Das Internet ohne IPv4-Verbindung nutzen

Hacker-News-Kommentare

• Der Titel wirkt etwas missverständlich, denn eigentlich geht es in diesem Artikel eher um „über einen VPS per IPv6-Tunnel ins IPv4-Internet gelangen“, üblicherweise als 4in6 bezeichnet.
  Trotzdem ist es ein interessanter Ansatz.
  Wenn bei unserem ISP IPv4 ausfällt, ist sofort alles down, wodurch Support-Probleme vergleichsweise einfach sind. Wenn dagegen IPv6 ausfällt, verhält sich nur manches merkwürdig, etwa langsame Verbindungen oder sporadische Nichterreichbarkeit.
  Besonders wenn das Gateway fälschlich annimmt, IPv6 zu haben, erscheint das Problem aus Nutzersicht noch lästiger, weil dann nur einige Funktionen nicht arbeiten.

  • Als IPv4 kürzlich kurz ausfiel, habe ich es erst bemerkt, weil Github nicht funktionierte.
    Heutzutage funktionieren die meisten Websites für Endverbraucher über IPv6 problemlos.
    Wer allerdings einen Router hatte, der nur IPv4-DNS bereitstellt, hatte das Problem, dass das Internet komplett weg war.
    Ich wünschte, Microsoft würde dem etwas mehr Aufmerksamkeit schenken.
    Um zu prüfen, ob IPv4 wieder da ist, musste man sich außerdem den dem Router zugewiesenen mDNS-Hostname merken.

  • Bei mir zu Hause ist IPv4 ehrlich gesagt schon einmal ausgefallen, und meine Frau hat es nicht einmal bemerkt.
    Google, Facebook, Apple/iCloud und fast alle auf CloudFlare basierenden Dienste funktionieren über IPv6 einwandfrei.

  • Meine Erfahrung ist ähnlich.
    IPv6-Probleme sind wirklich schwer zu diagnostizieren und zu reproduzieren, und es endet ständig bei „Auf meinem Rechner funktioniert es doch?“

  • Die meisten ISPs blockieren IPv6 noch immer, und auch kleine Unternehmen probieren IPv6 zwar aus, vergessen dann aber Dinge wie AAAA-Records.
    Deshalb erleben Nutzer Situationen, in denen etwas bei Freunden oder im Café mit einem günstigen ISP funktioniert, aber zu Hause nicht.
    Das klingt vielleicht seltsam, aber eine besonders gute Lösung scheint es nicht zu geben; realistisch bleibt nur zu hoffen, dass IPv4 irgendwann verschwindet.
    Es gibt zwar Techniken wie Happy Eyeballs, bei denen gleichzeitig IPv4- und IPv6-Verbindungen versucht und die schnellere gewählt wird, aber in der Praxis treten die Probleme eher auf Anwendungsebene auf, und es fehlt an einer allgemeinen Lösung dafür.
    Ich selbst fahre einen Kompromiss, indem ich IPv6 im Netzwerk aktiviere, aber IPv6-DNS im Browser deaktiviere; zufriedenstellend ist das nicht.

• Wer IPv6 nutzen möchte, es aber vom ISP nicht bekommt, kann schon seit sehr langer Zeit den kostenlosen Tunneldienst von Hurricane Electric (HE) nutzen.
  Dazu gibt es verschiedene Informationsquellen und Setups, etwa tunnelbroker.net, ipv6.he.net, Fedora-Anleitung, Brandon-Rozek-Blog, DD-WRT-Anleitung, Mikrotik-Forum mit Auto-Update-Skript, RockyLinux-Leitfaden.

