Názory k článku O nedostatku IPv4 adres víme třicet let, NAT měl být dočasným řešením

Pěkný článek z pěkné akce.

Jen je divné, že je to každý rok stejné.

Stále někde něco nefunguje, sice jen trochu a stejně za to můžou uživatelé kteří používají věci co vyhovují jim a ne IPv6.

Hele, já vím, že je IPv6 budoucnost, ale je to fakt strašnej bastl. Většina těch problémů co tady za ty roky sleduju nejsou problémy implementace (špatně napsané programy), ale standardu.

Pak vznikají rovnáky na ohejbáky viz braindead IPv6 autokonfigurace a následně story DHCP6/SLAAC/RDNSS.

Ach jo.

No a nebo to otocime...

Tricet let vime o IPv6, tricet let vime, ze IPv4 adresy dojdou... a tricet let dovolujeme vznik bastlu, ktere s IPv6 vubec nepocitaji. A pak se jako bonus s IPv6 krecovite vymysli rovnaky postavena na zlozvycich naucenych v IPv4 svete, kterych se nekteri urputne dozaduji i s novym protokolem.

Protokoly a standardy za vetsinu problemu ve skutecnosti nemuzou. Bastly vznikaji jinde.

Požadavkem na IPv6 bylo řešení nedostatku adres. Soudruzi namísto aby jen protáhli adresu z 32 na 128 bitů se rozhodli že rovnou i "vylepsí" internet. Za tu chybu teď platíme....

Nelze po koncácích chtít, aby si v domácích sítích nasadili něco, co na defaultech nefunguje buď vůbec, nebo je to ukrutně rozbitý (a tedy jim to fungovat nebude a v podstatě ani nemůže, pokud nemají doktorát ze sítí), a k čemu nedostanou ani základní dokumentaci, a dokonce ani odkaz na ni, protože v ucelené a použitelné formě neexistuje.
Když to nemůžou nasadit koncáci, tak to nemůžou požadovat, a není tlak na ISP.
Čemu se tady kdo diví?

2. 7. 2024, 13:20 editováno autorem komentáře

Neblabolte. Z pohledu beznych koncaku, co si koupi za par stovek TPLinka nekde v Datartu a pripoji ho to fungovat bude a neexistuje duvod, aby tomu bylo jinak. Ten bezny koncak dostane nejaky adresy z routeru a spokojene frci. S defaultnim nastavenim z fabriky. A staci k tomu jedine - aby v DHCPv6 poslal ten ISP k tomu koncakovi prefix, ktery si ma nastavit na LAN. A zbytek se stane tak nejak automaticky.

Problem budou spis hracickove - co si mysli, jak tomu rozumi, rozvrtaji nastaveni podle nejakych nahodne nalezenych pseudo-navodu z internetu a pak breci, jak jim to a tam neco nejak nefunguje. Jenze tenhle problem fakt neni zavisly na verzi IP protokolu.

Haha.
Proč to teda nejen mě funguje jenom na O2čku?
Přesněji: chápu, že to ISPci asi mají zhusta rozbitý, chápu že dost možná zhusta schválně, ale když koncakovi tvrdí že to má blbě on, těžko jim to dokáže rozporovat. Dokonce bych i pochopil, že tím lidi chtějí donutít k nákupu/pronájmu JEJICH routerů, místo aby si tam dali svůj Mikrotik nebo něco jinýho.
Ale co s tím teda koncák má dělat?

Pv6 ma sve problemy, stejne jako IPv4 nebo kazda jina technologie.

Problem neni v koncovych sitich ani u poskytovatelu obsahu.

ISP, ktery jeste v roce 2024 nema implementovano IPv6 o sobe rika jedinou vec, ze neni technicky kompetentni.

Mobilni operatori (ve svete) IPv6 only site pouzivaji jiz delsi dobu a dalsi pribyvaji.

V Japonsku nebo v Anglii prechazi velci fiber ISP na IPv6 only zatimco u nas dokazi nekteri stale diskutovat o tom, zda je to spravna technologie.

https://www.ispreview.co.uk/index.php/2024/06/isp-sky-broadband-uk-deploying-ip-address-sharing-via-map-t.html

Mate s sestkou nejakou realnou zkusenost? Podelte se s nami o sve poznatky detailneji.

