IPv6-Migration – Leitfaden für Heimnetz & Unternehmen

Warum ist IPv6-Migration notwendig?

Der IPv4-Adressraum ist erschöpft. Die IANA (Internet Assigned Numbers Authority) vergab den letzten freien Block im Februar 2011, RIPE NCC (Europa) im September 2012. Seitdem werden IPv4-Adressen auf einem Sekundärmarkt gehandelt – ein Block von 256 Adressen kostet heute mehrere Tausend Euro.

Mit dem rasanten Wachstum von IoT-Geräten, Smart-Home-Systemen und mobilen Endgeräten wird der Bedarf an eindeutigen IP-Adressen weiter steigen. IPv6 löst dieses Problem dauerhaft: Mit 128-Bit-Adressen stehen rund 340 Sextillionen Adressen zur Verfügung – genug für jeden denkbaren Anwendungsfall auf Jahrzehnte hinaus.

~45 %

IPv6-Traffic weltweit
(Google, 2024)

~60 %

Deutsche Telekom
IPv6-Anteil

3,4 × 10³⁸

IPv6-Adressen
verfügbar

2011

IPv4-Erschöpfung
IANA global

Vorteile von IPv6 im Überblick

Ende-zu-Ende-Konnektivität: Jedes Gerät erhält eine globale, direkt erreichbare Adresse. NAT wird überflüssig – das vereinfacht P2P-Anwendungen, VoIP und Gaming erheblich.
Effizienteres Routing: Der vereinfachte IPv6-Header (40 Byte, fix) entlastet Router und beschleunigt die Paketverarbeitung.
SLAAC – Zero-Config-Netzwerke: Geräte können ihre IPv6-Adresse automatisch ohne DHCP-Server aus dem Router-Präfix ableiten.
Integriertes IPsec: Verschlüsselung und Authentifizierung sind Teil der Spezifikation, nicht nachträglich angebaut.
Kein Broadcast-Flooding: IPv6 nutzt Multicast statt Broadcast – das reduziert unnötigen Netzwerkverkehr.

Schritt 1: IPv6-Bereitschaft prüfen

Bevor Sie mit der Migration beginnen, prüfen Sie, ob Ihr Internetanbieter bereits IPv6 unterstützt. In Deutschland bieten die meisten großen Provider IPv6 an:

Anbieter	IPv6-Support	Protokoll	Hinweis
Deutsche Telekom	✓ Vollständig	Dual-Stack / DS-Lite	Standardmäßig aktiv
Vodafone	✓ Vollständig	DS-Lite (Kabel)	IPv4 via Tunneling
1&1 / ionos	✓ Vollständig	Dual-Stack	Aktive Anfrage nötig
o2 / Telefónica	✓ Vollständig	Dual-Stack	Bei neueren Tarifen
Kleinere Anbieter	⚠ Variiert	Oft nur IPv4	Provider anfragen

Schnelltest: Haben Sie IPv6?

Der einfachste Test: Besuchen Sie unsere Startseite. Zeigt der Test eine IPv6-Adresse an, sind Sie bereits IPv6-fähig. Alternativ können Sie in der Kommandozeile prüfen:

# Windows
ipconfig | findstr "IPv6"

# Linux / macOS
ip -6 addr show
# oder
ifconfig | grep inet6

IPv6-Konnektivität im Detail testen

# Ping zu einem IPv6-fähigen Server (Google DNS)
ping6 2001:4860:4860::8888

# Windows
ping -6 ipv6.google.com

# Traceroute über IPv6
traceroute6 ipv6.google.com   # Linux/macOS
tracert -6 ipv6.google.com    # Windows

Schritt 2: Dual-Stack verstehen

Eine vollständige IPv6-Only-Umgebung ist heute noch nicht praktikabel – zu viele Server, Dienste und Geräte sind ausschließlich über IPv4 erreichbar. Die Lösung: Dual-Stack.

Dual-Stack bedeutet: Ihr Gerät und Ihr Netzwerk betreiben IPv4 und IPv6 gleichzeitig. Der Betriebssystem-Stack wählt per „Happy Eyeballs"-Algorithmus (RFC 8305) automatisch das schnellere oder besser verfügbare Protokoll.

Dual-Stack vs. DS-Lite

Dual-Stack (echter Dual-Stack): Ihr Router erhält sowohl eine öffentliche IPv4- als auch eine öffentliche IPv6-Adresse. Jedes Gerät im Heimnetz ist über beide Protokolle erreichbar. Ideal für Server-Betrieb und P2P.

