6to4 (auch STF oder 6 to 4 genannt) ist ein IPv6-Übergangsmechanismus. Hierbei werden Tunnel im Internet aufgebaut, um IPv6-Pakete über IPv4 transportieren zu können.

IPv6-Übergangsmechanismen
4in6 Tunneling von IPv4 in IPv6
6in4 Tunneling von IPv6 in IPv4
6over4 Transport von IPv6-Datenpaketen zwischen Dual-Stack Knoten über ein IPv4-Netzwerk
6to4 Transport von IPv6-Datenpaketen über ein IPv4-Netzwerk (veraltet)
AYIYA Anything In Anything
Dual-Stack Netzknoten mit IPv4 und IPv6 im Parallelbetrieb
Dual-Stack Lite (DS-Lite) Wie Dual-Stack, jedoch mit globaler IPv6 und Carrier-NAT IPv4
6rd IPv6 rapid deployment
ISATAP Intra-Site Automatic Tunnel Addressing Protocol (veraltet)
Teredo Kapselung von IPv6-Datenpaketen in IPv4-UDP-Datenpaketen
NAT64 Übersetzung von IPv4-Adressen in IPv6-Adressen
464XLAT Übersetzung von IPv4- in IPv6- in IPv4-Adressen
SIIT Stateless IP/ICMP Translation

Funktionsweise Bearbeiten

Bei 6to4 wird auf jede IPv4-Adresse ein /48 großes IPv6-Netz abgebildet. Das IPv6-Präfix setzt sich aus dem Präfix 2002 und der hexadezimal notierten IPv4-Adresse zusammen.

 

Der lokale Host oder Router mit öffentlicher IPv4-Adresse schachtelt ein IPv6-Paket in ein IPv4-Paket. Soll das Paket ein natives IPv6 Netz erreichen, wird es an ein 6to4-Relay geschickt. Dort wird das IPv6-Paket wieder ausgepackt und ans Ziel geschickt. Sendet der entfernte Host etwas zum lokalen Host zurück, wird das Paket nicht zwingend wieder über dasselbe 6to4-Relay geleitet, sondern kann über jedes beliebige 6to4-Relay geroutet werden.

Pakete, die an IPv6-Adressen aus diesem Netz gesendet werden, können eindeutig zugeordnet werden. Aufgrund des Präfix 2002 werden sie an ein 6to4-Relay geleitet und von dort aus wird anhand der IPv4-Adresse, die aus der IPv6-Adresse abgeleitet werden kann, das Paket wieder zum lokalen Host und gegebenenfalls von dort aus zu einem Host im dahinter liegenden IPv6-Netz geleitet.

Öffentliche 6to4-Relays stellten einfache Zugänge ins IPv6-Netz dar, die keiner Anmeldung bedurften und von allen genutzt werden können.

Zur weiteren Vereinfachung musste der Benutzer nicht explizit die IPv4-Adresse eines 6to4-Relays ermitteln, sondern konnte über die Anycast-Adresse 192.88.99.1 (bzw. 2002:c058:6301::) das nächste öffentliche 6to4-Relay erreichen. Die Anycast-Funktionalität wurde später jedoch aufgrund von Zuverlässigkeitsproblemen abgeschafft (siehe Abschnitt #Probleme für den Benutzer).[1]

Reverse DNS Bearbeiten

Über ein Webinterface bei der Number Resource Organization gibt es die Möglichkeit, die passende reverse Domäne für den 48-Bit-Präfix unter 2.0.0.2.ip6.arpa auf einen eigenen Nameserver zu delegieren.[2] Dies ist jedoch nur sinnvoll, wenn man eine permanent zugewiesene IPv4-Adresse nutzte und keine dynamische IPv4-Adresse von einem Provider zugewiesen bekam.

Sicherheitsaspekte Bearbeiten

Bei der Verwendung von 6to4 sind einige Sicherheitsaspekte zu beachten. Aufgrund der offenen Architektur muss ein 6to4-Host beziehungsweise -Router gekapselte Pakete von allen IPv4-Adressen empfangen und verarbeiten. Dadurch ist beispielsweise ein IP-Spoofing einfach zu bewerkstelligen.

