Beiträge

Wie funktioniert eine IP-Adresse?

Jedes Gerät, das mit dem Internet verbunden ist und kommunizieren soll, braucht eine eigene Adresse. Nur anhand dieser Adresse können ihr Computer, Smartphone oder Tablet-PC (selbst Server in Rechenzentren) auch gefunden werden und so Nachrichten und Daten nicht nur versenden, sondern auch empfangen. Wie jegliche Kommunikation im Internet funktioniert die IP-Adresse über das standardisierte Internet-Protokoll (IP).

Das Basiswissen um Aufbau und Funktion der Adresse ermöglicht es Ihnen, nicht nur das Internet besser zu verstehen, sondern auch, Ihre Geräte optimal einzurichten und zuhause oder unterwegs zu nutzen.

Wie eine IP-Adresse aufgebaut ist

Ip-Adresse: Wie die Hausnummer

Funktioniert wie die Hausnummer für den Postboten: Die IP-Adresse

Informationen, die auf die Reise durchs Internet geschickt werden, haben zumeist einen recht langen Weg hinter sich, bis sie auf Ihrem Bildschirm sichtbar werden. Ausgehend vom Server, auf dem die Daten ursprünglich liegen, werden die Informationen in zahlreiche kleine Pakete zerlegt und einzeln auf die Reise geschickt.

Dabei können die Pakete sehr unterschiedliche Wege gehen, je nachdem, wie ausgelastet Leitungen und Server auf dem Weg zu Ihnen sind. Damit die Daten auch beim richtigen Empfänger ankommen, wird jedes dieser Pakete mit der Adresse des Empfängers versehen. Damit weiß jeder Server bzw. Router, den das Paket passiert, in welche Richtung es versandt werden muss, um schlussendlich am Ziel wieder zu einem kompletten Datensatz zusammengefügt zu werden.

Die heute noch üblichen Adressen im Schema von IP in der Version 4 setzen sich aus vier dreistelligen Zahlen zwischen 0 und 255 zusammen. Die Zahlen werden hier für die IT eher untypisch dezimal dargestellt. Ein typisches Beispiel für eine IP im Schema von IP V4 ist: 88.215.213.26.

Bei der genannten IP Adresse  handelt es sich z.B. um die feste Adresse des Web-Servers der Tagesschau. Zwar sind Adressen für die schnelle Kommunikation zwischen Computern sehr hilfreich, für den menschlichen Gebrauch sind diese Zahlenberge jedoch nur schwer zu merken, weswegen es automatische Adressbücher gibt, die eine Übersetzung von lesbaren Adressen wie tagesschau.de hin zur echten Adresse übernehmen. Die Rolle der Namens-Auflösung von IP-Adresse zu einem leicht merkbaren Namen wie „tagesschau.de“ übernehmen so genannte DNS-Server.

Warum uns die IP-Adressen so langsam ausgehen

Die Kombination aus vier Zahlentripeln, die jeweils 256 verschiedene Zahlen darstellen können, ermöglicht rechnerisch insgesamt etwa 4,2 Milliarden verschiedene Internetadressen. Wenn jeder Mensch auf der Erde nur einen Computer besitzt, reicht die Anzahl der möglichen Adressen also schon nicht mehr aus, um alle gleichzeitig mit dem Internet verbinden zu können.

Zudem gibt es zahlreiche Adressen, die bereits für Systemvorgänge oder die direkte Kommunikation zwischen Servern reserviert sind, dies schränkt den vorhandenen Adressbereich weiter ein. Eine Lösung dieser Begrenzung stellt die Einführung eines neuen IP-Systems dar.

Im Gegensatz zum aktuellen IPv4 enthält das neue IPv6 sechzehn Zahlenblöcke. Diese Erhöhung der Adresslänge wird mutmaßlich sehr lange ausreichen, denn sie ermöglicht es rechnerisch, für jeden Quadratmillimeter der Erdoberfläche mehr als 600 Billionen eigene Adressen zu vergeben.

IP-Adresse im Schema von IP V6 sehen etwa wie folgt aus: 2001:0db8:0:0:0:0:1428:57ab . Die Informationen werden dabei Hexadezimal dargestellt. Es kommen also neben den Ziffern 0 bis 9 auch noch die Buchstaben A bis F vor.

