Mám dojem, že poslední dobou sílí mediální kampaň proti IPv6. Na Rootovi (zde) a Lupě (1, 2) se objevují články, které se více či méně fundovaně snaží naznačit, že až dojdou IPv4 adresy, nasadíme další a další NATy a Internet bude fungovat jako dřív. A v tuto chvíli přicházím já se svou troškou do mlýna. Tímto příspěvkem bych rád poukázal na konkrétní problémy, se kterými se dřív či později setká každý, kdo se rozhodne IPv6 nasadit.
Ve skutečnosti nebylo nutné s nasazením IPv6 čekat až na pověstný den, kdy zemřely směrovače. Díky přechodovým mechanizmům, jakými je Teredo, nebo (zejména) 6to4 by bylo bývalo možné, abychom si po IPv6 povídali leta před tím, než se z toho stane nutnost. Obě jmenované přechodové technologie umožňují přímou komunikaci koncových bodů bez prostředníka; toho potřebují jen pro spojení s nativním IPv6 světem. V ideálním stavu už měl veškerý IPv4 obsah i svou 6to4 IPv6 adresu, protože zde platí ekvivalence:
Mám veřejnou IPv4 adresu <⇒ Mám k dispozici IPv6 prefix 2002:IPAD:RESA::/48
Protože jde o překlad bezestavový a oproti např. NAT naprosto triviální, nebyl by problém implementovat jej do každé krabičky která provádí NAT. V takovém ideálním světě by ani nebylo potřeba vyvíjet mnohem složitější technologii Teredo (která za pomoci velikého úsilí dokáže získat jednu IPv6 adresu z jakékoli neveřejné IPv4 adresy), ani různé obezličky typu Universal Plug&Play. Prostě by aplikace, potřebující propíchnout NAT, přešly na IPv6.
A teď zpátky do reality. Všichni poskytovatelé obsahu, kteří již dnes poskytují obsah po IPv6, zveřejňují pouze tzv. nativní IPv6 adresu. To znamená, že osvícení klienti, kteří si rozchodili Teredo, či 6to4, přistupují přes prostředníka (jednoho takového nedávno spustil CZ NIC), který má z principu omezené kapacity a ve smluvním vztahu Klient – ISP nebo ISP – Server je třetí stranou, bez odpovědnosti. V případě 6to4 je navíc typicky různý prostředník pro každý směr provozu, což ještě víc ztěžuje případné hledání závad.
Dá se tedy říci, že 6to4 nefunguje ze stejného důvodu, proč nefunguje nativní IPv6 – poskytovatelé obsahu nemají zájem. A tak jsou adresní rozsahy 2002::/16 a 2001::/32 tak trochu méněcenné oproti nativním IPv6 adresám.
Pokud chceme být opravdu IPv6 ready, a přitom náš ISP je lama, můžeme si zařídit statický tunel s klasickou „nativní“ IPv6 adresou, takže nikdo na první pohled nepozná, že náš IPv6 provoz je celý směřován kudysi přes tramtárii, kde když už nic, tak alespoň nabere nějakých 30ms zpoždění a to je ten lepší případ.
Problém je, že takových IPv6 ready klientů s lamáckými ISP je až příliš mnoho. Když se sejdou dva sousedi z jednoho paneláku, kteří by si rádi napřímo popovídali pomocí nějakého VoIP protokolu, mají na výběr buď IPv6, nebo všeliké pracné „propichování“ NATu. No a protože jsou to lidé osvícení, použijí IPv6. Jenomže každý má natažený tunel do jiné tramtárie, takže se nám RTT vyšplhá přes 200ms, zatímco po IPv4, pokud se povede NAT propíchnout, máme RTT do 50ms. A to se na u VoIP celkem jasně pozná.
Jiní dva sousedé si budou chtít poslat nejnovější HD film: „Jaktože to najednou jde jen 20kB/s, když to vždycky šlo 200kB/s ?“ – „Nojo nasadili jsme IPv6, a druhý konec tunelu je (zase) přetížen. Stačí vypnout IPv6, a pojedeme zase plnou rychlostí“
Můžeme tedy parafrázovat známou hlášku, že IPv6 je sice delší, ale zato mnohem horší cesta.
Kdybych chtěl sepsat vše, co mám k IPv6 na srdci, byl by příspěvek příliš dlouhý. Proto jsem se rozhodl pro „seriálovou“ formu. V příští části se pokusím rozebrat problémy nasazení IPv6 z pohledu druhé strany:
[2] Na domácím ADSL od O2 mám taky tunel od HE, vedoucí do PoP ve Frankfurtu, a ten chodí kolem 50ms. V té euforii při zřizování jsem vsadil na geografickou vzdálenost, aniž bych si PoPy propingal, takže kdybych býval zřídil tunel do Londýna, měl bych to k němu o 10 ms blíže :)
Ad sousedé: Je to jen hypotetický příklad, ale pokud sousedé nejsou za nějakými hodně restriktivními NATy, můžou se bavit bez prostředníka třeba pomocí Teredo, N2N, Hamachi, ICQ, Skype atd… Aktivní síťové prvky, jako switche a routery, které leží na <i>přirozené</i> cestě*) mezi body A a B, za prostředníky nepovažuji.
