Názory k článku Základy nasazení IPv6: od získání adres až po síť pro hosty

Díky moc. Už se IPv6 nebojím.
Fajn že si někdo přečte nářky uživatelů a vysvětlí to srozumitelně.

Super, díky za vysvětlení černé magie v několika černých krabičkách co mam doma. Mám DSL modem od mého estonského providera a za nim Wi-Fi mesh network řešení od tp-link. Nesáhl jsem na nic, DSL modem vlastně ani nemám pod kontrolou, směrování portu ven nepotrebuju, to delam přes VPN na fyzickem serveru venku a Telia mi modem obstarává a updatuje celkem pravidelně, tak proč se starat. Vlastně jsem na to nesáhnul už několik let, ani jsem nějak moc během letošního roku nezaregistroval kdy ISP zapnulo IPv6, ale všechno tak nějak jede bez sebemenšího zásahu. Ale inspiroval jste mě se teď podrobněji podívat co to vlastně dělá.

Telia v EE zrejme postupne aktivuje IPv6 zakaznikum uz od konce roku 2014. https://stats.labs.apnic.net/ipv6/AS3249?c=EE&p=1&v=1&w=30&x=1

Je to tak zakaznikum davaji ipv6 prefix tusim /56 ovsem je dynamicky a pravidlne se meni, u me to bylo kazde rano. Za statickou konfiguraci chteli jisty poplatek.

Presne typ clanku ktere potrebujeme - priklady.

Thx!

Díky za výborný článek.

A teď si dovolím pozdravit i svého "citrusového" ISP z Jablonce nad Nisou. Snad se i té IPV6 konektivity v tomto desetiletí dočkám.

V okamžiku, kdy se to jemu vyplatí dozajista. Problém je, že lidí jako vy je prostě a jednoduše málo a většině jeho zákazníků je to nejspíš naprosto jedno.

Díky moc za pěkný článek, tohle je opravdu potřeba odpůrcům IPv6 ukázat.
Zaráží mě ale jedna věc. Proč má proboha MikroTik by default vypnutou IPv6 v dnešní době. To má nějaký rozumný důvod? Přesně tyhle drobnosti nahrávají tomu, že to stále není běžná věc. Někdo pak může nabýt dojmu, že to nefunguje a že se to musí "složitě" nastavovat.

Na tohle se musite ptat primo mikrotiku. Testoval jsem to na 6.x, mozna je na tom sedmicka jinak.

7 je kockopes. Spousta veci pro ipv6 se musi konfigurovat v ipv4 sekci...Ale samotnou 6 jsem snad zapinat nemusel, ale to budu vedet, az mi dorazi cerstvy mkt.

Samozrejme, postupy na prvni pripojeni k administraci apod. jsou psane pro ipv4.

25. 10. 2023, 09:01 editováno autorem komentáře

Jste si tím jistý, že věci pro IPv6 musíte nastavovat v sekci IPv4? Na pár MK jsem IPv6 v RoS 7.x nastavoval, ale nepamatuju se, že bych chodil do sekce pro konfiguraci IPv4... :-)

Kde nastavite DNS? V polozce IP.
Kde nastavite IPSec? V polozce IP.
Kde nastavite SNMP? V polozce IP.

atd.

Nemluve o tom, ze aktualizace na ciste ipv6 nefunguji. Potrebuji ipv4.........

To máte pravdu. Šestka je ale kočkopes taky. A nemůžete na ni už nikam růst. Nepodporuje nový hardware (starý linuxový kernel). A oni tu divnou konfiguraci vysvětlovali docela logicky tím, že třeba DNS jsou lidi stejně zvyklí nastavovat v IPv4, tak nechtěli mít zbytečné duplicity a přidali volby pro šestkovou DNS už k existující položce

Ve verzi 7.x je IPv6 aktivní v základu, stejně jako vše ostatní. Myšleno z pohledu balíčků (packages).

Diky za upresneni, v sestce balicek je pritom, ale vypnuty

Před týdnem jsem instaloval RB760iGS a po upgrade na 7.x je stále /ipv6/settings/ disable-ipv6=yes

To je ale něco jiného. :) Ve verzi 7 je IPv6 konfigurovatelné ihned, v nižších verzích RoS je nutné napřed povolit IPv6 package a rebootnout, jinak není co konfigurovat. Neřešíme teď, jaká je výchozí volba disable-ipv6.

"Proč má proboha MikroTik by default vypnutou IPv6 v dnešní době."

Odpoved je trivialne prosta, prave mikrotik IPv6 ve skutecnosti vlastne vubec neumi. Narazis na to presne v okamziku, kdy ocekavas cokoli nad ramec uplne tupeho routovani jedne site, a i to cas od casu prestane z "neznameho duvodu" fungovat.

A tenhle stav se za poslednich 10 let nijak nemeni. Tedy vlastne meni, typicky kdyz neco aktualizujes, rozbije se to vic nez to bylo rozbite predtim.

Specielne pak v7, to je tragedie uplne cele a uplne ve vsem.

