Voordelen van een eigen subnet

Je zou ook kunnen stellen dat een protocol dat 100% adoptie nodig heeft en daar na 25 jaar nog steeds niet in geslaagd is, heeft gefaald.

Niet over (willen) stappen van IPv4 maar IPv6 is toch echt een gevalletje “penny wise, pound foolish”.

Voor de kleinere serverparken, tot een stuk of 10 machines, zou je ook met IPv6 nog wegkomen zonder elke machines een unieke FQDN toe te kennen.

En zoals hierboven ook al aangegeven, je kan het jezelf moeilijk maken, maar je kan ook juist voor machines die een vast ingesteld adres nodig hebben de meest afkortbare range gebruiken.

En dan nog iets: ik heb vroeger van een systeem beheerder geleerd dat je zo min mogelijk handmatig wil doen. Dus leer je gebruik te maken van DHCP voor de toewijzing van een adres, en gebruik je een script om de machine die een adres toegewezen kreeg, zelf aan de DNS te laten weten welk adres dat is. Als dat een machine betreft die ook van “buiten” te benaderen moet zijn, is het misschien wel handig de DHCP server steeds hetzelfde adres uit te laten delen, maar ook dat is een eenmalige handeling, op basis van het mac-adres (dat is ook hexadecimaal, dus ook ‘beperkt’ human readable).

Natuurlijk is het best een klus om dat allemaal goed in te richten, maar zodra je een serverpark van tientallen machines beheert dan betaald dat zich al snel terug in de eenvoud waarmee je vervolgens een machine kan vervangen.

Voor bepaalde kritieke zaken zou ik liever niet afhankelijk zijn van een DHCP server of houtje-touwtje scriptjes die iets automatisch in een DNS zone moeten aanpassen, een cluster/core netwerk stel je naar mijn mening dan ook gewoon static in. Maar goed, we wijden nogal uit. Extra (onnodige) lagen toevoegen omdat het kan zonder echt goede reden, is alleen maar een grotere kans op problemen. Less is more. Alleen toevoegen wat echt nuttig en nodig is.

Maar zonder gekheid: Tuurlijk moet je op termijn iets met IPv6 en wij bieden het op ons platform aan de WAN kant ook gewoon aan voor klanten die dat willen hoor, dus ons netwerk is helemaal IPv6 ready. Ik hoef het alleen zelf nog niet en dus ook nog niet in de managementlaag. Ik zie daar geen serieus voordeel van in. Hier roepen dat alles naar IPv6 moet is lekker makkelijk als je een huis tuin en keuken netwerkje beheert waar behalve je eigen internet/tv/telefoon helemaal niks serieus van afhankelijk is. Als je ervaring met echt serieuze netwerken hebt waar serieuze belangen van af hangen, denk je als het goed is wel 2x na voordat je iets gaat toevoegen/veranderen waar je op dat moment geen echt voordeel uit haalt, het tegenovergestelde is juist aannemelijker: het creëren van problemen die je met IPv4 only niet hebt. En juist als die belangen er wel zijn, is een paar duizend euro uitgeven voor wat extra v4 adressen geen enkel probleem. Als alles maar ongestoord blijft werken.

Voor thuis is dat een paar bruggen te ver, dat ben ik met je eens.

En die houtje-touwtje scripts zijn gewoon gevalideerde stukjes programmeerwerk, ga er maar vanuit dat we daar beter naar gekeken hebben dan “ff snel een scriptje schrijven”. En het is een DHCP cluster, niet een enkele server uiteraard.

En dan de management laag in het datacenter, ja, daar IPv6 gebruiken is behoorlijk overkill, dat is (bij ons iig) een netwerk dat geheel los is van verbinding met andere netwerken.

En je moet ook niet overdrijven, zo heel veel anders dan IPv4 is IPv6 nu ook weer niet. Er zitten behoorlijk wat extra mogelijkheden in IPv6, maar die zelfde mogelijkheden lagen met losse scripts (heb je ze weer) en software ook bovenop IPv4, dat is een beetje een eggplant-aubergine discussie.

En zoals je zelf zegt: de WAN kant van het netwerk is IPv6 ready. Precies de kant die er echt toe doet.
Dat je in je management netwerk IPv4 gebruikt, dat ziet de buitenwereld niet, en daar zit dus ook het probleem niet, want je gaat mij niet vertellen dat je daar adresruimte te kort komt.

