist bereits da, der IPv4 Code kann wohl zu grossen Teilen 1:1 übernommen werden. Ein kleiner Schritt für einen Programmierer, ein grosser Schritt für die Welt. Ich könnte jetzt schreiben, ich wäre davon überzeugt, dass NATv6 kommt. So vermessen bin ich nicht, ich hoffe und befürchte es einfach einmal. Sobald es da ist, können wir migrieren. Vom Heimnetz bis zur Fortune 500 Firma. Ohne neue Konzepte, ohne viel Hirnschmalz. IPv6 wird dann ein drop in Replacement für das heutige IPv4 sein, mit dem dringendst benötigten grösseren Adressraum. Bis dahin: Abwarten und Kaffee trinken, IPv6 fähiges Gear kaufen und das IDS auf IPv6 Pakete mit Public Routable Adressen scharf machen. Vielleicht noch in der Schublade ein Notfallkonzept ablegen, mit dem wir IPv6 einführen können, sollte tatsächlich ein ISP auf der Welt den Kunden IPv6 only ohne geNATettem IPv4 verkaufen. Oder die lange erwartete Killerapplikation auftauchen, die auch der CEO dringendst will. Permalink

Das Kleingedruckte: Der Besitzer der folgenden Kommentare ist wer immer sie eingeschickt hat. Wir sind in keiner Weise für sie verantwortlich.