Ingen IPv6 i Tårnby og KMD

Godt, det er blevet tid til noget god gammeldags tilsvining aka Name and shame.

Lad os starte med årsagen, RIPE er løbet tør for adresser - punktum. Det skete 14. september, 2012 som det kan læses på den officielle side https://www.ripe.net/internet-coordination/news/ripe-ncc-begins-to-alloc... og man kan læse mere om statistik for udløb af de resterende dele af verden http://www.potaroo.net/tools/ipv4/index.html

Det betyder kort sagt at reglerne for at få IPv4 adresser i RIPE regionen - herunder Danmark - er begrænset. Enhver ny internetudbyder vil have svært ved at etablere en virksomhed på den IPv4 /22 som man nu kan få - dvs ca. 1000 adresser.

NAT4444....4444

Nej, stop nu - det har vi hørt, hvad betyder det i praksis?

Det betyder i praksis at for at tilgå IPv4-only sites, eksempelvis ALLE KMD sites, inklusiv www.taarnby.dk som er min kommunes hjemmeside - skal vi via NAT. Network Address Translation lyder ikke så slemt som det er, og fordi vi kun bruger det i 1 niveau (NAT44) - typisk vores DSL router. Snart bliver det i 2 niveau (NAT444) eller gud forbyde det og spyt over skulderen NAT4444.

Godt lad os snakke om NAT444 eller Carrier Grade NAT (CGN) som det også kaldes, eller det nye marketing term large-scale NAT (LSN) http://en.wikipedia.org/wiki/Carrier-grade_NAT

Lad mig sige det med det samme, det er noget skidt. Både for dig som forbruger og helt sikkert også for din ISP. Generelt for internet er det ligeledes noget møg, og lad os åbne ballet med listen fra wikipedia siden:

Critics of carrier-grade NAT argue the following aspects:

  • Like any form of NAT, it breaks the end-to-end principle.[2]
  • It has significant security, scalability, and reliability problems, by virtue of being stateful.
  • It makes record keeping for law-enforcement operations more difficult.
  • It makes it impossible to host services on well known ports.
  • It does not solve the IPv4 address exhaustion problem when a routable IP address is needed, such as in web hosting.

En fin liste over de mest basale problemer med NAT, og specielt NAT-NAT. Hvis du ikke tror det allerede findes i DK, så kom til næste Network Warrior Weekend Camp og snak med mig om det, min udbyder hjemme har givet mig en fin 10.4.13.162 på ydersiden af min firewall ... til gengæld har de også givet mig native IPv6!

flaskehalsen

hoooooldt, STOP IT! - det har vi hørt før, hvad betyder det i PRAKSIS?

Det betyder:
Al trafik til og fra din browser skal omkring det SAMME system, fra forbindelsen etableres til den afsluttes. Det betyder ALLE dine mange forbindelser fra browseren til hjemmesiden, Google analytics, eksterne ressourcer, ad-sites med reklamer og tillige DNS opslag for samme. Er det alvorligt, hmm ja.

Jeg bruger en del extensions til mine browsere og Ghostery til Chrome browseren viser hvem der får data når man besøger en side. Du kan læse mere om Ghostery på https://chrome.google.com/webstore/detail/ghostery/mlomiejdfkolichcflejc...

Hvis man derefter besøger en populær og almindelig side som Ekstrabladet.dk sendes altså data til 12 eksterne sites - udover Ekstrabladet.dk selv.

Illustration: screenshot Henrik Kramshøj

Det skal nok blive festligt når vi allesammen skal via den flaskehals. Lad os allesammen få flere gadgets, som allesammen er always on, som allesammen checker post, twitter, facebook jævnligt ... plus netflix, viaplay, spotify, wimp, tdcplay streaming af musik og film i stor skala - gennem samme system, WTF?!

Jeg forstår godt min udbyder Bolig:net er på IPv6 og mit første spørgsmål til Netflix i Danmark bliver om de snart understøtter IPv6.

Streaming af fremtidens mange medier over samme system, som samtidig skal håndtere sessions for al trafik virker ikke.
Samtidig stiger båndbreddeforbruget voldsomt og det ødelægger oplevelsen for forbrugeren. Fakta.

Viaplay og andre, ring lige til mig ok ;-)

DNS er ikke noget problem

Jeg nævnte kort DNS, og det er jo UDP og i bund og grund stateless, men firewalls og NAT enheder skal stadig gemme information om hvilke systemer der har sendt et DNS query og forventer et svar. Så selvom DNS jo burde være stateless og slet ikke være med i ovenstående.

Desværre, hvis man ikke ønsker at benytte DNS blokeringsordningens gode tilbud om blokering af tilfældige hjemmesider vælger man jo en ANDEN DNS server end udbyderens. Så hvert DNS opslag fra mit netværk skal ud gennem NAT hos mig, NAT hos udbyderen, runde den DNS server der skal svare og retur gennem samme mølle.

Dette forværres af at flere og flere ting smides i DNS blokeringsordningen, og flere skifter til andre DNS udbydere, jeg vil blot gentage min anbefaling af censurfridns.dk.