DS-Lite (Dual-Stack Lite): Wird vor allem von Kabelanbietern genutzt. Sie erhalten eine native IPv6-Adresse, aber IPv4-Verbindungen werden über einen gemeinsamen Carrier-Grade-NAT-Tunnel (CGN/CG-NAT) geroutet. IPv4-Ports können Sie nicht selbst weiterleiten – das schränkt Server-Hosting und bestimmte VPN-Setups ein.

Übergangsmechanismen

6to4 / 6rd: IPv6-Pakete werden in IPv4-Pakete eingekapselt. Veraltet, kaum noch in Betrieb.
Teredo: IPv6-Connectivity über UDP für Windows-Clients hinter NAT. Ebenfalls überholt.
NAT64 / DNS64: IPv6-only-Clients können IPv4-Dienste über einen Übersetzungs-Gateway erreichen. Wird von Mobilfunkanbietern eingesetzt.
MAP-E / MAP-T: Moderne Nachfolger von DS-Lite mit besserer Performance.

Schritt 3: Heimnetz für IPv6 konfigurieren

Die gute Nachricht: Wenn Ihr Anbieter IPv6 unterstützt, erledigt die FRITZ!Box oder ein moderner Router den Großteil automatisch. Hier die wichtigsten Einstellungen:

FRITZ!Box IPv6 aktivieren

Oberfläche: http://fritz.box
→ Internet → Zugangsdaten → IPv6
→ "IPv6-Unterstützung aktivieren" ✓
→ "Automatisch per DHCPv6 im Internet beziehen" ✓

Für das Heimnetz:
→ "Heimnetzpräfix (ULA) zuweisen" ✓
→ "Andere IPv6-Router im Heimnetz zulassen" ✗ (außer Sie betreiben eigene Router)

Was passiert danach automatisch?

Ihr Router bezieht via DHCPv6-PD (Prefix Delegation) ein /56- oder /48-Präfix vom ISP.
Er verteilt daraus ein /64-Subnetz an Ihr Heimnetz.
Geräte konfigurieren sich via SLAAC automatisch: Router-Advertise + zufällige Interface-ID.
Privacy Extensions (RFC 4941) sorgen dafür, dass Geräte regelmäßig neue temporäre Adressen generieren – gut für Privatsphäre.

IPv6-Firewall beachten!

Wichtig: Mit IPv6 ist jedes Gerät im Heimnetz direkt aus dem Internet erreichbar – es gibt kein NAT mehr, das als implizite Firewall fungiert. Stellen Sie sicher, dass Ihr Router eine IPv6-Firewall (Stateful Packet Inspection) aktiv hat. Bei FRITZ!Box ist diese standardmäßig aktiviert – überprüfen Sie dies unter Heimnetz → Netzwerk → IPv6-Adressen.

Schritt 4: Server & Webhosting auf IPv6 umstellen

Für Betreiber von Webservern, Mailservern oder anderen öffentlichen Diensten ist IPv6-Support zunehmend eine Anforderung. Google bevorzugt IPv6-fähige Websites in bestimmten Szenarien, und ein wachsender Anteil der Nutzer ist ausschließlich über IPv6 erreichbar.

Webserver: Nginx

# /etc/nginx/sites-available/example.com
server {
    listen 80;
    listen [::]:80;          # IPv6 lauschen

    listen 443 ssl;
    listen [::]:443 ssl;     # IPv6 über HTTPS

    server_name example.com www.example.com;
    # ... rest der Konfiguration
}

Webserver: Apache

# /etc/apache2/ports.conf
Listen 80
Listen [::]:80

Listen 443
Listen [::]:443

# In der VirtualHost-Konfiguration:
<VirtualHost *:80 [::]:80>
    ServerName example.com
    # ...
</VirtualHost>

DNS: AAAA-Records setzen

Damit Ihr Server über IPv6 erreichbar ist, benötigen Sie neben dem A-Record (IPv4) auch einen AAAA-Record (IPv6):

# Beispiel DNS-Zone
example.com.     IN  A     203.0.113.10
example.com.     IN  AAAA  2001:db8::1

www              IN  A     203.0.113.10
www              IN  AAAA  2001:db8::1

# Reverse DNS (PTR) für IPv6:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa.  IN  PTR  example.com.

Mailserver: SPF & AAAA

# SPF-Record anpassen – IPv6 hinzufügen:
example.com. TXT "v=spf1 ip4:203.0.113.10 ip6:2001:db8::1 ~all"

# MX-Record (bleibt gleich, löst per A+AAAA auf):
example.com. MX 10 mail.example.com.
mail         A     203.0.113.10
mail         AAAA  2001:db8::1

