Danske internetudbydere er langt bagud med IPv6

Illustration: Google
Verden er løbet tør for IPv4-adresser. Alligevel er Danmark et af de lande med den laveste IPv6-adoption.

»Vi er løbet tør for IPv4-adresser… derfor er det på tide, at internetudbyderne giver deres kunder den nye version: IPv6-adresser.«

Sådan skriver Emil Stahl Pedersen på sin hjemmeside ipv6-adresse.dk, der kortlægger danske internetudbyderes understøttelse af IPv6. Og det står sløjt til.

I Danmark er IPv6 kun rullet ud til 3,4 pct. af kunderne, og det betyder, at vi er bag mange af vores europæiske naboer: Sverige (6,3 pct.), Norge (12,5 pct.), Tyskland (40 pct.) og Belgien (53,9) pct.

Men også lande som Indien, Uruguay, Malaysia, Japan, Brasilien, Vietnam, Ecuador, Thailand, Saudi Arabien, Bolivia, Zimbabwe og Gabon er langt foran Danmark. På verdensplan ligger den gennemsnitlige IPv6-adoption på 25,5 pct (målt 27. okt.), viser statistik fra Google.

»Det går desværre ret langsomt med IPv6 i Danmark, det er kun et par udbydere, der tilbyder det til privatkunder. Resten tilbyder det slet ikke - eller kun til erhvervskunder,« skriver Emil Stahl Pedersen på ipv6-adresse.dk.

Læs også: Ekspert efter '3' flytter til IPv6 og offentlige IP-numre: Smid din gamle Android-mobil ud

På sitet, der giver trafiklys efter selskabets understøttelse af IPv6, får blandt andet teleselskabet 3 grønt lys, mens blandt andet Telia og Stofa får gult lys. Yousee og Telenor er nogle af de udbydere, som får rødt lys. Ingen af de to har ifølge Emil Stahl Pedersens hjemmeside planer om at udrulle IPv6 lige nu.

Faglig stolthed

Version2 har spurgt udvikler og direktør for Kviknet Yoel Caspersen, der også blogger på Version2, om det er et problem, at danske internetudbydere er så langsomme til at rulle IPv6 ud til deres kunder.

»Ja,« siger han. »Jeg synes, det handler om faglig stolthed.«

»Man kan sammenligne det med dengang, hvor man besluttede at kloakere overalt i Danmark. Der har nok været mange, som syntes, at det var fint nok at bruge et das, så hvorfor skulle man dog betale for at få lagt kloak lagt ind? Men når man så først har det, må man jo erkende, at det giver nogle fordele både for den enkelte og for samfundet,« siger han.

Illustration: Google

Yoel Caspersen mener, at årsagen til, at danske internetudbydere er langsomme til at give kunderne IPv6 er, at det vil gøre det nemmere for nye udbydere at komme ind på markedet, hvilket vil øge konkurrencen.

»De store internetudbydere i Danmark har mange IPv4-adresser, fordi de er gamle virksomheder. De kunne få IPv4-adresser, dengang der ikke var mangel på dem. Så de har ikke interesse i at øge efterspørgslen på IPv6, fordi de har en konkurrencefordel, når de har mange ip-adresser, og nye udbydere ikke har,« siger han.

Væk med NAT

Problemet med IPv4 er, at der kun er lidt over 4 mia. kombinationer, og de er brugt op. IPv6 er bygget op på en anden måde, som giver cirka 3,4 × 1038 (340 sekstillioner) muligheder - flere, end vi nogensinde får brug for.

Mangel på IPv4-adresser betyder, at IPv4-adresser går igen på forskellige lokale netværk, og så har kunden kun én offentlig IPv4-adresse. For kunder med kabelinternetforbindelser fra en af de gamle internetudbydere er den offentlige IPv4-adresse unik. Her oversætter en NAT-gateway de forskellige IPv4-adresser på det lokale netværk til én offentlig adresse.

Det betyder, at kunden godt kan sende forespørgsler ud af lokalnetværket, men hun kan ikke tilgå lokalnetværket udefra på grund af NAT, medmindre hun bruger port forwarding.

