Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 74
У меня уже давно руки чешутся активировать IPv6 в своём оборудовании
И что такого нового в этом? У меня давно у домашнего компьютера IPv6 адрес, прописанный на равне с IPv4 (dig -t AAAA desunote.ru). В торрентах процентов 15-20 IPv6 адресов.
а у меня нет. Вот что нового.
в торрентах это же не настоящие IPv6 выданные провайдером, это же Teredo
сам использую кое-где IPv6 и жду когда мой провайдер начнет давать мне честную /64 домой :)
сам использую кое-где IPv6 и жду когда мой провайдер начнет давать мне честную /64 домой :)
И что же в них ненастоящего, за исключение случаев, когда оба компа за Cone NAT (т.е. извне до портов машины даже через Teredo не достучаться)?
Если сильно хочется «native IPv6» — можно воспользоваться услугами туннельных брокеров. Правда, есть риск, что будет лагать, зато могут и /64 дать (/48 вроде точно дают).
Но сама новость порадовала, да. Пока у IANA IPv4-блоки не закончились — никто и не чесался особо. А тут нате — уже летом.
Если сильно хочется «native IPv6» — можно воспользоваться услугами туннельных брокеров. Правда, есть риск, что будет лагать, зато могут и /64 дать (/48 вроде точно дают).
Но сама новость порадовала, да. Пока у IANA IPv4-блоки не закончились — никто и не чесался особо. А тут нате — уже летом.
спасибо, про тунельных брокеров я в курсе и какое-то время у меня через Hurricane Electric`вский туннель были доступны некоторые серваки на одной из работ, что бы не прокидывать DNAT`ом к ним ssh(само собой по IPv6 при этом только ssh и был), но уж больно хочется нативного, ну честное слово раздражает, что у матушки я могу сделать ping6 ipv6.google.com вообще ничего не настраивая, просто подключившись к инету, а у себя не могу.
Почему не настоящие? Самые что ни на есть настоящие.
айпишники-то настоящие. а вот трафик не настоящий. В том смысле, что он идёт не от провайдера к ближайшей точке IPv6, а к точке тунеля teredo.
С какой стати? У меня нормальный IPv6, у других пользователей тоже нормальный ipv6. C ходу глянул в текущих торрентах пиров:
Префиксы:
2a01:
2002:
240f:
2001:0 (Toledo) — примерно четверть.
Префиксы:
2a01:
2002:
240f:
2001:0 (Toledo) — примерно четверть.
Я только про тех, кто через teredo.
есть, кстати ещё IPv6 через 192.88.99.1 (не знаю точно как такой туннель называется). Он тоже идёт не напрямик, хотя наверное петля короче, чем teredo.
Это 6to4
Подробней можете почитать здесь
Подробней можете почитать здесь
Кстати, я бы попросил внимательнее изучать предметную область. Свободные /8 распределены между региональными регистраторами, то есть IANA их не имеет. Все регионалы имеют более чем приличный запас адресов, например, RIPE (кто выдаёт адреса LIR'ам в Европе и России).
Я писал скрипт для подсчёта свободных на уровне RIPE NCC ipv4 адресов: habrahabr.ru/blogs/internet/96079/
Цифры: 08.08.2011 — 58932064
Сегодня: 22.1.2011 — 45318752
Заметим, это не включает выделенные LIR'ам, но не выделенные пользователям (то есть запас LIR'ов) адреса.
Итого — 1.3 миллиона за пол-года. Линейная интерполяция говорит, что ещё года три у нас есть.
Я писал скрипт для подсчёта свободных на уровне RIPE NCC ipv4 адресов: habrahabr.ru/blogs/internet/96079/
Цифры: 08.08.2011 — 58932064
Сегодня: 22.1.2011 — 45318752
Заметим, это не включает выделенные LIR'ам, но не выделенные пользователям (то есть запас LIR'ов) адреса.
Итого — 1.3 миллиона за пол-года. Линейная интерполяция говорит, что ещё года три у нас есть.
Пардон, 13 миллионов. Но оценка по времени не меняется.
