Am 08.02.19 um 20:45 schrieb Stephan von Krawczynski:

On Fri, 8 Feb 2019 17:37:42 +0100 Marcus Graf <m.graf@shoplogistics.de> wrote:

...

Am 08.02.19 um 16:12 schrieb Stephan von Krawczynski:

...

On Fri, 8 Feb 2019 14:20:08 +0100 Martin Schröder <martin@oneiros.de> wrote:

Das Argument hast Du natuerlich weggekuerzt, ist ja auch schlecht wenn man kein Gegenargument hat. IPV6 ist endlich und deshalb keine Loesung fuer ausgehende IP-Adressen. Moin, moin,

ja, auch IPv6 ist endlich...

... aber wenn man sich mal die Zahlen genauer anschaut, sollte klar werden, dass das Problem ausgehender IP-Adressen damit *nicht* nur "ein paar Jahre" in die Zukunft verschoben wurde.

IPv4 hat 2^32 Adressen (ok, wegen Multicast, localnet usw. nicht alle nutzbar)

(Diese Sonderbereiche lasse ich bei IPv6 auch außen vor. Damit ist die folgende Rechnung nicht ganz exakt, aber es geht ja auch nur um die Größenordnungen.)

Bei IPv6 vergibt man statt einer einzelnen Adresse ein oder mehrere /64 Subnets an den User. Jeder Enduser (Firma oder Privatperson) hat damit mindestens 2^64 Adressen - das gesamt bisherige Internet im Quadrat - für seine lokale Adressierung zur Verfügung. Ich kann mir nicht vorstellen, dass das jemand in seinem lokalen Netz jemals wirklich ausnutzen kann. Auch wenn sich das IoT ganz massiv ausdehnt, wird in absehbarer Zeit niemand im Wohnzimmer ein Netz von der Größe des heutigen Internet haben - und selbst dann wäre das in lokale Netz nur zu einem verschwindend kleinen Bruchteil genutzt.

Damit hat sich auch der Bedarf für NAT beim Enduser eigentlich erledigt. (Ok, es gibt andere Argumente für NAT, aber Adressknappheit fällt als Argument zukünftig aus.)

Wenn man an Privatuser /64er Netze vergibt, hat man 2^64 Netze - d.h. die Anzahl der möglichen Anschlüsse ist 2^32 (~ 4 Milliarden) mal so hoch wie bisher bei IPv4.

An Firmen werden heute oft /56er Netze vergeben - auch damit ist die Anzahl der möglichen Anschlüsse noch 2^24 (~ 16 Millionen) mal so hoch wie bisher bei IPv4.

Mal angenommen, die Bevölkerung würde von derzeit knapp 8 Milliarden um den Faktor 1000 auf 8 Billionen zunehmen (vielleicht nicht nur hier auf der Erde) und wir geben jedem /56er Subnetze, dann komme ich überschlagsmäßig immer noch auf rund 9000 mögliche Anschlüsse (mit jeweils 256 /64er Subnetzen) pro User.

(Natürlich hinkt diese Rechnung wie jede Überschlagsrechnung. Aber die reine Größenordnung der Zahlen sollte klar machen, dass hier auch bei heftigen Reibungsverlusten (selbst in der unrealistischen Größenordnung von Faktor 100) noch sehr viel Luft drin ist.)

IPv6 sollte also sogar die Ausdehnung der Menschheit über das gesamte Sonnensystem locker verkraften.

Gruß Marcus Ich seh schon, Du bist ein Anhaenger der "wahren IPv6-Lehre". :-) In der wurde tatsaechlich propagiert dass jeder Benutzer einen ganzen Haufen geroutete IPs bekommt und deshalb kein NAT mehr braucht. Also diese "Lehre" hielt sich ungefaehr bis zu dem Tag an dem der erste Security-Mensch mit diesen v6-Glaeubigen gesprochen hat. Danach war dann jedem schnell klar, dass _heute_ der Hauptsinn von NAT nicht darin besteht den Adressraum zu vergroessern, sondern darin den Adressraum zu "ver-inseln". Nur innerhalb so eines Inselkonzeptes gibt es die passive Sicherheit dass Routing _hinein_ garantiert nicht geht.

Du hast mit Deinen Ausführungen bezüglich Firewall und Routing durchaus recht. Dass es auch gute Argumente für NAT gibt, habe ich - siehe oben - sogar ausdrücklich erwähnt, das war aber nicht das Thema. Bei meinem Text ging es rein um die Abschätzung, wie lange der - zugegebenermaßen - endliche Adressraum von IPv6 reichen wird.

Bleibt noch die Frage der schieren Groesse des Adressraums. v4 wurde "geleert" durch Leute die /8 Netze haben und mit diesen voellig unverantwortlich umgehen. Im Moment verteilen wir also einen echt groesseren Adressraum an noch mehr unverantwortlich Handelnde. Das bringt so nichts.

Ja, die damalige Adressvergabe von /8 war aus heutiger Sicht extrem großzügig. Da man damals von einer sehr viel geringeren zukünftigen Größe des Netzes ausgegangen ist, ist diese alte Vergabepraxis aber noch irgendwie nachvollziehbar. Viele dieser Bereiche hat man sich in den letzten Jahren ja auch wieder zurückgeholt. Es gibt zwar immer noch große ungenutzte Adressbereiche, aber auch die vollständige Nutzung von IPv4 würde unser Problem nicht lösen. Vier Milliarden IPv4-Adressen gegenüber knapp acht Milliarden Menschen - da ist klar, dass IPv4 nicht mehr reichen kann.

