Nespěchal bych s předěláváním českých(=malých) sítí na ipv6, ono stačí když to udělá někdo jiný(někdo velký,třeba jistá americká univerzita) a tím pro nás uvolní spoustu nových IPv4 adres, se kterýma vydržíme i víc jak 10let. Mezi tím se malé sítě můžou postupně aklimatizovat a plynule přecházet na IPv6.
Můj osobní názor, že již brzy se uvolní tolik IPv4 adres od organizací co přešly na IPv6, že nebudeme vědět, co s nimi.
Já tedy obecně nemám rád termín přechod (nebo předělávání) z IPv4 na IPv6. V současnosti jde spíš o doplnění podpory IPv6 a zachování provozu IPv4. Pokud nejde o nějakou jednoúčelovou síť, tak je na hodně dlouho IPv6-only řešení utopie.
Takže mi vychází, že i v sítích 100% IPv6 ready bude třeba řešit přístup do IPv4 světa, protože mnoho zajímavých zdrojů jen tak přístupných po IPv6 nebude. Takže přístup do v4 lze udělat pomocí dual-stack a IPv4 NAT (jako se děje už dávno v sítích, které nemají „nahrabáno“) nebo něčeho jako NAT64.
Nevidím tedy důvod, aby držitelé obrovských IP rozsahů tyto dobrovolně vraceli, třebaže budou mít 100% implementované IPv6.
Můj celkový názor je, že zavádění IPv6 je rozhodně žádoucí, pro určitou skupinu uživatelů a použití je to zásadní výhoda. Ale současná hysterie vůbec není na místě. Pro značnou část ISP už IPv4 adresy de-facto došly před mnoha lety, a ke spokojenosti 90% zákazníků nasadili NAT. Pro takovou síť se teď, za rok, za dva … nic nemění. Pokud IPv6 nezavedli, tak to začnou řešit až to bude reálně třeba (zákazníci to budou chtít), ale nebude to mít přímou souvislost s tím, že došly (nebo za rok dojdou) IANA rozsahy. Pro takováho ISP už IP adresy reálně došly třeba před 3 roky.
Dále naděje vkládané do nových služeb na IPv6 (mobilita, implicitně dostupná end-to-end konektivita) mi někdy přijdou přehnané vzhledem k realitě na trhu „komoditnícho/domácího“ připojení. Nakonec podle mě dojde i na IPv6 NAT, protože pragmatická řešení často vítězí.
Ta univerzita IPv4 adresy neuvolní – a to ještě velmi dlouho, protože zdaleka ne všechny služby jsou na IPv6. Vždyť i ten root.cz (a lupa.cz) je na IPv6 jen na explicitní přání, ipv6.root.cz – www.root.cz nemá AAAA záznam. Ale ani třeba Google není na IPv6 pro každého.
Nicméně autorova představa, že všichni domácí uživatelé pojedou z neveřejných adres (přes NAT) je velmi nerozumná:
1) jakýkoliv magor, který dostane IP adresu na blacklist, zablokuje všechny nešťastníky, kteří s ním sdílejí NAT
2) jakákoliv stížnost na porušení autorských práv nebo spamování v důsledku viru je identifikována IP adresou, se použitím NATu:
a) musí ISP dohledávat, kdo to spáchal pomocí logů NATu (opravdu bude logovat každé spojení?)
b) pokud to neudělá, bude mít dřív nebo později potíže
3) zákazník se velmi nesnadno dostane na svůj domácí počítač z venku
Za sebe můžu říct: kdyby mi tohle ISP udělal, okamžitě hledám náhradu, která má alespoň IPv6 (IPv4 pak může být klidně neveřejné). Jenže autor chce zavést NAT proto, aby nemusel spustit podporu IPv6 – takže, sorry.
1) jakýkoliv magor, který dostane IP adresu na blacklist, zablokuje všechny nešťastníky, kteří s ním sdílejí NAT
3) zákazník se velmi nesnadno dostane na svůj domácí počítač z venku
Proto si každý může zažádat o veřejnou zdarma, dělá to 2% uživatelů.
2) jakákoliv stížnost na porušení autorských práv nebo spamování v důsledku viru je identifikována IP adresou, se použitím NATu:
a) musí ISP dohledávat, kdo to spáchal pomocí logů NATu (opravdu bude logovat každé spojení?)
b) pokud to neudělá, bude mít dřív nebo později potíže
Děláme to, umíme s tím žít.
Za sebe můžu říct: kdyby mi tohle ISP udělal, okamžitě hledám náhradu, která má alespoň IPv6 (IPv4 pak může být klidně neveřejné). Jenže autor chce zavést NAT proto, aby nemusel spustit podporu IPv6 – takže, sorry.
Autor IPv6 spustit chce a v jihočeském Kraji je kromě Cesnetu spustí možná první, na páteřních prvcích jej máme, jenom nás to prostě netrápí. Kdybyste si u nás požádal, dostanete pub IPv4 a experimentál IPv6.
>> Děláme to, umíme s tím žít.
Opravdu logujete každé spojení podle požadavků legislativy a ukládáte to půl roku (nebo kolik je předepsáno)? Můžete prozradit, kolik je to asi dat, a jestli s tím byly nějaké zásadní komplikace?
Ale chápu, že možná to jsou interní informace a není vhodné je zcela po pravdě veřejně roztrubovat.
Stejně nechápu, kdo má povinnost to logování dělat. Když si jako obyčejná SRO společnost nakoupím konektivitu třeba od Sloane Park, tak to logování by asi měli dělat oni. A když začnu část té konetivity prodávat někomu jinnému, rázem bych měl začít dělat a archivovat logy?
Jinak jsem zaslechl, že dost ISP na to kašle, a kdyby přišel soudní příkaz, tak „To víte, zrovna nám shořely disky, to se může stát. Ale jinak samozřejmě logujeme.“
Pokud se sam neprihlasite na CTU jako poskytovatel !verejne! telco sluzby, tak se na vas zakon nevztahuje. A kaslou na to vsichni rozumni ISP, protoze ten zakon rika jen to, ze logovat a uchovavat musi ten, kdo to uz delal ⇒ kdo to nedelal nic logovat nemusi (uz proto, ze ten kdo loguje, ma zaroven narok na financni kompenzaci).
BTW: 4GB/den, to musi byt spis pidi ISP.
Logování TCP paketů se provádí pouze jen z jejich hlaviček, NIKOLIV veškeré komunikace – více viz NETFLOW monitorování.
ISP, kde pomaham, nic neloguje.
Cca 2× za rok prijde policie s adresou naseho NATu nebo skutecne pridelenou verejnou IP. Odpoved je vzdy stejna:
1. Kdyz prijdou s IP adresou nekomu patrici, my ho praskat nebudeme. Proste jedna se o DHCP – dynamicky pridelenou adresu, museli byste nam rici, kdy se to presne stalo.
2. Prominte, je to IP nasi NAT brany a za ni jsou stovky lidi, provoz v tomto velkem objemu nemuzeme logovat.
Kupodivu nas nezavreli. Navic obvykle chodi s vetsim spozdenim nez pul roku po nahlaseni a to logy stejne byt nemuseji.
Přesně.
„Velké firmy typu O2, UPS mohou začít zákazníky „strkat“ za NATy – stejně to v 90 % případů již dělají modemy a další domácí plastové krabičky. Pokud tedy hypoteticky O2 umístí své zákazníky za asynchronní NAT 1:2, zákazník ADSL prakticky nic nepozná a firma zdvojnásobí dobu dožití IPV4 od doby, co zavedla ADSL. To je 10 let?“
- Aneb autor spadnul z jahody naznak.
Doplnění k předchozímu: teď jsem článek dočetl, a naprosto s obsahem souhlasím. Přesně popsaná realita z pohledu menších ISP (resp. všech kromě těch pár největších).
Problém na straně domácích zákazníků ISP nevidím jako aktuální. Mohl by být problém s nedostatkem IP adres pro servery v datacentrech, ale tam je situace v současnosti podle mě celkem saturovaná, tj. nelze čekat spotřebu 2× tolik IP každý rok. Takže klidně těch 10 let se dá také vyžít.
No a v té síti, kterou autor popisuje, když bude někdo ojediněle chtít IPv6, tak je nejjednodušší mu dát Mikrotik krabičku (nebo cokoliv podobného) za pár set korun, která bude skrze síť ISP dělat nějaký tunel IPv6-over-IPv4 a na bráně ISP to bude připojeno na naticní IPv6 konektivitu. V podstatě to může být na bázi 6to4 s tím, že gateway bude přímo v síti ISP.
zajimave, ja prave vidim problem u domacich pocitacu. pristup na server v ipv4 se da udelat nakym tim natem. treba ty opuz mechanizmy na prochazeni skrz nat by usetrilo programatorum spousty prace (prenos souboru v jabberu by fungovalo hned, usetril bych cas s radama jak nainstalovat treba to hamachi, mohl bych z mobilu ovladat televizi bez zapinani wifi …).
Fungoval by ten přenos soborů přes jabber ve firemní síti sice s veřejnou IPv4 nebo dokonce s IPv6, ale s firewallem, co blokuje všechno příchozí a odchozí povoluje jen porty 80 a 443? To samé ve škole na něčem jako Eduroam? Buďte si jist, že takových sítí je dost, a důvodem pro firewall není nedostatek veřejných IP a NAT, ale bezpečnostní politika.
No, pokud tam nebudou ty mechanismy, co jsou dnes, tak to nepojede. Nezpochybňuji, že IPv6 nebude přínos. Ale rozhodně nepůjde počítat s tím, že „přímý přenos souboru v jabberu/…“ bude fungovat vždy, když bude k dispozici internet. „internet“ v BFU slova smyslu, tj. „jde otevřít Seznam“. Skype v takovém případě vždy funguje. Dá se říct, že bohu žel funguje.
„Fungoval by ten přenos soborů přes jabber ve firemní síti sice s veřejnou IPv4 nebo dokonce s IPv6, ale s firewallem, co blokuje všechno příchozí a odchozí povoluje jen porty 80 a 443?“
S IPv6 by se dalo přes firewall snadněji prorazit do Internetu, protože si můžete přidělit veřejnou IP pro oba konce tunelu a nemusíte se mrcasit s NATováním a směrováním do domácí sítě (jak už jsem psal, nedej bože, pokud domácí i firemní síť používají privátní IP ze stejného rozsahu).
„Buďte si jist, že takových sítí je dost, a důvodem pro firewall není nedostatek veřejných IP a NAT, ale bezpečnostní politika.“
Pozn.: kdybych se sám nezabýval obcházením různých firewallů a jiných zabezpečovacích zařízení, tak bych napsal, že nemáte co obcházet bezpečnostní politiku a vyhazuje/odpojuje se za to ;-).
Pozn.: kdybych se sám nezabýval obcházením různých firewallů a jiných zabezpečovacích zařízení, tak bych napsal, že nemáte co obcházet bezpečnostní politiku a vyhazuje/odpojuje se za to ;-).
No tak v tom případě asi víte, že jsou sítě, kde obcházení té „bezpečnostní politiky“ naprosto nikomu nevadí, ale zároveň není šance někoho přesvědčit, ať tu politiku přizpůsobí podle mojich představ.
Třeba takový Eduroam nebo sítě na VŠ kolejích je typický příklad. Tam jde o to nepovolit např. aktivní torrent. Protože oficiálně jde o čistě akadamickou síť, která by se měla používat k výuce/vzdělávání/výzkumu, takže různé reporty od IFPI a podobných se berou docela vážně. Ale když si někdo udělá openvpn/ssh tunel nebo pustí Skype, tak to vůbec nikomu a ničemu nevadí.
No, jestli nemáte v síti nativní IPv6, tak všechny Visty a Windows7 mají snahu automaticky aktivovat Terredo tunely a veškerou bezpečnostní politiku sítě vám obejdou (s nevalným výkonem). To dnes ve firemních sítích začíná být na pováženou. Ale IPv6 musíte mít zprovozněnou reálně, jinak lidem už některé věci nebudou rozumně fungovat (AAAA záznam má přednost!). Za to ale uživatele nemůžete odpojovat, to je chyba správce sítě, že neposkytne korektní IPv6 konektivitu včetně pravidel firewallu.
O konci IPv4 se mluví 10 let – a teď, když je opravdu na dohled, bude někdo tvrdit, že ještě dalších 10–15 let? Problém už nastal, je na čase ho řešit a ne čekat dalších X let, až z toho bude malér. Ano, pro ISP je ještě čas delší, než ten rok – ale to znamená, že je potřeba začít něco dělat a ne čekat. Zákazníci zatím IPv6 nevyžadují (nebo si to řeší zatím nějakým tunelem). Až to budou chtít, bude už pozdě začínat.
Vazne? A proc? Predstavte si, jak treba spravcujete sit, nastavite si firewall a najednou vam tam nekdo zanese stroj s Teredem, ktery ma verejnou ip, zcela mimo vasi kontrolu, chranenou jenom firewallem Widli nebo treba ZoneAlarmem. Je to, jako schodit za valky parasutraky nepriteli do tyla. Treba spravci siti s vysokym stupnem zabezpeceni nebo spis siti, ktere by takove zabezpeceni mit mely, jako armady, vyzvedne sluzby, banky… z toho musi byt na vetvi.
V pouziti IPv6 u koncovych zakazniku, tak jak popisujete, vidim obrovske naroky na zabezpeceni, firewally. Neverim tomu, ze se z kazdeho stane guru na nastaveni krabicky co se na ni prasi u televize a vypada nevzhledne sama o sobe. Lze to resit tim, ze se z venku vse zakaze, ale pak se asi nepripojite k televizi mobilem, ze? Pokud to povolite, tak hrozi riziko, ze se podivam do Vasi lednice a oznacim k dezintegraci vcera koupeny jogurt s mesicni dobou trvanlivosti. A to nastve.
Existoval tusim botnet, ktery na nich jel. Samozrejme, napadal je pres defaultni heslo, ktere spousta lidi nezmeni. Jsou taci, kteri ani netusi, ze v te krabicce je WiFi a ze neni zabezpeceno, natoz pak detail, jako je heslo. A osobne jsem se pokousel zmenit heslo na nejakem pitomem ADSL modemu a at jsem hledal, jak jsem hledal, nenasel jsem, kde by se to dalo udelat. Skoncil jsem tim, ze jsem alespon zakazal pristup z Internetu nebo co jsem s tim provedl. Cili tech defaultnich ci prazdnych hesel po svete je vice, nez by se zdalo.
jj,shodan pomuze ;]
http://www.shodanhq.com/?q=%22default%20password%22
Problem IPv4 adres uz davno nastal, 99% webu napr nemuze fungovat na https, protoze na to potrebuje web svoji vlastni IP, jenze drtiva vetsina webu bezi na sdilene IP adrese. Kdyby kazdy hosting mel pridelovat k hostovanemu webu i IPcko, tak jich potrebuje 1000× vic.
A IPv6 tunel = 1/2 funcionality v trapu. Chtelo by to si trochu nacist co vsechno IPv6 umi, pokud je nativni.
Http ma virtualhosty, klient posle hlavicku s nazvem webu kterej chce a server mu vrati spravnou stranku. Proto neni problem mit na jedny IP adrese libovolny mnozstvi ruznych webu.
Ale u https se prvne domlouva SSL, ktery nic takovyho nema(*), takze na jedny IP muze byt pouze jeden certifikat (pokud pouzijeme pouze standardni https port, coz vetsinou musime, protoze uzivatel zadny nestandardni manualne zadavat nebude). Virtualhosty to sice taky zvlada, ale jen omezene. Bud pomoci wildcard certifikatu pro libovolnou subdomenu, nebo je mozny mit i jeden spolecnej certifikat pro vic domen. Ale pro nejakej masivni webhosting je to nepouzitelny, protoze by se musel certifikat menit s kazdou novou pridanou nebo odebranou domenou.
(*) Nove existuje SNI, ktery to resi, ale s podporou to zatim neni moc zhavy.
Čili nejde o nepodporu HTTPS, ale o podporu vlastních certifikátů. Otázkou je, jak je to žhavé. Pro hosting s možností https je mi to celkem jedno, chci https, ať má hosting validní certifikát. Pokud mám nějakou velkou instituci, banku, portál, tak se mašině s vlastní IP nevyhnu, ale kolik takových bude?
Kdyz uz budu na neco chtit https, tak bych to rad mel na svy domene s vlastnim certifikatem. Po technicky strance asi neni problem nejaky sdileny ssl, kde budu mit k http://mojedomena.tld k dispozici treba https://mojedomena.hosting.tld (s certifikatem pro *.hosting.tld). Ale co uzivatel, bude se citit bezpecne, kdyz bude sverovat svoje udaje z jeho pohledu uplne cizimu serveru? Ono mu to v realu bude nejspis uplne ukradeny, ale predpokladejme nejakyho uvedomelyho. :) Kdyz si takhle zvykne, ze https je bezne na uplne jiny domene, tak az ho to jednou presmeruje na https://mojedomena.zlej-hacker.tld, tak mu ani nedojde, ze je neco blbe.
Ale jinak asi souhlas, vetsina webu se bez https obejde uplne, takze zas tak akutni problem to neni.
Zase takovy problem to neni, lze to resit nekolika zpusoby, napriklad pres Rewrite, proxypass nebo primo v apachi je implementovano SNI http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
To bych tak netvrdil, internet explorer je zdarma a nova verze je dostupna v aktualizicich od microsoftu take zdarma, ale pravda, to by lidi nesmeli mit kradeny OS kde nemuzou aktulizovat protoze by se jim zablokoval, ale to neni nase chyba, ale jejich, ve Windows 7 a Windows vista je novejsi verze s podporou SNI dokonce v zakladu, jedinej problem je s Windows XP, kde v ramci aktualizace je take nove verze, opravdu to, ze lidi pouzivaji kradeny software a neinstaluji si aktualizace neni nas problem, ale jejich a rozhodne tim padem nemaji pravdu, ze chyba neni u nich.
Tak na kradený software bych to převážně nesváděl. Ta kradená windows totiž oproti OEM jdou bez jakékoliv aktivace vč. všech aktualizací a s platným WGA ověřením. Pokud máte na Win XP Volume License Key, tak se aktivace nekoná. Jen je problém, že pár těch klíčů už MS zablokoval, protože se extrémně rozšířily.
Pokud provozujete hosting nebo hostované web aplikace, a máte statistiky že netriviální množství klientů používá IE6, nemůžete jim diktovat, že mají aktializovat.
