Comments 80
UFO just landed and posted this here
Как я понимаю, в принципе к переходу на IPv6 многие уже готовы, однако вменяемых усилий по наладке связности никто особо не прилагает.
Простой пример из своей практики: есть две площадки дедиков, обе в Нидерландах. Хостеры разные, ДЦ разные.
И там и там дают IPv6.
Простая проверка пары серверов iperf-ом выдает гигабит по IP4, и какие-то дикие скачки по IP6. То 800 мегабит, то 100 мегабит.
Там же при внедрении новой платформы с виртуалками начались странные глюки — центос не может нормально обновиться, пакеты качаются 70-80 килобайт в секунду.
Сначала пинал хостера, думал проблемы с каналом.
Ан нет, по IP4 все опять летает.
В общем плохо пока все. :(
Простой пример из своей практики: есть две площадки дедиков, обе в Нидерландах. Хостеры разные, ДЦ разные.
И там и там дают IPv6.
Простая проверка пары серверов iperf-ом выдает гигабит по IP4, и какие-то дикие скачки по IP6. То 800 мегабит, то 100 мегабит.
Там же при внедрении новой платформы с виртуалками начались странные глюки — центос не может нормально обновиться, пакеты качаются 70-80 килобайт в секунду.
Сначала пинал хостера, думал проблемы с каналом.
Ан нет, по IP4 все опять летает.
В общем плохо пока все. :(
Проблемы со связностью почти нет. Практически все российские операторы, а тем более зарубежные поддерживают транзит v6. Сложности сейчас есть именно на уровне доступа — не все клиентские устройства корректно работают с v6. Я лично сталкивался с тем, что дешёвые роутеры зависают, получив IPv6-префикс через PPPoE-соединение. Кроме того, мало кто из рядовых пользователей понимает разницу. Опять же, техподдержку нужно переучивать — траблшутить гораздо больше. Не все операторы ШПД готовы к таким сложностям.
С другой стороны удивляет почему некоторые крупные организации, такие как, например, Сбербанк до сих пор не используют на своих веб-сервисах IPv6.
С другой стороны удивляет почему некоторые крупные организации, такие как, например, Сбербанк до сих пор не используют на своих веб-сервисах IPv6.
А смысл Сбербанку этим заниматься? Тут ведь проблема в том, что дифицита у провайдеров пока нет, да и не скоро будет. Не может провайдер просто взять и выключить поддрежку v4 для своих клиентов, даже после того как сделает v6. А значит связность v4 будет ещё долго, а значит крупному сайту, не связанному с IT просто нет никакого интереса заниматься этим, исследовать, инвестировать. Это не задача Сбербанка. Он перейдет на ipv6 просто за компанию при смене поколения оборудования: лет через 7-10.
Получается круговая порука: (сферическому в вакууме) «Сбербанку» IPv6 не нужно, потому что нет у клиентов, а клиентов не интересует потому что нет у «Сбербанка». Заниматься нужно, потому что пока поставщики сервисов затягивают с IPv6, провайдеры даже думать не будут о переводе своих клиентов на чистый IPv6.
Только почему то провайдеры не спешат раздавать ipv6 адреса. Ростелеком вообще на это забил.
Сбербанк настолько большой и моструозный, что никакая централизация и апгрейд им уже не поможет. Система достраивалась и улучшалась, поглощая уже созданные ошибки. Греф в когда-то в интервью это признал.
Большая часть финансовых институтов — готова к ipv6.
Большая часть финансовых институтов — готова к ipv6.
Да ладно!
Печально всё со стабильностью IPv6 даже у Tier-I операторов и peer'инговых сетей. То связность рвётся, то потери дикие. Я уж не говорю про то, что поддержкой и восстановлением работоспособности IPv6 сетей занимаются значительно более лениво.
Печально всё со стабильностью IPv6 даже у Tier-I операторов и peer'инговых сетей. То связность рвётся, то потери дикие. Я уж не говорю про то, что поддержкой и восстановлением работоспособности IPv6 сетей занимаются значительно более лениво.