Voor wat betreft mijn “expertise” en technische achtergrond:
In een “connected factory” loop ik wel tegen de grenzen van IPv4 aan tegenwoordig, daar ga ik het niet meer redden met een /8. Overigens wordt daar geen enkel apparaat handmatig aan het fabrieksnetwerk verbonden om de firmware te laden, dat gaat met een barcodescanner (eigenlijk een qr-code, maar voor het beeld…).
Voor mij is een datacenter slechts een klein onderdeeltje van het geheel, en als zo’n fabriek eenmaal loopt, ga ik bouwen aan de volgende. (Commissioning Engineer)

Ik denk ook dat hier de wens van de CTO en visie van een CFO/CEO elkaar nog niet heeft overtuigd. Technisch helemaal eens dat IPv6 de toekomst is maar dat heeft doorgaans (gezien financieel & risico) geen echt hoge prio.

Kortom klaarstaan & bijhouden is dan het motto en ondertussen de bewezen “werking” zo min mogelijk willen veranderen.
Een verschil ook is welke (nieuwe) toepassing data, intern of qua management naar IPv6 wordt overgezet.
Het motto bij grotere - laat staan, gekoppelde - netwerken is doorgaans: wat goed werkt vooral niet willen ‘verbeteren’ en heeft paar (tien)duizend euro of zelfs een beheerder meer of minder op de payroll, nauwelijks betekenis in een kritisch netwerk van 1000+ elementen.

Een tijd gewerkt bij een financiële “dienstverlener” waarbij de vraag nooit was, wat iets kostte maar vooral dat het benodigde naast betrouwbaar (en dus voorspelbaar als referentie) moest functioneren.

IPv4 heeft een “haves and have nots” situatie gecreëerd. Dat staat een vrij en open internet in de weg en dat vind ik een groot probleem. Alleen daarom doe ik wél IPv6.

Hier was het technische nieuwsgierigheid, jaren geleden, samen met de wens om m’n eigen reverse te kunnen beheren. Het was veel leuker om in 2002 te irc’en vanaf earth-mk2.koffie.nu dan klant-x.provider.nl. Verder zag ik er toen het nut niet van in. Het was echt ene gevalletje ‘ok, het werkt, en nu?’ en daarna straal vergeten dat je het hebt werken, tot er iets aangepast moest worden.

Eerst werd IRC ingeperkt tot alleen toegang vanaf een voor dat land geregistreerd ip blok (henet, ondanks dat de pop in A’dam zit was een US ip reeks), sixxs stopte met de tunnels en xs4all ineens native ipv6 ging doen (nooit correct werkend gekregen, geen reden om er veel tijd in te steken).

Nu ben ik erg blij met m’n toen bedachte werkwijze, ipv4 intern is simpel 10.0.0.0/8 waarbij het vlan nummer dat ik gebruik in het 2e of 3e octet is verwerkt of beide gecombineerd. Dit vlan nummer heb ik dus ook als laatste segment in het netwerk deel van ipv6 gebruikt. Het laatste segment van het host adres is het laatste octet van het ipv4 adres en handmatig geconfigureerd voor systemen waar ik intern danwel extern een connectie heen wil toestaan.

Alles wat alleen maar uitgaand verkeer heeft mag via ravd zelf een adres verzinnen (en de meesten in die groep hebben dan ook geen reverse).

Op het werk is nog steeds geen ipv6 in gebruik, maar dat zijn dusdanig afgeschermde netwerken dat het geen enkel issue is om daar ip adressen uit 0.0.0.0/0 te gebruiken. Ruimte zat als het verkeer toch niet naar buiten gaat (en je antiek spul hebt dat geen ipv6 kan en/of een beheer organisatie hebt dat geen ipv6 wil).

Technisch is er geen reden om geen ipv6 te gebruiken anders dan ‘mijn meuk kan het niet aan’ (en dan vraag ik me af, wil je dergelijk oud spul gebruiken). Wil niet is meestal de reden (en heel af en toe deze oude zut is nog niet afgeschreven).

tldr; met publiek adresseerbare subnets ontstaan mogelijkheden om als keuze, zaken in vrijheid al of niet in te richten en toe te passen.

Het hebben van een keuze vraagt imo (zelf)discipline om af te wegen of de keuze in relatie tot het doel, zinnig is. Vrijheid betekent wmb niet dat het dan ook altijd moet worden gehanteerd (en daarmee onderhouden of gefaciliteerd). Een impliciete beperking heeft dan een voordeel dat men een bewuste afweging maakt of iets wenselijk is om toe te passen.

