Vlákno názorů k článku Je IPv6 jen pro bohaté? od bflmpßwẓ - IPv6 je sraččkka. Kdyby IPv6 bylo slušně navržené...

Nemůžete být na ně tak přísný. Velká část dnešních síťařů nebyla na světě, když se obezlička zvaná NAT zaváděl. Netuší, že původní důvod pro NAT byl naprosto jiný, než jaký je v dnešní podobě.

A jak se resi v IPv6 backup pres jineho providera? Mala firma a domacnost dostanou od ISP blok jeho adres (prefix). Ale jiny ISP Vam da zase jiny IPv6 prefix. To znamena, ze bez NAT muste lokalni sit precislovat... Pokud jste hodne velka firma tak muzete pozadat o vlastni, nezavisly, blok IPv6 adres, tam problem neni. Ale co my ostatni, mali a bezvyznamni?? V IPv4 je to snadne, na routeru s NAT se udela drobna zmena konfigurace, pripadne se prehodi ethernetovy kabel a jede se dal, v lokalni siti neni treba nic menit, jen je treba obnovit prerusena spojeni, treba restartovat prehravani videa, atd...

A proc je potom potreba rfc7157?

RFC 7157 popisuje, jak to má být implementováno na úrovni operačního systému/síťového stacku, právě aby uživatel nemusel nic dělat a přeplo se to samo

Ono je to velmi jednoduche, kazdy interface moze mat viacero ip adries. Takze najjednoduchsi stav je, ze zariadenia budu mat jednoducho minimalne jednu ip od kazdeho prefixu. Minimalne jednu preto, ze dnes si uz aj tak pytaju viac (jednu cez RA, druhu cez DHCPv6 ak je v sieti, apod). No a okrem toho urcite budu mat este aj link-local adresy.

Link-local adresy jsou nepouzitene, jak jsem byl poucen. U link-local adres je treba take uvadet fyzicky interface aby OS vedel kam ma pakety posilat (protoze vsechny adaptery maji stejny IPv6 prefix, fe80::). Takze adresovani pres link-local IPv6 adresy je slozite, je to nouzovka.

Ja som to myslel skor v kontexte toho, ze kazdy interface aj tak bude mat viac adries a jedna z nich bude link local. Ale ano, su tak trocha vopruz. Na druhu stranu, funguju aj ked spojite dva pocitace crossover kablom (alebo prepojite dva pocitace tb3 kablom).

Linkové adresy jsou jednou z nejlepších věcí u 6, škoda, že nefungovaly pořádně i u 4, ušetřilo by to dost sraní typu „donesl jsem si nové zařízení a nemůžu se na něj připojit“, případně se tím dalo dělat propojování zákazníkova routeru s poskytovatelem bez vyplácávání veřejných IPv4 (má to tak IPv6).

Mozna v IPv6 navrhu, ale ne v Linuxove implementaci, tam je to peklo...

A ten test je celkem snadny. Vemte treba Android telefon, pripojte jej do lokalni WiFi a poznamenejte si, jakou ma LL IPv6 adresu, tedy fe80::.....
Pridejte zaznam do /etc/hosts

fe80::c211:73­ff:fe3f:632b android1
fe80::c211:73­ff:fe3f:632b%2 android2

No, a ted zkuste komunikovat, treba ping6, curl nebo zkuste pouzit WWW prohlizec. A potom muzete zacit uvazovat, zda jsou ty IPv6 LL adresy skutecne tak super...

$ ping6 android1
connect: Invalid argument

$ ping6 android2
unknown host

$ curl http://android1/
curl: (7) Couldn't connect to server

$ curl http://android2/
curl: (6) Could not resolve host: android2

Tenhle váš test je hlavně blbost. DNS resolver nemůže ve své odpovědi vracet identifikátor síťového rozhraní. Ten musíte vy doplnit.

IPv6 LL adresy nejsou všespásnou náhradou adres na "lokální síti". IPv6 LL adresy jsou unikátní právě díky tomu, že tam ten identifikátor rozhraní musí být. Já si např. IPv6 LL aliasy dávám do ~/.ssh/config (tam ten identifikátor už napevno mít můžete) a snadno se tak připojím k jednomu kusu HW, co občas nosím s sebou a připojuju ho do různých sítí.

Jestli vám tahle vlastnost IPv6 LL vadí, tak vám nic nebrání na síti začít propagovat nový přefix, například fd00:1234::/64 (IPv6 ULA), a ten používat místo nějakého 192.168.X.X, jak jste byl zvyklý

A to je prave ten problem. Je to nekonzistentni, nedotazene, blbe navrzeno... Jednim z marketingovych trhaku IPv6 je, ze se sit sama nakonfiguruje, ale jak si s tim zacnete trosku hrat, zjistite, ze musite mit DHCP server, nebo aspon sirit prefix, snazit se dokonce mit unikatni lokalni adresy, atd, atd a myslenka snadne autokonfigurace se stava utopii. LL adresy jsou problem v Linuxu, ve Windows to funguje dobre, tam si muzete nakonfigurovat "embeded device" s WWW rozhranim i kdyz ma jen LL adresu, v Linuxu je to ale velky problem, snad funguje textovy prohlizec Lynx (ten ale neumi Javascript a dalsi rozsireni).

Výborně. Teď ještě pouvažujte nad tím, jaký bude mít pro dědečka s restriktivním firewallem přínos IPv6.

S restriktivním FW moc ne. Ale když dostane výjimku telefon, tak mu pojede VoIP, když bude chtít mluvit s vnoučatama.

Na telefonování s vnoučaty nepotřebuje IPv6. Přemýšlejte dál.

Sice to chodí "tunelem přes čmoud", ale s větší latencí , ale zato s výpadkem, pokud se stane něco v datacentru.

Ale budiž. Další příklad je, že mu děcka dají do baráku kameru, aby se mohli podívat, jestli nemá nějaký problém. A připojit se za CGNAT a NAT z jejich komplu za jiným CGNATem a NATem bez nezabezpečenýho čmoudu v tramtárii je problém.

A bez čmoudu mu nemůžou ani soukromě nasdílet fotky na své síti, zase musí někam na čmoud nebo to zveřejnit.