Adressen mit begrenzter Lebensdauer

Nicht jede Adresse hat eine unbegrenzte Gültigkeit. So wird aus rechtlichen Gründen eine herkömmliche Internet-Verbindung zwischen einem privaten PC und dem Internet-Anbieter spätestens alle 24 Stunden kurz unterbrochen, um eine neue Adresse zu vergeben.

Auch beim Ausschalten des Rechners oder einer Trennung vom Netz erfolgt in der Regel ein Adresswechsel. Nur Server, deren permanente Erreichbarkeit zwingend notwendig ist, erhalten eine permanente Adresse, über die sie immer erreichbar sind.

Geräte mit mehr als einer Adresse

Drucker

Die Verbindung zum Drucker geschieht im lokalen Netzwerk

Befindet sich ein Computer nur in einem Netzwerk, reicht ihm eigentlich eine einzelne Adresse aus. In dem Moment, in dem dieser Computer aber auch noch per WLAN oder LAN mit einem Drucker oder anderen netzwerkfähigen Geräten verbunden wird, stößt dieses System an seine Grenzen.

Wäre nur ein einziges Netz verfügbar, müssten alle Daten, die zu Hause an den Drucker geschickt werden sollen, den Weg durch dieses Netz, also das Internet gehen. Der Datenverkehr wäre enorm viel höher, die Laufzeiten der Daten würden sich maßgeblich erhöhen und schlussendlich würden dann auch Daten privatester Natur mehrfach um den Globus geschickt, nur um zu Hause den Drucker zu erreichen.

Um diesen Datenüberfluss zu vermeiden, können private, lokal begrenzte Netzwerke erstellt werden. Zumeist geschieht dies automatisch, sobald die Treibersoftware für ein netzwerkfähiges Gerät installiert wird. Dann baut der Heim-PC ein eigenes, nach außen nicht sichtbares Intranet auf, in dem jedes Gerät wiederum eine eigene, unverwechselbare Adresse erhält.

Auch diese Adressen können fest vergeben sein, einige Peripheriegeräte wie Drucker oder WLAN-Router sind entsprechend konfiguriert. Zumeist kommen aber auch in diesem internen Netzwerk dynamische Adressen zum Einsatz. Der Adressbereich für IP-Adressen im internen Netzwerk liegt in der Regel zwischen 192.168.0.0 und 192.168.254.254. Diese Adressen werden oft von Heimanwendern und in kleinen Netzen hinter einem Router oder einer kleinen Firewall verwendet.

Weitere mögliche private IP-Adressen, die nicht „geroutet“ werden, lauten 172.16.0.0/12 (also 172.16.0.0 bis 172.31.255.254) , sowie 10.0.0.0/8. Sie werden oft von größeren Firmen mit mehreren Standorten verwendet, wobei jeder Standort einen eigenen Teilbereich des IP-Adressraums erhält.

Die eigene IP-Adresse herausfinden

Die Adressen des eigenen Rechners herauszufinden, gestaltet sich zumindest unter Windows sehr einfach. Über das Suchfeld kann die Anwendung „cmd.exe“ gestartet werden, die ein Fenster für die Eingabe von Kommandos öffnet. Das Kommando „ipconfig“ startet ein kleines Hilfsprogramm, das dann alle am Rechner verwendeten Adressen, sowohl IPv4 als auch IPv6 anzeigt.

Hinweis: Unter Linux lautet das Kommando zum Anzeigen der IP-Adresse meistens „ifconfig“ (engl. Für interface config) und gibt die Adresse etwa des Netzwerkanschlusses eth0 aus (eth für Ethernet).

Ebenfalls gibt es im Web zahlreiche kostenlose Seiten, welche die derzeitige externe IP des eigenen Rechners anzeigen. Ein Beispiel für einen sehr populären Dienst ist etwa die Seite von WieIstMeineIP.de, auf der interessierte Anwender schnell und einfach die eigene – und damit etwa für Webserver sichtbare IP-Adresse – herausfinden.

Wie sicher ist die eigene Adresse?

