News items for tag ipv6 - Koos van den Hout

Goed nieuws van mijn favoriete provider xs4all: 26 augustus 2010 Vanaf vandaag: IPv6 voor iedereen.

Uit het persbericht:

XS4ALL MAAKT ALS EERSTE IPv6 VOOR ALLE KLANTEN BESCHIKBAAR

Vanaf vandaag start XS4ALL officieel met het leveren van IPv6. De huidige internetadressen (IPv4) zullen naar verwachting binnen een jaar op zijn en de provider werkt daarom al geruime tijd aan implementatie van het nieuwe protocol IPv6. Wanneer de wereldwijde voorraad IPv4-adressen straks uitgeput is, kunnen nieuwe verbindingen en diensten alleen via IPv6 op internet worden aangesloten. XS4ALL biedt haar klanten de gelegenheid zich daarop nu al voor te bereiden.

Het inschakelen van IPv6 op een xs4all DSL aansluiting is nu gewoon een kwestie van een vinkje in het servicecentrum. IPv6 nu al voor iedereen mogelijk bij XS4ALL - XS4ALL nieuws

Gefeliciteerd xs4all!

When I want to make IPv4-legacy-only services available via IPv6 there are some options: an application-specific proxy like the prolocation ipv6 proxy based on squid. A number of high-profile sites are available this way, including for example:

$ host www.spitsnieuws.nl
www.spitsnieuws.nl is an alias for spitsnieuws.nl.
spitsnieuws.nl has address 81.173.64.62
spitsnieuws.nl has IPv6 address 2a00:d00:ff:131:94:228:131:131
spitsnieuws.nl mail is handled by 100 smtpscan-nl1.telegraaf.nl.
spitsnieuws.nl mail is handled by 100 smtpscan-nl2.telegraaf.nl.

But that is web-only. And with some reloads I can make it show a http 503 proxy error which is not the answer I want to see on a high-profile website like www.spitsniews.nl as a visitor, let alone as the owner of the site or the advertiser.

Something I have mentioned before: if you want to implement IPv6 correctly, give it the same amount of monitoring and care as IPv4. Otherwise you're making yourself hard to reach for IPv6-enabled visitors which may damage either your website image or the image of IPv6. Both are bad.

The other option is not the application proxy but address translation. With IPv6 allocations every IPv6 end-user gets enough address space to map the entire IPv4 Internet. I have been thinking about that option for a while and then I came across NAT is evil - www.me.uk RevK's rants. Not IPv4 NAT as we know it, but NAT64 translating IPv6 address space to IPv4 address space. The trick or treat daemon mentioned in the article is the nameserver part for doing DNS64.

But the hard translating work will need to be done in pTRTd, the Portable Transport Relay Translator Daemon.

The default is dangerous from a firewall perspective: you still set up a proxy for the entire IPv4 address space. But with some serious firewall rules on the IPv6 side (default drop and only allow certain addresses and services). I could see an option to do some experimenting with this at work, very carefully selecting certain outward facing services, setting up the firewall and publishing the AAAA records in DNS.

Yes, NAT is evil. NAT64 is evil too, it hides the entire IPv6 Internet behind one IPv4 address without any headers to indicate what the original address was (which the squid proxy solution does offer). But that is one more incentive to upgrade the service to native IPv6 connectivity.

Het laatste nummer van het c't magazine voor computer techniek heeft een mooie advertentie achterop van hetzner hosting waarin ze root servers (in duitsland gebruikte term voor dedicated servers die niet gevirtualiseerd zijn en waar je dus toegang hebt tot de hardware) aanbieden. Met gewoon "IPv6 Running" in de advertentie.

Goed om te zien dat bedrijven die op grote schaal actief zijn op Internet ook IPv6 serieus gaan nemen, het implementeren en er dan ook gewoon mee gaan adverteren.

Ik heb nu alles gemigreerd naar de native IPv6. Nouja, bijna alles: via rulebased routing worden wat openstaande tcp sockets op tunnel adressen nog afgehandeld via de tunnel. Vooral irc is goed in het langdurig openhouden van tcp sockets. En die verbindingen wil ik natuurlijk niet stukmaken.

Kleine ergernis blijft dat netstat -n numerieke IPv6 adressen blijft afkappen.

