#!/bin/blog

June 6, 2012

IPv6 am Hochtechnologiestandort, Bestandsaufnahme reloaded

Filed under: Internet — Tags: — martin @ 9:24 am


Ein Jahr ist schnell vorüber, und so folgt auf den “World IPv6 Day” heute der “World IPv6 Launch“.

DAX

Wie im letzten Jahr habe ich mir zunächst die Unternehmen des Deutschen Aktienindex DAX vorgenommen und geschaut, wie es auf den Konzernhomepages mit IPv6 aussieht. Geprüft habe ich dabei die folgenden URLs:

www.adidas.com, www.allianz.de, www.basf.com, www.bayer.de, www.beiersdorf.de, www.bmw.de, www.commerzbank.de, www.daimler.com, www.db.com, deutsche-boerse.com, www.dhp-dhl.com, www.telekom.de, www.eon.de, www.fmc-ag.de, www.fresenius.de, www.heidelbergcement.com, www.henkel.de, www.infineon.com, www.k-plus-s.com, www.the-linde-group.com, www.lufthansa.com, www.man.de, www.merck.de, www.metro24.de, www.munichre.com, www.rwe.de, www.sap.com, www.siemens.com, www.thyssenkrupp.com, www.volkswagenag.com

Leider hat sich hier nichts getan. Keine der Seiten bietet IPv6 an.

Kontrollgruppe

In der Kontrollgruppe, bestehend aus Google, Facebook, SixXS, Hurricane Electric und Apple hat sich hingegen etwas getan: Facebook hatte bereits vor kurzem IPv6 eingeführt, Google und Microsoft haben es pünktlich zum Stichtag aktiviert.

Update, 08.07.2012: Microsoft hat IPv6 nach Ende des IPv6 Launch direkt wieder deaktiviert.

Autohersteller

Wie im letzten Jahr habe ich mir wieder die Autohersteller angeschaut:

www.audi.de, www.bmw.de, www.opel.de, www.mercedes-benz.de, www.porsche.com, www.volkswagen.de, www.wiesmann.de, www.maybach-manufaktur.com

Hier ist im Gegensatz zum Vorjahr tatsächlich IPv6 bei www.porsche.com aktiv!

Deutsche Telekom

www.telekom.de, www.telekom.com, www.t-online.de, www.t-mobile.de, www.t-systems.de

Wie im Vorjahr bleibt die Deutsche Telekom ein fast kompletter Ausfall, mit Ausnahme von www.t-online.de.

Mobilfunkprovider

Im vergangenen Jahr hatte ich bei den Mobilfunkprovidern nach einem Fünkchen Hoffnung gesucht und es sogar gefunden. Hier liegt dieses Jahr die größte Überraschung. Getestet wurden:

www.vodafone.de, o2online.de, www.eplus.de, www.base.de

Nachdem O2 letztes Jahr der einzige Lichtblick mit IPv6 gewesen war, wurde dort im Lauf des Jahres IPv6 wieder abgeschaltet. Überraschung!

Shoppingseiten

Hier habe ich die folgenden getestet:

www.amazon.de, www.hse24.de, www.neckermann.de, www.otto.de, www.zalando.de

Alle sind auch in diesem Jahr frei von IPv6-Unterstützung.

Bundesrepublik Deutschland

Zum Abschluß noch ein paar Institutionen der Bundesrepublik Deutschland:

www.bundesregierung.de, www.bundeskanzlerin.de, www.bundespraesident.de, www.bundestag.de, www.bmwi.de, www.bmbf.de

Hier ist wie im Vorjahr kein IPv6-Support erkennbar.

Fazit

Das einzige Unternehmen, bei dem sich etwas in Richtung IPv6 getan hat, ist in diesem Jahr die Porsche AG in Stuttgart. Enttäuscht bin ich von O2, wo der IPv6-Support sogar zurückgezogen wurde. Ein Jammer.

Dieses bei WordPress gehostete Blog kann übrigens leider auch kein IPv6. Hinweise in dieser Richtung könnt ihr euch folglich sparen. 😉

Wenn ihr noch namhafte Seiten kennt, die kürzlich oder gar heute IPv6 aktiviert haben, hinterlasst sie bitte in den Kommentaren.