Ten ISP to často dělá záměrně. Jinak souhlas.

"ISP, ktery jeste v roce 2024 nema implementovano IPv6 o sobe rika jedinou vec, ze neni technicky kompetentni."

a komu to říká? koho to vůbec zajímá? pár linuxáčků na rootu?

Nevymýšlíme bastly, bastl je bohužel v určitých ohledech IPv6. Jinak už bychom ho dávno měli nasazený.

Řešení je jednoduché, ISP nastaví jako výchozí protokol IPv6 a BFU nic nepozná (v ideálním případě). Případně stát nastaví nějakou službu IPv6 only a v případě její nedostupnosti půjde ISP po krku. Od koncových uživatelů nelze očekávat, že budou IPv6 aktivně požadovat.

Moje osobní zkušenost s IPv6 na domácím internetu VDSL (CETIN + TM)
Funguje. Ale každou půlhodinu se odpojí.
Během vteřiny se zase připojí. Ale některé služby s tím mají problém.

Mame nekolik VDSL pripojek a uvedeny problem nepozorujeme.

Jaky pouzivate modem?

Ctyrka drzi nebo se odpojuje take?

Resil jste to s technickou podporou?

Zyxel T50B.
Čtyřka drží.
Posílal jsem log na podporu.
Odpověď od Zyxelu:
vypnout IPv6.

Modem je přímo od Zyxelu.
Chtěl jsem ušetřit a odmítl jsem modem od Tmobile. Přesto že mají stejné označení, tak HW je různý. FW nejde zaměnit.

TMO podpora se vyjadrila?

Zvazil bych reklamaci/vraceni vyrobku.

Resim ted nestabilitu GPON ONT s vyrobcem - taky otrava.

Každých 30min to napíše tyto chyby do logu:
user err dhcpc dhcp6c: addPrefixInfoToMsg: addPrefixInfoToMsg : Enter
user err dhcpc dhcp6c: dhcp6sConfDSli­tenameListChec­k: dhcp6sConfDSli­tenameListCheck : Enter
user err dhcpc dhcp6c: dhcp6sConfDns­ListUpdate: dhcp6sConfDns­ListUpdate : Enter
user err dhcpc dhcp6c: client6_recv: client6_recv

Je také možné připravit neblokující multitasking a poté funkci select vybírat správný socket a obsluhovat IPv4 i IPv6 klientů.

Rozhraní select() je navržené tak strašně, že je mi záhadou, proč by mu někdo dal přednost před poll() (pro masovější použití pak spíš epoll()).

Díky tomu mohou IPv6 sockety za určitých okolností obsluhovat i IPv4 spojení.

Defaultnímu chování se říká "za určitých okolností"? :-) (Ano, vím, že existují obskurní operační systémy, kde je default IPV6_V6ONLY=1.)

Kdo to někdy programoval, smysl pochopí, je jedno jestli se odkážete na select(), poll(), nebo epoll(), z hlediska pochopení smyslu textu to je totéž. Kdo to nezná, lepší je napsat select(), to je sice dost nešťastně navržená funkce, ale je to základní, všude implementovaná, klasická znalost, ze které vycházejí ty současné poll() funkce. Já, až to budu potřebovat (což asi nebudu), stejně napíšu man select a přečtu si, co se používá v tomto století.

Podle mě je někdy moudřejší obsloužit zvlášť IPv6 a zvlášť IPv4, on je v tom dost bor… nepořádek i tak. Chyb je víc, než funkčnosti. Ale možná je to jen můj dojem.

Pokud berete všechny Windows a BSD za obskurní operační systémy, tak ano. Ale pro většinu výrobců portabilního softwaru je to příliš velká skupina operačních systémů, kterou nelze snadno ignorovat - můj oblíbený příklad je modul http.server v Pythonu 3.8.

Navíc i software napsaný pro Linux podle nejlepší současné praxe nastavuje IPV6_V6ONLY=1, takže použití fráze za určitých okolností je zde na místě i pro výchozí chování, pokud je běžnou praxí výchozí chování měnit.

