ping6.net
Migration

Dual-Stack-Netzwerke: IPv4 und IPv6 gemeinsam betreiben

Lernen Sie, wie man Dual-Stack-Netzwerke bereitstellt und verwaltet, in denen IPv4 und IPv6 koexistieren. Umfasst Konfiguration, Troubleshooting und Übergangsstrategien.

ping6.net14. Dezember 202417 min read
IPv6Dual-StackIPv4MigrationNetzwerkÜbergang

Was ist Dual-Stack-Netzwerk#

Dual-Stack bedeutet, IPv4 und IPv6 gleichzeitig auf derselben Netzwerkinfrastruktur zu betreiben. Jedes Gerät erhält eine IPv4-Adresse und eine IPv6-Adresse. Anwendungen wählen automatisch aus, welches Protokoll basierend auf Verfügbarkeit und Präferenz verwendet werden soll.

Dies ist der empfohlene Übergangsansatz für die meisten Organisationen. Sie brauchen kein Migrationswochenende oder Service-Cutover. IPv4 funktioniert weiter, während Sie IPv6 schrittweise aktivieren. Bestehende Clients sehen keine Unterbrechung. IPv6-fähige Clients erhalten native Konnektivität. Sie migrieren in Ihrem eigenen Tempo.

Die reale Adoption spiegelt dies wider. Laut Googles Statistiken greifen über 40 % der Nutzer über IPv6 auf ihre Dienste zu. Die meisten großen Netzwerke — Mobilfunkanbieter, Cloud-Provider, Content Delivery Networks — betreiben heute Dual-Stack. Es ist nicht mehr experimentell. Es ist Produktionsstandard.

TL;DR - Kurzübersicht

Wichtige Punkte:

  • Dual-Stack betreibt IPv4 und IPv6 gleichzeitig — kein Migrations-Cutover erforderlich
  • Anwendungen bevorzugen automatisch IPv6 (Happy Eyeballs-Algorithmus) mit schnellem IPv4-Fallback
  • Kritisch: Identische Sicherheitsrichtlinien für beide Protokolle anwenden (Firewall-Regeln, ACLs)
  • DNS muss sowohl A- als auch AAAA-Records für Dual-Stack-Dienste veröffentlichen
  • Beide Protokolle unabhängig überwachen — IPv6-Fehler können sich hinter IPv4-Fallback verstecken

Direkt zu: Konfigurationsbeispiele | Adressauswahl | Sicherheit | Troubleshooting

Wie Dual-Stack funktioniert#

In einem Dual-Stack-Netzwerk trägt jedes Interface zwei Netzwerkstacks. Ein Server könnte 192.0.2.10 für IPv4 und 2001:db8::10 für IPv6 haben. Beide Adressen funktionieren unabhängig. Verkehr kann über eines der beiden Protokolle fließen, je nachdem, was Client und Server aushandeln.

┌──────────────────────────────────────┐
│   Anwendung (curl, Browser)          │
│    Verwendet DNS zum Finden von      │
│           Adressen                   │
├──────────────────────────────────────┤
│        TCP/UDP (Agnostisch)          │
├───────────────────┬──────────────────┤
│   IPv4-Stack      │   IPv6-Stack     │
│   192.0.2.10      │   2001:db8::10   │
│   Route über gw1  │   Route über gw2 │
└───────────────────┴──────────────────┘
         │                   │
    IPv4-Netzwerk       IPv6-Netzwerk

Die Netzwerkschicht pflegt separate Routing-Tabellen. IPv4-Pakete folgen IPv4-Routen. IPv6-Pakete folgen IPv6-Routen. Sie interferieren nicht miteinander.

Anwendungsverhalten: Happy Eyeballs#

Anwendungen wählen nicht manuell zwischen Protokollen. Das Betriebssystem behandelt Protokollauswahl mit einem Algorithmus namens „Happy Eyeballs" (RFC 8305). Dies zu verstehen hilft, Verbindungsprobleme zu debuggen.

