Geekstammtisch

Synopsis: Wir haben mit Christian Rohmann über die Einführung von IPv6 bei dem lokalen ISP NetCologne gesprochen. Angefangen bei technischen Grundlagen, wie das Internet überhaupt zum Kunden kommt über was IPv6 überhaupt ist bis hin zu der mehrstufigen Umstellung der beteiligten Infrastruktur. Das Ergebnis jahrelanger Arbeit ist im besten Fall, dass der Kunden nicht mal merkt, dass sich etwas geändert hat.

• Christian Rohmann
• Arbeitet bei NetCologne: http://netcologne.de
• "NetCologne macht Internet"... und Telefon... und ein paar Dienste drumherum
• Christian arbeitet im Bereich Network Engineering und Design, genauer um die Infrastruktur und Dienste

• Die DSL-Box/Router/"FritzBox" meldet sich im Netz mit ihrer Identifikation und bekommt automatisch ihre Konfiguration
• Alternativ muss man alle Zugangsdaten, Netzwerkeinstellungen etc. selber machen
• Hybrid Fibre Cable/Coaxial (HFC): https://en.wikipedia.org/wiki/Hybrid_fibre-coaxial
  • Authentifizierung via DOCSIS: https://en.wikipedia.org/wiki/DOCSIS
  • Konfiguration quasi via DHCP
• Digital Subscriber Line (DSL): https://en.wikipedia.org/wiki/DSL
  • z.B. via Kupfer oder Glasfaser
  • Digital subscriber line access multiplexer (DSLAM): https://en.wikipedia.org/wiki/Dslam
  • Point-to-point protocol over Ethernet (PPPoE): https://en.wikipedia.org/wiki/Pppoe
  • Broadband remote access server: (BRAS): https://en.wikipedia.org/wiki/Broadband_Remote_Access_Server
  • Authentifizierung gegenüber BRAS über PPPoE

• IPv6: https://en.wikipedia.org/wiki/Ipv6
• In Köln gibt es jetzt von NetCologne IPv6 für alle!
• IPv4: https://en.wikipedia.org/wiki/Ipv4
• IPv4 Adressen werden knapp, 32 Bit Adressen, also ~4 Mrd. Adressen
• Classless Inter-Domain Routing (CIDR): https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing
• Network Address Translation (NAT): https://en.wikipedia.org/wiki/Network_address_translation
• Private Network Adresses: https://en.wikipedia.org/wiki/Private_IP_address
  • z.B. 192.168.0.0 - 192.168.255.255 (192.168.0.0/16) oder 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
  • NAT ist kein Security Feature(!), das ist nur ein notwendiges Übel.
  • Direkte Verbindungen, z.B. für File Sharing, sind per se nicht ohne weiteres Möglich
• Port Forwarding: https://en.wikipedia.org/wiki/Port_forwarding

• IPv5: https://en.wikipedia.org/wiki/Ipv5
• IPv6: Angefangen ~1996
• VIEL Mehr Adressen: 128 Bit Adressen, 2^128 Adressen
• Die Netze in IPv6 ist strenger strukturiert als IPv4
• Den Netzteil, die ersten 64 bit einer IPv6 Adresse nennt man Prefix, den Rest nennt man Interface
• Stateless Autoconfiguration: https://en.wikipedia.org/wiki/Ipv6#Stateless_Autoconfiguration
  • jedes Gerät kann sich seine eigene Adresse aussuchen und sich selber konfigurieren
• DHCPv6: https://en.wikipedia.org/wiki/DHCPv6
• Link Local Adress: https://en.wikipedia.org/wiki/Ipv6#Link_local_address
  • Nur gültig für alles, was nicht geroutet wird
• Global Unicast Adress: https://en.wikipedia.org/wiki/Ipv6#Create_a_global_address
  • Prefix vom Netz + Interface Adresse generieren
  • Der Router broadcastet im Netz regelmäßig, dass er ein Netz hat und welchen Prefix zu verwenden ist
• Prefix Delegation: https://en.wikipedia.org/wiki/Prefix_delegation
  • Der Router fragt beim ISP nach einem Prefix
  • Bei NetCologne bekommt jeder Kunde ein /48 Prefix, kann also 65.536 Netze aufbauen
• Router Advertisement
• NetCologne hat 2005 angefangen mit einem /32 Netz
  • Wenn jeder ein /32 Netz bekommt, kann man so viele ISPs anbieten, wie es bisher insgesamt theoretische Adressen im IPv4 Internet gibt!
  • Mittlerweile hat NetCologne ein /29 Netz
• Regional Internet Registry: https://en.wikipedia.org/wiki/Regional_Internet_registry
  • Erlaubt die Zuordnung von Adressen zu Regionen
  • NetCologne ist dann eine Local Internet Registry https://en.wikipedia.org/wiki/Local_Internet_registry
  • Verwaltet autonom das zugeteilte Netz
• Nächster Schritt nach dem Netz ist die Kommunikation mit anderen Netzen
• Peering (https://en.wikipedia.org/wiki/Peering) mit direkten Partnern und Upstream mit indirekten Partnern
• Wichtig als ISP: Mit IPv6 darf es nicht schlechter für den Kunden werden
• Daher: Sehr viele stabile und redundante Verbindungen in das restliche Internet
• War in den ersten Jahren einfach nicht gegeben
• Es gab zwischendurch 2 oder 3 Internetze (IPv6)