IPv6-Sicherheit: Was sich ändert

Neue Angriffsvektoren

NDP-Spoofing (Neighbor Discovery Protocol): IPv6-Äquivalent zum ARP-Spoofing. Tools wie RA-Guard und SeND (Secure Neighbor Discovery) mitigieren das Risiko.
Router Advertisement Flooding: Angreifer im lokalen Netz können falsche Router-Präfixe verteilen. RA-Guard am Switch verhindert das.
Extension Header Missbrauch: IPv6 erlaubt beliebige Extension Headers – einige Firewalls oder IDS-Systeme können damit Probleme haben.
Größerer Adressraum erschwert Scanning: Das ist tatsächlich ein Sicherheitsvorteil – ein /64-Subnetz mit 2⁶⁴ Adressen lässt sich nicht sinnvoll per Brute-Force scannen.

Firewall-Regeln für IPv6 (Linux / nftables)

table inet filter {
  chain input {
    type filter hook input priority 0; policy drop;

    # Etablierte Verbindungen erlauben
    ct state established,related accept

    # Loopback
    iif lo accept

    # ICMPv6 MUSS erlaubt sein (NDP, Ping, etc.)
    meta l4proto ipv6-icmp accept

    # SSH
    tcp dport 22 accept

    # HTTP / HTTPS
    tcp dport { 80, 443 } accept
  }
  chain forward { type filter hook forward priority 0; policy drop; }
  chain output  { type filter hook output  priority 0; policy accept; }
}

Wichtig: ICMPv6 darf unter keinen Umständen vollständig geblockt werden! Das Neighbor Discovery Protocol (NDP) ist essenziell für die IPv6-Grundfunktionalität und nutzt ICMPv6-Nachrichten vom Typ 133–137.

Troubleshooting häufiger Probleme

Prüfen Sie, ob der Router ein gültiges Präfix per DHCPv6-PD bezogen hat: ip -6 route show sollte eine Default-Route über Ihr Gateway zeigen. Überprüfen Sie außerdem, ob der ISP-Router oder das Modem im Bridge-Mode betrieben wird – doppeltes NAT kann IPv6 unterbrechen.

Das Happy-Eyeballs-Verfahren startet IPv4 und IPv6 parallel mit einem kleinen Versatz (~250 ms). Wenn IPv6 deutlich langsamer ist, könnte ein schlechtes IPv6-Peering des ISPs vorliegen. Temporäre Lösung: IPv6 im Browser deaktivieren oder beim ISP nach dem IPv6-Routing fragen.

1. Prüfen Sie, ob IPv6 unter Internet → Zugangsdaten → IPv6 aktiviert ist. 2. Überprüfen Sie beim ISP, ob Ihr Tarif IPv6 enthält. 3. Starten Sie die FRITZ!Box und das Modem neu (Modem zuerst, dann Router). 4. Prüfen Sie, ob ein zwischengeschaltetes Modem im Router-Modus läuft und IPv6 blockiert.

Bei DS-Lite erhalten Sie keine öffentliche IPv4-Adresse – Portweiterleitungen für IPv4 sind daher nicht möglich. Lösung: Leiten Sie den Dienst über IPv6-Portweiterleitungen weiter (für IPv6-fähige Clients), oder bitten Sie den ISP um eine öffentliche IPv4-Adresse (oft gegen Aufpreis). Alternative: IPv6-Tunnel wie Hurricane Electric (HE.net) für native IPv6 auf IPv4-only-Servern.

Das ist gewollt. Privacy Extensions (RFC 4941) generieren regelmäßig neue temporäre Adressen – gut für Privatsphäre. Für Server, die unter einer festen Adresse erreichbar sein müssen, verwenden Sie eine statische IPv6-Adresse oder konfigurieren Sie eine feste Interface-ID: ip -6 address add 2001:db8::10/64 dev eth0.

IPv6-Migrations-Checkliste

Verwenden Sie diese Checkliste, um Ihre IPv6-Migration strukturiert durchzuführen:

Nächster Schritt: Testen Sie jetzt Ihren aktuellen IPv6-Status auf unserer Startseite – kostenlos und in Echtzeit.