*) Tedy takové cestě, které se nelze při jakémkoli provozu vyhnout. Za současného stavu se obvykle jedná o cestu IPv4 paketů.
[4] Když chci přenést několik GB Filmu, nezajímá mě, že pro iniciaci spojení pošlu pár paketů třetí straně v Internetu a taková třetí strana pro mě prostředníkem není.
Domnívám se, že stejně se chová i Skype a ICQ. Supernody se používají pouze právě k inicializaci a pak v případě, kdy jsou NATy tak restriktivní, že prostě není zbytí a musí se jet přes prostředníka.
Ano, s IPv6 a přímou end-to-end komunikací je svět jednodušší, ovšem pokud je tahle end to end komunikace za cenu desetinásobného prodloužení doby přenosu (což se mi jednou skutečně stalo), hodně rychle přecházím na IPv4 a propichování NATů.
Ono by totiž stačilo, kdyby si drazí poskytovatelé konektivity, když už nechtějí nasazovat rovnou IPv6 konektivitu až na poslední míli, pořídili 6to4 relay pro svoje zákazníky tak, aby to nebylo routované až někam do německa a zpátky. Potom by tyto adresy nebyly tak diskvalifikované, jak jsou nyní. Poskytovatelé totiž nejsou ochotní zřídit alespoň jeden rychlý relay, a těch pár lidí, co je poskytuje, je skutečně neutáhne pro všechny.
Problém s IPv6 je ten, že všichni výrobci na přechod kašlali a zahltili Evropu hromadou krabiček, které IPv6 prostě neumí. Jak má člověk začít s IPv6, když má doma IPv4 only router, napojený na IPv4 only gateway s NAT, skrz poskytovatele co mi dal jen IPv4 adresu? Pro známého sháním nový ADSL modem, prej že chce nějaký s IPv6. No, v krámě prodavač netušil co chci a tvrdošíně mi tvrdil, že jsem to zkomolil, že nechci IPv6 ale ADSL 6 a že ADSL je pouze ADSL 2 nebo 2+, ale ADSL 6 není a že mi asi poradili a že jsem vůl. Možná jsem vůl, ale rád bych viděl opravdu FUNGUJÍCÍ a SPOLEHLIVÝ ADSL modem s podporou IPv6 za tisícovku :-D
[10] Dva roky? Dva roky daval aj v Peliskoch Kodet bolsevikovi, a vsetci vieme jak to dopadlo.... :o) Uz v 1999 som cital katastroficke clanky o nutnosti prechodu na IPv6, a za 10 rokov odvtedy sme sa viacmenej nepohli z miesta. Myslim ze odteraz _najskor_ za 10 rokov bude IPv6 vo vsetkych novych zariadeniach a aplikaciach podporovane rovnocenne s IPv4, ale aj to je podla mojho pocitu optimisticky predpoklad. A potom este aspon 10 rokov potrva, kym sa zbavime podpory IPv4... IPv6 este ani zdaleka nie je nutne pre zivot na sieti a preto ma tak slabu vyuzivanost aku ma. Dnes este naozaj nie je nutne aby moja chladnicka, kavovar a mikrovlnka mali univerzalnu IP adresu dosiahnutelnu z celeho sveta, a mam pochynost ci to vobec niekedy bude potrebne. Naopak mam s pribudajucimi rokmi dojem, ze cim menej spojenia maju koncove zariadenia s verejnym internetom (presnejsie cim menej spojenia ma verejny internet na koncove zariadenia), tym menej je s tym problemov. Jedinecny identifikator dosiahnutelny z celeho sveta a uplne jednoznacne ideintifikujuci konkretne zariadenie, to je raj pre portscany, exploity, a okrem tychto ma realny prinos uz snad len pre velkeho brata, ktory chce mat kazdeho presne oznackovaneho. Inac v praxi, jedna spolocna IPv4 adresa je dost pre beznu prevadzku pristupu na internet pre stovak beznych domacich uzivatelov, vratane takych co maju doma home gateway a za nou dva-tri pocitace.
