Vamos a quitarnos las caretas. Después de años montando, sosteniendo y volviendo a montar redes, hoy vengo a soltar algo que muchos piensan y pocos dicen en voz alta: mantener una red dual-stack es una soberana mierda.

Y ojo, que aquí hablan mis dos yos. El Dement0r que opera como ISP y el Dement0r que administra LANs de clientes. Dos mundos distintos, dos escalas distintas, dos tipos de marrón distintos. Y aun así, los dos levantan la mano a la vez y dicen exactamente lo mismo: una mierda.

Porque mantener dual-stack es mantener dos universos de direccionamiento en paralelo. Dos planes de IPs que no se parecen en nada. Dos juegos de reglas de firewall que tienes que cuadrar para que digan lo mismo, y que casi nunca dicen lo mismo. Dos estructuras mentales: una con NAT, donde escondes media red detrás de una dirección, y otra sin NAT, donde cada cacharro asoma la cabeza con su propia IP pública.

Y luego llega el día en que algo peta. Y empieza la fiesta...

¿Por dónde ha salido ese tráfico, por la v4 o por la v6? ¿El cliente resuelve AAAA o A? ¿La regla que falla es la del firewall v4 o la del v6? Te pones a tirar de tcpdump y acabas mirando dos tipos de tráfico a la vez, con la cabeza partida en dos, volviéndote un poco majara. Doble superficie para que las cosas fallen, doble sitio donde buscar cuando fallan. Eso no es redundancia, es esquizofrenia de red.

Llegados a este punto, los que defienden IPv8, IPv4+ y demás criaturas mitológicas estarán dando palmas con las orejas. "¡Por fin! ¡Por fin este tío ha visto la luz!". Os imagino perfectamente. Y siento deciros que voy a templar gaitas...

Porque una cosa es que dual-stack sea un coñazo, y otra muy distinta es agarrarse a teorías locas para no tener que aprender IPv6. IPv8 no existe. IPv4+ no va a salvar a nadie. Son el equivalente de red a tomar homeopatía porque te da pereza ir al médico. Y lo entiendo, eh, que aprender IPv6 de verdad da una pereza importante. Pero la pereza no es un argumento técnico, por mucho que la disfracéis de "es que el otro está mejor diseñado".

Así que vamos a hablar en serio de IPv6. De dónde sale y por qué...

IPv6 nace de un problema muy tonto y muy gordo a la vez: nos quedábamos sin direcciones. IPv4 tiene 32 bits, unos 4.300 millones de direcciones, que en los ochenta parecían infinitas y en los noventa ya hacían sudar. Así que los que diseñaron lo que venía después no quisieron quedarse cortos otra vez y se fueron a 128 bits. El número que sale de ahí es tan absurdamente grande que no merece la pena ni intentar explicarlo: da para ponerle una IP a cada grano de arena del planeta y sobrar para unos cuantos planetas más.

Aunque seamos justos: lo de "nos quedamos sin IPs" es verdad a medias. La escasez es real, sí, pero también es en buena parte una escasez fabricada. Heredamos un reparto de IPv4 hecho a lo loco, cuando aquello parecía infinito y se regalaban bloques enteros del tamaño de un país a quien pasara por ahí. Universidades, empresas y organismos sentados sobre rangos gigantescos que no usan ni de lejos, mientras el resto del mundo se pelea por migajas en un mercado secundario donde una IPv4 ya se paga a precio de reliquia.

No es solo que haya pocas, es que las repartimos como el culo.

¿Y se puede arreglar a estas alturas recortando por ahí? Poco, la verdad. Más allá de conseguir que los gastos de representación del presidente de RIPE sean un poco más "del mundo real" y no una puta locura, no hay mucho que rascar. El agujero ya está hecho. IPv6 no es solo la solución elegante: es que volver a cuadrar IPv4 a base de buena voluntad y reuniones es, sencillamente, imposible.