Что-то вы какие-то дикие вещи рассказываете. Потери от протокола вообще не зависят. Если проблемы с физикой — то они и на v4 и на v6 будут одинаковые. Особенно у пиринговых сетей.
Я рассказываю по факту того что имею.
Я не знаю одну ли они физику используют под IPv6 и IPv4 или всё же в каких-то узлах трафик разведён.
Ну и да, малейшие косяки в хождение нашего v6 трафика мне сразу видны, т.к. мы по нему гоняем служебный траф между ДЦ. Перестроение отдельных v4 маршрутов мне менее заметно, да и проблемы с какой-нить одинокой удалённой /22 сеткой мы вообще можем не заметить.
Я не знаю одну ли они физику используют под IPv6 и IPv4 или всё же в каких-то узлах трафик разведён.
Ну и да, малейшие косяки в хождение нашего v6 трафика мне сразу видны, т.к. мы по нему гоняем служебный траф между ДЦ. Перестроение отдельных v4 маршрутов мне менее заметно, да и проблемы с какой-нить одинокой удалённой /22 сеткой мы вообще можем не заметить.
Там несколько другая проблема, для ipv6 могут просто использоваться другие аплинки, у которых и будут проблемы с физикой, или просто с BGP, к примеру.
Конечно, далеко не все провайдеры IP-транзита поддерживают IPv6, и вполне логично что при наличии нескольких апстримов не все из них могут поддерживать v6. Кроме того, не все из их пиров поддерживают v6, так что связность естественно будет меньше чем у v4. Но если уж есть проблемы с физикой — то они отразятся и на v4, если конечно апстрим не используется как IPv6-only. Но как вы считаете, много ли в реальной жизни таких сценариев?
По поводу ошибок в настройке BGP — согласен с вами, поскольку для v4 и v6 конфигурации будут почти полностью отдельные, за исключением некоторых «общих» элементов.
Кроме того следует не забывать про ошибки в софте. Я встречал случай, когда маршрутизатор с устаревшей прошивкой корректно работал на v4, но на v6 в пиринговых вланах IX-ов мог начать ни с того ни с сего отсылать «кривые» neighbor discovery, из-за чего у других клиентов IX-а возникали проблемы.
По поводу ошибок в настройке BGP — согласен с вами, поскольку для v4 и v6 конфигурации будут почти полностью отдельные, за исключением некоторых «общих» элементов.
Кроме того следует не забывать про ошибки в софте. Я встречал случай, когда маршрутизатор с устаревшей прошивкой корректно работал на v4, но на v6 в пиринговых вланах IX-ов мог начать ни с того ни с сего отсылать «кривые» neighbor discovery, из-за чего у других клиентов IX-а возникали проблемы.
У многих роутеры дома или в организациях стоят не новые, не имеющие поддержку IPv6.
А каким образом большинство читателей хабра волнуют проблемы LACNIC или AFRINIC? У RIPE NCC уже давно действует политика «last /22», т.е. при регистрации LIR ему выделяется так называемый final allocation, и всё. Но никто не запрещает купить v4-адреса, предложений масса.
Продажу уже легализовали или всё ещё действуют какие-то мутные схемы?
На сайте RIPE в LIR Portal (т.е. доступно только для членов RIPE) есть раздел IPv4 Transfer Listing Service, своеобразная биржа. Там не указаны цены, только контакты. Можно написать и предложить свою цену за выбранный блок. В пользовательском соглашении RIPE подчёркивает что IP-адреса и номера AS не являются собственностью.