Paris Karte

Die Ortung per IP-Adresse ist ungenau, besonders in großen Städten

Über das Auslesen einer Adresse lassen sich Informationen über den entsprechenden Internetteilnehmer sammeln. So ist es zum Beispiel möglich, auf den verwendeten Internetprovider zu schließen. Auch verrät die Adresse etwas über den Ort, von dem aus der Rechner mit dem Internet verbunden ist. Ähnlich wie bei der Zellenortung von Mobiltelefonen ist diese Information jedoch nicht allzu genau.

Denn die Ortung kann nur bis zu dem Punkt erfolgen, an dem der Hausanschluss des Rechners mit der ersten Schaltstation des Internetproviders verbunden ist. In Städten hängen an einem solchen Verbindungspunkt hunderte oder tausende Internetverbindungen, im ländlichen Raum zwar weniger, diese können aber mehrere Kilometer voneinander entfernt liegen.

Kann ich meine IP-Adresse verbergen?

Technisch ist dies teilweise möglich, rechtlich aber nicht unproblematisch. Durch den Einsatz spezieller Browser wie TOR oder Programme zur Maskierung der eigenen IP wird eine Ortung des eigenen Rechners für Außenstehende stark erschwert. Da Provider Verbindungsdaten nach einiger Zeit aber löschen müssen und diese auch nur auf richterlichen Beschluss hin zu Ermittlungszecken ausgewertet werden dürfen, ist diese Art der Geheimhaltung der eigenen Internetaktivitäten in der Regel nicht notwendig.

Adressen, die sich in internen, privaten Netzwerken befinden, sind nach außen zudem nicht sichtbar, hier ergibt eine Verschleierung keinen Sinn, sondern verzögert nur die Durchführung der notwendigen Kommunikation zwischen den beteiligten Endgeräten.

Tutorial

In dieser Einführung zu IPv6 erklären wir daher nicht nur den Unterscheid zwischen IPv4 und IPv6 sondern zeigen außerdem wie IT-Administratoren die neuen IPv6 Adressen sinnvoll nutzen können.

Jeder Server, jedes Smartphone das mit dem Internet verbunden ist, benötigt zur Kommunikation eine IP (Internet Protokoll) Adresse. Dabei sind die TCP/IP-Adressen für Computer-Netzwerke das, was Nummernschilder für ein Auto sind. Sie identifizieren einen Host-Computer eindeutig und ermöglichen es erst, dass die Datenkommunikation zwischen den richtigen Partner stattfinden kann.

Das Problem mit IPv4-Adressen im Internet

Seit der Einführung des Internets Anfang der 1990er Jahre wurden an Firmen, Internet-Provider und z.T. an Privathaushalte IPv4-Adressen vorgegeben. Diese Nummern im Format 123.231.123.254 werden aus Ziffer (0 bis 9) gebildet und bilden einen so genannten Adressraum vom maximal 2^32 Adressen.

2^32 Adressen sind ca. 4,3 Milliarden, wovon ca. 3,7 Milliarden tatsächlich genutzt werden können. Das hört sich nach viel an – ist es aber letztlich nicht. Wenn man bedenkt, dass heute 8-9 Milliarden Menschen auf der Erde leben und in den Industrieländern viele Menschen deutlich mehr als ein Gerät besitzen, mit dem Sie im Internet sind, dann relativiert sich die Zahl von 4,3 Mrd. IPv4-Adressen recht schnell. Die Anzahl von IPv4 Adressen ist schlicht zu wenig um noch alle Geräte der Welt mit IP-Adressen zu versorgen.

Dieser Umstand wurde bereits 1999 von der IETF (Internet Engineering Task Force) erkannt und man veröffentlichte die Erweiterung des IP-Adressraums für das Internet auf die nächste Generation von IP-Adressen: IPv6 war geboren

Warum IPv6

Der Hauptgrund von IPv4 auf IPv6 zu wechseln ist der massiv vergrößerte Adressraum, den IPv6 Adressen abbilden können. Bereits im Jahr 1999 wurde von der IETF ein maximaler Adressraum von 2^128 Bit vorgesehen. Statt 2^32 IPv4-Adressen können mit IPv6 nun 2^128 Adressen abgebildet werden.

Das sind 340,282,366,920,938,463,463,374,607,431,768,211,456 Adressen (Sextillionen = 3,4·1038)

Damit könnte theoretisch jedes Sandkorn auf der Erde eine eigene, eindeutige IPv6-Adresse erhalten.

Wie ist eine IPv6 Adresse aufgebaut?

