DER NETZWERK INSIDER – Ausgabe August 2023

Schon wieder ein Artikel zu Problemen mit IPv4? Die Treuesten unserer Leserschaft mögen darüber schmunzeln, dass ComConsult immer wieder mit diesem Thema kommt. Gehässige mögen sagen, wir wollen nur unser IPv6-Seminar vermarkten. Ja, wir sind hartnäckig und bleiben am Thema dran, so zum Beispiel, wenn wir berichtet haben, dass AWS die IPv6-Unterstützung erweitert hat. Doch können wir etwas dafür, dass es immer wieder aktuelle Anlässe gibt, darüber zu sprechen?

Es gibt einen solchen aktuellen Anlass.

Was haben der Trabi und IPv4-Adressen gemeinsam?

Der Trabi war in der DDR begehrt. Die Rekordwartezeit darauf betrug 12 Jahre. Ganz so lang war die letzte bekannt gegebene prognostizierte Wartezeit auf IPv4-Adressen für Mitglieder von RIPE (Réseaux IP Européens), der Regional Internet Registry (RIR) für Europa, den Mittleren Osten und Teile von Zentralasien nicht (Übrigens: Im sogenannten Mittleren Osten vermeidet man zunehmend diese eurozentrische Bezeichnung und spricht lieber von Westasien). Organisationen, die für 1500 € im Jahr RIPE-Mitglied wurden, konnten sich bis Frühjahr 2023 auf eine Warteliste setzen und darauf hoffen, nach der prognostizierten Wartezeit von zuletzt ungefähr einem Jahr einen IPv4-Adressraum mit der Subnetzmaske /24 (d.h. 256 einzelne Adressen) zu bekommen.

Nun zu dem aktuellen Anlass: Der RIPE NCC (Network Coordination Centre) Board hat auf seiner Sitzung am 21. April 2023 beschlossen, bis auf Weiteres keine RIPE-Mitglieder mehr neu auf die Warteliste zu setzen, bis die RIPE-NCC-Generalversammlung über eine neue Gebührenordnung entschieden hat. Auf der Generalversammlung von RIPE NCC, die vom 24. bis 26. Mai stattfand, wurde über das Thema gesprochen. Zumindest in den darauffolgenden vier Wochen gab es jedoch zum Thema IPv4-Warteliste nur Funkstille.

Die aktuellste Entwicklung bei RIPE hat noch einmal verdeutlicht, was der Trabi und IPv4-Adressen gemeinsam haben: So wie der Trabi ein knappes Gut war, sind es IPv4-Adressen auch. Beim Trabi kam das Ende abrupt: Als die Grenze zwischen den beiden deutschen Staaten Ende der 1980er Jahre geöffnet wurde, entfiel die Nachfrage nach dem Trabant. Bei IPv4 wird es allerdings ein so schnelles Ende nicht geben.

Grund für die erhöhte Nachfrage

Warum ist die Warteliste bei RIPE NCC immer länger geworden, bis sie vorläufig geschlossen wurde? Der Grund ist die zunehmende Kritikalität der Anbindung an das Internet für immer mehr Organisationen. Spätestens seit Beginn der Pandemie und dem damit einsetzenden Boom der mobilen und Heim-Arbeit ist der Internetanschluss für fast jede Organisation unverzichtbar geworden. Ohne Internetanschluss keine Kommunikation mit Kunden, Lieferanten, Partnern – und seit über 3 Jahren eben auch mit einem signifikanten Anteil des eigenen Personals. Auch wenn die Pandemie vorbei ist, hat der Fernzugriff der Mitarbeiter auf die IT-Ressourcen des Arbeitgebers ihre Bedeutung für die meisten Organisationen behalten.