Der Prozess:

  1. Anwendung fordert Verbindung zu example.com an
  2. DNS gibt sowohl A- (IPv4) als auch AAAA- (IPv6) Records zurück
  3. OS versucht zuerst IPv6-Verbindung
  4. Nach 50-250ms Verzögerung (variiert je nach Implementierung) startet OS IPv6-Verbindung parallel
  5. Welche Verbindung zuerst fertig wird, gewinnt
  6. Ergebnis wird für nachfolgende Verbindungen gecacht

Dies stellt sicher, dass Nutzer die schnellste verfügbare Verbindung erhalten, ohne auf Timeouts zu warten. IPv6 erhält Präferenz, aber defektes IPv6 verursacht keine benutzersichtbaren Verzögerungen über einen Bruchteil einer Sekunde hinaus.

Testen Sie dieses Verhalten mit unserem Ping-Tool gegen Dual-Stack-Ziele. Vergleichen Sie IPv4- und IPv6-Antwortzeiten.

DNS gibt beide Record-Typen zurück#

In Dual-Stack veröffentlichen DNS-Server sowohl A- als auch AAAA-Records für denselben Hostnamen:

$ dig example.com A +short
192.0.2.10
 
$ dig example.com AAAA +short
2001:db8::10

Clients fragen nach beiden Typen (oder verwenden DNS64-Synthese in IPv6-Only-Netzwerken). Der Resolver gibt zurück, welche Records existieren. Wenn nur A existiert, verwendet der Client IPv4. Wenn beide existieren, entscheidet Happy Eyeballs.

Konfigurationsbeispiele#

Dual-Stack-Konfiguration ist auf modernen Systemen unkompliziert. Die meisten unterstützen automatische Konfiguration über SLAAC (Stateless Address Autoconfiguration) oder DHCPv6.

Linux: Netplan (Ubuntu)#

Modernes Ubuntu verwendet Netplan für Netzwerkkonfiguration. Bearbeiten Sie /etc/netplan/01-netcfg.yaml:

network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: true
      dhcp6: true
      accept-ra: true

Die Schlüsseleinstellungen:

  • dhcp4: true — IPv4 über DHCP beziehen
  • dhcp6: true — IPv6 über DHCPv6 beziehen
  • accept-ra: true — Router Advertisements für SLAAC akzeptieren

Konfiguration anwenden:

sudo netplan apply

Beide Protokolle verifizieren:

ip addr show eth0
# Nach sowohl „inet" (IPv4) als auch „inet6" (IPv6) suchen

Linux: NetworkManager (Fedora, RHEL, CentOS)#

Mit NetworkManagers Kommandozeilenschnittstelle:

# Beide Protokolle auf Ihrer Verbindung aktivieren
nmcli connection modify "Wired connection 1" ipv4.method auto
nmcli connection modify "Wired connection 1" ipv6.method auto
 
# Änderungen anwenden
nmcli connection up "Wired connection 1"
 
# Konfiguration verifizieren
nmcli device show eth0

Für statische Dual-Stack-Konfiguration:

# Statische IPv4 und IPv6 konfigurieren
nmcli connection modify "Wired connection 1" \
  ipv4.method manual \
  ipv4.addresses 192.0.2.10/24 \
  ipv4.gateway 192.0.2.1 \
  ipv6.method manual \
  ipv6.addresses 2001:db8::10/64 \
  ipv6.gateway 2001:db8::1
 
nmcli connection up "Wired connection 1"

Windows 10/11#

Windows aktiviert Dual-Stack standardmäßig. Zum Verifizieren oder Neukonfigurieren:

GUI-Methode:

  1. Drücken Sie Win + R, geben Sie ncpa.cpl ein, drücken Sie Enter
  2. Rechtsklick auf Netzwerkadapter → Eigenschaften
  3. Verifizieren Sie, dass beide Protokolle gecheckt sind:
    • Internetprotokoll Version 4 (TCP/IPv4)
    • Internetprotokoll Version 6 (TCP/IPv6)
  4. Konfigurieren Sie die Eigenschaften jedes Protokolls nach Bedarf

PowerShell-Methode:

# Aktuelle Konfiguration prüfen
Get-NetIPAddress -InterfaceAlias "Ethernet"
 
# Automatische Konfiguration für beide Protokolle aktivieren
Set-NetIPInterface -InterfaceAlias "Ethernet" -Dhcp Enabled
Set-NetIPInterface -InterfaceAlias "Ethernet" -AddressFamily IPv6 -Dhcp Enabled
 
# Oder statische Adressen konfigurieren
New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress 192.0.2.10 -PrefixLength 24 -DefaultGateway 192.0.2.1
 
New-NetIPAddress -InterfaceAlias "Ethernet" `
  -IPAddress 2001:db8::10 -PrefixLength 64 -DefaultGateway 2001:db8::1
 
# Verifizieren
Get-NetIPAddress -InterfaceAlias "Ethernet"
Get-NetRoute -InterfaceAlias "Ethernet"

Linux-Router mit radvd#

Um ein Linux-System als Dual-Stack-Router zu konfigurieren, aktivieren Sie Forwarding und führen Sie Router Advertisement Daemon aus.