Sicherheitshinweise zum Betrieb eines 6to4-Hosts, -Routers oder -Relays sind in RFC 3964 beschrieben.[3]

Datenschutzaspekte Bearbeiten

IP-Adressen gelten nach höchstrichterlicher Rechtsprechung als personenbezogene Daten, da mit ihnen ein Personenbezug (zumindest zum Anschlussinhaber) hergestellt werden kann. Bei der Verarbeitung von IP-Adressen dürfen daher, nach Ansicht des Düsseldorfer Kreises, nur gekürzte Adressen verwendet werden, das heißt, dass beispielsweise das letzte Oktett einer IPv4-Adresse ausgenullt wird, so dass kein Personenbezug mehr herstellbar ist, andere IP-adress-basierte Dienste, wie beispielsweise Geolokation, aber weiterhin möglich bleiben.

Bei IPv6-Adressen wird ein Kürzen auf maximal 40 Bit empfohlen.[4] Es bleiben somit nach dem 16-Bit-Präfix 2002 noch die obersten 24 Bit der IPv4-Adresse des Anschlussinhabers übrig, womit kein Personenbezug mehr herstellbar sein soll.

Probleme für den Benutzer Bearbeiten

Aufgrund der Fehlerrate der 6to4-Umsetzung durch Verwendung des Anycasts scheinen diverse Inhalte über IPv6 schlecht erreichbar. Eine scheinbare Lösung für den Endbenutzer besteht dann darin, IPv6 zu deaktivieren, wodurch die weitere Verbreitung von IPv6 behindert wird. Abhilfe bei der Verwendung von 6to4 mit Dual-Stack bietet der „Happy-Eyeballs“-Algorithmus, der im Request for Comments RFC 6555[5] beschrieben ist und von mehreren Browsern eingesetzt wird. Dabei wird eine Website sowohl über IPv4 als auch IPv6 adressiert und die erste Antwort verwendet. Dies umgeht das Problem einer unzuverlässigen 6to4-Verbindung, löst es jedoch nicht.

Im RFC 7526 wird empfohlen, 6to4 Anycast aufgrund der Unzuverlässigkeit nicht mehr zu verwenden. RFC 3068 wurde vom Status eines vorgeschlagenen Standards in den Status historisch versetzt.[1]

Alternativen Bearbeiten

Andere Mechanismen, mit denen sich IPv6-Pakete in IPv4 tunneln lassen, sind unter anderem

Ein Vergleich der Tunnelmechanismen findet sich unter IPv6#Tunnelmechanismen.

Aktuelle VPN-Software kann ebenfalls zum Tunneln von IPv6 über IPv4 und umgekehrt eingesetzt werden, z. B. Cisco AnyConnect oder OpenVPN.

Literatur Bearbeiten

  • 6to4. In: Joseph Davies: Understanding IPv6. 2. Auflage. Microsoft Press, Redmond 2008, S. 295–316 (englisch).

Weblinks Bearbeiten

  • feyrer.de
  • wiki.debian.org Konfigurationshinweise für die Linux-Distribution Debian
  • RFC 3056 – Connection of IPv6 Domains via IPv4 Clouds. Februar 2001 (Definition von 6to4 Adressen, englisch).
  • RFC 3964 – Security Considerations for 6to4. Dezember 2004 (Sicherheitshinweise, englisch).
  • RFC 3068 – An Anycast Prefix for 6to4 Relay Routers. Juni 2001 (englisch).
  • Public 6to4 Gateway Services + Linux shellscript. net6.at
  • pastebin.com 6to4 bei Debian/Ubuntu einrichten.
  • JavaScript 6to4-Adressumrechner. wyae.de

Einzelnachweise Bearbeiten

  1. a b RFC 7526 – Deprecating the Anycast Prefix for 6to4 Relay Routers. Mai 2015 (Anycast Server historisch, englisch).
  2. 6to4.nro.net
  3. RFC 3964 – Security Considerations for 6to4. Dezember 2004 (englisch).
  4. 84. Konferenz vom 7./8. November 2012 – Einführung von IPv6 – Hinweise für Provider im Privatkundengeschäft und Hersteller. (Memento vom 11. Dezember 2013 im Internet Archive) ldi.nrw.de; abgerufen am 13. Juni 2018
  5. RFC 6555 – Happy Eyeballs: Success with Dual-Stack Hosts. April 2012 (englisch).