Dagbog-bloggen

IPv6 på DSL

I et tidligere blogindlæg lovede jeg, at vi har en masse spændende ting i støbeskeen. En af disse ting er IPv6 til de fleste af vores DSL-kunder, og det er nu en realitet.

De sidste par dage har vores eBSA-kunder foruden deres normale IPv4-adresse også haft en IPv6-adresse og et delegeret /48 scope til rådighed.

Nu rykker det

IPv6 er langt fra nogen ny opfindelse, men det er først de senere år, at IPv6 er begyndt at vinde større udbredelse.

Det er primært en konsekvens af at RIPE, ARIN og de andre RIRs er løbet tør for IPv4-adresser, samt at store indholdstjenester som Youtube, Facebook og Netflix er begyndt at gøre content tilgængeligt via IPv6.

Derudover har en række eyeball networks, dvs. internetudbydere, der primært har slutbrugere, udrullet IPv6 - herunder amerikanske Comcast.

Hvis man kigger på den geografiske fordeling af IPv6-tilgængelighed er det et noget blandet billede, vi ser.

I USA har lige over 28 % af Googles brugere IPv6, men Danmark er ligesom Sverige, Italien og Spanien et u-land, når det kommer til IPv6 - kun sølle 1,5 % af danskerne har adgang til fremtidens internet.

Vi får baghjul af de fleste andre europæiske lande, herunder Grækenland, hvor 27 % af brugerne har IPv6.

Når der ikke er flere brugere på IPv6 i Danmark skyldes det fodslæberi hos de store gamle teleselskaber, der har svært ved at se værdien i at indføre IPv6.

Derfor skal man i Danmark lede blandt de nye internetudbydere på markedet, hvis man vil have IPv6 - og man skal helst ikke have en coax-forbindelse, selv om Stofa angiveligt er ved at forberede deres net til det.

Sådan virker det

Meldingen fra TDC har hidtil været, at en DSL-kunde hos Kviknet skal være forbundet til en Alcatel-DSLAM, før IPv6 vil virke - hvis man sidder på en af TDC's gamle Ericsson-DSLAM'er, skulle det angiveligt ikke virke.

Jeg har ingen god teknisk forklaring på dette, men i praksis er det heller ikke det store problem, for størstedelen af vores DSL-kunder er VDSL-kunder, som sidder på Alcatel-DSLAM'er.

Når en kundes router sender en DHCPv6-forespørgsel, uddeler vores DHCPv6-server følgende adresser:

  • En enkelt adresse til CPE'en (/128)
  • Et /48 delegated prefix (DP)

Et /48 DP kan deles op i 65.536 stk. /64-netværk. Det betyder i praksis, at kunden aldrig vil mangle IPv6-adresser - vores router vil selv uddele adresser fra det første /64-netværk i DP'et til de forbundne enheder, mens kunden selv kan oprette yderligere subnets til andre formål.

Når en PC på kundens netværk får tildelt en IPv6-adresse fra routeren, vil browseren på PC'en forsøge at anvende IPv6 i de tilfælde, hvor et website har AAAA-records.

Hvis IPv6 af en eller anden grund er fejlkonfigureret på websitets server, som derfor ikke svarer på IPv6, vil browseren lave automatisk fallback til IPv4.

Hvad så nu?

Hvis du er en af vores kunder derude, som har fået en IPv6-adresse, kan du checke om den virker ved at gå ind på http://ipv6-test.com/. Som udgangspunkt har vi åbnet for udgående IPv6-trafik, mens trafik initieret udefra er blokeret. Hvis du har brug for at sætte en server op, som svarer på IPv6, kan du åbne for indgående forespørgsler i din router - men husk at slå provisionering fra, så vi ikke overskriver din config næste gang vi ændrer noget i vores ende.

Vores næste opgave bliver at tilbyde det samme til vores bolignet-kunder. Hertil er der bestilt nyt hardware, da nettet skal ombygges fra et decentraliseret net baseret på 13 år gamle routing switches til et centraliseret net, hvor vi får layer 2-forbindelse til den enkelte kunde.

Mere om det i et senere indlæg.

God weekend!

Kommentarer (37)
Ivo Santos

Forleden dag havde jeg min internet udbyder i telefonen.
Det jeg spurgte om er om der er planer om ipv6, for som privat person kan man sikkert ikke købe et ip4 subnet, men med alle de adresser der findes i ipv6, så burde det være muligt for private at bestille et helt subnet, og ikke nøjes med f.eks. 1 dynamisk, eller 1 fast ip adresse.