Eine IPv6 Adresse wird nicht mehr in der dezimalen Schreibweise von IPv4 ausgedrückt, sondern hexadezimal. Eine IPv6 Adresse kann also aus den Ziffern 0 bis 9 und den Buchstaben A bis F bestehen. Dabei besteht eine IPv6 Adresse aus 8 Blöcken zu je 4 Hexadezimalen-Zahlen.

Eine Beispiel-Adresse sieht demnach so aus:

2001:0db8:1234:5678:90ab:cdef:1111:ffff

Schreibweisen von IPv6 Adressen

IPv6 Adressen sind aufgrund des größeren Adressraums deutlich länger als ihre Vorgänger IPv4. Daher gibt es für die Schreibweise von IPv6 Adressen die Möglichkeit diese verkürzt darzustellen.

  • Führende Nullen eines Blocks (Die Bereiche zwischen zwei „:“ Zeichen) können immer weg gelassen
  • Zwei oder mehr aufeinander folgende 0er-Bereiche können als zwei Doppelpunkte „::“ dargestellt werden. Dies ist innerhalb einer IPv6 Adresse aber nur einmal erlaubt, da die Adresse sonst nicht mehr eindeutig wäre.
  • Die Buchstaben A bis F sollen klein geschrieben werden (also a,b,c,d,e,f).

Die Beispiel-Adresse 2001:0db8:0000:0000:0123:0000:0000:0adf kann demnach wie folgt gekürzt werden:

  • 2001:db8::123:0:0:adf

Die führenden Nullen entfallen in allen Blöcken und der dritte und vierte Block mit jeweils :000: werden als „::“ dargestellt. Der sechste und siebte Block werden jeweils als :0: dargestellt.

Ebenso wäre richtig:

  • 2001:db8:0:0:123::adf

Hier würde im Gegensatz zum ersten Beispiel der „::“ Block die letzten beiden :000: Blöcke ersetzen.

Nicht richtig wäre folgende Darstellung:

  • 2001:db8::123::adf

Diese Darstellung ist falsch, da die IPv6 Adresse nicht mehr eindeutig ermittelt werden kann. Die Notation „::“ darf daher in einer IP-Adresse nur einmal vorkommen.

Subnetze im IPv6 Adressbereich

Unter IPv4 wurden Subnetze meist in der Regel in der Form 192.168.0.0/24 dargestellt. Die Subnetzmaske (hier /24) definierte dabei die maximal Anzahl von Hosts (=Computern) in einem Subnetz. Daran hat sich bei IPv6 an sich nichts geändert – lediglich die Subnetze werden größer.

Die Empfehlung bzw. Vorgabe der Vergabestellen für IP-Adressen im Internet sind so genannte Prefixe von /64. Das bedeutet, daß der kleinste an eine Endanwenderfirma vergebene IP-Adressbereich bereits 9,223,372,036,854,775,807 Adressen umfasst.

Als Beispiel: 2001:db8:1234:abcd:: /64

Die nutzende Firma hätte dann die Adressen von 2001:db8:1234:abcd:0000:0000:0000:0001 bis 2001:db8:1234:abcd:ffff: ffff: ffff: ffff zur Verfügung.

Eine einzelne IPv6-Adresse kann mit dem Anhang „/128“ als einzelne Adresse dargestellt werden.

Bsp.: 2001:db8::123:0:0:adf /128

Diese Darstellung entspricht der Notation von 192.168.1.1/32 im IPv4 Schema.

Besonderheiten von IPv6

Mit der Einführung und Nutzung von IPv6 ergeben sich gleichzeitig einige Änderungen gegenüber IPv4.

Kein NAT mehr unter IPv6

Network Adress-Translation (NAT) wird unter IPv4 dazu verwendet, bestimmte Netzwerk-Subnetze wie 192.168.0.0/16 oder 10.0.0.0/8 als private Netze zu definieren, die nicht im Internet geroutet werden. Die Firewalls und Router der betroffenen Firmen mussten also den IPv4 Datenverkehr zwischen dem internen Netz und dem Internet übersetzen.

Damit war es möglich den Adressbereich von IPv4 länger zu nutzen. Im Umkehrschluss wurde damit aber die Ende-zu-Ende Kommunikation von zwei Knoten im Internet praktisch unmöglich.