Pokud berete všechny Windows a BSD za obskurní operační systémy, tak ano.

To byl samozřejmě vtip - ale v tomhle ohledu to chování opravdu obskurní je.

i software napsaný pro Linux podle nejlepší současné praxe nastavuje IPV6_V6ONLY=1

To už mi tvrdila spousta lidí, ale nikdo z nich nikdy nebyl schopen říct žádný rozumný a přesvědčivý důvod, proč by to tak opravdu mělo být lepší, většinou se omezili na obvyklé "prostě se to tak dělá". Nanejvýš přiznali, že se jim jen nelíbí mapované adresy, případně těch socketů stejně otevírali víc, protože se poslouchalo na více různých adresách nebo kombinacích adresa/port.

4. 7. 2024, 09:35 editováno autorem komentáře

Já myslím, že ten hlavní důvod, proč to nedělat, je riziko, že někde po cestě dojde k záměně IPv4 za IPv6 nebo naopak. Například když po síti přijde IPv6 paket se zdrojovou adresou z IPv4-mapovaného rozsahu a IPv6 soket s IPV6_V6ONLY=0 na něj odpoví, velice pravděpodobně přitom vygeneruje IPv4 paket.

Myslel jsem si, že takové věci jsou dávno vyřešené a podobné zmatení nehrozí, ale po vytvoření testovacích stránek s IPv4-mapovanými adresy v AAAA záznamech se nestačím divit, kolikrát vidím, že nějaký software ochotně vezme IPv4-mapovanou IPv6 adresu z DNS a spojí se s ní:

• https://ipv4-mapped.0skar.cz/
• https://ipv4-mapped-pref.0skar.cz/

Problém vznikl v samotném prvopočátku při návrhu. Lidi obecně nesnáší tu hex soustavu a to jim stačí, aby si vypěstovali k celé věci totální odpor.

Zato 172.16.0.0/12 je fakt intuitivní… 192.168.0.0 taky…

Nesmysl. V desítkové soustavě to vypadá a počítá se ještě hůř. Vypisovat bajty a bitové masky v desítkové soustavě je strašný paskvil. Aspoň mi to už od začátku IPv4 připadá dost na palici, nikdy jsem nepochopil proč byl zvolený dekadický zápis IPv4 a myslím že to nadělalo víc zmatků než šestnáctková soustava, která je pro toto použití přirozenější.

Ve 172 nevidím to 1010 1100 přímo, ale v čísle AC to vidím. Stejně tak 192: 1100 0000: C0 z desítkové to nevidím, ale z šestnáctkové to vidím hned.

Dovolím si tvrdit,že desítková soustava intuitivní je - počítáme v ní velý život. A pak si dovolím tvrdit, že kromě možná isp, 12b masku asi moc lidí nepoužívá a většina dělí po osmi.

U Novellu Netware 3.xx a starších, blahé paměti, se IP adresy (v4, pochopitelně) daly zapisovat i hexadecimálně (nebo jen masky? Už je to dávno). U Cisco IOSu si zase můžete vybrat, jestli broadcastastová adresa jsou jedničky nebo nuly.

Lide obecne nesnasi psani a memorovani IP adres a je fuk o jake verzi je rec ;-) Vsak proto uz v roce 1983 vzniklo DNS. A uz predtim vznikl staticky hosts file, kam se zapisovaly prave ty lepe zapamatovatelna jmena.

Já osobně mám hex rád.
Problém je spíš s pamětí.
Běžná IPv4 síť v malé firmě vypadá nějak takto:
192.168.1.1 až 10 síťové prvky.
192.168.1.11 až 20 servery.
192.168.1.21 až 30 tiskárny.
192.168.1.31 až 40 kamery.
41 až 50 virtuální stroje
51 až 128 rezerva
129 až 199 DHCP WiFi
200 až 250 DHCP LAN

Podle IP hned poznám co je které zařízení zač. Když přestane fungovat DNS server, tak můj PC, servery, routery a tiskárny dám z hlavy...
Další IPv4 adresy, ktere si pamatuji:
1.1.1.1
8.8 4.4
9.9.9.9
DNS mého ISP
Venkovní adresu serveru
77.75.77.222
37.188.0.0

Kolik IPv6 adres si pamatujete?
Já ani jednu!
Chvíli jsem se snažil. Když jsem to nasazoval.
Ale asi stárnu nebo se to prostě nedá.