• Dual Stack (https://en.wikipedia.org/wiki/Dual-stack#Dual_IP_stack_implementation)
• Technisch sind das IPv4 und IPv6 Netz vollständig getrennt
• Andere Möglichkeiten mit nur IPv6 in das IPv4 Netz zu kommen
• Verwendung eines Proxies (passiert auf Application Layer)
  • Geht auf mit SSL da die Zertifikate auf den Common Name ausgestellt sind
  • Geht aber nur für HTTP-Dienste
• Mail ist auf Grund der begrenzten Gegenstellen einfacher
• Probleme bei Diensten wie VoIP
• Themen vor allem in Asien sehr relevant, da dort keine IPv4 Adressen mehr verfügbar sind
• Um einen transparenten Parallelbetrieb zu leisten muss man auf IP oder TCP Layer runter
  • Carrier-grade NAT: https://en.wikipedia.org/wiki/Carrier_grade_NAT
  • Dual-Stack Lite: https://en.wikipedia.org/wiki/Dual-Stack_Lite#Dual-Stack_Lite_.28DS-Lite.29
  • Dual-Stack Lite muss man machen, wenn man nicht mehr genug IPv4 Adressen für alle hat
• Carrier-grade NAT will man nicht haben
• IPv4 wird noch auf unbestimmte Zeit weiterhin existieren
• Meilensteine für das Internet: IPv6 Tage
  • Erst ein Test: https://en.wikipedia.org/wiki/World_IPv6_Day_and_World_IPv6_Launch_Day#World_IPv6_Day
  • Und der Launch: https://en.wikipedia.org/wiki/World_IPv6_Day_and_World_IPv6_Launch_Day#World_IPv6_Launch
• "Launch" bedeutet konkret, dass beide Netze parallel existieren und Domainnamen müssen im DNS sowohl auf IPv4 als auch IPv6 aufgelöst werden können
• Per RFC ist definiert, dass zuerst versucht wird die IPv6 Adresse aufzulösen
• Basti fragt sich warum AWS und Co. noch nicht IPv6 eingeführt ist
  • Große Netzwerkinfrastruktur löst Dinge oft in Hardware, ein Austausch ist daher nicht so einfach
  • Sehr große Anbieter haben sehr komplexe Setups mit sehr vielen Systemen
  • Ein gewisses Maß an Nostalgie lässt sich auch nicht abstreiten ;-)
  • unzähliger weitere Gründe an die man gar nicht denken mag…
• Neben der Infrastruktur gibt es ja auch noch die Endgeräte (Für Christian sind Endgeräte die Router bei den Leuten zu Hause, Anm.d.Red.)
  • Sehr viele Endgeräte die nur IPv4 können und nie was anderes können werden
• Grundsätzliches Problem: IPv6 kann man nicht verkaufen, daher muss man wirtschaftlich den regulären Lebenszyklus der Gerätschaften abwarten, um diese zu erneuern
• Endgeräte im Sinne von, dass wo der Nutzer vorsieht, sind alle vollständig und stabil IPv6 fähig
• Wenn Geräte nicht IPv6 können sollten sie am besten ignorant sein und nicht kaputt gehen, wenn ihnen jemand eine IPv6-Adresse andrehen will
• Tests hierzu wurden u.a. von Akamai und Google durchgeführt
• Um Fehlverhalten in Browsern zu verhindern, wurde Happy Eyeballs entwickelt: https://en.wikipedia.org/wiki/Happy_Eyeballs
  • Der Browser erkennt sehr schnell ob IPv6 geht und wenn nicht geht man auf IPv4
• Um als Dienstanbieter testen zu können wie die IPv6 Konnektivität der Nutzer ist werden einige Teile nur über IPv6 bzw. IPv4 zugänglich gemacht
  • Whitelisting auf Providerebene
  • Wird jetzt nicht mehr gemacht
• Kein konkreter Austausch zwischen Diensteanbieter und ISP
• Die Topologie und das Routing bei IPv6 und IPv4 sind nicht zwingend gleich
• Am Ende ist der Weg zwischen Dienst und Nutzer, dass was am längsten bei der Umstellung braucht

