Tag Archives: IPv6

IPv6 voor mailverkeer

Afgelopen woensdag was het World IPv6 Day en in navolging daarvan werden een aantal maildomeinen voorzien een AAAA-record in DNS naast het gebruikelijke A-records. Hiermee wordt zowel een IPv6 als IPv4 adres geadverteerd om mail op af te leveren. Als eerste zijn de spamtrap-domeinen om gegaan afgelopen woensdag en afgelopen zaterdag zijn enkele andere kleine domeinen omgezet. Nu de time-to-live op de oude records is verlopen komt vandaag langzaam de e-mailstroom over IPv6 op gang.

Voorlopig lijken spammers IPv6 links te laten liggen, maar hoe lang dat zo zal blijven is de vraag. Hiermee komt ook gelijk de vraag of een DNSBL voor mail over IPv6 opzetten nog wel zinvol is. Een computer met IPv6 Privacy Extensions enabled wisselt om de zoveel uur van IPv6-adres en zou dus eigenlijk eigenlijk afdwingen om op network-niveau te gaan blacklisten en misschien ook wel om te gaan whitelisten en greylisten. Hiermee komt eigenlijk ook de vraag hoe valide Spamhaus nog is en wat voor impact dit gaat hebben op de Bayesian filtering opstelling die nu zijn werk doet.

World IPv6 Day

Of de wereld vergaat op de dag dat we door IPv4-adressen zijn of zo goed als blijft de vraag, maar de uitrol van IPv6 wil eigenlijk ook niet echt starten helaas. Vooral de thuisgebruikers zitten redelijk vast aan IPv4-only en dat is te merken, want steeds meer servers to server verbindingen kunnen redelijk goed op IPv4 en IPv6 plaats vinden. Oa de protocollen DNS en SMTP zijn daar zeer geschikt voor en eindgebruikers merken er weinig van als er problemen zouden optreden.

Voor de mensen met IPv6 op hun desktop is 8 juni 2011 de grote testdag aangezien het dan World IPv6 Day is. Een dag lang sites die connectiviteit testen doen door AAAA-records te publiceren in DNS en te kijken waar er mogelijk problemen zitten in de connectiviteit. Of er daadwerkelijk ook echt grote problemen zullen ontstaan blijft de vraag en voorlopig is de lijst van deelnemers al erg groen of terecht rood.

Voorlopig is deze blog nu ook via IPv6 bereikbaar en hoogstwaarschijnlijk zal dat ook zo blijven of er moeten serieuze issues zijn. Daarbij de komende paar dagen ook een aardige widget erbij om te tonen hoe je verbinding maakt, maar het nerd-gehalte is te hoog om die een permanente plek te geven.

RFC 5006 ondersteuning

Sinds enige tijd doe ik mee aan de IPv6-pilot van XS4ALL om gebruik te kunnen maken van IPv6 zonder dit via een extra tunnel te doen. In een recente update, versie 54.04.81-17599, voor oa de Fritz!Box 7270 van AVM is de ondersteuning voor RFC 5006 goed aangepakt. Helaas staat deze optie standaard uit, maar wel begrijpelijk om potentiƫle problemen te voorkomen met minder goed werkende netwerk hardware. Gelukkig zijn zowel MacOS X als vele Linux distributies klaar voor RFC 5006.

De vraag alleen is wat heb je aan RFC 5006? Het ligt eigenlijk in de provisioning van de nameservers die kunnen worden gebruikt als resolver. Met de komst van IPv6 is een DHCP-server eigenlijk niet meer nodig en blijft de vraag over hoe je sommige configuratie-items gaat zetten. En hoewel RFC 5006 een smerige hack lijkt is het eigenlijk wel netjes, want er zijn voorzieningen om bepaalde uitgiften te laten ondertekenen in IPv6. Hiermee gebruikt de client alleen gegevens met het juiste signature en is het eigenlijk veiliger dan vele DHCP-oplossingen die nu binnen bedrijven staan, maar een daadwerkelijke bruikbare oplossing laat nog op zich wachten.

Het aan de praat krijgen op bv Debian of Ubuntu is vrij simpel met de volgende opdracht.

$ sudo apt-get install rdnssd resolvconf

Als je nu reboot en kijkt in /etc/resolv.conf krijg je bv het volgende te zien:

$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver fd00::21f:3fff:fe30:4ff0
nameserver 192.168.178.1
search fritz.box

Wat nu nog overblijft is NTP wat met behulp van NTP-broadcasting gedaan zou kunnen worden, maar hier kleven wel nadelen aan. Want hoe kan je de broadcaster vertrouwen dat hij de juiste tijd geeft? Hoor ik hier een oplossing in DNSSEC?

Google aan de IPv6

Vorig jaar melde ISPam.nl nog dat Google alleen op afspraak via IPv6 te bereiken was en later dat jaar volgde XS4ALL als een van de providers met een IPv6 verbinding naar Google. Sinds 2008 deed Google al testen onderwater met IPv6 op hun eigen homepage om te kijken welke gebruikers IPv6 veilig konden gebruiken.

Maar nu blijkt GMail ook via IPv6 bereikbaar te zijn en bij controle lijken ook andere diensten via IPv6 te werken. Zal het dan toch eens waarheid gaan worden? Misschien wordt het dan toch tijd om de beta-firmware met IPv6 voor mijn Fritz!Box toch maar een te gaan inladen. De IPv6-tunnel ligt al een tijd plat hier helaas.

Introductie tot ZeroConf

Het Avahi-project bestaat nu ongeveer drie jaar en andere implementaties zelfs al veel langer. Zelfs Windows heeft het link-local gedeelte geimplementeerd, maar is helaas daar dan ook gestopt. Gelukkig zijn andere zoals Apple en HP doorgegaan en zijn multicast-DNS aan het implementeren met veel succes zelfs. De FOSS-wereld is met oa Avahi ook hard bezig om de schade in te halen en gebruikers een steeds betere ervaring geven van wat ZeroConf nu eigenlijk is.

In 2005 had Google over dit onderwerp een techtalk welke redelijk netjes weergeeft wat allemaal kan worden bereikt met ZeroConf en welke punten er nog open zijn. Zeker met de komst van IPv6 zal er nog wat werk komen wat moet worden uitgezocht.