In RFC1338 (juni 1992) werd het opraken van IPv4 benoemd. Ruim twintig jaar later is dat memo bij meerdere Nederlandse providers vergeten en beginnen nu derderangs internetverbindingen te ontstaan. Dat vormt een serieus risico, nu we steeds afhankelijker worden van een goed functionerend internet.

hetlab logo
Henk van de Kamer

 

In de vorige aflevering heb ik de situatie bij KPN en Ziggo behandeld. Bij beide providers zijn er nog steeds huishoudens die geen IPv6 kunnen gebruiken. KPN is een stuk verder qua uitrollen, maar is er nog niet! Als beide echter alle huishoudens van IPv6 voorzien, komt het percentage voor Nederland op 86,3%. De overige 13,7% moet momenteel geregeld worden door T-Mobile, Delta Fiber, Delta, Solcon en tot slot Freedom Internet. Voor het IPv6-dossier bespreek ik in deze aflevering alleen Solcon (bijdrage 0,7%) en Delta Fiber (bijdrage 4,6%). T-Mobile is met een potentiële bijdrage van 6,7% en slechts 0,1% IPv6-verkeer waarschijnlijk net begonnen met een pilot...

Solcon

Met hooguit 0,7% aandeel is deze partij nauwelijks interessant, maar voor mij is deze zeer belangrijk! Na een korte periode bij mijn ouders verhuisde ik naar mijn broer. Ook daar zit ik in het buitengebied waar met veel Europese subsidie allerlei cowboys – inderdaad: wildwesttaferelen – glasvezel hebben aangelegd. In gemeente Berkelland was dit CIF: Communication & Infrastructure Fund (www.gld.nl/nieuws/2113170/blijdschap-in-berkelland-het-buitengebied-krijgt-glasvezel).

In theorie zijn de glasvezelnetwerken toegankelijk voor alle providers. Bijvoorbeeld voor Solcon dat in 1996 werd opgericht. Waarschijnlijk was Solcon een van de aanbieders waar bewoners voor konden kiezen als alles werd opgeleverd. Dat zal ergens begin 2017 zijn geweest. In dat jaar werd Solcon overgenomen door KPN en kwam CIF in handen van Delta Fiber.

Omdat ik via de aanwezige FRITZ!Box geen IPv6-verbinding (zie ook www.hetlab.tk/obelix/solcon-biedt-geen-ipv6-aan) kon maken, heb ik Solcon gebeld. De bewering dat zij geen IPv6 aanbieden, is onzin (zie tabel 1 in de vorige aflevering). Ondanks meerdere pogingen om deze helpdeskmedewerker te overtuigen dat doorverbinden met de tweede lijn of een persvoorlichter slim zou zijn, is dat niet gelukt. Persoonlijk denk ik dat KPN weigert te investeren in apparatuur op het netwerk van de concurrent. Met dank aan ACM die dit soort ellende niet voorziet of begrijpt.

Delta Fiber

Onlangs vond ik een recent bericht (8 mei 2023) dat deze provider aan Tweakers bevestigde dat CGNAT toegepast wordt (tweakers.net/nieuws/209394/provider-delta-bevestigt-cgnat-toe-te-passen-op-netwerk-voor-gedeeld-ipv4-adres.html). Dit is de genoemde ramp waarmee ik de vorige aflevering eindigde. Gezien deze keuze is de kans aanwezig dat bijna 4,6% van Nederland de komende jaren geen IPv6 gaat krijgen...

De naam geeft aan dat deze tak het glasvezelnetwerk beheert. Hun zuster Delta doet, voor zover ik kan nagaan, hetzelfde voor het voormalige Caiway-kabelnetwerk. Net zoals Ziggo lijkt het invoeren van IPv6 door verouderde spullen niet gemakkelijk. Maar blijkbaar wel gemakkelijker dan op een modern glasvezelnetwerk? Want over de kabel is bijna 40% van het verkeer dat ze bij APNIC langs zien komen al IPv6. Terwijl glasvezel slechts 0,1% haalt.

Aantal adressen

In het vorige nummer gaf ik de AS-nummers voor alle providers. Deze kunt u opvragen om zo een lijst van gekoppelde IPv4 ranges te krijgen. Voor Delta Fiber – voormalig ZeelandNet? – kom ik dan op een bezit van 172.032 IPv4-adressen (github.com/ipverse/asn-ip). En dat zijn er minder dan de geschatte 206.448 huishoudens. Begint u het probleem te snappen?

Nog erger is dat zij slechts vijf /48 IPv6-ranges hebben. Er was ooit een afspraak dat dit het minimum was dat we als huishouden zouden krijgen! Nu kunnen de meeste consumentenrouters daar niets mee, ofwel een conservatieve /56 is minder verkwistend. Maar met de dan mogelijk 5 maal 256 komen we er nog steeds niet. Nu zijn IPv6-adressen gemakkelijk aan te vragen, dus dat probleem is oplosbaar. En met IPv4 over een IPv6-tunnel kunnen de paar websites die nog niet bereikbaar zijn over de laatste alsnog bereikt worden.

