Názory k článku Univerzitní eduroam pouze na IPv6: mechanismy DNS64 a NAT64

Pekny clanek. Jen by bylo fajn na podobnych mistech pouzivat "dokumentacni" prefixy a ne nejake pseudo-random a defacto public :) Aneb jsou mezi nami lide, co bezmyslenkovite copy-pastuji...

S použitím ip adres jsem ve článku dost bojoval, muselo to dávat smysl, protože ty adresy se táhnou od začátku až do konce a navazují na sebe. Jaké, prosím, používáte dokumentační prefixy?

Asi narazi na ten IPv6 prefix 2001:db8::/32, ktery je vyhrazeny pro tyhle ucely.

Už jsem to také našel, rfc5737 a rfc3849. Pooly pro dokumentace:
192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 a 2001:db8::/32
Stále se učím.

Tak mě napadá, že škoda, že to není 2001:d0c::/32 .. to by se i pamatovalo :)

tak db8 je "di b(i) ejt" - tedy debate, debatovat...

6. 11. 2024, 15:51 editováno autorem komentáře

Koukam ze i ctyrka ma tri Ccka pro stejny ucel, 192.0.2.0/24, 198.51.100.0/24 a 203.0.113.0/24 :-)

“Náš pokus sice nedopadl úspěšně a museli jsme zůstat u dual-stacku”. Ve skolstvi tohle neni problem, ale v soukrome sfere si na kazdou akci firma musi vydelat. Kdyz ctu v diskusich od “expertu” jak je ipv6 ready a pak ctu clanky s realnym nasazenim pripadne se bavim s lidma kteri ipv6 zkusili ve firmach nasadit tak si rikam ze i po xx letech je ipv6 porad ne uplne dokonala nahrada ipv4. Diky za clanek!

Vysvětleno to bude podrobně příští týden v další části. Problém není v IPv6, ale ve snaze se někdy připojovat přímo na IPv4 literál, což dělají některé aplikace a občas i uživatelé v prohlížečích. Když prostě požádáte explicitně o komunikaci po IPv4, nemůže vám to v síti s IPv-cokoliv fungovat.

Tohle je v principu možné jen na IPv4, na jiném protokolu se na 8.8.8.8 nepřipojíte. Řešením je CLAT, který ale není ve všech operačních systémech automatický zapnutý. CLAT vytvoří u klienta lokální IPv4 adresu a požadavky pak překládá do IPv6. Je to funkční a bezproblémové řešení a třeba na Androidu nebo systémech od Apple to prostě funguje.

Jednodušším řešením je samozřejmě pořád dual-stack, kdy fungují oba protokoly. Je to dlouhodobě používané a prověřené řešení, kdy se většina provozu přesune na IPv6 a když někdo požádá o komunikaci po IPv4, použije se stará verze.

Ipv6 u svych zakazniku (firmy se stovkami zamestnancu) mam nasazeno 20+let. Nikdy nebyl zadny problem s Ipv6 jako takovou. Samozrejme tam bezi vzdy dualstack.

Jediny problem na ktery sem osobne kdy narazil, byla implementace IPv6 v (ne)souladu se stale platnym narizenim vlady nekterymi urady. Ty si sice nacpaly Ipv6 do DNS, ale ty adresy byly nedostupne, coz vedlo k cekani na timeout a pokusu pres v4.

Aktualni rozlozeni provozu se pohybuje od 40 do 80% po v6.

Naprosto paradni je predevsim to, ze narozdil od ruznych v4 only frikulinu naprosto neresim kolize IPcek. Na v6 se mi nestane ze by mel nekdo doma nebo kdekoli jinde stejny privatni rozsah ze? Vsechny VPNky mam v6 only.

Zkušenost z naší firmy: IT nechce nasadit IPv6, protože "počítače jsou vidět z internetu a šíří se viry". Máme zákazníky, naposled jeden z Itálie, kteří jsou IPv6-only a na naše starší IPv4-only servery se ani nepingnou. Pro hlavní aplikaci na webu (hlavní produkt je jiná, desktopová, aplikace) jsem to vyřešil autodetekcí a po timeoutu 2 s přepnutí na používání proxy stránky (IPv6-only zákazník --> moje proxy stránka na hlavním web serveru, který vidí --> mezi našimi servery IPv4 komunikace funguje). IPv6 nemám ani doma (vesnický WiFi), takže jsem dnes po 2 týdnech požádal support, zavolali zákazníkovi a funguje mu to (automaticky použitá proxy stránka).