Gebruiken van IPv6 in dit verband, is dat IPv4 soms onvoldoende kan schalen omdat bv het protocollaire tekorten heeft. Een gebrek dat (vaak; financiële) investeringen vraagt om toch over een gebruik te kunnen beschikken en daarmee - zoals terecht gezegd - andere wannabes van een vrijelijk internet gebruik kan uitsluiten.

Dat is een legitieme morele beweegreden die ik kan begrijpen. Maar helemaal kloppen doet het (nog) niet en ik verwacht eerlijk gezegd ook dat dat nooit gaat gebeuren. Iedereen die nu een internetverbinding aanvraagt (bij welke ISP dan ook) krijgt een IPv4 adres (al dan niet via CGNAT) en in veel gevallen ook een IPv6 adres. Alles is in de praktijk dus bereikbaar voor iedereen.

Particulieren kopen over het algemeen geen IP-blokken. Het enige dat dan niet fair is, is dat partijen die er al jaren geleden bij waren hele blokken IPv4 space ongebruikt op de plank hebben liggen, terwijl nieuwe partijen na lang wachten maximaal een /24 gratis krijgen en de rest moeten kopen/leasen. Dat is inderdaad niet leuk en niet fair voor die nieuwe partijen, maar over het algemeen wel commercieel verantwoord. Die IP’s leveren een boel meer op dan dat ze kosten als het goed is. Blijft dus uiteindelijk alleen een oneerlijk commercieel voordeel over voor oudere partijen tegenover nieuwe partijen. Tsja, niet eerlijk, maar dat is het hele leven niet. Overigens probeert RIPE daar ook wel wat aan te doen volgens mij, ik hou me niet actief bezig met de community daar, maar zag mailings voorbij komen dat men naar een prijsmodel toe wil dat afhangt van de hoeveelheid resources die een LIR heeft. Dat zou goed zijn denk ik, partijen zullen hun overtollige blokken (die ze waarschijnlijk nooit gaan gebruiken) op de markt brengen (drukt waarschijnlijk de prijs), of nog beter: teruggeven aan RIPE. Al ben je dan wel een beetje dief van je eigen portemonnee…

Meerdere IPv4 adressen zijn soms noodzakelijk niet alles kan over een en hetzelfde IP adres. (STUN + VOIP, WEBRTC, voor verschillende services. Dus voor test en educatieve doeleinden heb ik een paar IPv4 adressen.).

NAT (zeker CGNAT) sloopt een groot deel van de standaard protocollen, en veroorzaakt een wildgroei aan extra protocollen om NAT te compenseren.
Ik verwacht dat de prijs van IPv4 adressen alleen nog maar zal stijgen. Het antwoord zal zal dan ongetwijfeld triple-NAT worden (Een reeks CGNAT achter NAT)…

Het is geen blunder dat IPv6 anders is als IPv4…, het is compatible tot het niveau waar het kan IP.
Door de jaren heen waren de IPv4 header velden gebruikt en hergebruikt met ook hun nadelen.
De rek is er ook al 30 jaar uit. Vanuit engineering gezien is IPv6 het antwoord (imho ook het enige juiste),
alleen blijven mensen liever op een houtje touwtje manier werken to het echt instort.

Moet een van de bovenstaande niet IPv6 zijn?

Met ip adressen is het net als met geheugen, het beroemde ‘640k should be enough for everybody’ was het antwoord op slecht design van het geheugen management van DOS (drivers boven in het geheugen gebied, foei), bleek ook al heel snel onhoudbaar, maar daar werd ook omheen geklust. IPv4 is al sinds 1983 in gebruik en kan max 4.294.967.296 adressen aan. Er zijn sinds 2019 al meer mensen op internet dan er adressen zijn. (was 16m in '95) en de meesten mert meer dan 1 apparaat/adres.
IPv6 heeft meer adressen dan er atomen zijn op aarde, maar je weet maar nooit hoe snel de mensheid zich verder verspreid.

De IT is best wel conservatief, maar is daarin niet alleen. Electrische auto’s bestaan ook al sinds 1881. Men blijft stug IPv4 gebruiken terwijl 4 van de 5 IP adress allocators al door de adressen heen zijn. Tijd voor ipv6-ipv4 gateways denk ik, of gewoon die oude meuk negeren.

