Telefonika a IPv6

Pokud vím, tak Telefonika zatím využívá NATv6, který dělá pouze překlad IPv4 na IPv6. Kompletní řešení je nasazené zatím jen pro testovací provoz.

[1]: Jestli tomu správně rozumím, znamená to tedy, že člověk při aktivaci IPv6 u O2 přijde o veřejnou IPv4 adresu a zároveň mu nebude přidělen blok z veřejného IPv6 rozsahu? To je tedy ještě horší, než jsem myslel (viz http://www.o2.cz/osobni/forum/?topic_id=2757&post_id=16743#16743). :-/

Nepleť si stavový firewall a NAT. Stavový firewall (tzn. na Linuxu třeba Netfilter/iptables bez explicitního vypnutí conntracku) umožňuje povolit nová spojení jen jedním směrem - tedy zakázat nová příchozí spojení na tvé zařízení.
Spojením se myslí jakýsi kanál mezi dvěma stranami - jako otevřené spojení se může předpokládat proběhnutý TCP handshake, UDP packety spatřené v obou směrech s odpovídajícími porty, ICMP to stejné, .. + další detekce. Pak stačí povolit iniciátory spojení jen v jenom směru.

Očekávám, že tohle bude běžná praxe s IPv6 ve firemních sítích (hlavně těch s MS Windows), protože otevření obou směrů představuje přidané bezpečnostní riziko.

V případě ISP jde ale pochopitelně o naprostou blbost - možná jako doplňová služba pro běžné uživatele, kteří si nedokáží ochránit PC sami, ale rozhodně ne jako "by default" služba.

Telefónica žádný NATv6 ("překlad z IPv4 na IPv6") nevyužívá.
Člověk o veřejnou IPv4 adresu nemusí přijít, ale musí si zaplatit za veřejnou IPv4 adresu (já vím, je to fail).

Ad nedostupnost zvenku - na rootu bych očekával alespoň výpis traceroute -I (ICMP) a tcptraceroute zvenku na ten počítač v O2 IPv6 síti. Třeba pak zjistíme, že problém není u Telefóniky, ale u tebe :)

a) traceroute6 ven a dovnitř
b) projít konfiguraci modemu, jestli to nedělá on.

[5] modem by to měl dělat by default, pokud není špatně nastavený. teprve na žádost zákazníka (změnu nastavení) může něco pustit dovnitř. jinak by všichni s ipv6 měli všechny stroje v domácí síti dostupné z internetu, aniž by o tom cokoliv tušili. a to není moc ok :)