Вспомнилась web-конференция, проводимая D-Link по поводу IPv6. Конференцию построили частично на IPv6 и уже через пол часа она безнадежно отвалилась, потому продолжение конференции пришлось смотреть в записи. Помимо вопросов безопасности, которыми презентаторов просто под плинтус загнали, так и остался не выясненным вопрос свободы нового протокола от старого. До сих пор IPv6 работает только в связке с IPv4 и не может использоваться для построения сетей на чистом IPv6. Причем, как я понимаю, ограничение исключительно аппаратное, то есть, производитель не готов предоставить качественное оборудование в достаточном количестве по приемлемой цене. Так что готовность к переходу сейчас на стадии «ждем, пока жареный петух клюнет».
До сих пор IPv6 работает только в связке с IPv4 и не может использоваться для построения сетей на чистом IPv6.
Не совсем понятно это утверждение. В чём зависимость и что мешает?
Ничто не мешает. Имею виртуалки на которых нет IPv4 вообще, просто вырублен. Все прекрасно работает и все ходит. А про необходимость связки и прочую чушь пишут те, кто IPv6 в глаза не видел.
Проблема проявляется на уровне провайдера, а не баловства с виртуалками. Статья старенькая, но проблема до сих пор актуальная: https://habrahabr.ru/post/159775/
Пока что IPv6 на уровне провайдера используется только в Dual-Stack, а в чистом виде может быть использован только в узких целях.
Пока что IPv6 на уровне провайдера используется только в Dual-Stack, а в чистом виде может быть использован только в узких целях.
Простите, баловство это у вас, а у меня виртуалки в продакшене, при чем продакшене критичном. И проблем не наблюдается. Да, есть продакшен в котором используется только IPv6 и это — принципиальная позиция.
Значит в вашем конкретном случае проблем нет. А вот человек в комментарии ниже проблему видит.
В этой статье нет никакого указания на необходимость IPv6 работать в связке с IPv4. Там есть только жалобы на провайдеров, винду, wifi-роутер, и занимательные пассажи про IPv6 NAT и DHCPv6.
Это не жалобы на провайдеров, а описание объективных причин, по которым провайдеры не спешат переходить на IPv6. А пока провайдеры не перейдут, клиентам тоже смысла дергаться нет. На сегодняшний день на новый протокол перешли только те, кто хотел быть в тренде, а реальная потребность такого перехода возникла в лучшем случае у 0,1% тех пользователей, которые на него перешли. Остальные перейдут на IPv6 не тогда, когда это станет модно, а когда в этом возникнет реальная необходимость. То есть, когда их поставят перед фактом: «с завтрашнего дня IPv4 не поддерживается».
А как в IPv6 реализуется провайдеронезависимость? Не могу практических описаний найти.
Вот в IPv4 есть NAT и все просто. В шестерке он не предусмотрен и ее адепты рьяно его клянут, как костыль.
Если у меня есть офис на 50 машин — у меня при переключении с одного оператора на другого надо менять все адреса при переключении прова. Сейчас, за натом это 5 сек. более того — я могу трафик одновременно через разные наты балансить. А с шестеркой как?
Вот в IPv4 есть NAT и все просто. В шестерке он не предусмотрен и ее адепты рьяно его клянут, как костыль.
Если у меня есть офис на 50 машин — у меня при переключении с одного оператора на другого надо менять все адреса при переключении прова. Сейчас, за натом это 5 сек. более того — я могу трафик одновременно через разные наты балансить. А с шестеркой как?
С шестёркой тоже неплохо: вы можете адвертайзить вашим клиентам оба префикса сразу.
Это понятно. А как клиент будет определять, от какого src адреса сформировать пакет? Это может знать только пограничный роутер.
Если оба провайдера доступны, то подходит любой. Если только один, то нужно или убрать анонс, или анонсировать время жизни дефолтроута для этого префикса равным 0, а на пакеты из упавшего префикса отвечать icmp-reject-ом с сообщением об отсутствии маршрута (это случится автоматически, если роут через этого провайдера будет опущен и таблица маршрутизации для этого провайдера опустеет).
Шестерка предполагает, что у вас на машинах будет по нескольку адресов — по одному от каждого провайдера.