ROS 7 má IPv6 již v defaultu zapnutou

Diky za clanek. Moc pekne vysvetleno,
K DHCPv6 bych jen pridal klicovou informaci, ze neni tak siroce podporovana jako SLAAC. Nejvic videt je to na Androidu, ktery ziskavani adres ani DNS pomoci DHCPv6 nepodporuje, proto je v sitich s pritomnym Androidem typicky nasazena varianta SLAAC + RDNSS (DNS servery v RA).

Mate pravdu. V clanku bylo pred vydanim jeste nekolik postrehu a nejake zajimave body z diskuze z minuleho clanku o IPV6. Nakonec to ale bylo skrtnuto.

Mozna se k tematu vratim (nebo nekdo jiny) a dostaneme se i k tomuto.

Díky za článek a doufám v pokračování např. nezodpovězenými dotazy z diskuze:
Návod pro nasazení IPv6 pro začátečníka kutila

Např. zde:
https://forum.root.cz/index.php?topic=28089.msg394214#msg394214

a zde:
https://forum.root.cz/index.php?topic=28089.msg394470#msg394470

Hezký článek. Bohužel jeho délka a komplexnost ukazují na to, že ta technologie je praxi ještě na hony vzdálená. IPv6 bude připravená na adopci ve chvíli, kdy (podmínky nutné, nikoliv dostačující):

a) takový článek nebude nutný, ale nastaví se to v každém čínském routeru pěti kliknutími ve webovém rozhraní, jako tomu je v případě IPv4.

b) nebudou nutné thready typu "IPv6 Poda" tady na fóru, kde se již od 2019 v 50 příspěvcích řeší, jak zprovoznit dvě sítě... a pořád není uspokojivě vyřešeno.

Ani jedno z toho není problém IPv6, ale problém špatné implementace. Mám kolem sebe několik lidí s DSL od O2 a všichni prostě mají IPv6, aniž by museli cokoliv dělat nebo nastavovat. Prostě to funguje.

Řešit se to musí jen pokud to poskytovatel má hodně špatně nebo chcete mít nějakou komplikovanější síť nebo vlastní konfiguraci. Což musíte řešit stejně i v případě IPv4.

Pokud máte typickou domácí síť (autokonfigurace na WAN, základ na LAN), tak nemusíte řešit vůbec nic a funguje to samo.

Já jsem nepsal čí nebo čeho to je vina. To je totiž z hlediska adopce zcela jedno. Relevantní je zda to jako celek (protokol, implementace u ISP, implementacše v routeru, konfigurační GUI, ...) funguje alespoň tak dobře, jako IPv4.

Guest síť (většinou za účelem WiFi pro hosty) podle mě spadá do množiny typické sítě a v IPv4 se dá běžně i u levných routerů zapnout jedním checkboxem a zadáním jména SSID a hesla...

25. 10. 2023, 11:49 editováno autorem komentáře

Ano, protože O2 a různí další prostě nedávají dostatečně velký prefix. Asi jako kdybyste měl jednu IPv4, tak i bez NATu taky reálně nepřipojíte více zařízení...

Ukazujme tedy na implementátory firmwaru a síťové politiky ISP a ne na protokol, který za to nemůže. Samozřejmě můžou lidi prostě přejít k poskytovateli, který zaměstnává síťaře místo opic a kde věci skutečně na jedno kliknutí fungují.

A to mají od O2 tu IPv6/64 za 119,80 Kč / měsíc ?

Nepřijde vám taková nabídka trapná a nedůstojná?

Pozrel som si ten IPv6 Poda na fóre. Mám pocit, že tam nie je problém s IPv6, ale s tým, že poskytovateľ pripojenia to nemá správne nakonfigurované u seba. Tam je to potom ale úplne rovnaké ako pri IPv4 - keď mi poskytovateľ bude dá k dispozícii adresu 192.168.1.2/30 a ja tam budem chcieť pripojiť dve zariadenia s verejnou IP, tak nepochodím. A nebude to chyba IPv4 ale providera.

Pochodím, protože si potřebné porty na routeru easy peasy lemon squeezy proNATuju :-)

Jinak v tom threadu se řeší všelicos nejen to, co popisuješ. Vlastně už jen zprovoznit IPv6 s vlastním routerem (tedy s modemem od PODA v bridge režimu) je velmi netriviální task (opět s IPv4 zcela bez problémů), viz https://forum.turris.cz/t/ipv6-v-siti-poda/12974
a to je Turris. Na routeru bez openwrt pravděpodobně zcela bez šance.

To by me zajimalo japa budes natovat z privatni IP ...

> opět s IPv4 zcela bez problémů

Ve skutečnosti srovnáváte dvě úplně jiné věci, na IPv6 prefix delegation (navíc v tomto podání zdá se zmaštěnou) a na IPv4 jednu adresu kterou si NATujete.

Slovíčkaření. Minimálně ve variantě pro firmy vám dají více IPv4 adres akorát si připlatíte. A tam je také bridge bez problému.

Je skutecne nutne prekladat adoption jako "adopce"? Zvlast kdyz v cestine se pouziva toto puvodne cizi slovo pouzivano prevazne v jinem vyznamu?
IPv6 bude pripravena na _nasazeni_ ... a ted... kde je ta IPv6 z decaku...

Třeba tyhlety ipv6ky časem pochopí i někteří ISP.