Je pravda, že se situace už zlepšuje, ale ti co mají IE6 z nějakého důvodu nemohou použít nic jiného. Třeba to tak mají v práci, kde to neovlivní. A kradený SW v tom není, IE8 lze nainstalovat i plně offline bez jakéhokoliv ověřování legálnosti SW.
Nemůžu si pomoct, ale zdá se mi, že autor článku nepochopil princip Internetu (a z tohoto nepochopení pak vznikly ~2/3 článku, od „20 let“ do konce).
Takže. základní myšlenkou Internetu odjakživa bylo, že každý může komunikovat s každým. A není pravda, že to „běžní“ uživatelé nepotřebují. Co mě tak v jednu v noci třeba napadá:
* Franta s Pepou bydlí přes ulici a chtěli by si zapařit Counter Strike. V normálním Internetu by Franta zadal pepo:va::ad:re:sa a zmáčkl entr. V NATové zprzněnině si oba stáhnou nějaké Hamachi (které mimochodem způsobilo nepřidělitelnost IPv4 prefixů 1/8 a 5/8), nainstalují, nakonfigurují a jejich komunikace probíhá přes cizí server 7000 km daleko (a kdo ví, jestli si za to jeho vlastník nechce nechat zaplatit).
* Anča by chtěla Hugovi poslat fakt kůl fotky z oslavy, ale má 15MPx kompakt, takže buď pošle padesát mailů v každém dvě fotky, nebo to nahraje na nějakou webovou úschovnu. Ta musí být opět z něčeho placena, takže si buď zaplatí premium účet, nebo se popere s fakt hustou captchou a shlédne dvouminutovou flashovou reklamu. V normálním Internetu by určitě existovala aplikace, která na tři kliknutí spustí na počítači HTTP server s autentizací. Teď taková neexistuje (resp. ne pro okna, v KDE 3 to bylo), protože by ji jednoduše nikdo nemohl používat. Jo a kdoví jestli nějaké jednoduché sdílení neumí i okna defaultně, myslím si, že kdyby fungoval Internet, tak by to MS do W7 určitě implementoval.
* Radši ani nechtějte vědět, jak si Tomáš s Bárou posílají soubory přes IM.
* Pan Novák si pořídil síťový pevný disk (stále zapnutá krabička) a chtěl by se ke svým dokumentům dostat z práce. Bohužel si je musí vždy předem připravit a poslat mailem, když v práci zjistí, že by potřeboval ještě nějaký další dokument, zavolá manželce domů a ta mu ho pošle (pokud zrovna není na nákupu).
* Pan Dvořák má hi-tech kotel a zahradní zavlažování s ovládáním přes webové rozhraní. Musí platit jeho výrobci 100 Kč měsíčně a ten mu za to na svém serveru otevře port. Kotel musí pořád udržovat TCP spojení a posílat keep-alive pakety.
* Vojtovi nefunguje seedování na torrentech.
* Danovi nemůže na dálku pomoct technik, protože se k němu prostě nemůže připojit.
* Vašek si zaplatí TeamSpeak, aby se dostal na svůj počítač připojení k „internetu“!
Takhle absurdní řešení zmíněných situací by nikdy nevzniklo, kdyby sakra fungoval Internet! Nebyl by potřeba žádnej nestabilní Skype se supernody, žádné uzavřené VPN s malwarem, žádné problémy s propojováním dvou LAN, které zrovna náhodou obě používají adresy z 192.168.0.0/24. To, že se „protokoly zlepšují“ (citace z článku), je ve skutečnosti látání záplaty na záplatu na díru způsobenou tím, že Internet ve skutečnosti nefunguje, ale mnoha BFU to nejde říct, protože ten Seznam se přece otevírá, tak proč by nemělo fungovat to, to, to a ono! A tohle „zlepšování protokolů“ stojí neuvěřitelné peníze, dá neuvěřitelně mnoho práce a nestabilní výsledek je tu vlastně jenom kvůli tomu, že uživatelé na sebe nevidí! Proti tomuto neuvěřitelnému martyriu je nakonec přechod na IPv6 lahůdka.
Omlouvám se za dlouhý příspěvek.
Děkuji za dlouhý příspěvek, odpovím kratším: z technického pohledu máte pravdu, to jsou všechno pravdivé věci (IPv6 jako řešení velice fandím – než článek vyšel, už jsme ho komplet rozběhali na páteři). Když se připojí nějaký telco specialista, vždy žádá zdarma veřejnou (NAT 1:1), a pokud ví co chce, kolegové mu naroutují i /30.
Ale jak píšu: ostatních 98% klientů nějaké problémy s komunikací a veřejnou vůbec neřeší, ti co to řeší berou obezličky co jste napsal jako běžné (jako berou lidi v Africe AIDS, taky mají řešení ale pro afričany zatím nepřijatelné)
internet ve skutečnosti nefunguje, ale mnoha BFU to nejde říct, protože ten Seznam se přece otevírá
Bohužel co je „internet“ určují masy, ne já nebo vy. Doba, kdy jsme si všichni na netu tykali, protože jsme byli všichni od fochu je asi 10 let pryč.
mam dejme tomu prideleny rozsah adresu 2000:1111:2222::/48 Sit mame routovanou. na danou mensi oblast mam vyhrazeno 1C privatnich adres, dejme tomu 172.16.1.0/24. na AP mam tedy 172.16.1.1, zakaznik ma 172.16.1.2 atd. Na AP (nebo routeru) tedy je 2000:1111:2222:101::1/64, zakaznik ma 2001:1111:2222:101::2/64, naroutovany rozsah ma 2000:1111:2222:102::/64. Proste u IPv6 7 byte adresy urcuje adresu site AP (routeru), 8 byte je potom rozsah ktery se na tom AP (routeru) pouziva. Nevim jestli je to dostatecne jasne, takze pridam i kus php kodu, kterym se to pocita.
$prefix = "2000:1234:5678:"; $bajt = explode('.',$_POST['ipv4']); $hexbajt1 = dechex($bajt[2]); $hexbajt2 = dechex($bajt[3]); $ipv6 = $prefix.$hexbajt1."01::".$hexbajt2."/64"; if (strlen($hexbajt2) == 1 and $hexbajt1 != "") $hexbajt2 = "0".$hexbajt2; $ipv6prefix = $prefix.$hexbajt1.$hexbajt2."::/64"; echo "IPv4 adresa: ".$_POST['ipv4']."; echo "IPv6 adresa: ".$ipv6."; echo "IPv6 prefix: ".$ipv6prefix.";
My mame od Sloane pridelenych /48. My nejsme LIR. LIRem se stat v nejblizsi dobe nehodlame, nebot zu ted zde vladne kruty konkurencni boj a jakekoli dlasi naklady se pocitaji, takze rocni poplatky za IP adresy by byli znatelnou polozkou v jiz takhle napjatem rozpoctu.
Pokud men pamet neklame, v tom RFC ktere zminujete se pise, ze /48 se prideluje zakaznikum u nichz je predpoklad, ze potrebuji takovyto rozsah, protoze bud sluzby dale preprodavaji, nebo pro ne proste maji nejake jina smysluplne vyuziti. Naopak pro zakazniky, u nichz se nepredpoklada, ze by adresy pridelovali dalsim zakaznikum, (napriklad domacnosti), tak nic nebrani prideleni pouze /64. Pokud by i prezto zakaznik mel eminentni zajem o dalsi rozsah, od toho ma usta, aby si o nej pozadal.
Hmm,
My LIREM jsme, máme pro několik ISP /32, ale toto je názorná ukázka proč jsou tato doporučení postavená na hlavu.
domácnost, která dostane /64 si nevyzkouší více podsítí, aniž by porušovala „normy“. Kdyby tyto RFC neplatily, dokonce i /112 by jim dalo daleko větší možnosti.
Vy jake někdo, kdo není LIR, nemáte šanci Vaě /48 dál předávat tak, byste mohli připojovat zákazníky a dodrželi „doporučení“.
Proč si nemohu zvolit mezi DHCP6 a EUI-64?!?!?! Normy jsou dobré ale proč se nám montují do toh jak stavět síť? To je trochu přesvyhnuté s tou normalizací:)
My to budeme ignorovat, a do deseti let věřím že budou RFC stejně přepsány.
Jestli budete delat vice typu adresnych asignaci podle velikosti klienta, je to ciste vas boj. Jak uz jsem tu 2× psal, pokud bude mit zakaznik neutuchajici potrebu dostat vice nez /64, ma od toho usta a muze si o to pozadat. Nevidim problem v tom aby to nedostal, pokud to bude technicky mozne. Vzhledem k tomu, ze nase spolecnost se zameruje na pripojovani domacnosti a ne firem a podniku, nevidim v tom problem. Jeden /64 bude zakaznikovi domu stacit, protoze ma jeden domaci router a k nemu pripojene treba 4 pociace. Do budoucna tam muze pripojit i dlasi pristroje, nicmene porad nejak nevidim duvod mit doma nekolik oddelenych siti.
Pokud by jsme byli LIR a meli /32, tak bych sice teoreticky mohl kazdemu zakaznikovi poslat /48. O tom zadna. Otazka je, jestli ma smysl aby mel zakaznik pro jednu ctyrclennou rodinu vetsi adresni prostor, nez je cely soucasny IPv4 internet. Pokud by se timto zpusobem pridelovali adresy, za nekolik (desitek?) let se bude resit neco jako IPv32???
Pokud by jsme byli LIR a meli /32, tak bych sice teoreticky mohl kazdemu zakaznikovi poslat /48. O tom zadna. Otazka je, jestli ma smysl aby mel zakaznik pro jednu ctyrclennou rodinu vetsi adresni prostor, nez je cely soucasny IPv4 internet. Pokud by se timto zpusobem pridelovali adresy, za nekolik (desitek?) let se bude resit neco jako IPv32???
Ne, pak konečně padnou ty nesmyslné RFC a každý klient si s /112 odroutuje víc podsízí než sítí než teď s /64 :)
Podle slov v článku bych řekl, že lidé ví, že to můžou chtít, ale spíš nevědí na co by to chtěli … Většina lidí je počítačově negramotná a nepozná, že posílání souborů přes IM nejde kvůli NATu, atd., v čemž si myslím, že je zásadní problém.
Proč by uživatele měli chtít ipv6, když ani neví, co jim to přinese? Osobně jsem se ještě nesetkal s ISP, který by kromě nabídky ipv6 zmiňoval i jeho výhody (což teda uznávám, že v dnešní době jsou zatím nulové …).
On asi myslel, že v dnešní době jsou výhody IPv6 nulové. A to je bohužel celkem pravda, protože těžko hovořit o výhodách, když se na to dostanou jen nějaká 2 % uživatelů. Nejde to využít. Maximálně tak na připojování se z vysoké školy technického zaměření (a to ještě jen některých) domů.
Díváte se na to ze špatné strany. Otázka je, co IPv6 přinese těm 2% uživatelů. Mohou ho využít. Jenže, k čemu? Už jsou tu i IPv6 sítě, ale pořád je to k ničemu. Mám server s IPv6, mám počítač s IPv6, moje krabička (router) kupodivu také umí IPv6 a můj i „serverový“ ISP také poskytují IPv6. A otázka je, k čemu je mi to dobré? Nejsou žádné služby ani SW, které bych bez IPv6 nemohl provozovat. Čili přidaná hodnota nulová. Naštěstí byly nulové i náklady, tedy alespoň pro mně :-)
jj, presne tak, kdyz mrknu na forum do sekce site, tak je to furt dokola „jak to mam udelat abych s kamosem moh zaparit XYZ, jak mu poslat soubor, proc mi nefunguje … jak bejt aktiv …“
Osobne kazdymu jako prvni zpusob reseni nabizim „poridit si internet“ a ne nejake pripojeni k obskurni privatni siti.
Věřte mi, že kdybychom na tom co doporučujete viděli možnost profitu, tak Vaší řeč dáme do Rádia, natiskneme na 60.000 letáků a podobně. Tušíte, že prezentování těchto informací v TV reklamě by vedle „smluv bez závazků od O2 jen za…“ by asi moc šancí ulovit nebo dokonce převzít nějaké klienty nemělo viďte? Kolik těch známých po Vašem doporučení změnilo ISP? ani jeden?
„Když se připojí nějaký telco specialista, vždy žádá zdarma veřejnou (NAT 1:1)“
Ano, já mám taky veřejnou (dokonce několik málo). Jenže já bych chtěl alespoň /28 (ano, skutečně mám doma víc síťových zařízení, plus nějaký ten virtuální stroj na experimenty). A to bohužel není. V IPv6 jsem dostal od tunel brokera (he.net) mávnutím ruky /48.
„Ale jak píšu: ostatních 98% klientů nějaké problémy s komunikací a veřejnou vůbec neřeší, ti co to řeší berou obezličky co jste napsal jako běžné“
A já se ptám: musí to být? Myslím si, že by BFU přijali, kdyby to „prostě fungovalo“ tak, jak by správně mělo. ISP (i vy) argumentují tím, že už mají techniku, která IPv6 neumí (a to hlavně koncová zařízení) a upgrade by tedy byl drahý. Jenže o nutnosti přejít na nový protokol se ví už alespoň deset let a pět let jsou na trhu dostupné dobře použitelné implementace IPv6 (stejně je ve většině těch koncových krabiček nějaký Linux). Takže pokud ISP kupovali techniku v posledních pěti letech a nevyžadovali IPv6, tak je to jen a pouze jejich blbost, a pokud mají na síti sedm let stará zařízení, tak alespoň mají motivaci k upgrade (který se stejně musí občas provést i když se zrovna nepřechází na nové IP).
V článku (a v komentáři níže) je napsáno, že u popsané sítě není problém v koncových „kabičkách“. Problém jsou L3 switche. A u těch není pravda, že před 5 lety byl bohatý výběr z IPv6 ready implementací. ISP budující síť si nemůže dovolit dvakrát takovou investici kvůli tomu, co bude zajímat 2% zákazníků v budoucích 7 letech.
On je problém vybrat takový switch i pokud není požadavek na IPv6 – u takového ISP tam nemůžete dát Cisco, to není konkurenceschopné, protože cena. A pak vybíráte z ostatních možností, kde jeden neumí tohle, jiný zas něco jiného, další má problémy se stabilitou nebo výkonností atd. Takže vybrat takový switch, co by uměl všechno potřebné a nestál moc peněz je docela věda.
Uznávám, že zrovna u takovýchto L3 věcí je to problém. Ale řekl bych, že tito provideři jsou v ČR spíše v menšině; většinu trhu mají kabeloví a ADSL provideři, kteří už třeba i mají IPv6 na páteři rozchozeno (O2), ale dosud dávají zákazníkům krabičky, které IPv6 nezvládají pouze kvůli SW. Pokud se IPv6 rozšíří (snad!), bude se hromadně měnit/flashovat.
Zkrátka problém slepice a vejce.
Rekneme si na rovinu, ze ty levne L3 switche na tu sit proste nepatri ani jako distribucni box. Velci operatori (i FTTH) na to uz davno prisli, proste se udela nejaka pomerne levna L2 infrastruktura, co zakaznik to VLAN (nebo QinQ) nebo PPPoE tunel a to se pak proste svede do nejake vetsi krabice, rikejme ji treba BRAS nebo distribucni router, to je celkem jedno. Ono to tak od urciteho mnozstvi klientu vyjde jednoznacne levneji, navic ty L3 switche po domech maji celkem zasadni nedostatky i jinde nez v chybejici podpore IPv6, napriklad jim chybi uRPF, pokud to umi NAT, pak je stejne omezeny na pocet session atd. atd.
My ale v domech používáme L2 a klienty strkáme do VLAN! L3 switche máme pro celý segment L2, v průměru pro 60 klientů. Bohužel ES4612 (nasazuje se dodnes) IPv6 nemá.
ES4626-SFP má ale stojí 3× tolik (49000) a „žere“ 4× tolik – i příkon je třeba sledovat, při ceně pod 200Kč na 100Mbit přípojku již hraje roli vše.
Vše je o ceně, klient si nenechá vysvětli, že to máme od 500,– protože máme kvalitní materiál, tak to prostě nefunguje, 90% lidí bude volit nabídku za 250,–.
Nedokážu si představit jedinnou, (ani hypotetickou situaci), kdy by FTTH bylo levnějśí než FTTB.
Teď budu asi mluvit škaredě, ale: nemusí to tak být, ale je to pro nás nejjednodušší, zákazník nás do toho netlačí, zavedením nezískáme konkurenční výhodu, naopak energie nám bude chybět jinde (a já jsem především podnikatel). Protože jsem ale i technik, IPv6 určitě zavedeme, domácnostem bude stačit obyčejný switch (pokud vystačí se sw firewallem). Jenže to chce čas a koncepci (viz můj post o L3 switchích).
ale je to pro nás nejjednodušší, zákazník nás do toho netlačí, zavedením nezískáme konkurenční výhodu
Toto je slabina kapitalismu v plné nahotě.
Sice to umíme, můžeme to udělat, bylo by to i výhodnější (jedním slovem pokrok), ale nebudeme z toho mít ani korunu takže fuck off.
Ve vás sice zvítězila technická duše, takže to uděláte, ale kolik je takových, kteří bez koruny nehnou ani prstem…? :-(
Třeba u toho UPC a jiných kabelových společností to zas tak jednoduché není. Zařízení pro zákazníky si nemohou moc vybírat, protože ta jsou omezena podporou výrobce CMTS (neco jako ADSL DSLAM). Není to tak standardizované jako ADSL, kde si můžete modem vybrat celkem libovolně.
Ale co je podstatné. Tyhle modemy se tváří jako L2 bridge, ale často je tam uvnitř velká magie. Jejich důležitá funkce totiž spočívá v omezení, jaké IP adresy klient může použít. Řeší to problém „kradení“ IP adres mezi lidmi, který vy třeba řešíte těmi L3 switchi. Ten modem se dokonce chová tak, že jeho web rozhraní je dostupné na IP adrese (u nás konkrétně) 192.168.100.1 (u každého klienta je to stejná adresa, otevře se mu na ní „jeho“ modem).
Takže nasazení IPv6 by vyžadovalo velký zásah do firmware modemu. A třeba to ani firmwarem řešit nejde, protože to ta platforma prostě nezvládne (málo paměti, stávající funkce implementované v HW). Aby to bylo správně podle IPv6 RFC, měl by ten modem routovat (pokud nechcete separátní router).
U každého ISP se najde problém někde jinde, ale skoro vždy někde je. Vy řešíte L3 switche, kabelovky mají modemy, WiFi ISP mikrotik, který se zlepšuje ale je tam problém s QoS (shaping) v4 a v6 najednou; O2 by to mohli řešit přes změnu firmware modemů, ale to taky není jen tak (pokud už mají vyřešenou páteř).