А потянут ли провайдеры раздавать иной раз по тысячам адресов, которые сейчас у них одним? В смысле сейчас они толком даже не знают, сколько реальных девайсов за их в4 адресом скрывается. На работе у нас за 1000, дома около 10. Угадают?
А провайдер не должны отдавать тысячи адресов, провайдер должен отдавать /56 клиенту и обрабатывать все адреса из этой /56 от клиента. А сколько вам там провайдера не волнует.
в шестерке конец адреса совпадает с мак адресом узла. Это значит, что локалка, в теории, может включить в себя хоть все узлы интернета. А крупному клиенту дадут несколько таких локалок. Если маки уникальны, то дхцп в текущем виде не нужен.
Вообще слабо представляю как без NAT жить в плане безопасности. На работе ладно, там админы. А домашняя локалка…
Сейчас вам расскажут, что NAT можно заменить iptables, А у кого руки кривые кыш из сети. Ну и производители роутеров, конечно, с упрощёнными настройками по-умолчанию подтянутся за спросом.
Админы первыми обрадуются возможности снести нагромождения из правил для NAT. А сокрытие адреса скорее перестраховка из 90-х, когда софт был дырявый как решето и файрволы в виде дорогущих железок.
Вы всерьёз считаете нат мерой безопасности? Нет, правда?
Да, я например тоже считаю схему использования NAT как инструмент повышения безопасности в локальной сети… который комплекс мер как по выбору оборудования так и по требованию к уровню администраторов.
Очень простым действием, да может не таким хорошим по ресурсам (спорный вопрос, пока не появятся норм роутеры с поддержкой ipv6 для сравнения), и кучей других неудобств, но работающим!
p.s. А еще прокси есть ;) позволяют, как бонус, неплохо обрубать доступ в сеть на неправильно настроенных машинах пользователей все лишнее кроме браузера (правда некоторые лишние приложения научились у браузера настройки спрашивать)
если что, я сети не админю, чур меня.
Очень простым действием, да может не таким хорошим по ресурсам (спорный вопрос, пока не появятся норм роутеры с поддержкой ipv6 для сравнения), и кучей других неудобств, но работающим!
p.s. А еще прокси есть ;) позволяют, как бонус, неплохо обрубать доступ в сеть на неправильно настроенных машинах пользователей все лишнее кроме браузера (правда некоторые лишние приложения научились у браузера настройки спрашивать)
если что, я сети не админю, чур меня.
Он довольно эфективно скрывает информацию о структуре сети.
Да. Скрывает от внешних по отношению к локальной сети узлов вообще факт её наличия, во-первых. Во-вторых, не даёт этим узлам инициировать соединение с узлами локальной сети, на которых что угодно может быть открыто.
Так файрвол с роутера никуда не делся. Правда есть вопросы с открытием входящих портов: NAT-PMP для этого не годится, а PCP и UPnP+ никто толком не умеет.
Кто знает о наличии файерволла в домашних роутерах? Я вот не знаю, есть ли он в моих.
К слову,
1) в Linux'е есть модуль NAT для ipv6 в Netfilter, если что :)
2) Если делать правильно, то вы должны взять сеть из PI-блока и договориться с обоими провайдерами о её маршрутизации.
Но это если делать правильно. А люди уже привыкли к натокостылям, да :)
// в IPv4 тоже правильным было бы использование PI, но увы. Любят люди костыли.
Потому и был в линупс впилен v6 NAT ;)
На днях ощутил на себе нехватку адресов. Хотел купить несколько адресов для сервака. Если попытаться купить сразу группу (4 и выше), то выдает ошибку. Писал в поддержку они ответили что это из-за нехватки как раз, иногда работает иногда нет. Если брать по одному адресу то норм, но все адреса тогда будут разношерстные.
это вы где поштучно адреса брали?
Dedicated сервер от OVH в Европе. Вот такой ответ получил на попытку взять сразу группу адресов:
At the moment, the issue has been identified with a lack of available IPv4 in our RIPE inventories, as soon as another range of IP's is made available to OVH, you will no longer receive this error message. Please attempt to order regularly.