Ono to s tím 6to4 (zvlášť teď co 192.88.99.1 = nic.cz) není tak hrozné. Pro srovnání IP6 ping z nativního IP6 na 6to4 a totéž přes IP4:
--- 2002:5296:a3d2::1 ping statistics ---
18 packets transmitted, 18 received, 0% packet loss, time 17026ms
rtt min/avg/max/mdev = 9.129/15.342/32.207/5.217 ms
--- ap.stemar.cz ping statistics ---
18 packets transmitted, 18 received, 0% packet loss, time 17025ms
rtt min/avg/max/mdev = 9.888/15.598/44.323/7.294 ms
Podotýkám že to jsou 1kB pingy, takže žádný "volnoběh".
Hlavní brzdou přechodu k IPv6 je cisco (a několik dalších výrobců net infrastruktury). Když si totiž musíte připlatit (výrazně) za licenci pro IPv6 a máte na síti x routerů od nich, tak Vám to žádný manager neschválí.
Problém IPv6 je pořád v tom, že kde není poptávka, není nabídka.
Řešením by bylo skutečně přesunout např. HD content nebo porno na IPv6 only a hned by to zákazníci chtěli.
Zajímavé je, že dnes hnací silou IPv6 je patrně bittorrent, i když článek zmiňuje ip telefonii. Osobně neznám ani jeden HW IP telefon (nebo mobil s wifi), který by IPv6 podoporoval. Každopádně mě to zajímá, takže pokud někdo o něčem ví ...
[8] Milý synu. Píšu ti pomalu, protože vím, že pomalu čteš :-).
[9] Za 1000 to asi nebude :-(, osobně mám modem (sice ne ADSL, ale taky je tomocem) jako bridge a za tím mám linuxový router. Asus WL500g nebo nějakou podobnou destičku/krabičku seženeš za 2000 a zároveň to umí dělat printserver, fileserver, VPN…
[11] Ty katastrofické scénáře se zatím nenaplňují kvůli takovým nechutným obezličkám jako je NAT. Exploity, portscany? Před tím tě ale nechrání NAT, ale firewall. A navíc automatizované portscany půjdou o dost hůř kvůli extrémně nízké hustotě adresního prostoru. Big bro? Slyšel jsi o privacy extension?
[14] Neumí to náhodou nějaká Nokia, kterou tuším shodou okolností autor zápisku má? :-)
[9] Je spousta ADSL modemu za hubicku na ktere lze nahrat OpenWRT - ty pak IPv6 umi, at uz nativne (PPP+DHCPv6) nebo tunelovat. Tyhle krabicky vetsinou po HW strance spolehlive byvaji. Jednu takovou doma provozuju a jedine problemy s IPv6 mam s providerem, kteremu se cas od casu pokazi Radius server a prestane mi pres DHCPv6 pridelovat prefix.
A jeste k puvodnimu clanku: "[6to4] jde o překlad bezestavový a oproti např. NAT naprosto triviální..." - nejde o pouhy preklad adres ale o implementaci celeho noveho protokolu (IPv6) s dost odlisnymi pravidly fungovani. Navic samotne 6to4 je na routeru k nicemu - je k tomu potreba pridat nativni IPv6 podporu na strane LAN, k tomu nejake RA, DHCPv6, atd. Takze trivialni to urcite neni.
[7] Taky doufám. :)
[13][14][15] Podle všeho by měl vestavěný SIP klient v telefonech Nokia, počínaje snad právě modelem E51, který vlastním, plně podporovat IPv6. Podle odchytaného provozu skutečně provádí dotaz na AAAA záznam adresy proxy serveru. Bohužel, vyzkoušené to nemám, žádný komerční TSP to pokud vím nenabízí (protože kdyby nabízel, narazil by na tunelované zákazníky), OS ústředny Asterisk a SER pokud vím IPv6 nepodporují.
EDIT: OpenSIPS podle všeho IPv6 podporuje. Vyzkouším to a podělím se v některém dalším zápisku.
Příklad v článku byl ilustrační, chcete-li reálný případ z praxe, nahraďte VoIP termínem SSH.
[15] Privacy extensions, na ty taky dojde :)
[16] OpenWRT (nebo jiné WRT) je rozhodně nejlevnější řešení IPv6 ready routeru - kompatibilní HW se dá pořídit kolem 1000 Kč. Problém je, že tohle je řešení pro geeky, ne pro masy, které potřebují zapojit a fungovat, maximálně požádat souseda, aby jim v tom zapnul Wifi. Pokud se ale nepletu, tak D-link na konferenci IT10 oznámil, že nová řada jeho domácích produktů ponese logo IPv6 ready.
Ano, souhlasím, přidání IPv6 stacku celou záležitost s 6to4 poněkud zesložiťuje.