Jako uplne nerozumim tomu odporu, smutny ze nejcasteji od sitaru. Uz v roku 2006 jsme na CVUT koleji spravovali sit se vsema sluzbama dostupnyma po IPv6 pro 1000 lidi. Kazdy student mel svoji IPv6 adresu. Jo muselo se hodne hackovat na starych sitovych prvcich (nebyli penize na lepsi, custom firmwary a pod) ale to dnes uz vubec neni tema. Cize uz pred 18ti lety to slo, a velmi slusne, dneska je to uz jen o lenosti spravcu site nic vic v tom moc nevidim.

Opravdu nevidím problém v tom, že někdo nechce řešit něco, co pro něj dostatečně dobře funguje. Platí o adminech i ISP. Až bude chtít třetina jejich uživatelů IPv6 nebo jim třeba dojdou IPv4 adresy nebo cokoliv dalšího, pak to logicky řešit budou. Ale proč by to dokud k tomu nebudou mít nějaký pádný důvod dělali?

Kdo to potřebuje, ten to řeší, kdo nikoliv, ten to neřeší. To je celé. A většině běžných uživatelů je to naprosto jedno a obvykle si nějakého přechodu na IPv6 ani nevšimnou.

Až bude chtít třetina jejich uživatelů IPv6 nebo jim třeba dojdou IPv4 adresy nebo cokoliv dalšího, pak to logicky řešit budou.
Tohle je to úplný nesmysl, stejný jako prohlášení: Až bude chtít třetina lidí IPv4. Normálního uživatele to vůbec nazajímá, jestli to běží přes IPv8 nebo IPv4, jestli je tam DNS atp. Ani je to zajímat nemá to je odpovědnost ISP. IPv4 adresy jim došly/dochází nové již nezískají. Celý svět se posouvá. Za posledních 20let se připojení a využívání internetu opravdu proměnilo a není jediný důvod, proč by ISP měli zůstat stát a neposouvat se také.

Dostatečně dobře to nefunguje a ty providery to samozřejmě taky pálí. Musí kupovat "zbytečný" HW pro NAT, složitě nastavovat sítě, šetřit s adresami atp. Přidává to strašnou složitost do systému, který by měl být jednoduchý a díky nedostatku adres prostě není.

Ano, právě proto, že to normálních uživatele vůbec nezajímá je přechod na IPv6 tak pomalý. Vždyť to píšu, člověče. A ne, není to "odpovědnost ISP". ISP poskytuje svým uživatelům určitou službu a potud, pokud je nějaký parametr té služby jeho zákazníkům jedno, on sám ho bude řešit až v okamžiku, kdy nebude jedno jemu. To je celé. Nabídka, poptávka. Odpovědnost má pouze za to, k čemu se smluvně zavázal.

A důvod, proč by měl ISP zůstat stát a neposouvat se je tentýž: nebude se posouvat do té doby, dokud to nebude potřebovat pro svůj business. ISP jsou (obvykle) firmy, nikoliv charity. Dojemné řeči o tom, že se "celý svět posouvá" jsou jednoduše nezajímavé.

A ano, je to nesmysl, že třetina lidí bude chtít IPv6. Ne, nebude. A to je právě to.

@poljak

Jak je u vas obvykle, uplne mimo.

Mnohokrat polozena otazka adresovana konkretne vam:

Na zaklade vasi "byznys analyzy" proc tedy o2 a nedavno i VDF IPv6 nasadili v mobilnich sitich?

90% lidí nechce ani DNS ani IP. Dokonce bych si tipnul, že 80% jejich zákazníků nechtějí ani IP adresu a dokonce ani protokol. To, že nechtějí IPv6 je argument úplně mimo. Oni totiž nevědí, že ho chtějí a že jim to přinese výhody.

ISP za to rozhodně zodpovědní jsou, jenom oni tohle můžou vyřešit. Každý ISP který dnes IPv6 nepodporuje akorát prokazuje, že jeho síť má obrovský technologický dluh, že na jakýkoliv rozvoj naprosto kašle nebo má nekompetentní manažery/zaměs­tnance. Je to pouze jejich vizitka a neřešením si jenom zadělávají na velké problémy v blízké budoucnosti a nakonec stejně budou nuceni to udělat.

Smutné je, že člověk kolikrát nemá ani jinou možnost, než využít tyhle mizerné služby, protože jiná rozumně dostupná alternativa prostě není.

IPv4 adresy už jim dávno došly. Zkuste si požádat o blok veřejných IPv4 adres odpovídající počtu zařízení ve vaší síti s nějakým odhadem růstu alespoň v příštích pár letech. Pokud ten blok nedostanete, IPv4 adresy jim došly.

Uživatelé nevědí, co by jim IPv6 přineslo, takže to nemohou chtít. Služby závislé na IPv6 (tedy na možnosti komunikovat přímo) mají jako překážku penetraci IPv6. Je tam velká vstupní bariéra, ale o to větší třesk to bude, až ta bariéra praskne. Nikdo nedokáže odhadnout, kdy to bude, takže odkládat zavedení IPv6 je dost krátkozraké – protože ISP to nezavede za týden, až zjistí, že to najednou všichni chtějí, protože je hype kolem nějaké nové služby, která to vyžaduje.