IP-Forwarding aktivieren:

# Temporär
sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl -w net.ipv6.conf.all.forwarding=1
 
# Permanent
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

radvd installieren und konfigurieren:

sudo apt install radvd  # Ubuntu/Debian
# oder
sudo dnf install radvd  # Fedora/RHEL

/etc/radvd.conf bearbeiten:

interface eth0
{
    AdvSendAdvert on;
    MinRtrAdvInterval 3;
    MaxRtrAdvInterval 10;
 
    prefix 2001:db8::/64
    {
        AdvOnLink on;
        AdvAutonomous on;
        AdvRouterAddr on;
    };
 
    RDNSS 2001:4860:4860::8888 2001:4860:4860::8844
    {
    };
};

Dienst starten:

sudo systemctl enable radvd
sudo systemctl start radvd

Clients im eth0-Netzwerk empfangen jetzt Router Advertisements und konfigurieren IPv6-Adressen automatisch über SLAAC.

Cisco IOS Router#

Dual-Stack auf einem Cisco-Router konfigurieren:

! IPv6-Routing aktivieren
ipv6 unicast-routing
 
! WAN-Interface konfigurieren (Dual-Stack)
interface GigabitEthernet0/0
 description WAN
 ip address dhcp
 ipv6 address autoconfig
 ipv6 enable
 no shutdown
 
! LAN-Interface konfigurieren (Dual-Stack)
interface GigabitEthernet0/1
 description LAN
 ip address 192.168.1.1 255.255.255.0
 ipv6 address 2001:db8:1::1/64
 ipv6 enable
 ipv6 nd prefix 2001:db8:1::/64
 ipv6 nd ra interval 10
 no shutdown
 
! Default-Routen konfigurieren
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
ipv6 route ::/0 GigabitEthernet0/0
 
! Konfiguration verifizieren
show ip interface brief
show ipv6 interface brief

SLAAC vs DHCPv6

Router Advertisements aktivieren SLAAC, das Client-Adressen ohne DHCP-Server auto-konfiguriert. Für mehr Kontrolle (DNS-Server, NTP, Domainnamen) verwenden Sie DHCPv6 neben SLAAC. Die meisten Netzwerke betreiben SLAAC wegen der Einfachheit.

Adressauswahlregeln#

Wenn ein Dual-Stack-Client zu einem Dual-Stack-Server verbindet, wie wählt er aus, welches Protokoll zu verwenden ist? RFC 6724 definiert den Source- und Destination-Adressauswahlalgorithmus.

Standard-Präferenzreihenfolge#

Der Algorithmus bewertet Adressen basierend auf diesen Regeln (vereinfacht):

  1. Gleichen Scope bevorzugen — Link-Local zu Link-Local, Global zu Global
  2. Passende Adressfamilie bevorzugen — Wenn Source IPv6 ist, IPv6-Destination bevorzugen
  3. Höhere Precedence bevorzugen — IPv6 hat höhere Standard-Precedence als IPv4
  4. Native Übertragung bevorzugen — Tunneling vermeiden, wenn möglich
  5. Kleineren Scope bevorzugen — Spezifischere Routen bevorzugen
  6. Längstes passendes Präfix verwenden — Spezifischere Routen gewinnen

Standardmäßig erhält IPv6 Präferenz über IPv4. Dies ist absichtlich — es ermutigt IPv6-Adoption und bietet bessere Performance (kein NAT-Overhead).

