Ich bin zwar seit nunmehr fast 2 Jahren IPv6ed und habe auch schon ein wenig damit experimentiert, aber ganz so radikal wollte ich nicht testen, wer alles schon IPv6-Seiten ansprechen kann, wie es die Tage geschehen ist. Aber vielleicht sollte ich etwas zu den Hintergründen erklären, wie es dazu kam.
Angefangen hat alles mit einem IPv6-Tunnel von SixXS und der damit verbundenen, ersten eigenen IPv6 vor besagten 2 Jahren 😉 Damals mehr aus Interesse an der Kompatibilität mit diversen Anwendungen ergab sich schnell auch die Notwendigkeit, für ausführlichere Tests auch eigene IPv6-Dienste aufzusetzen, jedoch hatte ich dafür meinen eigenen IPv6-Tunnel nur zu selten online – ein Hosting über diesen Tunnel wäre also nur mittelmäßig bis gar nicht repräsentativ.
Auch anfangs recht vielversprechende Initiativen, wie das IPv6 Experiment haben sich leider in Luft aufgelöst. Einzig Initiativen von Google und Heise sind bisher wirklich groß angekommen, kämpfen aber durchaus mit einer ganzen Reihe von Problemen.
Als ich von meinem vServer auf den jetzigen Rootserver umgezogen bin, so gab es auch eine andere Neuigkeit: Neben den 2 IPv4-Adressen meines Servers besitzt dieser ein ganzes /64-IPv6-Subnetz, welches auch seit kurz nach der Einrichtung gleich konfiguriert wurde. Aber irgendwie sind mir das immer noch zu viele Adressen: ich bekomm die 18446744073709551616 IPv6 einfach nicht voll – und dabei muss schon ein ganzes /64 als VPN herhalten 😉
Wer nun aber wissen möchte, was es bei IPv6 so alles gibt, der ist vielleicht bei 6ixy ganz gut aufgehoben, oder sollte einmal in die Liste der Goodies schauen. Und wer’s nicht glauben will: Mein Blog, sowie eine Reihe anderer Sites folgen grad.
Und genau hier kam es zu besagtem Missgeschick. Während die Konfiguration des Apache für IPv6 ohne Probleme verlief (im Wesentlichen Konfiguration kopieren, IPv6-Adressen der Domains eintragen und neustarten), gestaltete sich die Übernahme ins DNS mit etwas mehr Nebeneffekten.
Derzeit habe ich für meine Domain leider erst zwei reine IPv4-DNS-Server, was heißt, dass Leute mit purem IPv6 wahrscheinlich gewisse Probleme beim Auflösen der Adressen bekommen dürften, was aber mit 6to4-Proxies beheben lassen dürfte. Wer also derzeit auf IPv6 umsteigen möchte, muss doch noch einiges an Arbeit investieren.
Aber nicht nur mit den DNS-Servern gab es Probleme, sondern auch mit den dort hinterlegten Informationen. Eine typische Domain sieht bei mir da etwa so aus:
benny-baumann.de. A 94.23.43.63 benny-baumann.de. AAAA 2001:41D0:0002:2C3F:0000:0000:0201:0001 benny-baumann.de. MX mx1.benny-baumann.de. 10 benny-baumann.de. TXT v=spf1 +a +mx -all * A 94.23.43.63 * AAAA 2001:41D0:0002:2C3F:0000:0000:0201:0001 * MX mx1.benny-baumann.de. 10 * TXT v=spf1 +a +mx -all blog A 94.23.43.63 blog AAAA 2001:41D0:0002:2C3F:0000:0000:0201:0002 blog TXT v=spf1 +a +mx -all *.blog A 94.23.43.63 *.blog AAAA 2001:41D0:0002:2C3F:0000:0000:0201:0002 *.blog TXT v=spf1 +a +mx -all mail A 94.23.43.63 mail AAAA 2001:41D0:0002:2C3F:0000:0000:0000:0001 mx1 CNAME r20157.ovh.net. mx2 A 94.23.43.63