Det jeg fik at vide er at de ingen planer har for ipv6, men jeg fik dog personen til at notere i deres system at jeg er interesseret i ipv6 når det engang bliver muligt.

Yoel Caspersen Blogger
Ivo Santos

Jeg bor i en ejendom hvor vi faktisk har fiber, men efter ComX blev opkøbt af TDC så er det hele, sådan set, gået ned af bakke. Vi havde mulighed for heeeele 3 ip adresser og vi havde også kontrol med firewall via en hjemmeside.

men nu er det så Dansk Kabel TV som står for vores internet, og umidelbart set det ud til at jeg max. kan have 1 fast ip og 1 dynamisk, desuden ser det ud til at det kun er på den faste ip at jeg kan bestemme hvilke porte der skal være åbent.

Som Privat person og it-nørd kunne jeg godt tænke mig at have minimum 2 faste ip adresser og selv bestemme over hvilken porte som skal være åben ud af til.

PS: Bor i Vanløse (København)

Yoel Caspersen Blogger

Måske den manglende interesse skyldes af så mange ikke aner hvad IP er, de vil bare på nettet

Ja, helt almindelige brugere er naturligvis undskyldt - men det er professionelle aktører som fx teleselskaber ikke. IPv6 har været en uundgåelig del af fremtiden siden sidst i 90'erne.

Anyway, det er et langt sejt træk, men nu ser det heldigvis ud som om der er ved at gå hul på bylden.

Jens Jönsson

Vi har netop fået eget AS-nummer, IPv4 adresser og selvfølgelig også IPv6 adresser. Det er vores plan at få implementeret IPv6 i 2017, når vi får ændret til vores nye IP-range..

Desværre tror jeg IPv6 som standard er slået fra i de routere vi har solgt til kunderne. Men så må vi jo guide dem over telefonen, så det kan blive tændt :-)

PS: Hyggeligt at hilse på dig i dag Yoel :-)

Baldur Norddahl

PS Jeg skrev mit speciale om IPv6 ... i 2002 :-D

Der er så blevet skrevet et par ekstra RFC'er siden, så du må nok hellere opdatere teksten...

Der er lang vej igen, hvilket version2.dk desværre er med til at demonstrere. Sitet var en kort overgang IPv6 aktiveret, men det blev fjernet igen. Angiveligt fordi noget kode på serveren ikke håndterer IPv6 adresser korrekt. I stedet for at finde fejlen, så sletter man bare AAAA fra DNS og det var så det.

På den anden side har vi de store amerikanske selskaber. Netflix, Google (herunder Youtube) og Facebook kører alle IPv6 og det er med til at bringe IPv6 andelen af vores samlede trafik op på 15%.

Per Eckhardt

rigtig fedt at kviknet har fået gang i ipv6 bare ærgeligt at I kun kan levere lave hastigheder her hvor jeg bor og derved at nød til at være gift med yousee og den lokale fællesantenne..

har flere gange forespurgt ved yousee men deres alm support ved end ikke hvad ipv6 er og når man snakker med deres "udvidet" support ved det ikke noget om om det er noget der kommer.. ;(

Yoel Caspersen Blogger

har flere gange forespurgt ved yousee men deres alm support ved end ikke hvad ipv6 er og når man snakker med deres "udvidet" support ved det ikke noget om om det er noget der kommer.. ;(

Det er faktisk lidt et problem med YouSee og deres manglende IPv6-support. De har nemlig skruet nettet sammen så alternative operatører skal sætte uforholdsmæssigt mange IPv4-adresser af, hvis de skal kunne levere offentlige IP-adresser til den enkelte slutbruger.

Hvis der så i det mindste var IPv6-support, kunne de fleste muligvis leve med en privat IPv4-adresse - men det er der ikke.

Derfor er manglen på IPv6 også en fordel for TDC når det kommer til coax - sammen med manglen på bridge mode og egen / alternativ CPE.

Klaus Seistrup

Tidligere på året skiftede jeg ISP (efter så mange år hos den gamle ISP at deres kundeservice altid sad og ventede på flere cifre i kundenummeret når jeg skulle melde en fejl), udelukkende for at få native IPv6 (havde ellers haft tunnel siden ca. 2002). Det fik jeg osse, så man skulle tro at alt var godt. Desværre kan den ZyXEL-router ISP'en leverede ikke holde på RA, så efter kortere eller længere tid (oftere kortere end længere) måtte jeg genstarte routeren for at IPv6 skulle fungere igen. Jeg blev irriteret over at skulle gennem den cirkus flere gange daglig, så nu har jeg slået IPv6 fra i routeren og kører ren IPv4 bag NAT, mens jeg krydser fingre for at der snart kommer en firmware-opdatering til routeren.

