Ipv6 is nog in de kinderschoenen en onveilig.

Kom maar op met de bewijzen!

ISPs in de eerste plaats moeten standaard ipv6 gaan ondersteunen. Daar ligt de bal. Voor de eindgebruiker is het slechts settings en beveiligingstools aanpassen. Nog maar weinig hardware zal géén ipv6 ondersteunen.
Dit stimuleert ook de web developer. Het maakt 'm gelukkiger

Tegen die tijd zijn ze overbelast en draait er niks meer.

De eindgebruiker hoeft volgens mij niks bijzonder te doen - IPv6 staat default aan in de courante OSen/platformen .
Dus alleen als de eindgebruiker of z'n beveiligingstools het expliciet uitgeschakeld hebben werkt het niet vanzelf.

Op moment is m.i. de grootste blokkade dat access ISPs het niet breed genoeg ondersteunen.
Mooi dat de overheid ook wil zorgen dat hun content op V6 beschikbaar is - maar de grote volumes van content (FB, Google/YT ) zijn al geruime tijd op IPv6.

Overigens - waarom maakt V4/V6 uit voor een webdeveloper ? De (web)server admin ziet het absoluut, maar de webdeveloper ?

Het werd in 1998 een draft standaard en in 2017 een standaard, dat zijn redelijk oude kinderschoenen als je het mij vraagt.
Zelf heb ik al sinds ergens 2005 ofzo alles dual stack, en buiten de risico's die ook aan IPv4 zitten zijn er geen verschillen.

Maar waarom ondersteunen zo vele Nederlandse ISP's dit nog niet.
Ze hebben wel DNSSEC uitgerold maar geen ipv6.

Is het net als met glasvezel. Eerst moet het koperdraad "uitgemolken"zijn?

J.O.

Ah, dit is toch geen techneuten forum.

DNSSec (resolving) is verhoudingsgewijs heel simpel : het is maar een heel klein aantal servers (twee, vier, tien o.i.d.) dat je aanpast en daarna is het voor heel je netwerk met al je klanten klaar.
Het moeilijke in het geheel - en dat werd aangestipt in het artikel - dat je goede monitoring moet hebben wanneer een domein vanwege een dnssec fout niet meer werkt, en moet zorgen dat de helpdesk en support afdelingen daarnaar leren zoeken.

Het is maar heel zelden dat DNSSec _werkt_ omdat het een spoofing blokkeert, en veel vaker dat een domein met DNSsec "niet werkt" omdat er bij dat domein of z'n DNS hoster een foutje gemaakt is waardoor DNSSec stuk is (maar resolving zonder controle gewoon werkt).
Je moet dus zorgen dat dergelijke gevallen snel genoeg gezien worden en opgelost worden zodat je klanten geen last hebben van "dit domein is kapot op mijn KPN aansluiting maar werkt elders wel" .

IPv6 is heel veel meer werk - de klantmodems moeten het ondersteunen, het hele netwerk moet het ondersteunen, je moet (andere) systemen inrichten om de adressen uit te delen aan de klanten , alles wat je hebt aan monitoring/bewaking van je netwerk moet V6 (adressen) gaan snappen, al je databases waarin je adressen beheert moeten V6 gaan snappen, ook hier moet de hele keten van helpdesk tot beheer V6 kunnen troubleshooten.
Je bouwt gewoon een hele ISP infra parallel, die toevallig dezelfde kabels en dezelfde netwerkdevices gebruikt als de V4 versie, maar verder draaien die protocollen helemaal los van elkaar - alleen op dezelfde fysieke hardware.

Daarom is IPv6 gaan supporten heel erg veel meer werk (en duurder) dan DNSSec.


IPv6 gaan bieden kost de ISP echt geld, en ze kunnen er geen cent extra voor vragen qua abonnement. 1+1 =2 , dat is dus geen top prio project.
Er wordt dan eerder stukje bij beetje dingen ingericht als deelproject , of 'meegenomen als eis wanneer iets (toch) vervangen wordt'. Als ze geluk hebben dat voorgaande techneuten 'het zagen aankomen' zijn er op allerlei plekken dingen generiek genoeg dat V6 daar ook ingevuld kan worden. Als ze pech hebben zitten ze her en der met infra die nog niet afgeschreven is maar die geen V6 kan, of die V6 kan maar totaal niet op vergelijkbare volumes/features als voor V4.

Dit heeft IPv6 uitrollen gemeen met DNSSEC uitrollen: het geeft "alleen maar problemen" en nauwelijks voordelen.
Dwz je helpdesk krijgt wel calls van mensen die ineens niet meer bij een site of andere service kunnen sinds je IPv6
hebt uitgerold, maar er is bijna niemand die nu ineens iets kan wat daarvoor niet kon en helemaal niemand die daarvoor
belt om een compliment te maken.
De dreiging dat er toch een of andere wat grootschaliger probleem komt waardoor klanten en-masse bij Kassa of Radar
zitten om te klagen dat "bij KPN (of bij Ziggo) het internet niet meer goed werkt en hun talloze telefoontjes naar de
helpdesk niets hebben opgelost" compleet met woordvoerder aan tafel en bos bloemen voor de gedupeerde klanten
die is gewoon concreet aanwezig, terwijl de hele operatie concreet niets oplevert anders dan een vage "we gaan
met de tijd mee" pluim.

Dan snap ik wel dat providers hier terughoudend mee zijn.

Mw - ik denk dat het meer het werk/kosten is om het over de hele linie geschikt te maken (en inderdaad, inclusief support tooling) dan echt de zorg voor problemen.
Dwz: ik denk niet dat een KPN of Ziggo "helemaal klaar staat om over te gaan" en alleen de vrees die je noemt ze weerhoudt om het aan te zetten.
Het probleem dat de IPv4 adressen echt op zijn gaat bijten - het voordeel van IPv6 is niet alleen maar complimenten van een handjevol technerds .
De complexiteit van carrier-NAT wat je moet gaan doen gaat beslist ook geld kosten, en moeite om echt vage storingen op te lossen.
Met IPv6 kun je zeker een simpeler netwerk bouwen dan met V4+Carrier-NAT.
Ik denk niet dat je Carrier-NAT kunt _vermijden_ door IPv6 te gaan doen, maar ik denk wel dat als je IPv6 doet en de bulk van het verkeer gebruikt dat, je klanten een betere dienst krijgen dan wanneer je op V4+CGNAT blijft zitten.

Als alle end-user internet access providers IPv6 gewoon mogelijk maken, dan is de stap voor hosters en andere IT-dienstverleners een stuk kleiner, omdat iedereen er gelijk gebruik van kan maken. Dan is er ook een makkelijkere business case te maken wanneer je IPv4-only apparatuur wil vervangen.

Hoe kom je daar nou bij?

IPv6 bestaat inmiddels al langer dan dat IPv4 bestond op het moment dat besloten werd dat het vervangen moest worden.