Vlákno názorů k článku Omezování IPv6 tunelovacích technologií od petr_p - CZ.NIC likviduje tunely dlouhodobě. Například odmítá 6to4 adresy...
-
petr_p (neregistrovaný)
CZ.NIC likviduje tunely dlouhodobě. Například odmítá 6to4 adresy dávat do AAAA záznamů s výmluvou na doporučení ICANN, že prý tunely jsou nespolehlivé. Tato diskriminace adres, je poněkud kontraproduktivní. Pokud tam někdo takovou adresu dává, tak proto, že jinou nemá.
Hurricane Electric taky není žádná výhra. Centralizovaná služba, která blokuje TCP/25 a TCP/6667.
-
Filip JirsákStříbrný podporovatelNapříklad odmítá 6to4 adresy dávat do AAAA záznamů
Můžete být konkrétnější, kde to odmítá? Respektive kde přes CZ.NIC dáváte AAAA záznamy? -
petr_p (neregistrovaný)
Glue záznam pro NS. Technicky normální AAAA v zóně cz. CZ.NIC odmítá takové adresy přidat s odkazem na Prohibited networks.
-
DannyStříbrný podporovatelV tom pripade si ale stezujte u IANA, ktera tyto ruzne "specialni" adresy prideluje a tedy definuje zpusob jejich pouziti.
-
Ondřej CaletkaZlatý podporovatelTo je trochu překvapivé, zvlášť když jinak CZ.NIC žádné technické testy povinně nedělá, umožňuje klidně nadelegovat doménu jen na jediný nameserver.
-
Filip JirsákStříbrný podporovatel
AAAA záznam říká, že cíl je běžně dostupný přes IPv6. Tunely nejsou běžné řešení, je to náhražka pro případ, kdy někdo nutně potřebuje IPv6 ale nemůže ho získat nativně. To ale pro AAAA záznam nemůže nastat – pokud někdo nemá IPv6, AAAA záznam prostě neuvede a tím je problém vyřešen.
-
SB (neregistrovaný)
Tohle pro mě není argumentem. Tunely jsou běžným řešením, tuneluje se kdeco všudemožně, tunel je z podstaty transparentní. Úkolem registrátora není posuzovat, zda je ten tunel dost dobrý, případně zda tam vůbec nějaký tunel je. Kdyby to nemělo IP z daného rozsahu, ani by nevěděl, že se o tunel jedná.
-
Filip JirsákStříbrný podporovatel
Ale ty tunely mají záměrně adresu z daného rozsahu, aby všichni věděli, že se jedná o tunel, a pokud je to možné, vyhnuli se mu.
-
Filip JirsákStříbrný podporovatel
Ad 1) Otočil jste tvrzení. Netvrdil jsem, že každý tunel musí mít zvláštní rozsah, ale že některé rozsahy záměrně označují tunel.
Ad 2) Situace, kdy připojení mimo tunel neexistuje, asi neodpovídá tvrzení „pokud je to [vyhnutí se tunelu] možné“, nemyslíte?
-
Filip JirsákStříbrný podporovatel
Ad 1) Nenapsal. A plyne to z těch tezí jedině tehdy, když si pletete implikaci s ekvivalencí.
Ad 2) Doménový server lze provozovat i bez glue záznamů. Většina registrátorů umožňuje provozovat DNS zónu na svých serverech.
-
Ad 1) Nenapsal. A plyne to z těch tezí jedině tehdy, když si pletete implikaci s ekvivalencí.
Ad 2) Doménový server lze provozovat i bez glue záznamů. Většina registrátorů umožňuje provozovat DNS zónu na svých serverech.
Pletete striktní řeč výrazové logiky do běžné konverzace. Když dítěti řeknu: "jestli neuděláš domácí úkol zavčas, nebudeme se dívat na televizi", je to sice vyrazově implikace, ale ve skutečnosti se jedná o ekvivalenci. Kdybych dítěti řekl: "budeme se dívat na televizi právě tehdy, pokud úkol uděláš zavčas", patrně po čase poškodím jeho jazykový vývoj.
Takové legrácky jsme dělali tuším v osmé tříde základní školy, kdy nám výrazovou logiku přiblížili. Mysleli jsme si, jak jsme chytří a jak tím inteligentně napalujeme spolužáky a někdy i učitele. Na podobmé slovíčkaření v diskusi dospělých lidí není prostor. Jestli se jedná o implikaci nebo ekvivalenci poznáte z kontextu a patří to mezi jazykové a společenské dovednosti.
Ano, doménu lze provozovat i bez glue záznamů a asi to lze i doporučit. Podstatou sdělení pisatele bylo, že v dané situaci uživatel chtěl mít doménu na IPv6 zavedenou patrně stejně, jako ji má na IPv4. Tedy chtěl doplnit reference na IPv6 DNS servery, které měl pouze na tunelovaných IP a to mu nebylo umožněno. Takže stál před odázkou, jestli svoji zavedenou infrastrukturu překope od základu - přesně jak píšete, převede DNS servery jinam, nebo se IPv6 vzdá.
