Vlákno názorů k článku Základy nasazení IPv6: od získání adres až po síť pro hosty od Wiro - Jako uplne nerozumim tomu odporu, smutny ze nejcasteji...
-
Jako uplne nerozumim tomu odporu, smutny ze nejcasteji od sitaru. Uz v roku 2006 jsme na CVUT koleji spravovali sit se vsema sluzbama dostupnyma po IPv6 pro 1000 lidi. Kazdy student mel svoji IPv6 adresu. Jo muselo se hodne hackovat na starych sitovych prvcich (nebyli penize na lepsi, custom firmwary a pod) ale to dnes uz vubec neni tema. Cize uz pred 18ti lety to slo, a velmi slusne, dneska je to uz jen o lenosti spravcu site nic vic v tom moc nevidim.
-
Opravdu nevidím problém v tom, že někdo nechce řešit něco, co pro něj dostatečně dobře funguje. Platí o adminech i ISP. Až bude chtít třetina jejich uživatelů IPv6 nebo jim třeba dojdou IPv4 adresy nebo cokoliv dalšího, pak to logicky řešit budou. Ale proč by to dokud k tomu nebudou mít nějaký pádný důvod dělali?
Kdo to potřebuje, ten to řeší, kdo nikoliv, ten to neřeší. To je celé. A většině běžných uživatelů je to naprosto jedno a obvykle si nějakého přechodu na IPv6 ani nevšimnou.
-
Až bude chtít třetina jejich uživatelů IPv6 nebo jim třeba dojdou IPv4 adresy nebo cokoliv dalšího, pak to logicky řešit budou.
Tohle je to úplný nesmysl, stejný jako prohlášení: Až bude chtít třetina lidí IPv4. Normálního uživatele to vůbec nazajímá, jestli to běží přes IPv8 nebo IPv4, jestli je tam DNS atp. Ani je to zajímat nemá to je odpovědnost ISP. IPv4 adresy jim došly/dochází nové již nezískají. Celý svět se posouvá. Za posledních 20let se připojení a využívání internetu opravdu proměnilo a není jediný důvod, proč by ISP měli zůstat stát a neposouvat se také.Dostatečně dobře to nefunguje a ty providery to samozřejmě taky pálí. Musí kupovat "zbytečný" HW pro NAT, složitě nastavovat sítě, šetřit s adresami atp. Přidává to strašnou složitost do systému, který by měl být jednoduchý a díky nedostatku adres prostě není.
-
Ano, právě proto, že to normálních uživatele vůbec nezajímá je přechod na IPv6 tak pomalý. Vždyť to píšu, člověče. A ne, není to "odpovědnost ISP". ISP poskytuje svým uživatelům určitou službu a potud, pokud je nějaký parametr té služby jeho zákazníkům jedno, on sám ho bude řešit až v okamžiku, kdy nebude jedno jemu. To je celé. Nabídka, poptávka. Odpovědnost má pouze za to, k čemu se smluvně zavázal.
A důvod, proč by měl ISP zůstat stát a neposouvat se je tentýž: nebude se posouvat do té doby, dokud to nebude potřebovat pro svůj business. ISP jsou (obvykle) firmy, nikoliv charity. Dojemné řeči o tom, že se "celý svět posouvá" jsou jednoduše nezajímavé.
A ano, je to nesmysl, že třetina lidí bude chtít IPv6. Ne, nebude. A to je právě to.
-
"Protože některé tendery mají IPv6 v podmínkách.
Stačí jeden významný zákazník a najednou to jde."Pokud by toto byla pravda, tak vzhledem k obchodnim praktikam TMO, ji konkretne tento operator ma nasazenou jeste pred o2.
Ceska operatorska trojka umi pro potreby klani v tendrech vytvorit ruzne Potemkinovy vesnice, takze nejakou podminkou v tendru se rozhodne nenechaji rozhodit, aby upravovali prostredi sve hlavni klientske site.