Když se zhlavičky mailu snažíte vyčíst přes které servery prošel, a jsou tam ty šílený hex znaky, tak to je peklo.
Nebo často chodí mail:
Zaznamenali jsme přihlášení z IP adresy
Když to je 4ka tak hned vím.
Ale když to je 6ka, tak nevím nic.

U mě je 192.168.2. básnička k zapamatování a zbývá 250 čísel které jsem rozdělil velice podobně. Pamatuju si skoro všechna zařízení i když ani nepotřebuju (mám tam i jakousi mnemotechniku).

A nějaké globální taky vím.

U 128bitových adres se pochopitelně z hlavy taky vůbec nechytám, to se prostě nedá.

A ted si predstavte, ze tu sit mate segmentovanou, nedejboze tech siti mate vic a potrebujete u toho, aby vam komunikace mezi temi sitemi fungovala. Nedejboze, kdyz pak spravujete stovky zarizeni. Memorovani adres je nesmysl... a ani mnemotechnika vas nezachrani ;-) Stejne skoncite u DNS...

Nehlede na to, ze i staromilci si u 128bitove adresy nemusi pamatovat vsech 128 bitu? Aneb klidne muzete dojit do stavu, kdy ta adresa ma tvar treba 2001:db8:1:1::1. Vidite ty dve dvojtecky? Hadejte co delaji... ;-)

Ano, stovky zařízení se třídí blbě.
Do stavu 2001:db8:1:1::1 jsem se to samozřejmě snažil dostat. Ale jaksi se ztrácí to kouzlo že nepotřebujete FW.
A od ISP mám 2a00:8e42:a0c­7:....a s tím nic dělat nejde.

DNS...Co uděláte když vám klient zavolá že nejde internet?
Já tedy pustím ping na DNS servery.
IPv6 neznám z paměti ani jeden.
I když 2606:4700:470­0::1111 bych mohl zvládnout. Ale je to o 2606:4700:4700 složitější než 1.1.1.1

Jen otázka zvyku...

K IPv6 bych měl otázku: Má smysl se tím zabívat?

30 let je tu, ale skutečné nasazení, myslím tím, že nebudu moci fungovat na IPv4 je dle odhadu jak se to táhne dalších 30 let.

Za 30 let jdu do důchodu a nasazení IPv6 ve firmě nechám na mladších. :-)

Mozna byste mel vyhledat nejaky jiny obor uz dnes a tam to do duchodu doklepat. Kurator v muzeu se jevi jako idealni pracovni pozice pro vas :-)

Zabívat? Určitě ne! 🤦

Chlapi, chlapi, vy jste mi dali!
Pamatuji si to jako dnes, když jsem před 15 lety četl myslím, že tady na rootu, jak je IPv6 na spadnutí.
Potřeboval jsem nový router, protože starý odešel. Tak jsem chtěl být připraven a koupil "drahý" Netgear za 3 tisíce s podporou IPv6.
No router už dávno zastaral a funguje mi už jen díky komunitě okolo dd-wrt, jejichž firmware tam mám. Ale myslím, že pár let už aktualizace na tenhle router nejsou, tak snad tam není žádná díra.
Každopádně už asi dlouho router nevydrží a budu potřebovat nový. Myslíte, že mám zase vybírat z IPv6 routerů nebo mi bude na dalších 15 let ještě stačit IPv4? :-)

Muj ISP tedy normalne IPv6 podporuje... vas snad ne? ;-) No, to byste mel mozna take zapremyslet nad vymenou dodavatele svych sluzeb.

Ne každý žije uprostřed velkoměsta, kde má na výběr z 10 ISP. Někdo je vůbec rád, že nějaký internet má. A někteří ISP IPv6 "podporují" tak, že přidělí blok adres /64, což je poněkud zvláštní představa, co to znamená "podpora IPv6".