Het is minder dan 4G adressen, omdat er ook een groot gebied is dat voor Multicast gereserveerd is.
het is meer 3.5G adressen.
Er zijn mensen die zelfs de multicast aan het gewone segment willen toevoegen om maar LANGER in IPv4 te blijven hangen… oa. omdat adressen duurder worden etc.
Dat lijkt een eenvoudige oplossing, alleen moet je dan 3G apparaten ombouwen om routering heel anders op te lossen…
IMNSHO IPv6 invoeren is veel eenvoudiger dan werkelijk alles ondersteboven te halen, en lost de meeste problemen op na invoering van IPv6 kunnen ook allerlei “Helpers” die vaak meer slopen dan helpen (VOIP, FTP, RPC, …) afgevoerd worden. STUN is nergens meer voor nodig, allerlei apparaten die “border” (stiekum toch NAT probleem oplosser) functies hebben worden overbodig.
Voor iedereen op deze wereld (en daar buiten), is er een PREFIX beschikbaar, en dan heb je nog 2^64 adressen om mee te spelen.
Dat we in het huidige uitdeel beleid zelfs 64K Prive netwerk ment dat soort adressen is mooi meegenomen.
Ik denk dat in de meeste thuis situaties 2 -4 netwerken nuttig gebruikt kunnen worden, dus zeg 256 netwerken zou ook al heel genereus zijn geweest. (/56 prefix ipv. /48).

Overigens waren bedrijven als Liberty Global (eigenaar van o.a. Ziggo) van plan om iedereen EEN (1) IPv6 adres te geven en IPv6 net zo te behandelen als IPv4. Je moet maar NAT gebruiken. Hun probleem was dat ze hun klanten daarmee een aardig configuratie probleem in de schoenen zouden schuiven.
Juist de gemakken van IPv6 als Autoconfiguratie ed. vervallen dan.

IPv4 → IPv6 gateways schalen gewoon niet. met name TCP heeft een hoop van de header opties in gebruik en die zijn radicaal anders ingericht. Dat is de incompatibiliteit waar @WoSp vermoedelijk op doelde.
In TCP zitten ook de aannames van de jaren 70-80 (>40 jaar geleden) waarna gebleken is dat die aannames voor heel grote netwerken vaak niet correct bleken. Ruim 30 jaar geleden was niet alleen het adres gebrek iets dat aandacht vereiste, maar ook andere keuzen die in het IPv4 protocol verankerd liggen.
IPv6 is net zoiets als besluiten dat de grachten geen riool moesten zijn maar dat daar een apart leiding stelsel voor aangelegd moest worden. En ja dat was lastig want nu moest je in elk huis een aansluiting op het riool maken het is toch veel makkelijker om je plee emmer in de gracht te mikken. Als je er geen zin in had om met een emmer lopen gewoon op straat te gooien…, de regen voert het toch wel af, toch?
Dat ISP’s liever onder een steen blijven liggen (geen aansluiting op het riool, maar de gracht en straat blijven gebruiken)… tja.

Die wil je ook niet, IPv6 → IPv4 hooguit om die antieke zooi nog benaderbaar te houden. O.a. de redelijk nieuwe ASN bank heeft ipv4 only…

Maar IPv6 → IPv4 is geen probleem, IPv6 stack KAN connectie leggen met IPv4 (TPC v6 snapt het als met TCPv4 verbinding wordt gemaakt). Alleen IPv6 adressen zien er dan wat anders uit. ::ffff:192.0.2.128 (::ffff:c000:0280 )
(Probleem is meer met RPC, VOIP, etc. waarbij extra verbindingen geopend worden naast )

Bij IPv6 gebruikt de pc niet zijn eigen adres, maar een tijdelijke naar buiten.
Dat er veel adressen zijn op een aansluiting, is ook wel handig.

Dat is een keuze (privacy of temporary adressen) het is niet verplicht. Soms moet je het apart configureren.
Router moet dergelijk TA adressen ook toestaan of een reeks voor hebben.

Noot: de Prefix blijft herleidbaar …

Dat is grappig want hun moeder, De Volksbank doet wel IPv6. En de SNS-app (IOS) ook want die babbelt met: m.volksbank.nl (2a03:a8e0:ff00:1000::104).

Sowieso vereist Apple al enige jaren van apps in de Appstore dat deze IPv6-only moeten kunnen werken.

Vaag, zal wel een duurzaamheid ding zijn, minder bitjes voor het adres.