Uns ist eine Reihe von Beispielen aus den letzten drei Jahren bekannt, in denen eine Organisation schmerzhaft die Folgen des Ausfalls der Internetanbindung erlebt hat. Anschauliches Szenario: Die Organisation ist über Provider 1 mit dem Internet verbunden. Dieser Provider hat ein Peering-Verhältnis mit dem Provider 2, der zufällig einen großen Teil der Internetanschlüsse in den Wohnungen der Mitarbeiter stellt. Ist das Peering zwischen den beiden Providern gestört, hat ein Großteil des Personals keinen Fernzugriff mehr. In Corona-Zeiten war das gleichbedeutend mit der Nichtproduktivität dieses Teils des Personals. Heute wäre es weiterhin ärgerlich, wenn die Tagesplanung des Personals durch einen Internetausfall in der Firmenzentrale durcheinandergeworfen wird und die Leute zum Arbeiten anders als vorgehabt ins Büro fahren müssen.

Bedeutung von Provider Independent Addresses

Das Beispiel mit dem gestörten Peering zwischen zwei Providern verdeutlicht, warum sich viele Organisationen nicht mehr auf die Dienste eines einzelnen Providers verlassen wollen, wenn es um den Internetanschluss geht. Der Trend geht also in Richtung Dual- oder gar Multi-Provider-Anbindung.

Eine Möglichkeit, mit mindestens zwei Providern eine höhere Verfügbarkeit der eigenen Internetanbindung zu erreichen, besteht darin, von jedem Provider einen Adressraum der Kategorie Provider-aggregatable address space (PA) zu erhalten: PA1 vom Provider 1 und PA2 vom Provider 2. Solche Adressen sind noch verfügbar und bei einer Reihe von Providern erhältlich. Sie stammen aus einem größeren Block, der dem jeweiligen Provider zugewiesen ist. Ein solcher Block wird im Internet als Ganzes, d.h. en bloc, geroutet. Das ist der Grund, weshalb es in der Regel nicht möglich ist, PA1 vom Provider 2 bzw. PA2 von Provider 1 routen zu lassen. Ein Herausschneiden einzelner kleiner Blöcke aus einem großen PA-Adressblock würde zum Zerfleddern der übersichtlich zugewiesenen Adressbereiche der Provider führen. Das bedeutet: Bei Verwendung von PA-Adressen ist eine Organisation eben mit mehr als einem PA-Block im Internet erreichbar. Hochverfügbarkeit bedeutet in einem solchen Fall, die Möglichkeit des schnellen und automatischen Wechsels von einem zum anderen PA-Adressblock zu schaffen. Um auf das Beispiel Fernzugriff zurückzukommen, ist es dann notwendig, dass zum Zugriff auf das zentrale Gateway der VPN-Client der mobilen und Heimarbeiter bei Nichterreichbarkeit von PA1 zu PA2 wechselt und umgekehrt, möglichst, ohne dass der Benutzer etwas tun muss. Diese Anforderung kann auf alle anderen Szenarien übertragen werden, in denen eine zentrale Ressource einer Organisation über Provider 1 und Provider 2 erreichbar sein muss. Es ist nicht unmöglich, Lösungen dafür zu schaffen. Einfach ist es jedoch nicht.

Einfacher ist es, wenn die Organisation einen Adressraum der Kategorie provider-independent address space (PI) hat. Man kann von Providern erwarten und fordern, dass sie einen solchen PI-Block, der dem Kunden zugewiesen ist, im Internet routen. Dann routen sowohl Provider 1 als auch Provider 2 den PI-Block, und die Hochverfügbarkeit wird am besten mithilfe des etablierten Routing-Protokolls im Internet, nämlich Border Gateway Protocol (BGP), realisiert. Mit BGP werden Änderungen im Netz, zum Beispiel der Ausfall einer Verbindung oder die anderweitig verursachte Nichterreichbarkeit eines Ziels über eine Route, nach relativ kurzer Zeit allgemein bekannt. Neben einem PI-Block wird noch eine öffentliche Autonomous System Number (ASN) benötigt, die ebenfalls von einer RIR erhältlich ist. Öffentliche ASN sind kein knappes Gut. Jedes RIPE-NCC-Mitglied kann eine solche ASN beantragen und erhalten. Alternativ ist es möglich, dass eine Firma eine Local Internet Registry (LIR), in der Regel einen Provider, damit beauftragt, als „Sponsoring LIR“ eine ASN im Auftrag der Firma zu beantragen.