Hvis kunden har en mobilforbindelse i stedet for kabel, eller hvis kunden har internet fra en nyere udbyder, gælder Carrier Grade NAT. Så deler kunden en offentlig IPv4-adresse med andre kunder, og der er både NAT i routeren og hos internetudbyderen. Derved kan man ikke bruge port forwarding til at tilgå sit lokale netværk udefra. Det forklarer Yoel Caspersen.

Læs også: Hvornår vil YouSee, Stofa og Waoo være med?

IPv6 overfløddiggør NAT, og det er i Yoel Caspersens mening den største fordel ved IPv6.

»Man bevarer muligheden for, at brugere på internettet kan kontakte hinanden direkte udenom de store tjenester, som ellers begynder at få mere og mere magt,« siger han i et interview med Version2 og giver det eksempel, at folk går igennem Facebook for at kommunikere eller igennem Netflix for at se TV.

»IPv6 giver mulighed for at forbinde direkte til hinanden, hvis man har de rigtige programmer,« siger han.

Vil det blive mere usikkert, når forespørgsler ikke skal igennem NAT?

»I en vis udstrækning vil man blive mere sårbar. Men man skal måske også gøre sig klart, at NAT giver en form for falsk tryghed. Når nogen først er sluppet igennem, kan de nå alle enheder på lokalnetværket,« siger han.

Version2 følger op med interviews med nogle af de store internetudbydere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Hvilke "rigtige" programmer skal vi bruge, til at kommunikere direkte?
Er der en forventning om, at det er fremtiden? At vi kommunikerer uden om Facebook, og ser TV uden om Netflix? Direkte hos....hinanden??

Når sikkerheden fra NAT ryger, hvad skal vi så være særligt opmærksomme på, på hver enkelt enhed vi har? Patch, firewalls, ...??

Kommer IPv6 til at påvirke borgernes anonymitet? Vil det være lettere eller sværere at "skjule sig" som en random public IP i sit meget store range, end det var førhen, hvor man kunne sige at der jo er 10.0.0.0/8 mulige adresser bag ens WAN IP, og man ikke aner hvem der er hvem?

Er der nogen performancemæssige ændringer for slutbrugeren? Reelt, i dag.

Kan man forvente at IPv6 "bare virker" på ens hjemmeudstyr, hvis man slår det til på alle enheder i sit netværk, og slår IPv4 fra?
Er der en "nem" måde at skifte på, for slutbrugeren? (såfremt ISP'en understøtter det self.)

Personligt har jeg en ISP der har givet mig "et range" af IPv6-adresser. Jeg har endnu ikke sat mig ind i hvor mange det er, eller hvordan jeg bruger det. Hvordan kommer jeg lettest i gang?

Rasmus Larsen

Der er ingen decideret sikkerhed i NAT, der i sig selv har noget med NAT at gøre. Årsagen til at NAT opfattes som en sikkerhedsfaktor er at NAT næsten altid er implementeret ovenpå en stateful firewall, som helt sikkert er en sikkerhedsfaktor.
Men jeg tror ikke der findes en consumer router idag der ikke er konfigureret med en stateful firewall der by default blokerer alt udefra (minus diverse undtagelser udbyderne i deres evige visdom måtte ønske).

Privatliv er selvfølgelig en faktor hvis man tildeler statiske ipv6 adresser, men impacten er umiddelbart begrænset...

Privatliv i forhold til danske myndigheder:
- Umiddelbart ingen forskel, udbyderne har logningspligt.

Privatliv i forhold til Google/Facebook/osv.:
- De kan muligvis linke noget opførsel sammen udfra ip, men ip'en er næppe en vigtig faktor for deres tracking.

For andre besøgsformer, hvor servicen ikke har dedikeret tracking foranstaltninger er der helt sikkert bedre tracking muligheder, men det er næppe der det store privacy problem her i 2018 ligger, derudover er der muligheder for at bruge flere adresser indenfor det tildelte ipv6 range, hvilket intet gør i forhold til at tracke husstanden, men gør at det ikke kan klistres på en enkelt bruger.
Derudover er det heller ikke umiddelbart til at vide om en udbyder faktisk uddeler /128 bider, hvilket vil gøre det sværere at tracke.