активировал в самарском домру ipv6, у меня статический внешний, роутер mikrotik какой-то из начальных
первый день работало всё ок, потом, видимо, начало роутиться на v6 и интернет стал тормозить, причём в неожиданных местах — то сайт не открывается, то вк зависнет, то в wow лагает, а то не лагает.
пришлось отключить в спешке, т.к. уже до белого каления довели тормоза на ровном месте
первый день работало всё ок, потом, видимо, начало роутиться на v6 и интернет стал тормозить, причём в неожиданных местах — то сайт не открывается, то вк зависнет, то в wow лагает, а то не лагает.
пришлось отключить в спешке, т.к. уже до белого каления довели тормоза на ровном месте
Ключевое слово — Mikrotik.
Да Mikrotik ни при чём, IMHO. Однако автор коммента явно что-то путает: RouterOS на ровном месте IPv6 не ест, пока не проведёшь стандартную процедуру «за Маму, за Папу, за Бабушку». Ну, то есть, RouterOS поддерживает v6, но не по принципу «включил-работает», а по принципу «включил-попытался настроить-почесал репу-плюнул-вернулся через полгода-вроде получилось».
«включил-попытался настроить-почесал репу-плюнул-вернулся через полгода-вроде получилось»
таки да, задолбаться пришлось как положено.
Поднимал ipv6 по мануалу: установил модуль, подключил и настроил файрвол, получил креды у провайдера, добавил их как положено и получил ipv6 пул, настроил роуты и далее по мануалу. Включил раздачу ipv6 адресов из полученного пула от провайдера в wifi и ethernet — мобильники и ноуты получили свои ipv6 адреса. По статистике фаервола трафик таки гнался на ipv6.
Всё работало, тесты я гонял, проверял по тут — все баллы получены.
У меня dom.ru и mikrotik.
ipv6 работает давно и я в целом доволен, но есть пара багов
1) DHCP-клиент в mikrotik долго получает ip-адрес (переход из renewing в bound), до 5 минут. На ipv4 всё приходит моментально
2) Windows не видит изменения адреса. Например, если упало PPPoE и поднялось, в Windows на адаптере остаётся старый адрес. В этом случае я в свойствах адаптера снимаю галочку с протокола IPv6 и ставлю обратно — адрес обновляется. Но как это сделать программно, скриптом — никак не смог нагуглить.
Ну и, при падении ipv6 начинает тупить всё, где ipv6 приоритетный (google, yandex, vk), пока соединение по тайм-ауту не перейдёт в ipv4, и так с каждым исходящим коннектом.
ipv6 работает давно и я в целом доволен, но есть пара багов
1) DHCP-клиент в mikrotik долго получает ip-адрес (переход из renewing в bound), до 5 минут. На ipv4 всё приходит моментально
2) Windows не видит изменения адреса. Например, если упало PPPoE и поднялось, в Windows на адаптере остаётся старый адрес. В этом случае я в свойствах адаптера снимаю галочку с протокола IPv6 и ставлю обратно — адрес обновляется. Но как это сделать программно, скриптом — никак не смог нагуглить.
Ну и, при падении ipv6 начинает тупить всё, где ipv6 приоритетный (google, yandex, vk), пока соединение по тайм-ауту не перейдёт в ipv4, и так с каждым исходящим коннектом.
вот только это проблемы не IPv6, а провайдера и-или таргет-хоста (ака серверов VK и/или WoW).
Впрочем, на счёт WoW я крайне не уверен: battle.net, насколько я помню, не умеет в IPv6 от слова "совсем".
А вот у VK, да, бывает, что иногда админы месяцами не следят за упавшими по IPv6, но продолжающими жить по IPv4 хостами.
Но, повторюсь, это проблема НЕ IPv6. И винить нужно не его, а тех, кто виноват на самом деле.
не туда
Sign up to leave a comment.
«Начало конца»: адреса IPv4 действительно заканчиваются