TMO, stejne jako vetsina Ceskych ISP, umi poskytnout nativni IPv6 konektivitu pro firemni zakazniky jiz delsi dobu.
-
Nevím jaké "obchodní praktiky' máte na mysli.
A proč do toho motáte ISP když se bavíme o mobilní sítí?A jak by jste zařídil že by voják měl IPv6 v mobilu a civil vedle něj ne?
To už je jednodušší pustit IPv6 všem.Právě TM je s IPv6 pozadu protože se zaměřuje na občany a ne na velké podniky/vládu/armádu....
I když moje VDSL od TM umí IPv6 perfektně. Že by CETIN zařídil i IP adresy?
-
@bartolo
TMO je ISP :)
Ano, lze pro skupinu uzivatelu mobilni site zaridit jine sitove prostredi nez pro zbytek. Rika se tomu custom APN.
Ne, TMO se skutecne nezameruje na obcany a pozadu je z jinych duvodu.
CETIN zajistuje prenosovou vrstvu. Konektivita, accounting a dalsi, jsou v gesci poskyvatele sluzby.
-
Jako obvykle zjevně nezvládáte chápání psaného textu. Zkuste to ještě jednou a přinejhorším si to, co jsem napsal nechte někým vysvětlit. To dáte. Věřím vám.
Na vaš otázku odpověděl druhý odpovídající už předemnou. A pokudu zvládnete uplatnit alespoň elementární logiku, zjistíte, že to přesně odpovídá tomu, co jsem napsal. Dokonce i ty vaše tupé úvahy.
-
@poljak
Kterou cast vaseho textu mate konkretne na mysli?
Koncove site, necht si kazdy spravuje podle sveho gusta dle rceni "My network is My Castle". Nikomu nemuzeme nutit jak si svou sit, za kterou nese nasledne zodpovednost, nastavi. V praxi pak potkavame ruzne odborniky na tema siti ci spravy serveru a stanic, kdy zpozornite uz u jejich vykladu adresace lokalnich siti.
Vy jste sice spravne pochopil, ze typickemu uzivateli je uplne jedno na jakem protokolou bezi jeho pripojeni k internetu a prechodu si 99% ani nevsimne, ale pak nasleduje vase problematicka definice ISP a jeho byznysu.
Firmy v ISP segmentu, jako i jinde, byvaji ruzna stvoreni. Nekteri lepsi, nekteri horsi. Vime jak si nekteri predstavuji zapojeni elektroinstalace nebo jak vyuzivaji frekvencni pasma a stale lze najit velmi kreativni konfigurace typu "osmipatrovy panelak za jednim soho tplinkem".
"pokud je nějaký parametr té služby jeho zákazníkům jedno, on sám ho bude řešit až v okamžiku, kdy nebude jedno jemu" - je platny v jinych pripadech, ale v kontextu ISP je to blabol.
"Budu jezdit starou Liazkou, nez abych kupoval novy nakladak. Tomu zakaznikovi je to jedno cim mu ty cihly dovezu a Liza stale dobre slouzi."
Maslo na hlave v pripade IPv6 maji ISP. Zehraji na to, ze jim to nikdo neprikazuje. Dokazi horlive diskutovat na tema data retention nebo bezpecnostni smernice, ale jakmile se zmini IPv6 jsou zticha nebo pouziji otrepane "nikdo to nechce".
A pak tu jsou ISP, ktere v tom nevidi problem, maji naimplementovano spravne a podil provozu po neustale IPv6 stoupa.
26. 10. 2023, 16:47 editováno autorem komentáře
-
90% lidí nechce ani DNS ani IP. Dokonce bych si tipnul, že 80% jejich zákazníků nechtějí ani IP adresu a dokonce ani protokol. To, že nechtějí IPv6 je argument úplně mimo. Oni totiž nevědí, že ho chtějí a že jim to přinese výhody.