To, že IPv4 došly obecně ještě neznamená, že ten či který ISP nemá dostatečnou zásobu. Ostatně určitě víte, kolik rozsahů se povaluje třeba v akademické sféře a navíc ne každý ISP je růstový. Ono je těch vesnických ISP pořád ještě docela dost i když se trh dost konzolidoval.

A jinak ano, to je v jeho zájmu. Já jen píši, že potud, pokud to nepotřebuje bezprostředně na to prostě nemá kvůli stávajícím uživatelům důvod spěchat. A i když nikdo neví co za jak dlouho bude, pokud bude alespoň tak nějak předpřipravený, jen týden na to mít taky nebude a bude mu to stačit pokud vyloženě nespí. Nemluvě o tom, že si nemyslím, že by nějaký třesk nastal. Trochu větší zneklidnění nastane tak maximálně v okamžiku, až nějaký velký poskytovatel služeb či (ještě spíš) obsahu začne IPv4 naopak vypínat.

Jenže ani ten či který ISP nemá dostatečnou zásobu. Kdyby měl dostatečnou zásobu, měl by dostatek IPv4 adres na pokrytí potřeb svých a svých zákazníků. Pokud má dostatečnou zásobu na pokrytí svých potřeb, znamená to, že už mu IPv4 adresy dávno došly a už jenom vyškrabává poslední železná zásoby.

Vaše hodnocení je jako kdybyste volal do restaurace:

– Máte dost surovin, abyste uvařili obědy?
– Ano, máme.
– Pro kolik hostů můžete uvařit obědy?
– Pro hosty? Pro hosty neuvaříme nic, na to nemáme suroviny. Ale máme dost surovin, abychom uvařili obědy pro náš personál. Dneska.

Myslím si, že daleko dřív než to, že začne velký poskytovatel obsahu IPv4 vypínat, nastane to, že někdo spustí významnou IPv6-only službu. Třeba Čína bude v roce 2030 jen na IPv6. A pokud byste chtěl tvrdit, že nějaká Čína nás nemusí zajímat, vysvětlete to všem mladým využívajícím TikTok. Kdyby bylo to časování jen o pár let posunuté, že by byla Čína IPv6-only už před nástupem TikToku, dnes bychom tu o potřebnosti IPv6 vůbec nedebatovali. Zato před pár lety by si všichni ti čeští operátoři, kteří čekají, až zahřmí, drbali hlavu, jak to, že všichni najednou chtějí IPv6 a proč jim to nikdo neřekl dřív.

S tím týdnem to byla trochu nadsázka, ale ani ten týden není nereálný. Když si vzpomenete na starší Clubhouse, nebo v souvislosti s veletoči Twitteru Mastodon, Threads či Blue Sky, ty získávají pozornost v řádu týdnů. Kdyby některá z vyjmenovaných služeb byla dostupná jen po IPv6, tak už se o to někteří laici budou zajímat a našlo by se i pár těch, kteří ISP vymění (kvůli Clubhouse si lidé pořizovali iPhony). A to jsou pořád služby, které neprorazily. Nikde není řečeno, že se to jednou někomu nepovede, třeba i pozvolnějším náběhem. Pak bude trvat měsíc, než ISP vůbec zjistí, že je tu nějaká IPv6 služba s rostoucí popularitou, a za další měsíc se bude divit, jak to, že jim hromadně odcházejí zákazníci, a proč je někdo nevaroval, že nasadit za měsíc bez přípravy IPv6 do sítě ISP není možné.

A že by měl ISP vše připravené, ale měl IPv6 vypnuté, a až to přijde, jenom zmáčkl knoflík a IPv6 v jeho síti začalo fungovat – to je nereálné. Aby věděl, že mu to funguje, musí to mít otestované. A když už bude mít vše přichystané, je pro něj lepší IPv6 spustit, protože ušetří za NAT.

Na tom celém mi vadí nejvíc to, že až to nastane, budou se všichni ti, kteří zaspali, rozčilovat, proč je nikdo včas nevaroval. Jenže oni jsou varováni dnes a denně, třeba i tímhle článkem – ale oni to ignorují a doufají, že to přejde.

(To samé bude s elektromobily. Pořád se budeme tvářit, že je to blbost, že nejlepší je držet se benzínu – a až jednoho dne Škodovka zjistí, že nemá komu prodávat, budeme si stěžovat, jak je ta EU ošklivá, že si přešla na elektromobily a nás o tom nikdo neinformoval. No, informují nás o tom pořád, ale my to slyšet nechceme a pořád doufáme, že se to přežene.)

Problémy PODA (to je ISP s 100k+ zákazníky) se řeší tady v diskuzi. Vodafone v ex-UPC síti (600k+) nemá pro jistotu IPv6 vůbec. Obojí s armádou síťařů a prostředky to řešit. Takže nechci ani hádat, kdy to dostane do použitelné podoby majorita malých lokálních ISP. Ergo kladívko s predikcemi praskání bariér bych byl převelice opatrný.

PODA umi poskytnout funkcni IPv6 na business pripojkach a stejna je zkusenost i u dalsich poskytovatelu lokalniho charakteru.

PODA konkretne ma zmrsenou implementaci IPv6 na home GPON pripojkach. V dobach, kdy pripojovali ethernetem tak bylo mozne /56 ziskat. Vi o tom, ze to maji blbe. Maji i lidi, kteri vi jak napravit, ale vidle do toho haze management.

