O2 selbst und andere Provider haben sich mehrfach zu dem Thema geäußert:
Pv4 ist genattet und damit sowieso nicht öffentlich und IPv6 ist zwar öffentlich aber aus mehrern Gründen eingehend blockiert. (Firewall beim Provider)
Eingehenden IPv6-Verkehr welcher nicht vom Gerät angefragt wurde, wird zum Schutz der Kunden gefiltert. Anfragen vom Gerät und Antworten darauf werden nicht gefiltert.
Alle APN Punkte verhalten sich gleich.
Schutz der Kunden bedeutet zum einen: Ungewolltes Datenvolumen, wenn das Gerät von außen Erreichbar ist.
Zum anderen providerseitig einer der wichtigsten Gründe besteht darin, dass eine Funkzelle nicht von außen überlastet werden können soll und somit das Netz betriebsfähig gehalten werden soll.
Weitere Gründe neben der Sicherheit für Clients auch die Unterbindung eines Serverbetriebs/Hosting, gluon-ebtables-
filter-multicast, etc.
Das Provider und Infrastrukturbetreiber Maßnahmen zum Schutz ihrer Netze treffen und anwenden, ist in entsprechenden Ausführungen als rechtskonform legitimiert worden. Dazu gehört beispielsweise die Abskalierung eines mobilen 4K/HD Streams bei Funkzellenüberlast auf eine niedrigere Auflösung ebenso wie die auch dafür implementierte DPI. Dieses Prozedere wendet ein Anbieter an, der eine inländisch nomadische Nutzung seiner als DSL-Alternative beworbenen LTE Produkte vorsieht und auch transparent kommuniziert.
Anbieter, die eine nomadische Nutzung LTE-basierter Homespot-Produkte nicht anbieten, kalkulieren eine Sektorenlast von Funkzellen im 20 MHz-Bereich über eine Standortabfrage für den beabsichtigten stationären Betrieb der Hardware und/oder nutzen IMEI-Fetching, um eine SIM-Karten-Nutzung in externe Hardware zu unterbinden.
Internet via LTE wird als, Netzabdeckung vorausgesetzt, hochperformante DSL-Alternative im Privatkunden-Marktsegment beworben. Sie hat keine netzseitig identische Spezifikation einer DSL/FTTH-Anbindung und wird diese aufgrund physikalischer Gegebenheiten derzeit weder erreichen noch ist eine Gleichrangigkeit im Moment vorgesehen.
Für Anwender, die eine eingehende Erreichbarkeit via IPv6 benötigen, gibt es spezifische Produkte und Workflows, die von Providern vorrangig im Geschäftskundenmarkt angeboten werden.
Ein Beispiel dafür ist das "Mobil IP VPN Basic" eines Anbieters, dass eine Sicherheitsarchitektur für eingehende Verbindungen bereitstellt.
Die Implementierung von IPv6 erforderte und erfordert neue Sicherheitskonzepte.
RFC6724 geht ausführlich auf die Wahl der passenden IP-Adressen bei ausgehenden Verbindungen ein. Bei eingehenden Verbindungen ist das Dokument jedoch ungenau. Hosts akzeptieren deswegen in der Regel eingehende Verbindungen auf allen zur Verfügung stehenden Adressen. Und zwar unabhängig davon, für welchen Anwendungsbereich sie vorgesehen sind oder wie stabil sie sind.
Aber auch neue Angriffe sind möglich (z.B. vermeintliche Belegung aller Adressen bei der automatischen Selbstgenerierung der IP-Adresse per SLAAC, Verbindungsumleitung per gefälschter Router Advertisments).
Datenschützer bemängeln, dass mit IPv6 (und damit ohne NAT) eine "unverschleierte" Nutzer-Identifikation inklusive Bewegungs- und Nutzungsprofile möglich wird (siehe auch Verhältnis IP-Adresse zu personenbezogenen Daten), da diese sich von der MAC-Adresse des Netzwerk-Interface ableitet. Ein regelmäßiger Wechsel (Option "Privacy Extentions") ist technisch zwar möglich, muss aber bei einigen Betriebssytemen manuell eingeschalten werden, bei vielen Smartphones/Hardwaremenüs fehlt sogar dieser Schalter.
Auch wird kritisiert, dass einige Hersteller von Smartphone-Software die weltweite eindeutige Hardware-Kennung der Geräte als Bestandteil der IP-Adresse verwenden. Dabei darf man nicht verkennen, dass mit dem Setzen der Option "Privacy Extentions" lediglich der Interface Identifer-Teil der IP-Adresse verschleierbar ist.
Leider ist die derzeit im Home-Bereich verwendete Technik (z.B. Fritzboxen der AVM und andere) nicht oder nur schwer in dieser Hinsicht erweiterbar, lediglich mittels Eigenbau und OpenSource (z.B. OpenWRT) kann eine Lösung aufgebaut werden.
Zudem sollten aus Datenschutzsicht die Netzwerkkomponenten und Anwendungen alle Sicherheitsfunktionen von IPv6 (insbesondere IPSec) in vollem Umfang nutzen.
Sind diese Informationen nicht ausreichend, und/oder möchten sie sich innerhalb ihrer Anwendungsszenarien für die Weiterentwicklung von IPv6 und seiner Sicherheitsarchitektur engagieren, führt der Link zu thematischen Profis.
https://hpi.de/ipv6council/ueber-uns.html
... wie sieht es denn mit funktionalen Einschränkungen von mobilen Internetzugängen aus, für die es keinen technischen Grund gibt?
O2 blockiert ohne Not im Mobilfunk eingehende IPv6-Verbindungen (z.B. für Fernwartungszwecke), und zwar auch in Tarifen, die als Alternative zum Festnetz vermarktet werden, wo solche Einschränkungen absolut unüblich ist.
Im Kundenforum wurde das schon mehrfach diskutiert, aber auch die Moderatoren dort können angeblich nicht in Erfahrung bringen, warum O2 das genau macht. Es war mal etwas nebulös von Sicherheitsgründen die Rede, aber O2 scheint auch auf ausdrücklichen Kundenwunsch hin nicht bereit zu sein, die Blockade aufzuheben.
Es ist klar, dass bei IPv4 im mobilen Internet wegen CGNAT keine eingehenden Verbindungen möglich waren, aber bei IPv6 gibt es diese Einschränkung nicht, weswegen diese netzseitige Firewall zumindest abschaltbar sein müsste, wenn O2 für sich in Anspruch nehmen will, einen vollständigen Internetzugang bereitzustellen.
Es würde mich freuen, wenn teltarif.de hier über die Pressekontakte eine offizielle Stellungnahme von O2 zu dem Thema herausbekommen könnte. Außerdem wäre interessant wie die BNetzA zu solchen künstlichen Beschränkungen steht, die einen
Teil der Vorteile von IPv6 direkt wieder zunichte machen.