ISP za to rozhodně zodpovědní jsou, jenom oni tohle můžou vyřešit. Každý ISP který dnes IPv6 nepodporuje akorát prokazuje, že jeho síť má obrovský technologický dluh, že na jakýkoliv rozvoj naprosto kašle nebo má nekompetentní manažery/zaměstnance. Je to pouze jejich vizitka a neřešením si jenom zadělávají na velké problémy v blízké budoucnosti a nakonec stejně budou nuceni to udělat.
Smutné je, že člověk kolikrát nemá ani jinou možnost, než využít tyhle mizerné služby, protože jiná rozumně dostupná alternativa prostě není.
-
Jo, nechtějí. Je to tak. A co myslíte, že to znamená? Hm? Ano, to znamená, že ISP poskytuje službu za pomoci takových technologií, které mu umožní provozovat jeho podnikání. To IPv4 je, IPv6 to nezbytně nutně zatím prostě není. Ano, oni nevědí že to chtějí a právě proto je jim to jedno. Z toho plynoucí výhody většinu uživatelů prostě nezajímají a zajímat ani nezačnou. Nemusíte to chápat. Je úplně jedno jestli to chápat budete nebo ne. Tak jako tak jsme tam, kde jsme byli. S vám podobnými je to fakt jak s dětmi v mateřské škole.
Ne, nejsou za to odpovědní. Prostě se smiřte s tím, že nejsou. Tohle je business, nikoliv filozofická debata o morální odpovědnosti na FF UK. Co to pro vás dokazuje je sice dojemné, ale nezajímavé. Nezajímá to většinu zákazníků. Stejně, jako vy zajímáte toho ISP co se vašich specifických požadavků týká maximálně potud, pokud reprezentujete velkého zákazníka.
-
Filip JirsákStříbrný podporovatelIPv4 adresy už jim dávno došly. Zkuste si požádat o blok veřejných IPv4 adres odpovídající počtu zařízení ve vaší síti s nějakým odhadem růstu alespoň v příštích pár letech. Pokud ten blok nedostanete, IPv4 adresy jim došly.
Uživatelé nevědí, co by jim IPv6 přineslo, takže to nemohou chtít. Služby závislé na IPv6 (tedy na možnosti komunikovat přímo) mají jako překážku penetraci IPv6. Je tam velká vstupní bariéra, ale o to větší třesk to bude, až ta bariéra praskne. Nikdo nedokáže odhadnout, kdy to bude, takže odkládat zavedení IPv6 je dost krátkozraké – protože ISP to nezavede za týden, až zjistí, že to najednou všichni chtějí, protože je hype kolem nějaké nové služby, která to vyžaduje.
-
To, že IPv4 došly obecně ještě neznamená, že ten či který ISP nemá dostatečnou zásobu. Ostatně určitě víte, kolik rozsahů se povaluje třeba v akademické sféře a navíc ne každý ISP je růstový. Ono je těch vesnických ISP pořád ještě docela dost i když se trh dost konzolidoval.
A jinak ano, to je v jeho zájmu. Já jen píši, že potud, pokud to nepotřebuje bezprostředně na to prostě nemá kvůli stávajícím uživatelům důvod spěchat. A i když nikdo neví co za jak dlouho bude, pokud bude alespoň tak nějak předpřipravený, jen týden na to mít taky nebude a bude mu to stačit pokud vyloženě nespí. Nemluvě o tom, že si nemyslím, že by nějaký třesk nastal. Trochu větší zneklidnění nastane tak maximálně v okamžiku, až nějaký velký poskytovatel služeb či (ještě spíš) obsahu začne IPv4 naopak vypínat.
-
Filip JirsákStříbrný podporovatel
Jenže ani ten či který ISP nemá dostatečnou zásobu. Kdyby měl dostatečnou zásobu, měl by dostatek IPv4 adres na pokrytí potřeb svých a svých zákazníků. Pokud má dostatečnou zásobu na pokrytí svých potřeb, znamená to, že už mu IPv4 adresy dávno došly a už jenom vyškrabává poslední železná zásoby.