Historie

Erhobener Bestand um 08:34:27: http://pastebin.com/raw.php?i=K1gL0Jap
Erhobener Bestand am 08.07.: http://pastebin.com/raw.php?i=E7B11rp0 (Ohne IPv6-Adresse für http://www.microsoft.com.)
Unverändert nochmal nachgeschaut am 19.9.: http://pastebin.com/raw.php?i=je0Z51cs

November 26, 2011

IPv6 und Datenschutz

Filed under: Paranoia — Tags: — martin @ 9:27 am

Und nochmal, weil ich das grade so schön auf einer Zeitungswebseite als Kommentar eingetippt habe:

Die dynamische IP-Adresse wurde seinerzeit nicht als Datenschutzmerkmal etabliert, sondern vordergründig, um IP-Adressen zu sparen und hintergründig, um den Betrieb von Serverdiensten an der DSL-Leitung zu erschweren. Diejenigen, die das größte Interesse an dynamischen IPv6-Präfixen haben, sind folglich die DSL-Anbieter selbst.

Wenn sich Datenschützer dieser Forderung anschließen, haben sie sich lediglich auf die falsche Ebene treiben lassen. Was uns heute fehlt, ist ein wirksamer Datenschutz bei Dienstebetreibern im Internet, der nicht durch Hausdurchsuchungen und Beschlagnahmungen unterhöhlt werden kann.

June 8, 2011

IPv6 am Hochtechnologiestandort. Bestandsaufnahme.

Filed under: Internet — Tags: — martin @ 5:40 pm

Anläßlich des heutigen “World IPv6 Day” habe ich mir mal die Mühe gemacht, nachzuschauen, wie es denn so um die IPv6-Unterstützung am Standort Deutschland aussieht. Schließlich sind wir hierzulande ja absolut führend in allem. Und so.

DAX

Der naheliegendste Startpunkt für meine kleine Exkursion waren die Unternehmen aus dem DAX, dem deutschen Aktienindex. Hier habe ich in Handarbeit die folgenden Adressen ausprobiert und ergoogelt, bei denen es sich um die Haupt-Konzernseiten zu handeln scheint. Für diese habe ich dann versucht, im DNS einen sogenannten “AAAA”-Record zu finden, der für die IPv6-Unterstützung nötig gewesen wäre:

www.adidas.com, www.allianz.de, www.basf.com, www.bayer.de, www.beiersdorf.de, www.bmw.de, www.commerzbank.de, www.daimler.com, www.db.com, deutsche-boerse.com, www.telekom.de, www.eon.de, www.fmc-ag.de, www.fresenius.de, www.heidelbergcement.com, www.henkel.de, www.infineon.com, www.k-plus-s.com, www.the-linde-group.com, www.lufthansa.com, www.man.de, www.merck.de, www.metro24.de, www.munichre.com, www.rwe.de, www.sap.com, www.siemens.com, www.thyssenkrupp.com, www.volkswagenag.com

Das doch etwas negativ (zumindest bei SAP hatte ich mir mehr erhofft) überraschende Ergebnis: Keine dieser Seiten hatte IPv6-Unterstützung. (Ob es hierfür “gute” Gründe gibt, wie z.B. fehlende IPv6-Unterstützung bei Akamai und anderen CDNs, habe ich nicht hinterfragt.)

Autohersteller

Unter Rückbesinnung auf die deutschen Tugenden habe ich mich dann mal den Automobilherstellern zugewendet, mit den Domains:

www.audi.de, www.bmw.de, www.opel.de, www.mercedes-benz.de, www.porsche.com, www.volkswagen.de, www.wiesmann.de, www.maybach-manufaktur.com

Ich weiß, daß bei Automobilherstellern hinter verschlossenen Türen unter den Ingenieuren eine überwältigende Technikbegeisterung herrscht, aber leider handelt es sich auch hier um einen Totalausfall beim Thema IPv6.

Telekom

Im Lauf des Tages wurde dann die Erkenntnis auf Twitter herumgereicht, die Deutsche Telekom wäre beim “World IPv6 Day” dabei. Daraufhin habe ich die folgenden Domains angeschaut:

www.telekom.de, www.telekom.com, www.t-online.de, www.t-mobile.de, www.t-systems.de

Von diesen hatte nur eine einen IPv6-Record, und das war www.t-online.de mit der Adresse 2003:2:2:40:62:153:159:92.

Ein Tippgeber aus dem Unternehmen machte mich dann noch auf die folgenden Exoten aufmerksam:

www.wetter.info, www.videoload.de, www.erotic-lounge.com

Diese sind, wie auch t-online.de, mit IPv6 im AS3320 der Deutschen Telekom AG (2003:0000::/20) gehostet.