CGNAT

De wereld gaat (moet) naar IPv6. Wie Wireshark op zijn of haar netwerk laat luisteren, zal verbaasd zijn over het aandeel. Zelfs bij lezers die menen dat zij geen IPv6 gebruiken! Kortom: een IPv4 over een IPv6-tunnel is misschien niet ideaal, maar absoluut te prefereren over het nu gekozen gedrocht!

De meeste lezers zullen de kreet NAT herkennen. Dit gebruikt uw router om meerdere apparaten thuis via één publiekelijk IPv4-adres met het internet te verbinden. Het is gewoon een boekhouding om de 65.535 – poort 0 wordt niet gebruikt – poorten die elk apparaat heeft, gecombineerd met diens interne IPv4-adres te vertalen naar een vrije poort van het externe IPv4-adres. Dat klinkt lastig, maar het werkt in de praktijk redelijk goed. Er zijn netwerkprotocollen die wat extra werk vragen, maar daar heeft jouw router hulpprogramma’s voor. Een ander probleem is om interne spullen via het internet bereikbaar te maken.

Een enkele NAT-vertaalslag werkt dus goed genoeg. Wie echter de gekregen router van de provider een onding vindt, maar deze ondanks de vrijemodemkeuze niet kan vervangen, kan een eigen router achter deze zetten. Dat geeft automatisch twee vertaalslagen en iedereen zal begrijpen dat de problemen dan een stuk groter worden. Wie alleen wat surft of mail leest, zal die waarschijnlijk niet ontdekken. Maar wie wat meer experimenteert, zal eerder vroeger dan later tegen die problemen oplopen. Nu kun je nog steeds bij beide routers, dus meestal zijn de problemen alsnog oplosbaar.

CGNAT – Carrier Grade NAT – is dus een tweede router met de vertaalslag bij jouw provider. Mogelijk met wat beperkte instellingen die jij mag aanpassen. Het idee is dat deze router 65.535 verbindingen naar het internet mogelijk maakt. De meeste thuisgebruikers hebben gedurende de dag gemiddeld zo’n 10-20 verbindingen naar het internet. Ofwel elke CGNAT- router kan dan tussen de drie en zesduizend huishoudens één publiek IPv4 adres laten delen.

Tabel

Tijdelijk?

NAT is ooit als tijdelijke oplossing bedacht toen duidelijk werd dat IPv4-adressen opraakten. Het internet is gemaakt om alles direct te kunnen benaderen. Dat was achteraf misschien niet slim. Alhoewel velen menen dat NAT de perfecte beveiliging is, hebben zij het grandioos mis. Voor beveiliging is een echte firewall nodig. Beweert jouw router die te hebben? Grote kans dat jouw fabrikant ook meent dat NAT die beveiliging levert.

Voor CGNAT moet de provider ook een privé IPv4-range gebruiken. Dat kunnen niet de bekende zijn die wij als thuisgebruiker inzetten. Net voordat de IPv4-adressen opraakten, werd via RFC 6598 (april 2012) de reeks 100.64.0.0/10 gereserveerd. Met als opmerking:

While operational expedients, including the special-purpose address allocation described in this document, may help solve a short-term operational problem, the IESG and the IETF remain committed to the deployment of IPv6

Leuk bedacht, maar Delta Fiber heeft besloten om dit te gaan gebruiken als langetermijnoplossing. Zucht...

Problemen

Zoals gezegd zullen de meeste gebruikers geen directe problemen ontdekken als apparaten door twee routers met NAT naar het internet gaan. Waarom is CGNAT dan opeens wel problematisch? Heel simpel: door de CGNAT-router delen opeens duizenden huishoudens hetzelfde IPv4-adres. Via bronnen die anoniem willen blijven, heb ik vernomen dat de politie dat niet begrijpt. Ofwel: er komt een tapverzoek voor een IPv4-adres en omdat ze niet de gebruikte poorten weten, moeten dan opeens duizenden huishoudens worden afgeluisterd. Met een zeer grote kans op justitiële fouten.

Een ander probleem zijn de zwarte lijsten die om allerlei redenen worden gebruikt. Stel dat één rotte appel zorgt dat het IPv4-adres van een CGNAT-router op zo’n lijst terecht komt, dan kunnen wederom duizenden onschuldigen niet meer gebruikmaken van een dienst met zo’n zwarte lijst. Wat ook kan gebeuren, is dat een groot deel van die duizenden huishoudens opeens naar een bepaalde website wil. De beheerders daarvan zien dan opeens verdacht veel verkeer van één IPv4-adres en zullen die dus blokkeren om te zorgen dat hun website in de lucht blijft. Vooral bij rampen kunnen zo wederom duizenden mensen niet aan informatie komen.

Tot slot

Het blijft vreemd dat na een dozijn jaren nog steeds niet iedereen IPv6 heeft. En dat door die laksheid nu derderangs internetverbindingen worden opgeleverd. Nog erger is dat ACM niet snapt dat vijf kleine spelers geen concurrentie vormen! Concurrentie ontstaat pas als minimaal vier of meer partijen globaal de markt verdelen. Niet met twee grote spelers die zijn begonnen op een netwerk dat gemaakt werd voor telefonie en tv.