Angebot und Nachfrage

Die PI-IPv4-Adressen sind fast restlos vergriffen. Das Angebot ist denkbar knapp und beschränkt sich auf relativ seltene Fälle, in denen PI-Adressen von ihren bisherigen Haltern zurückgegeben werden. Knappes Angebot, steigende Nachfrage: Man kann sich denken, was die Folge ist, nämlich steigende Preise. Als Non-Profit-Organisation kann eine RIR nicht einfach an der Preisspirale drehen. Anders diejenigen, die an einer RIR vorbei PI-Adressen anbieten. Es ist möglich, dass sich Organisation A, die PI-Adressen anbietet, und Organisation B, die solche Adressen benötigt, auf einen Preis einigen und dann die Organisation A den Wechsel eines PI-Adressblocks von A und zu B einer RIR mitteilt. Für diesen regen Handel gibt es einen etablierten Markt, mit Händlern, Maklern, Käufern und Verkäufern. Laut Maklerangaben liegt der Preis pro Einzeladresse zurzeit zwischen 40 und 50 Euro. Man muss also über 10.000 Euro bezahlen, wenn man sich für den kleinsten en bloc routebaren Bereich von 256 Adressen (Subnetzmaske /24) entscheidet.

Ist damit das Ende der Fahnenstange erreicht, und werden die Preise sinken? Ich befürchte nein.

Heizen Sie noch mit Fossilen?

Dieselben Politiker, die bis vor eineinhalb Jahren alle dazu gedrängt haben, bei der Heizung auf Gas umzustellen, stellen nun die obige Frage mit einem vorwurfsvollen Unterton. Während Millionen Haushalte keine reale Möglichkeit haben, von fossilen auf erneuerbare Energien umzusteigen, ist es beim Wechsel von IPv4 zu IPv6 anders. Dieser Wechsel ist nicht annähernd so schwer wie der Abschied von fossilen Energieträgern. Und trotzdem quält sich das Gros der IT-Branche mit IPv4 herum. Zumindest für den Internetanschluss wäre die Lösung klar: Bei IPv4 kann man PA-Adressen nutzen. Hochverfügbarkeit mit PI-Adressen und BGP kann man mit IPv6 realisieren, ohne dass man über 10.000 € für Adressen zahlen muss, denn bei IPv6-Adressen der Kategorie PI ist es so wie bei ASN: Sie sind verfügbar und entweder über den Weg der RIPE-Mitgliedschaft oder mithilfe einer Sponsoring LIR erhältlich.

Diese Lösung schneidet keine Firma von der Kommunikation mit Zielen ab, die nur IPv4 unterstützen. Ausgehender ausfallsicherer Zugriff auf diese Ziele ist möglich, denn bei Problemen mit einem Provider kann automatisch oder mit wenigen Handgriffen auf einen anderen Provider gewechselt werden. Für hochverfügbare eingehende Zugriffe gilt, dass man dafür IPv6 nutzt. Die meisten solcher Szenarien sind entweder Web- oder VPN-Zugriffe. Beide sind in der Regel über IPv6 realisierbar, wenn man es wirklich will. Und wer eine Anwendung für eingehenden Zugriff betreibt, die IPv6 nicht unterstützt, muss eben damit leben, dass für diese Anwendung Hochverfügbarkeit mit mindestens zwei Providern und BGP nicht möglich ist. Es gibt Schlimmeres.

Fazit

Wenn Sie nicht zur glücklichen Minderheit zählen, die genug öffentliche IPv4-PI-Adressen hat, haben Sie die Wahl: Hoffen, dass das Trabi-Werk unserer Zeit wieder die Warteliste öffnet und man dann nach mindestens einem Jahr einen Adressbereich bekommt, oder mindestens 10.000 € (Tendenz wahrscheinlich steigend) für einen PI-Block zu zahlen, oder dem ganzen Hype um das knappe Gut IPv4-Adressen eine lange Nase zu drehen und auf IPv6 zu setzen.