IPv6

Wie man diesem Blog entnehmen kann, bin ich schon länger Kunde bei 1&1. Bisher habe ich IPv6 über einen Tunnel bei Sixxs angebunden. Heute fragte ich mich wie inzwischen der Stand von nativem IPv6 bei 1&1 ist und musste feststellen, dass das in vielen Fällen schon direkt verfügbar ist, ohne das wie in Fällen anderer Anbieter ein neuer Vertrag notwendig ist.

  • Für Kunden mit VDSL-Produkt ist IPv6-Dualstack standardmäßig freigeschaltet.
  • Für einen Teil unserer ADSL-Kunden können wir IPv6-Dualstack als Vorabtest freischalten.

Quelle (leider nur mit Account): https://forum.1und1.de/index.php?page=Thread&postID=155432#post155432

Nachdem ich das gesehen hatte, habe ich direkt versucht natives IPv6 zu aktivieren und bekam sofort von 1&1 ein /56er Netz zugewiesen. Nun also kein Umweg über einen Sixxs PoP mehr.

There already exist great tutorials how to setup IPSec for IPv6 using racoon for Internet Key Exchange (IKE) like this one or this one.
But for the usage of IPSec inside one subnet, they miss one point: Inside an IPv6-subnet clients depend on the Neighbor Discovery Protocol (NDP) for receiving Link-Layer-addresses. If NDP isn’t working, clients won’t receive the Link-Layer-address of the target host und won’t therefore be able to send packets to it.
Long story short: If you want to use IPSec for IPv6 in the same subnet, you’ll have to add an exception to enable unencrypted ICMPv6-packets. That problem doesn’t occur with IPv4, because the Address Resolution Protocol (ARP), which is used there for the same purpose, doesn’t rely on IP in contrast to NDP.
I had to search a while to figure that out and finally found the solution there: http://www.oss.sgi.com/archives/netdev/2004-02/msg00684.html.

Nutzt man Firefox mit Tor als Proxy und hat ein System, dass neben IPv4 auch mittels IPv6 an das Internet angebunden ist, macht Firefox standardmäßig beim aufrufen von Webseiten mit AAAA-Records einfach nichts. Prinzipiell auch logisch, da Tor aktuell noch kein IPv6 unterstützt. Irritierend ist das trotzdem, da man keinerlei Rückmeldung erhält warum Firefox nichts macht. Lösen lässt sich diese Problematik, in dem man in Firefox über about:config bei DNS-Anfragen die Abfrage von AAAA-Records deaktiviert:

network.dns.disableIPv6 = true

Dies sollte man allerdings nur tun, wenn man Tor als Proxy nutzt, da Firefox durch diese Konfigurationsänderung IPv6 nicht benutzt.

Edit: Natürlich tritt das Problem auch mit jedem anderen Proxy, der kein IPv6 unterstützt, auf.

Heute erlebte ich die ersten praktischen Auswirkungen der voranschreitenden Verknappung von IPv4-Adressen. Ich wollte einem EQ-Server von Hetzner, welcher bereits letztes Jahr bestellt wurde, weitere IPv4-Adressen hinzufügen. Zum Bestellzeitpunkt war in der Leistungsbeschreibung von vier enthaltenen IPv4-Adressen die Rede. Im Robot fand ich allerdings nur Möglichkeiten kostenpflichtige IPs zu konfigurieren (von einem /64-Subnetz für IPv6 mal abgesehen). Ich wunderte mich und entdeckte kurz darauf, dass die Leistungsbeschreibung der EQ-Server inzwischen nur noch eine IPv4-Adresse enthält. Bis zu vier weitere Adressen lassen sich für je einen Euro pro Monat hinzu bestellen. Wer noch mehr Adressen braucht zahlt mindestens 30 Euro pro Monat extra.
Diese Änderung scheint Hetzner allerdings erst vor kurzem durchgeführt zu haben. So fand eine Anpassung im Hetzner-Wiki erst auf meine Anfrage hin statt (diff) und der Hinweis auf vier kostenlose IPv4-Adressen findet sich immer noch im meta-description-Tag der EQ-Server-Produktseiten, den beispielsweise Google auf seinen Ergebnisseiten anzeigt.
Die Geschichte hatte dann glücklicherweise noch ein Happy-End und ließ sich über eine Support-Anfrage klären. Trotzdem ein unschöner Vorbote der Verknappung von IPv4-Adressen, was sich in den kommenden Monaten nur weiter verstärken wird.