Petr M:
To nemá smysl znovu rozebírat, využití dostupnosti zvenku se tu mnohokrát probíralo, i kdyby mělo jít jen o P2P. Každý si může dohledat.

Takže jste si odpověděl sám. Laikovi je IPv6 naprosto k ničemu, protože na žádné zpřístupňování kamer / fotek na síti / vzdálené správy nemá skill, vesměs dokonce ani netuší, že to vůbec jde a kdyby to náhodou tušil a zkusil to sám, tak by nejspíš vyrobil bezpečnostní díru.

IPv6 je k něčemu pouze pár procentům lidí s dostatečným IT vzděláním. Proto (skoro) nikdo na ISP netlačí, že chce IPv6 a proto postupuje tak pomalu. Dokud tohle nepochopíte, budete nad tím pořád nevěřícně kroutit hlavou.

On to nemusí umět, stačí mít kamaráda nebo v někoho v rodině, kdo to nastaví. A je lepší stav, kdy v případě potřeby jde něco udělat, než řešit rovnáky na ohybák.

Ono je to jako s místem na zaparkování na vlastním pozemku před barákem. Když nemám auto, neublíží. Když mám auto, hodí se to víc, než placený parkoviště za rohem.

Stejně jako s netem. Když je jeho síť vidět zvenku (minimálně router), ušetří to v případě potřeby hodně práce a peněz - obvolávání ISPíka, jestli dá veřejnou IP adresu (= leckdy a příplatek - proč by měl děda najednou platit víc?)
- zřizování VPSky, její nastavování (čas) a placení (proč by měl děda ještě platit za něco, bez čeho se na Seznam dostane?)
Přitom by to šlo často udělat hned, bez dohadování a práce navíc.

Tahle argumentace plave na vodě, stačí jedna veřejná IP ne pro každé zařízení, tj nemusí to být žádný čmoud přes kterej to teče.

Osobně IPv6 podporujeme 100% v produkci ale když občas vidím jaké brikule to bežným BFU přináší tak bych raději IPv5 tj roztaženou o pár byte, kdy by pro BGP byl prostě větší prefix BGP prefixem a bylo by po ptákách. každý ISP z těch IPv4(2) by měl současný celý rozsah stávající IPv4 pro sebe.

Stačí porovnat velikost kumulativní BGP tabulky a vynásobit 10 a jedeme na IPv4v2, počet záznamů by v ní naopak klesl na akceptovatelné miliony.

Kalenda:
Takže s tím IPv5 by to bylo jednodušší? Proč jste nám to neřekl hned? My se tady sereme s 6kou...

Měřil jste si někdy IQ? Kolik vám to vyšlo?

Ty prášky, co berete, asi nejsou moc legální, že?

@Kate

Stanice vystavená přímo do netu má i své nevýhody. Např. když jednou zjistím její IP adresu, tak na ni budu moct cílit už vždy bez nějakého "hledání". To není přímo security ani žádný syndrom, jenom jeden z důsledků ...

"Stanice vystavená přímo do netu má i své nevýhody. Např. když jednou zjistím její IP adresu, tak na ni budu moct cílit už vždy bez nějakého "hledání". To není přímo security ani žádný syndrom, jenom jeden z důsledků ..."

To je pravda, ale pokud bude krabička udělaná dobře, odolá. Dneska se hřeší na to, že tam bude NAT a těžko se útočí cíleně, takže se na bezpečnost tak trochu kašle. Tohle aspoň donutí výrobce dělat to pořádně.

A kdyby po pár průšvihách s únikem dat, DDoSy a šířením malware přišly tvrdý postihy pro dovozce/výrobce (s pokutou ve výší pokut za GDPR), vůbec bych se nezlobil.

@Petr M

jj, ok, já nebojuji za NATy, ale aby se pak pouze nějak vyřešila ta dostupnost z venku pro ty co o tom nemají páru nebo nemají šikovnou dceru jako @Kate ...

No ale v domácí síti je jednodušší nahodit IPv6 než IPv4.

Když instalujueš IPv4 router, první, co po tobě chce, je nějaká "IP adresa rozhraní WAN". Jak má chudák vědět, jestli vybrat PPoE, DHCP nebo fixní? A co tam vyplnit? Pak to chce cosi s NATem, nejakou IP adresu. Ok, hodíme to z WAN a.. nechodí to. Jo, a co je to ten DHCP pool a ta síťová maska? Jaká velikost poolu a začátek? Pak už lítají sprostý slova, když velikost poolu sežere pětku podle návodu na webu a náhodou se tam sejdou dva noťasy, tři mobily, telka a tiskárna.

Když instaluješ IPv6 router, prostě ho zapojíš. Spojí se s ISPíkem, sosne si svou IP adresu a prefix. No a pomocí RA oznámí zařízením v síti, jaký je prefix a kontakt na sebe jako gateway. Zařízení samotný si zvolí nějakou IP adresu v rámci prefixu, kterou jiný nemá a nazdar. Z pohledu uživatele stačí zapojit kabely.

Pokročilejší věci musíš u obou standardů nastudovat.

Co je na 6ce hodně blbý, tak vytvoření lokálního DNSka, kam se sypou v reálným čase adresy strojů v síti, třeba z DHCPv6. Z toho nesmyslnýho identifikátoru nedostaneš do DNSka jméno stroje, kdyby ses po... :(

@Petr M

No jako ISPák nejsem, ale to připojení bude otázka toho, co bude chtít ISP a pochybuju, že se jenom tak vzdá dohledem nad sítí a nějakou bránou ...

"No jako ISPák nejsem, ale to připojení bude otázka toho, co bude chtít ISP a pochybuju, že se jenom tak vzdá dohledem nad sítí a nějakou bránou ..."

Ale on se jí zavedením IPv6 přece nevzdá.

IPv4 - jeden zákazník, jedna IP adresa. Když zákazník neplatí, zařízne ji.
IPv6 - jeden zákazník, jeden blok /56. Když zákazník neplatí, zařízne ho.

Jenom je potřeba se naučit, že adresa přípojky má místo 32 bitů 56 (resp. 48) bitů a jsou za ní bity, do kterých nemá co sahat.