  • Einen Punkt sollte man beachten: Viele Streaming-Dienste blockieren diesen Tunnel, weil sie ihn ähnlich wie eine VPN-Umgehung behandeln und deshalb regional eingeschränkte Inhalte sperren.
    Dank RA (Router Advertisements) kann jedoch jedes Netzwerkgerät ein IPv6-Netz im /64-Umfang aussenden, sodass mehrere Geräte im Netz IPv6-Adressen nutzen können, selbst wenn der Router den HE-Tunnel nicht direkt unterstützt, vorausgesetzt der Router filtert RA nicht aus Sicherheitsgründen.
    Wenn man zu Hause selbst etwas bereitstellen will, ist es sehr praktisch, das nur mit IPv6 und ohne Port-Forwarding tun zu können.

  • Der Dienst von Hurricane Electric ist gut, aber inzwischen liefern ISPs immer öfter standardmäßig IPv6 aus, sodass normale Nutzer Tunneldienste zunehmend verlassen.
    Außerdem blockieren manche Netzwerkdienste he.net-Tunnel inzwischen, weil sie dort Missbrauch oder böswillige Nutzung vermuten, sodass ich IPv6 in meinem Netz letztlich größtenteils wieder abschalten musste.

  • Als Hinweis: Der Hurricane-Electric-Tunnel funktioniert nur, wenn man vom ISP zwingend eine öffentliche IPv4-Adresse bekommt.
    Wenn man etwa hinter Carrier-Grade NAT oder einem anderen NAT sitzt, muss man für IPv6 zu Hause eine andere Lösung suchen.

  • Ich bin seit fünf Jahren „Kunde“ des kostenlosen 6in4-Tunnels von HE mit OpenBSD.
    Mit rein netzwerkseitiger Konfiguration wie über /etc/hostname.gif0 läuft das dauerhaft zuverlässig.
    Ich nutze es auch für die Kommunikation mit einem absichtlich ohne IPv4 aufgebauten VPS-Cluster bei AWS.
    Da AWS IPv4-Adressen inzwischen aktiv bepreist, hilft dieser Ansatz enorm beim Kostensparen.

• Wenn man in einer echten v6-only-Umgebung Zugriff auf v4 braucht, lässt sich das mit einem öffentlichen DNS64+NAT64-Gateway leicht lösen.
  Siehe die Liste öffentlicher Provider von nat64.net.
  Normalerweise reicht es, einfach den DNS-Server zu ändern.
  DNS64 erzeugt für Websites ohne AAAA-Record einen synthetischen AAAA-Record, damit die Verbindung über eine NAT64-Box hergestellt werden kann.
  NAT64 nimmt den Traffic dann entgegen und übernimmt Protokollumsetzung plus NAT.
  Mit praktischen Beispielen per dig oder curl kann man so sofort Seiten wie Github erreichen.

  • In Europa funktioniert nat64.net direkt genutzt ziemlich angenehm.
    Ich habe tatsächlich nur gute Erfahrungen damit gemacht.

  • Mit Cloudflare WARP fühlt es sich deutlich schneller an.
    Über WARP kann man auch direkt auf IPv4-Adressen zugreifen.

• Es überrascht mich manchmal, dass es IPv6-only-Nutzer gibt.
  Früher war in der umgekehrten Situation, also bei IPv4-only und benötigtem IPv6-Zugriff, ein SOCKS5-Proxy (ssh -D) die beste Lösung, sofern man volle Kontrolle über den Server hatte und etwas Schnelles wollte.
  Es reicht, nur den Browser auf den SOCKS-Proxy zu setzen.
  Systemweit hätte ich eher Sorge, dass dadurch sogar die SSH-Verbindung abreißt.