En anden sjov ting, hvis man kan sige at opsnappe og ændre på data i transit er sjovt, er at NAT enheden hos min udbyder Bolig:net ændrer på pakkerne i datastrømmen. Lad mig demonstrere. Jeg sendte - med vilje - UDP pakker fra source port 1536 med kommandoen nping --udp -g 1536 -p 53 91.102.91.18 og kunne på min server se følgende:

hlk@pumba:hlk$ sudo tcpdump -n port 53 
tcpdump: listening on em0, link-type EN10MB
tcpdump: WARNING: compensating for unaligned libpcap packets
17:15:42.763111 79.142.224.186.53134 > 91.102.91.18.53: 0 [32a] [0q] [3493n] (4)
17:15:43.760604 79.142.224.186.60584 > 91.102.91.18.53: 0 [32a] [0q] [31134n] (4)
17:15:44.763791 79.142.224.186.60970 > 91.102.91.18.53: 0 [32a] [0q] [40179n] (4)
17:15:45.761349 79.142.224.186.50651 > 91.102.91.18.53: 0 [32a] [0q] [16569n] (4)
17:15:46.764947 79.142.224.186.64152 > 91.102.91.18.53: 0 [32a] [0q] [32488n] (4)

Dette viser at min source port 1536 ændres til 53134, 60584, 60970, 50651, 64152 osv. Det vil sige at source porten ændrer sig på trafik der sendes gennem systemet. Det kan godt betyde noget i visse sammenhænge. Årsagen til at systemet bliver nødt til at ændre source portene er at ellers kan den ikke matche systemet på indersiden (kunden) med den server på ydersiden (internet) som der kommunikeres med. Selvom der er 65535 porte er det heller ikke allesammen som kan bruges - så det er ikke alle kombinationer af porte og IP der kan bruges.

Derfor skal en udbyder som har mange kunder afsætte flere og flere eksterne IP-adresser til dette dødsdømte system - som er en ren udgift, og kunden får ikke noget udover langsommere forbindelse.

Der er altså ingen som helst fremtid i Large Scale NAT, det er en periode som vi skal gøre så kort som muligt, punktum. Uanset hvad man kalder en spade er det stadig en spade og den spade er knækket fra fabrikken.

Nye problemer

Hvor du fra?

Du fra havnen, eller måske skolen, eller måske hjemme, eller måske IP-adresse +1. Når du sidder på den traditionelle NAT44 havde din router på det eksterne interface en offentlig IP - eeen IP som hele din husstand kom fra. Idag går du ud gennem et system som på ydersiden har flere IP-adresser, som ALLES forbindelser skal igennem.

Ja, et veldesignet system under de skrækkelige betingelser vil nok forsøge at "optimere oplevelsen til glæde for brugene" - newspeak for vi er i panik og der er meget få porte at gøre godt med, så vi prøver! Reelt VIL nogle af dine forbindelser nok ryge over på andre IP-adresser, således at du kommer fra flere, eller måske endda skifter IP undervejs mens du gennemgår dine daglige internetritualer.

Bemærk: hvis du undervejs i en session med et NemID site skifter IP så fejler det, og du skal logge på igen.

Bemærk: hvis Youtube synes der kommer for mange besøg fra EEN IP bliver du bedt om at bevise at du er levende, desværre glemte jeg at tage et screenshot af det - for det skete for nyligt, og kommer til at ske igen for dem på IPv4.

Bemærk: flere sites og services har et MAX antal forbindelser fra een IP, så du vil opleve at du måske slet ikke kan komme ind på et site, hvis der er mange fra din ISP som prøver samtidig. Yderligere som webmaster vil du måske ikke engang opdage det, eller tro du er under angreb. Vi har live sites som pt. kun tillader max 100 sessions pr IP!

Det giver altså med tiden flere og flere problemer for både webmasters og forbrugere at bruge LSN - så lad være! Du kan i ethvert fornuftigt hostingfirma i Danmark få IPv6. Ja, helt seriøst mener jeg det er ekstremt useriøst hvis man idag ikke kan tilbyde sine erhvervskunder web hosting med IPv6 idag.

IPv6 i det offentlige

Godt, vi har nu talt om nogle af de problemer som der ikke tales ret meget om - de praktiske problemer som jeg mener taler for at skynde os over på IPv6. Men hvor langt er de offentlige myndigheder idag? og hvad med store firmaer som driver services for det offentlige, KMD eksempelvis?

Jeg valgte at skrive en email til min egen kommune, som er Taarnby og mit spørgsmål til Taarnby, og det tilsvarende til KMD (som hoster taarnby.dk) var formuleret næsten enslydende:

Hej Kommune
 
Jeg er IT professionel og meget interesseret i IPv6 som er den nye internetprotokol. Denne er nødvendiggjort af en stigende brug af internet og er derfor allerede nu relevant at forholde sig til.
 
Samtidig har jeg for nyligt kigget lidt på taarnby.dk min egen kommunes hjemmeside, og den er ikke på IPv6 og hostes hos KMD. 
Jeg ser derefter til min skræk at KMD A/S slet ikke har noget IPv6 :-( 
 
Så hvad er :
Taarnby/KMDs strategi med IPv6?
 
Hvornår forventer man at kunne tilbyde eksempelvis IPv6 på hjemmesiderne?
 
Jeg kan oplyse at eksempelvis Herning Kommune allerede er tilgængelig på IPv6
http://www.herning.dk
 
Ligesom andre almindelige hjemmesider:
www.information.dk
www.computerworld.dk
www.tdc.dk
 
 
Mvh
 
Henrik
--
Henrik Lund Kramshøj, Follower of the Great Way of Unix
internet samurai cand.scient CISSP
hlk@kramse.org hlk@solidonetworks.com +45 2026 6000 
http://solidonetworks.com/ Network Security is a business enabler

og svarene:

Hej Henrik Lund Kramshøj.
 
Tak for din henvendelse om IPv6.
En hjemmeside der tilbyder IPv4 vil ikke udelukke nogen.
 Hjemmesidens vigtigste opgave er at give borgerne adgang til 
selvbetjeningsløsninger og kommunal information til lokalsamfundet.
I det omfang det bliver nødvendigt at anvende IPv6 for at løse denne 
opgave, vil protokollen naturligvis indgå.
Det har ikke betydning for afviklingen af kommunens hjemmeside at 
KMD anvender IPv4, for alle systemer der anvender IPv6 også 
kan tilgå sider baseret på IPv4 protokollen.
 
