6to4

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
IPv6-Übergangsmechanismen
4in6 Tunneling von IPv4 in IPv6
6in4 Tunneling von IPv6 in IPv4
6over4 Transport von IPv6-Datenpaketen zwischen Dual-Stack Knoten über ein IPv4-Netzwerk
6to4 Transport von IPv6-Datenpaketen über ein IPv4-Netzwerk (veraltet)
AYIYA Anything In Anything
Dual-Stack Netzknoten mit IPv4 und IPv6 im Parallelbetrieb
Dual-Stack Lite Wie Dual-Stack, jedoch mit globaler IPv6 und Carrier-NAT IPv4
6rd IPv6 rapid deployment
ISATAP Intra-Site Automatic Tunnel Addressing Protocol (veraltet)
Teredo Kapselung von IPv6-Datenpaketen in IPv4-UDP-Datenpaketen
NAT64 Übersetzung von IPv4-Adressen in IPv6-Adressen
464XLAT Übersetzung von IPv4- in IPv6- in IPv4-Adressen
SIIT Stateless IP/ICMP Translation

6to4 (auch STF oder 6 to 4 genannt) war ein IPv6-Übergangsmechanismus. Hierbei wurden Tunnel im Internet aufgebaut, um IPv6-Pakete über IPv4 transportieren zu können.

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Bei 6to4 wurde auf jede IPv4-Adresse ein /48 großes IPv6-Netz abgebildet. Das IPv6-Präfix setzte sich aus dem Präfix 2002 und der hexadezimal notierten IPv4-Adresse zusammen. Umsetzung der IPv4-Adresse 100.200.100.200 Der lokale Host oder Router mit öffentlicher IPv4-Adresse schachtelte ein IPv6-Paket in ein IPv4-Paket. Sollte das Paket ein natives IPv6 Netz erreichen, wurde es an ein 6to4-Relay geschickt. Dort wurde das IPv6-Paket wieder ausgepackt und ans Ziel geschickt. Sendete der entfernte Host etwas zum lokalen Host zurück, wurde das Paket nicht zwingend wieder über dasselbe 6to4-Relay geleitet, sondern konnte über jedes beliebige 6to4-Relay geroutet werden.

Pakete, die an IPv6-Adressen aus diesem Netz gesendet wurden, konnten eindeutig zugeordnet werden. Aufgrund des Präfix 2002 wurden sie an ein 6to4-Relay geleitet und von dort aus wurde anhand der IPv4-Adresse, die aus der IPv6-Adresse abgeleitet werden konnte, das Paket wieder zum lokalen Host und gegebenenfalls von dort aus zu einem Host im dahinter liegenden IPv6-Netz geleitet.

Öffentliche 6to4-Relays stellten einfache Zugänge ins IPv6-Netz dar, die keiner Anmeldung bedurften und von allen genutzt werden konnten.

Zur weiteren Vereinfachung musste der Benutzer nicht explizit die IPv4-Adresse eines 6to4-Relays ermitteln, sondern konnte über die Anycast-Adresse 192.88.99.1 (bzw. 2002:c058:6301::) das nächste öffentliche 6to4-Relay [1]erreichen.

Reverse DNS[Bearbeiten | Quelltext bearbeiten]

Über ein Webinterface bei der Number Resource Organization gab es die Möglichkeit, die passende reverse Domäne für den 48-Bit-Präfix unter 2.0.0.2.ip6.arpa auf einen eigenen Nameserver zu delegieren.[2] Dies war jedoch nur sinnvoll, wenn man eine permanent zugewiesene IPv4-Adresse nutzte und keine dynamische IPv4-Adresse von einem Provider zugewiesen bekam.

Sicherheitsaspekte[Bearbeiten | Quelltext bearbeiten]

Bei der Verwendung von 6to4 waren einige Sicherheitsaspekte zu beachten. Aufgrund der offenen Architektur musste ein 6to4-Host beziehungsweise -Router gekapselte Pakete von allen IPv4-Adressen empfangen und verarbeiten. Dadurch war beispielsweise ein IP-Spoofing einfach zu bewerkstelligen.

Sicherheitshinweise zum Betrieb eines 6to4-Hosts, -Routers oder -Relays sind in RFC 3964 beschrieben.

Datenschutzaspekte[Bearbeiten | Quelltext bearbeiten]

IP-Adressen gelten nach höchstrichterlicher Rechtsprechung als personenbezogene Daten, da mit ihnen ein Personenbezug (zumindest zum Anschlussinhaber) hergestellt werden kann. Bei der Verarbeitung von IP-Adressen dürfen daher, nach Ansicht des Düsseldorfer Kreises, nur gekürzte Adressen verwendet werden, das heißt, dass beispielsweise das letzte Oktett einer IPv4-Adresse ausgenullt wird, so dass kein Personenbezug mehr herstellbar ist, andere IP-adress-basierte Dienste, wie beispielsweise Geolokation, aber weiterhin möglich bleiben.

Bei IPv6-Adressen wird ein Kürzen auf maximal 40 Bit empfohlen.[3] Es blieben somit nach dem 16-Bit-Präfix 2002 noch die obersten 24 Bit der IPv4-Adresse des Anschlussinhabers übrig, womit kein Personenbezug mehr herstellbar sein soll.

Probleme für den Benutzer[Bearbeiten | Quelltext bearbeiten]

Aufgrund der Fehlerrate der 6to4-Umsetzung durch Verwendung des Anycasts schienen diverse Inhalte über IPv6 schlecht erreichbar. Eine scheinbare Lösung für den Endbenutzer bestand dann darin, IPv6 zu deaktivieren, wodurch die weitere Verbreitung von IPv6 behindert wurde. Im technischen Dokument RFC 7526 wird daher empfohlen, 6to4 Anycast nicht mehr zu verwenden. Abhilfe bei der Verwendung von 6to4 bot der "Happy-Eyeballs"-Algorithmus, der in RFC 6555 beschrieben ist und von mehreren Browsern eingesetzt wird. Dabei wird eine Website sowohl über IPv4 als auch IPv6 adressiert und die erste Antwort verwendet.

Alternativen[Bearbeiten | Quelltext bearbeiten]

Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem

Ein Vergleich der Tunnelmechanismen findet sich unter IPv6#Tunnelmechanismen.

Aktuelle VPN-Software kann ebenfalls zum Tunneln von IPv6 über IPv4 und umgekehrt eingesetzt werden, z.B. Cisco AnyConnect oder OpenVPN.

Literatur[Bearbeiten | Quelltext bearbeiten]

  • 6to4, Kapitel in Understanding IPv6 (S. 295–316) von Joseph Davies. Microsoft Press, 2. Auflage, Redmond 2008. (englisch)

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. RFC 7526, Anycast Server historisch
  2. http://6to4.nro.net/
  3. Archivlink (Memento des Originals vom 11. Dezember 2013 im Internet Archive) i Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe den Link gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.ldi.nrw.de

Weblinks[Bearbeiten | Quelltext bearbeiten]