• Bei mir ist es eine ähnliche Situation.
  Seit etwa zwei Wochen ist ein Ticket wegen einer IPv4-Störung offen, und ich bekomme nur wiederholt die Antwort, dass sich „bald ein Techniker darum kümmert“.
  Weil IPv6 funktioniert, scheint es nicht als Komplettausfall zu gelten.
  In Deutschland gibt es in solchen Fällen zwar Verbraucherschutzregelungen zur Entschädigung, aber ich werde erst noch prüfen, ob das auf diesen Fall zutrifft.
  Das Problem mit dem im Blog vorgeschlagenen Ansatz ist, dass IP-Bereiche aus Rechenzentren von vielen Diensten blockiert werden, Captchas oder andere Umgehungen verlangen oder wie IPs von VPN-Anbietern behandelt werden; vermeiden lässt sich das kaum.
  In meinem Fall musste die Lösung für das ganze Haus gelten, daher habe ich auf dem Router Routing und NAT-Regeln mit Wireguard eingerichtet, was mit einem offenen Gerät wie einem Ubiquiti EdgeRouter zum Glück möglich war.
  Mit einer FritzBox wäre das vermutlich viel schwieriger gewesen.
  Allerdings ist die Router-Leistung ein Nachteil: Bei vielen Verbindungen wird es langsam, daher überlege ich, auf IPSec mit Hardware-Offloading zu wechseln.

  • Auch die FritzBox bietet einen sehr guten GUI-gestützten Einrichtungsprozess für VPN-Verbindungen.
    FritzBox-zu-FritzBox ist zwar die Standardannahme, aber auch ein kompatibles VPN funktioniert.
    Statische IPv4-/IPv6-Routen lassen sich ebenfalls einrichten.
    Das größte Problem ist herauszufinden, welche IPSec-Verschlüsselungseinstellungen die Gegenstelle verlangt. Wireguard ist einfacher, hat dafür aber das Problem fehlender Hardware-Beschleunigung.
    Falls nötig, kann man auch die komplette FritzBox-Konfiguration sichern, direkt bearbeiten und danach nur die Prüfsumme neu berechnen und wieder einspielen.
    AVM versteckt absichtlich eine enorme Menge an Details, die dem Nutzer nicht direkt angezeigt werden.
    Ein Stück weit ist das bewusst so gestaltet, damit man den Router nicht versehentlich kaputtkonfiguriert.

  • Zur Lage in Deutschland weiß ich nichts, aber in den Niederlanden kann man, wenn Festnetz und Mobilfunk beim selben ISP sind, bei einer Störung im Festnetz kostenlos mobiles Datenvolumen anfordern.
    Falls möglich, würde ich empfehlen, den ISP nach so einer Option zu fragen.

• Auch nach langer Zeit finde ich keinen klaren Grund, alle Geräte und das Home-Lab auf IPv6 umzustellen.
  Port-Forwarding und Firewall-Regeln sind wenigstens einigermaßen intuitiv, während ich bei einem Umstieg auf IPv6 mit wochenlangem Troubleshooting, Firewall-Themen und Neuadressierung rechne.
  Ich frage mich, was ich dabei übersehe.

  • Realistisch betrachtet übersiehst du derzeit fast nichts.
    Wenn Unternehmen wie Google oder Cloudflare die weiter steigenden Kosten für IPv4-Adressen irgendwann nicht mehr tragen wollen, könnten sie Anreize für IPv6 schaffen, zum Beispiel indem IPv4-Verbindungen gedrosselt werden.
    Auch AWS hat früher nur ungenutzte IPv4-Elastic-IPs berechnet, heute wird jede IPv4-Adresse bepreist, auch wenn sie aktiv genutzt wird.
    Wenn du künftig dein Gateway oder deinen Router aufrüstest, ist es sinnvoll, IPv6 einfach mit zu aktivieren; derzeit kann man mit IPv4/IPv6-Dual-Stack bestehende Geräte und Services weiterhin ohne Probleme betreiben.
    Bei der automatischen Adressvergabe in IPv6 war historisch vieles uneinheitlich, aber es scheint sich auf SLAAC einzupendeln, während ISP-seitig DHCPv6 voraussichtlich noch lange genutzt wird.