Nemusime chodit daleko - TMobile je na tom velmi podobne. Vykon managementu CZ a SK pobocek je delsi dobu diskutabilni a fokusuje se na hlouposti typu Tyfon.

To se ovsem zasadne pletes. Coz pisu jako clovek ktery nektere (byvale) zamestnance UPC zna osobne. Tech techniku je totiz par, zadna armada, a oni zadny technicky problem v6 zprovoznit nemaji, otazka 5 minut, jenze to maji zakazane od manezermentu.

A ten prozmenu nezvlada zaridit ani to, aby vyfakturovali vsechny sluzby na jedne fakture, protoze to bys musel nejdriv vsechny sluzby vypovedet, a pak je zridit znova ... (samozrejme s par mesici odstavky).

Byl bych velmi opatrný. exUPC nebylo schopné dodat ani zdrojáky k firmwaru, který pod GPL k modemu, který rozdávalo. Tehdy jsem musel dokopat přímo Technicolor, protože UPC samotné na dodržování prdělo.
To, že mají armádu zaměstnanců zdaleka neznamená, že tomu taky rozumí. Znamená to jen, že mají hodně zaměstnanců.

Stejně to je všude jinde taky. To, že na něčem pracuje hodně lidí vůbec neznamená, že se nějaký projekt bude pohybovat kupředu. Typicky je to spíš přesně naopak. Hodně lidí může být prostě hodně balastu.

Jinak exUPC/ Vodafone zcela běžně IPv6 v kabelové síti má, byla o tom dokonce přednáška na IPv6 day.

Tyhle blaboly tu pises pokazdy, a pokazdy je ti tu 150 lidma receno, ze pises blabol. Zadna funkcni v4 sit neexistuje. Dokaz opak.

Ja tomu odporu i castecne rozumim. Uz pred mnoha lety se zacalo rikat - zacnete pouzivat IPv6, je to funkcni. Jenze jeste porad se neco menilo. V diskuzi o minulem clanku to taky nekdo zminoval. Proste to jeste porad bylo moc zive.

Treba prave prefix delegation. RFC vzniklo pred mnoha lety, jenze nejakou dobu trva nez se to dostane do firewallu/routeru apod. Podobne DNS do router advertisement. Takze tu mame nekolik moznosti pridelovani adres, ne idealni podpora v hw, ...

Muj nazor - kdyby IPv6 RFC i hw byly pred deseti lety ve stavu jako dnes, tak se uz nemame o cem bavit a sestka je vsude.

Povíme si za 10 let :D

Edit: hm, škoda, Root zdá se začal zamykat diskuze po pár měsících

25. 10. 2023, 14:09 editováno autorem komentáře

Vždyť u IPv4 je to stejné, i to se pořád vyvíjí, stejně tak i obecné věci platné pro IPv4 i IPv6. Třeba oznamování captive portálů, zákaz používání DoH, oznamování sítě s měřeným přenosem dat – to jsou věci mladší než vámi zmiňované změny v IPv6.

Já mám jeden důvod k odporu. Čas od času, jednou za půl roku, mám na svém prostém serveru takový menší "script kiddie" ddos. Nejvíce to snad kolem 500 IP adres, které scrapovali na více vláknech a bez pauz, vyšplhalo by se to na několik stovek tisíc requestu za minutu. Automatika to vyřešila bany jednotlivým IPv4 adresám.

Ve světe kde je IPv6 přidělováno různé, někteří klienti mají rozsah pár IP, někteří obrovský subnet, nelze rozumně udat co je a co není IP adresa koncového klienta a co celé město.

Ve výsledku pokud by někdo zkoušel ddos z na IPv6 bude mít namísto 500ti zdrojových IP třeba 100 tisíc a automatika nebude vědět co vše banovat.

Takže, příznivci, kde je řešení pro mě jako provozovatele serveru s pár weby?

Ano, IPv6 adres je mnohem vic. Podobny problem mate ale i u ctyrky - taky nevite, kolik adres ten utocnik ma. Nebo naopak bloknete jednu IP adresu a na te je treba NAT a misto jednoho zarizeni zablokujete desitky jinych.

Jak moc tohle bude velky problem se uvidi casem

Banoval bych po /64 a když jich bude víc z jednoho /48 tak bych zabanoval /48.

U IPv4 taky máte riziko že postupně zabanujete celý CGNAT třeba Vodafonu, kde je náhodné množství lidí s náhodnými adresami.

Zcela běžně se banuje /64, či odvážnější /56 a někteří, co na to jdou hodně hustě klidně rovnou /48.
Můžete samozřejmě kombinovat block a rate limit na prefix. S běžnými nástroji přímo v Linuxu by to neměl být problém realizovat.

No třeba to, že shoptet.cz vůbec nepodporuje AAAA záznam a chce po Vás abyste ho smazali považuju za těžký anachronismus. Sami jsou asi rádi, že jim to vůbec nějak funguje. Cesta to bude ještě dlouhá.

25. 10. 2023, 14:08 editováno autorem komentáře

To snad ne.

Zbývá jen přejít jinam a hlasovat peněženkou, kde je to možné. Chápu, že to je někdy nepříjemné, či možná i nemožné, ale často prostě něco dělat jde.