Yoel Caspersen Blogger

Er det et fast v6-ip-nummer jeres system tildeler?

Ja, systemet tildeler det samme scope til den enkelte kunde hver gang.

Hvor mange kunder har I egentlig /48-scopes til?

Med vores nuværende RIPE-allokering har vi plads til lidt over en halv mio. kunder, der hver får et /48 scope.

Regnestykket er, at vi har fået en /29 blok fra RIPE, og 48 - 29 = 19 bits.

2^19 = 524.288

Herfra skal der trækkes nogle scopes til infrastruktur og point-to-point-links.

Baldur Norddahl

Er det et fast v6-ip-nummer jeres system tildeler?

Hvor mange kunder har I egentlig /48-scopes til?

Tillader mig lige at komme med et svar på det sidste fordi det er faktisk et generisk spørgsmål. Det er sådan at RIPE uddeler et /29 scope til alle udbydere. Det er minimum, så store udbydere kan få mere. Men altså, en mindre udbyder som Kviknet har forskellen på 29 og 48 i 2'er potens som antal /48 scopes der kan uddeles:

2^(48-29) = 524.288 scopes.

Med andre ord det løber man ikke tør for lige foreløbig. Dog skal man huske at det ikke er givet at alle scopes kan tildeles hvis udbyderen har et system for tildelingen. Det kan eksempelvis være at adresserne er opdelt i serier som er tildelt landsdele. Da kan man risikere at en serie løber tør og udbyderen er nødt til at søge om flere adresser, selvom man måske stadig har ledige adresser i en serie fra en anden landsdel.

Det er helt trivielt at få flere adresser fra RIPE såfremt man kan dokumentere at man har udnyttet dem man allerede har.

Nogle udbydere vælger at tildele /56 scopes i stedet for /48. Den eneste umiddelbar fordel ved det er at man så næppe nogensinde får brug for at søge om flere adresser. Det giver nemlig et antal mulige scopes på:

2^(56-29) = 134.217.728 scopes.

Men hvis man ikke lige forventer at komme i nærheden af den halve million scopes ved /48 i nærmeste fremtid, så får man ikke noget ud af at begrænse brugerne til /56. Og da der absolut ingen problemer er med at få flere adresser af RIPE, så er mange udbydere også endt op med at bruge /48 som standarden for antal adresser der tildeles.

Med hensyn til den første del af spørgsmålet, så kan jeg ikke svare på vegne af Kviknet. Men jeg vil mene at udbyderen har misforstået det hvis ikke det er et fast scope :-)

Yoel Caspersen Blogger

En anden god grund til at bruge /48 i stedet for /56, er at de enkelte netværk skilles på en : boundary, dvs. mellem den 3. og den 4. hextet i en IPv6-adresse.

Eksempel:

2a06:4000:1000::/48
2a06:4000:1001::/48
2a06:4000:1002::/48

Hvis vi i stedet havde brugt /56, havde det set således ud:

2a06:4000:1000::/56
2a06:4000:1000:0100::/56
2a06:4000:1000:0200::/56

Det lyder muligvis banalt, men pga. den store mængde af IPv6-adresser, der findes, anses det mange steder som god praksis at anvende et system, der er nemt at vedligeholde, i stedet for at have et system, der udnytter adresserummet optimalt.

Skulle vi en dag langt ude i fremtiden løbe ind i en global mangelsituation, hvor vi ikke kan få et ekstra /29 scope fra RIPE, vil det være relativt simpelt for os at re-nummerere vores netværk. Hvis man planlægger det, kan det gøres over 3-5 år - når en kunde siger op, man konvertere et enkelt /48 scope til 256 /56 scopes.

Problemet ved IPv4 er ikke at adresserne er skævt fordelt inden for den enkelte udbyder, men at der simpelthen er for få adresser.

Baldur Norddahl

Mit hoved kan ikke magte de regnestykker, så hvor mange internet-udbydere kan RIPE give hver sin /29 ?

Hvis vi lige ændrer spørgsmålet til IANA i stedet for RIPE, så er svaret følgende:

Man har afsat adresseområdet 2000::/3 til generel offentlig brug. Hvis det ikke er nok, så kan man i fremtiden afsætte noget mere, men indtil videre skal alle offentlige IPv6 adresser være i det område. Det betyder at antal /29 der kan tildeles er forskellen mellem 29 og 3 i 2'er potens:

2^(29-3) = 67.108.864

Så der er plads til cirka 67 millioner internetudbydere med det nuværende system. Der er omkring 50.000 udbydere med eget ASN i øjeblikket.