@Petr M

No to sice jo, ale má poznámka směřovala k té složitosti pro klienta co všechno musí nastavit a kam se připojit - přece ISP se snaží tlačit vlastní DNSka většinou, vlastní firewally, má často několik vstupních a výstupních bodů (speciálně pokud poskytuje někde něco přes wifi nebo microvlnu) a z toho různé okruhy a podsítě - takže je předpoklad, že stějně klient bude muset zase dopňovat nějaké další nastavení, minimálně třeba znát adresu brány lokální sítě v rámci ISP kam je připojen. Nevím, je právě otázka, jak to budou nakonec řešit - na jednu lokální (zeměpisně) síť jednoho poskytovatele je subnet s ipv4 taky dost velký (tolik klientů určitě ani nemají) a přesto to mají dělené na různé části a podčásti ...

A proč by to nešlo?

- Na centrálu dostane /32
- Na města/městskou část to rozstřelí na až 255 oblastí, tj. například vesnice bude mít svůj prefix /40. Co jde z toho prefixu, je z té vesnice a odnikud jinak (a router je za to rád, že dává provoz mezi místníma bez uplinku). Jednu /40 si nechá na režii, management a vlastní administrativu.
- Stejně v té oblasti vyřeší ulice/paneláky, dá jich až 256 a je s prefixem na /48. To pak naseká na byty a domy, a hele - může jich mít v jednom bloku 256 a je na /65 pro koncáka. A v prefixu koncáka vidí trénovaný technik i městskou část, ulici a barák.

Řešit tohle kaskádou NATu je přece zbytečná komplikace.

@Petr M

Opakuji. Vyjadruji se k tomu, že s ipv6 toho bude každá domácnost nastavovat na routeru (v zákl. min. konfig.) méně tak, že si myslím že bude nastavovat úplně stejně - adresu brány/přidělené ip či co ..., DNS server (to budou tlačit ISP vlastní stejně jako nyní) a pak věci přímo co se týká routeru samotného - firewall ... takže tam moc rozdíl nebude ....
Opakuji, neobhajuji NAT, jenom to pro velké sítě občas bývá složitější než nastavit širší prefix ...

Tu instalaciu IPv4 routra si slusne prehnal a IPv6 zase zjednodusil.
Instalacia oboch je podobna.

Nemyslím si.

Když jsem posledně instaloval router, tak na IPv6 chtěl pro každou síť jenom hint (číslo podsítě mezi prefixem /56 a /64). Svou IP adresu, gateway a prefix dostal z DHCPv6 ISPíka (na základě DUID). Sítě za routerem jsou /64, takže volba soukromýho rozsahu IP (10.x.x.x / 192.168.x.x), počtu zařízení a začátku DHCP poolu tím padá. A stroje v síti dostanou adresu routeru a prefix přes RA nebo DHCPv6. Hotovo.

No a v případě IPv6 to bylo tak, že sice byla veřejná IPv4, ale přes WiFi a na "krabičce" ISPíka tam byl NAT 1:1, takže default nastavení nešlo použít. Adresa na WAN šla přes DHCP z "modemu" a kolidovala s tím, co měl výrobce routeru na WAN, takže změna konfigurace - adresní prostor za NATem, DHCP pool jiné velikosti (protože to měli default na 10 zařízení - zoufale málo) , takže celkem nastavování třech parametrů per podsíť, aby DHCP začalo fungovat. SAmo s restartem a novým přihlašováním.

Pak co je u čtyřky navíc a nemusíš řešit u šestky, je prostřelení NATu. A s tím související pravidla na firewallu. Takže konfiguraci jednoho zařízení, který má být dostupný zvenku, máš ve čtyřce na několika místech:
- potřebuješ fixní adresu v rámci sítě - buďto na zařízení, nebo v DHCP
- potřebuješ pravidla firewallu na tom dostupným zařízení
- potřebuješ nastavit maškarádu
- potřebuješ si udělat díru ve firewallu na routeru
- potřebuješ protistraně sdělit, na kterým portu se na zařízení dostane
- a pokud nemáš veřejnou IPv6, tak ještě VPN na VPS a všechno to rozchodit (tunel, VPN, ...)

V 6ce prostě nastavíš na zařízení firewall a koncovku IP adresy (nebo ji tam kopneš přes DHCPv6) a firewall. Protistraně sdělíš IP adresu a chodí to. Zázrak.

Kate:
O tom jsem zrovna nedávno přemýšlel: Kamarád si pořídil Ubuntu, je s tím velmi spokojený, protože se mu to každou chvilu nesloží, ale je prostým uživatelem, takže jsem se mu nabídnul, že jak se mu bude něco srát, opravím mu to. Pak mi tak nějak došlo, že napojit se k němu nebude pr-del. Má-li veřejku (o 6ce jsem ani neuvažoval, když si představím ty místní mistry síťování), tak stejně bude muset nastavit NAT (to nezvládne). Jestli ji nemá, bude muset iniciovat spojení - napadl mě tunel přes SSH -R ke mně, kde já budu muset mít extra účet na serveru, na který se bude napojovat (heslem, i to je komplikace). Teprve pak tím tunelem polezu já k němu. S 6 by nastavil nanejvýš díru ve fireválu. Ještě mě napadlo n2n, ale to mu zas musím nějak vysvětlit a naistalovat... Prostě na hovno.

Místo n2n můžu doporučit Tinc, funguje podobně, ale stále se vyvíjí a je ze zkušenosti mnohem stabilnější na desktopu (třeba sám restartuje spojení po suspend/resume) a má lepší zabezpečení (klíče místo PSK). Ale i s Tinc může být opruz, pokud to nedokáže udělat díru do NATu (symetrický NAT), i s takovou VPN je lepší mít veřejné adresy.

@Kate

Promiň, moje chyba. Zapoměl jsem že stačí firewall a je hotovo ...

Tak tohle pobavilo :D. je videt, ze budete odbornik.

@R233

Ne že by mě to u ipv6 nějak jako štvalo, ale logickou úvahou je přece zřejmé, že čím víc znaků, tím je řetězec jednodušší na zapamatování ...

To sice ano, ale většinou si stačí pamatovat prefix, což je polovina. Navíc nadávat na to, že je delší adresa, když primárním důvodem pro vznik protokolu byla nutnost delší adresy je vyloženě vtipné.