 
Med venlig hilsen
 
 
Henrik XXXXXX(navn slettet)
Leder af Digital udvikling og drift på Tårnby kommunebiblioteker og
Kommunal webmaster.

Jeg tror han har misforstået noget i den sidste sætning, men det må også være irriterende at blive spurgt om noget man ikke ved noget om ;-)

men KMD må da være i front - de har brugt mange penge på TV rekvalmer der flyder ud over sendefladen over hvor gode de er.

Kære Henrik
 
Tak for din mail. Vi følger naturligvis udviklingen nøje og er 
opmærksom på IPv6. KMD’s services drives af efterspørgslen 
hos vores kunder. KMD forventer derfor at kunne tilbyde IPv6 i 
takt med, at vi møder en efterspørgsel i markedet på området.   
 
 
Venlig hilsen
 
Christoffer Hellmann, Pressechef
 
KMD, HR og Kommunikation
 
Lautrupparken 40-42, DK-2750 Ballerup
E-mail XXX@kmd.dk  Web www.kmd.dk
Direkte +454460XXXX Mobil +45XXXXXXX

Er det ikke en ringe holdning?

De faktiske svar på ovenstående var ekstremt triste - men forventede. Det var altså forventet så jeg græder ikke, men glædes over at en af mine kunder som HAR IPv6 og driver systemer for en kommune med 20.000 ansatte - de har IPv6 - og får derved måske en fordel ;-) KMD tag jer sammen!

Burde KMD ikke i det mindste have bedt om IPv6 adresser fra RIPE, og begyndt at få fødderne våde på nuværende tidspunkt?

Vi er jo i Danmark foran på alt der ligner logning - og tænk kort over efterforskningsmulighederne i NAT444 ... ja ikk? eller skal jeg bare nyde at ingen webmaster om kort tid vil kunne vide om det var mig eller en anden i Bolig:nets netværk der lavede ballade?

og så var der ikke engang tid til at snakke ret meget om hjemmesider som skal streame data, hvor performance er vigtigt (Hint: google Youtube ER på IPv6).

Vi burde også snakke om muligheden for at slå en udbyders kunder af internet, enten indefra ved at lave ekstremt mange sessions - eller udefra ved at DDoS'e deres LSN miljø - det er få adresser :-) NB: ikke en opfordring, men hvornår sker det med noget software som er gået amok? Tænk et system som laver forbindelser men aldrig selv lukker dem - hvad er den rigtige timeout til dem? Tænk en orm der forsøger at etablere forbindelser til hele internet ... uha! Det ville holde mig vågen om NATten.

Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonatan Anthony

Er der nogen som ved om TDC er kommet længere med IPv6 til private? Jeg synes egentlig det er en fin løsning din ISP er kommet op med. NAT på IPv4 og som kompensation, native IPv6 på samme forbindelse.

Jeg har opsat min egen tunnel-broker på min arbejdsplads, da jeg fandt SiXXs lidt træg. Jeg må erkende at jeg faktisk pt. har slået IPv6-stakken fra på min notebook, hvilket jeg har gjort fordi min Internet-oplevelse bare bliver noget langsommere, når min maskine forsøger at komme rundt med IPv6. Jeg gad godt at vide, om det vil blive markant bedre med native IPv6, eller om problemet nærmere er udbyderne som ikke prioritere båndbredde på IPv6?

/Jonatan

  • 2
  • 0
Morten Brørup

Hej Henrik,

Tak for en god artikel.

Teknisk set har RFC'erne for Carrier Grade NAT nogle helt særlige krav, som almindelige NAT-routere ikke er omfattet af. Men det skal vi ikke lade os narre af, og vi kan roligt fortsætte med at kalde en spade for en spade!

Det er iøvrigt ikke kun internetudbydere, der benytter flere lag af NAT. Mange boligforeninger benytter en kraftig NAT-router i kælderen til en fælles internetforbindelse, og herefter har beboerne i ejendommens lejligheder også NAT i deres trådløse hjemmeroutere.

Jeg er dog faldet over testresultatet for dit lille UDP-eksperiment... Hvis en af de to NAT-bokse undervejs (den hjemme hos dig selv eller den centrale hos din internetudbyder) skifter source-port for et flow, der sender pakker en gang i sekundet, er der noget helt galt! For så er flow'et ikke etableret i NAT-boksens flow-tabel, og dermed kan returpakkerne (hvis der ellers var nogen) ikke finde vej tilbage igennem NAT-boksen. Så vil IP-telefoni og andre protokoller baseret på UDP jo heller ikke virke. Jeg tror, at en af NAT-boksene håndterer port 53 (DNS-protokollen) på en helt speciel måde, fordi det falder i dens Application Level Gateway. Hvis du prøver samme eksperiment med en anden destination-port end 53, fx port 7 (echo-protokollen), får du forhåbentlig ikke et helt så forfærdeligt resultat? Det er meget sandsynligt, at en NAT-boks også ændrer source-porten undervejs; men den bør lægge sig fast på en bestemt source-port (fx 53134), så længe flow'et kører. Nogle folk kalder dette for NAPT (Network Address and Port Translation) i stedet for NAT; men det er den mest optimale måde at lave stateful NAT, hvis man vil være sikker på, at alle udgående flows kan komme igennem.

Alle dine pointer om problemer med serverere med max sessions per IP osv. er helt korrekte. Det skyldes, at mange serverfolk - i et forsøg på at beskytte deres servere mod DOS-angreb - antager, at der kun er få brugere per IP-adresse, men de arbejder ud fra den forkerte forudsætning, at der kun er få brugere per IP-adresse.