Ich gehoere zu den Menschen die seit dem ersten Tag mit Internet zu tun haben - den ersten Tagen des Internet. Damals konnte man ueberall hoeren dass der Adressraum nie enden wuerde, weil er so "gross" ist. Heute wird genau dasselbe erzaehlt - wieder ohne jede mathematische Grundlage.

Da dürften wir ungefähr im gleichen Alter sein ;-) Man muss sich vergegenwärtigen, dass man bei der Entwicklung von IPv4 von einer begrenzten Anzahl Computer in Großfirmen, Universitäten usw. ausgegangen ist. An die heutigen Verhältnisse mit mehreren Internet-Anschlüssen pro Person (DSL-/Kabelanschluss daheim, mobile Daten auf dem Handy, vielleicht auch noch ein Laptop mit SIM-Karte (ok, ist wieder seltener geworden, man nutzt eher den Zugang über das Handy mit), dazu Auto mit SIM-Karte usw.) hat man damals nicht gedacht. Ich sehe aber meine Abschätzung durchaus als (zugegeben sehr einfache) "mathematische Grundlage". Selbst bei einer Vergabe von /56 für jeden Anschluss haben wir noch eine Menge Luft: Über neun Millionen /56er Netze für jeden Menschen auf der Erde - da fällt mir im Moment keine noch so verschwenderische Nutzung ein, mit der man das schnell aufbrauchen könnte. Und wir reden hier ja nur von den einem Internet-Anschluss zugeordneten Subnetzen. Wenn man dann noch bedenkt, dass dann hinter einem solchen Anschluss eine gigantische Zahl Endgeräte hängen könnte, so wird ein Einsatzszenario, das diesen Adressraum sprengt, schon recht interessant. Mal ganz abgesehen davon, dass alle diese Geräte ja auch Strom brauchen würden. Selbst bei einem minimalen Stromverbrauch von irgendwelchen IoT-Sensoren kommt man bei einer nennenswerten Belegung des IPv6 Adressraums auf Größenordnungen, die klar zeigen, dass wir diesen Adressraum nicht voll machen können, weil wir die Energie für die ganzen Geräte überhaupt nicht hätten. (Und in absehbarer Zukunft auch nicht haben werden.) Aber Deine Argumentation zielt ja eigentlich auch in eine andere Richtung: Ja, natürlich: Mit einer zu freizügigen Vergabe von großen Netzbereichen könnte auch der Adressraum von IPv6 schnell vergeben sein. Ich denke aber, dass man aus der IPv4-Vergangenheit gelernt hat, und die alten Fehler vermeiden wird. Im Moment habe ich auch nicht den Eindruck, dass die Vergabepraxis übertrieben großzügig ist. Und auch hier muss man sich nochmal klar machen, mit welchen Zahlengrößen wir hier operieren: Selbst bei einer durchgängigen Vergabe von /48er Netzen wären das immer noch über 35.000 Netze für jeden von 8 Milliarden Menschen.

Endliche Resourcen sind endlich. Wann werden Menschen diese Binsenweisheit akzeptieren?

Natürlich ist auch IPv6 endlich. Bei der momentanen Lage reden wir da aber wohl nicht von "ein paar Jahren" oder Jahrzehnten - das wird "etwas" länger dauern.

Es waere ein Leichtes gewesen es besser zu machen, aber man wollte nicht, weil der Standard von Industriehoerigen und Ueberwachungsfanatikern konstruiert wurde. Deshalb musste es gleichermassen billig sein (IPs mit festen Laengen sind in Chiplogik einfach und billig) und bar jeder Sicherheitsueberlegung. Und genau so ist es jetzt: billig und unsicher.

Billig: Ja. Natürlich sind feste Adresslängen in Hardware einfacher zu behandeln und daher billiger. Dazu kommt als zweites Argument die Arbeitsgeschwindigkeit, die in den Core-Routern eine nicht unwichtige Rolle spielt. Natürlich könnte man sich eine hierarchisch aufgebaute Adressierung variabler Länge vorstellen - ähnlich wie das Domainsystem aber für Routingbereiche - aber man hat die Lösung mit fester Adresslänge vorgezogen. Den Nachteil der Endlichkeit hat man dabei in Kauf genommen - was ich durchaus nachvollziehen kann. Selbst, wenn meine oben durchgeführten Abschätzungen um eine oder zwei Größenordnungen daneben lägen, haben wir mit IPv6 so viel Zeit, dass bis dahin die Technik ganz anders aussehen wird, als wir es uns heute vorstellen können. Daher stört mich die Entscheidung für eine längenbegrenzte und damit endliche Adressierung überhaupt nicht. Aber "unsicher"? Das musst Du mir erklären. Für mich setzt Sicherheit (in den Spielarten Datenintegrität, Vertraulichkeit usw.) auf höheren Netzebenen an. Inwiefern hat die Wahl einer Adressierungsmethode wie IPv6 einen negativen Einfluss auf die Sicherheit? Was würdest Du dir als bessere Alternative vorstellen? Gruß Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org