Yoel Caspersen Blogger

Det dækker nok - ligner nærmest et spild på mindst 75 %.

Spildet i IPv6 er asymptotisk gående mod 100 %, når man tæller efter. Man skal slippe tanken om "spild" og i stedet begynde at se det som et værktøj, der kan give en fornuftig struktur i internettet.

Nu er det jo heldigvis også bare 0'er og 1-taller, og det er (stadig) en forsvindende lille del af båndbredden på internettet, der går til adresseheaderen i IP-pakkerne.

Det dækker nok - ligner nærmest et spild på mindst 75 %. Mit hoved kan ikke magte de regnestykker, så hvor mange internet-udbydere kan RIPE give hver sin /29 ?

I dag har IANA afsat 2000::/3 til offentlige IPv6-adresser. Det betyder, at der kan uddeles 2^(29 - 3) = 67.108.864 eller ca. 67 mio. /29 scopes.

Når man løber tør, tager man næste scope i brug:

4000::/3

og herefter:

6000::/3

osv.

Vi løber næppe tør før IPv6 er erstattet af et bedre system.

Niels Elgaard Larsen

Du skriver, at trafik initieret udefra som udgangpunkt er blokeret.

Jeg går ud fra, at det er et spørgsmål om sikkerhed.

Men på den anden er det det vel netop fordelen for kunderne ved IPv6. Også selvom man ikke kører sådan egentlige servere, man udbyder til alverden.

Jeg ser i alt frem til at kunne bruge IP-telefoni uden at skulle bekymre mig om NAT, STUN, port forwarding, TCP-keepalive osv (når både jeg og mine telefonudbydere for ipV6).

Eller kunne ssh hjem til alle mine maskiner udefra.

Der må også være en masse spillere, der kan bruge det.

Så hvordan fungerer jeres rutere?
Er der fx en nem måde at åbne/lukke for indgående trafik til bestemte IPv6 adresser?

Tom Iversen

For example 2001:db8::/32 means that the range described has the first 32 bits set to the binary digits 00100000000000010000110110101000

Spændende wiki for os der ikke er helt så kloge, men gerne vil lære lidt mere. Bare for at være pedantisk (og jeg ved godt det ikke er dig Thomas der har skrevet det) - men er der ikke en fejl i eksemplet; burde værdien for den angivne binære streng ikke være 2001:da8::/32 (1010 er 10 = 0x0a, ikke b)?

Eller er der noget andet logik jeg misser her?

Yoel Caspersen Blogger

Men på den anden er det det vel netop fordelen for kunderne ved IPv6. Også selvom man ikke kører sådan egentlige servere, man udbyder til alverden.

Du har fuldstændig ret - det er styrken ved IPv6, at man kan få end-to-end-kommunikation uden NAT ind imellem.

Når vi ikke har åbnet det by default, er det fordi vores kunder ikke har bedt os om det, og vi ville effektivt eksponere hele deres lokalnetværk til omverdenen hvis vi blot åbnede for firewall'en. Så ja, det er et sikkerhedsspørgsmål.

Så hvordan fungerer jeres rutere?
Er der fx en nem måde at åbne/lukke for indgående trafik til bestemte IPv6 adresser?

Vores routere er baseret på iopsys, som er en OpenWRT-variant. Lige nu pusher vi firewall-regler fra vores provisioneringssystem, og det betyder, at eventuelle customized firewall regler vil blive overskrevet hver nat kl. 3.

Til gengæld kan man slå vores provisionering fra, så man selv kan styre sine firewall-regler - det gøres i webinterfacet, som brugerne har adgang til.

Det er meget nemt at sætte IPv6-regler op - man kan både definere enkelte hosts, som skal kunne modtage requests udefra, og man kan definere subnets.

Baldur Norddahl

men er der ikke en fejl i eksemplet; burde værdien for den angivne binære streng ikke være 2001:da8::/32 (1010 er 10 = 0x0a, ikke b)?

Det er den binære version der er forkert. 2001:db8::/32 er speciel ved at lige det range er reserveret til eksempler. Modsat så er 2001:da8::/32 bare et tilfældigt prefix der måske bliver tildelt til en eller anden en dag.