Ještě tu mám jednu výzvu: Vy, co máte ISP, který nabízí nativní podporu IPv6 (na domácí nebo obdobné přípojce), napište jak přesně takové připojení funguje; zajímalo by mne zejména:
Jakou technologií jste připojeni
Zda musíte někam hlásit MAC adresu koncového zařízení
Jak probíhá konfigurace IPv4 (staticky nebo DHCP)
Jak probíhá konfigurace IPv6
Zda jste v jedné VLAN s ostatními zákazníky
Můj článek na rootovi, na který autor příspěvku odkazuje rozhodně neměl být proti IPv6 (dokonce i název změnila redakce, můj byl daleko méně kontroverzní).
Jenom konstatoval problémy spojené s IPv6, nutnost investic (finančních lidských) do kterých ISP nic v podstatě netlačí, věci které ISP disgustují. Nutnost přiřadit nesmyslně klientům /64 (ale lepší by bylo /56), čímž pro ISP bude v podstatě stejně málo IP jako teď v IPv4
[20] Označení, že jde o články proti IPv6 je třeba nebrat doslova, jde spíše o to, že to jsou články, které jdou proti zaběhlému stylu textů: „Zavedením IPv6 vyřešíme všechny problémy s NATy, přetékajícími směrovacími tabulkami a tak dále a všechno bude fajn“
Myslím, že se ve spoustě názorů shodneme, více o pohledu z druhé strany zkusím nastínit v příštím pokračování.
[11] [15] BFU MOC MOC MOC POTŘEBUJE MÍT VEŘEJNOU IP!! Aby úplně každej program co se mu nainstaluje do počítáku si mohl otevřít vlastní server, chce udělat ze svého počítáku ústřednu pro SKYPE, updater od Google Chrome přece může běžet jako bittorent, spořič obrazovky může vytvářet virtuální výpočetní CLOUD, viry si budou moct udělat z jeho počítače server, prostě tohle všechno BFU chce a nesní o ničem jiném :-D Odchozí trafic ADSL ať vezme čert :-D :-D díky tomu bude moct fungovat daleko víc úžasných programů :-D :-D :-D NAT dneska způsobuje velké problémy, BFU k vůli tomu celé noci nespí a kromě BFU tu příšeru jménem NAT nikdo nepoužívá :-D :-D :-D :-D
Jsem jen sProstý KapitánRum, ale mě NAT přijde dost pohodlnej. V jednoduchosti je krása, ale chápu že někteří techničtí onanisti (s poruchou osobnosti co si nedokáží sehnat ženskou) se při představě, že každé zařízení má svojí vlastní veřejnou IP ukájí, ale mě to přijde jako HODNĚ špatnej nápad. Ostatně jako MIMOŘÁDNĚ ŠPATNEJ NÁPAD to přišlo už daleko chytřejším lidem než mě, ostatně proč tu asi máme adresní rozsahy jako 192.168.x.x nebo 10.x.x.x ? Pánové, ukažte mi správce IT v nějaké firmě, který chce spravovat na firewallu pravidla pro 50 počítačů, 25 tiskáren, 5 krabiček s vlastní IP od přístupového systému dveří, 5 L3 switchi, 3 wifi AP, 55 IP telefony, 1x IP ústřednou..... To je práce tak pro elitního onanistu. Ostatní nasadí NAT a jedno centrální pravidlo pro FW nebo tam rovnou nacpou autentizační PROXY. IPv6 je potřeba, ale zbavovat se NATů je opravdu nápad tupého týpka co nedokáže vidět souvislosti.
Když si to čtu a přemýšlím nad tím, dovolím si ještě jednu poznámku.
Když BFU nepotřebuje veřejnou IP a většinou jí ani nemá, když většina firem z bezpečnostních důvodů stejně bude chtít zůstat u NAT....no tak kdo zbývá?
1% ? No rozumím tomu, menšina vždy dokáže terorizovat nesjednocenou většinu ;-)
[23] Adresní rozsahy jako 192.168.x.x nebo 10.x.x.x jsou tu proto, aby mohly fungovat privátní sítě na IP protokolu, oddělené od Internetu.
Možná je to pro tebe novinka, ale pravidla ve firewallu lze agregovat, takže „jedno centrální pravidlo pro FW“ lze použít vždy a v každém případě, zcela nezávisle na verzi IP protokolu, nebo použití/nepoužití NAT.
Nechápu, proč se tolik lidí domnívá, že globálně unikátní adresa == globálně dostupná adresa. S IPv6 se přece nezruší firewally.
[23][24] Ano, přesně s tímhle názorem souhlasím a to přestože mám někdy problém s realizací vzdálené správy. Kde je psáno, že se za čas nevyplýtvá adresní prostor IPV6 stejně jako se skoro vyplýtval u IPV4. Přesně podle zásady "je toho dost a je to zadarmo, proč bych si nevzal". Ono kdyby se chtělo a že se bude chtít, tak se volné IPV4 adresy najdou podle hesla "já vím že je tu volné místo, i když není vidět". Zkrátka ti co mají nakřečkováno nakonec povolí a dá to míň práce a bude to levnější než přechod na IPV6.