A ja mam taku otazku, na co? Co bezite doma cloud ze vam nestaci pocet portov na port forwarding? Tych zopar sluzieb si takto vystrcite a to je vsetko. Cele IPv6 je v domacej sieti absolutne nezaujimave.

Je zajímavé právě proto, aby internet mohl přejít na IPv6 a bylo dost adres pro služby. Proto potřebujeme šestku v uživatelských sítích. Celosvětově už jsme skoro na půlce uživatelů.

Ale mne mozu dat na router kludne presne JEDNU ipv6 adresu a je to OK. Urobim si tie 3 port forwardy a som na tom ako doteraz. Absolutne ziadny subnet nepotrebujem.

Oni totiz lidi chteji pouzivat dns vis... a sem vazne zvedav, jak provozujes maily na jinym portu jez 25. Napriklad. Ono totiz zdaleka ne vse lze forwardovat ...

A pak bych taky chtel videt, jak zalozis rekneme Borderlands ... (abysme se bavili konkretne) a pak jdes hodinu nastavovat nejaky forward ... protoze nejdriv musis vyzkoumat jaky porty to vlastne pouziva, pak zjistis, ze je mas forwardnuty jinam, a nez to cely prekopes, tak uz nikdo nema naladu to s tebou hrat.

Misto toho abys do hry napsal "join pepa.doma.cz"

Nemluve o tiom ze drtiva vetsina lidi si uz ani zadny foward neudela, protoze sou s tisicovkou dalsich za nejakym cgnatem, a ve skutecnosti uz jim nefunguje ani teb web.

Mně by port forwarding často stačil, ale téměř žádný ISP ho neposkytuje. Jsi za NATem, dostaneš jednu adresu z jeho vnitřní sítě, uděláš si na ni druhý NAT (wtf!), ale na tu tvoji jednu adresu ti nic neforwardne.

Akoze vas router nema verejnu IP (v4)?

Tak mi pořád jak to mám udělat, když nemám veřejnou adresu? IPv6 řeší všechny moje problémy s domácím připojením. Opravdu už nechci řešit nesmysly jako port forwarding, když existuje jednoduché a funkční řešení.

A toto co je popisane v tomto clanku vam pripada jednoduche. Akoze idete to vysvetlovat vasmu kamaratovi murarovi ako to ma doma nastavit. Jasneee!!! Ludia neblaznite, toto nie je ziadne jednoduche nastavovanie.

Starnet sice IPv6 ma, ale ten /64 prefix a neexistujici ipv6 peering to zabiji.
na IPv4 mam 2x nizsi latenci.
Otravujme ISP a jednou se dockame pouzitelne IPv6 implementace

A to ked si takto nastavim tak moje zariadenia zacnu byt dostupne na internete? Je na tom routri default zapnuty firewall? No mne to pride ako nieco viac nebezpecne ako uzitocne.
Co zacnu robit zariadenia nad ktorymi nemam celkom vladu ako rozne chladnicky, pracky, vysavace, ...?!?

Zalezi na vasem firewallu. Troufnu si tvrdit, ze drtiva vetsina (take mikrotik i fortinet v prikladu) maji vychozi firewall nastaven tak, ze spojeni z internetu do vnitrni site jsou blokovana. Povolen je jen opacny smer z lan do internetu

Trofnu si s naprostou jistotou tvrdit, ze mikrotik ma stejne jako drtiva vetsina jinych zarizeni vychozi stav ten, ze ve firewallu neni nic, a tudiz akceptuje jakekoli spojeni odkudkoli.

Coz ovsem neni zadny problem, protoze presne stejne je to s NATy a v4.

Mikrotik bydefault blokuje na "wan" iface komunikaci se sebou. Ale ne do site. Jak je ostatne prave z clanku a prikladu v nem zrejme.

Aha, cize zavedenim IPv6 si otvorim celu siet do internetu? Cize vsetky zariadenia budu dosiahnutelne zvonka. Co zle by sa mohlo stat?

Technicky záleží na tom, jak jsi měl nastavený firewall předtím (NAT lze v některých případech prostřelovat) a jak ho budeš mít nastavený teď (můžeš příchozí spojení blokovat), ale ve většině nasazení opravdu ano.

Ne, v IPv6 se používá stejný firewall jako v IPv4. Je běžné u klientských linek blokovat příchozí provoz. Tak jsou nastavené i všechny domácí směrovače: nepovolí žádné spojení přicházející na WAN. Veřejné adresy uvnitř sítě na tom nic nemění.

Cize priznavas, ze o IP nevis naprosto nic, protoze presne totez se stane i s IPv4 a NATem.

Mikrotik samozrejme ma relativne rozumne default firewall pravidla pre ivp6. Samozrejme, pokial niekto migruje 10 rokov staru konfiguraciu, tak ich tam nebude mat, ale ked vybali mikrotik z krabice a urobi novy quickset, tak ano.

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

Pravděpodobně to samé, co dělají už teď. Nebo snad máte na IPv4 firewall, který vašim ledničkám a vysavačům brání DDoSovat někoho na druhém konci internetu?