Ano, neni to optimalni stav, ale na druhou stranu - kolik beznych domacnosti opravdu segmentuje site? ;-) Tady se tvrde stretavaji svety geeku, kteri se podobnymi vecmi zabyvaji a beznych frantu uzivatelu... co proste s jednou a typicky factory-default /24 IPv4 + nejakou /64 z DHCP6PD vystaci. Tohle bych fakt nebral jako genericky show-stopper.

Aj BFU chcú oddelenú wifi pre hostí -- keď zistia, že je to možné. Hneď tu máme ďalší subnet.

Ako showstopper to brať nemusíte, ale potom progress vo svete IPv6 vyzerá presne tak, ako vyzerá. Zostáva to hračka pre zopár geekov. Ako aj s inými vecami, IPv6 môže byť dobre navrhnutý (sám som bol fanúšik), ale tu trochu orežeme z rohu, tam tiež trochu odrežeme a hneď je to nepoužiteľný krám a fanúšikovia sa čudujú, že čo sa deje. No, rezanie rohov (cutting corners) sa deje.

Když to vezmu z tohoto konce, tak můžu rovnou prohlásit se stejnou platností, že běžnou domácnost vůbec nezajímá nějaká veřejná adresa a už vůbec ne IPv6 :-).

Ale hlavně - proč to ti ISP vlastně dělají? To je nějaký mentální zásek na úrovni myšlenky, že když je nedostatek IPv4 adres, tak je třeba co nejvíc šetřit i s IPv6 adresami, přestože jich mají tolik, že by jimi mohli dláždit, a stojí je úplně stejně jestli dají zákazníkovi /64 nebo /56 (nebo alespoň /60)?

A ještě k tomu segmentování na podsítě - i kdyby to nikdo neřešil teď nebo v blízké budoucnosti, proč tu možnost nemít do budoucna, když ISP s tím prakticky nebude mít žádné náklady navíc? Už třeba kvůli tomu, že lidi čím dál tím víc chtějí k internetu připojovat kdejakou IoT blbost (jak moc to je smysluplné, to ponechme pro účely této diskuze stranou), kde by se to oddělení vyloženě hodilo. K tomu třeba mít rovnou oddělenou síť pro hosty. To jsou hned v základu 3 sítě. To si nemyslím, že je nějaká velká složitost - ono by se to mohlo klidně uplatňovat i pro technicky neznalé uživatele, kdyby takové dělení rovnou nabízela zařízení jako domácí routery.

Ako niekto žijúci uprostred mesta vás môžem ubezpečiť, že výber z 10 ISP nemám. Sídliská, ktoré nie sú "uprostred" tento problém nemajú, ale tu brblú niečo o centre a drahých rozkopávkach, že kto by to zaplatil.

Takže zo spotrebiteľských ISP je k dispozícií LTE, ADSL (nie VDSL) a UPC. A ako je na tom UPC s IPv6 a /64 netreba hovoriť. Pri business by sa dalo ešte 60 GHz wireless.

Nehodnotte prosim podle dzungle, padon... Slovenska. V Cesku na vyber mate, pokud k vam vedou telefonni draty (a nejake xDSL, tedy majoritne CETIN), pak si operatora proste vyberete. A nekteri vam tu na xDSL IPv6 daji a nekteri ne.

Implementace IPv6 od Vodafone je tak tragická, že je snad leší to nepoužívat. Přesně, jak tu píší ostatní, přidělený rozsah IPv6 na jednoho uživatele je zcela nesmyslný a zcela podkopává výhodu, kterou IPv6 mělo mít a v důsledku toho ani poučení uživatelé jako já o IPv6 nestojí. Lajkům je to pak úplně jedno.

Jinak ohledně výměny dodavatele to nechápu, u nás mám možnost mít Vodafone (UPC kabel) a T-Mobile (optika), už tohle je naprostý nadstandard, přitom se jedná jenom o dva poskytovatele. Jinde jsou dodnes závislí na nějakém malém lokálním wifi a nic jiného nemají.