[25] Jistě, že se firewally na IPv6 nezruší. Pak ovšem IPv6 nepřinese zdaleka takovou motivaci, jak by bylo třeba pro nějaké rychlejší a masivnější rozšiřování. Vzhledem k tomu, že v mnoha sítích budou existovat právě ty firewally blokující příchozí spojení i na IPv6, není IPv6 řešením pro bolístku typu file trasfer v ICQ nebo Skype Supernode. Navíc se zavedením IPv6 se furt musí držet cëlá v4 infrastruktura vč. NATů a firewallů, takže je to jen proce navíc.
Momentálně vidím jako první jednu motivaci pro požadování v6 u BFU, která se může zásadně projevit, a to bittorrent. Ale vzhledem k tomu, že dnes používá internet fakt hodně normálních lidí, tak i ten bittorrent zajímá max. 5 % z nich. A ti ve většině případů celkem bez problémů získají od ISP veřejnou IPv4.
Ad NAT - rušení NAT je blbost. Torrenty nejsou relevantní důvod, jednak fungují i za NAT a jednak stejně BUDOU ČASEM ZAKÁZANÉ. Různé BSA/OSA a spol je časem prostě zcela postaví mimo zákon.
Ale bavme se konstruktivně.
Jsem něco víc než BFU a mám malou domácí síť, takže kolik budu chtít adres abych je měl v jednom adresním rozsahu? No myslím že tak 50 by mohlo stačit ale pro jistotu si vezmu rozsah s rezervou. Přeci nebudu mít u každého zařízení adresu nakonfigurovanou ručně? Chci to mít jednoduché, chci je konfigurovat pomocí DHCP.
Dobrá, teď jsem správce v malé firmě o cca padesáti lidech.
Hm, když nad tím přemýšlím....IP telefony, tiskárny, kdo ví co ještě, tak si vezmu kolik adres? No raději 500, kdybych náhodou zapnul nějaké staré zařízení, aby nedošlo ke konfliktu. Hm, no raději 1000 z celého rozsahu, ať každý nový počítač má i novou IP.
A teď si budu hrát na velkou firmu, vezmu si 500 IP na Virtuální servery a 50000 doforoty aby každý automat co tiskne etikety měl vlastní veřejnou IP.
A ťeď jsem svět, v roce 1900 tu bylo jeden a půl miliardy lidí(přesně)1650mil
Za sto let se počet zvedl na 6 miliard. Kolik tu bude lidí za sto let?
Pro každého musíte počítat 2x 50 IP(jednou 50IP domů) a jednou 50IP ten stejný člověk v práci. Uvědomte si, že vynález počítačů byl něco jako vynález knihtisku, kdysi měli lidé doma jen jedinou knihu, kolik jich mají dnes? S počítači to bude stejné.
Nene, chci nechat NAT a několik veřejných IP pro firmu. Nejsem elitní onanista abych agregoval pravidla na Firewallu. Prostě chci aby mi server přidělil adresy přes DHCP, abych měl nastavenou jednu výchozí bránu a mohl provádět monitorování a vyjímky uděloval a ne přidával. Nejsem politik abych se mohl chovat jako čuně.
clanok k veci,
s tym tunelom je to svata pravda .. mne to nabere cca ~+19ms (Maribor, Slovenia).
problem ale nemusi byt len s rychlostou, ale aj limitami, ktore ISP poskytuje (resp. moze poskytovat).
Ak chcem komunikovat po IP6 sieti so serverom na SK/CZ, musim ist cez zahranicie, co je pruser, kedze mi to zaratava do world traffic ..
[29]
> Prostě chci aby mi server přidělil adresy přes DHCP, abych měl nastavenou jednu výchozí bránu a mohl provádět monitorování a vyjímky uděloval a ne přidával.
Evidentně vůbec nechápeš, k čemu je NAT, protože tohle všechno můžeš/musíš dělat nezávisle na tom, zda máš, nebo nemáš NAT a zda používáš IPv4 nebo IPv6.
[29]: Jak už psal [31], nemáš vůbec páru, co vlastně dělá a nedělá NAT. "Agregování" pravidel na firewallu není nic pro "elitní onanisty", ale pro běžného admina. I teď u IPv4 píšu pravidla jako 192.168.1.0/24 místo ručního vypisování všech adres. Navíc i v IPv6 existují privátní (resp. dokonce myslím neroutovatelné) rozsahy pro zařízení, která nemají být přístupná z Internetu. K tomu nejsou ani specifická pravidla na firewallu potřeba.
Zbytek není potřeba komentovat, nechci tu čerpat čas ostatních diskuzí s trollem.