Také by to ISP mohli řešit spuštěním 6to4 serveru na kraji své sítě (aby to nemuselo jít přes Tramtárii) a klienti by měli IPv6 bez potřeby měnit infrastrukturu. Nebyl by ani zatížený veškerým provozem, protože defaultně se AFAIK preferuje nativní IPv4 před 6to4. Infrastruktura by se mohla měnit v následujících 5 letech, až tyto technologie budou levnější.
„WiFi ISP mikrotik, který se zlepšuje ale je tam problém s QoS (shaping) v4 a v6 najednou“
Analogickou úvahou bych mohl dokázat nefunkčnost IPv4 :-).
Tahle slabina je motorem pokroku a za těch pár desítek tisíc let se ukázala jako velice účinný nástroj přežití. Problém to působí až v moderní (informační) společnosti a to pouze tím, že působí deprivaci u osob, které jsou si vědomé toho, že to tak být nemusí. Zvláště v době „aktivního marketingu“ je tento ultrakonzervativní přístup zdravý. Kdyby se všichni na IPv6 vrhali již před 15 lety, tak dnes možná už máme IPv18 a hned několik internetů, rozdělených podle majetnosti uživatelů.
Osobně bych se tedy této „slabiny kapitalismu“ nezbavoval, třebas se nám po třetí světové bude v jeskyních opět hodit.
Bohužel to, že si veškeré fyzikální děje vybírají řešení nejmenšího odporu je neoddiskutovatelný fakt. Z tohoto plyne, že kapitalismus je matematicky nejefektivnější systém :) (teď jsme se nechal unést).
U společenských záležitostí sjou tam další vlivy (svědomí, férovost, vkus, estetické záležitosti). Tam chceme mít vysoký kredit, to ale neznamená že si můžeme dovolit odtržení od reality.
Ad 1. odstavec: Kromě toho, že mezi fyzikou a společností je snad maximum možných abstrakčních vrstev, je takový „důkaz“ nesmyslný.
V kapitalismu totiž každý vidí jen efektivitu oblasti pod svou kontrolou, pokud tedy vydá rozhodnutí, které jemu prospěje, ale společnost podlomí, vše se mu jeví v pořádku.
Nejmenší odpor je zkrat, ale to je dobré tak možná jako metafora, na fungování společnosti to montovat nelze.
Jak byste vysvětlil cestou nejmenšího odporu fakt, že ve světě se trasa dopravy zboží maximalizuje za účelem navýšení marže dopravců? Myslíte, že lžu? Přemýšlejte: Každý v řetězci je spokojený, zboží získá na exkluzivitě (dražší=lepší), exotičnosti, státy si přijdou na poplatky, měna se nehromadí u fyzických osob… Prostě omezenost rozhledu na vlastní zájmy způsobuje naprosto bizarní důsledky.
Tím Vás nechci navádět k měnění strategie, tu máte podle pravidel hry jistě výbornou. Ale nesnažte se tady nic tvrdit o efektivitě.
Ještě jeden případ: Víte, jak se vozí zboží kamionem? Přejede z české fabriky do německého skladu, přelepí se a jede zpět. Se stejným řidičem! Z nějakého důvodu totiž došlo k jakémusi centrálnějšímu řízení personálu, zatímco trasa zboží zůstala pořád na dvou divizích řetězce. Takže do crossdocku a pak do sámošky. A to je ta lepší varianta, kdy je jeden „majitel“ řetězce. U elektroniky není problém několikrát obletět svět.
Radši už končím.
Nechápu, proč chcete mít televizi/recorder/HTPC přístupné z Internetu (full IP, HTTP ovládání bych chápal, ale to lze snadno NATovat)?
Jak to všechno máte zabezpečené?
Máte představný firewall?
Řešíte každé zvlášť?
Zvládnul by to BFU?
Neútočím …
Já jen nevím proč bych měl chtít, aby mi v mé domácí síti lítaly pakety o kterých nic nevím.
Používám SIP, Jabber, BitTorrent, ale nezaznamenal jsem, že by mne NAT nějak omezoval.
treba dalkove ovladani v mobilu pro xbmc:) zadat adresu zvladne kazdej a urcite jde vymyslet i naky to automaticke konfigurovatko, zabezpeceni jde urcite taky vyresit nak automaticky pri parovani (vymena klice …)
SIP je omezenej v tom ze vam nemuze nikdo zavolat primo do telefonu a tu fukci treba ten muj grandstream ma jen nikdo ze znamejch nema telefon s verejnou ip adresou a musi se zbytecne volat skrz voip operatora
jabber klient musi na prenos souboru, zvuku a videa implementovat obchazeni natu a ne kazdej klient to umi, ne kazdej jabber server to ma spravne nakonfigurovane, …
u bitttorentu zas nemuzete stahovat odevsech, ale jen od tech, kteri jsou viditelni na internetu a nebo maj alspon trosku probouratelny nat
– Zaprvé, NAT není zabezpečení. Zabezpečení je firewall.
- Zadruhé, ve zmiňovaných zařízení obvykle funguje nějaký operační systém, který není sám od sebe vzdáleně exploitovatelný. Zranitelnosti mohou být až v těch službách vystrčených ven, například injection v tom webovém rozhraní. A v tom NAT + port forward opravdu vůbec, ale opravdu vůbec nepomůže.
- Ano, BFU by to zvládl. Zastrčí do televize kabel a na obrazovce se objeví „zadejte [2001:470:9b01:1111::123:abcd] do webového prohlížeče svého telefonu“, případně rovnou QR kód.
- Pokud nechcete, aby se někdo nemohl připojit na některá zařízení ve vaší síti, použijte, stejně jako nyní, firewall.
- Když sipujete, skutečně se přenáší hlasová data mezi vámi a protistranou, nebo to jde přes nějaký server poskytovatele? DTTO Jabber. A torrent seedujete IMHO hlavně díky tomu, že na protistranu vidíte.
1. NAT není zabezpečení – to píšu hned jako první větu
Přesto vám doporučuji, abyste vyzkoušel vystrčit PC na veřejnou adresu a sledoval co se děje. A pak to porovnejte s PC které je za NAT …
Chůze po chodníku Vás taky neochrání před sražením autem, ale stejnak je tam chůze bezpečnější.
2. Je fajn, že jste svůj příspěvek psal z IPv6, ale 80% na 98% Internetu na Váš příspěvek nemůže odpovědět protože (a to není Vaše chyba) všechny odkazy začínají http://ipv6.root.cz/clanky/… a opravdu vedou na IPv6 adresu.
Takže jste použil jedinou správnou technologii s naprosto nulovým účinkem.
„Přesto vám doporučuji, abyste vyzkoušel vystrčit PC na veřejnou adresu a sledoval co se děje. A pak to porovnejte s PC které je za NAT …“
Dějí se automatické scany, které zkouší slovníková hesla na SSH a pokusy o exploitnutí dávno opravených děr. I ta okna už vydrží na veřejné IP. Nehledě na to, že automatické scany se budou na IPv6 provádět hůř kvůli nízké hustotě adresního prostoru.
„ale 80% na 98% Internetu na Váš příspěvek nemůže odpovědět protože (a to není Vaše chyba) všechny odkazy začínají http://ipv6.root.cz/clanky/… a opravdu vedou na IPv6 adresu.“
Zvláštní, když se podívám na diskuzi přes IPv4 (www.root.cz), tak odkaz Odpovědět i další odkazy mají URL relativní.
>všechny odkazy začínají http://ipv6.root.cz/clanky/… a opravdu vedou na IPv6 adresu.“
Omlouvám se, zapoměl jsem tam dopsat, že v emailu který oznamuje reakci v emialem zacinaji http://ipv6.root.cz/clanky/
Jen jsem tím chtěl demonstrovat, že IPv6 zatím není to pravé ořechové …
To je dost podstatna informace, ja zkoumal jakou dobu, kde se muze prihodit, ze se stranka vygeneruje s absolutnimi odkazy ;-)
Ono to nutne neznamena, ze IPv6 neni to prave orechove, ale ze neni stastne mit jinou domenu pro IPv6 a jinou pro IPv4 provoz. Na druhou stranu ve fazi ladeni a zkoumani je to velmi uzitecne, protoze se snaze odhali chyby. Fix je samorejme velice snadny, pridat k ipv6.root.cz i A zaznam. Ale z hlediska experimentu to zase neni nic moc, zvlaste u lidi, kteri sice maji IPv6, ale maji nastavene prority tak ze jej pouziji jedine kdyz A zaznam neexistuje.
„Jen jsem tím chtěl demonstrovat, že IPv6 zatím není to pravé ořechové …“
To není problém IPv6, to je bug v Rootu. Analogickou úvahou lze dokázat, že IPv4 není to pravé ořechové – pro příspěvky zaslané pomocí IPv4 chodí maily na s odkazem na www.root.cz, který zase nemá AAAA záznam.
Jinak nezdá se vám, že je IPv6 v místním CMS už docela otestované a tak by si ten AAAA záznam zasloužil i www.root.cz?
Ale předpokladem je právě to, že 98 % uživatelů nepotřebuje řešit to, nač potřebuje veřejnou IP nebo ony obezličky. Také saturace připojení k internetu je už poměrně slušná a další nárůst uživatelů už nebude tak znatelný.
Co když se ale stane to, že bude pomalu, ale jistě a postupně, narůstat „vzdělanost“ uživatelů? Někdo jim vysvětlí, že by to za určitých okolností bylo mnohem lepší bez obezliček. V prvním kroku se naučí si ve svém domácím routeru nastavit přesměrování portů a najednou může chtít veřejnou IP třeba 20 % uživatelů místo 2 % … a poskytovatelé začnou mít trable, nabízet veřejné adresy za příplatky a podobně (tedy ti, co to zatím dělají zdarma, u některých je smůla úplně).
Nehledě k tomu, že podstatná část z těch, kteří na takové úrovni už jsou teď, by třeba už využila více veřejných adres, aby právě odpadlo i to přesměrování v NATu v routeru, ale pro domácí připojení k internetu je nějaký rozsah adres nyní nereálná věc.
Vycházejte z reality:
- průměrnému uživateli nikdo nic nevysvětlí, protože ten nemá o tyto informace zájem
- průměrný uživatel si nikdy nic na routeru nenastaví
- dokud budou fungovat workaroundy, bude je průměrný uživatel využívat a ani nebude tušit, že tak činí
- značné části těch uživatelů je připojení do Internetu vpodstatě k ničemu – mají jej, protože je to dnes zvykem – pokud jim něco nepojede, smíří se s tím poměrně rychle
- průměrný uživatel prostě nemá nejmenší tušení, jak Internet funguje a míra snahy něco pochopit je nulová.
Co se týče IPv6, já si nemyslím, že bylo navrženo nějak dobře – je to krásně vidět na tom, jaké náklady jsou nutné pro přechod. Asi to šlo udělat s větší mírou kompatibility(i taková hloupost jako nezapamatovatelné adresy, nesmyslně velký adresní prostor atd… hraje roli při jeho přijetí). Za dnešním humbukem stojí především aktivisté, které baví hrát si s novým protokolem – uživatelům je to úplně jedno.
„Co se týče IPv6, já si nemyslím, že bylo navrženo nějak dobře – je to krásně vidět na tom, jaké náklady jsou nutné pro přechod. Asi to šlo udělat s větší mírou kompatibility“
Řekl bych, že ne – HW síťová zařízení budete muset vyměnit tak jako tak.
„i taková hloupost jako nezapamatovatelné adresy“
Copy, paste (osobně to dělám i na IPv4).
„nesmyslně velký adresní prostor“
Já v tom vidím naopak velké plus. Ono to má nějaké nevýhody?
„i taková hloupost jako nezapamatovatelné adresy“
Copy, paste (osobně to dělám i na IPv4).
Přesně tak. Málo adres si lze pamatovat i pro v6 (a je úplně jedno, jestli je to polovina než v4), ale pokud někdo pracuje s větším počtem adres, tak už prostě potřebuje DNS, copy-paste, evidenci apod. Nezapamatovatelnost adres není žádná nevýhoda.
Nesmyslně velký adresní prostor umožňuje přežívat nesmyslně nastaveným pravidlům přiřazování adres. Je to takový zajímavý paradox, že IPv6 bude možná vyčerpáno dříve, než IPv4. Pokud budou adresy přidělovány současným způsobem a pokud si o ně řekne těch 98% uživatelů, budeme se možná už za 5 let divit a plánovat nějaké další IPv…
Takže nevýhoda nesmyslně velkého adresního prostoru je ta, že svádí k nesmyslně velkému plýtvání. A v případě IPv6 byli autoři svedeni úplně stejně, jako v počátcích IPv4. A je to o to horší, že zatímco v případě IPv4 se adresy A a B dávaly z lehkovážnosti, v případě IPv6 je tohle plýtvání zakotveno přímo v RFC.
Aktualne je k alokaci urceny pouze 2000::/3. Pokud se zjisti, ze zvolenej zpusob pridelovani adres nebyl dobrej napad a predcasne se to vycerpa, tak porad zbyva jeste dost prostoru, ve kterym se daji vymyslet rozumnejsi pravidla. V principu to bude stale stejny IPv6, ktery uz budou vsechny zarizeni umet, takze potrebny zmeny uz nebudou tak velky. Jednoznacnym kandidatem na odstrel je v takovym pripade /64 autokonfigurace. A tak se koncovym zarizenim pouze prida podpora DHCPv6 nebo neceho jinyho, co dneska jeste neni vymysleny. A taky to nebude ze dne na den, takze bude cas se na to pripravit.
/48 stačí na připojení více než 500 klientů na každý čtvereční metr povrchu Země včetně oceánu, resp. 1 800 bez oceánů. /60 už připojí přes dva miliony klientů na každý čtvereční metr včetně oceánu. (Pro srovnání: na Zemi momentálně žije asi 1 člověk na 85 čtverečních metrů včetně oceánu)
/64 je tam schválně kvůli tomu, aby routery (které se předpokládají 64-bitové) nemusely pracovat s čísly zabírajícími více než jeden registr, což je extrémně pomalé
/48 stačí na připojení více než 500 klientů na každý čtvereční metr povrchu Země včetně oceánu
Nemáte pravdu, /48 stačí na připojení právě jednoho klienta (pokud dbáme doporučení dle RFC(čísla RFC mi vždy vypadnou). /64 je nutnost.
/64 je tam schválně kvůli tomu, aby routery..
/64 je tam kvůli EUI-64. Udělat asociativní komparaci dvou 128bit čísel nebyl problém naimplementovat už před dvaceti lety. V plastových krabičkách je Linux, ten to taky neřeší.
Špatně to chápete, nepíšu o počtu klientů, ale o hustotě rozsahů IPv6. Při použití /48 je tak možno mít jednoho klienta (s celou jeho sítí) na každých dvou čtverečních metrech Země včetně oceánu. Osobně bych ale stejně preferoval /60, rezerva je rezerva ☺. Alokace větší než /64 jsou nicméně z důvodu omezené plochy pevných planet a planetek Sluneční soustavy zbytečné
Nějak Vám ta matematika hapruje.
Pokud budu přidělovat /48 a dostanu /32 od RIPE, mám pro adresaci 48–32=16bitů=65536 klientů. Pokud chci na síti nějaký náznak hierarchie, pošlu z páteře na L3 switch/DSLAM/Sektor /40 (tj 256 klientů) a můžu na síti mít max 256 sektorů. Pak musím žádat na RIPE (a platit) další alokaci. Mně se to zdá trapné.
Ehm … ad pridelovani adres. Neco o routovani, tak reknmeme lekce pro stredne pokrocile zacatecniky … hmm sdruzovani rout … aha, ono aby to fungovalo, je treba pridelovat adresy ze stejneho rozsahu do odpovidajici geograficke lokality … hmm ⇒ nutnost pridelit dostatecne velky prefix, aby nebyl treba dalsi …
1/2 IPv6 je identifikace konkretniho stroje 64bitu by na to melo stacit navzdy. /48 je bezny prefix pridelovany, pokud si chce nekdo sit routovat dal ⇒ ma 6bitu ⇒ 64 podsiti (to musi stacit i hodne velky firme) (a samozrejme, pokud chce, muze pouzit i cast z tech 64bitu, ovsem prijde o automaticke pridelovani IP). … Jen na oznaceni siti zbyva prostor celeho IPv4 rozsahu.
(BTW: Rozsah IPv6 prevysuje pocet vsech castic ve vesmiru, takze se ani teoreticky vycerpat neda)
Poku dáme klientovi /48 dle doporučení v RFC, máme od RIPE alokováno /32, pro adresaci máme 3 byte. pokud vyhradím na pro nějaký (switch, DSLAM, wifi sektor ať si každý dosadí co chce) 256 zákazníků zbývají mi 2 byte. My jsme několik ISP (ve formě z.s.p.o), bylo by hezké byte vyhradit pro adresaci člena sdružení (tedy 256 ISP ve sdružení). Nu a zbývá mi 256 sektorů. To už nám nestačí. Kdybych psal dál musel bych být sprostý jak se dají výhody nového adresního prostoru promrhat kůli blbině jménem EUI-64.
Ano, teď jste uhodil hřebíček na hlavičku.
Od toho tu přece RIPE a všechny ty working groups jsou, aby toto optimalizovali, že? Kdyby se neřešilo EUI-64, pak by každému ISP stačila jedna alokace do konce života a RIPE (a ostatní RIROVÉ) by se mohli smrsknout na dva ouřady – kdyby jeden marodil, možná by byl tlak je i zrušit a vrátit tyto jednouché kompetence k IANĚ.
A co výrobci drahého HW? víte že by na BGP pak stačili velikosti TKams kolem 64k?
Jak by k tomu přišli, aby si každý pučmidrát stavěl HW BGP jen za pár desítek tisíc?
No, tak pokud vyclenite 1byte na oznaceni ISP – trebaze vas 256 nikdy nebude, tak to se nemuzete divit.
Tusim ze v clanku jste psal, ze pri predpokladu linearniho rustu poctu vydanych IP adres Vam soucasnych 32C staci na 10 let – je to tak, ze?