Pero no fue solo más espacio, fue rediseñar cosas. IPv6 viene sin NAT por diseño (aunque se puede hacer...), porque NAT siempre fue un parche para el agotamiento de IPv4, no una virtud. Viene con autoconfiguración (SLAAC), donde una máquina se monta su propia dirección sin que nadie le tenga que dar el DHCP de la mano. Sobre el papel es más limpio, más plano, más honesto.

¿Y entonces dónde está el problema? En una cosa que los que lo diseñaron no se tomaron en serio: nosotros, los humanos.

Porque IPv6 no es human-friendly. Una dirección IPv4 te la cantas de memoria: 192.168.1.1, hasta tu cuñado se la sabe. Una IPv6 es algo tipo 2001:0db8:85a3::8a2e:0370:7334, y ya estás contando los grupos como quien busca las llaves por la mañana. No hay forma humana de dictar eso por teléfono sin querer tirarte por la ventana.

Y aquí toca ser honesto, aunque escueza. IPv6 está mejor diseñado que IPv4 para un montón de cosas: el enrutado más limpio, el direccionamiento jerárquico, la conectividad punta a punta de verdad, la muerte del NAT. Para la máquina, IPv6 es mejor. Para el humano que tiene que mantenerlo a las tres de la mañana, se hace bola. Las dos cosas son verdad a la vez, y negar cualquiera de las dos es hacer trampa.

Entonces, si dual-stack es una mierda, pero IPv6 es mejor… ¿qué hacemos?

Pues a lo mejor el planteamiento que llevamos años repitiendo está mal de raíz. Llevamos una década pensando en dual-stack como "el camino", esa fase intermedia eterna en la que vamos a vivir para siempre con un pie en cada barco. Y ahí está el error. Dual-stack no es el destino, es la sala de espera más larga de la historia.

El enemigo no es IPv6. El enemigo es empeñarse en vivir a la vez en los dos mundos.

Quizá lo que toca es tomarnos en serio, de una puta vez, los mecanismos de transición. Redes IPv6-only de puertas para dentro, con un único punto donde conviven los dos tipos de tráfico: el borde. Tu frontera. Un solo sitio donde traduces, en lugar de arrastrar la dualidad por cada switch, cada firewall y cada host de la red.

Y aquí nos metemos un poquito en barro, que sé que os gusta. Para que una red IPv6-only pueda seguir hablando con el internet IPv4 que todavía existe (y va a existir un buen rato), tienes herramientas. NAT64 con DNS64: el DNS te fabrica un AAAA sintético para un destino que solo tiene registro A, y tu gateway traduce el v6 a v4 en la frontera.

O 464XLAT, que permite que aplicaciones cazurras que aún hablan IPv4 a pelo sigan funcionando sobre una red v6.

No es magia. Es fontanería. Pero fontanería que vive en un punto concreto de tu red, no repartida por todas partes.

¿Suena a locura? Pregúntale a Meta. Llevan años con su red interna en IPv6-only. Dual-stackearon primero, vieron el marrón que era mantener los dos mundos, y decidieron que los clústers nuevos nacían IPv6-only directamente. ¿Y el IPv4 del mundo de fuera? Lo resuelven en el borde, con sus balanceadores traduciendo lo que entra. El argumento que dieron es, casi palabra por palabra, el de esta newsletter: para qué comerte el dolor de cabeza del dual-stack en toda la infraestructura, si puedes ser IPv6-only dentro y dejar la frontera como único punto de convivencia.

Si a la escala de Meta les sale a cuenta, a lo mejor a nuestra escala también deberíamos dejar de tenerle tanto miedo.

Así que no, añadir IPv6 a tu red no es una mierda, pero mantener dos redes a la vez sí lo es. Y llevamos tanto tiempo confundiendo las dos cosas que hemos acabado culpando al protocolo nuevo de un dolor que nos provoca el quedarnos a medias.

Aprende IPv6. Hazlo tuyo. Y luego plantéate si de verdad necesitas seguir arrastrando el v4 por toda la red, o te basta con tenerlo atado en la puerta.

Eso, o te apuntas a la secta del IPv8 y rezas. Tú verás.

¡Feliz Domingo!