Som kuriosum kan jeg nævne, at engang i gamle dage, da man brugte telefonmodem til at koble sig på internettet, havde AOL en central NAT til alle deres abonnenter. Dengang var AOL en af de største internetudbydere i USA, så der var altså titusindvis af brugere bag en enkelt IP-adresse.

mvh
Morten Brørup
CTO, SmartShare Systems

  • 3
  • 0
Simon Shine

Når man sidder i DIKU's kantine og går ind på ordbog.gyldendal.dk, får man at vide, man er logget ind fordi man befinder sig på Københavns Universitets bibliotek. Ikke at IP-baseret autentifikation er en særlig solid løsning, men med øget brug af NAT vil det blive komplet uanvendeligt.

Med hensyn til diskussionen om hønen og ægget, må man håbe at NAT-baserede netværk vil være så stor en ulempe for P2P-protokoller at det vil fremskynde brugen af IPv6. Jeg tror desværre at de i forvejen er så stor en ulempe at de hæmmer væksten af P2P som fx direkte fildeling mellem maskiner eller video-konferencer med en fornuftig opløsning.

Hvis bare software som Skype understøttede direkte forbindelser over IPv6 og internetudbydere begyndte at sælge deres internetforbindelser med IPv6-mærkater hvor fordelen skulle lyde at man kan dele filer direkte med hinanden, evt. med et suppleret program som kan gøre det, så behøvede revolutionen slet ikke ske på World Wide Web!

Tænk at folk seriøst deler store filer igennem MSN Chat eller Dropbox, hvor udbyderne bevidst har en øvre grænse for trafikken fordi deres forretningsmodel underprioriterer gratiskunder, bare fordi direkte overførsler er hindret af NAT.

  • 3
  • 1
Klaus Ellegaard

Det er formentlig kun et spørgsmål om tid, før indholdsleverandørerne begynder at skrue bissen på.

Præcis som man i dag vil få at vide, at ens forældede browser ikke giver nogen god oplevelse af indholdet på en side, vil leverandørerne formentlig begynde at skrive det samme om IPv4:

"Din internetudbyder $navn anvender en forældet protokol. Hvis du fortsat vil have optimal glæde af vores tjeneste, anbefaler vi, at du skifter til en internetudbyder med mere tidssvarende teknologi. I dit område leverer følgende udbydere IPv6: ..."

Eneste hurdle er, at den liste formentlig vil være helt tom for de fleste danskere. Men så snart bare et par af de landsdækkende får taget sig sammen, bliver ovenstående mere realistisk. Og så er det godt nok surt at være en af de udbydere, hvis kunder får en sådan meddelelse på f.eks. Youtubes hjemmeside.

  • 2
  • 2
Peter Favrholdt

@Henrik: Herligt blog indlæg, tak for det! Det er på tide at jeg kommer i gang med IPv6 :-)

Jeg fandt flg. slides http://inconcepts.biz/~jsw/IPv6_NDP_Exhaustion.pdfhttp://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol

Slides'ne beskriver et problem med DoS af routernes "ARP-tabel" pga. IPv6s store adresserum (hvis man konfigurerer det som "standard" med /64 subnet). Er det stadig et problem eller er der løsninger på dette? Kan det tænkes at dette er en af grundene til at nogen udbydere er tilbageholdende med IPv6?

Jeg kan i øvrigt godt lide tanken om NAT - altså at mine hjemlige devices ikke kan nås direkte fra Internet, men skal igennem en FW/Nat/Router. Men det kan man vel også gøre med IPv6 (iptables)? Altså FW uden NAT. Nogen der har et link til en god tutorial?

Mvh. Peter

  • 2
  • 0
Klaus Ellegaard

Problemet med hjemme-NAT er, at det luller folk i søvn.

"Jeg har NAT, så der er ikke nogen, der kan komme ind udefra". Og dog. Hvad med den dag hvor en af vennerne tager en 3G-enabled, hacket bærbare med ind på dit netværk? Eller måske bare en bærbar der "ringer hjem" og derfor tilbyder adgang "baglæns" gennem NAT? Eller for den sags skyld via uPNP ligefrem får åbnet et "autoriseret" hul i din firewall?

Da hele din sikkerhed er baseret på, at man IKKE kan komme ind udefra, har de onde folk nu fuld adgang til alle dine data på dit netværk.

Der er altså ingen vej udenom: man er ikke den mindste smule sikker, før ens maskiner er sikre nok til, at de kan "tåle" at være koblet dirkete på Internettet med en offentlig IP.

Eller at man har en firewall med IDS og en konfigurationsfil, der måles i megabytes og opdateres adskillige gange dagligt af et helt team paranoide sikkerhedsgutter.

Af de to onder er det nok både sikrest og nemmest bare at sørge for, at ens maskiner kan tåle at være på nettet. Uden alt det fnidder med (personlige) firewalls og NAT. Ellers er man let bytte den dag, nogen får adgang via en metode, man ikke lige havde regnet med.

  • 2
  • 0
Jonas Larsen

Hej Henrik

Interesant indlæg, det er dog en tand for voldsomt ensidigt til min smag

Jeg synes KMD's svar er fornuftigt og åbenlyst.

Måske du kan opklare for mig hvad det er du synes de har misforstået, udfra følgende spørgsmål:

Hvorfor skal jeg som privat virksomhed starte på ipv6 før jeg er berørt, i nævneværdig grad, af de problemer du ramser op? Virkeligheden er jo at så godt som ingen selskaber i dag har nogen problemer med at være på ipv4 only.

Hvis vi ser bort fra argumentet om at man bliver nød til at starte i god tid for at få noget erfaring (lad os sige vi har outsourcet netværksdrift/design og derfor ikke selv behøver synderlig erfarring) hvor er den gode grund så til at poste en masse penge/tid i det så henne?