Ondertussen heeft de support van epag de IPv6 nameserver records bijgewerkt:

   Server Name: NS2.IDEFIX.NET
   IP Address: 2001:980:14CA:42:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH
   Whois Server: whois.enterprice.net
   Referral URL: http://www.enterprice.net

   Server Name: NS2.VANDENHOUT.COM
   IP Address: 2001:980:14CA:42:0:0:0:694
   IP Address: 82.95.196.202
   Registrar: EPAG DOMAINSERVICES GMBH
   Whois Server: whois.enterprice.net
   Referral URL: http://www.enterprice.net

dus nu heb ik alle nameserver adressen over naar de nieuwe adresreeks. Alle IPv6 adressen in alle DNS zones zijn over, dus nu is het 'afbouwen'. Ik moet voor wat nntp over IPv6 verkeer nog even de 'oude' uitgaande adressen gebruiken maar zodra dat over is zal het verkeer over de IPv6 tunnel minimaal zijn. Niet 0: er staan wat langdurige tcp sockets open. Die laat ik vooral lekker doorlopen, dus het zal nog even duren eer de IPv6 tunnel definitief uit kan.

De 'geschiedenis' van mijn ipv6 tunnel is ook wel leuk:

• Op 25 september 2001 had ik een xs4all aansluiting
• Op 27 september 2001 had ik de adsl tunnel aan de gang .. tunnel 17 van de nu naar schatting ruim 4300.

Native IPv6 over ppp-gebaseerde aansluitingen duurde dus nog bijna 9 jaar. Misschien is de 9e verjaardag een mooi moment voor het afsluiten.

Erik Huizer doet een stevige uitspraak over IPv6 invoering in 'Deel ISP's gaat failliet aan IPv6':

Het zou de voorzitter van de IPv6 Task Force 'niet verbazen' wanneer een aantal ISP's 'op zijn minst klanten op verliezen en op een gegeven moment failliet gaan. Als je als service provider op dit moment nog niet bezig bent met IPv6 dan ben je geen knip voor je neus waard. Dan ben je echt te laat.

Misschien dat er bij wat bedrijven toch iemand wakker schrikt en zich afvraagt hoe de IPv6 voortgang is.

Vandaag was de grote omnummeractie van de xs4all IPv6 proef. De IPv6 range die ik nu thuis gekregen heb is 'stabiel'. Nouja, tot aan verhuizingen en hernummer acties, dus even stabiel als de IPv4 toewijzing en garantie tot aan de bekende deur.

Maar nu ben ik dus alles thuis gaan omnummeren naar de nieuwe IPv6 range. Nog heel wat werk, de IPv6 adressen stonden op heel wat plekken al ingevoerd.

Toch wil ik de 'native' IPv6 gaan gebruiken, dat heeft de toekomst.

Het voordeel van IPv6 is natuurlijk dat je thuis bijna ongelimiteerde aantallen adressen hebt. En dat is bij een beetje leuke setup ook een nadeel. Ik heb maar een extra interface aangemaakt op de server waar alle 'services' IPv6 adressen aanhangen. Aan de ppp interface hangen is niet zo handig: die verdwijnt en verschijnt als de ADSL lijn serieus 'hik' doet en dan zijn alle specifieke bindings ook weer stuk. Er is nu op de server gewoon een eth0.42 waarop alle 'service' IPv6 adressen toegevoegd zijn zijn, zowel de nieuwe als de oude. Alle nieuwe 'service' adressen zijn natuurlijk niet meer in eenzelfde /64 als in gebruik op een andere interface.

Enfin, het belangrijkste:

$ dig +short idefix.net aaaa
2001:980:14ca:42::18

En natuurlijk, via de nieuwe verbinding:

$ ping6 -nc 5 ping6.xs4all.nl
PING ping6.xs4all.nl(2001:888:0:1::666) 56 data bytes
64 bytes from 2001:888:0:1::666: icmp_seq=1 ttl=61 time=28.0 ms
64 bytes from 2001:888:0:1::666: icmp_seq=2 ttl=61 time=28.3 ms
64 bytes from 2001:888:0:1::666: icmp_seq=3 ttl=61 time=17.2 ms
64 bytes from 2001:888:0:1::666: icmp_seq=4 ttl=61 time=17.1 ms
64 bytes from 2001:888:0:1::666: icmp_seq=5 ttl=61 time=17.1 ms

--- ping6.xs4all.nl ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 17.151/21.600/28.322/5.393 ms

There is an interesting relation between 'website with technical subject' and 'visitors with IPv6'. I counted the number of unique addresses of visitors via IPv6 to several websites I run for the month of July 2010 and found the following percentages:

• http://weather.idefix.net/ weather maps : 5% (1%)
• http://pictures.idefix.net/ pictures : 4% (2%)
• http://idefix.net/ my homepage : 2% (1%)
• http://netwerk.pcgg.nl/ hcc!pcgg netwerkgroep : 2% (2%)
• http://bbs.idefix.net/ BBS files : 1%
• http://webcam.idefix.net/ the webcam : <1%
• http://www.virtualbookcase.com/ The Virtual Bookcase : < 1%
• http://www.camp-wireless.org/ Camp Wireless : < 1%

Comparing it to July 2009 (percentages between parentheses) does show growth.