Mobilfunkprovider

Hier hatte ich mir die folgenden Adressen zusammengestellt:

www.vodafone.de, o2online.de, www.eplus.de, www.base.de

Als einziges bietet hier tatsächlich o2online.de IPv6 mit der Adresse 2a02:3028:0:10::10 an.

Atomkonzerne

Fast schon eine Verzweiflungstat, mit den folgenden zusätzlichen Mitspielern, die nicht von der DAX-Liste abgedeckt waren:

www.enbw.de, www.vattenfall.de

Beide negativ. Okay, wo das Geschäft mit 40 Jahre alten AKWs gemacht wird, darf man keine technologische Führerschaft außerhalb der Kernkompetenzen erwarten.

Shoppingseiten

Na gut, das Auflisten der wichtigsten Shoppingseiten ist jetzt wiederum keine meiner Kernkompetenzen. Bei

www.amazon.de, www.hse24.de, www.neckermann.de, www.otto.de, www.zalando.de

war auf jeden Fall von IPv6-Unterstützung nichts zu sehen.

Bundesrepublik Deutschland

Zum Abschluß noch ein paar Institutionen der Bundesrepublik Deutschland:

www.bundesregierung.de, www.bundeskanzlerin.de, www.bundespraesident.de, www.bundestag.de, www.bmwi.de, www.bmbf.de

Deutschland wäre so gern ein Standort der Hochtechnologie, man wäre so gern führend. Aber diese Führerschaft wird offenbar nur ungern angenommen, wenn sie sich nicht gerade auf jungsteinzeitliche Technologien wie den Verbrennungsmotor und das Atomkraftwerk beschränkt.

Keine der genannten Domains hatte IPv6-Unterstützung.

Gerade vom exemplarisch ausgewählten Ministerium für Bildung und Forschung sowie dem Ministerium für Wirtschaft und Technologie hätte ich mehr erwartet.

Fazit

In Deutschland ist der “World IPv6 Day” in diesem Moment fast vorbei. Er hat vor allem für die Presse und zahllose andere mit IPv4-NAT aufgewachsene Spätzünder dazu hergehalten, die Datenschutzapokalypse für den Fall der flächendecken Einführung von IPv6 herbeizureden. An den allermeisten Unternehmen ist er aber spurlos vorbeigegangen.

Hoffnung machen mir persönlich die Telefongesellschaften und Mobilfunkprovider. Sie wären diejenigen, die auf dümmlich-schmutzige Weise davon profitieren könnten, ihre Kunden für immer hinter obskuren NAT-Konstrukten vom Internet wegzufiltern. Und dennoch sind unter ihnen einige der wenigen, die bereits jetzt mit IPv6 an die Öffentlichkeit gehen.

Besonders positiv fiel hier O2 auf, die offensiv IPv6 auf der Homepage einsetzen. Die Deutsche Telekom sollte da ruhig nachziehen und einen etwas progressiveren Umgang mit der Technik pflegen, die sie ja offensichtlich schon ganz gut beherrscht.

February 24, 2011

6 months with IPv6

Filed under: Internet — Tags: — martin @ 8:16 am

It’s been half a year since I took my first baby steps with IPv6. Time for an update.

I still run my SixXS tunnel at home, which has been working all the time without any noticeable flaw whatsoever.

The ISP at my principal hosting site is badly underperforming. Despite their glorious IPv6 announcements in Summer of 2010, they still can’t deliver native IPv6. They can’t even offer a local tunnel while they don’t have IPv6 on their delivery infrastructure. Planned arrival is pushed ahead quarter by quarter. Very sad story.

I still use tunnelled IPv6 from Hurricane Electric‘s POP in Frankfurt. Which magically locks me out from German IPv6 IRCnet servers, as he.net are an American company. It’s a mystery to me why IRCnet operators are making such a fuss about IPv6. Welcome to the world of tomorrow, guys!

My office and the hosting site have always been connected by a VPN. Through this IPv4 VPN, I have lately set up a 6in4 tunnel that directly connects both sites, to maintain IPv6 connectivity in case one of the tunnels goes down.

With my ISP being such a letdown, I have started to run production traffic through he.net: DNS, SMTP, HTTP. The number of e-mail arriving via IPv6 is very low, though. I currently count a maximum of 10 business e-mails to my clients arriving via IPv6 every day (most of them from France, surprisingly), plus of course countless mails from “scene” (so to speak) mailing lists that deliver via IPv6.