  • 6
  • 1
Mads N. Vestergaard

Hvis vi ser bort fra argumentet om at man bliver nød til at starte i god tid for at få noget erfaring (lad os sige vi har outsourcet netværksdrift/design og derfor ikke selv behøver synderlig erfarring) hvor er den gode grund så til at poste en masse penge/tid i det så henne?

Hvis du har outsourcet dit netværk, er der måske en mening I at du ikke er på IPv6 endnu, men som minimum vil jeg da kræve at den partner jeg har outsourcet til er klar, og har erfaring med det.

Ganske som Tårnby har outsourcet noget til KMD, men I og med de ikke engang har anmodet om at få tildelt adresser endnu, ser det ikke ud til de er ret langt.

  • 3
  • 0
Cristian Ambæk

Det har ireterret mig lige fra starten af at folk himler op omkring dette.

1 Vi kan godt køre på IPv4 endnu uden at det giver problemer.
2 Vi kan godt skifte til IPv6 i vores hjem og kører IPv4 på "wan'et".
3 Vi kan godt køre IPv4 i "wan'et" og IPv6 i vores hjem / firma / what ever.

Og det er ikke skide svært. Så lad nu vær med at himle op heletiden.
OMG RIPE is out, we are doomed.

Og jeg har ikke læst mere end 20-25 linjer af artiklen, for syntes heletiden den syder af "OMG WE ARE OUT", "IPv4 so bad!! IPv6 so good!!" og så videre.

  • 4
  • 9
Baldur Norddahl

Hvis vi ser bort fra argumentet om at man bliver nød til at starte i god tid for at få noget erfaring (lad os sige vi har outsourcet netværksdrift/design og derfor ikke selv behøver synderlig erfarring) hvor er den gode grund så til at poste en masse penge/tid i det så henne?

Jo længere tid vi skal vedligeholde to internets (v4 og v6) jo dyrere for samfundet. Det offentlige bør derfor være en af frontløberne for at få omlagt mest muligt trafik til IPv6.

I USA har det således længe været et krav at offentlige institutioner kun køber IPv6 parat udstyr. www.whitehouse.gov har IPv6 adressen 2001:668:10c::216::3228. Hvilken adresse tror du www.folketinget.dk har?

De "store" internationale indholdsudbydere som Google, Facebook og Akamai har alle IPv6 nu. Derfor kan man opleve at en overraskende stor del af ens trafik flytter til IPv6 så snart man får en god IPv6-forbindelse.

Selv sådan noget som version2.dk som endnu ikke har IPv6 får alligevel leveret en del af indholdet på IPv6. Om ikke andet så fordi version2 bruger Google Analytics som naturligvis hentes over IPv6 samt en Facebook like knap, der ligeledes køres den vej.

Det siges at over halvdelen af en gennemsnitlig brugers trafik (målt i bytes) allerede på nuværende tidspunkt kan køres over IPv6.

Det gælder om at få alle de "store", herunder det offentlige, til at tilbyde alle deres internet-tjenester på IPv6. Da vil vi forholdsvist hurtigt kunne få størstedelen af trafikken flyttet. Dermed vil samfundet spare en masse penge ved at der ikke skal investeres i store NAT-444 løsninger og brugerne vil få en bedre oplevelse.

Det offentlige bør også gøre det for at få udbredt IPv6 til alle ISP kunder, således at alle private som virksomheder får IPv6 hurtigst muligt. Dermed åbner der nye anvendelsesmuligheder hvilket i sidste ende kan omsættes som et boost for økonomien.

Fejlen er derfor ikke at KMD og en eller anden udkantskommune vælger den nemme vej. Nej fejlen er at der ikke ligesom i USA er en national plan som simpelthen kræver IPv6 i alle offentlige IT-systemer med et bødesystem til dem der glemmer det.

  • 6
  • 0
Simon Shine


Vi kan godt fortsætte med at bruge IPv4, men det er en teknologisk hindring på sigt. Den manglende kollektive indsats til at indføre IPv6 er endnu et eksempel på The Tragedy of the Commons: At alle handler i deres egen interesse selvom alle har bedst af at handle i fællesskabets interesse på sigt. Den eneste fornuftige løsning er koordination.

http://en.wikipedia.org/wiki/Tragedy_of_the_commons

  • 1
  • 0
Benny Pedersen

synes ikke det helt er så enkelt, hvis man har en local squid så bliver den del mere simpelt :)

fordi den selv kan smide ipv4 gennem proxy og lade ipv6 direct, eller omvendt pr destinations domains

man ja nat er thepiratebays friends :=)

og dnssec er næsten også noget som stopper en hver isp med at servicere dns for deres kunder hvis den ikke er dnssec awhere

selv har jeg en seperate ripe listning til mine 2 adsl linjer, men det betyder ikke at de ikke listes som dynamisk modem opkald ip i diverse rbl lister som ikke lige ved at er der seperat ripe listning på en given ip så er den nok ikke dynamisk, og hvis de så sendte reverse ptr navnet en email til abuse@reverse-ptr.example.org så ville de nok se deres fejl ret hurtigt, måske er det også et problem fordi der er så meget rod ude på ripe og andre rirs som har en enorm bunke ip at skulle holde styr på

eneste grund til jeg ikke selv endnu ikke har ipv6 er at min router skal have mere ram for at løse dette, og med at det spammails jeg modtager vil jeg hellere priotere firewall på ipv4 mere, i det mindste indtil jeg har mere ram i routeren

men måske kommer der også en dag at linux kan kører ipv6 only uden ipv4 support ?

skal lige siges jeg har kernel 3.6.x så det ikke fordi jeg er bagud :=)

  • 0
  • 0
Cristian Ambæk

Vi kan godt fortsætte med at bruge IPv4, men det er en teknologisk hindring på sigt. Den manglende kollektive indsats til at indføre IPv6 er endnu et eksempel på The Tragedy of the Commons:

Selvfølgelig ville det på sigt være en hindring. Men man behøver ikke at himle op omkring det, for lige her lige nu er det ikke et problem. Og der er tid til at tage IPv6 i brug, stille og roligt. Hvis problemet var astronomisk, så ville man som sådan nok havde taget de adskillige A klasser fra Amerikanske universiteter, og fra Folkswagen. Så havde man pludselig millioner af adresser igen. Og mere tid til en ny fælles løsning.