[31][32] Nevím, proč vytrháváte věci z kontextu - asi záměrně, protože Vám ZCELA chybí argumenty. Samozřejmě vím jak funguje síťový překlad adres. Nejde o NAT nebo Firewall, jde o celou tu nesmyslnou myšlenku s tím, že každý toustovač bude mít svojí veřejnou IP. A třeba se pletu, tak mi popište, JAK CHCETE ZAJISTIT AUTOMATICKÉ PŘIDĚLOVÁNÍ AUTOMATICKÉ PŘIDĚLOVÁNÍ ADRES POMOCÍ VLASTNÍCH DHCP SERVERŮ a to zcela BEZ zbytečného PLÝTVÁNÍ a aby jich bylo VŽDY DOST. Tvrdím, že to prostě nejde. Nehledě na to, že je to celé blbost. Takže panáčci, IPv6 ano, ale regulovaně a čím víc adres se ušetří tím líp.A jestli někdo z Vás dvou spravuje jiný než domácí firewall, poslal bych ho tak čistit záchody a to ještě pod dohledem. Na konfigurování FW potřebujete vědět i něco o bezpečnosti a tam platí jednoduché pravidlo ,,na čím méně věcí může útočník střílet, tím lépe" a ještě jedno ,,Neprozrazovat žádné bližší informace o topologii své sítě!"
Ale reagujte na to plýtvání. Argument že se plýtvat může je BLBOST, vyzkoušelo se to už s IPv4 kde se také plýtvalo.
[18] Abych vratil debatu zpet on-topic, tak tady je jak funguje moje nativni IPv6 pres ADSL s pouzitim OpenWRT:
1) pppd se spoji s ISP a vyzada si adresy - dostane verejnou v4 a link-level v6 a nakonfiguruje interface ppp0 a default routes.
2) pppd taky od ISP dostane adresy nameserveru (2x IPv4) a zapise je do /etc/resolv.conf
3) z if-up se spusti dhcpv6-client a vyzada si od ISP v6 prefix - dostane /56 a z toho prideli jednu /64 na eth0 (ktery /64 z prideleneho /56 se pouzije je pro kazdy interface napsano v dhcp6c.conf)
4) dhcpv6 taky zjisti v6 adresy nameserveru a prida je do /etc/resolv.conf
5) spusti se dnsmasq, precte si /etc/resolv.conf a zacne fungovat jako dns server pro vnitrni stroje - umi v6 na obou stranach.
6) spusti se radvd a zacne do LAN posilat router advertisements - tim ziskaji v6 adresu a default route vsechny moje domaci pocitace.
Dobre je ze muj v6 prefix je staticky (na rozdil od v4 adresy), takze muzu pro domaci pocitace mit zaznamy v DNS. Trochu spatne je ze ISP nechce delegovat reverzni DNS zonu na moje nameservery takze z internetu nefunguje preklad mych IPv6 adres na FQDN, ale to je jen drobnost.
Dalsi plus je ze mam MTU 1500 coz s v6 tunelem nebo se 6to4 udelat nejde.
Na mem todo listu je jeste rozchozeni dhcpv6-serveru na strane LAN aby moje stroje dostavaly i v6 DNS. Zatim si musi vystacit s v4 ktere dostanou pres dhcpv4 nebo se statickym nastavenim.
A abych jeste prilil trochu oleje do debaty o NATu...
Muj aktualni trochu-problem jsou VM ve VirtualBoxu na notebooku. S IPv4 je to jednoduche - mam interface vboxnet0 s nejakou RFC1918 adresou a v iptables pravidla ktera vsechen traffic pochazejici z vboxnet0 (tedy od virtualnich stroju) maskaraduje na v4 adresu kterou jsem dostal pres DHCP. Je jedno jestli jsem doma, v praci nebo u klienta a je jedno jestli jedu pres wifi nebo pres drat - NAT mi umoznuje mit VM staticky nakonfigurovane a funkcni kdekoliv.
Jak ale k tem VM mam dostat v6 konektivitu? Samozrejme v domaci siti muzu vyhradit jeden /64 pro vboxnet0, na routeru pridat static route ukazujici na muj notebook a nakonfigurovat notebook jako router pro VM. Ale az budu v cizi site ktera ma v6 tak jsem nahranej. Tezko budu nekoho presvedcovat aby mi pridelil a naroutoval /64 z jeho prefixu kdyz se na chvili objevim v jeho siti. A napichnout ty VM rovnou na externi interface (tedy udelat "bridge") taky nemuzu protoze moje wifi karta odmita slouzit dvema ruznym MAC adresam.
Takze NAT mi na IPv4 elegantne resi problem pro nejz na IPv6 zatim reseni nemam.