Vaše hodnocení je jako kdybyste volal do restaurace:
– Máte dost surovin, abyste uvařili obědy?
– Ano, máme.
– Pro kolik hostů můžete uvařit obědy?
– Pro hosty? Pro hosty neuvaříme nic, na to nemáme suroviny. Ale máme dost surovin, abychom uvařili obědy pro náš personál. Dneska.Myslím si, že daleko dřív než to, že začne velký poskytovatel obsahu IPv4 vypínat, nastane to, že někdo spustí významnou IPv6-only službu. Třeba Čína bude v roce 2030 jen na IPv6. A pokud byste chtěl tvrdit, že nějaká Čína nás nemusí zajímat, vysvětlete to všem mladým využívajícím TikTok. Kdyby bylo to časování jen o pár let posunuté, že by byla Čína IPv6-only už před nástupem TikToku, dnes bychom tu o potřebnosti IPv6 vůbec nedebatovali. Zato před pár lety by si všichni ti čeští operátoři, kteří čekají, až zahřmí, drbali hlavu, jak to, že všichni najednou chtějí IPv6 a proč jim to nikdo neřekl dřív.
S tím týdnem to byla trochu nadsázka, ale ani ten týden není nereálný. Když si vzpomenete na starší Clubhouse, nebo v souvislosti s veletoči Twitteru Mastodon, Threads či Blue Sky, ty získávají pozornost v řádu týdnů. Kdyby některá z vyjmenovaných služeb byla dostupná jen po IPv6, tak už se o to někteří laici budou zajímat a našlo by se i pár těch, kteří ISP vymění (kvůli Clubhouse si lidé pořizovali iPhony). A to jsou pořád služby, které neprorazily. Nikde není řečeno, že se to jednou někomu nepovede, třeba i pozvolnějším náběhem. Pak bude trvat měsíc, než ISP vůbec zjistí, že je tu nějaká IPv6 služba s rostoucí popularitou, a za další měsíc se bude divit, jak to, že jim hromadně odcházejí zákazníci, a proč je někdo nevaroval, že nasadit za měsíc bez přípravy IPv6 do sítě ISP není možné.
A že by měl ISP vše připravené, ale měl IPv6 vypnuté, a až to přijde, jenom zmáčkl knoflík a IPv6 v jeho síti začalo fungovat – to je nereálné. Aby věděl, že mu to funguje, musí to mít otestované. A když už bude mít vše přichystané, je pro něj lepší IPv6 spustit, protože ušetří za NAT.
Na tom celém mi vadí nejvíc to, že až to nastane, budou se všichni ti, kteří zaspali, rozčilovat, proč je nikdo včas nevaroval. Jenže oni jsou varováni dnes a denně, třeba i tímhle článkem – ale oni to ignorují a doufají, že to přejde.
(To samé bude s elektromobily. Pořád se budeme tvářit, že je to blbost, že nejlepší je držet se benzínu – a až jednoho dne Škodovka zjistí, že nemá komu prodávat, budeme si stěžovat, jak je ta EU ošklivá, že si přešla na elektromobily a nás o tom nikdo neinformoval. No, informují nás o tom pořád, ale my to slyšet nechceme a pořád doufáme, že se to přežene.)
-
Dále pan Jirsak považuje Firewall za zbytečnou věc.
Jak je důležitý jsme se mohli dozvědět například zde:https://www.root.cz/zpravicky/nezaplatovana-chyba-ohrozuje-cisco-ios-xe-napadeny-jsou-tisice-prvku
-
Filip JirsákStříbrný podporovatel
Já to chápu už dávno. Doufám, že článek umožnil pochopit to i vám.