Man kunne også havde tænkt sig om fra starten af da man definerede TCP. Og havde valgt OSI modellen. Men den var Hex format og det var TCP ikke. Ergo man tog den nemme vej ud. Samtidig med man administerede adresserne ekstremt dårligt. Og så havde vi ikke haft dette problem i dag. Problemet er ikke større end det kan løses uden alle disse "doom sayers".

At alle handler i deres egen interesse selvom alle har bedst af at handle i fællesskabets interesse på sigt. Den eneste fornuftige løsning er koordination.

Den udtalelse kan du så bruge om næsten alt. Kender du nogle der arbejder i fællesskabets interesse, omkring nogle emner? Folk sviner naturen, vel vidende om at det skader den. Firmaer dumper skid i havet vel vidende det samme som dem der sviner naturen. Apple vælger et stik, der er imod EU,s regler for IT udstyr (telefoner). Alle disse har en interesse i sig selv.

1 Det nemt at smide affald i naturen.
2 Det er billigere at smide det i havet.
3 $

Ville jeg gerne have at alle stod sammen, omkring dette og så mange andre emner? Selvfølgelig. Men folk har først og fremmest interesse i sig selv. Og sådan er det bare. Om man så kan lide det eller ej.

  • 1
  • 6
Benny Pedersen

også det at det tit ikke altid er den bedste løsning men den billigste løsning som kunderne køber, og så bagefter ser de problemmet

kobber ledninger i danmark virker også for det meste, men vedligholdese koster mere en hvad kablet mellem esbjerg og new-york, ja ok det er jo goliat og hvad hedder nu den anden isbryder :)

  • 0
  • 0
Cristian Ambæk

Jeg har fulgt dig her og der når du skriver om netværk. Og syntes som sådan at du virker som en ireterret person omkring IPv4 / IPv6, samtidig med du virker en tand arrogant.

Syntes også du virker ireterret i dine breve til din kommune. Samtidig så det svar du får

En hjemmeside der tilbyder IPv4 vil ikke udelukke nogen.

Rigtigt

Hjemmesidens vigtigste opgave er at give borgerne adgang til
selvbetjeningsløsninger og kommunal information til lokalsamfundet.

Rigtigt

Det har ikke betydning for afviklingen af kommunens hjemmeside at
KMD anvender IPv4, for alle systemer der anvender IPv6 også
kan tilgå sider baseret på IPv4 protokollen.

Rigtigt

Så hvad skaber du dig over i din næste replik?

men det må også være irriterende at blive spurgt om noget man ikke ved noget om ;-)

Du skriver du er CISSP "professionel". Så tag en professionel, neutral og konstruktiv holdning.
I stedet for din dybe personlige mening omkring infrastrukturen i DK. Som er yderst negativ.

  • 2
  • 8
Kim Jørgensen

Med risiko for fremstå som en stud. Er dette ikke et Internetudbyder problem. Den router som står derhjemme kommer fra ???. Kan du bare skifte den, næppe. Så den store mængde IP6 brugere kommer når "udbyderen" er klar. Så alle venter på ham. Han skal gøre sit system klar internt, han skal "betale" for nye routere før Hr Hansen er klar. Han skal sørge for at det virker. Hvorfor gør han så ikke det, fordi det koster penge.
Alle taler om IP6 men hvor er de praktiske ideer om små apps som ligger mellem netkort og PC kerne f.eks, som router der dirigere trafikken over på IP6 addr via IP4, samt sikre at det bliver sendt rigtigt tilbage (en slagt IP6 tunnel), fordi DNS return indikerede muligheden. Hr Hansen ved ikke en skid om dette, han vil bare have noget internet der virker. Nørder er i mindretal og kan ikke drive den omlægning.

  • 2
  • 0
Henrik Kramshøj Blogger

Pyyyh, weekenden var lidt hårdere end sædvanligt.
Prøver at samle op på spørgsmål, håber det er OK at samle det lidt.

@Jonatan, vi hører rygter om TDC og IPv6 i 2013 - bliver spændende.
Din bemærkning om at nogle protokoller er langsommere nu visse steder er formentlig rigtig. Vi kommer over de næste år til at opleve det, surt. Det er et godt argument for at skifte så meget over og forkorte perioden med IPv4+IPv6 dual stack. Jo hurtigere vi kommer over på IPv6, jo simplere er det. Pt. er IPv6 i visse undersøgelser for visse sites hurtigere end IPv4, vist 33% i en undersøgelse fra ISOC UK IPv6 Matrix.

@Morten, tak for yderligere information om NAT. Application Level Gateway lyder fint, men desværre ikke altid lykken. Eksempelvis har Juniper SRX DNS ALG en sjov ide om at DNS pakker som default er max 512bytes, hvilket er alt for lidt.

@Klaus, jeg håber bestemt du har ret og jeg mener det er indlysende at man bør være i fuld gang med at rulle IPv6 ud, ligesom eksempelvis Akamai, Facebook og Google/youtube er. Det er ihvertfald helt sikkert at deres projekter IKKE blot er drevet af enkeltpersoner.