32C, to znamena, ze mate ve v4 /20, ze? tj. zbyva Vam 12bitu pro urceni klienta. Podle RFC mate v IPv6 16bitu pro urceni klienta a to dany klient ma dalsich 16bitu pro urceni sveho klienta a ten ma 64 bitu pro urceni zarizeni == V cem je problem? Co si tu stezujete na nedostatek IPv6? Rozumne hospodarte s temi co mate a podle Vasich predpokladu (samozrejme linearnich) s nimi vydrzite tusim 160let – tak navrhuju – za 160 let si rekneme, kdo mel pravdu.
At se na to divam jak se na to divam, vsude vidim uspory.
A ze se vam nelibi EUI64 – me treba naopak ano. Hospodarte se svymi IPv6 adresami jak vam vase podnikatelska efektivita kaze a nemuzete mit nasledujicich X desitek let problem – samozrejme – pokud date byte na oznaceni firmy ve skupine… hm… myslite ze na ty IPv6 adresy budeme nekdy koukat? Zapamatovat se to neda, kazdymu je jedno jak to vypada.. dulezite je, ze to jede.
Kazdopadne ta vase uvaha je chybne. Ty uvazovane 3 byte jsou chybne, ale to jsou jen matematicke drobnosti.
BTW: to /64 je skutecne doporuceni na zaklade urychleni (resp. nezpomaleni) routingu, tedy ne v tech linuxovych krabickach, to nikoho nezajima, ty tech par desitek Mbit zvladnou a vic se po nich nechce.
IAP vi ovsem naprosto kolovy o tom, co vsehochno hodla mit klient pripojeno. A jelikoz vyvoj smeruje k tomu, ze konektivitu bude mit i splachovadlo, tak tech zarizeni v domacnosti muzou byt stovky.
BTW: Obvikla praxe je ta, ze /48 se prideluje tomu, kdo si rekne, pokud si nerekne ⇒ nebude mit vlastni rozsah ⇒ nemuze efektivne nastavit svuj FW, ale vsechna jeho zarizeni budou fungovat uplne stejne.
Samo, nekterym (dalo by se rict rozcmrndavacum) se to libit nebude. Znam providery, kteri jednim Cckem pokryji 60 klientu (kazdy ma jedinou IP). Jestli je neco plytvani, tak presne toto. Za tohle by se melo pomalu strilet.
Schválně jsem to sem napsal takto provokativně.
1) buďte ujištěn, ža neuděláme nic, co by zapříčinilo že nám budou klienti „volit“ konkurenci.
2) Pokud vás tématika zajímá, přečtete si diskusi pod článkem na který odkazuji ve svém. Mylsím, že byla plodná.
3) proč bychom sakra měli znemožnit autokonfiguraci. V RA paketech je možné vynutit statefull DHCP6 konfiguraci (stejně klient i v pŕípadě EUI-64 potřebuje stateless DHCP6, jinak nemá DNS). Jaký to má vliv na bezpečnost? Jaké aplikace to využijí ? viry k většimu prostoru pro fakování IP adres?
Me jen fascinuje, jak nejaci mini ISP (doslova nymandi) z cech kritizuji neco, na cem se podilely tisice sitaru z celeho sveta. Nezbyva nez konstatovat, ze tomu prd rozumi a vubec nevi o cem mluvi.
BTW: Pro ty mene chapave, IPv6 (mimo jine) zajistuje primo od prirody anonymitu ⇒ pokazde mate jinou IP adresu (kdyz chcete) a /64 je to i proto, ze MAC uz davno neni dostatecne siroka.
Když jsme se jako mini ISP (oproti O2), jinak jsme druzí regionální v Jižních čechách, rozhodli neimplementovat (pomocí RA zakázat) EUI-64, ale statefull DHCP6, tak nám to nemá nějaké nablblé RFC zakazovat. Proč potom statefull DHCP6 vůbec existuje? Odpovím si: protože to někdo popletl a povýšil doporučení na normu. Stejně jako, kdy Vám někdo nařizuje barvu fasády na Vašem domě, aby ladil.
V IPV4 také byli jen A,B,C, když šlo do úzkých, někdo „povolil“ Classless adresing. To samé se stane s IPv6 až vypadne z akademické sféry a začnou ho masy používat. Až to bude 20% ISP ingorovat, pozbude to smysl a RFC se zneplatní.
Nakonec, proto jsme si založili malé ISP,protože jsme měli odvahu :)
Nekomu to jako dobra vec prijde, minimalne autorum IPv6 urcite, jinak by to tam nedali. :) Ja tomu prilis nefandim, prijde mi to jako 64 bitu zbytecne vyhozenych z okna. Ale dokud patricny RFC skutecne nekdo nezrusi, tak je autokonfigurace na /64 standard. A byt ISP, radsi bych to respektoval, abych se vyhnul pripadnym problemum. Prislo by mi rozumny beznym userum naroutovat /60 a vetsi rozsahy az do /48 tem, kteri by si rekli. Teoreticky by jako vychozi pro nenarocny stacilo /64, ale pro pripad ze by obcas nekdo chtel vic nez jednu podsit, tak je asi jednodussi mu tu moznost dat hned, nez to s nim pak dodatecne resit.
Pokud vám vadí 64 Ki klientů, proč nebojujete proti docela nesmyslným alokacím /32? A co získáte tím, že místo mnou navrhovaných (a RFC povolených) /60 (tj. celých 28 bitů, tedy jako celých šestnáct IPv4 Aček!) použijete úplně nesmyslných /96, které vám ani routery pořádně neuroutují?
Vím, že /32 je alokace pro ISP. Ale proč nebojujete za to, aby to bylo třeba /30 (věřím, že víc než 16 ISP vás ve sdružení není), ale musíte se navážet do dobře fungující autokonfigurace? Já jsem naopak rád, že mi autokonfigurace funguje, a 64 bitů bylo zvoleno záměrně proto, aby bylo dostatečně nepravděpodobné, že dvě zařízení si přidělí stejnou adresu (třeba v logické síti, kde je zrovna bridge mimo provoz).
Na tohle téma jsme již na rootu obsáhle diskutovali na http://www.root.cz/zpravicky/ipv4-adresy-dojdou-globalnimu-registru-uz-za-rok/, takže jen krátce.
Dávat /64 není systémové řešení, nejlépe /56, doporučováno je však /48. Jinak si klient nemuže udělat podsítě, aniž by RFC porušil.
My máme rádi hierarchické dělení. S temihle nesmysly to ale vychází, že budeme optimalizovat po bitech. V příkladu srovnáváte naše veřejné IPv4 s novými IPv6. Nezapomeňte, že je natujeme na branách, routujeme 10.0.0.0/8, klient dostává 10.X.Z.Z/28. Tzn, že pokubudem přidělovat každému /48, zhorší se nám adresovací prostor oproti IPv4! A tohle všechno za jediné postradatelné favor! Proč to autoři RFC nenechají na nás, proč tyhle feature (EUI64) nařizují normou!
My máme síť organizovanou takto:
řekněme 40 lokalit, kam posíláme /16 (na IPv4)
každá lokalita se rozpadá na sektory /22 (max. 64)
každý sektor nese až 56 klientů po /28 (až 13PC)
Samozřejmě je tam řídkost, ale velmi pohodlně se to konfiguruje a stačí L3 sw s podporou 256 route nets.
Proč tohle nemůžeme udělat s IPv6? Pokud budeme dávat /48 máme o byte méně (jen jednu lokalitu). Navíc, jsme sdružení ISP, jeden byte bychom chtěli vyhradit na čislo sítě ISP. Pak nám zbývá jen 8 bitů :( proč? kde jsou ty bambiliony adres ? v blbince zvaná EUI-64, což není nutné, ale nějaký papaláš (pardon, tisíce síťových specialistů) to nařídil normou.
Cetl jste to RFC? Co pisete je nesmysl. EUI64 pouzivat nemusite, stejne dobre vam budou fungovat i pevne stanovene IPv6 adresy, routovani se nemeni, prefix muzete pouzit jaky budete chtit, DHCPv6 existuje a dokonce i funguje a to i v rezimu stateless, takze muze slouzit i jen jako doprovod.
Kdyz se vam to tak desne nelibi, tak to nepouzivejte.
Z toho co jste napsal vyplyva jedine – matematicky a statisticky vzato resite nesmysl, ktery se vas vubec netyka, protoze IPv4 i IPv6 adres mate dostatek, zvlaste pak pro vas pocet klientu. Ze tu brojite proti EUI64.. ok, tak si brojte.
Me EUI64 vyhovuje. Rozjel jem jen radvd server a nemusim se o nic starat.. kazdy domaci zarizeni si uz IPv6 vygenerovalo samo a to od Linuxu, pres Apple az po Windows – jestli chcete lidi ucit, jak si to naadresovat sami, jen do toho. Ze se vam nelibi, jak to vymysleli – budiz, to je vas nazor. Ale ze tu pisete nesmysle, kterych se pak chytaji chytraci, co si o IPv6 donedavna mysleli ze jeho hlavni rozdil je, ze ma 6 bajtu, tak to mi vadi. A v tehle diskuzi jsou asi i horsi jedinci.
Proč to zarovnáváte na bajty? To je jenom přežitek z IPv4, kde se tak snáze lidem počítalo, která IP adresa patří kam. /48 je doporučení, ale stále je to jenom doporučení, žádné RFC vás nenutí vydávat víc než jednu /64 (btw. /56 vám dává stejný rozsah, jako používáte teď pro NAT).
Ano, to už tu bylo několikrát… „i kdybychom každou sekundu přiřazovali biliony adres“ VS „ale vždyť mi každou sekundu přiřazujeme miliardy bilionů adres“. Ano, těch adres bude dost zřejmě navždycky. Jenže drtivá většina (99.9999999999%) je jich vyhozena oknem díky podivným pravidlům. Takže se asi dostaví situace, kdy tu zároveň bude vesmír nepoužitých adres a zároveň nové adresy nebudou, protože pravidla jsou předem nastavena.. divně. Zřejmě pak přijde dodatečná změna pravidel. Ta dodatečná změna, která u IPv4 neprošla („znárodnění“ přidělených ale nepoužitých rozsahů).
nabízet veřejné adresy za příplatky
Hmm, takže takový regulační poplatek vlastně. Chceš IP? Tak aby jsi nechtěl tak moc, tak ti to pěkně zpoplatníme. Opravdu chceme regulovaný internet?
To není otázka konkrétně na vás, to je otevření další diskuse.
pro domácí připojení k internetu je nějaký rozsah adres nyní nereálná věc.
Já mám rozumného ISP a ten mi subnet v4/29 přidělil. Jenže to je velmi málo a už to mám vyčerpané. A to nemám ani takové ty chytré mobilní přístroje, které také potřebují připojení k internetu. Takže se na v6/64 těším jak malej kluk.
Co když se ale stane to, že bude pomalu, ale jistě a postupně, narůstat „vzdělanost“ uživatelů?
To se rozhodně nestane. Naopak letitý trend je opačný, je to dáno tím, jak penetrujeme větší a větší množinu populace, předtím, se připojovali lidé, kteří alespoň věděli základy. Čím více lidí veřejnou nemá tím je z toho menší problém (to není překlep – problémy pak musí za velkou množinu lidí dodavatel služby). a vím že to není hezké, ale život prostě není fér.
Ale jak píšu: ostatních 98% klientů nějaké problémy s komunikací a veřejnou vůbec neřeší, ti co to řeší berou obezličky co jste napsal jako běžné
Od běžného klienta nikdy požadavek na změnu technologie nepřijde. Čekat na tohle je nesmírně hloupé a krátkozraké a aplikováno na jiné obory lidské činnosti … no raději ani nemyslet.
Změnu prostě musí prosadit odborníci. A ta změna, konkrétně tedy IPv6, bude pro klienty jednoznačně pozitivní. Možnost rychlejší, občas i řádově, peer-peer komunikace (tedy tak, jak internet vznikl a je na síti běžné) a nikoliv přes omezené linky z vysokou latencí přes server třetí strany.
Technokrat :-)
Od běžného klienta nikdy nepřijde požadavek typu „chci místo IPv4 používat IPv6“. Ovšem může přijít požadavek „chci přístup na službu XY“ nebo „chci používat program ABC“. Problém IPv6 je pak v tom, že tu není žádná služba, která by ho vyžadovala, a ani tu není žádný SW, který by byl něčím výjimečný a vyžadoval IPv6. Jinými slovy – technokraté zde vytvářejí pseudoproblém. Chtějí ivestovat obrovské finanční prostředky (ne jejich) a strávit spoustu času (nikoliv jejich) aby se zavedlo něco, co v dnešní době nikdo objektivně nepotřebuje. Věřte tomu, že až IPv6 bude znamenat nějakou výhodu pro uživatele, řekne si o něj (i když jinými slovy). Stejně tak pokud bude IPv6 znamenat nějakou výhodu pro ISP, tak ho zavedou.
Teď je situace taková, že řada technokratů stojí na náměstí, na krku mají ceduli „konec světa“ a vykřikují, že lidé by se měli vyznat ze svých hříchů, protože konec světa je tady. Přitažené za vlasy, ale „obyčejní“ lidé to tak chápou. Vykašlete se na výhrůžky a zkuste místo toho lidem nabídnout nějakou přidanou hodnotu. Pak to půjde. Tak rychle, že si to ani nedokážete představit :-)
Od klienta prijde dotaz, proc mu uTorrent/DC/… nesdili a ISP mu v 99% pripadu odpovi, ze nelegalni aktivity nepodporuje (pokud vubec odpovi) aniz by bral v potaz, ze na pouzivani techto protokolu nic nelegalniho neni.
A samozrejme pokud jde o lepsiho ISP, tak klientovi zdeli, ze by potreboval verenou IP, kterou mu neda … (bud proto ze nema sam, nebo si vymysli tisic a jeden jinych duvodu).
A ano, oboji (vlastne dnes uz vsechny p2p site) umi bez problemu pouzivat IPv6.
„Bohužel co je „internet“ určují masy, ne já nebo vy. Doba, kdy jsme si všichni na netu tykali, protože jsme byli všichni od fochu je asi 10 let pryč.“
Promiňte ale to je značně pokřivený pohled.
Vemte si takové utírání zadku a toaletní papír. Pokud budu lidem, kteří neznají toaletní papír nabízet lopuchy, tak ho samozřejmě použijí a zadek si utřou lopuchem. Ale já přeci nemůžu argumentovat tím, že zákazník si nechce utřít zadek toaletním papírem? On ho nezná a je jen na mně, abych jako výrobce potřeb na utírání zadku, přišel s nabídkou toaletního papíru a abych vyřešil jeho výrobu a distribuci, protože to je to, co koncového zákazníka nezajímá.
Jako ISP prodáváte připojení k internetu (to, že „by default“ připojujete k intranetu ponecháme stranou). Zákazník je technicky neznalý, zkonzumuje to, co mu předhodíte (tím si vyprošuji to, že něco určují masy). Jenomže vy jako dodavatel byste měl být zodpovědný za co nejlepší stav služby kterou dodáváte. Měla by to být věc profesní etiky, protože co je „internet“ určují ISP. Kvůli jim se musí „mrvit“ internet, protože ze svých zisků nechtějí zpět pustit ani korunu (šlechtí vás, že o IPv6 usilujete) a dogmaticky papouškují, že koncový uživatel IPv6 nechce ⇒ není třeba zavádět.
Já bych třeba doma uživil minimálně 8 veřejných IPv4 adres, jenomže u O2 (což je má jediná možnost, jinde nedostanu ani tu jednu) by mě to přišlo na 838 Kč/měsíc. Takhle si musím vystačit s jednou + IPv6 tunel, VPN a různé nasírací obezličky typu Skype nebo Team Viewer, protože ostatní klienti by taky uživili minimálně 2 veřejné IP adresy, ale buď mají jen jednu + NAT, nebo nemají ani tu jednu. Jim je to samozřejmě jedno, protože když jim řeknu o IPv6, tak neví která bije (natož aby to zopakovali na infolince svého ISP), ale ISP si to samozřejmě vyloží tak, že uživatel nejeví zájem.
To je prostě jak u blbých.
Vás konkrétně je mi líto, že nemáte alternativu, u nás by jste si blok /29 vymluvil.
To že připojujeme k intranetu a ne internetu, je pravda, nicméně zákazník to neřeší, ten se nás neustále ptá na rychlost, když na bezdrátu naměrí 8M místo deseti atd. Nakonec nabízíme přístup k internetu, ne připojení. Ještě ___nikdo!___ nebyl nespokojen s naším chováním.
Argument s toaletním papírem neberu, již několikrát jsem psal, že možnost toaletního proti papíru zdarma nabízíme a inzerujeme. Samozřejmě jako obyčené papírnictví nepořádáme semináře na téma nahrazení lopuchů papírem. Proč bysme to sakra měli dělat? kdo by nás poslouchal, když všem všechno co chtějí funguje a nemají zájem cokoliv technického řešit? Maximálně by nabídku bez rozmyslu odkývali a my bysme zbytečně rozdávali naše zásoby IPv4.
„Proč bysme to sakra měli dělat?“
Ale že zákazníci nemají o IPv6 zájem víte dokonale. Jenomže oni o IPv6 neví, stejně jako já se nevyzám (například) v motoru auta a když mi v servisu nenabídnou lepší řešení (čehokoliv), tak o něm také nebudu vědět. Neznamená to ovšem, že bych neměl zájem.
Semináře samozřejmě neprovádějte, ale pak ani netvrďte, že zákazníci nemají zájem, protože to nemusí být pravda. Nevědět o něčem co mi nenabídnete a nemít zájem jsou dvě různé věci. Musel byste mi něco nabídnout a já bych to musel odmítnout abych neměl zájem.
Já samozřejmě chápu, že vám všechno funguje a obtěžovat se s něčím navíc vám připadá kontraproduktivní. Jenomže před pár lety si můj švagr ťukal na čelo, když jsem mu řekl, že chtít doma počítač je v jeho zájmu, protože za pár let bude mít digitální foťák, komunikátor a internet. Měl mě za blázna, protože takové věci pro něj tehdy byly složité a on neměl zájem něco takového řešit. Teď má dva počítače, foťák, komunikátor a internet. Technicky to všechno nezvládá, takže mu musím pomáhat, ale … jak se přes ten zatracený NAT mám k němu dostat? Obezličkami – hnusnými hacky, které vznikly a které musí být každému „od fochu“ zaručeně proti srsti.
Z mého pohledu tento maras zavinili sami ajťáci a teď je na čase abychom to zase napravili, protože ty masy to za nás neudělají a my jsme zodpovědní za „state of the art“.
Řekl bych, že autor si popsaná fakta, a původní ideály internetu uvědomuje dost dobře. Nicméně článek je psán z pohledu reálné situace u podobných ISP v ČR.