Kjeld Flarup Christensen

Jeg ser i alt frem til at kunne bruge IP-telefoni uden at skulle bekymre mig om NAT, STUN, port forwarding, TCP-keepalive osv (når både jeg og mine telefonudbydere for ipV6).


Vi mangler blot en IPv6 RTP proxy, så er vi faktisk klar.
Og så mangler vi forresten kunder med IPv6 :-D
Det er lidt hønen og ægget.

Du skriver, at trafik initieret udefra som udgangpunkt er blokeret.
Jeg går ud fra, at det er et spørgsmål om sikkerhed.


Jeg synes det er et meget fornuftigt træk. Der er ingen der ved hvor sikre computere og andet udstyr er overfor IPv6. IoT diskussionen om igen.
Det er ganske vist svært at scanne for IPv6 adresser, men studerer man Yoel's skriv, så kan ganske mange probes på forhånd udelukkes.

Men løber vi så ikke ind i problemer med IP'telefoni igen, at vi ikke kan initiere et kald ud til kunden.

Yoel Caspersen Blogger

Det er ganske vist svært at scanne for IPv6 adresser, men studerer man Yoel's skriv, så kan ganske mange probes på forhånd udelukkes.

Det er nok tæt på umuligt at gætte en IPv6-adresse på en host, der bruger EUI64 med privacy extensions (det gør de fleste).

Men IPv6-adressen vil være kendt for de eksterne parter, man kommunikerer med, og det kan udgøre en sikkerhedsrisiko, hvis man har usikre services, der lytter på IPv6-adressen. Tænk fx på annonce-netværk med inficerede servere etc.

Men løber vi så ikke ind i problemer med IP'telefoni igen, at vi ikke kan initiere et kald ud til kunden.

Firewall'en er stateful - og den emulerer en session for UDP-pakker mellem samme endpoints. Det betyder, at hvis IP-telefonen bag firewall'en initierer en SIP-forbindelse til en proxy eller en PBX, og holder denne forbindelse i live med jævnlige SIP REGISTER-pakker, vil PBX'en eller proxyen fint kunne initiere et opkald til klienten. Det er for så vidt ikke anderledes end ved en NAT'et forbindelse på IPv4.

Hvis man ikke bruger SIP-registrering men sætter to statiske SIP peers op, skal der åbnes i firewall'en for det - men det er normalt ikke den måde, man gør det på, hvis den ene part er en klient og den anden er en server.

Baldur Norddahl

Det er nok tæt på umuligt at gætte en IPv6-adresse på en host, der bruger EUI64 med privacy extensions (det gør de fleste).

Forudsat du allerede kender målets prefix, dvs. de første 64 bit af adressen, så er der 2^64 mulige adresser der skal afsøges. Minimumsstørrelsen på en ethernetpakke er 64 bytes. Antager vi at du sidder direkte i en 1 Gbit/s LAN port på routeren, så kan du teoretisk sende cirka 1,8 millioner ping pakker i sekundet.

Regnestykket ser da således ud:

2^64 / 1800000 = 10^13 sekunder = 325.000 år

Da du i gennemsnit vil være heldig og finde den rigtige når du har afsøgt halvdelen af adresserne, så vil du i gennemsnit skulle bruge 150.000 år på at finde adressen.

Problemet er så at computeren med privacy extension skifter adresse mindst dagligt...

Dog har de fleste computere også en traditionel SLAAC adresse udregnet ud fra MAC adressen på netkortet. Da MAC adresser kun er 48 bit og der tilmed er en oversigt over serier der er tildelt hvilke producenter, så er det meget muligt at finde denne adresse.

Inteno routerne tildeler desuden en "nem" DHCPv6 adresse på 3 cifre, eksempelvis har min laptop lige nu adressen 2a00:7660:7e3::899. Meningen med det er at man kan åbne for porte til "899" i firewallen og det er så den officielle adresse der bruges til trafik initieret udefra. Kan også bruges internt på dit LAN således at dine ting har nemme og stabile adresser.

Esben Madsen

Hej Ivo - Bor du tilfældigvis på Markskellet? :) jeg havde også selv problemer med at finde indstillingerne efter de skiftede systemerne, men de 3 ip'er findes endnu - de skal (som kundeservice fortalte mig) findes under https://reg.danskkabeltv.dk/ og ikke den normale selvbetjeningsside

Som et lille kuriosum kan det i øvrigt nævnes at jeg har opsat 6to4 på den ene af mine ip'er og generelt på den har bedre latency end på ipv4

Log ind eller Opret konto for at kommentere