Warum IPv6 normalerweise gewinnt#

Bei gegebenem Dual-Stack-Client und Dual-Stack-Server:

Client hat:   192.0.2.100 und 2001:db8::100
Server hat:   192.0.2.10 und 2001:db8::10
DNS gibt zurück: A 192.0.2.10, AAAA 2001:db8::10

Der Auswahlalgorithmus:

  1. Beide Adressen haben globalen Scope → Gleichstand
  2. Client hat sowohl IPv4- als auch IPv6-Quelladressen → Gleichstand
  3. IPv6-Precedence (::ffff:0:0/96 = 35, ::/0 = 40) > IPv4-Precedence (::ffff:0:0/96 = 35) → IPv6 gewinnt

Ergebnis: Verbindung verwendet IPv6, es sei denn, IPv6-Konnektivität ist defekt.

Policy-Tabellen-Konfiguration#

Sie können das Standardverhalten durch Bearbeiten der Policy-Tabelle modifizieren. Dies ist selten nötig, aber nützlich für spezifische Anforderungen.

Linux (Glibc):

/etc/gai.conf bearbeiten (Adressauswahl-Policy):

# IPv4 über IPv6 bevorzugen (nicht empfohlen)
precedence ::ffff:0:0/96  100
precedence ::/0            50

Windows:

# Aktuelle Policy-Tabelle anzeigen
Get-NetIPv6Protocol | Format-List
 
# IPv4 bevorzugen (nicht empfohlen)
Set-NetIPv6Protocol -PreferredProtocol IPv4
 
# Auf Standard zurücksetzen (IPv6 bevorzugen)
Set-NetIPv6Protocol -PreferredProtocol IPv6

Erzwingen Sie keine IPv4-Präferenz

Das Überschreiben des Standards, um IPv4 zu bevorzugen, konterkariert den Zweck von Dual-Stack. Reparieren Sie defekte IPv6-Konnektivität, anstatt sie mit Policy-Änderungen zu verstecken. Nutzer in IPv6-Only-Netzwerken (Mobilfunkanbieter) werden degradierte Performance oder Ausfälle haben.

Wann IPv4 bevorzugt wird#

IPv4 wird in diesen Szenarien ausgewählt:

  1. Keine IPv6-Konnektivität — Wenn IPv6-Routing defekt ist, fällt Happy Eyeballs auf IPv4 zurück
  2. 6to4 oder Teredo — Getunneltes IPv6 hat niedrigere Precedence als natives IPv4
  3. Explizite Anwendungswahl — Anwendung erzwingt IPv4 (schlechte Praxis, aber passiert)
  4. Modifizierte Policy-Tabelle — Admin hat Präferenzreihenfolge manuell geändert

Die meisten als „IPv4 bevorzugt" gekennzeichneten Probleme sind tatsächlich defekte IPv6-Konnektivität, die Fallback auslöst.

DNS-Überlegungen#

Dual-Stack-DNS-Konfiguration ist kritisch. Fehlkonfiguriertes DNS verursacht Verbindungsverzögerungen, Ausfälle oder unerwartete Protokollauswahl.

Beide Record-Typen veröffentlichen#

Für jeden Dual-Stack-Service veröffentlichen Sie sowohl A- als auch AAAA-Records:

example.com.    300    IN    A        192.0.2.10
example.com.    300    IN    AAAA     2001:db8::10

Veröffentlichen Sie AAAA nicht, wenn IPv6 nicht funktioniert. Clients werden zuerst IPv6 versuchen, scheitern, dann nach Verzögerung auf IPv4 zurückfallen. Dies schafft schlechte Nutzererfahrung.

Auflösungsreihenfolge#

Moderne DNS-Resolver fragen A und AAAA simultan oder mit minimaler Verzögerung ab. Der Resolver gibt beide Typen zurück, und das OS des Clients führt Adressauswahl durch.

Einige ältere oder fehlkonfigurierte Resolver fragen sequentiell ab (zuerst A, dann AAAA). Dies fügt Latenz hinzu, bricht aber keine Funktionalität.

Was passiert, wenn ein Protokoll ausfällt#

Wenn IPv6 erreichbar ist, aber der Service nicht auf IPv6 antwortet:

  1. Client versucht IPv6-Verbindung
  2. Verbindung läuft in Timeout oder wird abgelehnt
  3. Happy Eyeballs versucht IPv4 parallel oder nach kurzer Verzögerung
  4. IPv4-Verbindung gelingt

Gesamtverzögerung: typischerweise 50-250ms plus Verbindungs-Timeout (1-3 Sekunden im schlimmsten Fall). Spürbar, aber nicht katastrophal.