@R223

V pořádku, ano, ale výsměch že to není (potenciálně (adresa od adresy)) hůř zapamatovatelné nebyl moc chytrý ...

mate pravdu, IPv6 me nezivi... ;-)

Tak treba, co je ::ffff:c0a8:c0a8? Je to prelozena adresa 192.168.192.168. Prestoze mam v domaci siti podobne IPv4 adresy, tedy "neverejne" adresy a prestoze pocitac si vygeneroval nejakou nahodnou IPv6 adresu (fe80::..), tak se na adresu ::ffff:c0a8:c0a8 nedopingam (ping: sendmsg: Network is unreachable). Asi by jsem to musel nejak implicitne konfigurovat, pripadne uplne zmenit architekturu IP adres...

IPv6-mapped IPv4 překládá lokální síťový stack na IPv4. Pokud ten počítač nemá IPv4, tak správně odpoví Network unreachable, protože nemá jak komunikovat po IPv4.

Vsechny me pocitace samozrejme maji IPv4 adresu, protoze jsem ignorant a pouzivam IPv4. Takze mozna ten preklad IPv6 na IPv4 moc dobre nefunguje, nebo jej ping6 nedela.

IPv6 adresy mi pripominaji popularni EET loterii ;-)

Jasně, ping posílá ICMPv6, to samozřejmě nefunguje na IPv4, protože IPv4 takový protokol nezná. Překlad pingu tedy nefunguje, ale třeba SSH a Chrome ano.

Ta „náhodná“ IPv6 adresa není náhodná, je odvozená z MAC adresy (tedy pro danou síťovou kartu pořád stejná) a tu můžete v lokální síti používat místo těch IPv4 adres.

Uz jste nekdy slysel o DNS?

A proc by to melo byt verejne?

Co to meles ty vorechu? Ze ty mas tu trojku v zile (nebo uz zilu v trojce?) jak ses o ni zminoval?

Pre vacsinu populacie, co si nechce hrat s nastavovanim je tu mDNS a ta je vylucne scope:link, takze nic verejne ani po nejakom "prustrele".

Utok ad hominem? Dochazeji argumenty? Co ti brani si nastavit snadno zapamatovatelnou adresu, a nepouzivat tu z autokonfigurace?

Treba takto? Jak mnozi profesionalove rikaji, je to IPv6 trivialni...

$ ping6 fe80::207:e9f­f:fe11:98b7
connect: Invalid argument

Nevidim v tom zadny problem...

darkstar:[~]$ ping6 fe80::208:e3f­f:feff:fc08%et­h0
PING fe80::208:e3f­f:feff:fc08%et­h0(fe80::208:e3ff:fef­f:fc08%eth0) 56 data bytes
64 bytes from fe80::208:e3f­f:feff:fc08%et­h0: icmp_seq=1 ttl=64 time=0.867 ms
64 bytes from fe80::208:e3f­f:feff:fc08%et­h0: icmp_seq=2 ttl=64 time=0.734 ms
64 bytes from fe80::208:e3f­f:feff:fc08%et­h0: icmp_seq=3 ttl=64 time=0.771 ms
64 bytes from fe80::208:e3f­f:feff:fc08%et­h0: icmp_seq=4 ttl=64 time=1.10 ms
^C
--- fe80::208:e3f­f:feff:fc08%et­h0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 0.734/0.869/1­.106/0.147 ms

Fajn, cast problemu vyresena, ping6 se pripoji. A jak to mam udelal v WWW prohlizeci? Asi takto, https://[fe80­::207:e9ff:fe11:98b7]/, ale to mi nefunguje, zrejme WWW server posloucha jen na IPv4 (a tam funguje).

Pak je tady dalsi komplikace, treba ssh

$ ssh fe80::207:e9f­f:fe11:98b7
ssh: connect to host fe80::207:e9f­f:fe11:98b7 port 22: Invalid argument

SSH server urcite na portu 22 posloucha...

Proste IPv6 je luxus, na ktery nemem cas. Pokud by jsem investoval nekolik tydnu do sebevzdelani, mohl by jsem se vzdat nekolka verejnych IPv4 adres a mohl by jsem usetrit 1EUR, mozna i 3 EUR mesicne...

Co jsi presne nepochopil na tom, ze na konec te adresy musis specifikovat odchozi rozhrani?

Zkus ssh fe80::207:e9f­f:fe11:98b7%et­h0 nebo jak se jmenuje to tvoje rozhrani... a v browersu https://[fe80­::207:e9ff:fe11:98b7%et­h0]

Btw...

propeler:[~]$ ssh -6 ::ffff:c0a8:5801
The authenticity of host '::ffff:c0a8:5801 (::ffff:192.168­.88.1)' can't be established.
RSA key fingerprint is SHA256:LkOCk8U4CWB7FBHS­LBddLgsRrzY+GRzgo­eEsSTO8SnY.
Are you sure you want to continue connecting (yes/no)?

me:
Nejdříve si přečtete o formátu linkové IPv6, pak o časování podmiňovacího způsobu slovesa „být“ a přestaňte psát to „by jsem“.

Nejsem si uplne jisty, zda je v nasledujicim prikladu validni IPv6 adresa, ale ping6 to neda.

$ ping6 ::ffff:192.168­.192.168%enp2s0
unknown host

WWW browser, ten je uspesnejsi, sice se nepripoji, ale s adresou si poradi...

Ty vole.... hele, nez se tady ztrapnovat, klikni na tenhle link: https://knihy.nic.cz/files/edice/ipv6_2012.pdf

a trochu si neco nastuduj. To co jsi napsal je obycejna IPv6 mapped IPv4 adresa a za ni se odchozi rozhrani neuvadi. Ale pokud si chces hrat s link-local adresami, tam odchozi rozhrani specifikovat musis.

Je to nekonsistetni a slozite. A stareho psa novym kousek nenaucis... ;-)
Dokud nebudou IPv6 adresy snadno fungovat i v infrastrukture s IPv4, nelze masivni nasazeni IPv6 ocekavat.

„A stareho psa novym kousek nenaucis.“
Jo tak tady máme ten problém s rozšiřováním IPv6 - ono se to nikomu nechce učit, protože to nefunguje jako IPv4. Jasně, to by potom vysvětlovalo ten počet odborníků a pseudoodborníků.