Pár poznámek:
* Franta s Pepou a CS, * Vojta a torrenty, * Pan Dvořák, co má hi-tech kotel, * Pan Novák, co si pořídil síťový pevný disk
– Takových kupodivu zas tolik není, vždyť se to píše v článku. Pokud jim to nefunguje, obrátí se na svého ISP a jsou to právě ti, kterým dnes ISP na žádost ty veřejné IP často zdarma dá.
* Anča by chtěla Hugovi poslat … V normálním Internetu by určitě existovala aplikace, která na tři kliknutí spustí na počítači HTTP server s autentizací; * Danovi nemůže na dálku pomoct technik, protože se k němu prostě nemůže připojit.
– Anča a Dan mají Windows, a od jisté doby nemají problém s viry. Je to přesně od té doby, kdy mají HW router/modem, který dělá stavový firewall a všechna připojení zvenku blokuje. Mají si HW firewall přenastavit, aby pouštěl dovnitř všechna spojení? Nebo jen některá? Ale která? Ale to oni vůbec nezvládnou, oni to nepotřebují znát.
Nebo je Anča zrovna ve škole s notebookem připojená přes WiFi, kde dokonce má IPv6, ale příchozí spojení jsou blokována. Vysvětlíte jí, že doma je připojená k internetu, a ve škole není. Ale ona mu ty fotky (nebo něco jiného) chce poslat ze školy, a přes Skype jí to funguje. Už jste někdy takovému člověku takovou věc úspěšně vysvětlil?
„– Takových kupodivu zas tolik není, vždyť se to píše v článku. Pokud jim to nefunguje, obrátí se na svého ISP a jsou to právě ti, kterým dnes ISP na žádost ty veřejné IP často zdarma dá.“
Nu, přiznávám, že se pohybuji asi v trochu jiných kruzích, kde je přímé spojení více potřeba. Ale dost často jsem se setkal i s tím, že ISP chce za veřejnou IP připlatit netriviální částku (10 – 30% z ceny připojení).
Ale nezdá se mi, že by Skype/ICQ nebyly rozšířeny.
„– Anča a Dan mají Windows, a od jisté doby nemají problém s viry. Je to přesně od té doby, kdy mají HW router/modem, který dělá stavový firewall a všechna připojení zvenku blokuje.“
Ono to už to dnes s těmi remote exploity na Windows není tak strašné a breberky se šíří hlavně sociálním inženýrstvím. Navíc vzhledem k hustotě adresního prostoru IPv6 by se automatické sekvenční scany poněkud protáhly.
„Vysvětlíte jí, že doma je připojená k internetu, a ve škole není.“
Ano, to je blbý. Tak by se alespoň mohlo rutinní obcházení NATu smrsknout na těch mnohem méně případů, kdy to nejde z nějakého jiného důvodu.
(a teď jí ještě vysvětlete, že dnes není připojena ani ve škole, ani doma… s tím, že to ve škole správce zakázal, se možná srovná lépe)
ad. stavový firewall:
Pokud by MS (nebo spíš apple) fakt udělal nějakou super sharing blbost používající IPv6, neměl by (z technického hlediska) být takový problém aplikovat firewall jen na některé porty/rozsahy (jako 137–139, 445, …). Odřízne to možné remote útoky na (snad) starší mašiny a neomezí MS blbost, která si může náhodně volit port na naslouchání a pokud se spojení nepodaří navázat, zkusit jiný.
Jinak osobně si myslím, že ta idea moc reálná není. Takový „NAT breaking“, „NAT tunneling“, nebo jak to chcete nazvat, teoreticky taky funguje. Ale v praxi sotva v 40% případů, protože „krabičky“ jsou – výstižně řečeno – prostě „smartass“. Budou si nesmyslně blokovat, co chtějí, protože jejich výrobce je tak naprogramoval.
Navíc – tenhle svět řídí peníze a dokud bude IPv4 adres málo, budou se dobře prodávat. A pokud se budou dobře prodávat, skončí IPv6 asi jako „alternativní dopravní prostředky“ vedle ropného průmyslu.
A Anca hlavne predevsim nechce zadne vysvetleni slyset. Kdyz to funguje, fajn, kdyz to nefunguje, je to rozbity. Pokud na ni zacnete mluvit, v lepsim pripade vas nebude vnimat, v horsim bude agresivni protoze tyhle detaily ji zatezuji a ona neni pocitacovy typ.
Odbornikum mozna chybi „internet“. BFU nikoli, staci jim to co je ted, dokonce i min. Kdyz jim ISP neco malo z toho zrusi, tak trochu budou frflat a pak sklopi usi a pujde se dal, stejne jako se salamovou metodou ukrajuje ze soukromi a jinych veci. Vetsinu populace nejenom ze to nezajima, ale agresivne protestuji pokud jim to zkousite sdelit, protoze je to obtezuje.
Proti tomuto neuvěřitelnému martyriu je nakonec přechod na IPv6 lahůdka.
Látání je látání, ale řešení je nakonec funkční a transparentní (víte kolik firem dnes používá dodnes DOSové programy)?
Nás by v tuto chvíly kompletní systémový přechod FTTB části sítě (bezdráty k tomu nějak dokopem) na IPv6 stál výměnu 38 switchů ES4612 (nákup cca za 14500,–) na 38switchů ES4626-SFP (nákup 49000,–). Tohle v prostředí, kde konkurence prodává 100Mbps za 167Kč není úplně finančně samosebou. Původní switche asi zahodíme, nebo použijeme na L2. Teoreticky můžeme taky instalovat k těmto switchům paralelně nějaký router, třeba Mikrotik. Máme ale zákazníkovi vysvětolvat, že IPv6 máme zatím jen špricovaně a ve večwerních hodinách můžou mít problém s výkonem? (málokterý sw router levnější než ten switch switch udělá nějakých 400Mbps full duplex).
nic ve zlem, ale to jste o IPv6 nevedeli pred dvema rokama, kdyz jste tyhle switche kupovali?
firmy co znam (vcetne te kde pracuji) uz nekolik let zpatky resi pri nakupu drazsiho HW mimo jine alespon to, aby s danym zarizenim slo do budoucna pracovat i na IPv6 (i presto ze to zatim nepouzivaji)
Věděli, i teď je kupujeme bez podpory IPv6. 3× větší částku do investic a 4× větší do energií prostě v tuto chvíli nebudeme investovat. Tajně doufám, že Edge-core uvolní update firmware, kde podporu dopíšou, ale to sem možná naivní, i když nereálné to není, protože nedávno uvolnili podporu pro navýšení aktivních VLAN 256->4096.
Pokud se k tomu stavite timto zpusobem, ztracite i tu malou moznost neco ovlivnit. Pochybuji o tom, ze byste byl jediny na svete, kdo pouziva tyto switche a kdo neni nadseny predstavou jejich sesrotovani jenom proton, ze neni update firmware. Pokud se ozvete a sdelite vyrobci svuj nazor, existuje nadeje, ze si to vyrobce da dohromady s nazory ostatnich zakazniku a neco s tim udela. S vasim pristupem by ale nikdo nic nenapsal a vyrobce treba zije v predstave, ze zakaznici nic jineho, nez ipv4 nechteji. Jeden mail vas snad tolik nestoji. Ale me to muze byt jedno, moje switche to nejsou. Jen si myslim, ze se obcas musi sikovne hodit vyrobcum trocha pisku do oci, aby si ani na spicku nosu nevideli. Oni se pak nafouknou a nekdy udelaji to, co po nich chcete. Ja treba vyrazil z Canonu navod na fotak, ktery na webu neni. Stacilo jim napsat ve smyslu, ze jsem trpce zklaman, ze takova uzasna renomovana firma, jako ta jejich, neni schopna nekde vystourat jedno pdefko a poslat mi ho majlem. A to pote, co mi jiz jednou napsali, ze manual neni a nebude. Donutil jsem je pohnout prstem pro jednoho jedineho zakaznika, ktery navic ten fotak koupil v bazaru za 20 korun. Vy, po vyrobci budete chtit vic, ale zase urcite nejste sam.
Jasně, kdyby to fungovalo jak popisuješ, tak by to byla utopie. Internet nikdy nebude jedna velká síť, ale spíš shluk malých a větších, částečně oddělených sítí. Vždycky tady budou firmy, které se snaží ochránit svoji privátní síť a zároveň umožnit zaměstnancům přístup na web. Vždycky tady budou poskytovatelé, kteří se vykašlou na to aby všem přidělovali statické IP adresy – protože je to plýtvání. A proto logicky vždy tu budou služby jako VPN, proxy, dynDNS, NAT, Skype ,.. které kazí tuto tu možnou utopii, ale je to dobře, že tu jsou.
Místo Hamachi doporučuju N2N. Je to zdarma a rozhodně to neroutuje přes cizí server 7000km daleko. Super node zdarma nabízí třeba VPNHosting (http://www.vpnhosting.cz/index.php/N2n-na-VPNHosting.cz.html)
Jezis, dneska kdy je strasne in cloud, mas tuny (free)hostingu, VPS, tak na tech 10 mailu denne vazne nebudu platit elektriku za krabici co mi lezi doma, zere elektriku a dela kraval.
K tem torrentum, kluci to se posmejete az ty udani nepujdou na ISP (ktera to casto zatloukaji a nereaguji na to), ale rovnou na vas, budete odpojeni od internetu a na zpet se dostane maximalne na nacionale mrtve prababicky z tretiho kolene. I kdyz nepopiram ze si pres to obcas sosnete i treba to ubuntu, tak realitou je ze prevazna cast traffiku je piratska.
K čemu používám veřejnou IP já.
a) Desktop 100 km odsud. U něj lama. Uklikne se. SSH + VNC.
b) Jsem na dovolené. Je tam zdarma WiFi. Ale nechci posílat všechno nešifrovaně vzduchem. Postavím si tedy šifrovaný tunel domů a odtamtud to jde do Internetu „po drátech“.
c) Hostuju doma projekt, který portuje Ubuntu na TouchBook.
d) Vyvíjím nějakou webovou věc (na svém desktopu). Přes Jabber stačí poslat zprávu „co bys řekl na to, kdyby to bylo takhle: http://můj-počítač/projekt/“
e) No a pak mám u VPSFree VPS, na které provozuji různé weby, maily a další věci. To bez připojení k Internetu poněkud nejde.
PS: co říkají vaši uživatelé (jste-li ISP) na to, že nemůžou stahovat z RapidShare? :-)
Juj, úplně jsem zapomněl na to, že přes Internet telefonuji a možná časem budu potřebovat obsluhovat i nějaké to zařízení typu IP kotel.
A ještě si dovedu představit dát na zahradu kameru (případně s motion detection) a chtít přes Internet vidět, co se děje. (pozn.: proti soukromým kamerám na soukromém pozemku nic nemám)
Tak pokud mas VPS, tak to muzes vsechno hrnout vesele pres vpn na tom VPS a nemusis se k tomu bat ze ti ten desktop doma nekdo bude dosit, zkouset tam hesla, ze se stanes clenem nekolika botnetu a budes spamovat pulku toho internetu.
Btw moc neverim ze si pres ten scot doma delas zabezpecenej tunel, to si tu spis jen honis triko.
Lidi co sosaji z rapishare ? Chces-li warez a porno musis pro to neco obetovat, nebo si alespon jako slusnej clovek poridit premium ucet. Jak tu nekolikrat zaznelo nekoho to neco stoji to storovat, tak je slusne se mu nejak revanzovat.
„Tak pokud mas VPS, tak to muzes vsechno hrnout vesele pres vpn na tom VPS“
No to je sůůůper! Takže data půjdou na VPS, z VPS domů, z domova zpátky na VPS a z VPS k odesilateli! A ještě web na nějakých nestandardních portech!
„nemusis se k tomu bat ze ti ten desktop doma nekdo bude dosit, zkouset tam hesla, ze se stanes clenem nekolika botnetu a budes spamovat pulku toho internetu.“
Tak za á) se k tomu používá firewall, za bé) na desktopu mám stejný operační systém jako na tom serveru a za cé) takhle stejně pořád může dosit to natovadlo. A hodně štěstí při louskání 4 Kib RSA klíče :-).
„Btw moc neverim ze si pres ten scot doma delas zabezpecenej tunel, to si tu spis jen honis triko.“
Nic na tom není, je na to jeden parametr SSH. A ještě je dobré pustit tam ziproxy, obzvláště při GPRS.
„Lidi co sosaji z rapishare ? Chces-li warez a porno musis pro to neco obetovat, nebo si alespon jako slusnej clovek poridit premium ucet. Jak tu nekolikrat zaznelo nekoho to neco stoji to storovat, tak je slusne se mu nejak revanzovat.“
A řekneš to takhle svým zákazníkům, jsi-li ISP?
Bohužel, to vše je pravda, stejně jako je pravda, že BFU prostě tohle řešit nebude a ti, kdo něco řešit chtějí, se ve většině případů setkají s arogancí velkých ISP. Mám s tím zkušenosti u nejmenovaného majoritního kabelově-televizního operátora. Zároveň jsem však spokojeným zákazníkem ISP autora článku (a zřejmě jedním z největších „prudičů“ jeho technické podpory :-)).
Skutečná příčina problému je totiž někde před deseti lety, kdy se začala prosazovat politika „NAT do každé domácnosti“. Zákazníci tehdy bohužel zvolili přístup „budem držet hubu a krok a tu krabičku za pětikilo si teda koupíme“, místo aby nadávali dostatečně na to, aby si jejich ISP podobný přístup rozmyslel. V situaci, kdy většina obyvatelstva za NATem vyrostla, těžko pochopí, že by to mohlo jít i jinak (ano, paralela s totalitními státními formami je na místě). Internet se od té doby NATům bohužel spíše přizpůsobil, než by proti nim bojoval, o to je to dnes těžší…
Já jsem si donedávna myslel, že IPv6 není problém tunelovat přes IPv4 a že postup je takový, že se nejprvé zákazníci namlsají přes tunely a následně sami donutí providery k nativnímu řešení. Ale asi jsem se spletl…?
A jinak souhlas s tím, že IPv6 je v podstatě velice špatně navržený protokol ve smyslu rozšíření adres. Možná stačilo jen rozšířit počet čísel ze 4 třeba na 8 a to tak, aby původní hlavička paketu zůstala a rozšíření o dalších 4 čísla bylo součástí dalších options paketu. A vůbec, já bych navrhoval dynamickou délku adresy ve formě 4 čísla základní a N čísel rozšiřující. Velké ISP by si pak rozdělily celý 32 bitový prostor a zákazníkům by přidělovaly to své podrozsahy do libovolné délky. Mohly by se i lehce upravit současné NATy, které by dál fungovaly jak doposud, ale pakety s dodatečnou adresou by routovaly přímo na lokální počítač mající stejnou lokální adresu. Ony to ty NATy vlastně teď už dělají, zádrhelem je, že nemohu do paketu „napsat“ na který lokální počítač má paket směřovat. Musí mi někdo cestu prorazit z druhé strany.
Ano, musela by se vyměnit natovadla. Ale zase by tam nebyly nutné porty, protože ten forward nahrazuje právě číslo portu. Port by pak zůstal stejný jako na cílovém počítači. Třeba kdyby to byly webovky, tak na NATu by se to tvářilo, jako obrovský virtuální webhosting.
Takže vlastně chcete tohle? Dokážete si představit, kolik let by trvalo, než by to všichni v Internetu začali podporovat? V době, kdy ještě netriviální část uživatelů používá deset let starý prohlížeč (IE6).
No ono se opravdu neni ceho mlsat. Kdyz ipv6 podporuji nektere sluzby (facebook,google,seznam,…) jen tak jakoby mimochodem, s tim ze nenabizeji nic navic. Kontent je tam v podstate nula, obcas funguji gatewaye co vam pres ipv6 adresu nabizeji ipv4 obsah, ale k cemu to ? Navic a ted nevim jestli je to moje chyba ale Google Chrome mi ipv6 sajty proste ignoruje, musim si je otvirat ve firefoxu.
Vživotě jsem a o asynchronním/synchronním NATu neslyšel, mohl by autor uvést o co se jedná případně s odkazy na nějakou literaturu? Zkoušel jsem i google ale jedinou odpovědí mi byl tento článek, takže to skoro vypadá, že tu autor zavádí nějakou svoji nestandartní terminologii.
Díky.
Pak je to možná náš žargon, omlouvám se, nicméně je na různých sympózích ISP při diskusích běžně používáme.
Async NAT=NAT (A1…N)->B, nelze zachovat čísla portů, nelze nevázat připojení z vnější strany.
Sync NAT jsou vlastně dva NATy mezi dvěmi adresami v různých prostorech A->B, B->A. Zachovávají se čísla portů, komunikaci může nevezovat kterékoliv strana, ale problém může být s protokoly, které nesou info o IP v payloadu (FTP, SIP atd)
Problém tohoto článku je, že dává rovnítko mezi IPv6 a více adres. Ale IPv6 přináší spoustu dalších věcí, které jsou v dnešním internetu užitečné. Fungovat na IPv4 dalších 20 je drbání se levou nohou za pravým uchem. Jako největší výhody IPv6 oproti IPv4 vidím šifrování na úrovni protokolu, podpora mobilních zařízení(jsem přístupný i na cestách pod stejnou IP), automatická konfigurace sítě(pokud je v síti nastaven DHCP server částečně funguje už dnes), podpora pro multimédia. Všechny tyhle věci dnes fungují, ale musí se vymýšlet nejrůznější obezličky. Ve výsledku nejvíce trpí zákazníci, protože ISP si často účtují peníze za veřejnou IP a bez ní je spousta věcí méně pohodlná.
Právě že všechny tyhle vyjmenované věci fungují dnes ale z IPv6 dělají moloch, protože řeší věci, které na dané úrovni se řešit nemají.
- šifrování je možné řešit na vyšší úrovni, dnes každému stačí HTTPS.
- změny IP adresy lze řešit rychlými DNS záznamy. Funguje dnes bez problémů.
- Automatická konfigurace je zvládnutelné přes DHCP a nevidím důvod, proč by to mělo fungovat jinak. Nedokážu si přestavit, že si nechám do sítě připojit uživatele, aniž bych měl kontrolu nad tím, jakou adresu tomu uživateli přidelím.
- Podpora pro multimedia? Na úrovni IP paketu? Tak maximálně QoS a zabezpečení kanálu pro souvislý proud, ale mám pocit, že i to dnes už funguje. Multicasting snad funguje i na IPv4.