Die bessere Lösung: IPv6-Konnektivität reparieren oder AAAA-Records entfernen, bis IPv6 funktioniert.

TTL-Angleichung#

Setzen Sie dieselbe TTL für A- und AAAA-Records. Nicht übereinstimmende TTLs verursachen inkonsistentes Caching und seltsames Client-Verhalten.

# Gut
example.com.    300    IN    A        192.0.2.10
example.com.    300    IN    AAAA     2001:db8::10
 
# Schlecht — nicht übereinstimmende TTLs
example.com.    300    IN    A        192.0.2.10
example.com.    3600   IN    AAAA     2001:db8::10

Wenn Sie IP-Adressen ändern müssen, senken Sie zuerst TTL bei beiden Records. Warten Sie, bis alte TTL abläuft, dann ändern Sie IPs und stellen normale TTL wieder her.

Häufige Probleme und Lösungen#

ProblemUrsacheLösung
Langsamer VerbindungsaufbauIPv6-Timeout dann IPv4-FallbackIPv6-Konnektivität reparieren oder AAAA-Records entfernen
Intermittierende VerbindungsfehlerEin Protokoll defekt, Happy Eyeballs im WettlaufBeide Protokolle unabhängig mit curl -4 und curl -6 testen
Anwendung verwendet nur IPv4Hartcodiertes IPv4, alte Bibliothek oder bindet an 0.0.0.0Anwendungseinstellungen prüfen, Code aktualisieren, um an :: zu binden
Keine IPv6-Default-RouteRouter sendet keine RAs oder DHCPv6 liefert keine RouteRouter-Konfiguration verifizieren, ip -6 route show prüfen
Windows bevorzugt IPv4Teredo oder 6to4 aktiv (Tunneling)Tunnel-Interfaces deaktivieren: netsh interface teredo set state disabled
Firewall blockiert IPv6IPv6-Regeln nicht konfiguriert oder zu restriktivDieselbe Sicherheitspolicy auf beide Protokolle anwenden
Privacy-Adressänderung bricht VerbindungenRFC 4941 temporäre Adressen rotierenStabile Adressen für Server verwenden, temporäre für Clients
Path MTU Discovery schlägt fehlICMPv6 „Packet Too Big" blockiertICMPv6 Typ 2 in Firewall-Regeln erlauben

Detailliertes Troubleshooting: Langsame Verbindungen#

Die meisten Dual-Stack-Beschwerden betreffen „langsame" Verbindungen. Dies bedeutet normalerweise defektes IPv6, das Fallback-Verzögerungen auslöst.

Diagnostizieren:

# Nur IPv4 testen
curl -4 -w "Zeit: %{time_total}s\n" -o /dev/null -s https://example.com
 
# Nur IPv6 testen
curl -6 -w "Zeit: %{time_total}s\n" -o /dev/null -s https://example.com
 
# Standard testen (Dual-Stack)
curl -w "Zeit: %{time_total}s\n" -o /dev/null -s https://example.com

Wenn -6 fehlschlägt oder Timeout hat, aber -4 gelingt, und Standard Verzögerungen zeigt, haben Sie defektes IPv6.

Fix-Optionen:

  1. IPv6 reparieren — Bevorzugte Lösung. Routing, Firewall-Regeln oder ISP-Konnektivität debuggen.
  2. AAAA-Records entfernen — Temporärer Workaround. Service wird IPv4-Only, bis Sie IPv6 reparieren.
  3. IPv6 auf Servern nicht deaktivieren — Dies bricht Dinge und versteckt das echte Problem.

Überwachung von Dual-Stack-Netzwerken#

Sie können nicht verwalten, was Sie nicht messen. Dual-Stack-Netzwerke erfordern Überwachung beider Protokolle unabhängig.

Beide Protokolle testen#

Testen Sie Konnektivität separat, um zu identifizieren, welches Protokoll ausfällt:

# Ping über IPv4
ping -4 google.com
 
# Ping über IPv6
ping -6 google.com
 
# Traceroute über IPv4
traceroute -4 google.com
 
# Traceroute über IPv6
traceroute -6 google.com
 
# Curl mit spezifischem Protokoll
curl -4 https://example.com
curl -6 https://example.com

Bauen Sie diese Tests in Überwachungsskripte ein. Alarmieren Sie, wenn ein Protokoll ausfällt, auch wenn das andere funktioniert.