Again and again you see responses to IPv4-will-run-out stories like "but what if we reclaim space from ..." or "but what if we use more NAT". I found one of the best answers to all of these:

Optimizing the utilization of less than 25% of the address space in the face of the consumption rate on the 75% side simply cannot yield a meaningful result. It really is akin to rearranging the deck chairs on the Titanic.

Source: Re: Rate of growth on IPv6 not fast enough? and used several times before on IPv6 mailing lists.

Blijkbaar is Nederland goed kwa IPv6 voorbereidingen, maar gemiddeld kwa echte uitrol, volgens onderzoek door TNO: IPv6 Monitoring in Nederland: De Nulmeting.

Conclusies:

In vergelijking met ons omringende landen loopt Nederland mee in de voorhoede als het gaat om voorbereidingen voor de uitrol van IPv6. Nederland presteert gemiddeld als het gaat om de daadwerkelijke uitrol van IPv6.

En voor bijna ISPs om over na te denken en dan ook vooral iets mee te doen:

Indien aangenomen wordt dat de IPv4 adressen opraken tussen september 2011 en november 2012 dan is de voornaamste zorg het kunnen bieden van een IPv6 verbinding aan eindgebruikers.

Wanneer gaat uw ISP IPv6 aanbieden?

According to Google finally indexing the IPv6 internet - Fix6 the first sightings have been done of a googlebot with an IPv6 address. My IPv6-reachable websites haven't been blessed by a visit from the IPv6 googlebot yet. What will googlebot do when I post a link to http://[2001:980:14ca:42::18] ?

And on a different note about google: last year I noticed googledns did not give out AAAA records for www.google.com. I retested it and found it (now?) depends on where you ask. At a place not in the google IPv6 program:

koos@kolham:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.
koos@kolham:~$ dig +short @8.8.4.4 www.google.com aaaa
www.l.google.com.
koos@kolham:~$ 

And at a place in the google IPv6 program:

koos@greenblatt:~$ dig +short @8.8.8.8 www.google.com aaaa
www.l.google.com.
2a00:1450:8001::63
koos@greenblatt:~$ dig +short @8.8.4.4 www.google.com aaaa
www.l.google.com.
2a00:1450:8001::63
koos@greenblatt:~$ 

Yes, that first place needs to turn their plans about IPv6 into doing something with it.

Even een warm hart toedragen aan de goede zaak:

Persbericht IPv6 taskforce

Donderdag 25 november worden voor de tweede keer de IPv6 Awards uitgereikt aan de beste Nederlandse implementaties. Als IPv6 Task Force roepen wij bedrijven, internet service providers, overheden, onderwijsinstellingen en ook particulieren op zich aan te melden voor de IPv6 awards 2010. Heeft u een toepassing op het gebied van IPv6 geïmplementeerd? Schrijf u dan voor 1 november in voor de IPv6 Awards 2010 en maak kans op een mooie prijs!

Prijzen per categorie

• Bedrijfsleven: €10.000,-
• Overheid & Not for profit: winnaar van deze categorie ontvangt een week senior consultancy, vrij opneembaar
• Onderwijs & onderzoeksinstellingen: €15.000,-
• Internet Service Providers: €15.000,-
• Particulieren: winnaar van deze categorie ontvangt een laptop met gratis gebruik van één jaar mobiel internet en KPN Hotspots
• Publicatie & onderzoekscurriculum: winnaar van deze categorie ontvangt een laptop met gratis gebruik van één jaar mobiel internet en KPN Hotspots

Bij het selecteren van de winnaars zal de jury letten op motivatie, relevantie, toewijding, implementatie en impact. De prijzen zijn beschikbaar gesteld door: KPN, Stichting NLnet, SIDN, Stratix, SURFnet, XS4ALL

De uitreiking van de awards zal plaatsvinden op donderdag 25 november tijdens het ECP-EPN jaarcongres in het Fortis Circus theater in Scheveningen. Voor meer informatie over de IPv6 awards of om direct in te schrijven: http://www.ipv6-taskforce.nl/awards/.