2012 :)
www.ripe.net/internet-coordination/ipv4-exhaustion/ipv4-available-pool-graph
И не забываем про особые правила последней /8.
И не забываем про особые правила последней /8.
Жаль, мобильные операторы не подтягиваются никак =(
Зато подтянулся один из московских провайдеров «Старлинк». www.worldipv6launch.org/participants/?q=2
Ну супер, но я говорил in general, не говоря про кого-то в частности из гроссен тройке. И уж тем более я не говорил про домашних операторов.
В Нижнем Новгороде IPv6-адреса домашним клиентам проводным дает Билайн. Как это не странно. При чем всем не спрашивая хочешь ты или нет :)
Мне пока об этом остается мечтать, как и о прямом адресе в принципе.
Искренне сочувствую, мне без реальника очень грустно было бы.
У меня это скорее следствие всему остальному; до меня кабельщики никогда не доберутся в силу малой плотности села, так что HSDPA и мегафоновский нат…
Ну Вы понимаете.
Ну Вы понимаете.
Товарищ ты только верь, внезапно к нам ADSL2+ в сельскую местность пришел — 10 мегабит неплохо все-таки)
Ко мне телефон второй десяток лет отказываются тянуть. Три км по болотистой местности ради меня и пары бабулек? Неее.
А вы дауншифтер, однако)
У меня сейчас дом на окраине Воронежа, там еще пару лет назад ADSL не было, всерьез подумывал городить две wi-fi антенны до крупных домов с кабельными провайдерами, около 8000 р. цена вопроса… но и туда пришел ADSL и я подключил телефон за 15000 р. (копать еще до дома пришлось почти 100 метров) =)
Вам там некуда вайфаем стрельнуть до ближайшего крупного поселения?
У меня сейчас дом на окраине Воронежа, там еще пару лет назад ADSL не было, всерьез подумывал городить две wi-fi антенны до крупных домов с кабельными провайдерами, около 8000 р. цена вопроса… но и туда пришел ADSL и я подключил телефон за 15000 р. (копать еще до дома пришлось почти 100 метров) =)
Вам там некуда вайфаем стрельнуть до ближайшего крупного поселения?
У меня в полукилометре радиобаза Роскомнадзора — мне за сибишку голову пытались открутить голову, даже не интересуясь, есть ли у меня на нее лицензия. Какой там вайфай, о чем Вы.
Вообще, тут так вышло, что село впритык к одноимённому посёлку, в котором есть оптика. Но оптику тянет один вредный провайдер, категорически отказавшийся ко мне тянуть линк по столбам для 0.4 киловольта обычным — сказали, энергосбыт ататай сделает.
Так и живем.
Вообще, тут так вышло, что село впритык к одноимённому посёлку, в котором есть оптика. Но оптику тянет один вредный провайдер, категорически отказавшийся ко мне тянуть линк по столбам для 0.4 киловольта обычным — сказали, энергосбыт ататай сделает.
Так и живем.
Надеюсь, что введение IPv6 позволит тупым российским провайдерам отказаться от NAT-a — костыля на теле стека TCP/IP.
[sarcasm]А зачем им это ещё? Выгоднее не заморачиваться с заменой оборудования и по-прежнему продавать белые IP как отдельную услугу.[/sarcasm]
Кроме разделения одного белого IP на несколько человек провайдерский NAT ещё и защищает клиентские ПК от сетевых атак. По умолчанию провайдерский шлюз более защищён, чем ПК «обычного пользователя».
Я вот не стремлюсь к белому IP посмотрев логи за те пару месяцев, что он у меня был — в администрировании и безопасности я плохо соображаю, а знания выше «обычного пользователя» и использование «защищенного Linux», а не «дырявых Windows» скорее даёт иллюзию защищенности, чем защищенность.
Я вот не стремлюсь к белому IP посмотрев логи за те пару месяцев, что он у меня был — в администрировании и безопасности я плохо соображаю, а знания выше «обычного пользователя» и использование «защищенного Linux», а не «дырявых Windows» скорее даёт иллюзию защищенности, чем защищенность.