Zu verfolgende Metriken#

Überwachen Sie diese Dual-Stack-spezifischen Metriken:

  1. Protokollverteilung — Prozentsatz des Verkehrs über IPv4 vs IPv6
  2. Verbindungserfolgsrate — Pro Protokoll, fehlgeschlagene Verbindungen verfolgen
  3. Antwortzeit — IPv4- und IPv6-Latenz vergleichen
  4. BGP-Präfixe — Sicherstellen, dass sowohl IPv4- als auch IPv6-Routen beworben werden
  5. DNS-Abfrage-Verhältnis — A- vs AAAA-Abfrageraten verfolgen
  6. ICMPv6-Fehlerraten — Spitzen zeigen Routing- oder MTU-Probleme

Diese Metriken im Zeitverlauf zu verfolgen zeigt Adoptionsfortschritt und hebt Probleme hervor, bevor sie Nutzer betreffen.

Alarmierung bei Protokollausfällen#

Erstellen Sie separate Alarme für jedes Protokoll:

  • IPv4-Default-Gateway nicht erreichbar
  • IPv6-Default-Gateway nicht erreichbar
  • AAAA-Record veröffentlicht, aber IPv6-Service nicht erreichbar
  • Spitze in IPv6-Verbindungs-Timeouts
  • Asymmetrisches Routing (Verkehr über IPv6 gesendet, über IPv4 zurückgegeben)

Verlassen Sie sich nicht auf generische „Service down"-Alarme. Sie brauchen protokollspezifische Sichtbarkeit.

Test-Tools#

Verwenden Sie diese Tools, um Dual-Stack-Betrieb zu verifizieren:

  • ping6.net-Tools — Testen Sie IPv4- und IPv6-Konnektivität aus verschiedenen Perspektiven
  • curl mit -4/-6-Flags — Erzwingen Sie Protokollauswahl für HTTP(S)-Tests
  • dig +short A/AAAA — Verifizieren Sie, dass DNS beide Record-Typen zurückgibt
  • tcpdump/wireshark — Erfassen und analysieren Sie protokollspezifischen Verkehr
  • mtr -4 / mtr -6 — Kontinuierliches Traceroute, das Pfadunterschiede zeigt

Unser Ping-Tool und Traceroute-Tool unterstützen Erzwingen von IPv4 oder IPv6, was Dual-Stack-Tests unkompliziert macht.

Sicherheitsüberlegungen#

Dual-Stack erweitert Ihre Angriffsfläche. Beide Protokolle benötigen äquivalente Sicherheitsrichtlinien.

Firewall-Regeln für beide Protokolle#

Der häufigste Dual-Stack-Sicherheitsfehler: Vergessen, IPv6-Firewall-Regeln zu konfigurieren. Admins verbringen Jahre damit, IPv4-ACLs aufzubauen, dann aktivieren sie IPv6 ohne Filterung. Angreifer lieben das.

Wenden Sie dieselbe Sicherheitspolicy auf beide Protokolle an:

Wenn Ihre IPv4-Policy ist:

DENY all inbound außer:
  - TCP 22 (SSH) vom Management-Netzwerk
  - TCP 443 (HTTPS) von überall
  - ICMP Echo-Request (Ping)

Muss Ihre IPv6-Policy sein:

DENY all inbound außer:
  - TCP 22 (SSH) vom Management-Netzwerk
  - TCP 443 (HTTPS) von überall
  - ICMPv6-Typen 1,2,3,4,128,129 (essentielle Typen)
  - ICMPv6-Typen 133-137 (Neighbor Discovery, nur lokal)

Tools wie ip6tables, nftables oder kommerzielle Firewalls unterstützen Dual-Stack. Konfigurieren Sie beide Adressfamilien.

Häufiger Fehler: IPv4 sichern, aber IPv6 vergessen#

Organisationen aktivieren IPv6 für Compliance oder Testing, dann vergessen sie, dass es aktiv ist. Angreifer scannen IPv6-Bereiche auf der Suche nach ungefilterten Hosts.