• Wenn man umbedingt IPv6 haben will aber der Provider es noch nicht anbietet oder die Hardware zu Hause es nicht kann, gibt es die Möglichkeit einen Tunnel zu verwenden
• NetCologne bietet auch einen solchen Tunnelendpunkt im Rahmen des SixXS-Projektes an (https://www.sixxs.net/main/)
• Nicht zu verwechseln mit Dual-Stack, dass Equipment weiß nichts von IPv6
• Unterschiedliche Möglichkeiten: Netz auf einen Router zuweisen lassen, IPv6 auf ein Gerät
• Neben den reinen Fakten zu IPv6 muss man als ISP auch Erfahrung im Betrieb haben und dafür eignet sich der SixXS-PoP hervorragend
• SixXS-Tunnel ist sein 2010 in Betrieb, lange bevor IPv6 für den Endkunden überhaupt in konkreter Planung war
• Das war möglich, weil der Ausbau des Backbones seit 2005 statt fand

• 2005 - Zuteilung eines Netzblocks
• Ab da Umstellung des Backbones
• 2010 - SixXS PoP
• Ab 2011 begonnen Serverdienste auf IPv6-Betrieb aufzurüsten
• Ende 2011 waren alle Dienste über IPv6 erreichbar
• Mailverkehr zwischen den Servern geschieht mittlerweile zum Großteil über IPv6
• IPv6 Konnektivität bei sich selbst testen
  • Google Chrome Plugin:
  • Testseite von NetCologne: http://ipv6-test.netcologne.de
  • The dancing kame: http://www.kame.net
• AirPort Extreme konnte in einer bestimmten Konstellation das IPv6 Netz nicht ins interne Netz weitertragen
• IPv6 ist bei NetCologne auf Ebene der Dienste abgeschlossen
• Für PPPoE (DSL) ist es auch abgeschlossen
• Für Kabelkunden ist die Umstellung in den letzten Zügen
• Technischer Unterschied zwischen Kabel- und DSL-Kunden sehr grundlegend, daher getrennte Umstellung
  • Wesentlicher Unterschied an dieser Stelle: Konfiguration des Internetzugangs
  • DSL: PPPoE
  • Kabel: Direkt DHCP vom CMTS (https://en.wikipedia.org/wiki/Cable_modem_termination_system)
• Grundsätzlich ginge das bei DSL natürlich auch, ist aber historisch nun so wie es ist
• Bei Kabel ist das die unterliegende Technik ausschlaggebend gewesen. Stichwort an dieser Stelle: Shared Medium
• Auch wenn es ähnlich klingt ist die automatische Konfiguration der DSL-Anschlüsse nicht damit zu verwechseln
• Umstellung für den Kunden extrem konservativ
• Explizites Nachfragen der Kunden notwendig und zusätzlich hatten NetCologne Mitarbeiter IPv6 konifguriert
• Erst als man sich weitestgehend sicher war, wurde es für alle freigeschaltet
• Nicht technische Aspekte bei der Umsetzung
  • Diagnosewerkzeuge müssen erstellt werden
  • Support muss geschult werden
• Während der Umsetzung findet man dann natürlich auch noch Bugs in der verwendeten Software von namhaften Herstellern, diese müssen auch erst behoben werden
• Selbst ein so "kleiner" Provider wie NetCologne findet immer noch Probleme
• 2011 in sehr vielen Updates IPv6 relevante Änderungen
• Um den Jahreswechsel 2013/2014 wurde flächendeckend IPv6 angeschaltet
• Am Ende keine Probleme, dank einer sehr sorgfältigen Vorbereitung
• Was noch nicht gemacht wurde: Die Endgeräte wurden nicht so konfiguriert, dass sie IPv6 auch aktiv anfordern sollen

• Bei NetCologne hoher einstelliger Prozentsatz mit IPv6 unterwegs
• Aus der Abteilung kuriose Fehler: Alte Outlook-Version stellt den Betrieb ein, wenn ein AAAA-Record ausgeliefert wird
• Verantwortung bei solchen Fehlern liegt bei NetCologne auch wenn sie den Fehler selbst nicht beheben können
• Insgesamt IPv6-Traffic bei Google in Deutschland: ~9% (https://www.google.com/intl/en/ipv6/statistics.html#tab=ipv6-adoption)
• Wachstum steigt exponentiell: Jedes neue Gerät, jeder neue Anschluss wird direkt IPv6 bekommen
• Bei Email ist es der Löwenanteil bei Server-Server Kommunikation
• Besser erst alle Dienste umgestellt und langsam wachsende Zugriffe, als andersrum
• Glaskugel: In drei bis fünf Jahren die Mehrheit der Zugriffe via IPv6
• Zu unterscheiden ist zwischen Zugriffen und Datenvolumen
• Wichtiger Schritt: Umstellung bei Cloud-Provider, und damit auch Dienste wie Netflix die zu Spitzenzeiten 1/3 des Traffics in den USA ausmachen
• Offene Baustellen bei NetCologne:
  • Kabelkunden und öffentliches WLAN (https://www.netcologne.de/ueber-uns/unternehmen/presse/mitteilung/6866/) mit IPv6 versorgen
• Endgerätehersteller werden noch was brauchen
• Im Hintergrund ist aber alles ordentlich vorbereitet