IPv6 betyder ikke nødvendigvis "fast" ip, når det er sagt mener jeg både at /64 og fast ip bør være standarden, for end-user udbydere.

Er der nogen performancemæssige ændringer for slutbrugeren? Reelt, i dag.

Det er begrænset, men udstyr der understytter CGN (routere) er dyrere, byte for byte, end layer 3 switche (for ikke at snakke om layer 2 switche) og det er en pris der uundgåeligt ender hos brugerne. Derudover vil du ofte opleve af NAT udstyret står længere væk end din nærmeste fremskudte central.
Det har intet at sige hvis du skal kommunikere med en google tjeneste eller facebook, men hvis to brugere faktisk ønsker at bruge internettet til det de gerne vil og kommunikere direkte, kan du risikere at din trafik bliver ledt en helt anden vej end den optimale.

Pris fordelen er selvfølgelig irrelevant lige nu, da alle skal have både ipv4 og ipv6, men på sigt kan det blive billigere.

Kan man forvente at IPv6 "bare virker" på ens hjemmeudstyr, hvis man slår det til på alle enheder i sit netværk, og slår IPv4 fra?
Er der en "nem" måde at skifte på, for slutbrugeren? (såfremt ISP'en understøtter det self.)

ISP'en kan uddele ipv6 adresser dynamisk. Og man "skifter" ikke, man kører begge dele parallelt de næste mange år. Men eftersom alle de store tjenester (Netflix/Google) for længst er skiftet er ipv6 allerede en betydelig del af den internationale trafik.

Yoel Caspersen Blogger

Hvilke "rigtige" programmer skal vi bruge, til at kommunikere direkte?
Er der en forventning om, at det er fremtiden? At vi kommunikerer uden om Facebook, og ser TV uden om Netflix? Direkte hos....hinanden??

Det er altid svært at spå, især om fremtiden, men hvis vi kigger på tendensen, går den mod en øget konsolidering af indholdsudbydere og -distributører på internettet, hvor de enkelte brugere reduceres til passive modtagere i stedet for aktivt deltagende parter.

Det kan vi fx se hos Kviknet, hvor vi for ca. 2 år siden havde en faktor 11:1 mellem download- og upload-trafik, mens forholdet i dag er 17:1 - på trods af, at stadig flere brugere har fået adgang til høj upload-hastighed i form af hhv. 35 og 60 Mbit/s på coax-nettet. Det må alt andet lige betyde, at P2P-trafikken er faldet i volumen og erstattet af streaming.

Det betyder også, at nogle enkelte, store aktører får monopol på udveksling af underholdning, nyheder og generel kommunikation. Det betyder også, at disse aktører får lov at bestemme, hvad der må streames, deles og skrives, og det er ikke nødvendigvis i forbrugernes interesse.

IPv6 danner det tekniske grundlag for, at de store tech-giganters monopol på kommunikation og interaktion kan brydes. Hvordan det så kommer til at ske i praksis, hvis det sker, er et åbent spørgsmål, men uden mulighed for direkte end-to-end-kommunikation vil det under alle omstændigheder blive meget svært.

Christian Schmidt

Privatliv er selvfølgelig en faktor hvis man tildeler statiske ipv6 adresser


Det er også et problem med statiske IPv4-adresser. Ganske vist kan man her ikke identificere de enkelte apparater på lokalnettet, men man identificere husstanden, hvilket ikke er meget bedre.

Min private fiberforbindelse har i princippet dynamisk IP-nummer (dvs. jeg betaler ikke separat for at få et fast IP-nummer), men i praksis er det uændret i månedsvis. Dette IP-nummer bliver skrevet i logfiler for stort set alle websites, jeg besøger. Det synes jeg er intimiderende.

Jeg ville foretrække at have et mere dynamisk nummer eller at al min trafik sendes gennem et carrier-grade NAT.

Povl Hansen

"flere, end vi nogensinde får brug for."