  • Eigentlich ist es gar nicht so schwer.
    Wenn dein Heimnetz nicht besonders komplex ist, reicht ein kurzer Abend, um IPv6 einzurichten.
    Bei Comcast genügt es, im Router die IPv6-Option zu aktivieren; dann holt er sich vom ISP einen Prefix, bewirbt ihn automatisch im Netz, und man muss nur noch die gewünschten Ports in der Firewall freigeben.

  • Du übersiehst nichts.
    In Enterprise-Umgebungen bringt IPv6 bei der Einführung mehr Nachteile und Komplexität als Vorteile.
    Ich verwalte ungefähr 3500 Geräte, 7 Gebäude, 2 WANs mit 10 Gbit/s und 1 WAN mit 4 Gbit/s sowie 26 öffentliche IPv4-Adressen.
    Bis heute gab es keinen einzigen Grund, der zwingend IPv6 erforderlich gemacht hätte.
    Dual-Stack erzeugt nur unnötige Last und Komplexität im Netzwerk.
    Ich habe vor Kurzem sogar zweimal versucht, einen festen IPv6-Adressblock zu beantragen, und wurde beide Male abgelehnt.
    Praktisch gibt es keinen Nutzen, und selbst die Zuteilung ist schwierig.
    Laut ARIN-Leitfaden für den ersten IPv6-Antrag gilt man nur dann als antragsberechtigt, wenn mindestens eines davon zutrifft:
    → Zuteilung von IPv4 vorhanden
    → IPv6-Multihoming unmittelbar geplant
    → innerhalb eines Jahres 13 Endstandorte (Büros usw.)
    → innerhalb eines Jahres 2000 IPv6-Adressen
    → innerhalb eines Jahres 200 /64-Subnetze

• Ich finde die Apple-App-Store-Richtlinie, dass alle Apps in IPv6-only-Netzen funktionieren müssen, wirklich sehr begrüßenswert.
  Für Entwickler kann das beim ersten Mal überraschend sein, aus Sicht der Verbraucher ist so eine Vorgabe aber sehr willkommen.

  • Diese Richtlinie verlangt allerdings nicht zwingend, dass die Server-Seite eine IPv6-Adresse haben muss.

  • Dann frage ich mich, ob man mit der App Github auch über v6 erreichen kann.

• Für die Arbeit betreiben wir mehrere IPv6-only-VPNs, um auf interne Infrastruktur zuzugreifen.
  Das größte Problem ist, dass Windows- und macOS-Clients zwingend einen v6-DNS-Server benötigen.
  Da sich der Client in einem Netz mit oder ohne v6-Unterstützung befinden kann, betreiben wir innerhalb des VPN selbst einen DNS-Server und verteilen ihn automatisch an die Clients.
  Wenn die VPN-Verbindung allerdings getrennt wird, setzt die Wireguard-App den ursprünglichen DNS nicht wieder zurück, was diverse Probleme verursacht.

  • Ich habe IPv6-only auch in einem IPv4-only-Netz meines ISP und auf macOS schon problemlos ohne separaten DNS genutzt.
    Ich erinnere mich nicht mehr genau an die Methode, aber macOS funktionierte ohne Probleme, solange nur eine v6-Adresse vergeben wurde.
    Man muss dem Host eine ULA-Adresse zuweisen; das ist einfach, wenn man weiß, wie.
    Die VPN-App könnte ein Skript nutzen, das die ULA direkt zum IPv6-only-Netz hinzufügt.
    Man sollte eine so erzeugte ULA-Adresse allerdings nicht einfach dauerhaft bestehen lassen, weil das Probleme verursachen kann, wenn der Nutzer später in ein anderes v6-Netz wechselt.

• Wer dieselbe Situation hat, kann mit einem SSH-Proxy (ssh -D 8080 user@hostname) sehr einfach eine SOCKS-Proxy-Umgebung aufbauen.
  Danach muss man im Browser nur localhost:8080 als Proxy eintragen.