Как бы соль в другом: прикрыть все извне я могу и руками. На корректную настройку iptables у меня уйдет пара часов вечером в пятницу.
А вот когда мне кровь из носу нужна возможность подключиться извне, и не не через VPN, а напрямую — например, в ssh из универа или работы постучаться, чтобы подглядеть кое-что в конфигах, или сборку чего-то массивного запустить — я «сосу за копейки».
А вот когда мне кровь из носу нужна возможность подключиться извне, и не не через VPN, а напрямую — например, в ssh из универа или работы постучаться, чтобы подглядеть кое-что в конфигах, или сборку чего-то массивного запустить — я «сосу за копейки».
NAT не файрвол.
Но нормально с его функциями справляется.
Это побочный эффект, с которым можно бороться. Провайдеру проще выдавать белые адреса и DROP'ать все входящие TCP-SYN пакеты (и отключать это поведение по требованию клиента). В случае IPv4 так не делают из-за высокой стоимости адресов — дешевле купить более мощное оборудование и нагрузить его NATом (требуется память для хранения таблиц состояния и процессорное время для перевычисления контрольных сумм и разбора пакетов, либо специализированные чипы-ускорители). Таким образом, переход на IPv6 снизит нагрузку на оборудование.
шаг к говнизации интернета? =)
Надеюсь хоть теперь они будут умнее и не станут раздавать организациям айпишники избыточно большими подсетями.
В минимально нарезаемом /64 мы имеем 18446744073709551616 хостов(2^64 — 1)
можно забыть об избыточно больших сетях, даже если вы начнете выдавать по IPшнику каждому домашнему цветку и унитазу Вам /64 хватит до конца жизни.
А вообще их рекомендуется резать по /48, то есть в рекомендованной сетке 1208925819614629174706176 адресов.
IPv6 снимает все проблемы с адресеми пока человечество не заселило пару соседних галактик и не научилось передавать на скорости превышающей скорость света информацию.
можно забыть об избыточно больших сетях, даже если вы начнете выдавать по IPшнику каждому домашнему цветку и унитазу Вам /64 хватит до конца жизни.
А вообще их рекомендуется резать по /48, то есть в рекомендованной сетке 1208925819614629174706176 адресов.
IPv6 снимает все проблемы с адресеми пока человечество не заселило пару соседних галактик и не научилось передавать на скорости превышающей скорость света информацию.
Вот не думают люди о будущем. С IPv6 будет та же проблема, что и с IPv4, когда люди освоят несколько ближайших планет в космосе. А там уже нужны будут совсем иного масштаба изменения.
А мне жаль, что шумиха только у производителей оборудования и операторов (к сожалению, большинство не из России).
В IPv6 новые интересные штуки с безопасностью. Например, firewall Avast IPv6 не понимает, но при этом изображает, что пользователь защищен. А windows строит teredo откуда угодно, даже из-за IPv4 NAT, высовывая хост наружу без какого-либо уведомления пользователей. С помощью RA выдавали IPv6 на RIPE meeting в прошлом году в Москве и в twitter образованные сетевые люди писали, что что-то IPv6 тормозит даже не подозревая, что весь их IPv6 трафик проходит через man-in-the-middle.
Вопрос безопасности кому-нибудь интересен?
В IPv6 новые интересные штуки с безопасностью. Например, firewall Avast IPv6 не понимает, но при этом изображает, что пользователь защищен. А windows строит teredo откуда угодно, даже из-за IPv4 NAT, высовывая хост наружу без какого-либо уведомления пользователей. С помощью RA выдавали IPv6 на RIPE meeting в прошлом году в Москве и в twitter образованные сетевые люди писали, что что-то IPv6 тормозит даже не подозревая, что весь их IPv6 трафик проходит через man-in-the-middle.
Вопрос безопасности кому-нибудь интересен?
Вопрос безопасности кому-нибудь интересен?
Безусловно он будет интересен… Но только уже после внедрения IPv6.