Jeg gætter på af man sagde det sammen da man gav alle universiteter i USA kæmpe klumper af IPv4 Adresser

Fjernelse af NAT er kun en fordel hvis man skal køre en server, dem der skal det, skal nok få fat i en forbindelse der kan det, for andre vil jeg sige af NAT faktisk forhøjer sikkerheden da man ikke kan få fat i det lokale net værk fra internettet

Hvis man er 1000 kunder der benytter samme IPv4 adresse, så giver giver det en anonymitet da server ejeren ikke kan være sikker på af det hele tiden er den samme kunde der sidder bag en ipadresse

Rasmus Larsen

Hvis man er 1000 kunder der benytter samme IPv4 adresse, så giver giver det en anonymitet da server ejeren ikke kan være sikker på af det hele tiden er den samme kunde der sidder bag en ipadresse

Måske, her går du udfra at din browser ikke bare holder forbindelsen åben, bemærk også at CGN typisk ikke er designet for anonymitet, så der er en god sandsynlighed for at det vil genbruge portnumrene til samme bruger.

Derudover kunne tjenesten jo tracke dig med...

  • Cookies.
  • Udfra tidsforsinkelsen på dit ur.
  • Browser fingerprinting (Hvilket er uhyggeligt præcist og næsten umuligt at forhindre som tingene er nu)
  • Netværks forsinkelse

Eller en af de mange andre teknikker.

NAT som et privatlivsargument, svarer cirka til at vi allesammen valgte at hedde det samme, fordi det ville gøre det sværere at spore os... Og ja, det er nok også rigtigt, men ulemperne ville være til at føle på og det er de også her.

Martin Sørensen

Jeg spurgte også ind til IPv6 da jeg gik fra DSL til coax, men det er Yousee der sidder på det net hvor jeg bor og det er ikke noget de tilbyder til private og det lød ikke som om de havde planer om at tilbyde det. Men de har jo også IPv4 adresser nok.. Nu er jeg gået over til Hiper hvor udgangspunktet er CGN, men de kan alligevel godt tilbyde en ekstern IP hvis man spørger efter det, så selv om det er et lille nyt firma så har de åbenbart haft rådighed over en lille pulje de kunne dele ud af.

Jeg ville foretrække at have et mere dynamisk nummer eller at al min trafik sendes gennem et carrier-grade NAT.


Jeg vil meget gerne have mulighed for at kunne have en server stående på en fast IP, så en kombination af dynamisk og fast vil være en fordel således at min server kunne have en fast IP mens min generelle udadgående trafik bliver sendt ud på en anden, skiftende IP, f.eks. hvert minut. Er det en løsning der kan lade sig gøre uden brug af tunneller/TOR el. lign?

Michael Hansen

Ja det er lidt trist så lidt stolthed man møder konstant ikke bare ved ISPs, men også i større virksomheder, frygten for forandring er total.

Kunne man forsætte med IPv4, jo selvfølgelig, men vi må altså se at komme fremad og tænke nyt.

(I en større europæisk virksomhed), er vi netop i år gået over til at køre IPv6 only rent infra (VMware/NSX/etc)/netværksmæssigt i vores nye datacentre (De fleste VMs kører dog stadig ren IPv4, men vi har lagt en plan for dual stack, og tænkt over ren IPv6 senere).

Man kan lave nogle ret nice tricks med ens address plan på IPv6, det er blevet meget meget mere overskueligt efter det er skiftet til IPv6 her, specielt når netværket er spredt på mange lokationer i flere lande, men igen ikke at det var umuligt før, men vores gamle IPv4 address plan var noget rod, efter flere opkøb af andre virksomheder.

Rent privat står det dog stadig ligeså ringe til som tidligere, med eniig/fibia eller hvad de nu kalder sig nu om dage "nej vi har ingen planer om at tilbyde IPv6", mens de reklamerer med de er kåret til bedste ISP etc, det er lidt trættende, så herhjemme er det stadig via en tunnelbroker.net tunnel.