Problem bude i v tom, ze prechod z IPv4 na IPv6 neni "win-win" reseni. Cast problemu se vyresi, nove vzniknou.
Kdyz jsem zacal studovat, nemely pocitace jeste sitove karty. Pak byla na kolejich sit s Novel, na PC byl DOS. Hrali jsme sitove hry, treba WarCraft a Descent, taky se pouzival lokalni fileserver, i ve skole byl Novel, ten byl skoro vsude. Male firmy mely Lantastic anebo jinou exotiku. A pak prislo IPv4. Nastavovani IPv4 nebylo snadne, ani Windows jej neumely (instaloval se Trumpet Winsock). Chvili bezely oba protokoly soucasne. Ale protoze IPv4 nabizelo vice vyhod, a hlavne obsahu v internetu (prvni WWW servery), relativne rychle zacalo dominovat. Kdyz MS pridal IPv4 do Windows, bylo rozhodnuto. Problem IPv6 je ze, zakaznikum s IPv4 moc noveho neprinasi, pokud ma zakaznik verejenou IPv4 adresu, name motivaci k prechodu na IPv6. A spousta beznych uzivatelu ani tu verejnou IP adresu nepotrebuje...

Spousta běžných uživatelů neví, že by měla chtít veřejnou adresu (na zařízení, ne jen na krabici). Dostat se z mobilu na data doma v počítači? Jsme ve stavu, kdy je nejjednodušší použít TOR. Celkem směšné, ne? Vzdálený tisk - zapomeň. Stream muziky třeba do auta - zapomeň. Knížky do ebooku - leda doma, ke knihovně calibre se z venku nedostaneš. Chceš si něco zahrát s kamarády? Potřebuješ další server - herní nebo vpn. Kecáky, torrenty atd. by mohly běžet přímo = rychleji.

Ale bez veřejného adresování nemáš ani možnost volby a MUSÍŠ jet tak, jak ti nadiktují ti, kteří veřejné adresy mají.

Pamatuji dobu IPv4, pred nastupem NATu. A nevzpominam si, ze by se takove blbiny delali...;-) Streamvani hudby do auta z domaciho PC? Neni to blbost?? Neni jednossi si vypalit CD? Normalni clovek si ty pisnicky ulozi na USB flash disk... A pak, sice mame NAT, ale take mame verejne cloud servery, kde si muzete za par korun mesicne delat vse co vymyslite, takze tam muzete mit i tu knihovnu hudby pro streamovani do auta... Jak nad tim premyslim, vlastne ani verejnou IPv4 adresu na domacim pripojeni nepotrebuji.

Super, přidáme další mezivrstvu, protože proč ne. Jen ať se toho může rozbít co nejvíc. Nikdy jsem neřekl, že z domácího PC. Jasně, budu se starat, abych měl vždycky aktuální muziku na CD/flash. Proč? Navíc je to dost kanón pro soubory na jeden poslech (podcasty). Jsou lidi, co veřený adresy potřebují, jsou lidi, kteří ne. Myslím si, že by veřejný (a stabilní) adresy měly být samozřejmostí. V IPv4 na vyžádání, v IPv6 se počítá s tím, že každý zařízení bude mít veřejnou adresu. Nám to prospěje a vám to neublíží.

Pár příkladů toho, na co jsem osobně narazil.

* Hráli jsme s kamarádem dooma. Ani jeden bez veřejné adresy, na to, abysme se vůbec viděli, jsme museli použít hamachi. Naštěstí kamarád není technický antitalent, takže jsme se dobrali spojení. Spustil jsem tam zandronum-server, druhý problém byl s wadama těch map, co jsem měl v plánu. Nakonec jsem to hodil někam na užnevímkam hosting, aby to jeho doomseeker normálně našel. To samé s veřejnou adresou: pošlu adresu+port, wady si stáhne doomseeker automaticky z příslušného webserveru, co mi stejně jede na localhostu (jel by na localhostu+stabilní veřejné adrese). On by se navíc mohl připojit přes doménu místo IP adresy. Dtto s pokerem (pokerTH)

* Podcasty. Mám uděláno, že se mi podcast stahuje do složky s hudbou, která podléhá MPD. Když sedím u počítače, poslouchám z něj. Když jdu do kuchyně třeba mýt nádobí nebo škrabat brambory, připojím se z mobilu. Ale když jdu do krámu, proběhnout se... tak jakmile se dostanu z dosahu místní wifi sítě, mám utrum. To samé s veřejnou adresou: mpd poslouchá na veřejné adrese, doma se mi mobil chytí na wifi, venku to poteče třebas i přes data - ale uvidím server, připojím se.

* Domácí automatizace. Tedy domácí od slova doma. Toho nápadu jsem se vzdal, prostě proto, že si domů nevidím.

* V zimě máme na okně krmítko pro ptáky. Taky starou webkameru. Normálně bych se mohl kouknout přes den, jestli tam je dost, kdo nám tam lítá. No, nemůžu, neuvidím si domů.

Dobře, 3 a 4 jsou spíš pro radost mého srdce. Primární důvody jsou 1 a 2. Pro těch pár ad hoc případů se mi nevyplatí vydržovat si VPS kdovíkde. Kdybych už ale všechno veřejně adresovaný měl, tak proč ne?

Ano, je to řešitelný i v současném stavu, ale podstatně složitějším způsobem, nejspíš za vyšší náklady, s omezeními a závislostí na dalších subjektech. Děkuju pěkně.

s/Ani jeden bez veřejné adresy/Ani jeden veřejnou adresu neměl/

To cestování mi leze na mozek.

> Nakonec scénář kdy by prostě stačilo spustit si doma server na PC a ostatním poslat přes messenger IP adresu.

Ne, to by opravdu nestačilo.

Tenhle výrok je podložený argumenty a nebo je z boží vůle neomylný?

Dovolil jsem si předpokládat, že nejsou úplná prasata a mají tam i firewall.

"Dovolil jsem si předpokládat, že nejsou úplná prasata a mají tam i firewall."

Já myslel, že prasata mají router s firewallem v jedné krabičce (v IPv4 s NATem) a jinak nic.