Podle Google se globálně používá IPv6 pro více než 45 % komunikace. Německo nebo Francie už jsou těsně pod 75 %, USA přes 50 %. Tak buď můžete spoléhat na to, že všichni budou čekat na zaostalé Česko. Nebo můžete být připraven na to, že si jednoho dne někdo spočítá, že už je IPv6 rozšířená dost, a představí službu, která bude fungovat jen po IPv6 – a vy budete připraven. Pokud stejně zvolíte první variantu, hodně štěstí při hledání IPv4-only routeru.

Mapování IPv6 na IPv4 většinou vypínám na svých serverech a otevírám prostě dva sokety. Není to zas takový pain. Často můj server umí i unixový sokety, a často potřebuju mít otevřeno víc portů (admin port, client port), takže pak už fakt není rozdíl. Problém s mapováním je ten, že když mám otevřený IPv4 port, tak nemohu otevřít IPv6, protože mapování není možný, jelikož IPv4 už je zabraný.

Podařilo se někomu dostat od starnetu něco jiného než /64?

Pořád to stejné. Už to začíná připomínat elektroauta. I když jsou to výborné stroje budoucnosti, na seriózní práci si zaplatíte silného osvědčeného diesla který funguje spolehlivě a bez problému.

Tady je to samé, když už máte to štěstí že Váš ISP, router, zařízení, operační systém, aplikace podporují IPv6, tak vše funguje do doby než chcete něco extra pak i CGNAT+VPS je lepší volba. (NAT64 = steam KO, PS5 KO, Xbox předstírá že umí ale bez tereda je taky KO, bankovní aplikace blbnou a příčinu proč jsem nikdy nezjistil, formálně bylo vše nastaveno správně).

Zatím nejlepší co kdy bylo v rámci IPv6 vymyšleno je dualstack. Kombinace statické /56 + veřejné IPv4, absolutně skvělé a funguje naprosto vše.

Do doby než se IPv6 zjednoduší natolik že zapojím a funguju, na jeden klik nastavím, atd. to není pro BFU vůbec žádoucí. Řešení na straně ISP je však již rozumné ale musí být plně kompatibilní, ne současný polofunkční chaos.

Za mne IPv6 fandím (i elektroautům) ale ne tak abych slepě přehlížel jejich problémy.

Ahoje,

stále pri ipv6 rozmýšľam, či sa firma nestane vazalom ISP. Ako je to potom pri prechode k inému ISP, firma dostane nové rozsahy a tie použiju, ale čo keď sa jedná o väčšie 1 000-ky zariadeni v IT/OT sieti, prechod je dosť náročny. Pri ipv4 prechode, sa zmenia verejne IP a záznamy verejného DNS, lokálne ip adresy ostanú rovnaké a pri prístupe do internetu sa skryjú za novú ip cez SNAT. Robil niekto z Vás už takúto migráciu a vedel by upresniť informácie?

Ďakujem

Adresy v lokální síti se skládají z adresy sítě a adresy zařízení. Takže při změně sítě se jenom začne oznamovat nový prefix sítě a tím se adresy změní. Pak už jen změníte adresy v DNS a máte vše vyřešeno.

To je dosť pracné pri tisíckach zariadení. V ipv4 na dhcp a dns serveru, je možné aspoň vo Win AD nastaviť dynamicku aktualizáciu mien a adries dns z dhcp. Neviem či sa to dá použiť aj pri ipv6 keď tam je dhcpv6 server, ale bez neho asi to zmeniť len ako píšete.

To je dosť pracné pri tisíckach zariadení.
Vždyť se to stane samo, v případě IPv6 adres. V případě DNS – pokud nebudete používat lokální nebo místní adresy a pokud na to nebudete mít nějaký systém, kde jen změníte prefix – i když to budete udržovat v textovém zónovém souboru, akorát vyhledáte a nahradíte starý prefix nový prefixem.

To jakože adresa zařízení bude vždy stejná, nezávisle na síti? Takže by bylo možné sledovat zařízení napříč celým světem? Toho by si určitě někdo všiml a nějak to vylepšil.