Derudover:
;QUESTION
version2.dk. IN AAAA
;ANSWER
;AUTHORITY
version2.dk. 39 IN SOA ns1.prodns.net. hostmaster.eurodns.com. 2018062717 43200 600 1209600 60
;ADDITIONAL

Det er lidt trist, kom nu igang, det samme med dr.

Henrik Kramshøj Blogger

"flere, end vi nogensinde får brug for."

Jeg gætter på af man sagde det sammen da man gav alle universiteter i USA kæmpe klumper af IPv4 Adresser


Well, pt. uddeler man IPv6 efter en plan hvor man har taget 1/8-del i brug, så hvis vi fejler i uddelingen kan vi prøve igen med 7 andre måder. Så det ser ud til at vi IKKE har malet os ind i et hjørne med IPv6 uddeling.

Fjernelse af NAT er kun en fordel hvis man skal køre en server, dem der skal det, skal nok få fat i en forbindelse der kan det, for andre vil jeg sige af NAT faktisk forhøjer sikkerheden da man ikke kan få fat i det lokale net værk fra internettet

Hvis man er 1000 kunder der benytter samme IPv4 adresse, så giver giver det en anonymitet da server ejeren ikke kan være sikker på af det hele tiden er den samme kunde der sidder bag en ipadresse


NAT er IKKE på nogen måde en fordel. Den smule "sikkerhed" som man måske kunne tænkes at have forsvinder når vi bevæger os rundt omkring, som eksempelvis cafeer, lufthavne hvor vi er på samme netværk som andre.

I hjemmet er der rigeligt med enheder som henter opdateringer eller laver forbindelser udad. Tillige er der millioner af sårbare CPE'er - hjemmeroutere - som kan brydes in i direkte, og derefter kan agere som springbrædt ind i netværket bagved.

HVIS du tænker NAT er bare en smule sikkerhed vil jeg kalde det en farlig sovepude. Rigtig firewall, og segmentering giver beskyttelse.

Derudover NAT kræver en NAT-router, som har state - det giver en masse problemer, hvis den slukkes/tændes/crasher, eller vi ønsker at bevæge os til andre netværk osv.

NAT is BAD, det var en kludge fordi vi var ved at løbe tør for IP-adresser. Det giver også en masse problemer med diverse protokoller - snak med en VoIP konsulent eller andre som gerne vil lave video chat.

Michael Hansen

for andre vil jeg sige af NAT faktisk forhøjer sikkerheden da man ikke kan få fat i det lokale net værk fra internettet

Hvordan skulle det være bedre end en router udleveret af en ISP der har en firewall med (ip6tables format for illustration):

ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT

{kundens egne specifikke regler til ting de ønsker åbent udefra}

ip6tables -A INPUT -j DROP
ip6tables -A FORWARD -j DROP

Tror ikke der er mange der siger, at en ISP skal køre IPv6 uden en firewall aktiveret som standard?

Baldur Norddahl

Fjernelse af NAT er kun en fordel hvis man skal køre en server, dem der skal det, skal nok få fat i en forbindelse der kan det, for andre vil jeg sige af NAT faktisk forhøjer sikkerheden da man ikke kan få fat i det lokale net værk fra internettet

Hvis man er 1000 kunder der benytter samme IPv4 adresse, så giver giver det en anonymitet da server ejeren ikke kan være sikker på af det hele tiden er den samme kunde der sidder bag en ipadresse

NAT implementeringen i almindelige hjemme-routere er med vilje lavet usikkert for at gøre det muligt at køre nat-traversal. Det betyder at man kan sende trafik ind udefra vilkårligt bare man gætter en port. Hvis din computer eksempelvis har lavet en TCP forbindelse til version2.dk med port 1234 i din ende og port 443 i version.dk enden, så kan alle på hele internettet forbinde til din port 1234. Læs også om "hole punching": https://en.wikipedia.org/wiki/Hole_punching_(networking)

Det er endvidere trivielt at spore den enkelte bruger bag NAT med device profiling, cookies eller tilsvarende.

Hvor det ikke kræver noget specielt at afprøve samtlige 65536 mulige port numre på en NAT adresse, så er det nær umuligt at gætte en privacy extension IPv6 adresse.

Log ind eller Opret konto for at kommentere