Takže nakonec jde jen o počet adres. A bojím se, že dojde brzo na lámání chleba a předpovídám, že dřív nebo později se objeví firma XYZ, která vyrazi s vlastním protokolem a začne prodávat i vlastní HW k tomu. Doposud je IPv6 jen akademickou záležitostí, ale tady jde o byznys.
> šifrování je možné řešit na vyšší úrovni
To je možné, ale logicky šifrování patří na nižší úroveň s tím, že pro obě komunikující strany je transparentní, takže o něm vůbec nevědí (na tom principu je založený ISO/OSI i TCP/IP model). V dnešním světě si každý šifruje po svém, takže 100 implementací to dělá 100 jinak a vytvoří 100 různých sad chyb a zranitelností. Společná implementace zvyšuje bezpečnost. Navíc si skus naprogramovat šifrování, které funguje všude (tím myslím i 5 let staré mobily za 1000kč s J2ME).
>změny IP adresy lze řešit rychlými DNS záznamy
A teď řekněte Frantovi od vedle ať si změní DNS záznam.
>Automatická konfigurace
Zase to je věc, která pomůže běžným uživatelům ne těm, kteří to umí již dnes. Jinak nechápu proč je takový problém s přidělením „náhodné“ adresy. Počítač je „jednoznačně“ identifikovaný podle MAC, ne podle IP.
> Podpora pro multimedia
Ano dnes se to všemožně hackuje, aby to fungovalo.
Už v minulém příspěvku jsem psal, že většina těch věcí dnes funguje, spíš jde o to jak a za jakou cenu.
Argument: "V dnešním světě si každý šifruje po svém, takže 100 implementací to dělá 100 jinak a vytvoří 100 různých sad chyb a zranitelností. " Neberu. Protože lidé šifrují, aby byli v bezpečí a budou věřit jen své šifře a ne šifře oficiální. Kdo Vám zaručí, že šifra na úrovni protokolu bude jen jedna? A kdo Vám zaručí, že přežije pokusy o prolomení. A kdo Vám zaručí, že ta jedna jediná šifra není dešifrovatelná vládní institucí, policií, nebo úřadem pro dohled na internetem. Vždycky budete mít víc konkurenčních šifer a je jedno na jaké úrovni.
Franta má nainstalovaného klienta DynDNS, který mu sleduje IP adresu. Rychlá DNS mají krátký TTL, takže změna IP adresy se projeví do několika sekund / minut. Nevím, jestli je IPv6 schopno tak rychle měnit routovací tabulky, pokud jde o jednotnou IP
O běžné uživatele jde především. Dnes vrznu kabel do počítače a mám adresu, víc mě nezajímá. Kdo jednoznačně přiděluje MAC adresy? Kde je záruka, že jednoho dne také nedojdou. Nehledě na to, že IPv6 je sice 128 bitová, ale pokud je většina technologie založena na ethernetu, pak využitelný rozsah je stejně jen 48 bitů, protože víc MACovek neexistuje.
Jedna šifra na úrovni protokolu nebude, je povolených více šifer (jsou definované v RFC). Pokud používám vlastní implementace, stejně používám knihovnu, kterou udělal někdo jiný, IPv6 má centrální správu, tedy vyšší dohled než když si to dělám sám. Navíc protože je šifrování transparentní, jako uživatele mě vůbec nemusí zajímat co je použité za šifru. Na druhou stranu pokud mě to zajímá je to dohledatelné.
>Franta má nainstalovaného klienta DynDNS, který mu sleduje IP adresu.
Něco jako DynDNS je součástí IPv6, takže není potřeba ani ten klient, stačí IPv6 stack.
Adresy IPv6 jsou 128bitové, aby bylo možné vytvořit hierarchickou síť. To u MAC adres není potřeba a tak zatím stačí 48bitů. Už při návrhu se počítá s tím, že většina adres bude nevyužitých.
48 bitů je využitelných v jedné síti, pokud se použije MAC adresa jako základ dynamické alokace (ale IPv6 neurčuje, jak si klient má spodních 64 bitů obsadit, může to udělat úplně libovolně — Windows to dělají generátorem náhodných čísel), dalších 64 bitů identifikuje síť (jednotku oddělenou routerem), tzn. tam, kde je dnes jedna IPv4 adresa (a tedy jeden počítač či NAT), budou čtyři miliardy sítí, z nichž každá může obsahovat prakticky neomezené množství hardwaru
Ehm, tohle je samozrejme plk. Tam kde dotycny nebude chtit nic dal routovat (a proc by chtit mel) dostane proste kazde jeho zarizeni nejakou !jednu! adresu z nejakeho rozsahu. Samozrejme pak zalezi na ISP, jestli da jeden rozsah vsem svym oveckam, nebo kazde da jeji (neexistuje duvod proc by to tak mel delat).
Technicky totiz neexistuje zadny duvod, proc by si mel bezny uzivatel svoji sit routovat. To je samo nezbytne, pokud pouziva NAT a chce mit alespon jakous takous moznost si neco nastavit.
Neroutovat jednotlivé zákazníky zase přináší jiné problémy. Když budete mít na stejné L2 desítky až stovky PC jednotlivých zákazníků, budou se mezi nimi šířit broadcasty, které s chutí generuje třeba media player ve Windows 7.
Co až si někdo nastaví stejnou MAC jako má jeho soused na stejné L2. Pokud budete mít chytrý switch, zjistíte sice kdo to je, ale bude to stát čas. Nastavení povolených MAC na porty switche není řešení, pak vás bude každou chvíli někdo otravovat, že má nový/půjčený notebook a potřebuje registrovat MAC. Lze to obejít nějakou registrací na základě hesla ale to je zbytečné. Co když si někdo nastaví jinou IP adresu, jak ho pak identifikujete pro účely logování? Některé tyhle problémy sice lepší switche umí řešit, ale ne dokonale.
V prostředí takových ISP jako ten popsaný v článku je přístup „co klient to samostatná L3 podsíť“ věc, která vyřeší hodně problémů, a došlo se k němu reálnou zkušeností s provozem té sítě.
Třeba kabeloví operátoři nedělají na modemech obvykle routování, ale jak už jsem psal, ten modem dělá různá kouzla, aby si klient nemohl nastavit jinou IP.
Tohle ovsem jsou konkretni potize konkretni implementace site, nikoli problem IPv6 natoz adresace/dostatku adres. Broadcast (v rozumne mire = neni vadna sitovka/umysl) pro desitky ale i stovky klientu v jednom subnetu neni zadny zasadni problem. Rozumny switch lze nastavit tak aby pripadny flood odstrelil. Vyresit MAC taky neni IMO nijak zasadni problem, jednoduse nastavite aktualizace tabulek swiste tak, aby duplicitam zabranil a stejnou MAC na jinem portu ignoroval (taky umi kazdy rozumny). WiFi je samo kapitola sama pro sebe … ale bavme se o realne vetsine ISP/Klientu (celosvetove). Pocitam ze drtiva vetsina klientu = kabel (nebo technologie s odpovidajicim chovanim). To vpodstate znamena, co klient, to port nejakyho zarizeni.
Proč by si měl svou síť routovat? No třeba protože má stolní počítač, mobil a notebook (to všechno BFU často má). Všechno chce mít v jedné síti a pokud možno automaticky. Dneska to funguje. Routuje tam WiFi modem (dneska musí navíc dělat NAT). Nějaký důvod, proč přidělovat jenom jedno IPv6 adresu?
Ehm, a proc by si proste na kabel od ISP misto routeru nedal switch ? Nejaky naprosto zasadni duvod ? BFU si router stejne nikdy spravne nenakonfiguruje. Kazdy zarizeni proste dostane nakou IPv6 adresu a hotovo. Co vic, pokud ISP neomezi broadcasty, muze se lednice poptat, jestli v sousedstvi neni nejaka dalsi lednice, ktera by disponovala vychlazenou 12tkou, paac v te nasi zrovna dosla ;).
IPv6 umí autokonfiguraci i routerů (RFC 2894). Switch se nedává, protože třeba u ADSL (a nechci přemýšlet o mobilním připojení) by to buď docela snadno zahltilo linku nebo nefungovalo (Neighbor Discovery Protocol a další lokální broadcasty). Broadcasty v IPv6 mohou (podle nastavení) projít i přes router.
Kde jste vyčetl, že šifrování patří na nižší úroveň? Šifrování patří na tu úroveň, kde má smysl. Pokud provozuji službu na HTTP, pak šifrování patří na úroveň HTTP. Stará se o něj web server a webový prohlížeč. Tedy klient a server. Mít šifrování i na nižší úrovni je sice zajímavý benefit, ale jakožto autor internetové služby bych se na to nespoléhal. A jde to dál – tajná data běžně posíláme přes FTPS, ale předem je zašifrujeme. Nespoléháme na FTPS.
Navíc mi není úplně jasné proč „logicky šifrování patří na nižší úroveň“. Vezměte si třeba OSI. Podle vás je vhodnější šifrovat na linkové vrstvě, než na transportní? Tedy aby se při každému hopu data rozšifrovala a znovu zašifrovala?
Podle toho co nás učili by šifrování mělo být nejlépe na aplikační vrstvě. Zaprvé aby nemuselo docházet k analýze dat při transportu, zadruhé abych se vyhnul nezabezpečenému přenosu – pokud by mi šifroval TCP stack, tak moje aplikace předává data nešifrovaná a doufá, že TCP stack je zašifruje. Navíc má nezlomnou důvěru v to, že TCP stack není infikován. Pokud by měla šifrovat až síťová karta na úrovni Ethernetu, no to potěš. Těch karet na cestě…
Častý omyl :-) Ani ten root vám v útoku moc nepomůže. Stále musíte hacknout samotnou aplikaci, případně podstrčit upravenou verzi, která šifrování vypne. V každém případě to znamená dostat se do cizího počítače A nabourat se do požadované aplikace. To je nesrovnatelně složitější akce než jen nabourat se do počítače, nahrát tam upravený TCP stack a jako bonus získat data všech „internetových“ aplikací bez ohledu na jejich interní zabezpečení.
Jako příklad se udávají různé „password safe“ aplikace. I když se dostanete do počítače jako root a klidně nahrajete modifikovanou verzi aplikace, bez master hesla se k heslům nedostanete. Pak musíte zvolit jinou metodu – key logger nebo upravenou verzi aplikace, která po zadání master hesla všechna data někam uploadne.
Dalším příkladem je malware v podobě trojských koní. Botnety mají celosvětově miliony infikovaných počítačů, ale dodnes nikdo nedokázal s velkým úspěchem nainstalovat modifikovanou verzi třebas Firefoxu nebo MS IE, která by lhala o certifikátech a zjednodušila tak phishing. Nebo aby rovnou tajně schovávala „www.csas.cz za www.intruder.cz“ A to se bavíme o SW, který je na každém druhém počítači na internetu a je jen v několika málo verzích.
Zkrátka, je to jako cibule. Šifrování v TCP stacku je jako dobrovolně se zbavovat několika slupek. Třebas pak ještě nějaké zbydou. Třebas také ne.
Stáhnu si soukromý klíč aplikace. Buď z disku, je-li chráněn heslem, počkám na restart/výpadek, až se root přihlásí a heslo mu šlohnu, nebo si ten klíč vytáhnu z /dev/kmem.
„Dalším příkladem je malware v podobě trojských koní. Botnety mají celosvětově miliony infikovaných počítačů, ale dodnes nikdo nedokázal s velkým úspěchem nainstalovat modifikovanou verzi třebas Firefoxu nebo MS IE, která by lhala o certifikátech a zjednodušila tak phishing. Nebo aby rovnou tajně schovávala „www.csas.cz za www.intruder.cz“ A to se bavíme o SW, který je na každém druhém počítači na internetu a je jen v několika málo verzích.“
Jo, to mě fascinuje. Možná je to díky tomu, že tam je ještě další kanál (auth. SMS, čipovka…), takže by si stejně nepomohl. Ale tuhle jsem slyšel o kradení hesel na PayPal a Facebook.
A proc by bnekdo mel resit adresy uzivatelu ? (IPv6 ostatne primo v navrhu a vsechny widle se tak default chovaji, podporuje anonymni IP). Jediny co potrebuju je vedet, ze nekde mam pripojeneho uzivatele s tarifem XYZ. A jesli bude pouzivat jednu, 10 nebo 100 adres, mi v pripade IPv6 muze byt uplne putna.
Sifrovani = nemusim resi 1000 a jeden zpusob jak se bezpecne s nekym spojit, ucit se navazovat spojeni v milionu variant, proste si do hlavicky hodim priznak ze chci sifrovat a vyreseno …
DHCP = centralizovana manualni konfigurace. IPv6 se umi nakonfigurovat „od prirody“. Neni problem mit v siti vice routeru, zarizeni si je samo najde a muze byt videt pod libovolnym mnoztvi IPadres + samozrejme pod svoji domovskou IP.
Multimedia = predevsim multicast, ktery se na IPv4 sice provozovat da, ale pouze v omezene sitove infrastrukture, protoze IPcek pro nej vyhrazenych je proste nedostatek. Na IPv6 jej lze provozovat prakticky celosvetove. Uz jen toto + vyvoj ktery muze nevidet pouze slepy = obrovske financni prostredky usetrene za vykon a konektivitu (nemusite distribuovat stejny stream 100×, 1000× , … ale pouze jednou).
>> Jediny co potrebuju je vedet, ze nekde mam pripojeneho uzivatele s tarifem XYZ. A jesli bude pouzivat jednu, 10 nebo 100 adres, mi v pripade IPv6 muze byt uplne putna.
No ale z legislativních důvodů (a nakonec se to může hodit i při řešení problémů) potřebujete logovat veškerá spojení. A měl byste tedy znát relaci IP adresa – připojený zákazník. Nejjednodušším řešením je každému zákazníkovi přidělovat IP adresy z určitého rozsahu, který je jen „jeho“. To pomocí autokonfigurace neuděláte. Teoreticky lze zároveň sledovat ARP tabulky na všech switchích a logovat si je, ale to je reálně víc práce.
Takže ptám se, jak byste si představoval přidělování IP adres zákazníkům na společném L2, abyste byl schopen dohledat kdo je např. záškodník s určitou IP adresou. Jak byste řešil případný traffic shaping, aby se všechny IP adresy od jednoho uživatele počítaly do jeho fronty (ne všechny sítě si mohou dovolit dělat omezení rychlosti na portech switche, resp. dělají nějaký sofostikovanější shaping)?
Jo a multicast: co jsem slyšel, tak zásadní problém není ani tak počet dostupných IP adres. Zásadní je rozpor se současným modelem prodeje konektivity, hlavně tranzitní, a peeringu. Oni totiž tihle operátoři, co prodávají konektivitu, určují jestli multicast pojede. Multicast je super pro distributory obsahu, těm ušetří bandwidth. Ale ISP nemá zájem jim prodat menší konektivitu. A tady jaksi konkurence moc nefunguje, na dostupnosti multicastu musí být spolupráce hodně subjektů s často protichůdnými zájmy.
Docela rád sleduji diskuse kolem IPV6 – spíše z pozice „poučeného uživatele“. A mám celkem jednoduchou otázku – co z toho budu mít já jako uživatel?
Někde nahoře je komentář, který říká že IPV6 musí prosadit ISP provideři. na rovinu – proč by to měli dělat? Bude z toho nějaký profit (i když to možný vypadá, není to sprosté slovo)? Pokud ano, konverze proběhne rychle a snadno (alespoň relativně). Pokud ne, bude se zadrhávat – jak to sleduji není business model moc pozitivní alespoň prozatím.
A co se týče uživatelů – šifrování v době kdy můj soused (aktivní uživatel internetu) používá hesla typu 12345 to nevidím jako hot topic. Automatická konfigurace – no to předce funguje automaticky :-DDD a těžko se nějak prodá… Podobně se zbytkem. Osobně zatím nevidím „killer app“ – něco co mě jako koncového uživatele donutí zavolat ISP a říci mu ať kouká něco dělat, jinak jdu jinam…
„co z toho budu mít já jako uživatel?“
Na to je jednoduchá odpověď: budeš si moct k Internetu připojit tolik zařízení, kolik budeš chtít. Zatímco u IPv4 může být do Internetu připojeno 4 294 967 296 zařízení (mínus nějaká režie, takže třeba 2–3 miliardy) a to už přestává stačit, tak u IPv6 je teoretické maximum 340282366920938463463374607431768211456. V praxi samozřejmě o dost méně, ale pořád je to docela dost :-).
To jsou porad jenom jednotky zarizeni na uzivatele a vsechny si zvladnou pripojit i dnes. Navic k pripojeni toho vseho si doma netahaji kilometry kabelu, ale snazi se to resit wifi a ty maji v sobe automaticky router. Jedine co by jim mohlo vadit, ze nemuzou svou skvelou plazmu ovladat z Chorvatska, kdyz jsou na dovolene. Ale to stejne delat nebudou, bud si nahravani predplanuji, nebo vyuziji sluzbu TV on Demand.
P.S.: Ale ja taky verim ze moznosti ipv6 jsou skvele. Ta drobnustka, ze kazde zarizeni muze mit verejnou a dokonce i statickou IP muze mit nedozirne uplatneni. To ale lide nevidi, dokud to nezacnou masivne pouzivat, stejne jako clovek programujici v proceduralnim jazyce, nechape uplne jake vyhody ma objektovy jazyk dokud v nem nezacne aktivne delat. Pak se mu uplne zmeni pohled na vec.
Napr. K cemu lednice, ktera zna obsah potravit a umi to sdilet do internetu? To fakt nevim k cemu by to bylo dobre. Ale treba bude existovat nejake daleko lepsi zarizeni ktere nas ted ani nenapada a ktere by uz davno vzniklo nemuset resit vsechny ty NAT a jine problemy.
Jednoduchy priklad, OK ? Nebudes muset resit, jestli tvuj NAT zvladne 100 a vic otevrencyh konexi, nebudes muset resit, jestli se tvuj IM klient spoji s kamosovo klientem a totez plati pro VoIP. Za normalnich okolnosti se totiz IM klienti (a VoIP taktez) spoji naprimo vzajemne, nepotrebuji na to zadne prostredniky ⇒ vyssi bezpecnost, lepsi parametry (pakety jdou po nejkratsi ceste) a predevsim, nicim neomezovana funkcnost.
Ad sifrovani, vzhledem ke smirovacim aktivitam ve svete a i u nas, je sifrovani uz dnes zakladem jakekoli rozumne komunikace o cemkoli (klidne i o onom povestnem ho.ne).