Jakoze na IPv6 nejde mit na perimetru firewall nebo co? :-) Vase firma zda se naopak zda se drzi mytu, ze NAT je nejake bezpecnostni opatreni. Ne, neni. Neni. Proste nenim

Pokud to nejde naklikat, tak je to pro naše ajťáky moc těžké ;-)

Naklikat to fakt tezky neni, a dnesni firewally casto ani nenuti uzivatele rozlisovat address family, proste jde mit jedno pravidlo pro IPv4 i IPv6.

A uprimne, ajtak co se neni schopen ucit nove veci by si mel najit jinej job. A to se fakt netyka jen IPv6... tech veci, co se pod rukama meni je hromada... a ten, kdo se moc neuci ve finale akorat vygeneruje bezpecnostni problemy driv nebo pozdejc i s IPv4.

To je ale dost zkreslené tvrzení.

Za prvé, stále se předpokládá, že tam, kde IPv4 adresy už jsou, nebo je snadné je získat, se bude používat dual-stack. To, že se už ve velkých sítích experimentuje s IPv6-only, je naopak znak toho, že zavádění IPv6 je už dost daleko.

Za druhé, popsané problémy nejsou problémy IPv6, ale problémy aplikací, které počítají jen s IPv4.

Za třetí, to, že se naráží na problémy s IPv6-only v síti eduroam, neznamená, že na stejné problémy narazíte v každé SOHO síti nebo při používání dual-stacku.

IPv4 adresy ale už nejsou, spoustu let. Pokud vznikne nový internet provider, tak je nemá kde koupit (nemá je nasysleno z dříve). Moje aplikace je webová (https://), vůbec neřeší verzi internetového protokolu IP. Jak jsem to jako laik pochopil, tak aby to fungovalo, by vyžadovalo práci i na straně italského providera. Těžko ho můžem k něčemu nutit (a ne všichni zákazníci nás informují, že jim aplikace nefunguje - jdou jinam).

Psal jsem „tam, kde jsou“. Pokud existující firma uvažuje o zavedení IPv6, už má nějak IPv4 vyřešené. Takže na tom se nic nemění, jen použije dual-stack, tj. k existujícímu použití IPv4 přidá ještě IPv6.

Jenže tohle není problém s nasazením IPv6 ale s vyřazováním IPv4. Bez toho aby to někdo zkusil a ověřil, jak na tom aktuálně jsme v reálném světě se to neposune. Těžit z toho budou i ty firmy, protože nebudou muset tu cestu zkoušet jako první, když ta cesta bude už vyšlapaná.

Ono se to vyresi velmi snadno a velmi rychle ...

https://www.google.com/intl/en/ipv6/statistics.html

Je to prakticky linenarni, bywoko +5%/rok. Pocitam ze nekde kolem 60-70% google vyhlasi ukonceni podpory ipv4, nebo to rovnou vypdne, protoze spousta statu bude mit 90%+, a pak se zacnou dit veci.

Mimochodem, jako ve vsem jsme v cele ... germani maji nejakych 75% u nas 29%. I rusko ma 60%, indie 73% ...

BTW: Zajimavy ze na v6 maji pry lidi o +- 10ms lepsi latence. Teda tam, kde v6 maj. Proc asi ... zeby ... NAT?

Ad menší latence: taky jsem si toho všiml, ale bylo mi to vysvětleno jako dočasný stav díky menšímu provozu a (zatím) menší fragmentaci routovacích pravidel.

nemyslim, ze Google zahodi prijmy z 30% navstevniku tak jednoduse...

A nizsi latence na IPv6 ? Myslel jsem, ze to je uz 15let prekonany blud. Nebo fakt myslite, ze se bezne v internetu na paternich trasach vyskytuji routery, ktere ma problemy s fragmentovanou IPv4 routovaci tabulkou takoveho rozsahu, ze vnasi citelne zpozdeni do prenosu packetu? Takovy router by IMHO rychle skoncil se zaplnenymy buffery a obrovskou ztratovosti.