Technisch ist NAT mit IPv6 Adressen zwar immer noch möglich. Es sollte aber unbedingt vermieden werden, schließlich gibt es ja keinen Mangel mehr an individuellen IPv6-Adressen.

ICMP muss möglich sein – auch aus dem Internet

Damit die Ende-zu-Ende-Kommunikation zwischen allen Endgeräten im Internet funktioniert, muss das ICMP (Internet Control Message Protocol), etwa ein „ping“,  von allen IPv6-Adressen aus möglich sein. Kurz gesagt: IPv6 basiert darauf, dass auch interne IPv6-Adressen von extern aus pingbar sind.

Für Firewall-Administratoren ergeben sich daraus ganz neue Anforderungen. Waren Sie in der Vergangenheit gewohnt, ihre Firewall von der WAN-Seite (WAN=Wide Area Network, i.d.R. das Internet) abzuschotten, so sollten Sie unter IPv6 ihre Firewall zumindest für ICMP-Pakete öffnen.

DHCPv6 und Router Advertisments (RA)

Wie auch bei IPv4 so ist es auch beim Nachfolger IPv6 möglich Endgeräten dynamisch IP-Adressen über den Dienst DHCP zuzuweisen. Im Gegensatz zu DHCP unter IPv4 fehlt dem DHCPv6 aber (absichtlich) der Default-Gateway. Diese unter IPv4 obligatorische Pflichtangabe des Ausgangs aus dem eigenen Subnetz übernimmt unter IPv6 der Dienst Router Advertisments (RA).

Sobald auf einer Firewall (z.B. opnsense oder pfsense) oder einem Host ein Netzwerk-Interface IPv6 „spricht, so muss dann neben dem DHCPv6 Dienst der RA-Dienst aktiviert werden, damit Clients, die ihre IPv6-Adresse über DHCP erhalten, über welchen Weg sie den Rest des eigenen Netzwerks oder des Internets erreichen

Neighbor Discovery Protokoll (NDP) statt ARP

Unter IPv4 diente das „Adress Resolution Protocoll“ (ARP) dazu eine IP-Adresse eindeutig einer MAC-Adresse (der physischen Hardware Adresse eines PCs) zuzuordnen.

Bei IPv6 übernimmt diese Rolle das Neighbor Discovery Protocoll (NDP). Dieser Dienst ist bei den allermeisten Geräten die IPv6 unterstützen aktiv, sobald eine IPv6 Adresse eingetragen oder über DHCPv6 bezogen wurde.

AAAA Records im DNS

Damit die Kommunikation für Endanwender im Internet beherrschbar ist, arbeiten Browser und andere Software-Produkt in der Regel nicht mit IP-Adressen sondern mit besser verständlichen Namen. Der Dienst hinter diesem Namensregister lautet Domain Name System, kurz DNS. Hier werden Namen zu IP-Adressen gespeichert.

Bei der Kommunikation im Web wird dann aus www.wikipedia.de die IPv4 Adresse 134.119.24.29 . Dies ist ein so genannter A-Record.

Damit nun auch IPv6 Adressen im DNS gespeichert werden können, wurde mit IPv6 der AAAA-Record (gesprochen: tripple „Ä“) im DNS eingeführt. Damit können einem Namen im DNS neben dem bestehenden A-Record für seine IPv4-Adresse zusätzlich eine IPv6-Adresse mit gegeben werden.

Wer also mit nslookup die Adresse www.google.de abfragt, der erhält sowohl die Ipv4 als auch die IPv6 IP-Adresse als Antwort:

Name:    www.google.de

Addresses:    2a00:1450:4016:80a::2003

172.217.21.99

Besondere IPv6 Adressen

So wie es bei IPv4 besondere Netze für die private Nutzung oder Localhost-Adressen gibt, so gibt es auch bei IPv6 einige spezielle (Sub-)Netze, die gesondert behandelt werden:

Die Localhost Adresse in Ipv6:

Die klassische Localhost-Adresse lautet für IPv6 ::1/128. Oder ausführlich: 0000:0000:0000:0000:0000:0000:0000:0001 /128 .

Die IPv6 Adresse „::1 /128“ ist das Equivalent zu 127.0.0.1 in IPv4.