Beispielszenario:

  1. Admin konfiguriert restriktive IPv4-Firewall, nur HTTPS exponiert
  2. IPv6 wird auf Router für „Zukunftsbereitschaft" aktiviert
  3. Server erhält IPv6-Adresse via SLAAC
  4. Keine IPv6-Firewall-Regeln konfiguriert
  5. Angreifer scannt 2001:db8::/64, findet exponiertes SSH, Datenbanken, interne Services

Prävention:

  • IPv6-Firewall-Regeln wie IPv4 auditieren
  • Standard-Deny auf beiden Protokollen
  • Mit IPv6-Only-Scanning-Tools testen
  • Auf unerwartete IPv6-Verbindungen überwachen

Kritische Sicherheitslücke

IPv6 ohne Firewall-Konfiguration zu aktivieren ist äquivalent dazu, Server direkt ins Internet zu stellen ohne Filterung. Konfigurieren Sie immer IPv6-Sicherheitsregeln, bevor Sie AAAA-Records veröffentlichen.

Privacy-Extensions für Clients#

SLAAC generiert Adressen unter Verwendung der MAC-Adresse des Interfaces (EUI-64-Format). Dies schafft einen stabilen, verfolgbaren Identifikator über Netzwerke hinweg — ein Privacy-Problem für mobile Clients.

Privacy-Extensions (RFC 4941) generieren zufällige temporäre Adressen, die periodisch rotieren. Clients verwenden temporäre Adressen für ausgehende Verbindungen, während sie eine stabile Adresse für eingehende Verbindungen beibehalten.

Privacy-Extensions aktivieren:

Linux:

# Status prüfen (2 = temporäre Adressen bevorzugen)
sysctl net.ipv6.conf.all.use_tempaddr
 
# Aktivieren
sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
 
# Permanent machen
echo "net.ipv6.conf.all.use_tempaddr = 2" | sudo tee -a /etc/sysctl.conf

Windows:

Privacy-Extensions sind standardmäßig auf Windows 7 und später aktiviert. Verifizieren:

netsh interface ipv6 show privacy

macOS:

Standardmäßig aktiviert. Keine Konfiguration nötig.

Wichtig: Aktivieren Sie Privacy-Extensions nicht auf Servern. Temporäre Adressen brechen DNS, Überwachung und Firewall-Regeln. Verwenden Sie sie nur auf Client-Geräten.

Wann IPv6-Only in Betracht ziehen#

Dual-Stack ist eine Übergangsstrategie, nicht das Endziel. Schließlich wechseln Netzwerke zu IPv6-Only, vereinfachen Operationen und eliminieren IPv4-Adressknappheit.

Mobilfunkanbieter verwenden bereits IPv6-Only#

Große Mobilfunkanbieter (T-Mobile USA, Reliance Jio, EE UK) betreiben IPv6-Only-Core-Netzwerke. Sie verwenden 464XLAT (NAT64 + CLAT), um bei Bedarf IPv4-Konnektivität bereitzustellen.

Nutzer bemerken es nicht. Ihre Telefone haben IPv6-Adressen, und Legacy-IPv4-Only-Apps funktionieren transparent durch Übersetzung.

NAT64/DNS64 für IPv4-Zugriff#

IPv6-Only-Netzwerke greifen mit NAT64 und DNS64 auf IPv4-Services zu:

  1. Client fragt DNS nach IPv4-Only-Service ab
  2. DNS64 synthetisiert AAAA-Record unter Verwendung von NAT64-Präfix: 64:ff9b::192.0.2.10
  3. Client sendet IPv6-Verkehr an synthetisierte Adresse
  4. NAT64-Gateway übersetzt zu IPv4, leitet an Service weiter
  5. Antworten werden zurück zu IPv6 übersetzt

Dies erlaubt IPv6-Only-Clients, das verbleibende IPv4-Internet zu erreichen, ohne Dual-Stack zu betreiben.