Uvedu další argument proti překladu adres: lokalizace útočníka. Systémy vybavené (automatickou) obranou obvykle zablokují zdrojovou adresu. Pokud si <abbr>ISP</abbr> schová zákazníky za jednu adresu, tak nejen že ho seřve polovina zákazníků, protože hloupý Honza od vedle chytil vira, ale zrovna tak pro <abbr>ISP</abbr> představuje dohledání Honzy větší práci, než kdyby Honza měl adresu veřejnou. A nejlepší jsou <abbr>ISP</abbr>, kteří na abuse stížnosti nereagují. Takový pak zůstanou zablokovaní „na pořád“.
Česká specialita: natující <abbr>ISP</abbr> musí protokolovat všechny překlady transportních adres. A to se vyplatí. (Čímž sice popírám první odstavec, ale ruku na srdce, kdo tento zákon dodržuje?)
Myslím, že jste opomenul (minimálně) jednu podstatnou věc. Ve chvíli, kdy se sítě rozdrobí na menší a menší kousky, tak se pravděpodobně zvětší směrovací tabulka natolik, že na mnoha místech bude potřeba novější hardware. Již výše zmiňované náklady na hardware, který to „uNATuje“, ještě navýšíte tím, že budete potřebovat hardware, který bude mít dost paměti na udržení celé BGP tabulky, a dostatečný výkon, aby stíhal zpracovávat všechny změny, které mu budou chodit.
Mě z toho vyplývá, že je lepší a pravděpodobně i levnější rovnou udělat upgrade na hardware/software s podporou IPv6.
Kdyz tohle vsechno ctu, i v diskusi, jima me silena hruza … je jasne, ze jakakoliv technologie co je nova, bude chtit investici, co neni zrovna prijemna, ale je minimalne na hranici demence si myslet, ze novy a stavajici ISP do roka dostane jednorazove vice jak 4 cecka IPv4 … nebo jsem na tom RIPE meetingu asi poslouchal spatne, je to mozne, ma anglictina neni nejlepsi ;-) Kdyz kazdy bude delat opicarny typu NAT, bude se oddalovat nevyhnutelne a obsahu na IPv6 proste nepribude, coz doufam do tohodle zasahne nase CTU, a zacne rizena regulace IPv4 …v to doufam.
Krom toho vetsina ceskych provideru o poradnem routeru slysela z rychliku, obzvlaste tech malych. Jak tu rika Ondra, maximalne maji nejake Cisco xxx, co ma silne omezeny pocet routovacich tabulek a jiz dnes se resi vse default routou, coz znemoznuje chtene a finacne zajimave cary s konektivitou. Krom toho bych si tipnul, ze IPv6 tabulek bude urcite mene, protoze kazdy provider ma pod svym ASkem nativne snad jeden IPv6 subnet, maximalne 2 … + ty co routuje. Tak ci tak se snizi pocet, dle meho, a tim i zatez boxu, kdy pri prepoctu se stava kalkulackou. Problemem je dualstack, ja bych tu IPv4 nejradeji vypnul hned ;-) Mam zcela opacny pohled na vec nez autor clanku.
Modlim se za co nejdrivejsi konec IPv4.
f.
>> Problemem je dualstack, ja bych tu IPv4 nejradeji vypnul hned ;-)
To je technokratický pohled. Ač by se mi to třeba taky líbilo a vyřešilo by to dost problémů, je vzdání se IPv4 absolutně nereálné.
Máme tu zařízení, u kterých jsme rádi že jakž-takž implementují IPv4, jejich podstata leží jinde než v síťovém propojení a fungují bezvadně. Jak obhájíte investice do výměny těchto zařízení aby uměly takovou „blbost“ jako IPv6?
Pak existují různé krabice, které poskytují služby na IPv4 a chodí se okolo nich už pár let obloukem, protože to už nikdo není schopen spravovat. Ale jinak funkci plní dobře.
Prostě současný stav internetu je ukázka „evoluční“ výhody pragmatických řešení nad řešeními technicky korektními a hezkými. Globální internet a jeho podoba stojí v současnosti na obchodních zájmech ISP, a tady zatím nenastala dostatečná potřeba na rychlé zavedení IPv6. Technicky tu ta potřeba zcela jistě je, ale v ekonomické a uživatelské realitě ne. A rozhodně nechci, aby se do toho začal motat stát nebo EU.
Že provideři nemají pořádné routery od Cisca? Ano, nemají. Kdyby je totiž měli, tak by nemohl být „100Mbit/s za 300 Kč“. Nebýt těch technicky tragických (ve srovnání s enterprise produkty) mikrotiků a WiFi hraček, tak by podle mě v současnosti situace s internetem v ČR byla významně horší. Měli bychom tu shnilé ADSL s FUPem, protože v posledních letech se ukázalo, že zlepšování služeb ADSL a kabelových sítí žene vpřed konkurence ze strany „wifi amatérů co nemají ani pořádný router“.
Jen korekce: je tu forma Mikrotik, která má svůj operační systém RouterOS, který běží na obyčejných PC a také na jejich vlastní HW platformě RouterBoard.
Mikroti IPv6 „umí“ už dost dlouho, ale do použitelnosti se to dostává až poslední dobou. Byly problémy s OSPF a QoS (to možná úplně vyřešené není). Jinak souhlas, podle mě je mikrotik/routerboard pro tento segment zcela odpovídající, narážím na posměšky, že tihle ISP „nemají ani pořádný router“.
Jj, znam nemalo lokalnich ISP, kteri pouzivaji mikrotik + PC routery na paterich (samo s linuxem). Kupodivu maji radove min problemu, nez tzv „velci“ se svym Ciscem. Chapu ze uroutovat desitky/stovky Gbit uz neni prdel, ale na druhou stranu, nikde neni receno, ze to musi zvladat jedna krabice za miliony (a nakej ten Gbit zvladne i krabka za par tisicovek).
IPv6 nepovazuji za blbost … ale za dobry protokol. IPv4 povazuju za nedostatecny protokol, archaicky a pouzitelny leda s berlickama.
Blackboxy v siti nemaji co delat. Pokud nikdo nevi, jak se spravuji, co delaji a jak je efektivne nahradit za jiny box pokud mozno bez ztrary, kdyz se neco pokazi, pak je to spatne.
Cisca maji sve IOSy co umi IPv6 na vetsine vetsich boxu. Za posledni 2 roky vidim urputnou snahu nacpat IPv6 podporu k supported produktum. S temi co uz nejsou podporovane, to je spatne. Mimochodem, je vice firem na vyber, Cisco bylo jen jako priklad nejrozisrenejsi platformy v CR.
A k cene 100Mbit/s za 300 Kc. To neni prece normalni prodavat kontektivitu za 3 stovky o velikosti 100Mbit/s. Cenik NIX je verejny, transitni operator nebude levnejsi nez NIX. Takze kalkulacku do ruky a kazdemu dojde, ze 100Mbit/s za 3 kila je nesmysl.
A k tem wifi amaterum … myslim, ze prave oni jsou Ti, s velkym T, kdo to zenou do predu a implementuji IPv6 vice, nez velci hraci na trhu. Ti na to spise kali …
Z meho pohledu nas ceka neco jako precho z BNC na RJ45. Proste vsichni doma vymeni male boxiky, provideri velke boxiky, ale bez toho to proste nejde. A cim drive, tim lepe.
Oba máte napůl pravdu. Stávající web servery (a nejspíše i ty nové) budou pořád na IPv4 a nebudou mít vůbec žádný důvod (kromě ideologických) to opouštět. Postupně zavedou kombinaci IPv4 a IPv6. Ovšem třebas někdo časem přijde s nějakou novou službou (ne jen obyčejný web server), která bude s úspěchem fungovat na IPv6 a zároveň nebude implementovatelná v IPv4. Tahle „killer app“ pak bude důvodm pro migraci uživatelů. Jenže je smutným faktem, že zatím žádná taková není a zastánci IPv6 ji kupodivu ani nehledají. Přitom pár nápadů tu je, dokonce padly i v diskusi. Ale dokud se tyhle nové aplikace nezprogramují, bude IPv4 tou jedinou dobrou sázkou na jistotu. Jinak řečeno, revoluce nepřijde bez příčiny. A osvěta je nástrojem evoluce, nikoliv revoluce.
To ze dojdou ipv4 adresy je jen jeden duvod, ktery se casto uvadi, protoze je srozumitelny i lajcke verejnosti.
To ze vedsina lidi nechce verejnou IP adresu je dano tim ze ani nevi co to je. A vhledem k tomu, ze ty moznosti co verejna IP dava nikdy nemeli sanci okusit, tak neni divu ze oni nemaji zajem.
Situace je strašná. Heslo „Náš zákazník náš pán rozhodně neplatí“.
Proč by poskytovatele investovali do IPv6, když mohou naopak draze nabízet IPv4. Máme zde poskytovatele, kteří pak za pevnou veřejnou IPv4 chtějí stokoruny měsíčně. A o IPv6 napíši, že není třeba.
Jsem u UPC. Mrkněte se na jejich stránky. Informace o pevné veřejné IP najdete až v ceníku služeb. A cenu stále zvedají. Nyní tam mají 201,68Kč měsíčně. No nedivte se, že zákazníci se radši otravují různými obezličkami, než aby si požádali o pevnou veřejnou IP. O IPv6 na svých stránkách nepíši vůbec. A když se aktivně zeptáte, kdy vám budou přidělovat IPv6, tak odpoví, že na to nemají připravenou síť a že o tom dokonce ani neuvažují. Alespoň to jsem se dozvěděl před cca měsícem.
Takže já jako zákazník (a znám spoustu dalších) chci IPv6 a pevnou veřejnou IPv4 (tu potřebuji do doby než se to konečně rozhoupe a bude většina obsahu dostupná i přes IPv6). Ale to za situace, kdy chtějí poskytovalé rýžovat na IPv4, tak brzo nebude.
A věčná argumentace: „nemáme připravené sítě“. Autore článku proč by jste okamžitě museli měnit routery u zákazníků? Já bych jako zákazník byl rád kdyby poskytovatel nabízel IPv6, alespoň přes tunel. IPv4 a IPv6 může koekzistovat. Ale neschopnost poskytovatelů mě pak vede k tunelům ke třetím stranám.
Toť pohled můj jako zákazníka. A až budete blábolit, že to zákazníci nechtějí, tak už samotná existence a používání tunelů a serverů třetích stran jasně ukazuje, že to uživatelé internetu chtějí (IPv6 a pevné veřejné IPv4). Jen mnozí neznalí problému neví, že to co chtějí se jmenuje pevná veřejná IP adresa. Prostě se jen chtějí spojit s kamarádem a zjistí že to přímo nejde. Že na to jsou různé programy a třetí strany, které si za to mohou nechat i platit. Ti co se o to pak zajímají více třeba zjistí, že jejich data pak cestují někde přes tramtárii.
No hrůza, kolik let budu ještě čekat na dobu, kdy budou poskytovatelé internetu schopni poskytovat i IPv6 adresní prostor. Třeba i přes tunel. Kolik let budu číst a poslouchat žvásty, že to zákazníci nechtějí. Kolik let budu řešit problémy s NATy. Kolik úsilí, peněz a obezliček bylo a ještě bude vynaloženo na funkčnost různých programů přes několikanásobné NATy.
Myslíte, že kdyby jste se i neznalých zákazníku zeptali, zda chtějí mít možnost sdílet si soubory mezi sebou přímo, možnost telefonie přímo atd. že by to nechtěli? Samozřejmě, když se neznalých zeptáte zda chtějí pevnou veřejnou IPv4 či IPv6 a ještě k tomu dodáte, že internet jim poběží i bez toho a k tomu, že by jste za tyto pro ně zbytečné služby chtěli ptatit, odpoví že nemají zájem. Prostě nevidí pod pokličku kčemu to vlastně je. A tuto neznalost zákazníku pak poskytovatelé zneužívají a tvrdí o své neschopnosti, že to uživatelé nechtějí. I když ona to možná není neschopnost, ale schopnost vytěžit ze zákazníků co nejvíce peněz aniž by se jim poskytly služby, které požadují už roky.
Situace je strašná. Heslo „Náš zákazník náš pán rozhodně neplatí“.
Ale platí! nevím jaké máte zkušenosti s vedením firmy vy, ale všichni v JČ, kteří řešili technické fajnšmekřiny na úkor agresivního obchodu už skončili. Před 20ti dnama to byl např http://www.inet4.cz. Měli svoje AS, poctivě postavenou FTTB síť asi 2000 klientů, IPv6 pokud vím uměli a nic z toho jim nepomohlo k bezstarostnému provozování. Naopak tu na celé čáře suvereně vede firma která nic z toho neřeší, pouze agresivní (rozuměj lživý) marketing a agresivní (rozuměj ilegální) výstavbu infrastruktury.
Proč by poskytovatele investovali do IPv6, když mohou naopak draze nabízet IPv4
Nabízíme veřejnou IPv4 zdarma, lidé jí nechtějí. Radíte nám: Neptejte se lidí chcete veřejnou, ale: chcete si navzájem sdílet soubory, hrát atd? To je opravdu naivní. Odpověď nejlepší pro běžného uživatele by totiž nezněla: Tlačte na svého ISP ať Vám oběma dá veřejnou, Nakonfigurujte si na obou stranách firewally v routeru, ve windows, nainstalujte třeba winscp a přeneste si soubory. Odpověď pro koncáka totiž bude znít: nainstalujte si Torrent, nebo jednodušeji DC++. Naopak IPv6 je pro nás skutečně drahé a než se do toho pohrneme, chceme mít propracovanou koncepci (adresace atd).
A věčná argumentace: „nemáme připravené sítě“. Autore článku proč by jste okamžitě museli měnit routery u zákazníků? Já bych jako zákazník byl rád kdyby poskytovatel nabízel IPv6, alespoň přes tunel. IPv4 a IPv6
Jak jsem psal, každý zákazník teď dostává vyroutované /28 na privátních adresách, stejně dostane vyroutované IPv6. Náš zákazník NEBUDE potřebovat měnit své koncové zařížení. Ale my potřebujeme vyměnit skoro všechny L3 switche. To je právě ta koncepce. Pokud by teď zákazník požádal, jsem přesvědčen, že bysme mu ji dali. Už pro to, že bychom mohli napsat do novinek, první přidělená IPv6 :) Ale lidi to prostě nechtějí, tak se budeme potichu a pořádně připravovat.
Přiznám se, že považuji za velmi neprofesionální tahat do diskuze o IPv4/IPv6 Vaše „osobně-firemní“ rozbroje s konkurencí a na základě toho poměřovat IPv6 s libovolnou obchodní strategií.
Mnohem raději bych uvítal, kdybyste reagoval věcně a technicky. Například můj komentář, který uvádí konkrétní technický protiargument Vás zjevně k odpovědi nevyprovokoval.
Vaše rozhořčení chápu, ale matete pojmy. Pevná IP adresa je skutečně drahá věc a prakticky žádný ISP ji neposkytuje bezplatně. Ovšem také je to věc velmi zbytečná. Zajímat vás to bude pouze pokud chcete doma provozovat internetový server, chcete ho často rebootovat a nechcete používat cizí DNS.
Já osobně tyhle potřeby nemám, stačí mi veřejná IP adresa a tudíž nebýt za NATem. Že mám po každém spuštění počítače jinou IP adresu (teoreticky, prakticky se mění jen jednou za pár týdnů) mi vůbec nevadí. Když jsem nějakou dobu provozoval doma server, používal jsem jako DNS službu „noip“, takže se s tím i „uživatelé“ vyrovnali. A tuto službu mám samozřejmě u UPC zdarma, byť to bylo kdysi na požádání (nyní je to už tuším standard). Teprve pokud bych chtěl mít přidělenu jen jednu pevnou IP adresu, musel bych platit ceníkovou cenu.
Takže prosím, uvědomte si, že „pevná IP adresa“ a „veřejná IP adresa“ jsou dva různé pojmy. „Pevná“ bez „veřejná“ by nemohla existovat, ale „veřejná“ bez „pevná“ 99.9% uživatelů úplně stačí.
Že matu pojmy? Chci jen adekvátní náhradu za IPv6, když je to podle článku jen bublina. Adekvátní náhradou by byla podsíť veřejných pevných IP adres a já chci skromně jen jednu. Pouze „veřejná IPv4 adresa“ není náhradou za „podsíť veřejného pevného bloku IPv6 adres“.
Dále na začátku píšete:
Pevná IP adresa je skutečně drahá věc a prakticky žádný ISP ji neposkytuje bezplatně.
Takže vlastně potvrzujete čím začínám já:
Proč by poskytovatele investovali do IPv6, když mohou naopak draze nabízet IPv4. Máme zde poskytovatele, kteří pak za pevnou veřejnou IPv4 chtějí stokoruny měsíčně. A o IPv6 napíši, že není třeba.
Před lety jsem žádal pro poskytovatele balík veřejných IP adres. Bylo to zadarmo, jen jsem napsal odůvodnění k čemu jsou potřeba. Nevím jaká je dnešní situace, zda poskytovatelé za přidělené IP adresy platí pronájem, ale určitě ne tolik kolik chtějí po zákaznících. Prostě jak jsem psal výše chtějí na IPv4 vydělat co nejdéle to půjde a využívají úbytek IPv4 na zvyšování jejich cen.
Sorry, ale adekvátní náhrada za IPv6 ve formě IPv4 neexistuje.
Pojmy matete v tom, že se domáháte funkčnosti veřejné IP adresy, ale dokládáte její nedostupnost ceníkem pro statickou IP adresu. Veřejnou IP adresu UPC nabízí zdarma a pokud chcete provozovat vlastní domácí minisíť, tak vám jich poskytnou i více (to už je na požádání). Nebude to ale statická IP adresa, protože ačkoliv má UPC dost adres pro současnou práci velké části zákazníků, nemá jich dost pro současnou práci všech. Stejně tak vám těžko poskytnou těch veřejných adres více než 232, což by v případě IPv6 nebyl vůbec žádný problém.
rekl bych ze bublina to asi neni. kdyz si predstavis ze lidstvo speje k tomu ze za par let si pripojis lednici kavovar wc a spooooustu drobnych veci do site, ip adres proste nestaci.
To ze pripojovat takove 3,14coviny nebudeš ty a par set tisic nám podobným neznamená že to neuděla 2 mld lidi.