Und genau hier habe ich vergessen, bei der Umstellung von IPv4 auf IPv6 alle 6 Records in der Zone zu verankern, da bei IPv6 keine expliziten Einträge für Subdomains vorhanden sein müssen (über einen Wildcard gelöst). Trägt man nun aber einen expliziten Record für eine Subdomain ein, die bisher über einen Wildcard abgedeckt wurde, so verliert der Wildcard für genau diese Subdomain seine Gültigkeit. Und eben dies ist mir passiert und die Zone sah nur wie folgt aus:
benny-baumann.de. A 94.23.43.63 benny-baumann.de. AAAA 2001:41D0:0002:2C3F:0000:0000:0201:0001 benny-baumann.de. MX mx1.benny-baumann.de. 10 benny-baumann.de. TXT v=spf1 +a +mx -all * A 94.23.43.63 * AAAA 2001:41D0:0002:2C3F:0000:0000:0201:0001 * MX mx1.benny-baumann.de. 10 * TXT v=spf1 +a +mx -all blog AAAA 2001:41D0:0002:2C3F:0000:0000:0201:0002 mail A 94.23.43.63 mail AAAA 2001:41D0:0002:2C3F:0000:0000:0000:0001 mx1 CNAME r20157.ovh.net. mx2 A 94.23.43.63
Diese Zone sieht sicherlich auf Anhieb richtig aus, erzeugt aber ein etwas anderes Verhalten, als man bei grobem Überblicken vermuten könnte: Es fehlen nämlich für sämtliche Domains meines Blogs die Angaben, außer eben die angegebene IPv6, was den Blog für eine Reihe von Leuten unerreichbar machte; außer für mich 😛
Warum der Blog bei mir funktionierte, hängt damit zusammen, dass meine Rechner alle samt mit Teredo konfiguriert sind bzw. einen direkten IPv6-Tunnel besitzen, wodurch diese auch allein über den IPv6-Record auf meinen Blog zugreifen konnten. Und wo dies nicht von Haus aus Unterstützt wird, wurde mit einem IPv6-Treiber von Microsoft nachgeholfen. Aber ein netter Testcase war es dennoch, denn so konnte ich indirekt sehen, bei wem Teredo auch lief: und das war eine Vielzahl der User, die allein über „sporadische Ausfälle“ und „zeitweise Nichterreichbarkeit“ klagten.
Dennoch war dieser radikale Schritt zur IPv6-Migration in dieser Form nicht geplant. Vielmehr sollte es ein sanfter Umstieg werden. Aber immerhin habe ich jetzt bereits genug Informationen, um auch meine anderen Domains (hoffentlich reibungslos) auf IPv6 zu migrieren.
Bliebe eigentlich nur noch eine kleine Annekdote am Rande zu erzählen, wie mir das Problem gemeldet wurde:
<BenBE> Hast mal probiert, ob IPv6 über deinen Tunnel jetzt richtig geht?
<UserA> Jo, aber leider wird IPv4 bevorzugt
<UserA> Beispiel:
<UserA> Resolving www.sixxs.net… 193.109.122.244, 2001:838:1:1:210:dcff:fe20:7c7c
<UserA> Connecting to www.sixxs.net|193.109.122.244|:80… connected.
<UserA> 🙁
<BenBE> Welches OS? Linux?
<UserA> Gentoo
<BenBE> http://bugs.gentoo.org/102209
<UserA> Oh, wget fail 😡
<BenBE> Hab SSL bei mir jetzt auch wieder aktiv.
<BenBE> http://blog.benny-baumann.de/?p=260
<UserA> The DNS server returned:
<UserA> No DNS records
<UserA> o.O
<UserA> Nur IPv6?
<BenBE> Ah, glaub, ich weiß, was er hat … beheb ich heut Abend mit.
<BenBE> Wildcard-DNS und Einträge in einer Subdomain … da war ja was …
<BenBE> Die expliziten, neuen A-Records fehlen für die Subdomains …
<UserA> Find ich gut, dass du IPv6 so unter die Leute bringen willst *g*
