Dual Stack, Tunneling, NAT64
IPv4 und IPv6 werden noch viele Jahre nebeneinander existieren. Die vollständige Ablösung von IPv4 ist ein langer Prozess – deshalb braucht man Migrationsmechanismen. Die drei wichtigsten sind Dual Stack (beide Protokolle gleichzeitig), Tunneling (IPv6 durch IPv4-Netze schicken) und Translation (NAT64/DNS64 für reine IPv6-Clients). Jeder Mechanismus hat seinen Platz, seine Vor- und Nachteile.
1. Dual Stack – beide Protokolle gleichzeitig
Dual Stack ist der einfachste und sauberste Ansatz: Jedes Gerät, jeder Router und jeder Server hat sowohl eine IPv4- als auch eine IPv6-Adresse. Beide Protokolle laufen gleichzeitig, unabhängig voneinander. Der Client wählt das Protokoll je nach verfügbarer Adresse des Ziels.
Moderne Betriebssysteme bevorzugen IPv6, wenn beide Protokolle verfügbar sind – nach RFC 6724 (Default Address Selection). Das erklärt, warum du z.B. bei Google automatisch über IPv6 verbunden wirst, wenn dein ISP IPv6 unterstützt.
IPv4+IPv6
Dual Stack
.
.
- Vorteil: Einfach zu verstehen und zu betreiben, keine Übersetzung nötig
- Vorteil: Kein Funktionsverlust bei beiden Protokollversionen
- Nachteil: Beide Protokollstacks müssen konfiguriert, gesichert und überwacht werden
- Nachteil: Doppelter Aufwand für Firewall-Regeln, Monitoring etc.
- Standard heute: Alle modernen Betriebssysteme und ISPs unterstützen Dual Stack
2. Tunneling – IPv6 durch IPv4-Netze
Was tun, wenn zwei IPv6-Inseln durch ein IPv4-Netz getrennt sind – etwa wenn der ISP noch kein IPv6 anbietet? Tunneling verpackt IPv6-Pakete in IPv4-Pakete, schickt sie durch das IPv4-Netz, und entpackt sie auf der anderen Seite. Das IPv4-Netz „sieht" nur normale IPv4-Pakete – das IPv6 steckt unsichtbar drin.
2002::/16. Die IPv4-Adresse ist im Präfix kodiert. Veraltet, heute nicht mehr empfohlen (Sicherheitsprobleme).2001::/32. Heute weitgehend abgelöst durch Dual Stack.3. NAT64 und DNS64 – IPv6-only Clients mit IPv4 verbinden
NAT64 ist der modernste Migrationsmechanismus: Er ermöglicht es, einen reinen IPv6-Client mit IPv4-Servern kommunizieren zu lassen – ohne dass der Client eine IPv4-Adresse benötigt. Das ist besonders relevant für Mobilnetze, die bereits vollständig auf IPv6 umgestellt haben.
NAT64 arbeitet eng mit DNS64 zusammen. Der Ablauf:
- Ein IPv6-Client fragt den DNS nach einer Adresse, z.B.
example.com - Das Ziel hat nur einen IPv4-Eintrag (A-Record):
93.184.216.34 - Der DNS64-Server synthetisiert einen AAAA-Record: Er bettet die IPv4-Adresse in ein IPv6-Präfix ein, z.B.
64:ff9b::93.184.216.34 - Der Client schickt ein IPv6-Paket an diese Adresse
- Der NAT64-Router übersetzt das Paket in ein IPv4-Paket und leitet es weiter
- Die Antwort läuft den gleichen Weg zurück
Das reservierte Präfix für NAT64 ist 64:ff9b::/96 (RFC 6052). Die letzten 32 Bit enthalten die IPv4-Adresse.
4. Vergleich der Migrationsmechanismen
| Mechanismus | Typ | Wann geeignet | Nachteile |
|---|---|---|---|
| Dual Stack | Koexistenz | Standardfall heute | Doppelter Admin-Aufwand |
| 6in4 / Tunneling | Kapselung | IPv6-Inseln über IPv4 | Overhead, Konfigurationsaufwand |
| NAT64 + DNS64 | Übersetzung | IPv6-only Netze (Mobilfunk) | Kein End-to-End, nur TCP/UDP/ICMP |
| 6to4 | Kapselung (auto) | Veraltet | Sicherheitsrisiken, kaum genutzt |
| Teredo | UDP-Kapselung | Veraltet | Langsam, durch DS abgelöst |