V obecné rovině, stejně jako existují špatná nasazení IPv6, existují nepochybně i špatná zařízení, která by k internetu nikdy neměla být připojena. Firewally se obecně přeceňují, dobře fungovat mohou jen v dobře kontrolovaném a spravovaném prostředí, kde jsou známé požadavky na povolenou komunikaci. To není případ domácích sítí, kam uživatelé připojují cokoli a očekávají že všechno bude samo fungovat. Pro takové sítě nepřináší firewall téměř žádnou výhodu, protože potenciální útok může přijít jak zvenku, tak i zevnitř, nejčastěji právě z nějaké ledničky či vysavače.

Já si teda pořád myslím, že pomáhá, když není každá tiskárna, nezáplatovaná Windows (ano, od XPček už se to dost zlepšilo) atd. dostupná po internetu (otázka teda je jestli by ji na IPv6 dokázal nějaký botnet naskenovat, protože všechny adresy vyzkoušet nelze)

Viz vejs, to ze mas neco za NATem je presne totez = bez nastaveni firewallu je to vse verejne dostupne. Vsechny adresy oscanovat lze. Ony totiz existuji veci jako broadcasty, muticasty a vsemozne dalsi uzasne protokoly, ktere treba prave na tiskarnach jsou bydefault pozapinane, takze staci do te site poslat i jediny paket, a vsechny se ozvou. A nejen tiskarny.

Jak „pošlete do té sítě za NATem jediný paket“ pokud nejste v segmentu hned za tím NATem a poskytovatel nepodporuje výstřelky jako source routing (podporuje to někdo?)? Musel by to být opravdu masivní botnet skenující tímto způsobem okolní sítě; a to ještě nevím jak by takový paket prošel běžným „domácím routerem“ (s NATem) za kterým taková typická zombie je.

A stejně tak broadcast, ale tady si nejsem jistý - to fakt někdo propouští defaultně síťové broadcasty zvenku? Jak to funguje? Myslel jsem že to jsou multicast adresy typu ff00::/8. Když něco pošlu na 2001:67c:68::­FFFF:FFFF:FFFF:FFFF, tak mi někdo má odpovědět?

Článek je jistě užitečný, nastavení lze provést za pár minut. Ovšem jen podle uvedeného návodu, bez něj by to byly spíše dny. Je ale pravda, že limity IPV4 sítí už začínají vystrkovat drápky - např. v mobilní Vodafone síti už některé herní konzole (Nintendo, Xbox) nedokáží komunikovat na 100%, ažnto je příliš mnoho NATů po cestě.

Řekl bych, že problém není v počtu NATů, ale v konfiguraci jednoho konkrétního NATu někde.

Řekl bych, že pravděpodobnost jednoho blbě nakonfigurovaného natu je přímo úměrná jejich počtu.

Co to znamena "nedokazi komunikovat na 100%"?

Jak se to projevuje na tech konzolich?
Zajimal by mne detailnejsi popis nebo rovnou to chybove hlaseni.

Je to jednoduché, některé hry se přes internet propojí, některé ne. Základní spojení (hlas, text chat) funguje. Klíčové slovo je "strict". Viz např. https://nerdburglars.net/hardwareguides/fix-strict-nat-type-with-vodafone-siro-gigabox-router/. Tento postup je ovšem pouze pro zařízení, kde lze upravit pravidla pro firewall, což u telefonů s Androidem moc nejde.

Pěkný článek. Ale co mi chybí, aby se změnilo to IPv4 myšlení, je popis nebo i názorné flow-chart porovnání oněch praktik.
Třeba NAT v IPv4, původně trochu z nouze funkce, plní jistou bezpečnostní funkci. Chce to vzít trochu komplexněji a ne jenom stylem "v IPv6 NAT není potřeba", ale říct k tomu i to "b" ohledně FW na routeru.
NAT je jenom příklad.

NAT sám o sobě není příliš velké zvýšení bezpečnosti. Je to jen překážka normálnímu fungování, ale bad-guys to nezastaví.
Zatím všechny routery, co jsem měl za posledních 6-7 let s IPv6, měly out-of-box zapnutý IPv6 firewall - ať už to bylo několik VDSL modemů, exUPC Compal nebo Vodafone Station.
FW lze vypnout, ale třeba na Vodafone Station se po 24 hodinách zase zapne.
Tak jaké "b" chcete slyšet?

Tady je ovšem potřebná změna myšlení v tom přestat si myslet, že IPv4 NAT plní bezpečnostní funkci.

A firewall na routeru v domácí síti fakt není potřeba. (Navíc v současně prodávaných SOHO routerech je podle mne většinou firewall blokující příchozí spojení defaultně zapnutý.) Služby v domácí síti je potřeba vnímat tak, musí odolat běžným útokům – NAT je nijak nezachrání, protože útok může být veden přes jiné zařízení v téže síti. Fakt nestačí spoléhat se na to, že hodně útoků je velmi naivních a jdou jenom přímo, protože těch, které útočí přes sousední zařízení, je pořád dost. Nebo-li pokud NAT zabrání 1000 útokům denně a útok, který obejde NAT, je jen 1 denně, neznamená to, že se stačí spolehnout na NAT. A obrana proti tomu 1 útoku zabrání i těm 1000 útokům.