Mimochodem vsadil bych se ze driv nebo pozdeji se i pres odpor fundamentalistu NAT na IPv6 objevi.
Ad „Mám dojem, že poslední dobou sílí mediální kampaň proti IPv6.“
To není kampaň, ale obyčejný bulvár :-) Existuje tu poměrně početná skupina nadšených příznivců IPv6. Jít proti proudu a zkritizovat jejich oblíbenou technologii pak zákonitě znamená rozproudění diskuse a vysokou čtenost. Víc v tom nehledej ;-) (článků vychvalujících IPv6 už bylo napsáno dost, nic moc nového se v nich už neobjeví, takže už moc čtenářů nepřitáhnou).
[23] Co na tom chceš nastavovat?
1) odchozí provoz povolíš
2) příchozí provoz na pár vybraných IP:portů povolíš (veřejné servery)
3) všechno ostatní zahazuješ/odmítáš
Není to o nic složitější než s NATem. S IPv6 máš ale možnost mezi 2) a 3) přidat pravidla povolující komunikaci na konkrétní cílová zařízení. Je to ale možnost, nikoli povinnost!
[24] „většina firem z bezpečnostních důvodů stejně bude chtít zůstat u NAT“
Bezpečnost není NAT, bezpečnost je firewall (bezpečnost v tomto relativně úzkém významu). To by měli správci ve firmách vědět.
[33] „na čím méně věcí může útočník střílet, tím lépe“
To je pořád dokola. Kam může útočník „střílet“, se nastaví na firewallu, to se musí udělat tak jako tak. IPv6 v tomhle má ještě „výhodu“, protože proskenovat IPv6 rozsah o řádově větším počtu IP adres je těžší, než proskenovat IPv4 rozsah.
Ad plýtvání:
ono se to tak na první pohled může zdát, ale těch adres je opravdu hodně – viz
https://www.abclinuxu.cz/blog/snajpuv_blocek/2010/1/proc-je-ipv6-blbost#1
https://www.abclinuxu.cz/blog/snajpuv_blocek/2010/1/proc-je-ipv6-blbost#3
[35] Pěkné :-) tohle by stálo za to rozepsat jako článek.
[35]. Moc děkuji. Ještě by mě zajímalo: Co je to za ISP? Zatím jsem neslyšel o žádném ADSL IPv6 poskytovateli. Pokud by to ideálně nabízel na infrastruktuře TO2, rovnou ho měním :)
[36]. Ano, tohle mi připadá jako jediná skutečně relevantní námitka pro použití NATu. Podobně například NAT pomáhá snadnému řešení ISP failoveru pro klientské sítě – pokud jeden ISP vypadne, stačí překonfigurovat NAT a nastavení klientských stanic může zůstat stejné. Toto se bez NATu realizuje velmi těžko. Taky si myslím, že přijde doba, kdy někdo NAT na IPv6 implementuje. Jen doufám, že pak nebude zneužíván, aby se z IPv6 stala jen 16-bytová náhrada IPv4.
[37] To já nevím, ale úplně stejné argumenty měli lidé když se začínalo s IPv4, že to prostě nikdy nemůže dojít. Je to jednoduchý, stačí aby kromě MAC natvrdo začali někteří výrobci natvrdo nastavovat i IP, že je to špatná myšlenka? Ale proč vždyť jich je přece tolik. Čím víc něčeho je, tím víc se s tím plýtvá ;-) Vymysli blbuvzdornou věc a druhý den někdo vymyslí ještě většího blba.
[40] A jak by se to asi routovalo? Jako že by se každé zařízení propagovalo do globálních směrovacích tabulek? To asi ne, že… (Navíc by takovýchto zařízení muselo být na každém čtverečním milimetru souše 2283774300000000000.) Nemůžu si pomoct, ale zdá se mi, že toho o fungování sítí moc nevíte - viz ty kecy o zabezpečení pomocí NAT a o tom, že nejste „elitní onanista, abyste agregoval pravidla na FW“. Protože pokud pravidla neagregujete ani teď, pak máte pro každé zařízení v síti jedno - tedy přesně stejně, jako budete mít v případě IPv6. Ale vsadím se, že ten NAT neděláte zvlášť pro každé zařízení, ale pro všechna současně (nebo dokonce pro celé jedno rozhraní routeru) - tedy agregujete a jste tedy elitní onanista. Vážně bych vám doporučil, abyste se o tématu trochu připovzdělal, než začnete diskutovat - takhle se akorát ztrapňujete. Doporučil bych například výbornou knihu od Pavla Satrapy, za 249 Kč (299 pro zpátečníky :-)) nebo ke stažení zadarmo na knihy.nic.cz.
Osobně si myslím, že pokud někdy začnou docházet IPv6 adresy, tak to bude kvůli vyhrazení /64 každé pidisíti kvůli EUI64. Protože se současným plánem může být na světě jenom několik málo miliard LIRů, což už není tak nereálné číslo.