Homo sapiens totiž ví, že se může nakazit i stroj lokální síti (třeba stažením přílohy nějakýno mailu) a nebere LAN za routerem jako na 100% bezpečný prostředí. Takže správná je konfigurace, kde na routeru je firewall, který zastaví věci, co se buďto v síti nepoužívají (Telnet,...), nebo se používají jenom lokálně a nesmí odejít ze sítě ani přijít zvenčí (NFS, CUPS, RDP, DHCP,...). A pak má firewall v zařízení, který zařízne přístup z LAN k tomu, co zařízení nepoužívá/nepos­kytuje.

A když má FW i na zařízeních, uplink třeba 20Mbps a LAN 1Gbps (50x rychlejší), takže ji zvenku nezahltíš, tak proč rovnou nepovolit na FW routeru, co můžou lidi používat zvenčí? Pokud je nutná autorizace, vynutíš IPSec, nebo je tam autorizace pro službu (SSH). Easy.

Už vidím, jak někdo nastaví FW tak, že by-default povoluje přístup zrovna Minecraftu do vnitřní sítě, i když to v době nastavení nebylo potřeba. ROFL :-D

Počkej, Minecraft je protokol? Aplikace se blokují a APLIKAČNÍM firewallu na zařízení, firewall na routeru blokuje konkrétní porty, protokoly nebo IP adresy.

A pokud se dostaneš na web, znamená to, že z pohledu klienta
1) kontaktuješ web server (port 80) z libovolnýho volnýho portu na tvé mašině
2) přijde ti odpověď s číslem portu, na kterým tě web server očekává a se kterým budeš komunikovat.

Takže nutným předpokladem je, aby sada portů s vysokýma číslama, používaná pro TCP, prošla firewallem obousměrně. Všechno, co potřebuješ, je mít na stroji port, na kterým požádáš o sestavení spojení. A když to bude poslouchat třeba na 56565, který není kvůli tomuto blokovaný (je to jeden z tisíců portů, který se jinak používají pro data na TCP), tak se spojíš. Stejně tak pokud máš dohodnuto UDP na některým z těch vyšších portů.

Původně jsem myslel, že IPv6 fanatici jsou jen lehce blázni, ale teď koukám, že je to mnohem, mnohem vážnější. Kde píšu o nějakém "Minecraft protokolu"? Nikde.

Prostě fakt je, že v trochu rozumně spravované síti nebude stačit "spustit si server a ostatním poslat IP adresu", jak tvrdí Kate, ale bude potřeba to spojení ještě povolit na firewallu.

@Filip Jirsák
" Běžná domácí síť ... a hlavně taková síť firewall nepotřebuje a byl by jí k ničemu."

Čtu dobře, že právě pro domácí síť (tedy většinou mix všeho možného, od různých verzí androidů, nyní pomalu i nějaké to IoT blbosti, až po různé verze desktopy *nix/win), pro běžné uživatele doporučujete nemít na routeru žádný firewall (s default zakázaným přístupem dovnitř)? To myslíte vážně? Chcete si dělat botnet či co nebo jste fakt úplně odtržený od reality?

Nesouhlasím se zpracováním osobních údajů v rozsahu v odkazovaném textu u vynuceného checkboxu, které jde nad rámec údajů nezbytných pro nutné technické zpracován.

Nikdo nepovažuje routery za neprůstřelná zařízení, ale možná se k vám ještě nedonesl princip multi-layer security (kontrolujete přístup na každém bodě, kde to rozumně jde). Považujete ty počítače v domácí síti za neprůstřelné a bez chyb, že vám stačí zabezpečení jen na nich?

Firewall na routeru neslouží pro případy, kdy už je útočník vevnitř sítě, ale když se snaží teprve dovnitř sítě dostat (tohle vážně nevíte?). Třeba když plošným skenováním internetu napadá počítače se 0-day dírou v Intel ME. Hodně štěstí, až se budete bez firewallu na routeru bránit takovým útokům, firewall na počítači vám určitě hodně pomůže.

Nevím tedy, jak vypadají sítě, které spravujete vy, ale já měl útok zevnitř (= když IDS na firewallu stroje uvnitř sítě zachytí podezřelý provoz) maximálně tak jednou za měsíc, zatímco útok zvenku přinejmenším každou minutu (pokud to hodně podcením). Ale samozřejmě pro Jirsáka nehraje rozdíl 5 až 6 řádů žádnou roli, takže útočníky zvenku ignoruje a rovnou předpokládá, že je uvnitř. Nechtěl byste rovnou předpokládat, že útočník má roota ve vašem počítači? Pak nemusíte řešit ani lokální firewall ani uživatelská hesla.

Domácí uživatel ten firewall nastaví velmi jednoduše: nijak. Všechny tyhle routery (včetně té krabičky za 300 z Penny) mají firewall ve výchozím stavu nastavený na blokování příchozího provozu. U mnoha to ani nejde vypnout. (Spravujete vůbec nějaké sítě, že tohle nevíte?)

Jak bude podle vás nastavovat takový uživatel firewall třeba na tiskárně, která typicky přijímá úlohy z libovolné adresy, když přístupy z adres mimo síť nemá blokovat firewall na routeru?

A proto je lepší to útočníkům ulehčit tím, že můžou oskenovat celou síť a hledat napadnutelná zařízení, že?

Chci vidět, jak ten domácí uživatel bude nastavovat autorizaci na tiskárně, když podle vás nezvládne ani zapnout firewall, a to je typicky jedno zaškrtávací tlačítko.

Vy byste ale radil, že tu FABku nepotřebuje, přeci stačí zamknout skříň, kde má peníze.

Připojoval jste vůbec někdy síťovou tiskárnu? Celá ta instalace je, že do tiskárny připojíte síťový kabel. Žádná hesla se při tom nenastavují. Sice je můžete nastavit později (tedy u jak které tiskárny), ale není to nutné. A domácí uživatel to opravdu dělat nebude, ten nemívá heslo ani na svém počítači.

Takže jste fakt nikdy neviděl nastavení levného routeru? Tam je akorát jedno zaškrtávací políčko „zapnout firewall“. Tak to pak opravdu nemá smysl pokračovat, když ani nevíte, o čem je řeč.