  • Genau diesen Rat wollte ich auch geben.
    Für eine kurzfristige Lösung ist das extrem einfach, und bei Bedarf eignet es sich auch hervorragend als dauerhaftes Werkzeug.
    Allerdings muss in sshd_config AllowTcpForwarding aktiviert sein.

  • Ich nutze diese Methode immer in öffentlichen WLANs.
    So muss ich keinen VPN-Dienst bezahlen oder ihm vertrauen; ich leite einfach alles über den SOCKS-Proxy auf meinem infomaniak-Server.

• Persönlich habe ich viele Beschwerden über IPv4, besonders weil mein ISP mich zwangsweise auf IPv4 beschränkt, was noch frustrierender ist.
  Dass die Einführung von IPv6 so langsam vorangeht, sehe ich als großes Versagen der Tech-Branche.
  Ich frage mich, wer dafür verantwortlich gemacht werden sollte.
  Ob es an Router-Herstellern mit schlechter Firmware liegt, an der Führung der ISPs, die weiter auf IPv4 setzen, an Spekulanten mit IPv4-Adressen oder an mangelnder Ausbildung von Netzwerkingenieuren und Support-Personal – ich denke, wir brauchen mehr grundlegende Diskussion über die Ursachen.
  So wie das Internet den Übergang von TLS 1.0 vergleichsweise gut geschafft hat, sollte es doch auch von IPv4 wegkommen können.
  Vielleicht könnten später so etwas wie KI-Proxys für Legacy-Code eine Lösung sein.

  • Der Wechsel weg von TLS 1.0 war leichter wegen des End-to-End-Prinzips.
    Es reichte, wenn Server und Clients das neue Protokoll unterstützten; Geräte dazwischen wie Router oder Switches mussten nur die Netzwerkschicht (IP) sehen und waren von neuen TLS-Versionen nicht betroffen.
    Wenn aber sogar das Protokoll der Netzwerkschicht (IP) geändert wird, betrifft das alle Zwischenkomponenten im Netz.
    Übrigens zeigte sich selbst bei der Einführung von TLS 1.3, dass Middleboxes das End-to-End-Prinzip brechen, Traffic überwachen oder verändern und TLS 1.3 aus Kompatibilitätsgründen teils so tun musste, als wäre es ein TLS-1.2-Reconnect.

  • Der Unterschied ist, dass bei TLS nur Server und Client unterstützen müssen und die Geräte dazwischen lediglich TCP-Pakete sehen.
    IPv6 muss dagegen von allen Zwischenkomponenten zwischen Server und Client unterstützt werden und ist damit von einem „kleinsten gemeinsamen Nenner“ abhängig.
    Beim TLS-Upgrade änderte sich nicht so viel Grundlegendes, während IPv6 zu viele Dinge auf einmal verändert hat.
    Rückblickend denke ich manchmal, IPv6 hätte sich vielleicht leichter verbreitet, wenn man einfach nur die Adressen auf 64 Bit vergrößert hätte.

  • Realistisch gesehen sind viele Menschen beim Umstieg zurückhaltend, weil der praktische Nutzen zu klein oder fast nicht vorhanden ist.
    Es braucht dafür keine große IPv4-Verschwörung; Aufwand und Risiko stehen einfach in keinem guten Verhältnis zum Gewinn.

  • In der Netzwerkbranche gibt es den Witz, IPv6 sei „eine akademische Lösung, die auf ein Engineering-Problem aufgepfropft wurde“.
    Wenn man großflächige Einführung, gleichzeitige IPv4-Kompatibilität und den realen Betrieb samt Wartung berücksichtigt, ist IPv6 schlicht zu komplex.
    IPv4 hat de facto außer der Adressknappheit kein wirkliches Problem, also wird es auch nicht verschwinden.
    Deshalb ist IPv6 in der Praxis vielerorts keine wirklich funktionierende Lösung geworden.