Noodzakelijke overstap naar IPv6

Door een alsmaar grootschaliger gebruik van het internet raken de huidige adresreeksen op hetinternet (IPv4) in 2011 op. Om ervoor te zorgen dat dit niet tot problemen leidt is er een nieuw adressysteem, genaamd IPv6, bedacht. Het is belangrijk dat Nederlandse bedrijven, internet service providers, overheden, onderwijsinstellingen en ook particulieren gaan beseffen dat de overstap naar dit nieuwe adressysteem noodzakelijk is en dat zij tijdig maatregelen kunnen en moeten nemen om de overstap naar IPv6 mogelijk te maken (en de kosten onder controle te houden). Goede implementaties van IPv6 kunnen volgens de IPv6 Task Force een voorbeeldfunctie hebben.

The Hurricane Electric IPv4 Exhaustion Counter on this page has dropped below 365 days. What does this mean exactly?

At the end of that period there will be no more IPv4 address blocks to give out to the several Regional Internet Registries. But those have their own buffers so it won't be all over at that moment (and the IPv4 Internet will not stop functioning either).

What will happen is that when those buffers run out the moment will come that one of those Regional Internet Registries will have to answer "NO, not available" to a request for IPv4 space. The timeframe at which this will happen may vary between months (APNIC, Asia-Pacific region) and years (AfriNIC, Africa) given the current rates. What this will mean is a situation where IPv6 is the only working way to give new systems on the Internet working unique addresses. Will the world be ready for this moment? Probably not.

A sort-of information leak showing the link between IPv4 and IPv6 addresses (if you had any hope the link between those might be a secret):

Jul  8 15:15:25 abaris named[5327]: client 2001:470:xxxx:xxxx::2#33086: received notify for zone 'ckts.info'
Jul  8 15:15:25 abaris named[5327]: zone ckts.info/IN: refused notify from non-master: 2001:470:xxxx:xxxx::2#33086
Jul  8 15:15:25 abaris named[5327]: client 68.178.91.34#33085: received notify for zone 'ckts.info'
Jul  8 15:15:25 abaris named[5327]: zone ckts.info/IN: refused notify from non-master: 68.178.91.34#33085

Timing and portnumbers make it quite visible that those addresses are in use by the same machine. Other protocols can probably give the same results, for example with http and cookies I could link IPv4 and IPv6 addresses.

A problem? Not to me. Privacy by obscurity? Don't expect it.

The vision of T-mobile USA for the near future: IPv6 is the network protocol, IPv4 is "legacy" and will be hidden behind NAT64 gateways. Content providers better take note:

"Our users are going to access your content over IPv6. The only relevant question is 'will we make the AAAA record or will you?' Wouldn't you rather be the one to do it so you have control?"

Time for content-providers to think about IPv6 strategy. Via T-Mobile is pushing IPv6. Hard. - Living with IPv6.

Thinkbroadband, a site about ADSL/cable internet in the UK asked UK broadband providers about IPv6 and got some interesting answers, including:

"[IPv6] has not been released in the market"
"We support IP version 5, but I'm not too sure about 6"
"[We] would advise you to use version 4 [..] Version 6 never always works"

These are the companies which will face the IPv4 address shortage when you want a connection. Ok, these answers are from the support desk and not from network design but still...

Found via Broadband providers & router manufacturers failing to support IPv6 - Fix6.

You can now lose your privacy on facebook via IPv6 too! http://www.v6.facebook.com/. It won't make me visit facebook but it is good when such a popular service starts offering IPv6 connectivity. Facebook is also probably a big customer of load balancers and they can use that power to improve IPv6-capable load balancers. First spotted at Facebook over IPv6 - Fix6 IPv6 news and info.

Marco Hogewoning presented the IPv6 CPE survey at the recent RIPE Meeting in Prague. RIPE Labs now has the results on-line: IPv6 CPE Survey, what equipment is available at the moment to get IPv6 at home and what is it compatible with. There is a scary story in the lack of width of the resulting matrix: only a few vendors support IPv6 and not the ones (Alcatel / Speedtouch / Thomson / Technicolor or whatever they are called today) which produce the really big numbers.

Via de xs4all native IPv6 test komt ook voorbij dat er nu diensten getest worden met IPv6. radio-streams.net geeft voor gebruikers en makers van radio-streams aan wat IPv6 betekent voor ze en heeft een aantal teststreams on-line. Italo en 80s muziek via IPv6!

IP version 6 has grown up: I just noticed the first ipv6 firewall log entries which I did not cause with my own testing:

SRC=2002:915e:bf90:000d:f9c9:eab8:7632:0f6d DST=2001:0888:1011:0000:0000:0000:0000:0694 LEN=72 TC=0 HOPLIMIT=120 FLOWLBL=0 PROTO=TCP SPT=49494 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0

A 6to4 IPv6 address trying something stupid with windows filesharing. IPv6 has grown up!