Problem je taky na strane implementace IPv6, jeste to neni usazene a vyladene. To rozsireni IPv6 adresy za % se nazyva zone-id a je popsano v RFC7346 a RFC4007.

Je jeste docela dost klientu, kteri zone-id neumi, testovano v Ubuntu 18.04. Treba wget, aria2, Firefox, Google Chrome/Chromium. Jako priklad klientu kteri toto rozireni IPv6 adresy zvladnou je ssh a curl. Konkretne, curl v Ubuntu 16.04.4 uz toto rozsireni umi, curl v Ubuntu 14.04.5 jeste ne. ssh uz toto zvlada i v Ubuntu 14.04.5

Zajimave se chova httpie, ten se sice na web server pripoji, ale zrejme spatne formuluje pozadavek, protoze dostane odpoved 400. A to muze indikovat drobny problem v liburl3 (Python)...

BTW, overeni teto skutecnosti neni o mnoho tezsi nez kliknuti na tlacitko "nesouhlasim"...

$ curl http://[::1%1­]/test.html
$ wget http://[::1%1­]/test.html
$ http http://[::1%1­]/test.html

Dik za odkazy, zone-id je plechovka plna cervu... Ten problem je mnohem komplexnejsi nez jsem si myslel.

Tak treba, podle poslednich specifikaci se URL ma spravne zapsat jako http://[::1%2­51]/test.html (pripadne http://[::1%2­5lo]/test.html), protoze znak % se v URL pouziva pro escape a je treba jej tak i zadat.

Dale jsem si myslel, ze zone-id musim uvadet jen na pocitacich, kde mam vice NIC (treba ETH a WiFi), a ze OS musim naznacit kam paket poslat. Ale neni to pravda, i na pocitaci kde je jen jeden ETH a loopback musim %interface pouzit, protoze OS "nevi", kam ma LL pakety (fe80::/10) poslat.

Na Windows toto problem neni, protoze Windows pouziji magicky trik a odhadnou interface, kam pakety poslat. To je zrejeme i jeden z duvodu, proc Firefox a Chrome zone-id odmitaji, protoze na Windows to problem neni, zone-id se nemusi uvadet. Jen na Linuxu, MacOS a Chromebooku, mozna i na Andoridu, to je problem. Pokud konfigurujete HW pres LL IPv6 adresy, poridte si Windows!

Je pravda, ze tento problem je svym zpusobem jen okrajovy a na vetsinu uzivatelu nema zadny dopad...

Dík za fajnu knihu konečne čo čítať.

Je to asi tak stejně triviální, jako zjištění v IPv4, že to funguje nějak divně, když se připojíte do dvou sítí 192.168.192­.0/24 ;-)

ping6 fe80::207:e9f­f:fe11:98b7%et­h0

Jeste pro zajimavost uvadim stejnou adresu v base85 formatu: 0000000000008­&RB1GBe
Jeste jsem to v praxi nevidel, ale existuje navrh na zjednduseni IPv6 adres, prekodovanim do base85.
RFC 1924 bylo vydano 1 Aprila, takze je to mozna jen april, ale ipv6calc tento format IP adres podporuje.

K čemu takovou volovinu potřebuješ? 192.168.x.y znamená, že je to lokální adresa za NATem (x je podsíť, y je adresa zařízení). Navíc potřebuješ vědět ještě komplet IP adresu před NATem, někdy před CGNATem, takže si ve výsledku ty adresy pamatuješ minimálně dvě.

V IPv6 máš prefix:x::y. Prefix dostaneš od operátora (ten si musíš pamatovat/poz­namenat, ale je to IP adresa tvé přípojky zvenčí a díky němu se dostaneš na zařízení uvnitř). X je podsíť (pro /60 jich máš k dispozici 16, pro /56 je jich 256, pro /48 je jich 65536) a tu si vybereš sám, stejně jako v IPv4. Y si vygeneruje zařízení, ale pokud chceš u zařízení pevný y, tak si je nastavíš dle libosti a neighbor discovery zajistí, že tohle y nebude mít nikdo s dynamickou adresou.

A jeden trik - nemusíš pro x a y používat hexa číslice, pokud dáváš adresy ručně. Můžeš použít klidně i BCD nebo trojkovou sosutavu, síť to přežije. Ono se totiž nečísluje kontinuálně (ale tahle featura, že po 192.168.2.5 bylo třeba až 192.168.2.105 fungovala odjakživa)... Jenom myslet out of the box.

Co je na tom složitějšího?

Proc to potrebuji? Mam funkcni IPv4 infrastrukturu, lety preverenou, znamou. A potrebuji nejak zacit s IPv6. Vlastne nepotrebuji, ale kdyby jsem chtel zacit s IPv6, tak se potrebuji nekde odrazit a postupovat pomalu krok za krokem. Jednou z moznosti je postavit si treba ESXi server a tam si vybudovat IPv6 svet na zelene louce, izolovane virtualni prostredi pro experimenty. Anebo zkusit postupne zapojit IPv6 do soucasne lokalni site, zacit experimentovat ale nerozbit soucasny funkcni stav. A to neni uloha snadna. S IPv6 koketuji uz vice nez 20 let, obcasne pokusy, ale skutecne v tom pro sebe zatim zadnou pridanou hodnotu nevidim, takze jsem konzervativni a zustavam na IPv4. Nejsem profesionalni sitar, IP konektivita me nezivi....

Jsem za NATem, mam ten luxus, ze mam verejnou IP4 adresu. Nemam potrebu mit verejnou IPv6 (spise prefix, ze?), v tuto chvili urcite ne a pokud by jsem ji mel, stejne by jsem chtel NAT pro IPv6. Mam i nejake servery v cloudu, tam muzu mit plnohodnotnou IPv6, ale nepotrebuji to, priplatek za IPv4 si mohu dovolit.

Tento clanek jsem dneska nasel, zda se mi zajimavy; je jiz 3 roky stary.

https://www.jumpingbean.co.za/blogs/mark/set-up-ipv6-lan-with-linux

Začít IPv6? Tak přejdi k ISP, který 6ku dává, minimálně /56 a povol to na routeru. Komply už se s tím popasujou samy. A pak si můžeš vesele hrát v domácí síti. A pokud jde o nerozbití sučasnýho stavu, slušný router nabízí několik sítí, takže si přepneš na switchi pár zařízení na experimentální síť a pak je můžeš vrátit...