Mimochodem, nikdy jsem netvrdil, že IPv4 a IPv6 je absolutně stejné. Pak by IPv6 nemělo smysl. Tvrdil jsem, že je to stejné z hlediska konfigurace jednoduché sítě – jeden router, jeden firewall, klientské stanice, nějaké služby. Tj. konfigurujete přidělování IP adres, routování, DNS, případně firewall. Neřešíte nějaké privacy extensions, mobilitu, podsítě a podobné věci, které často v IPv4 ani nejsou nebo tam byly přidány dodatečně až po IPv6. V takovém případě konfigurace IPv6 opravdu není složitější a často je to opravdu ta samá konfigurace.
Ano, firewall, který nikdo nespravuje, je zbytečná věc, dokonce škodlivá věc. A váš odkaz to jenom dokazuje – proti uvedené zranitelnosti vás žádný firewall neochrání. (Za firewall považuju něco, co pracuje na 3. a 4. vrstvě, ne nějaký WAF – ten v domácích krabičkách za stovku nenajdete.) Když máte HTTP(S) server na Ciscu vystaven do internetu, asi to má nějaký důvod a bude to povolené i na internetu. Pokud to nemá být do internetu vystavené, nemáte ten HTTP(S) server vůbec do internetu vystavovat. Pokud vystavíte server do internetu a pak tam zakážete přístup na firewallu, máte nejspíš něco špatně. (Nastávají občas případy, kdy se ten server nedá pořádně nakonfigurovat, takže nezbývá, než to řešit na firewallu. To je ale chyba toho serveru. A rozhodně to nejsou věci, které by řešil domácí uživatel.)
-
Ale vy predpokladate ze vladca HTTPS servera je ten isty co ma na starosti siet. Sietova bezpecnost a bezpecnost nejakeho HTTPS servera su dve rozne veci.
Problem je ze v modernych architekturach a cloudovych sluzbach ma malokto spravne implementovanu policy a ta znie ze vsetko je 'by default' zakazane. Dnes sa robi uplny opak - vsetko je povolene. -
Filip JirsákStříbrný podporovatel
Tvrzení „firewall není potřeba“ se vztahovalo na SOHO, kde není žádný správce HTTP(S) serveru ani nikdo, kdo má na starosti síť.
V případě větší sítě, kde bude nějaké Cisco a kde jsou role správců serveru a správce sítě či firewallu, se ti správci musí dohodnout. Pokud správce HTTP(S) serveru na Ciscu vystaví server do internetu a správce firewallu tu komunikaci následně zablokuje (sám od sebe), je něco špatně.
Za mne je výchozí politika „všechno je povolené“ správná politika, protože ty služby musí být bezpečné samy o sobě. Teprve nad tímto defaultem se dá vybudovat další vrstva zabezpečení, která bude založená na tom, že se zdokumentuje, které služby se používají – a pak se to dá přepnout do opačného režimu „co není povoleno je zakázáno.
Pokud se udělá výchozí nastavení „vše je zakázáno“ a pak se do firewallu dělají náhodné díry, skončíte jenom s děravým firewallem, který pokud před něčím chrání, tak jenom náhodou, a akorát vzbuzuje falešný pocit bezpečí.
-
Filip JirsákStříbrný podporovatel
Vy jste přišel se situací, kdy správce služby je někdo jiný, než správce sítě a firewallu. Pokud je taková situace, musí se ti dva samozřejmě domluvit. A pokud je to trošku větší síť a je tam více služeb, nemůže to být domluva per huba, ale musí na to být definované postupy.
Když nad službami nemáte kontrolu, nemůžete zajistit, že jsou bezpečné. Pokud je odpovědnost takto oddělená, zodpovědnost za bezpečnost jde za správcem služby, ne za správcem sítě.
Správa firewallu samozřejmě není o náhodě. Ale to jenom potvrzujete to, co opakovaně tvrdím – že firewall „není“, firewall „se provozuje“, tj. musí mít svého správce, který rozumí sítím a správě firewallu. Když takový správce není, je firewall k ničemu. Proto tvrdím, že takové ty „firewally“ na SOHO routerech jsou k ničemu, protože ty žádného správce nemají.