Wann IPv6-Only bereitstellen:

  • Mobile Netzwerke (bereits Standard)
  • Neue Datacenter-Builds (IPv4 vollständig vermeiden)
  • Greenfield-Deployments ohne Legacy-Anforderungen
  • Organisationen mit voller Kontrolle über Clients und Anwendungen

Wann Dual-Stack behalten:

  • Bestehende Unternehmensnetzwerke (IPv4-Abhängigkeiten dauern Jahre zu eliminieren)
  • Netzwerke mit Legacy-Hardware/Software
  • Umgebungen, wo Sie nicht alle Clients kontrollieren
  • Internet-facing Services (Dual-Stack maximiert Erreichbarkeit)

Vereinfachungsvorteile#

Ein Protokoll statt zwei zu betreiben reduziert:

  • Routing-Tabellengröße (eine Tabelle statt zwei)
  • Firewall-Komplexität (eine Policy statt zwei)
  • IP-Adressverwaltungs-Overhead
  • Überwachungs- und Alarmierungskomplexität

Aber diese Vorteile materialisieren sich erst nach vollständiger IPv4-Eliminierung. Dual-Stack ist komplexer als IPv4-Only oder IPv6-Only, aber es ist der einzige praktische Migrationspfad für die meisten Netzwerke.

Verwandte Artikel#

Testen Sie Ihr Dual-Stack-Netzwerk

Verwenden Sie unser Ping-Tool mit -4- und -6-Flags, um beide Protokolle unabhängig zu testen, und unser Traceroute-Tool, um Routing-Pfade zu verifizieren.

Häufig gestellte Fragen#

Verdoppelt Dual-Stack meine Bandbreitennutzung?

Nein. Verkehr verwendet entweder IPv4 oder IPv6 für jede Verbindung, nicht beide. Dual-Stack bedeutet, beide Protokolle sind verfügbar, aber einzelne Verbindungen wählen eins und bleiben dabei.

Einige Protokolle (wie BGP) könnten Routing-Informationen über beide Adressfamilien austauschen, aber das ist vernachlässigbarer Overhead.

Warum ist mein Dual-Stack-Netzwerk langsamer als IPv4-Only?

Es sollte nicht sein. Langsamere Performance zeigt normalerweise defektes oder fehlkonfiguriertes IPv6, das Verbindungs-Timeouts auslöst, bevor auf IPv4 zurückgefallen wird. Testen Sie jedes Protokoll unabhängig mit curl -4 und curl -6, um zu identifizieren, welches ausfällt.

Wenn IPv6 langsamer aber funktionierend ist, prüfen Sie auf Routing-Ineffizienzen oder ISP-Peering-Probleme. IPv6-Pfade sind nicht immer so gut optimiert wie IPv4-Pfade (noch).

Kann ich Dual-Stack mit NAT betreiben?

Ja. IPv4 kann NAT verwenden, während IPv6 globale Adressen ohne NAT verwendet. Dies ist in Unternehmens- und Heimnetzwerken üblich. Ihr Router übersetzt private IPv4-Adressen (192.168.x.x, 10.x.x.x), während er IPv6 unverändert durchlässt.

IPv6 braucht kein NAT. Verwenden Sie Firewalls, statt sich auf NAT für Sicherheit zu verlassen.

Sollte ich IPv6 deaktivieren, wenn ich es nicht verwende?

Nein. Microsoft, Apple und Linux-Distributionen empfehlen alle, IPv6 aktiviert zu lassen, auch wenn Sie es nicht aktiv verwenden. IPv6 zu deaktivieren kann Features wie DirectAccess, HomeGroup, Windows Update brechen und DNS-Auflösungsverzögerungen verursachen.

Wenn Sie es wirklich nicht brauchen, ist es harmlos, wenn aktiviert. Wenn Sie es später brauchen könnten, sparen Sie sich Neukonfigurationsaufwand, indem Sie es aktiviert lassen.

Wie weiß ich, ob mein Verkehr IPv4 oder IPv6 verwendet?

Prüfen Sie aktive Verbindungen mit:

# Linux/macOS
netstat -tuln | grep -E '(tcp|udp)'
 
# Windows PowerShell
Get-NetTCPConnection | Select-Object LocalAddress,RemoteAddress
 
# Oder verwenden Sie tcpdump, um tatsächliche Pakete zu sehen
sudo tcpdump -n -i eth0 'ip6 or ip'

IPv6-Adressen sind länger und enthalten Doppelpunkte. IPv4-Adressen sind gepunktete Dezimalzahlen. Die meisten Überwachungstools kennzeichnen Verkehr nach Protokoll.

Besuchen Sie ping6.net , um zu sehen, welches Protokoll Sie verwenden, um unsere Site zu erreichen.