Considering that my only connectivity is a tunnel, it’s a bit too early to globally deploy IPv6 for HTTP. Only a few selected websites already are on IPv6. Most notably, I have a WordPress installation where the SSL certificate for administration is only deployed on IPv6. The notorious shortage of IP addresses for SSL simply no longer exists in that world. 🙂 My principal company webpage is on IPv6 as well.

E-Mail from the hosting site to the office is being routed through IPv6+TLS. Nothing much to say about that. It just works as expected.

Routing is the great new thing anyway. “Offical” addressing on all systems, without nasty stuff like NAT in the game, is incredible. Open up a port in the Firewall and things just magically begin to work without the need to think around corners. Decide to connect a remote network via VPN? No problem, all addressing stays the same, because there is no difference between “external” and “internal” addressing. This is what IP must have been like before it turned into an unmanagable pile of dung. Which must have been long before I joined the Internet for the first time.

I wonder what will happen when the end-user ISPs, in my case: Deutsche Telekom, start delivering IPv6. What ways will they think of to ruin the great experience that I now have with SixXS and my static /48 network?

September 2, 2010

Getting the Postfix MTA onto IPv6

Filed under: Internet — Tags: , — martin @ 6:45 am

This is simple. Postfix native IPv6 support was introduced in Version 2.2, which was released around the year 2005. So unless you are running an extremely outdated operating system, your Postfix MTA will be ready for IPv6. (Original Postfix IPv6 docs are here.)

The changes required to the Postfix main.cf are extremely basic:

# Tell Postfix to use IPv6:
inet_protocols = ipv4,ipv6
# Add the equivalents to your existing IPv4 setup to mynetworks
mynetworks = 127.0.0.1/32 1.2.3.0/24 [::1]/128 [2001:db8:dead:beef::]/64
# This will be required if you need to override an autoconfed address
# (for outbound connections):
smtp_bind_address6=2001:db8:dead:beef::deca:fbad

After this, stop and start Postfix. A postfix reload alone will not bind to the new IPv6 interface.

After local testing, set up an additional AAAA record for your mailexchanger:

   MX 10 mx.example.com.
mx A 1.2.3.2
; The new record:
mx AAAA 2001:db8:dead:beef::deca:fbad

Don’t forget that you must, as always, set up proper forward and reverse DNS for your MX. Implement this at the same risk as if you were moving to a new IPv4 address.

Not long after the AAAA record is in place, you should see the spambots trying to deliver mail via IPv6, and Postfix will start to use IPv6 for outbound e-mail automatically if it can find a remote IPv6 MX. Which will be the case rather sooner than later.

See? You may still be an early adopter now, but you surely aren’t a pioneer living on the most remote corner of the net. I, for one, now have customers who use proper IPv6 e-mail without even knowing. 🙂

September 1, 2010

IPv6

Filed under: Internet — Tags: — martin @ 7:54 am

On a whim, I decided to deploy IPv6. And all I can say is: It’s a lot easier than you think. I’m writing down a few notes here from the non-network-engineer’s point of view. This is supposed to be the first from a series of postings about my IPv6 deployment.

The Tunnel

Unless you’re hosted at an ISP that already supports IPv6, you’ll need a tunnel provider for tunnelled IPv6 access. Getting and configuring the tunnel is the hardest part of joining the IPv6 internet, but fear not, the tunnel providers have very good configuration tools to assist you.

I started out by registering with SixXS. They have a somewhat restrictive registration procedure, so it took me about 24 hours until I could finally request my tunnel for the home DSL connection. Setting up the tunnel using the AICCU application that was prepackaged on my OpenBSD firewall was a matter of minutes. Also, it was one of the rare occurences where things worked perfectly right at the first attempt. The tunnel was up immediately after the first start of the AICCU daemon.

Unfortunately, I didn’t have enough funny SixXS credits left after that and could not request a subnet, so all I had to work with was my IPv6 tunnel endpoint. This was not too satisfactory, so I, naively, started to configure NAT in OpenBSD’s pf.conf, which, much to my surprise and in contradiction to everything that’s being said on the net, worked immediately.

Choosing a Private Subnet

Choosing the IPv6 subnet for my internal network was unneccessarily hard. I went through several iterations of fec0::/10 “site local unicast” addresses, experimenting with /96, /112 and /120 subnets that seemed to be appropriate for what I run in my little office. In the end, I went with a “unique local unicast” /64 /48 subnet from the fd00::/8 range that I generated randomly at the SixXS unique local address registry.

Updated to add: Forget it. Use the subnet that the tunnel provider assigns to you. Don’t waste time applying IPv4 paradigms to your network by using “private” IP addresses. Remember to use a /64 subnet in order for autoconfiguration to work.

