Nachdem das RIPE NCC im November 2019 die finale Phase der IPv4-Run-Out-Behandlung eingeläutet hat (https://www.ripe.net/manage-ips-and-asns/ipv4/ipv4-run-out), setzen sich immer mehr Netzwerker mit reinen IPv6-Szenarien auseinander. Einige relevante Services sind im Internet jedoch weiterhin ausschließlich per IPv4 erreichbar. So zum Beispiel www.github.com, ein Service, der beim Setup von Diensten und Servern fast nicht mehr wegzudenken ist.

Um dennoch weitere Verzögerungen im Aufbau reiner IPv6-Netzwerksegmente zu vermeiden, können Techniken wie NAT64 (zur Übersetzung von IPv4- in IPv6-Adressen) und DNS64 (Übersetzung von DNS-A-Einträgen zu AAAA-Einträgen) kombiniert eingesetzt werden. Eine Option zur Realisierung ist A10 Networks‘ Thunder CGN – eine Appliance, die DNS64 und NAT64 parallel zum Betrieb als IPv6-Router und Statefull-Firewall ermöglicht. 

In diesem Blog werfen wir dazu einen genaueren Blick auf die Verkehrsflüsse eines reinen IPv6-Clients in zwei gängigen Netzszenarien.

 

 


NAT64 und DNS64 auf A10 Networks Thunder CGN

 

Szenario 1:   Zugriff eines IPv6-Clients auf einen IPv6-Service

 

Der IPv6-Client möchte einen bestimmten Service (z.B. www.google.com) erreichen. Dazu fragt er seinen DNS-Resolver – hier A10 Thunder CGN – nach dem AAAA-DNS-Eintrag (IPv6 zu DNS-Zuordnung). A10 Thunder CGN leitet die Anfrage an einen externen DNS-Server weiter, die von dort mit dem passenden AAAA-Eintrag beantwortet wird.

Nachdem der Client diese Antwort wiederum vom A10 Thunder CGN erhalten hat, kann er direkt nativ auf den angefragten IPv6-Service zugreifen. A10 Thunder CGN dient hierbei also als Default-Gateway und fungiert als IPv6-Router.

 

Szenario 2:   Zugriff eines IPv6-Clients auf einen IPv4-Service

Möchte der IPv6-Client einen nur per IPv4 erreichbaren Service (z.B. www.github.com ) erreichen, fragt er seinen DNS-Resolver, A10 Thunder CGN, nach einem AAAA-Eintrag für diesen. Diesmal bekommt A10 Thunder CGN vom externen Server allerdings keinen AAAA-Eintrage zurück, sondern lediglich die Antwort „NXDOMAIN“.

 


An dieser Stelle greift der DNS64-Mechanismus: A10 Thunder CGN befragt nun eigenständig den externen DNS-Server nach einem DNS-A-Record (IPv4 zu DNS-Zuordnung) und erhält daraufhin eine passende Antwort (z.B. 140.82.121.3). Der reine IPv6-Client könnte mit dieser Adresse jedoch nichts anfangen, weshalb diese zunächst in eine IPv6-Adresse übersetzt werden muss.

Hier greift der NAT64-Mechanismus: Ein bestimmter IPv6-Prefix (64:ff9b::/96) wurde für diese Art der Übersetzungen bestimmt und reserviert. Im konkreten Fall wird die IPv4-Adresse 140.82.121.3 zur IPv6-Adresse 64:ff9b::8c52:7903 umgewandelt bzw. übersetzt. Der IPv6-Prefix bietet Platz für 32bit an Host-Informationen – genau groß genug also, um den gesamten IPv4-Adressbereich (32bit Länge) 1:1 abbilden bzw. übersetzen zu können.

 

Bekommt das A10 Thunder CGN System also eine IPv4-Adresse vom DNS-Server zurückgeleitet, wird es automatisch:

  • eine DNS-Antwort an den IPv6-Client senden, in welcher die oben beschriebene IPv6-Adresse (64:ff9b::8c52:7903) zum Client gemeldet wird
  • eine NAT-Ressource bzw. Zuordnung erstellen, so dass jedweder Traffic zu dieser IPv6-Adresse (im Beispiel 64:ff9b::8c52:7903) ankommend auf der Innenseite der A10 Thunder CGN auf eine IPv4-Quell-Adresse des definierten IP-Pools auf der Außenseite der A10 Thunder CGN übersetzt wird

Durch Nutzung dieser Mechanismen geht der IPv6-Client davon aus, dass er Daten zu einem IPv6-Ziel (im Beispiel 64:ff9b::8c52:7903) sendet. Der IPv4-Service wiederum sieht Anfragen von einer IPv4-Adresse (aus dem Pool auf der Außenseite der A10 Thunder CGN) bei sich ankommen.

A10 Thunder CGN übernimmt also die Übersetzung der Datenströme in beide Richtungen. Je nachdem wie viele reine IPv6-Clients oder -Server angebunden werden sollen, kann der verwendete IPv4-Pool dabei sehr klein ausfallen bzw. sogar nur aus einer einzigen Adresse bestehen.

 

Hinzufügen von Statefull Firewalling

Beide oben beschriebenen Szenarien können – unabhängig davon, ob direkt geroutet oder per NAT64/DNS64 übersetzt wird – optional durch Nutzung der A10 Converged Firewall (CFW) durch einen Statefull-Firewall-Service geschützt werden. 

Hierbei können sowohl ein- als auch ausgehende Verbindungen gesteuert und kontrolliert bzw. selektiv zugelassen werden. CFW kann zusätzlich zu den bereits besprochenen NAT64-Diensten auf demselben Gerät aktiviert werden und erlaubt dabei eine genaue Steuerung der Verkehrsflüsse.

Typischerweise würde eine solche Firewall alle ausgehenden Verbindung zulassen, aber eingehende Verbindung nur selektiv oder ggf. auch gar nicht erlauben.

 

Einschränkungen/Besonderheiten

NAT64 in Verbindung mit DNS64 kann nur dann eingesetzt werden, wenn die IPv4-Dienste auch über IPv4-DNS-Einträge verfügen. Andernfalls kann der DNS64-Mechanismus der Lösung keine Übersetzung ermitteln und kommunizieren. Die Erreichbarkeit von Diensten direkt über IPv4-IP-Adressen (IPv4 Literals) kann so also nicht gewährleistet werden.

 

Fazit

  • Mittels NAT64 und DNS64 können reine IPv6-Clients auch Ziele erreichen, die eigentlich nur per IPv4 verfügbar sind. Parallel können IPv6-Verbindungen bereits ohne Einschränkungen realisiert werden.
  • A10 Thunder CGN ermöglicht in diesem Setup also den Aufbau reiner IPv6-Umgebungen und sichert gleichzeitig den Zugriff auf IPv4-Ziele, wozu lediglich sehr kleine Menge an IPv4-Adressen benötigt wird.
  • Durch den Einsatz von A10 Thunder CGN reduziert sich die Anzahl ansonsten notwendiger Geräte von drei – einem dedizierten Router, einem dedizierten CGNAT-System und einer dedizierten Firewall – auf ein System.

 

 


Sie möchten mehr über die Funktionalitäten von A10 Networks Thunder CGN oder über NAT64 und DNS64 erfahren?
Kontaktieren Sie uns über das nachfolgende Kontaktformular!

 

FrauHerr

 

Hier finden Sie alle Informationen zum Datenschutz.