SOHO zarizeni zasadne maji spickove resene zabezpeceni, rozhodne nikdy nestaci znat adresu a pripadne nejake default prihlaseni typu admin/admin a rozhudne vubec nikdy nemaji zadne vzdalene zneuzitelne chyby, proto je nasnade, ze firewall neni treba a mohou byt zcela bez obav vystavena na Internetu ;-)

Jenže ona ta zařízení na internetu vystavena jsou, bez ohledu na to, jestli je tam někde nějaký firewall.

Fascinuje mne, kolik lidí má potřebu debatovat o firewallech, přitom vůbec netuší, k čemu firewall slouží. Firewall slouží k tomu, že odděluje dvě (nebo více) sítí s různým stupněm bezpečnosti. Laicky řečeno, mám chráněnou síť, která je bezpečná, a firewall ji odděluje od jiné sítě, třeba internetu, kde je nebezpečná divočina. No a vy tvrdíte, že SOHO zařízení mají vzdáleně zneužitelné chyby, přihlášení typu admin/admin – a chcete tvrdit, že síť, ve které je takové zařízení, je bezpečná? To je jak kdybyste měl přízemní byt s okny mířícími na ulici dokořán, v obýváku na gauči už sedí dva konkurenční zloději a dohadují se, jak si rozdělí lup, a vy řešíte, jestli máte zámek s cylindrickou vložkou.

Pokud nemáte zaručeno, že ostatní zařízení v síti jsou bezpečná, pak vás firewall nezachrání, protože útočník napadne ostatní zařízení přes nějaké nezabezpečené zařízení v téže síti.

Jestli máte doma zařízení s přístupem admin/admin nebo se známými zranitelnostmi a myslíte si, že můžete být v klidu, protože máte přece na nějakém routeru za pár stovek „zakliknutý firewall“, tak jste zářným příkladem toho, že tyhle firewally akorát škodí, protože vzbuzují falešný pocit bezpečí.

Mimochodem, bezpečnostně nejproblematičtější zařízení je právě ten router, na kterém chcete firewall provozovat. Ostatní zařízení vás často donutí zadat bezpečné heslo a/nebo nemají žádnou službu, která by na nich běžela (službou myslím něco, co naslouchá příchozím spojením).

To je pěkný nesmysl, či věc osobní odvahy, jít do netu byť přes IPv6 bez FW.

Je zajímavé, kolik lidí napíše, že je v SOHO síti potřeba firewall, ale nikdo neví, k čemu by ten firewall měl být. Kdyby to někdo věděl, tak by to snad napsal jako argument na podporu svého tvrzení.

"původně trochu z nouze funkce, plní jistou bezpečnostní funkci. "

Ehm ... dalsi ...

Ne, neplni je to presne opacne. NAT bezpecnost velmi vyrazne zhorsuje. Jak sem psal o fous vedlr, firewal s NATem je monhem slozitejsi, musi nutne obsahovat mnohem vice pravidel, a je zde radove vetsi pravdepodbnost chyby, proste proto, ze si je casto velmi obtizne uvedomit, odkud co kam tece a jak se to meni, zatimco bez natu se nic nemeni a vse je pruhledne ciste.

A to je jedna jedna cast, dalsi jsou samozrejme zcela samostatne bugy v implementacich, ktere u prosteho routovani proste spachat nejde ani s velmi znacnou snahou.

Jj. V korporatu mame na tyto veci uz flow simulatory a detektory spatnych konfiguraci. Diky ruznym natum jsou pravidla tak nechutne slozita ze to musi projizdet analytickymi nastroji.
Tatam jsou leta kdy clovek ocima zkouknul nastaveni fw kolegy. Dnes nejsem sebevedomy ani u sveho domaciho fw.

Nedokazu si predstavit jaky bordel musi byt u malych ISP a jestli vubec tusi co tam maji za skryte kostlivce. Nebo jen proste zakosum reknou "tam zadny pravidla nejsou" kdyz jim treba nejde ipsec.

Jeden muj zakaznik ma router od O2 a za nim je Mikrotik. Router O2 NENI v rezimu bridge, protoze pripojku sdili jeste s jinym clovekem.

O2 -- mikrotik -- zakaznik
    -- jiny clovek


Mikrotik dostane ipv6 adresu. Je mozne to nastavit tak, abych nemusel prepinat O2 router do bridge rezimu a presto dostali klienti za mikrotikem ipv6 adresu?

O2 router neposila prefix, router dostane jenom adresu.

26. 10. 2023, 16:45 editováno autorem komentáře

S Mikrotikem, zda se, ne.
https://forum.mikrotik.com/viewtopic.php?t=175151

OpenWRT to nejak umi, ale jak spolehlive to je - tezko rict.
Na tyhle scenare se opravdu O2 a jejich routery nehodi. Lepsi varianta by byla zmenit ISP a jako hlavni router pouzit neco normalniho.

Vida, ND proxy, to jsem predtim neznal. Takze sance (byt miziva) tam je, heh :)
Diky moc za info a za odkaz na RFC4389.

Router od UPC (ubee) nepodporuje prefix delegation. Mám za nim svoj openwrt, na ktorom mám zapnuté NDP proxy a všetky zariadenia v sieti dostanú ipv6. Fungujem tak asi 4 roky, odkedy zrušili bridge na routeri a zaviedli cgnat+ipv6