Kontakt
Einfach Suchbegriff eingeben und Enter drücken
Abbrechen

Hintergrund

Der globale Pool an freien IPv4-Adressen, aus dem Provider bei Bedarf weitere Adressen anfordern konnten, ist seit Januar 2011 erschöpft. Der für unsere Region zuständige regionale Pool ist im September 2012 auf einen kritischen Wert geschrumpft; seit dieser Zeit kann jeder registrierte Provider noch einmalig einen Block von ca. 1000 IPv4-Adressen anfordern, weitere IPv4 Adressen sind nicht mehr verfügbar. Einige Provider die noch über unbenutzte IPv4 Adressen verfügen sind bereit diese zu verkaufen; oft wurden diese Adressen aber vorher für Spam und Verbreitung von Schadsoftware benutzt und werden vielerorts ausgefiltert.

Die meisten Internet-Anbieter stehen daher vor der Herausforderung, mit dem vorhandenen Bestand an IPv4 Adressen mehr Dienste als zuvor, also z.B. zusätzliche Websites, anzubieten. Der Ansatz der punkt.de ist es hier, Dienste weitestmöglich auf den Betrieb mit IPv6 zu verlagern, wo Adressen praktisch unbegrenzt zur Verfügung stehen. Die 2. Generation unserer proServer ist ein Ergebnis dieser Bemühungen.

Überblick des Systemaufbaus

Die vpro-Container

Dies sind wie bisher eigenständige virtuelle Maschinen mit der Funktionalität eines kompletten Betriebssystems. Jedoch verfügt die virtuelle Maschine nur noch über eine externe IPv6-Adresse und keine Legacy-IP-Adresse (IPv4-Adresse) mehr.

Die gate64-Container

Dies sind eigenständige virtuelle Maschinen, welche für jeweils mehrere vpro-Container die Verbindung mit dem Legacy-IP-Netz herstellen. Diese gate64-Container verfügen jeweils über eine IPv6- und eine IPv4-Adresse. Ausgehende Verbindungen, also solche die vom vproXXXX aus initiiert werden, sind darüber zu beliebigen Zielen im IPv4 Bereich möglich. Eingehende Verbindungen, also aus dem (IPv4-)Internet auf den vproXXXX sind nur auf den Ports 80 (HTTP) und 443 (HTTPS) möglich.

Der ssh-jumphost

Dies ist ebenfalls eine eigenständige Maschine mit je einer IPv4- und einer IPv6-Adresse. Mit diesem Host als Zwischenstation ist ein ssh/scp-Zugriff auf den vproXXXX auch für diejenigen Entwickler möglich, die nur IPv4 Zugriff auf das Internet haben.

Was sich für den Admin/Entwickler ändert

DNS-Einträge

Jedem vproXXXX-Container ist ein "zuständiger" gate64-Container zugeordnet. Die IPv4-Adresse dieses gate64-Containers teilen wir Ihnen beim Einrichten eines vpro-Containers mit. Für die auf dem vpro gehosteten Websites tragen Sie im DNS jeweils einen AAAA-Record mit der IPv6-Adresse des vproXXXX und einen A-Record mit der IPv4-Adresse des zugeordneten gate64-Containers ein.

Achtung: Im Unterschied zur 1. Generation der proServer ist der AAAA-Record im DNS jetzt zwingend erforderlich, da der gate64-Container über diesen DNS-Eintrag erfährt, auf welchem vproXXXX sich eine darüber angesprochene Website befindet.

Zugriff vom vpro-Container auf Resourcen im IPv4-Internet

Falls der Zugriff auf die externe Resource über einen Hostnamen im DNS erfolgt, ist für den Entwickler nichts weiter zu beachten: Der auf dem vpro verwendete Nameserver liefert für Resourcen, die nur IPv4-Adressen haben eine "synthetische IPv6-Adresse" zurück, welche dann über ein sogenanntes NAT64-Gateway (auf dem zugeordneten gate64-Host) geführt und dort nach IPv4 übersetzt wird. Aus Sicht des proServers erfolgt die Kommunikation also per IPv6, die Übersetzung auf dem gate64 ist für den proServer nicht sichtbar.

Erfolgt der Zugriff über IPv4-Adressliterale (also direkt eine numerische IPv4-Adresse), so muss ein solches Literal auf die zugehörige IPv6-Adresse umgeschrieben werden. Dies geht durch das Voranstellen des Präfix 64:ff9b::/96. So würde beispielsweise aus der IPv4-Adresse 192.0.2.3 die "synthetische" IPv6-Adresse [64:ff9b::192.0.2.3], das Ergebnis wird dann wie ein IPv6 Adressliteral verwendet. Um das Zielsystem anzupingen, würde man also

ping6 64:ff9b::192.0.2.3

aufrufen.

Einschränkungen

Es gibt einige betriebliche Einschränkungen dadurch, dass aus dem IPv4-Internet eingehende Verbindungen nur über Port 80 und 443 (sowie 22/ssh via Jumphost) möglich sind.

  • Websites können nur auf port 80 (HTTP) und 443 (HTTPS) liegen. Diese Einschränkung gilt nicht für interne Adressen auf dem vpro oder private Verbindungsstrecken zwischen mehreren vpro-Containern, und natürlich auch nicht für Verbindungen über IPv6.
  • Mailversand vom vpro ist möglich, zu IPv4-Zielen erfolgt er über das NAT64 Gateway. Mailempfang aus dem Internet geht auf dem vpro aber nur per IPv6 oder über einen vorgelagerten Dual-Stack Mailserver.

Falls diese Einschränkungen ein Problem für Ihre Anwendung darstellen, sprechen Sie uns bitte an. Gemeinsam werden wir eine Lösung finden.