@Peter, ja der laves mange sjove ting med IPv6, der er netop kommet THC IPv6 public version 2 med flooding der også kan ramme BSD m.fl. for noget af flooding. Det er selvfølgelig noget man skal være opmærksom på.

NB: det er dog i min bog noget der argumenterer for at man skal se på det, ikke ignorere det og lade andre få erfaringer med at begrænse skaderne. Seriøst så er mange af tingene, som tidligere nævnt på version2 også, at man har et fornuftigt netværksdesign. VLANs og isolering er nødvendigt på både IPv4 og IPv6. Gamle sikkerhedsdyder skal bevares.

Mht. til en NAT IPv6 tutorial, så får du den ihvertfald aldrig af mig - men check evt. begrebet firewall istedet, som giver ægte sikkerhed. :-)

@jonas, det er helt OK at du finder det ensidigt, men det skyldes blandt andet at deres indlæg jo blot er at ignorere problemet. Jeg mener det er en samfundspligt at det offentlige Danmark medvirker til at løse problemerne.

Mht. starte i god tid er det for KMD for sent, de har ikke engang fået adresserne så de kan gå igang med at se på det ...

Grunden til at starte nu er at man derved planlægger en migrering og får erfaringer nu, og ikke pludselig grundet et eksternt krav/pres/valg/ledelsen SKAL skifte til IPv6 på kort tid (3mdr/6mdr) og derved både skal lære det at kende, checke udstyr, samt får erfaring med det. Jeg mener rettidig omhu vil gøre det til dagligdag uden de store sværdslag og uden den store ekstraomkostning. Hvis du derimod pludselig skal skifte udstyr der ikke er afskrevet, fordi det ikke kan IPv6 - står du overfor en stor udgift.

@Christian,

4 Der skal være plads til flere i wan'et end der er IPv4 nu, your call

og så tager jeg lige det andet indlæg seperat

  • 0
  • 0
Henrik Kramshøj Blogger

Det har ikke betydning for afviklingen af kommunens hjemmeside at KMD anvender IPv4, for alle systemer der anvender IPv6 også kan tilgå sider baseret på IPv4 protokollen.

Det er rigtigt at operativsystemerne idag som understøtter IPv6 også understøtter IPv4.

Det betyder dog ikke at alle med IPv6 kan tilgå IPv4, eller helt så nemt, eller det virker - læs evt. artiklen og bemærk at grundet NAT performanceproblemer, max sessions per source IP osv. så bliver det ikke bedre - men værre med tiden. Så nej, jeg mener ikke sætningen er sand. Den antyder en støtte til at KMD "nok ved hvad de gør og IPv4 er godt nok"

Men IPv4 er jo netop ikke godt nok, derfor skaber jeg mig. Jeg skal gerne forsøge at være konstruktiv, men neutral?! Det går ligesom imod ideen med en blog :-)

Tak for alle indlæg, har I eksempelvis spurgt jeres egen kommune, ISP, arbejdsplads?

  • 2
  • 0
Cristian Ambæk

@Christian,

4 Der skal være plads til flere i wan'et end der er IPv4 nu, your call

Og det er så her man diskutere, i hvilken grad man skal natte.

Det er rigtigt at operativsystemerne idag som understøtter IPv6 også understøtter IPv4.

Du behøver ikke at tage det "op" på et OS niveau. Da du i dit netværk kan stacke mellem IPv4 og IPv6. Så du på dit lan har IPv4 og på ydersiden af din gateway har du IPv6. Eller omvendt.

Det betyder dog ikke at alle med IPv6 kan tilgå IPv4

Hvorfor skulle man ikke kunne det. Hvis jeg har en IPv6 adresse på mit lan, så kan jeg da fint besøge en hjemmeside som kører IPv4 på et "wan". Og hvis jeg natter på mit lan, og den side jeg ville besøge har en offentlig ikke nattet adresse, så skulle jeg vel heller ikke få et max session problem.

Jeg syntes det er en mere complex problemstilling som man prøver at simplificere.

Diskussionen burde jo ikke KUN være på NAT. Men hvordan man administere adresser og NAT (hvordan vi natter, i hvilken grad og hvem skulle nattes).

Ja scopet i IPv4 er for småt på længere sigt. Men igen tag alle de ubrugte adresser fra firmaer, skoler, universiterer og så videre. Og så løber det op i adskillige millioner adresser. Som ville kunne bruges og få en IPv6 strategi på plads.

  • 0
  • 2
Henrik Kramshøj Blogger

min gode ven Peter sendte mig lige et link til dagens KMD historie på børsen http://borsen.dk/nyheder/investor/artikel/1/243439/kmd_solgt_til_amerika...
og version2 har da også skrevet om det
http://www.version2.dk/artikel/breaking-kmd-solgt-til-kapitalfonden-adve...

Jeg tvivler på at KMD lige nu skal til at handle meget med det offentlige i USA, men det er lidt pudsigt at netop det offentlige USA går foran for at sikre at IPv6 bliver implementeret, ved at stille det som krav.

  • 0
  • 0
Baldur Norddahl

@Cristian

Hvis jeg har en IPv6 adresse på mit lan, så kan jeg da fint besøge en hjemmeside som kører IPv4 på et "wan".

Måske du skulle læse lidt op på det. IPv6 er ikke kompatibelt med IPv4 på nogen måde. Herunder så kan du ikke besøge en hjemmeside på IPv4 hvis du kun har en IPv6 adresse.

Lad dig ikke narre af eksistensen af teknologien NAT64. Det gør ikke IPv6 kompatibelt med IPv4 og selv HTTP/HTML virker ikke perfekt over teknologien. For slet ikke at nævne alle de protokoller der bare fejler totalt på en NAT64 (FTP, BitTorrent, SIP, RTP etc - ingen netradio hvis du forsøger at køre rent IPv6).