Pokusy na izolované síti s fe80:: moc dobře nedopadají, mj. proto, že tam nemáš danou gateway ven, nějak to potom pro zařízení nedává smysl a bude se k tomu chovat jak Drákula ke svazku česneku na poledním slunci.

Uplne jednoduse, zacit se 6to4. Pokud je verejna IPv4 adresa, tak z ni lze ziskat taktez verejny a plne funkcni IPv6 prefix /48. Pravda, pro seriozni pouziti uz je to dneska trosku slepa cesta, ale na experimenty idealni. S poskytovatelem ani nikym jinym neni treba nic domlouvat, z nekoho neco loudit, nekde se registrovat, vubec nic. Je to tam, staci to jen zapnout. A ve standardnim nastaveni se IPv6 pres 6to4 nepreferuje, je az za IPv4, coz muze byt v tomhle pripade vyhoda, ze to jen tak snadno neco nerozbije.

Tak jsem prisel na to, jak priradit vlastni IPv6 adresu. Rekneme, ze PC ma IPv4 adresu 192.168.168.209 a ja chci, aby mel i "rozumnou" IPv6 adresu, treba ::ffff:192.168­.168.9.

ifconfig enp4s0 inet6 add ::ffff:192.168­.168.9/64

OK, a ted vypisi stav.

$ ifconfig enp4s0
enp4s0: flags=4163<UP,BR­OADCAST,RUNNIN­G,MULTICAST> mtu 1500
inet 192.168.168.9 netmask 255.255.255.0 broadcast 192.168.168.255
inet6 192.168.168.9 prefixlen 64 scopeid 0x0<global>
inet6 fe80::87f4:81­fa:b481:d781 prefixlen 64 scopeid 0x20<link>
ether 00:1a:4d:50:41:95 txqueuelen 1000 (Ethernet)
RX packets 587973 bytes 356584138 (356.5 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 161055 bytes 63533139 (63.5 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Proc se ta IPv6 adresa zobrazuje jako 192.168.168.9?? Kdyz zadam "ping6 192.168.168.9", tak dostanu chybu. Kdyz zadam "ping6 ::ffff:192.168­.168.9", tak to funguje. A ip prikaz take vypise spravnou konfiguraci, takze to vypada, ze stary ifconfig ma drobnou chybu...

$ ip addr show dev enp4s0
2: enp4s0: <BROADCAST,MUL­TICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:1a:4d:50:41:95 brd ff:ff:ff:ff:ff:ff
inet 192.168.168.9/24 brd 192.168.168.255 scope global dynamic noprefixroute enp4s0
valid_lft 3488sec preferred_lft 3488sec
inet6 ::ffff:192.168­.168.9/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::87f4:81­fa:b481:d781/64 scope link noprefixroute
valid_lft forever preferred_lft forever

Zajimava je i situace s HTTP protokolem. Curl funguje dle ocekavani.

$ curl http://[::fff­f.192.168.168­.9]/test.html

Kdyz vsak stejne URL zadam do browseru Chromium, dostanu vysledky nalezene Googlem; Chromium tedy tomuto URL nerozumi... :-( Takze jeste jednou

$ curl http://[::fff­f:c0a8:a809]/tes­t.html

Tomuto URL uz Chromium rozumi a zobrazi testovaci stranku.

Zajimavejsi je situace s WGET. Ten dela neco hodne spatne, at delam co delam, dostavam toto:

$ wget http://[::fff­f:c0a8:a809]/tes­t.html

HTTP request sent, awaiting response... 200 OK
Length: 31 [text/html]
test.html: No such file or directory

Cannot write to ‘test.html’ (Success).

$ traceroute6 ::ffff:c0a8:a809
traceroute: bind icmp6 socket: Cannot assign requested address

$ curl http://[::fff­f:c0a8:a809]/tes­t.html
<html><body>TES­T</body></html>

Z meho pohledu je treba ten IPv6 jeste dost poladit... :-(

Chybicka se vloudila, wget funguje, problem byl s filesystemem; prikaz jsem spoustel s adresare, ktery byl jiz smazan..

Jeste se jedna chybicka vloudila, http://[::fff­f.192.168.168­.9]/test.html je spatne, spravne ma byt

$ curl http://[::fff­f:192.168.168­.9]/test.html

Za ::ffff ma byt dvojtecka, ne tecka. Pokud je URL v tomto formatu. Chrome s tim nema problem.

::ffff:0:0/96 je vyhrazené pro určité chování (lokální překlad na IPv4), tak se to samozřejmě chová divně, když to začnete používat jinak. To je jako kdybyste si stěžoval, že se to chová nějak divně, když dáte počítači IPv4 adresu 127.x.y.z.

Z meho pohledu, je rozsah ::ffff:/96 pro tento ucel, nebot je urcen pro mapovani IPv4 adres. Jake mam dalsi moznosti? fc00::/7 ?

Funguji oba rozsahy, rozdil je, jak "ip" a "ipconfig" zobrazuji adresy. Adresa z rozsahu ::ffff:/96 se zobrazuje jinak a to se mi libi. Kdyby jsem netrval na peknem mapovani ipv6 na ipv4, pak rozsah fc00::/7 by mohl mit pekne adresy jako fc00::1234, tim by se taky dobre pracovalo. Pro testovani by mi stacily i linkove IPv6 adresy, fe80:/10, ale jednak jsou moc dlouhe, pak v Linuxu funguji spatne, teda jejich pouzivani je komplikovane (adresa%interface).

$ ip addr show dev enp4s0
2: enp4s0: <BROADCAST,MUL­TICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:1a:4d:50:41:95 brd ff:ff:ff:ff:ff:ff
inet 192.168.168.9/24 brd 192.168.168.255 scope global dynamic noprefixroute enp4s0
valid_lft 2866sec preferred_lft 2866sec
inet6 fc00::c0a8:a809/64 scope global
valid_lft forever preferred_lft forever
inet6 ::ffff:192.168­.168.9/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::87f4:81­fa:b481:d781/64 scope link noprefixroute
valid_lft forever preferred_lft forever

Ne, to bylo na toho blafoňa, na kterýho reaguješ i ty...