Antivírus bloqueia requisições IPv6 - nas máquinas Linux o IPv6 funcionava normalmente, mas nas Windows não. Descobrimos que o antivírus corporativo bloqueava qualquer requisição destinadas a IPs diferentes da rede 172.16.x.x. Foi necessário adicionar as rede 2001:db8:db7e::/48 nas exceções do antivírus. Portanto, se o IPv6 não está funcionando, verifique o antivírus e outras ferramentas de segurança.

Ainda não descobri como colocar sites somente IPv6 nas exceções de proxy - como meu proxy ainda não estava com IPv6 era necessário que os sites IPv6 são saíssem por ele. Não descobri como fazer com que os sites IPv6 saíssem pelas exceções do proxy. Para efeito de testes com o meu laboratório, quando tentava acessar http://ipv6.google.com (site que responde somente por IPv6) essa requisição era enviada para o proxy e a página não abria. Porém, se tirasse o proxy, os sites somente com IPv4 eram bloqueados pelo meu firewall corporativo. A solução temporária foi liberar a navegação para a minha máquina de testes.

A rede Teredo no Windows não funciona direito - o Windows possui suporte a rede Teredo que poderia ser usada para fornecer acesso IPv6 para usuários domésticos, mas seu uso está sendo desaconselhado. Durante os testes os acessos através de nomes FQDN simplesmente pararam de funcionar. Só era possível navegar usando IP. O mesmo não ocorria usando a rede Teredo através do software Miredo no Linux.

Teredo também não aceita conexões entrantes - A rede Teredo também não aceita conexões entrantes. Portanto, não é possível configurar um servidor web usando esse tipo de túnel.

Hurricane exige IPv4 fixo - a Hurricane exige que o gateway do túnel IPv6 tenha um IPv4 público fixo. Para empresas de porte médio isso não é problema, mas para pequenas empresas e residências isso inviabiliza o uso.

Sixxs negou meu pedido de túnel - outra empresa que fornecia túneis IPv6 era a Sixxs, mas ela negou meu pedido por duas vezes. Agora eles não fornecem mais esse serviço.

Não consegui me cadastrar na Freenet6 - mais uma empresa que fornece túneis IPv6, a Freenet6 estava com problema para cadastrar novos usuários. Não consegui durante os dias que tentei. Não achei nenhuma solução para fornecer túneis IPv6 para micros domésticos. Uma solução que ainda vou testar é usando a VPN da empresa.

Várias aplicações não possuem suporte - há várias aplicações que dizem que possuem suporte ao IPv6, mas internamente elas não estão preparadas para o protocolo. Outras possuem suporte limitado. Algumas simplesmente dão erro quando o protocolo está funcionando. Outras não podem trabalhar com os dois protocolos ao mesmo tempo.

VNC não aceita conexões IPv6 - fiz uma tentativa de conceder acesso remoto via VNC para o pessoal do Suporte, mas o VNC que a empresa usa no Windows não suporta o protocolo. Se quisermos implantar o IPv6 nos desktops da empresa num futuro próximo teremos que rever o acesso remoto. O Remote Desktop funciona corretamente. O SSH também.

Sistema de auditoria não tem suporte - tanto o OCS quanto o OpenAudit não identificam o protocolo IPv6 nas interfaces.

IPS precisou ser configurado para suportar o protocolo - o IPS corporativo estava bloqueando todos as requisições para fora da rede. Foi necessário reconfigurá-lo para aceitar o trânsito do IPv6.

Portsentry não possui suporte - o Portsentry, um outro IPS que uso em máquinas Linux, não possui suporte ao IPv6. O tráfego simplesmente é ignorado pelo sistema. Em outras palavras, é como se eu não tivesse o sistema rodando quando os acessos são feitos via IPv6.

Não é possível setar dois protocolos no Darkstat - Darkstat é uma ferramenta que monitora o uso das interfaces de rede gerando gráficos a cada segundo, minuto, hora e dia. Também mostra quais IPs mais fizeram download e upload. O problema é que não posso setar na ferramenta duas redes LAN. Ou monitoro IPv4 ou IPv6. Prá piorar, se seto a VLAN IPv4 o programa encara todos os acessos IPv6 como sendo externo, mesmo aqueles da rede interna IPv6.

O Zabbix precisou ser alterado - o Zabbix usa o programa fping para checar se um host está respondendo na rede. Para IPv6 ele usa o fping6. No Debian, o caminho do fping6 está errado. Foi necessário alterar o caminho do fping6 de /usr/sbin/fping6 para /usr/bin/fping6 no arquivo /etc/zabbix/zabbix_server.conf. Também foi necessário setar o suid para o fping6 com o comando "chmod u+s /usr/sbin/fping6".

Fwbuider apaga as configurações do túnel - o Fwbuilder é um programa que permite gerenciar o iptables (e outros firewalls) usando uma interface gráfica parecida com a do Checkpoint. Porém, ao aplicar as políticas, o programa zera as configurações do túnel IPv6. Não achei uma solução para esse problema.

Configurei uma máquina com o IP final "10" ao invés de "A" - não chega a ser um problema, mas estamos tão acostumados com o sistema de numeração decimal que configurei uma máquina com final "10" ao invés de "A". Os endereços IPv6 usam o sistema hexadecimal. Portanto, depois do endereço 2001:db8:db7e::9 vem o 2001:db8:db7e::a.