Zavedenim IPv6 se problem mnozstvi IPv4 rout neresi - naopak zhorsuje, protoze router k IPv4 musi pracovat jeste navic s IPv6 routama :-). Tech nastesti je a snad i bude nadale pomerne malo.

Ta latence bude kvůli NAT, to se prostě musí někde projevit. No on to Google nemusí vypínat bude stačit, když se budou pořád zvedat poplatky za IPv4 v cloudových službách.

Google ale zadne prijmy nezahodi, chtel bych videt, jak ty jakozto ISP vysvetlujes svym zakaznikum, ze jim nefunguje mail, youtube, ... protoze nemaji ipv6. Co lajsnes si to? Tudiz do tydne (a to spis tak max) potom co by google ipv4 vypnul, budou mit vsichni ipv6.

Ten tvuj blud tam ma google primo uveden, takze to asi podle tebe merej uplne blbe. IPv6 NEMA v ceste (CG)NATy vime? Pripadne NEMA v ceste 10nasobne uzivatelske NATy. Aha, nevime.

Ipv6 router vubec s ipv4 pracovat nemusi, a velice casto vubec nepracuje, pokud se bavime o skutecnym routovani byvaji to zcela samostatne krabice. Z mnoha dobrych duvodu.

Kym je za nami v statistike Cina, tak sa vypinania nebojim. Ja zacnem vo firme nasadzovat v6 az vtedy, ked ho budem mat moznost vyskusat najprv doma. A zatial mi Orange neda verejnu v6 adresu, kym mu nebudem platit mesacne za fixnu v4 adresu. A to fakt nie som ochotny robit.

Neverim, ze google neco vypne. Ale vseobecne se ma za to, ze umistuje na predni mista vyhledavani stranky, ktere poskytuji lepsi uzivatelsky zazitek, mimo jine maji nizsi latence. A Google moc dobre vi, ze CGNAT je problem a tak proste provozovatele serveru na IPv4 postupne zjisti, ze se propadaji nize ve vyhledavani a bud zaniknou, protoze k nim prestanou lide z vyhledavacu chodit, a nebo dozenou technicky dluh co maji. Google ma pres analytics a adsense naprosto exaktne zmenereni chovani ruznych webu na realnych pripojkach uzivatelu.

Servery nejsou za CGNATem. To je řešení pro uživatele, ne pro servery. A provozovatelé serverů můžou vypnout IPv4 až po té co jim na ně přestanou chodit lidi z Ipv4 adres. Ale to provozovatelé serveru nemohou ovlivnit jaké má jejich zákazník připojení.

To, co popisujete se ale reálně týká jen velkých služeb. Drtivé většině ostatních je to relativně jedno. Ostatně doba, kdy jste honil každou příčku ve vyhledávání je dnes už do značné míry pryč a jestli jste dvacátý nebo dvacátý první je úplně jedno tak jako tak. Organic traffic z Googlu dnes tvoří u spousty služeb třeba jen 20 % provozu a to ještě zhusta není příliš kvalitní a jen s nízkým konverzním poměrem.

Spis bych to tipoval na absenci kontrolniho souctu v ipv6 datagramu. Nemusi se tedy prepocitavat a menit pri kazdem snizeni TTL datagramu

Děikuji za článek..

Z méhlo pohledu je hlavní problém s IPv6 náročnost, není to řešení vše v jednom a vše funguje všude. Na všechno je více možností, něco funguje všude, něco někde a něco nikde, to není ani po dvaceti letech dobrá vizitka.

Ani podpora na Androidu nic moc.. Když pustím hotspot na Ipv6 síti tak klienti mají jen IPv4.

Na v4 nefunguje ani to nejzakladnejsi - a tim je prosta konektivita.

Android IPv6 hotspot umí, pokud to máte správně nastavené a výrobce/operátor si nepokazil software. Fungovalo mi to už na Samsungu s Androidem 5.1, ale třeba Xperia s Androidem 5 s tím měla problém a hotspot byl jen čtyřkový.

Mě to na Androidu taky normálně funguje.

Díky za článek a předání reálných zkušeností.

Díky za sdílení. Každá taková sdílená zkušenost je pomocnou rukou.