-
Problémy PODA (to je ISP s 100k+ zákazníky) se řeší tady v diskuzi. Vodafone v ex-UPC síti (600k+) nemá pro jistotu IPv6 vůbec. Obojí s armádou síťařů a prostředky to řešit. Takže nechci ani hádat, kdy to dostane do použitelné podoby majorita malých lokálních ISP. Ergo kladívko s predikcemi praskání bariér bych byl převelice opatrný.
-
PODA umi poskytnout funkcni IPv6 na business pripojkach a stejna je zkusenost i u dalsich poskytovatelu lokalniho charakteru.
PODA konkretne ma zmrsenou implementaci IPv6 na home GPON pripojkach. V dobach, kdy pripojovali ethernetem tak bylo mozne /56 ziskat. Vi o tom, ze to maji blbe. Maji i lidi, kteri vi jak napravit, ale vidle do toho haze management.
Nemusime chodit daleko - TMobile je na tom velmi podobne. Vykon managementu CZ a SK pobocek je delsi dobu diskutabilni a fokusuje se na hlouposti typu Tyfon.
-
To se ovsem zasadne pletes. Coz pisu jako clovek ktery nektere (byvale) zamestnance UPC zna osobne. Tech techniku je totiz par, zadna armada, a oni zadny technicky problem v6 zprovoznit nemaji, otazka 5 minut, jenze to maji zakazane od manezermentu.
A ten prozmenu nezvlada zaridit ani to, aby vyfakturovali vsechny sluzby na jedne fakture, protoze to bys musel nejdriv vsechny sluzby vypovedet, a pak je zridit znova ... (samozrejme s par mesici odstavky).
-
Adam KaliszStříbrný podporovatelByl bych velmi opatrný. exUPC nebylo schopné dodat ani zdrojáky k firmwaru, který pod GPL k modemu, který rozdávalo. Tehdy jsem musel dokopat přímo Technicolor, protože UPC samotné na dodržování prdělo.
To, že mají armádu zaměstnanců zdaleka neznamená, že tomu taky rozumí. Znamená to jen, že mají hodně zaměstnanců.Stejně to je všude jinde taky. To, že na něčem pracuje hodně lidí vůbec neznamená, že se nějaký projekt bude pohybovat kupředu. Typicky je to spíš přesně naopak. Hodně lidí může být prostě hodně balastu.
Jinak exUPC/ Vodafone zcela běžně IPv6 v kabelové síti má, byla o tom dokonce přednáška na IPv6 day.
-
Ja tomu odporu i castecne rozumim. Uz pred mnoha lety se zacalo rikat - zacnete pouzivat IPv6, je to funkcni. Jenze jeste porad se neco menilo. V diskuzi o minulem clanku to taky nekdo zminoval. Proste to jeste porad bylo moc zive.
Treba prave prefix delegation. RFC vzniklo pred mnoha lety, jenze nejakou dobu trva nez se to dostane do firewallu/routeru apod. Podobne DNS do router advertisement. Takze tu mame nekolik moznosti pridelovani adres, ne idealni podpora v hw, ...
Muj nazor - kdyby IPv6 RFC i hw byly pred deseti lety ve stavu jako dnes, tak se uz nemame o cem bavit a sestka je vsude.
-
Jan HrachStříbrný podporovatelPovíme si za 10 let :D
Edit: hm, škoda, Root zdá se začal zamykat diskuze po pár měsících
25. 10. 2023, 14:09 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Vždyť u IPv4 je to stejné, i to se pořád vyvíjí, stejně tak i obecné věci platné pro IPv4 i IPv6. Třeba oznamování captive portálů, zákaz používání DoH, oznamování sítě s měřeným přenosem dat – to jsou věci mladší než vámi zmiňované změny v IPv6.
ČLÁNKY DO MAILU