Implantação do IPv6 no Windows - o Windows passou a ter suporte ao IPv6 a partir do XP. Mas no XP o suporte ainda é limitado. Não é possível nem especificar o IP manualmente. No Vista e no 2003 foi necessário rodar os seguintes comandos:

# netsh interface ipv6 set privacy disabled
# netsh interface ipv6 add address interface="Local Area Connection" address=2001:db8:db7e::xxxxx store=persistent
# netsh interface ipv6 add route ::/0 interface="Local Area Connection" 2001:db8:db7e::1 store=persistent

A partir do Windows 7 e 2008 o endereço IPv6 já pode ser configurado pelo ambiente gráfico.

ShellInABox não tem suporte ao IPv6 - o ShellInABox fornece um console através de uma interface web. Porém ele também não tem suporte ao IPv6.

Sites migrados parcialmente - tive alguns problemas estranhos com alguns sites externos. Alguns fazem algum tipo de checagem reversa de DNS. Porém, essa checagem não é feita via IPv6. Ou seja, até onde notei, o site tem suporte ao IPv6, mas o sistema de checagem não, fazendo com que a aplicação não funcione corretamente. Isso pode ocorrer em sites e aplicações que possuem um módulo legado. Também vi sites onde a página de autenticação tem IPv6, mas, após a autenticação, o site te direciona para outro site sem suporte, gerando erros de acesso. Outros sites até possuem registros DNS IPv6, mas não respondem. Em todos esses casos tive que forçar o proxy a sair por IPv4.

uCarp não funciona com IPv6 - como ferramenta de cluster uso o uCarp, porém ele não funciona em equipamentos que possuem somente IPv6. Isso também não chega a ser um problema visto que deve demorar para encontrarmos redes sem IPv4.

Um dos servidores Hyper-V não possuia suporte IPv6 - temos 4 servidores Hyper-V e dezenas de máquinas virtuais. Em um destes Hyper-V o IPv6 não funcionava, fazendo com que todas as máquinas virtuais hospedadas nele também não funcionassem. O administrador do hypervisor não soube me dizer o motivo. A solução foi migrar meus servidores para outro virtualizador.

Registros DNS Reverso - a configuração do DNS reverso é meio esquisita. O endereço IPv6 deve ser escrito ao contrário, assim como no IPv4, mas não podemos abreviar. Abaixo temos como exemplo de um trecho do meu DNS mostrando o reverso do IPv6 2001:db8:db7e:8000::6.


Configuração do SPF - para permitir aos meus MTAs enviarem e-mail por IPv6 tive que modificar meu registro SPF para incluir tanto o IPv4 quanto o IPv6. Abaixo um exemplo de como ficou.


RADVD subiu durante uma atualização do servidor - RADVD é uma ferramenta que anuncia roteadores IPv6 para a rede. Devidamente configurado ele pode fornecer o endereço do gateway IPv6 para as máquinas que, usando a Auto Configuração Stateless conseguiriam sair para a internet. Deixei a ferramenta parada. Mas devido a uma atualização do kernel do servidor, no boot o RADVD subui novamente e várias máquina da empresa começaram a tentar sair para a internet via IPv6, gerando erros diversos. A detecção da causa não foi tão simples pois ao monitorar o proxy e o gateway oficial da rede não víamos nenhuma requisição chegando. Só depois de algum tempo percebemos que as máquinas estavam com IPv6 público. Lembre-se: o DNS responde primeiro para IPv6.

Antispam não trabalha com IPv6 - usamos um antispam administrado por uma empresa terceirizada e o contrato está vencido. Por isso não pude fazer com que serviço respondesse por IPv6.

ClearOS e Zentyal não suportam o protocolo - para tentar levantar um antispam rapidamente tentei usar algumas ferramentas livres que existem no mercado. O ClearOS e o Zentyal não possuem suporte ao IPv6 através da interface web.

Zoneedit gratuíto não suporta PTR IPv6 - para fazer testes de e-mail com o meu domínio particular, que usa o Zoneedit, precisava criar um registro reverso IPv6, mas o provedor não tem suporte na conta grátis. Por isso tive que migrar o meu domínio para o DNS da empresa.

Outlook.com e Hotmail.com não suportam o novo protocolo - uma grande surpresa para mim foi o fato da Microsoft não usar IPv6 nos domínio outlook.com e hotmail.com. Em meus testes todos os grandes provedores receberam e enviaram as mensagens por IPv6 para o meu domínio, menos os da Microsoft.

O túnel IPv6 é o primeiro a sentir o congestionamento do link - muito se falou sobre a lentidão que os túneis 6to4 causam, mas eu não vi essa lentidão. O único problema é que os acessos que passam pelo túnel são os primeiros a apresentar lentidão quando o link está congestionado. Num cálculo rápido, quando o link atinge 90% de uso o túnel começa a perder pacotes. Isso será resolvido quando as operadoras começarem a fornecer IPv6 aos seus clientes.

Site tem IPv6 no DNS mas o acesso não está funcionando - há vários sites que até possuem registros IPv6 mas o acesso não está funcionando.

Decidi deixar o gateway IPv6 separado do gateway IPv4 para facilitar as análises - a ideia inicial era deixar um único pool de servidores como gateway tanto da rede IPv4 quanto da IPv6, mas para facilitar os testes e as análises, e para não prejudicar a rede IPv4, achamos melhor deixar os gateways IPv4 e IPv6 em servidores diferentes.