Du snakker om millioner af ubrugte adresser. Har det forbigået det din opmærksomhed at man de sidste år har uddelt omkring 200 millioner IPv4-adresser årligt? Hvilke forskel skulle et par millioner til eller fra gøre? Udskyde problemet til næste uge?

  • 3
  • 0
Jens Jönsson

Det er faktisk uhyggeligt at så få af de store firewall producenter er klar med produkter der kører IPv6.
SonicWall (eget af DELL): IPv6 support på gammel firmware. Ingen support i nyeste firmware ?!?
WatchGuard: Endnu ikke fuld IPv6 support (http://www.watchguard.com/ipv6/)
Cisco: Ser ud til at der er fuld IPv6 support (http://www.cisco.com/web/strategy/docs/gov/ipv6_aag.pdf)
CheckPoint: Ser ud til at have fuld IPv6 support (http://www.checkpoint.com/products/ipv6/index.html)

Ovenstående er kun udvalgte firewalls producenter. Ikke det fulde billede. Kun for at illustrere at det ikke ser helt så godt ud, som det kunne...

  • 0
  • 0
Henrik Kramshøj Blogger

Jens, jeg kan supplere med:

Juniper ScreenOS virker fint med IPv6 og har gjort det mange år, Juniper Junos SRX (erstatningen for ScreenOS) har også IPv6 hardware support.

Jeg tror endda Juniper havde deres chips med IPv6 hardware support som nogle af de første, dengang da jeg skrev mit speciale i 2002 :-)

Fortinet som jeg ikke har så meget hands on med understøtter efter sigende også IPv6 i hardware

Checkpoint har vist også god support for IPv6, men dem jeg kender med Checkpoint er på vej væk fra platformen.

Palo Alto står også på listen til "skal testes hands on"

Mit umiddelbare gæt er at man med Cisco, Juniper, Checkpoint, Fortinet dækker de fleste større installationer i Danmark, med en stor underskov af WatchGuard, PFsense og andet - som så igen er billigere at udskifte hvis ikke softwareforwarding i den nuværende er godt nok.

En anden ting der står på listen er at prøve IPv6 forwarding i L3 switche, eksempelvis Dell PowerConnect 6248 som har haft IPv6 Ready logo påklistret i mange år. Nu du specifikt sagde Dell :-) Hvis nogen har mulighed for at finde nogle L3-switche af blandet fabrikat kan vi måske tage en shoot-out på næsten Network Warrior Weekend Camp :-)

  • 0
  • 0
Morten Brørup

@Henrik:

@Morten, tak for yderligere information om NAT. Application Level Gateway lyder fint, men desværre ikke altid lykken. Eksempelvis har Juniper SRX DNS ALG en sjov ide om at DNS pakker som default er max 512bytes, hvilket er alt for lidt.

Min pointe var, at dit eksempel var lige en tand mere ekstremt, end det, man almindeligvis vil observere, fordi en almindelig NAT ikke skifter Source Port så hyppigt som i dit eksempel. Så din test viser en ALGs opførsel, ikke en NATs opførsel.

Hvis NAT er skidt, er ALG skidt i anden potens. For ALG er jo en workaround for tåbelige protokoller, der ikke kan komme gennem en normal NAT. (Ligesom NAT kan være en workaround for manglende IP-adresser.)

RFC 1035 kapitel 2.3.4 specificerer faktisk en max-størrelse for DNS-pakker på 512 bytes (som kan udvides ved brug af EDNS), så teoretisk set opfører din Juniper-firewall sig korrekt. Men som praktikere er vi rørende enige om, at grænsen på 512 bytes er alt for lidt. Så du skal have tak for at bringe et rigtigt godt eksempel på, at en ALG kan være overdrevent pedantisk, og dermed skidt i anden potens.

mvh
Morten Brørup
CTO, SmartShare Systems

  • 0
  • 0
Bjørn Connolly

Hvis NAT er skidt, er ALG skidt i anden potens. For ALG er jo en workaround for tåbelige protokoller, der ikke kan komme gennem en normal NAT. (Ligesom NAT kan være en workaround for manglende IP-adresser.)

ALG er nu primært en firewall teknologi. I tilfældet her (med DNS) har det jo intet med NAT at gøre.

At Juniper's (og Cisco's) DNS ALG har mulighed for at omskrive DNS svaret i forbindelse med en statisk NAT. Er bare en ekstra "feature" på DNS ALG men har jo ikke noget med det konkrete problem at gøre.

Anyway, L7 forståelsen i firewall's har altid været lidt "iffy" efter min mening og ofte langt bagefter RFC'erne. Derfor er det da også meget vigtigt at man sætter sig ind i hvad en firewall laver på L7 før man deployer den.

  • 1
  • 0
Bjørn Connolly

Man kunne også havde tænkt sig om fra starten af da man definerede TCP. Og havde valgt OSI modellen. Men den var Hex format og det var TCP ikke. Ergo man tog den nemme vej ud.

Under min hurtige gennemgang af det her blog indlæg og kommentarer, studsede jeg lidt over det her indlæg. Så vidt jeg ved er OSI modellen (og stakken) lavet efter TCP/IP var kørende.

OSI NSAP adressering var ikke bedre end IPv4 pga HEX formateringen men mere fordi adresserne var op til 160bit mod IPv4's 32bit. Derudover er det fulgt lovligt at bruge HEX notation til IPv4.

[bjorn@siren:~]$ fping 0x503f0b6e  
0x503f0b6e is alive

PS Personligt er jeg glad for at vi endte med TCP/IP i stedet for en ISO/ITU-T standard.

PPS OSI NSAP/CLNS kører i de fleste ISP'ers net i form af IS-IS.

  • 0
  • 0
Log ind eller Opret konto for at kommentere