A navic, ipv6 je vychytanejsi protokol, když si to lidi nenechaji udelat na posledni chvily tak to není problematicke, a moc nestoji, relevantne ))
Progresu proste neutečeš
Je to bublina. IPv6 naštěstí neutečem, ale nemá cenu lidi strašit. Tyhle „3,14coviny“ mohou běžet v pohodě za NATem. Například celé mobilní sítě jsou v pohodě zanatovány za několika IP (napr gprs1.vodafone.cz) a jak často si lidé stěžují ? Stěžují, ale rozhodně ne na to. Stěžhují si na rychlost a cenu a tak to také zůstane, tyto debaty jsou akademické a to se snažím napsat.
Z technického pohledu by bylo hezké, a ze síťového pohledu „správné“, abych se na ten kávovar připojoval přímo. Ale řeknu vám svůj odhad, jak to bude vypadat, až tu takové kávovary budou:
V tom kávovaru nepoběží žádné uživatelské rozhraní, ale primitivní API server, který si bude stahovat instrukce, co má dělat odněkud z „cloudu“. Webový ksicht na ovládání těch kávovarů pojede na „cloudu“, a všechny vaše kávovary / lednice / … si budou stahovat instrukce z nějakého serveru.
Hrůzná představa? Pro mě trochu také. Co se stane až ten provozovatel serveru skončí – budu muset svoje kávovary vyhodit?
Na druhou stranu takové řešení má i výhody, a pokud bych pro něco takového měl navrhovat architekturu, řešil bych to asi stejně, a to i za předpokladu, že bude 100% rozšířené IPv6.
Proč? Protože co když bude mít někdo těch kávovarů a lednic víc, co když bude mít jeden doma a jeden na chatě. Bude to chtít ovládat z jednoho místa! Bude chtít kdekoliv zadat do browseru kouzelnou adresu mojekavovaryalednice.cz, přihlásit se, a vidět tam všechno. A normální člověk na to nechce mít vlastní server!
Přesně tímhle způsobem udělané jsou viděl řešení EZS (elektronické zabezpečení budov) ovládané přes web. Ta EZS ústředna je připojena třeba přes nějaké ubohé pomalé GPRS, navíc placené podle přeneseného objemu, takže je nesmysl přes to tlačit kompletní web rozhraní. Mohla by sice být desktopová aplikace, co bude s to ústřednou komunikovat nějakým úsporným protokolem. Ale killer-feature tohoto konkrétního řešení byl přístup „odkudkoliv z internetu přes www browser“, na server provozovatele se třeba i přes to pomalé GPRS synchronizovaly fotky z kamer, a šlo je rychle prohlížet. Jako bonus na připojení té středny není potřeba veřejná IP. I když i dnes by v té ústředně mohl být klient na nějakou IPv6 VPN, jejíž server bych případně mohl provozovat sám. Ale architekti nezvolili takové řešení. Šli cestou nejmenšího odporu a spokojeno je 99% procent uživatelů, až na ty, co sní o síťových ideálech point-to-point komunikace. Taky se mi to nelíbí, ale vývoj ženou peníze, resp. maximalizace čísla výnosy – náklady.
I tady by bylo výhodné, kdyby server na kávovar viděl. Kávovar by se nemusel každou minutu ptát serveru, jestli se náhodou něco nezměnilo (nebo nedejbože udržovat TCP spojení), ale jen by poslouchal a server by mu v případě změny stavu poslal pár paketů. Provozovatel serveru by ušetřil, protože by se mu snížil datový tok, uživatel by ušetřil, pokud je kávovar připojený přes GPRS placené za data a ještě by byl happy, že kávovar může začít vařit hned a nemusí čekat minutu do další synchronizace se serverem.
Se omlouvám, ale připadá mi to jako ptákovina. To je stejné jako s emailem. Proč má fungovat email, když se PC musí v pravidelných intervalech připojovat a zjišťovat, zda nedošla pošta – když podle vás by bylo lepší aby každý PC byl s veřejnou IP na síti. Tomu kávovaru zkrátka pošlu „email“ aby uvařil kafe – i když se to nebude jmenovat email, ale bude to nějaký request.
A ušetření datového toku – vy si děláte legraci, ne? Vy nevíte o kolik naroste datový provoz přechodem na IP6?!? To ty bity a bajty navíc se budou posílat jak? To že se kávovar jednou za deset minut zeptá zda není nějaký jeho požadavek, je relativně malý nárůst provozu proti přechodu na IPv6 :-(
„To je stejné jako s emailem. Proč má fungovat email, když se PC musí v pravidelných intervalech připojovat a zjišťovat, zda nedošla pošta – když podle vás by bylo lepší aby každý PC byl s veřejnou IP na síti.“
Nějaká novější verze IMAP už tuším drží TCP spojení a server mu posílá notifikace.
„A ušetření datového toku – vy si děláte legraci, ne? Vy nevíte o kolik naroste datový provoz přechodem na IP6?!? To ty bity a bajty navíc se budou posílat jak? To že se kávovar jednou za deset minut zeptá zda není nějaký jeho požadavek, je relativně malý nárůst provozu proti přechodu na IPv6 :-(“
Skutečně? Když se bude každých deset minut ptát, tak je to 144 spojení denně. Pokud by ho kontaktoval server, tak to budou nějaká 2–3 spojení denně.
V tom kávovaru nepoběží žádné uživatelské rozhraní, ale primitivní API server, který si bude stahovat instrukce, co má dělat odněkud z „cloudu“.
Proč z cloudu zase??? Ve svém počítači, NTB, mobilu, hodinkách budeš mít app, která bude mít seznam těch tvých kávovarů a která si je obslouží pomocí toho API. K tomu žádný centrální server vůbec nepotřebuješ.
Já to vím. Ten cloud byla narážka na současnou popularitu toho slova.
Vycházím z reality většinového uživatele, který prostě nechce mít „app“. Dnes je killer-feature mít to celé na webu, protože to funguje bez instalace/spouštění nějaké aplikace na jakémkoliv počítači, kde je web prohlížeč.
Já to taky nevidím jako úžasné řešení, ale sleduji, jak to vnímají normální lidé okolo mě. Pro ně je podstatné „nic neřešit“. Proč získaly takovou popularitu webmaily (seznam.cz apod.) oproti POP/IMAP mail klientu na PC, který je o dost pohodlnější? Před takovými 6 lety jsem u hodně lidí viděl řešení mailů přes Outlook Express. Dnes minimálně. Protože oni to vše chtějí mít přístupné z práce, z cizího počítače na navštěvě, z mobilu atd. A ten stav, co je teď, prostě časem vykrystalizoval, protože obrovskému množství lidí to vyhovuje.
Stěžují, ale rozhodně ne na to. Stěžhují si na rychlost a cenu a tak to také zůstane
A to je další problém. Spíše takový začarovaný kruh. Pokud se nemám možnost připojit k sobě domů (např.), tak budu mít výrazně větší download, než upload. Na toto zareaguje isp s brutálně asymetrickou linkou. Takže pak nejenže nemám možnost se připojit domů (protože NAT), také se tam nepřipojím z důvodů minimální rychlosti. Takže ano, u gprs si nestěžuji na nemožnost konektivity, ale zcela oprávněně na mizernou rychlost.
To pak vede ke vzniku centralizovaných uzlů, protože peer to peer se komunikovat nedá (nat a mizerný upload). A to pak vede ještě k menší poptávce po IP.
Jsem přesvědčen o tom, že kdyby byla konektivita symetrická a přímá, tak by existovali programy typu „připrav soubory pro odeslání k Frantovi“ na jedno kliknutí, a byly by široce používané.
V době, kdy jsem měl symetrickou lajnu, tak jsem měl objem uploadu vyšší jako objem downloadu. Pracoval jsem vzdáleně na domácím počítači (ze školy, od kamošů apod.), tahal z něj soubory atd. Dneska mám upload stejný jako tehdy, zato download mnohonásobně větší. Ale k čemu mi to je? Místo Internetu mám jen cosi na stahování dat.
No kdyz ty cisla vynasobite cca 3ma, tak jde o historicky maximum (cca). Znam osobne i cloveka, kterej si pustil torrent na pripojce do NIXu a pak resil s provozovatelem trackeru, jestli nefakuje stats ;D. nechteli mu verit ze za den naseeduje nekolit desitek TB.
Ovsem (mam to i empiricky overeno) pokud je linka symetricka, tak vetsina lidi generuje ± symetricky provoz. Dokonce v posledni dobe zaznamenavam posun vic k uploadu, protoze vsichni nahravaji na facebook a jiny prasteny sluzby fotky a dalsi nadhery z dovolenych (tedy i ti, ktery p2p site nepouzivaji).
Drtiva vetsina lidi totiz nevyuzije 10, 20, 100Mbit na downloadu, ale 512kbit na uploadu je doslova s.re.
BTW: Torrent provozovanej na azdsl kysliku, to musi byt celkem tragedie, obzvlast, pokud down cirou nahodou dosahuje toho AZ. Protoze to pak odseedovat je na 1/2 roku. Proto si nemalo obeznamenych BFU porizuje za nejaky baksis pronajem nejakyho toho virtualu na rozumny lince.
„Pracoval jsem vzdáleně na domácím počítači (ze školy, od kamošů apod.), tahal z něj soubory atd.“
A jak vyřešíš bezpečnost? Šifrováním ne, to ti nepomůže, když je ten počítač ve škole nebo u kámoše cracklý. Nebo si s sebou nosíš live-cd, které bootuješ, když se chceš připojit domů? Ale pak zas o bezpečnosti bude remcat ten majitel toho počítače, protože neví, co na tom CD je…
IANA(ICANN) vlatní celý IP prostor, přiděluje z něj adresy podle potředy RIRům (RIPE, ARIN atd) po A blocích. A blok je blok /8 (maska 255.0.0.0), tj 16,7 Milionu adres. RIRové přidělují dle potřeby LIRům (O2, GTS, My a další stovky), které pak přidělují uživatelům. C blok má masku /24 (255.255.255.0) tj. 256 adres. Standardní alokace od RIPE bývá 16C, tj 4096 adres. Dá se to i dohledat, ale co bych neposloužil
Jen tak ke zvazeni, neni uplne nutne menit vsechny switche, muzete stahnout provoz trunkem na nejaky router, ktery IPv6 podporuje a routovat na nem. Samozrejme neni to uplne nejhezci reseni, ale muze usetrit dost penez. Navic je potom mozne nasazovat i dalsi vychytavky, ktere se na tupem switchi s podporou routovani na L3 nasazuji spatne.
Predpokladam, ze u bezneho uzivatele je provoz mezi dvema porty na switchi minimalni, vetsina stejne tece do/z internetu a tak musi pres routery/pater tak jako tak.
Takto to asi skončí nakonec skončí, ES4612 umějí po upgradu 4096 VLAN, takže jich bude stačit pár do exponovanějších bodů. Je to ale bezpečnostní problém. Ethernet nebyl původně pro WAN navržen a pouštět si MAC od klientů na páteř vidíme jako docela problém (různé floodingy, ARP Poisony atd). Ochrany jsou v podstatě heuristické (MAC limit per port, storm protection, port shutdown traps), nejlepší je ten balast odroutovat na L3. Ale finance jsou nejdůležitější tak asi robustnost budeme muset obětovat.
Nevidim tam zadnou ujmu robustnosti, na tom routeru udelate staticke ARP, eth0.1 – eth0.4096 a na danem portu nechate to co tam mate ted a jeste navic muzete pridat ruzne arpwatche (byt teda 4000 na jeden stroj asi neni uplne stastne), ebtables, iptables, same mnohem mocnejsi veci nez umi „obycejny“ switch.
Je vidět, že jste nelovil ducha na Ethernetu. Nebo, že jste nepoužíval ETH okruhy od ČDT když jim týden v kuse po republice kolabovala switchovaná síť.
Není nad odroutování co nejblíže zákazníkovi (ČDT to teď přestavuje, možná i malinko na naše „doporučení“ a hlavně po tom, co jim ze strany klientů byla vypovězena půlka ETH služeb).
Jinak ale máte pravdu, tudy asi budeme muset jít. Určitě ne, tunelovat L2 až na bránu, ale sdružit několik L3 switchů do jednoho a tam nasadit podporu IPv6.
Vsak flapujici routing v routovane siti se taky nekdy nehleda snadno, byt samozrejme flapuje vyrazne pomaleji nez se sesype ethernet.
Urcite jsem to nemyslel tak, ze stahnete vsechny zakazniky az nekam na branu, to by vam ostatne nestacilo ani tech 4096 VLAN, nemluve o tom, ze danemu PC by byla PCI sbernice sakra ouzka.
ISP zcela chapu. Jenom blazen by chtel vyssi naklady.
Jinak je to ale zcela mimo. Prima komunikace ma obrovske vyhody. A to nejen primo pro koncove uzivatele, ale z duvodu jednodussi spravy infrastruktury i pro ISP. Chce to ovsem tu pocatecni investici. Zejmena tam, kde se na to do ted kaslalo.
Potiz je v tom, za znacna cast ISP to vidi nasledovne: Co bysme kupovali nejaky IPv6, sak je casu dost.
A klido muzu i jmenovat GTSku jejiz obchodak na dotaz „Umite IPv6“ odpovi „zadny problem“, nacez vam reknou, ze myslel ze chcete sest IP adres (a s komentarem ze se teda byl zeptat technika co to je a ze to pry nikdo nechce a je to nanic).
⇒ pokud chcete cokoli co se jmenuje IPv6, ruce pryc od GTS (jop, podle tabulky na NIXu IPv6 peer maji).
No, myslim si ze kazdy rozumny ISP muze rozdavat i verejne IP adresy, my to tak uz delame – zaregistrovali jsme si dostatek IPv4 u http://isp-servis.cz a NAT neresime. Navic mame ASko, takze nejsme vazani nasim ISP, ktery by mohl adresy sebrat, pokud by byli jeho. Casem pak prejdeme na IPv6 dual stack.
Hmm, zatim posledni vyjadreni meho ISP je zhruba v tom smyslu, ze maji IPv4 prefix + AS zadara (= dve sluzby) a kdyby chteli IPv6, tak si to musi (u RIPE) zaplatit. Navic zrejme neni schopen IPv6 nativne poskytnout jejich pripojovatel. Prudim je pravidelne co 1/2 roku uz dobre treti rok (mam tunel).
Nasel sem na tom webu celkem zajimavej bug :D, a moc duvery to teda nevzbuzuje.
в 2009 roce
Sem zvedav jak to root zkousne (Edit: samo blbe, utf znaky mu sice v editoru neva ale ve vysledku evidentne jo, je to pokud me skleroza neklame rusky „v“), ale tohle cesky teda rozhodne neni a takovejhle preklep by musel generovat hodne ozralej discosi.
Jen pockejte, az vyrobci viru objevi moznosti IPv6, to bude hukot… ;-) Anebo ne? Minimalni znalosti IPv6 spravci siti a firewalu, minimalni znalosti IPv6 uzivateli, chyby programatoru pri psani IPv6 sluzeb; k tomu moznost IPv6 komunikovat kazdeho PC s kazdym; to bude raj pro sireni cervu a jine haveti. Nebo to bude jinak?? Uvidime…
Trochu me vadi placani do vetru o tom, jak O2, UPC a wtf. nekoho strci za NAT.
Pokud vim, tak carrier-grade NAT je vetsi problem, nez si leckdo dovede predstavit (zvlast pokud je stastny uzivatel iptables nebo pf). Pouha teoreticka omezeni umoznuji dat za jednu outside adresu jen asi tak 100–200 klientu (protoze ~65000 portu pak dava kolem 600–300 spojeni na jednoho klienta a to neni nemozne dosahnout, zvlast pokud je klient z hlediska ISP realne cela domaci sit, samozrejme za dalsim NATem). Tech 100× vic klientu se mi nezda tak moc, v porovnani s moznostmi, co dava IPv6.
NATovat toky v radu Mpps znamena hardware-assisted NAT. Je velmi pravdepodobne, ze vendori dodaji bud cele NATovaci boxy a nebo moduly do soucasnych zarizeni, ktera zatim vesmes nedisponuji vykonem NATu na urovni IPv4 nebo i IPv6 routingu (napr. Cisco 7600 s RSP720 NATuje ~20Mpps, zatimco IPv4 routing je 400Mpps a IPv6 200Mpps). Nakonec by se dost mozna ten NAT v takovemhle meritku ukazal jako draha sranda, kdyz by se vlastne kupovaly agregacni boxy po dvou (router + NAT box, resp. routing supervizor + NAT modul). Dovedu si jeste predstavit, ze pokud adresy proste nebudou, tak nekdo bude stavet novou paralelni sit na RFC 1918 adresach a NATovat ji, ale mnohem hur se mi predstavuje, jak retrofitovat NAT do stavajici infrastruktury.
Mimochodem, v podobne situaci, kdy lpite na nejake rozsahle L3 infrastrukture, co umi jen IPv4, muzete pouzit 6RD (RFC 5569 a nebo tak nejak). Paradoxne se timhle muzete kvalifikovat na prideleni /24 (IPv6kovy prefix). Ale hadam, ze to nebude vas pripad, protoze nejspis userum nedavate zadne koncove krabicky…
Rozhodne by bylo bajecne dat uzivatelum nejake cukratko za to, ze implementuji IPv6. KAME zelvicka, co vrti vocaskem a panacek se zelenou plackou na www.nix.cz se zrejme nejevi vetsine lidi jako dost velka atrakce, aby kvuli nim investovali penize a cas do implementace IPv6. A IPv6 mobilitu jsem jeste nikde nevidel nazivo fungovat. Mozna by mohly byt dost velkou atrakci pro P2P konektivitu videokonference v poradne kvalite. Nehlede na to, ze pokud by se cerne scenare ohledne vetsiho podilu NATovani splnily, tak bude cim dal horsi pomer mezi userama, kterym bude moct Skype zneuzit verejnou IP adresu a temi, co budou chtit zneuzivat, nebot budou za NATem, takze tohle postupne prestane fungovat.
ADSL je tak brutalne asymetricke, ze na nejakou kvalitni videokonferenci je mozne rovnou zapomenout. A zatimco IPv6 je technicky mozne uzivatelum ADSL natlacit, symetricke linky pro kazdeho jsou utopii a prijdou az nazraje cas pro novou pristupovou sit na jine technologii a to potrva mnohem dele nez nasazeni IPv6 a bude to mnohem drazsi.
tak neviem teda.. nadpis hovori o dostatku ipv4 ale clanok o presnom opaku. jedine co sa autorovi nepaci je to ze prechodom na ipv6 bude mat nejaky cas nizsie zisky.
bol som dost dlho za NATom nato aby som vedel ake moc zle to je. uz nikdy doma nechcem pristup na net bez verejnej adresy