Dovedu si představit, že převést DNS jinam je na tolik komplikované, že se na IPv6 raději vyprdnete. Pokud máte do DNS zapnuty nějaké dynamické aktualizace, ověřování ACME protokolem apod., je opravdu velká radost to přesouvat jinam jen kvůli tomu, že někdo druhý určil, že se mu Vaše IPv6 adresa nelíbí.
Neznám důvody, ale klonil bych se, aby toto byla odpovědnost toho, kdo doménu drží. Zrovna tuto operaci nebude dělat žádný laik, takže kdyby DNS na tunelované IPv6 adrese fungovalo špatně, věřím, že by si držitel sám a rychle zjednal nápravu.
-
Filip JirsákStříbrný podporovatel
Ani ten váš výrok o televizi ale neznamená, že když dítě udělá domácí úkol včas,bude se povinně dívat na televizi, i kdyby chtělo dělat něco jiného. Když jste tomu mému výroku nerozuměl, měl jste se zeptat, a ne mi vkládat do úst něco, co jsem netvrdil.
Není mi jasné, k čemu by DNS server na IPv6 adrese tunelované skrze IPv4 byl dobrý. Vždyť ten server už je dostupný přes tu IPv4 adresu, k čemu je dobré přidávat ještě druhý méně spolehlivý přístup k té samé IPv4 adrese? Připadá mi to stejné, jako mít třeba pro poštovní server jeden MX záznam s jedním doménovým jménem, a druhý MX záznam s nižší prioritou s jiným doménovým jménem ze stejné domény vedoucím na stejnou IP adresu.
-
Není mi jasné, k čemu by DNS server na IPv6 adrese tunelované skrze IPv4 byl dobrý. Vždyť ten server už je dostupný přes tu IPv4 adresu, k čemu je dobré přidávat ještě druhý méně spolehlivý přístup k té samé IPv4 adrese? Připadá mi to stejné, jako mít třeba pro poštovní server jeden MX záznam s jedním doménovým jménem, a druhý MX záznam s nižší prioritou s jiným doménovým jménem ze stejné domény vedoucím na stejnou IP adresu.
To mi vadí na rozhodování "moudrých". Neumí si představit, že mohou existovat v praxi situace, které se vymykají jejich doktríně.
Důvodem může být např. to, že ona firma se připravuje na IPv6 a na dočasnou dobu toto zvolila jako kompromisní řešení. Až bude mít k dispozici IPv6 od ISP, přejde hladce a připravena. Druhým důvodem může být prostě chuť experimentovat nebo podpořit rozvoj IPv6.
Věřím, že důvodů může být i víc. Bohužel, zde někdo presumoval, že ten druhý je pitomec a snaží se ho proti jeho vůli chránit. Já nezastávám ani to si myslet, že druhý je pitomec, ani to, že by měl být někdo chráněný proti své vůli (pokud nejde o zdraví a život, lidskou důstojnost apod.). Co se může stát špatného, když bude tunel nespolehlivý? Jedině to, že si ten onen člověk sám ublíží, sobě, svým zaměstnancům, svým zákazníkům.
-
Filip JirsákStříbrný podporovatel
Jasně, firma se poctivě připravuje na přechod na IPv6, a má jeden jediný DNS server hostovaný přímo ve firmě a potřebuje glue záznam.
Jediný, kdo tu předpokládá, že jsou ostatní pitomci, jste vy. IANA má technické požadavky na autoritativní servery, CZ.NIC to u glue záznamů kontroluje, ale všechno jsou to pitomci, protože vy byste to dělal jinak.
-
SB (neregistrovaný)
„Není mi jasné, k čemu by DNS server na IPv6 adrese tunelované skrze IPv4 byl dobrý. Vždyť ten server už je dostupný přes tu IPv4 adresu, k čemu je dobré přidávat ještě druhý méně spolehlivý přístup k té samé IPv4 adrese?“
Pro klienty, co mají pouze IPv6, což je (než přiletí další blbá otázka) do budoucna požadovaným stavem, který tu celou dobu řešíme. -
Filip JirsákStříbrný podporovatel
Nemyslím si, že by požadovaným stavem bylo používat IPv6 skrze IPv4 tunely. Dnes si nikdo nedovolí dát někomu jen IPv6 a žádný přístup do IPv4, takže ten příklad je velmi velmi teoretický.
-
j (neregistrovaný)
Kecy vohovne, jestli je nekde tunel nebo neni je z pohledu dostupnosti adresy uplne jedno.
Jak poznes jestli sou IPcka od HE tunelovany? Poznas kulovy ... protoze klidne muzu mit svoje bgp a ty stejny IPcka si protlacit i nativne. Jo, muzes zkoumat routy, a stejne z toho nepoznas, jestli je nebo neni nekde cestou nejakej dalsi tunel.
Navic spravci tld je do toho desetinasobny hovno ... kdyz to nebude fungovat, je to problem drzitele domeny.
ČLÁNKY DO MAILU