Když člověk zapátrá, tak se podpora IPv6 docela najde. Tisknu nativně přes IPv6 na tiskárně Xerox (nějaký Phaser 8xxx), laserovky HP 3010 taky mají nativ. D-Link oznámil IPv6 ready. Zařízení Fritz! německé firmy AVM mají velmi kvalitní podporu (ale jsou drahá). Síťové prvky používáme Edge-Core (nějaká akvizice s SMC pod hlavičkou Accton) běží tam něco jako IOS. Umí hodně a jsou i varianty na 10Gbps. Mikrotik RouterOS IPv6 podporu také má, použít to jde, ale ještě tam jsou mušky. Spíš to chce dotazovat výrobce, jak jsou na tom, kdy uvolní nový fw, proč nic nedělají, atd.
[39] Muj ISP se jmenuje WorldxCchange: http://wxc.co.nz/ a informace o jejich IPv6 trial programu je na http://wxnz.net/forums/ - ale obavam se ze v CZ sluzby neposkytuji ;-)
(a uprimne receno za to kolik se tady plati za internet byste je ani nechteli).
V NL pred par tydny zacal IPv6 pres ADSL nabizet XS4ALL: http://www.xs4all.nl/ipv6
V UK to pokud vim umi GOscomb: http://www.goscomb.net/connectivity/broadband
Muze mi nekdo vysvetlit problem s celym IPv6? Vzdyt by bylo uplne primitivni dosadit stavajici v4 0.0.ipv4 a cele by to bylo navzajem kompatibilni. Pokud by umel klient i server v6, byla by plnohodnotna, pokud by mel jeden jen v4, router by prvni dva byte dosadil/odfiltroval a pro v4<-v4 by prvni dva byte ignorovaly a bezely by v soucasnem rozsahu. Bylo by to kompatibilni, rozsiritelne a jednoduche...
[49] Pokud se nepletu, právě jsi popsal základní myšlenku mechnizmu NAT-PT.
[51] ten byznis by byl v podstatě úplně stejný i s rozšířením jenom o 2 byty, protože implementace do hardware by byla přibližně stejně náročná. A upřimně řečeno, vývoj nových protokolů jde spíš k tíži výrobců, protože jim za ten vývoj nikdo nic nedá.
Prostě při tom, kdy už se muselo něco dělat, tak se to udělalo pořádně s představou, že nové adresy nikdy nemohou dojít (ani kdybychom očíslovali všechny atomy ve vesmíru).
Cislo autonomniho systemu v BGP bylo pred par lety taky rozsireno z 16 bitu na 32 bitu a pritom byla zachovana zpetna kompatibilita. Provoz mezi starymi 16-bit AS a novymi 32-bit AS vesele proudi. Myslim ze zasadni chyba v navrhu IPv6 bylo rozhodnuti ze IPv6 zarizeni nebudou zpetne kompatibilni s IPv4 a bude pro ne potreba zcela nova infrastruktura. Urcite by podobne jako BGP slo transparentne rozsirit i IPv4, ale na to uz je ted pozde.
FYI O prechodu z 16bit na 32bit ASN je hezke povidani tady: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-1/autonomous_system_numbers.html
[54]: Problém je v tom, že BGP používají jen "border gateway", tzn. stroje, jejichž admini většinou ví, co mají udělat. IPv4 je ale na každém domácím routeru, v každé menší síťové aplikaci (třeba účetnictví), prostě na daleko větším množství míst. A rozhodně se najde velká spousta aplikací, kde autoři počítali s IPv4 adresami jako "4 byte" a přizpůsobili tomu infrastrukturu (adresy v DB jako unsigned long, hardcoded manipulace, ...). Z historických důvodů by byl velký problém tlačit 6byte adresy do těchto míst. Asi takový, jako IPv6.
ma autor vubec nejakou vetsi v6 sit?
teredo funguje skvele i v kombinaci s nativni v6 - staci mit rozmistene miredo gw pro 2001::/32 co nejblize k lastmile.
6to4 je pohrobek, dhcpv6 nefunguje jak ma, RA se da ukocirovat (pres ramond).
mam L2 sit s 2000 MAC, cca 400 v6 nativnich PC. v peaku nativni v6 z/do 2001::/32 protlaci i stovka mbit utorrentu. nativni v6 je vetsina provozu jen google a jewtube.
Co o sobě napsat? Absolvent ČVUT FEL, linuxák, síťař. Mimo to se zajímám o elektrotechniku, elektroniku a speciálně elektrické pohony.
Přečteno 56 645×
Přečteno 15 734×
Přečteno 15 677×
Přečteno 14 915×
Přečteno 12 925×