Reservierte Netze

Einige Netze oder Prefixe werden seitens der IANA gar nicht vergeben. So ist etwa 2000:: /3 für den Global Unicast reserviert. Daneben sind noch weitere /3 Prefixe (also Subnetze) global reserviert.

Ebenfalls nicht produktiv nutzbar ist das Netz 2001:0db8:: /32. Adressen die mit 2001:db8: beginnen werden in der Regel nur zu Dokumentations- und Demonstrations-Zwecken verwendet (siehe dazu auch rfc3849 der IETF).

URL-Notation von IPv6-Adressen

Wer eine über IPv6 erreichbare URL im Browser über die IP-Adresse aufrufen möchte, muss sich eine neue Notation für den Aufruf der URL einprägen. Damit der Browser die IPv6 von einer IPv4 Adresse unterscheiden kann, lautet der Aufruf:

http://[IPv6:Port]/

Die IPv6-Adresse wird also in eckige Klammern gesetzt. Die Verwendung eines Ports ist optional. Mit einer kompletten IPv6-Adresse sieht das dann z.B. so aus:

http://[2001:db8::123:0:0:adf :7344]/

Parallelbetrieb von IPv4 und IPv6

Wer nun in seinem Netzwerk IPv6 IP-Adressen einführen möchte, der muss nicht sofort alle IPv4 Adressen löschen. Ganz im Gegenteil.

Praktisch alle Betriebssysteme von PCs, Servern und Smartphones bieten seit geraumer Zeit die Möglichkeit sowohl eine IPv4 als auch eine IPv6 Adresse pro einzelnem Gerät zu vergeben. Das bildet den Grundstein für den parallelen Betrieb von IPv4 und IPv6 nebeneinander.

So haben etwa Windows-Server seit der Version 2003 und PCs seit Windows XP die Möglichkeit sowohl eine Ipv4 als auch eine IPv6 Adresse zu vergeben. Auch die meisten Hersteller von Switches und Routern haben IPv6 schon vor langer Zeit in ihre Geräte integriert.

Wer also ein aktuelles Betriebssystem hat und aktuelle Netzwerk-Hardware nutzt, der kann in der Regel IPv6-Adressen eingeben und verwalten.

Migration von IPv4 zu IPv6

Um nun schrittweise die eigene Infrastruktur für IPv6 fit zu machen, sollten IT-Administratoren sich zunächst um die Zuweisung eines statischen /64 Präfixes kümmern. Diesen erhalten Sie in der Regel von ihrem ISP (Internet Service Provider).

Hinweis: Kunden des IT-Dienstleisters Biteno GmbH erhalten im für Services im Rechenzentrum der Biteno einen /64 Präfix aus unserem Netzabschnitt 2a06:fbc0:: /29 der uns von der europäischen Vergabe-Agentur RIPE zugewiesen wurde.

Im zweiten Schritt gilt es dann – wie auch schon bei IPv4 – allen Servern und statischen Geräten eine feste IPv6 Adresse zu vergeben.

Endgeräte, die von Anwendern genutzt werden, erhalten dann ihre IPv6 Adresse über DHCPv6 in Kombination mit dem weiter oben beschriebenen Router Advertisments.

Da Umstellungen bzw. Einführungen von IPv6 im Unternehmen nicht einmal nebenbei erfolgen können, empfiehlt es sich, zunächst die Hilfe eines erfahrenen Consultants eines IT-Dienstleisters in Anspruch zu nehmen.

IPv6 testen

Wer heute einmal probehalber testen möchte, ob sein Endgerät schon mit IPv6 kommuniziert, kann das auf den folgenden Seiten testen:

Auf dem eigenen PC/Notebook kann man die eigene IPv6 Adresse mit dem Befehlt “ipconfig /all” ermitteln. Das Ergebnis sieht dann z.B. so aus:

IPv6 Konfiguration auf dem eigenen PC/Notebook

IPv6 Konfiguration auf dem eigenen PC/Notebook

Fazit zu IPv6

Bei IPv6 müssen IT-Administratoren einige wichtige Besonderheiten wie den Wegfall von NAT oder die besondere Schreibweise von IPv6-Adressen “lernen” und verstehen. Sobald diese Neuigkeiten verdaut sind, steht dem produktiven Betrieb der eigenen IT-Infrastruktur mit IPv6 aber nichts mehr im Wege.