Мы стали LIR-ом 2 года назад. Первый алокейт был /19, второй, годом позднее, — /20. Тогда же нам посоветовали
взять блок IPv6, взяли. В конце 2011-го я умудрился выцыганить ещё один блок /21. Итого 16к IPv4 адресов на всех
абонентов (25к в базе). А блок IPv6 всё так же «в загашнике», несмотря на грядущее локальное «исчерпание» уже у
нас самих (онлайн подбирается в пике к 10к).
И самое обидное, что нету внятных хау-ту по поднятию IPv6 на провайдерской инфраструктуре и книжек, подробно
освещающих функционирование IPv6.
Windows Vista и выше может устанавливать IPv6 teredo плюя на то, какой LIR обслуживает пользователя и есть ли у него IPv6 allocation.
Android умеет IPv6 и он там по умолчанию включен.
GNU/Linux в основном тоже автоматом подгружают модуль ipv6.
Попробуйте в публичных wi-fi попинговать all hosts in link-local. Полгода назад в Шереметьево терминале D я насчитал 20 хостов, которые были с IPv6 (ll конечно).
Если представитель LIR ждет внедрения IPv6 как начало, то обычный пользователь, по-моему, вообще не знает, что он уже с IPv6, что он даже может быть с глобальным IPv6.
Сначала я тоже столкнулся с отсутствием how to. Но мне помогли… RFC! Серьёзно. Я думал, там мозг сломать можно и впустую потратить время. Но мне даже понравилось. Главное: понять основы. И дальше будет просто.
Android умеет IPv6 и он там по умолчанию включен.
GNU/Linux в основном тоже автоматом подгружают модуль ipv6.
Попробуйте в публичных wi-fi попинговать all hosts in link-local. Полгода назад в Шереметьево терминале D я насчитал 20 хостов, которые были с IPv6 (ll конечно).
Если представитель LIR ждет внедрения IPv6 как начало, то обычный пользователь, по-моему, вообще не знает, что он уже с IPv6, что он даже может быть с глобальным IPv6.
Сначала я тоже столкнулся с отсутствием how to. Но мне помогли… RFC! Серьёзно. Я думал, там мозг сломать можно и впустую потратить время. Но мне даже понравилось. Главное: понять основы. И дальше будет просто.
3,402823669×10³⁸ адресов хватит всем!
Не используйте 6to4. Используя 6to4 вы начинаете зависеть от работоспособности сервера 192.88.99.1, который роутится по anycast. А это значит, что во-первых, вы не можете обеспечить выбор ближейшего/лучшего сервера, а во-вторых, владельцы сервера не могут даже прогнозировать нагрузки, так как из-за изменений в BGP трафик к различным 192.88.99.1 перераспределяется.
6to4 это очень и очень плохо. Лучше уж ничего, чем 6to4.
На последней конференции RIPE была очень интересная презентация
ripe62.ripe.net/presentations/31-2011-05-02-dualstack.pdf
Один из результатов исследования: 12-20% всех 6to4 соединений не устанавливаются. Почему? Потому что вы надеетесь на работоспособность сервера, стоящего неизвестно где, выбираемого далеко не оптимальным образом, управляемого неизвестно кем. Естественно, у него нет обязательств предоставлять вам качественный сервис.
Используйте туннели, конфигурируемые вручную, например от he.net. Это позволяет провайдеру туннеля прогнозировать нагрузку на свои серверы.
6to4 это очень и очень плохо. Лучше уж ничего, чем 6to4.
На последней конференции RIPE была очень интересная презентация
ripe62.ripe.net/presentations/31-2011-05-02-dualstack.pdf
Один из результатов исследования: 12-20% всех 6to4 соединений не устанавливаются. Почему? Потому что вы надеетесь на работоспособность сервера, стоящего неизвестно где, выбираемого далеко не оптимальным образом, управляемого неизвестно кем. Естественно, у него нет обязательств предоставлять вам качественный сервис.
Используйте туннели, конфигурируемые вручную, например от he.net. Это позволяет провайдеру туннеля прогнозировать нагрузку на свои серверы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Всемирный запуск IPv6 — в этот раз по-настоящему