Autoconfiguration

Autoconfiguration of IPv6 clients works ad-hoc if the network uses a /64 prefix and the router responds to router solicitation requests. In the case of my OpenBSD firewall, I only had to run rtadvd and all clients autoconfigured their IPv6 immediately. DHCPv6 is only required if extended network attributes such as the DNS server need to be propagated to the clients. This is currently handled in IPv4 by DNSmasq at my site, so there is no need for DHCPv6 at the moment.

More Tunnels

After I had my DSL on IPv6, I wanted to move on to my hosting sites in USA and Europe, where there is no IPv6 available yet. For this purpose, I registered at Hurricane Electric’s Tunnelbroker service. The people at he.net are less discriminating than SixXS and will instantly give you a tunnel and a /64 subnet. They don’t provide a nice configuration utility such as AICCU, but generate the required tunnel configuration commands for every known relevant OS so they can readily be pasted into some local startup file.

An important difference between he.net and SixXS is that the tunnels from he.net can be initiated from both ends of the connection, so it’s important to open the firewall on the local tunnel endpoint for proto 41 (not port 41) from the remote endpoint.

Summary for now

If you have a dynamic IP address, sit tight and wait for the unconventional SixXS registration procedure to complete, as they explicitly support dynamic tunnels.

If you are on a static IP address, get instant IPv6 from he.net.

Once the tunnels are configured, everything in IPv6 works straighforward. Lots of experience with IPv4 may be helpful, but on the other hand, this experience might turn out to be a problem if you try to apply IPv4 paradigms such as tight subnets or NAT to the IPv6 world.

IPv6 is supported in every common client and server application and addressing works just as in IPv4, only with different notation.

IPv6 address records in DNS are of the AAAA type; everything else, such as MX records, works just like in IPv4. If you have experience with these in IPv4, you will easily find your way in IPv6.

As I said: It’s a lot easier than you think.

March 16, 2008

Netz ohne IPv4? Was passieren muß:

Filed under: Internet — Tags: — martin @ 7:37 am

Heise berichtet über eine Konferenz auf der testweise IPv4 abgeschaltet wurde, um das Netz mal mit den Augen eines reines IPv6-Nutzers zu sehen:

Besonders bemerkenswert war nach Ansicht von Dittler letztlich, wie rasch ein Anbieter wie Google ein IPv6-Angebot einrichten kann. Die Trefferlisten erwiesen sich aber als wenig hilfreich, weil kaum eine der gelisteten Seiten über reines IPv6 erreichbar war.

1997, vor 11 Jahren, kam ich als blutjunger IT-Contractor (damals noch für “Windows”, obwohl ich bereits zwei Linux-Server am Start hatte) zu einem Kunden, wo ein euphorischer junger Mann rumlief, der grade seine daumendicke Diplomarbeit über IPv6 fertiggeschrieben hatte und jedem davon erzählte, wie toll das alles bald werden würde. “Toll”, dachte ich in einem sehr frühen Anflug von Altersstarrsinn, “jetzt hast Du dieses TCP/IP grade mal so verstanden und darfst demnächst schon wieder umlernen.”

11 Jahre ist das her, und vom Umlernen keine Spur. Ich bin mal gespannt, wie lange es noch dauern wird, bis ich wirklich mal einen nicht einmal praxisbezogenen, sondern zumindest halbwegs nutzbaren Anreiz finde, mit IPv6 zu spielen. Solange man, um mit IPv6 zu experimentieren, irgendwelche Tunnels über IPv4 aufsetzen muß, kommt das ganze jedenfalls als Thema daher, das nur für Hardcore-Netzwerker zu Studienzwecken interessant zu sein scheint.

Im Heise-Artikel geht’s weiter:

Gerade große Portale oder Social Networking Seiten seien aufgefordert, den Schritt zu IPv6 jetzt vorzubereiten.

Glückliche Menschen, die Hand in Hand über Blumenwiesen tanzen? So ein Schwachsinn, Mensch. Ficken, Ficken, Ficken! Wenn irgendjemand etwas tun könnte, um IPv6 nach vorn zu helfen, dann wären das natürlich Pornographen und File-Sharer. Wenn sich herumspräche, daß irgendwo ein Schatten-P2P-Netzwerk voller Schweinkram existiert, das von Netzwerk-Gurus mit IPv6 auf fetten Internetleitungen betrieben wird, würde das innerhalb weniger Monate den Durchbruch für IPv6 bringen.

Create a free website or blog at WordPress.com.